Biznes i Finanse
UODO ma rację. NSA oddalił skargę spółki Bisnode
Naczelny Sąd Administracyjny przyznał rację Urzędowi Ochrony Danych Osobowych i oddalił skargę kasacyjną spółki Bisnode (obecnie to Dun & Bradstreet) od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie.
Sprawa spółki Bisnode była pierwszym przykładem nałożenia kary pieniężnej przez polski organ nadzorczy - UODO. Teraz - po ponad czterech latach - ma swój finał poprzez przyznanie racji urzędowi przez Naczelny Sąd Administracyjny.
Na firmę nałożono karę w wysokości nieco ponad 943 tys. zł za pozyskiwanie danych z ogólnodostępnych rejestrów publicznych, ale nie informowanie o tym osób, których dane przetwarzano. Tym samym te osoby nie mogły skorzystać np. z prawa sprostowania swoich danych czy sprzeciwić się wobec dalszego ich przetwarzania - podaje UODO w swoim komunikacie .
Spór pełen emocji
Jak zanacza organ, sprawa ta od początku "budziła wielkie emocje".
"Niektórzy zarzucali UODO, że decyzją tą uderza w brokerów danych, zajmujących się pozyskiwaniem i przetwarzaniem danych w celu ich dalszej odsprzedaży. UODO nie kwestionował jednak samego pozyskiwania danych z ogólnodostępnych rejestrów publicznych, ale po przeprowadzeniu postępowania administracyjnego uznał, że spółka nie poinformowała zdecydowanej większości osób, których dane pozyskała o tym, że stała się administratorem ich danych oraz o tym jak dalej zamierza je przetwarzać. Takie informacje otrzymali jedynie ci, do których spółka miała adresy e-mail" - uzasadnia UODO.
Czytaj też
Zdaniem UODO, taka firma musi spełnić obowiązek informacyjny wobec osób, których dane są przetwarzane (określony w art. 14 RODO, czyli ogólnego rozporządzenia o ochronie danych osobowych) poprzez bezpośrednie ich o tym poinformowanie.
Przebieg sporu
Firma zaskarżyła tę decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie, który częściowo przyznał rację organowi.
Firma twierdziła, że nie posiada aktualnych adresów osób, których dane przetwarza. Zdaniem UODO, "trzeba wziąć pod uwagę, że RODO wymaga w szczególności, by dane osobowe były przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dotyczą, oraz by były prawidłowe i w razie potrzeby uaktualniane". Według sądu z kolei, to ściśle powiązane z obowiązkiem informacyjnym.
Czytaj też
Skarga kasacyjna
Spółka wniosła skargę kasacyjną od tego wyroku zaznaczając, że "nie musiała spełniać obowiązku informacyjnego z wykorzystaniem tradycyjnej korespondencji lub telefonów z uwagi na wyłączenie z tego obowiązku ze względu na niewspółmiernie duży wysiłek”.
Jednak NSA potwierdził słuszność stanowiska przedstawionego w decyzji Prezesa UODO i wyroku Wojewódzkisego Sądu Administracyjnego, zgodnie z którym spółka powinna spełnić obowiązek informacyjny wobec osób prowadzących działalność gospodarczą, których dane pozyskała.
NSA podkreślił, że na podstawie RODO "zasadą jest transparentność przetwarzania, a wszelkie wyjątki od tej zasady, w tym wyjątek dotyczący zwolnienia z obowiązku poinformowania osób z uwagi na niewspółmiernie duży wysiłek należy interpretować zawężająco i co do zasady powinien być stosowany przy przetwarzaniu danych dla celów publicznych, w szczególności statystycznych, badawczych, archiwalnych czy historycznych".
Prezes UODO jest teraz zobowiązany do ponownego rozpatrzenia sprawy w zakresie, w jakim sąd uchylił decyzję administracyjną (dotyczącym przetwarzania danych osób prowadzących w przeszłości działalność gospodarczą oraz w zakresie wysokości nałożonej kary administracyjnej).
Czytaj też
/NB
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Haertle: Każdego da się zhakować
Materiał sponsorowany