Wolno gromadzić dane osobowe członków zarządów firm – w tym ich numery PESEL – i udostępniać je odpłatnie na portalu w internecie. Uznał tak prezes UODO w przełomowej decyzji.
Właściciele witryn powielających dane np. z KRS nie muszą informować o tym osób, których te informacje dotyczą. Ani respektować ich prawa do sprzeciwuTak wynika z decyzji prezesa Urzędu Ochrony Danych Osobowych w sprawie portalu Rejestr.io prowadzonego przez Fundację ePaństwo. Oznacza to, że gdy istnieje uzasadniony interes administratora do duplikowania rejestrów takich jak np. KRS czy MSiG, to nie ma on konieczności spełnienia obowiązku informacyjnego.
– Decyzja UODO to prawdziwa rewolucja i przesądzenie na korzyść administratorów tego, o co biła się latami spółka Info Veriti. Skopiowała ona cały KRS i z tego powodu GIODO (poprzednik UODO) nakazał jej pozyskanie z MSW i ich bazy PESEL adresów zainteresowanych osób, by poinformować je o przetwarzaniu ich danych – komentuje decyzję UODO dr Paweł Litwiński, adwokat reprezentujący fundację. Wtóruje mu Magdalena Siwanowicz-Suska, radca prawny w Fundacji ePaństwo, która podkreśla, że gdyby decyzja UODO była inna, to w grę wchodziłaby konieczność spełnienia obowiązku informacyjnego względem nawet 2 mln osób. Tymczasem za wystarczające zostało uznane publiczne udostępnienie tych informacji przez fundację w formie polityki prywatności na stronie internetowej.
W decyzji prezes UODO stwierdził również, że w przypadku kopiowania rejestrów publicznych nie trzeba respektować prawa do sprzeciwu osoby, o ile nie wykaże ona istnienia szczególnej sytuacji uzasadniającej żądanie przetwarzania jej danych osobowych przez administratora. Nie wystarczy jednak stwierdzić, że przez rejestr możliwe jest uzyskanie informacji np. o wieku osoby już z poziomu przeglądarki internetowej, a nie przeglądarki rejestru publicznego.
Zdaniem ekspertów opisywana przez nas decyzja może w praktyce dawać zielone światło także innym administratorom przetwarzającym dane osobowe z rejestrów publicznych i umożliwiających dokonywanie ocen specjalistów, tj. lekarzy czy prawników.
Nie wszyscy doceniają jednak tak liberalne podejście organu nadzorczego. – Moim zdaniem jest to stawianie celów administratorów ponad ochroną praw oraz wolności osób i budzi moje obawy nie tylko w związku z rozporządzeniem RODO, lecz także Konstytucją RP – ocenia mec. Andrzej Lewiński, zastępca GIODO w latach 2006–2016.
Sprawa, do której właśnie odniósł się prezes Urzędu Ochrony Danych Osobowych (UODO), zaczęła się w 2016 r., czyli jeszcze w czasie obowiązywania poprzedniego ustawodawstwa. Wówczas do Biura Generalnego Inspektora Ochrony Danych Osobowych (poprzednik prezesa UODO) wpłynęła skarga obywatela na przetwarzanie jego danych osobowych przez Fundację ePaństwo. Organizacja przetwarzała bowiem dane osobowe między innymi skarżącego w portalu internetowym Rejestr.io. Nie spełniła zaś obowiązków informacyjnych, o których była mowa w ówczesnej ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.), oraz nie zaprzestała przetwarzania danych po wezwaniu skarżącego.
Funkcjonalność portalu stworzonego przez fundację opierała się na uzyskaniu prostego dostępu do danych powszechnie dostępnych i ujawnianych w Krajowym Rejestrze Sądowym. Organizacja pobierała za część świadczonych przez siebie usług pieniądze.
Pojawiło się zatem pytanie, czy prywatny podmiot może przetwarzać dane osób ujawnionych w KRS, w tym numery PESEL, bez poinformowania o tym tych, których dane są przetwarzane?
Urząd: to dozwolone
Prezes UODO w decyzji z 30 stycznia 2019 r. – oceniając sprawę już przez pryzmat unijnego rozporządzenia o ochronie danych osobowych (RODO) – stwierdził, że jest to dozwolone. Organ przypomniał, że zgodnie z art. 6 ust. 1 lit. f RODO przetwarzanie danych jest zgodne z prawem, gdy jest ono niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą.
Prezes UODO w wydanej decyzji podkreśla, że fundacja – zgodnie z tym, co sama wskazała – działa na rzecz rozwoju demokracji oraz krzewi wiedzę o dostępie do informacji publicznej. A jednym z elementów takiej działalności jest właśnie udostępnianie obywatelom w prowadzonym serwisie internetowym danych pochodzących z powszechnie dostępnych źródeł.
„Tak określone cele i zadania fundacji mają bez wątpienia prawnie usprawiedliwiony charakter” – czytamy w decyzji. Trudno zarazem sobie wyobrazić sytuację, w której fundacja mogłaby prowadzić wskazaną działalność bez przetwarzania danych osób ujawnionych w KRS-ie. I – jak podkreślił prezes UODO – poinformowanie wszystkich o zamiarze przetwarzania danych wymagałoby niewspółmiernie dużego wysiłku (art. 14 ust. 5 lit. b RODO).
Są jednak wątpliwości
Prawnicy są podzieleni w ocenie wydanego rozstrzygnięcia. Doktor Paweł Litwiński, adwokat w kancelarii Barta Litwiński, reprezentujący w tej sprawie Fundację ePaństwo, uważa, że ocena UODO w kontekście spełniania obowiązku informacyjnego jest wręcz rewolucyjna.
– Urząd wprost stwierdził bowiem, że jeżeli podmiot przetwarza dane osobowe z publicznych rejestrów (imię, nazwisko i PESEL bez danych kontaktowych typu adres czy nr telefonu), to wówczas jest zwolniony z obowiązku informacyjnego. To przesądzenie tego, o co biła się latami chociażby spółka Info Veriti, która skopiowała dane z KRS i z tego powodu GIODO nakazał jej wykonanie obowiązku informacyjnego wobec osób, których dane pozyskała, co oznaczałoby w skrajnym przypadku konieczność pozyskania ich adresów z bazy PESEL – przypomina dr Litwiński. Koszt takiej operacji sięgałby kilkudziesięciu milionów złotych.
Doktor Litwiński zauważa również, że osobom ujawnionym w KRS-ie nie przysługuje prawo do bycia zapomnianym. Raz, że w grę wchodzi ważny interes publiczny, a dwa – skoro nie można ot tak zniknąć z rejestru publicznego, o czym przesądził TSUE w wyroku z 9 marca 2017 r. w sprawie Salvatore Manniego (sygn. akt C-398/15), to nie można zniknąć z kopii takowego rejestru przetwarzanej w tym samym celu.
Zastrzeżenie do decyzji prezesa UODO ma radca prawny Andrzej Lewiński, zastępca GIODO w latach 2006–2016, obecnie prezes Fundacji im. Józefa Wybickiego oraz przewodniczący komitetu ds. ochrony danych osobowych Krajowej Izby Gospodarczej. Docenia rolę publicznie dostępnych rejestrów i pochwala cel działalności Fundacji ePaństwo, ale…
– Zarazem jednak mam wątpliwości, czy skoro rejestry publiczne są jawne, istnieje potrzeba tworzenia ich odbić. Zwłaszcza że witryna fundacji idzie o krok dalej i za jej pośrednictwem, w zamian za 99 zł miesięcznie, można dokonywać analiz powiązań pomiędzy podmiotami ujawnionymi w KRS – wskazuje mec. Lewiński. I dodaje, że choć bynajmniej nie chce odbierać prawa dostępu fundacji do wykorzystywania danych z KRS, to zarazem przetwarzanie danych powinno wiązać się ze spełnieniem obowiązku informacyjnego i umożliwiać prawo do sprzeciwu z art. 21 RODO. – To dla mnie niepojęte, że fundacja stosuje profilowanie w oparciu o przetwarzane numery PESEL, prezentuje odpłatnie dane historyczne (w tym dane o wyrokach sądów gospodarczych z publicznych rejestrów), a nie dość, że nie spełnia obowiązku informacyjnego, to na dodatek nie uwzględnia prawa do sprzeciwu. Moim zdaniem jest to stawianie celów fundacji ponad ochronę praw i wolności osoby i budzi moje obawy nie tylko w związku z rozporządzeniem RODO, lecz także Konstytucją RP – podkreśla mec. Lewiński.
Z wydanej decyzji UODO można wysnuć wniosek, że analogicznie dopuszczalne byłoby prowadzenie witryny z danymi pracowników konkretnej firmy lub np. lekarzami. Warunkiem jest jednak to, by informacje o nich były dostępne w publicznym rejestrze, a przetwarzający je podmiot bazował nie na czymś nowym, lecz na dobrze zorganizowanym systemie teleinformatycznym, umożliwiającym np. prostsze łączenie poszczególnych rekordów. Jeżeli jednak administrator zdecyduje się zbierać dane np. z wizytówek lub baz danych, to wówczas – zdaniem ekspertów – będzie musiał spełnić zarówno obowiązek informacyjny, jak i respektować prawo do sprzeciwu (art. 21 RODO).