UODO ma rację. NSA oddalił skargę spółki Bisnode

Sprawa spółki Bisnode była pierwszym przykładem nałożenia kary pieniężnej przez polski organ nadzorczy - UODO. Teraz - po ponad czterech latach - ma swój finał poprzez przyznanie racji urzędowi przez Naczelny Sąd Administracyjny.

Na firmę nałożono karę w wysokości nieco ponad 943 tys. zł za pozyskiwanie danych z ogólnodostępnych rejestrów publicznych, ale nie informowanie o tym osób, których dane przetwarzano. Tym samym te osoby nie mogły skorzystać np. z prawa sprostowania swoich danych czy sprzeciwić się wobec dalszego ich przetwarzania - podaje UODO w swoim komunikacie .

Spór pełen emocji

Jak zanacza organ, sprawa ta od początku "budziła wielkie emocje".

"Niektórzy zarzucali UODO, że decyzją tą uderza w brokerów danych, zajmujących się pozyskiwaniem i przetwarzaniem danych w celu ich dalszej odsprzedaży. UODO nie kwestionował jednak samego pozyskiwania danych z ogólnodostępnych rejestrów publicznych, ale po przeprowadzeniu postępowania administracyjnego uznał, że spółka nie poinformowała zdecydowanej większości osób, których dane pozyskała o tym, że stała się administratorem ich danych oraz o tym jak dalej zamierza je przetwarzać. Takie informacje otrzymali jedynie ci, do których spółka miała adresy e-mail" - uzasadnia UODO.

Zdaniem UODO, taka firma musi spełnić obowiązek informacyjny wobec osób, których dane są przetwarzane (określony w art. 14 RODO, czyli ogólnego rozporządzenia o ochronie danych osobowych) poprzez bezpośrednie ich o tym poinformowanie.

Przebieg sporu

Firma zaskarżyła tę decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie, który częściowo przyznał rację organowi.

Firma twierdziła, że nie posiada aktualnych adresów osób, których dane przetwarza. Zdaniem UODO, "trzeba wziąć pod uwagę, że RODO wymaga w szczególności, by dane osobowe były przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dotyczą, oraz by były prawidłowe i w razie potrzeby uaktualniane". Według sądu z kolei, to ściśle powiązane z obowiązkiem informacyjnym.

Skarga kasacyjna

Spółka wniosła skargę kasacyjną od tego wyroku zaznaczając, że "nie musiała spełniać obowiązku informacyjnego z wykorzystaniem tradycyjnej korespondencji lub telefonów z uwagi na wyłączenie z tego obowiązku ze względu na niewspółmiernie duży wysiłek”.

Jednak NSA potwierdził słuszność stanowiska przedstawionego w decyzji Prezesa UODO i wyroku Wojewódzkisego Sądu Administracyjnego, zgodnie z którym spółka powinna spełnić obowiązek informacyjny wobec osób prowadzących działalność gospodarczą, których dane pozyskała.

NSA podkreślił, że na podstawie RODO "zasadą jest transparentność przetwarzania, a wszelkie wyjątki od tej zasady, w tym wyjątek dotyczący zwolnienia z obowiązku poinformowania osób z uwagi na niewspółmiernie duży wysiłek należy interpretować zawężająco i co do zasady powinien być stosowany przy przetwarzaniu danych dla celów publicznych, w szczególności statystycznych, badawczych, archiwalnych czy historycznych".

Prezes UODO jest teraz zobowiązany do ponownego rozpatrzenia sprawy w zakresie, w jakim sąd uchylił decyzję administracyjną (dotyczącym przetwarzania danych osób prowadzących w przeszłości działalność gospodarczą oraz w zakresie wysokości nałożonej kary administracyjnej).

/NB

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].