Osoby zarządzające spółkami czy też fundacjami tylko w szczególnych sytuacjach mogą żądać usunięcia swych danych z baz biznesowych. I to nawet wówczas, gdy przestały już pełnić funkcje.
Na polskim rynku działa sporo firm oferujących możliwość sprawdzania kontrahentów. Obok bardziej szczegółowych informacji na temat choćby kondycji finansowej prezentują również podstawowe dane o osobach wchodzących w skład zarządów czy rad nadzorczych spółek. To jawne dane, do których każdy ma dostęp poprzez Krajowy Rejestr Sądowy. Wspomniane bazy biznesowe wykorzystują to w ramach ponownego wykorzystania informacji sektora publicznego, wzbogacając chociażby o możliwość budowania siatek powiązań.
Nie wszystkim odpowiada, że ich imię i nazwisko, a także numer PESEL są przetwarzane i każdy może mieć do ich dostęp. Powodów jest wiele – od zwykłej potrzeby prywatności po chęć odcięcia się od jakiejś działalności, zwłaszcza gdy ta z jakichś względów okazała się niezbyt chlubna.

Szczególna sytuacja

Zniknięcie z samego KRS jest niemożliwe. Orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej potwierdza, że prawo do bycia zapomnianym nie dotyczy publicznych rejestrów. Taki wyrok TSUE wydał w sprawie Włocha, których domagał się usunięcia informacji o tym, że był prezesem spółki, która zbankrutowała. Jego zdaniem to właśnie z tego powodu nie szły mu interesy i nie mógł sprzedać budynku, którym zarządzał. Trybunał uznał, że priorytetem powinna być jawność. Państwa członkowskie mogą jedynie wprowadzić wewnętrzne regulacje pozwalające na usuwanie danych w wyjątkowo uzasadnionych sytuacjach i po upływie wystarczająco długiego czasu od likwidacji spółki (wyrok z 9 marca 2017 r. w sprawie C-398/15).
Można natomiast domagać się wykasowania danych bezpośrednio od firm czy organizacji prowadzących bazy wykorzystujące dane z KRS. Nie zawsze jednak żądanie to zostanie spełnione.
– Zgodnie z art. 21 ust. 1 RODO prawo do sprzeciwu wobec przetwarzania swoich danych przysługuje wyłącznie z przyczyn związanych z naszą szczególną sytuacją. Ta szczególna sytuacja nie została nigdzie zdefiniowana. Teoretycznie może to być np. nieaktualność danych, gdy nie jesteśmy już członkiem władz danego podmiotu. Tyle że prezentowanie informacji historycznych także ma ogromne znaczenie dla transparentności obrotu prawnego i jawności życia publicznego, więc samo odejście z władz raczej będzie zbyt słabym argumentem – zauważa dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński.
W praktyce więc to administrator danych osobowych musi każdorazowo podjąć decyzję, czy sprzeciw zasługuje na uwzględnienie, czy też nie. Na szali z jednej strony mamy prawo do prywatności konkretnej osoby, a z drugiej – wartości takie jak jawność życia publicznego czy pewność obrotu prawnego.
– Musimy więc sięgnąć do testu równowagi i zastanowić się, czyj interes będzie przeważał – transparentność społeczna i gospodarcza czy prawo do uznania szczególnej sytuacji kogoś, kto wnosi sprzeciw – zwraca uwagę Tomasz Osiej, radca prawny z kancelarii Osiej i Partnerzy.
Większość administratorów uznaje prymat interesu publicznego nad prawem do prywatności i uznaje, że to osoba zgłaszająca sprzeciw powinna dowieść swej szczególnej sytuacji. Wychodzą bowiem z założenia, że podstawową zasadą powinna być jednak jawność życia publicznego, a ewentualne odstępstwa od niej są wyjątkiem.
Niektórzy prawnicy uważają, że takie podejście nie jest właściwe.
– Co do zasady administrator zawsze powinien uwzględnić sprzeciw, chyba że wykaże doniosły interes społeczny, ale nie dzieje się to ani automatycznie, ani przez napisanie tego na swojej stronie internetowej. Taką analizę musi przeprowadzić administrator. Warte zauważenia jest, że szczególna sytuacja to nie jest jakiś skrajny przypadek, np. zagrożenia, ale i dyskomfort wynikający z wykorzystywania danych. Innymi słowy, to nie podmiot danych udowadnia, że ma szczególną sytuację, ale administrator analizuje, czy jego prawo do posiadania danych jest silniejsze – uważa Tomasz Osiej.

Sprzeciw rzadko skuteczny

Jedną z opisywanych baz prowadzi Fundacja ePaństwo (Rejestr.io). Rocznie otrzymuje ona ok. 300 żądań usunięcia danych. Dotychczas uwzględniła tylko kilka z nich, gdy rzeczywiście chodziło o szczególne sytuacje (np. działalność w strukturach związków zawodowych). W zdecydowanej większości odmawia.
– Potrzeba ochrony prywatności nie przeważa nad potrzebą przetwarzania danych administratora, wyrażającą się w zapewnieniu społeczeństwu łatwego dostępu do ww. informacji – dla wspierania jawności i pewności obrotu gospodarczego – zauważa Monika Kajalidis, ekspert ds. polityki publicznej, Fundacja ePaństwo.
– Większość spraw kończy się na etapie e-mailowej korespondencji ze skarżącymi. Około 10 proc. z nich trafia do prezesa Urzędu Ochrony Danych Osobowych, który jednak przeważnie uznaje rację naszej fundacji i odmawia uwzględnienia żądania usunięcia danych osobowych – dodaje.
Czasem jednak prezes UODO uznaje, że sprzeciw wobec przetwarzania danych zasługuje na uwzględnienie. Tak było w sprawie pewnej osoby, która dzisiaj sprawuje funkcję publiczną. W przeszłości zasiadała w strukturach trzech organizacji o dość charakterystycznej działalności, co dzisiaj wolałaby ukryć.
– Fundacja odmówiła uwzględnienia tego wniosku i nie usunęła danych osobowych z serwisu Rejestr.io. Sprawa trafiła do prezesa UODO, który uznał skargę za zasadną. Decyzja była o tyle zaskakująca, że w innych sprawach przyznawał nam prawo do przetwarzania i publikowania danych osobowych. W efekcie fundacja skierowała sprawę do sądu administracyjnego, który przyznał nam rację. Z wyrokiem tym nie zgodził się prezes UODO, który w styczniu 2020 r. złożył skargę kasacyjną do NSA – mówi Monika Kajalidis.
Niektórzy uważają, że firmy czy fundacje nie mają prawa przetwarzać danych bez ich zgody. Decyzje prezesa UODO oraz wyroki sądów nie wskazują jednak, by zgoda taka była wymagana. Badając skargi dotyczące administratorów baz, nigdy nie zakwestionowali oni podstawy prawnej do przetwarzania danych.
– W chwili obecnej zarówno UODO, jak i sądy zdają się więc akceptować przesłankę prawnie uzasadnionego interesu, choć moim zdaniem w przypadku celu komercyjnego nie jest ona oczywista – przyznaje Tomasz Osiej.
Wyrok w głośnej sprawie firmy Bisnode (sygn. akt II SA/Wa 1030/19) wskazuje natomiast, że osoby, których dane są przetwarzane, powinny zostać poinformowane o tym fakcie.
DGP