Menedżerowie spółek na wyciągnięcie myszki

Sprawa, do której właśnie odniósł się prezes Urzędu Ochrony Danych Osobowych (UODO), zaczęła się w 2016 r., czyli jeszcze w czasie obowiązywania poprzedniego ustawodawstwa. Wówczas do Biura Generalnego Inspektora Ochrony Danych Osobowych (poprzednik prezesa UODO) wpłynęła skarga obywatela na przetwarzanie jego danych osobowych przez Fundację ePaństwo. Organizacja przetwarzała bowiem dane osobowe między innymi skarżącego w portalu internetowym Rejestr.io. Nie spełniła zaś obowiązków informacyjnych, o których była mowa w ówczesnej ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.), oraz nie zaprzestała przetwarzania danych po wezwaniu skarżącego.

Funkcjonalność portalu stworzonego przez fundację opierała się na uzyskaniu prostego dostępu do danych powszechnie dostępnych i ujawnianych w Krajowym Rejestrze Sądowym. Organizacja pobierała za część świadczonych przez siebie usług pieniądze.

Pojawiło się zatem pytanie, czy prywatny podmiot może przetwarzać dane osób ujawnionych w KRS, w tym numery PESEL, bez poinformowania o tym tych, których dane są przetwarzane?

Urząd: to dozwolone

Prezes UODO w decyzji z 30 stycznia 2019 r. – oceniając sprawę już przez pryzmat unijnego rozporządzenia o ochronie danych osobowych (RODO) – stwierdził, że jest to dozwolone. Organ przypomniał, że zgodnie z art. 6 ust. 1 lit. f RODO przetwarzanie danych jest zgodne z prawem, gdy jest ono niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą.

Prezes UODO w wydanej decyzji podkreśla, że fundacja – zgodnie z tym, co sama wskazała – działa na rzecz rozwoju demokracji oraz krzewi wiedzę o dostępie do informacji publicznej. A jednym z elementów takiej działalności jest właśnie udostępnianie obywatelom w prowadzonym serwisie internetowym danych pochodzących z powszechnie dostępnych źródeł.

„Tak określone cele i zadania fundacji mają bez wątpienia prawnie usprawiedliwiony charakter” – czytamy w decyzji. Trudno zarazem sobie wyobrazić sytuację, w której fundacja mogłaby prowadzić wskazaną działalność bez przetwarzania danych osób ujawnionych w KRS-ie. I – jak podkreślił prezes UODO – poinformowanie wszystkich o zamiarze przetwarzania danych wymagałoby niewspółmiernie dużego wysiłku (art. 14 ust. 5 lit. b RODO).

Są jednak wątpliwości

Prawnicy są podzieleni w ocenie wydanego rozstrzygnięcia. Doktor Paweł Litwiński, adwokat w kancelarii Barta Litwiński, reprezentujący w tej sprawie Fundację ePaństwo, uważa, że ocena UODO w kontekście spełniania obowiązku informacyjnego jest wręcz rewolucyjna.

– Urząd wprost stwierdził bowiem, że jeżeli podmiot przetwarza dane osobowe z publicznych rejestrów (imię, nazwisko i PESEL bez danych kontaktowych typu adres czy nr telefonu), to wówczas jest zwolniony z obowiązku informacyjnego. To przesądzenie tego, o co biła się latami chociażby spółka Info Veriti, która skopiowała dane z KRS i z tego powodu GIODO nakazał jej wykonanie obowiązku informacyjnego wobec osób, których dane pozyskała, co oznaczałoby w skrajnym przypadku konieczność pozyskania ich adresów z bazy PESEL – przypomina dr Litwiński. Koszt takiej operacji sięgałby kilkudziesięciu milionów złotych.

Doktor Litwiński zauważa również, że osobom ujawnionym w KRS-ie nie przysługuje prawo do bycia zapomnianym. Raz, że w grę wchodzi ważny interes publiczny, a dwa – skoro nie można ot tak zniknąć z rejestru publicznego, o czym przesądził TSUE w wyroku z 9 marca 2017 r. w sprawie Salvatore Manniego (sygn. akt C-398/15), to nie można zniknąć z kopii takowego rejestru przetwarzanej w tym samym celu.

Zastrzeżenie do decyzji prezesa UODO ma radca prawny Andrzej Lewiński, zastępca GIODO w latach 2006–2016, obecnie prezes Fundacji im. Józefa Wybickiego oraz przewodniczący komitetu ds. ochrony danych osobowych Krajowej Izby Gospodarczej. Docenia rolę publicznie dostępnych rejestrów i pochwala cel działalności Fundacji ePaństwo, ale…

– Zarazem jednak mam wątpliwości, czy skoro rejestry publiczne są jawne, istnieje potrzeba tworzenia ich odbić. Zwłaszcza że witryna fundacji idzie o krok dalej i za jej pośrednictwem, w zamian za 99 zł miesięcznie, można dokonywać analiz powiązań pomiędzy podmiotami ujawnionymi w KRS – wskazuje mec. Lewiński. I dodaje, że choć bynajmniej nie chce odbierać prawa dostępu fundacji do wykorzystywania danych z KRS, to zarazem przetwarzanie danych powinno wiązać się ze spełnieniem obowiązku informacyjnego i umożliwiać prawo do sprzeciwu z art. 21 RODO. – To dla mnie niepojęte, że fundacja stosuje profilowanie w oparciu o przetwarzane numery PESEL, prezentuje odpłatnie dane historyczne (w tym dane o wyrokach sądów gospodarczych z publicznych rejestrów), a nie dość, że nie spełnia obowiązku informacyjnego, to na dodatek nie uwzględnia prawa do sprzeciwu. Moim zdaniem jest to stawianie celów fundacji ponad ochronę praw i wolności osoby i budzi moje obawy nie tylko w związku z rozporządzeniem RODO, lecz także Konstytucją RP – podkreśla mec. Lewiński.

Z wydanej decyzji UODO można wysnuć wniosek, że analogicznie dopuszczalne byłoby prowadzenie witryny z danymi pracowników konkretnej firmy lub np. lekarzami. Warunkiem jest jednak to, by informacje o nich były dostępne w publicznym rejestrze, a przetwarzający je podmiot bazował nie na czymś nowym, lecz na dobrze zorganizowanym systemie teleinformatycznym, umożliwiającym np. prostsze łączenie poszczególnych rekordów. Jeżeli jednak administrator zdecyduje się zbierać dane np. z wizytówek lub baz danych, to wówczas – zdaniem ekspertów – będzie musiał spełnić zarówno obowiązek informacyjny, jak i respektować prawo do sprzeciwu (art. 21 RODO).©℗