Naczelny Sąd Administracyjny oddalił skargę kasacyjną spółki Bisnode od wyroku WSA w Warszawie. Podtrzymał tym samym stanowisko Urzędu Ochrony Danych Osobowych, według którego w przypadku danych osobowych pozyskiwanych z rejestrów publicznych należy spełnić obowiązek informacyjny RODO. Sprawa dotyczy pierwszej kary UODO wymierzonej w Polsce. Przedstawiamy przebieg całej sprawy.
Kara wymierzona spółce Bisnode (obecnie Dun & Bradstreet) była pierwszą nałożoną przez Prezesa Urzędu Ochrony Danych Osobowych. Spółkę wymierzono 943 tys. zł kary w związku z niespełnianiem obowiązku informacyjnego mimo pozyskiwania danych osobowych z ogólnodostępnych rejestrów publicznych takich jak KRS, CEIDG czy REGON. Kara była wysoka z uwagi na dużą liczbę osób, których dotyczyło naruszenie. Osoby te nie wiedziały m.in. o swoich uprawnieniach. Obowiązek informacyjny został spełniony jedynie wobec tych osób, których adresami e-mail dysponowała spółka.
Kara została wymierzona nie za samo pozyskiwanie danych osobowych z ogólnodostępnych rejestrów – takie działania były bowiem legalne. Problemem w ocenie UODO był brak realizacji obowiązku informacyjnego na dużą skalę.
Sprawa po skardze spółki trafiła do Wojewódzkiego Sądu Administracyjnego w Warszawie. Sąd ten w wyroku z 10 grudnia 2019 r. II SA/Wa 1030/19 częściowo uwzględnił skargę i uchylił prawie milionową karę. Mimo uchylenia kary uzasadnienie wyroku nie było korzystne dla spółki. Sąd uznał bowiem, że obowiązek informacyjny powinien być spełniony wobec osób, które w momencie wydania decyzji prowadziły działalność gospodarczą lub ją zawiesiły. Zakwestionował natomiast realizację tego obowiązku wobec byłych przedsiębiorców. Miał również zastrzeżenia co do wysokości kary.
Następnie spółka wniosła skargę kasacyjną do Naczelnego Sądu Administracyjnego. W uzasadnieniu skargi argumentowała, że nie musiała ona realizować obowiązku informacyjnego za pomocą korespondencji pocztowej lub telefonicznie. Powoływała się tu na wyłączenie obowiązku informacyjnego z uwagi na niewspółmiernie duży wysiłek. NSA nie zgodził się jednak z tym stanowiskiem. Podzielił tym samym argumentację organu nadzorczego, że wyjątki od obowiązku informacyjnego należy interpretować zawężająco. Co do zasady powinny być one stosowane jedynie do celów publicznych, w szczególności:
statystycznych,
badawczych,
archiwalnych,
historycznych.
Uzasadnienie wyroku NSA nie zostało jeszcze opublikowane. Po publikacji przeprowadzimy jego analizę.
Nadal natomiast nie rozpatrzono ponownie sprawy w zakresie objętym uchyleniem decyzji UODO. Chodzi tu o przetwarzanie danych osób, które już nie prowadziły działalności gospodarczej, a także kwestię wysokości kary. Nadal czekamy więc na decyzję organu nadzorczego w tych kwestiach.
wyrok Naczelnego Sądu Administracyjnego z 19 września 2023 r. III OSK 2538/21
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
