Naczelny Sąd Administracyjny oddalił skargę kasacyjną spółki Bisnode od wyroku WSA w Warszawie. Podtrzymał tym samym stanowisko Urzędu Ochrony Danych Osobowych, według którego w przypadku danych osobowych pozyskiwanych z rejestrów publicznych należy spełnić obowiązek informacyjny RODO. Sprawa dotyczy pierwszej kary UODO wymierzonej w Polsce. Przedstawiamy przebieg całej sprawy.
Kara wymierzona spółce Bisnode (obecnie Dun & Bradstreet) była pierwszą nałożoną przez Prezesa Urzędu Ochrony Danych Osobowych. Spółkę wymierzono 943 tys. zł kary w związku z niespełnianiem obowiązku informacyjnego mimo pozyskiwania danych osobowych z ogólnodostępnych rejestrów publicznych takich jak KRS, CEIDG czy REGON. Kara była wysoka z uwagi na dużą liczbę osób, których dotyczyło naruszenie. Osoby te nie wiedziały m.in. o swoich uprawnieniach. Obowiązek informacyjny został spełniony jedynie wobec tych osób, których adresami e-mail dysponowała spółka.
Kara została wymierzona nie za samo pozyskiwanie danych osobowych z ogólnodostępnych rejestrów – takie działania były bowiem legalne. Problemem w ocenie UODO był brak realizacji obowiązku informacyjnego na dużą skalę.
Sprawa po skardze spółki trafiła do Wojewódzkiego Sądu Administracyjnego w Warszawie. Sąd ten w wyroku z 10 grudnia 2019 r. II SA/Wa 1030/19 częściowo uwzględnił skargę i uchylił prawie milionową karę. Mimo uchylenia kary uzasadnienie wyroku nie było korzystne dla spółki. Sąd uznał bowiem, że obowiązek informacyjny powinien być spełniony wobec osób, które w momencie wydania decyzji prowadziły działalność gospodarczą lub ją zawiesiły. Zakwestionował natomiast realizację tego obowiązku wobec byłych przedsiębiorców. Miał również zastrzeżenia co do wysokości kary.
Następnie spółka wniosła skargę kasacyjną do Naczelnego Sądu Administracyjnego. W uzasadnieniu skargi argumentowała, że nie musiała ona realizować obowiązku informacyjnego za pomocą korespondencji pocztowej lub telefonicznie. Powoływała się tu na wyłączenie obowiązku informacyjnego z uwagi na niewspółmiernie duży wysiłek. NSA nie zgodził się jednak z tym stanowiskiem. Podzielił tym samym argumentację organu nadzorczego, że wyjątki od obowiązku informacyjnego należy interpretować zawężająco. Co do zasady powinny być one stosowane jedynie do celów publicznych, w szczególności:
statystycznych,
badawczych,
archiwalnych,
historycznych.
Uzasadnienie wyroku NSA nie zostało jeszcze opublikowane. Po publikacji przeprowadzimy jego analizę.
Nadal natomiast nie rozpatrzono ponownie sprawy w zakresie objętym uchyleniem decyzji UODO. Chodzi tu o przetwarzanie danych osób, które już nie prowadziły działalności gospodarczej, a także kwestię wysokości kary. Nadal czekamy więc na decyzję organu nadzorczego w tych kwestiach.
wyrok Naczelnego Sądu Administracyjnego z 19 września 2023 r. III OSK 2538/21
Z wideoszkolenia dowiesz się m.in.:
Szkolenie prowadzi Agnieszka Wachowska, radczyni prawna, Co-Managing Partners, Szefowa zespołu IT-Tech w TKP
© Portal Poradyodo.pl
