Jest decyzja sądu w sprawie pierwszej kary RODO w Polsce

Decyzja Naczelnego Sądu Administracyjnego

Po upływie ponad czterech lat zakończyła się sprawa dotycząca pierwszej kary pieniężnej nałożonej przez polski organ nadzorczy na spółkę Bisnode. Firma ta gromadziła informacje z publicznie dostępnych rejestrów, jednak nie informowała osób, których dane były przetwarzane. W związku z tym te osoby nie były świadome, że ich dane są przetwarzane przez administratora, co pozbawiło je możliwości skorzystania z przysługujących im praw, takich jak sprostowanie danych.

Zarzuty wobec OpenAI, twórcy ChatGPT. Chodzi o ochronę danych osobowych Monika Świetlińska

- Sprawa ta od początku budziła wielkie emocje. Niektórzy zarzucali UODO, że decyzją tą uderza w brokerów danych, zajmujących się pozyskiwaniem i przetwarzaniem danych w celu ich dalszej odsprzedaży. UODO nie kwestionował jednak samego pozyskiwania danych z ogólnodostępnych rejestrów publicznych, ale po przeprowadzeniu postępowania administracyjnego uznał, że spółka nie poinformowała zdecydowanej większości osób, których dane pozyskała o tym, że stała się administratorem ich  danych oraz o tym jak dalej zamierza je przetwarzać. Takie informacje otrzymali jedynie ci, do których spółka miała adresy e-mail - przekazał Adam Sanocki, rzecznik prasowy UODO.

Stanowisko Urzędu Ochrony Danych Osobowych

Według UODO, firmy zbierające dane z publicznych rejestrów muszą poinformować osoby, których dane dotyczą, zgodnie z art. 14 RODO. Spółka odwołała się od tej decyzji do WSA w Warszawie. 

- Spółka zaskarżyła tę decyzję do WSA w Warszawie, który częściowo przyznał rację organowi (sygn. II SA/Wa 1030/19). Sąd uznał, że spółka była zobligowana do spełnienia obowiązku informacyjnego wynikającego z art. 14 RODO, ale tylko wobec osób, które w momencie jej wydania aktywnie prowadziły działalność gospodarczą lub ją zawiesiły. Decyzja UODO odnosiła się jednak nie tylko do tych osób, ale także osób, które prowadziły w przeszłości taką działalność i WSA uchylił decyzję w zakresie nakazu spełnienia  obowiązku informacyjnego wobec tej grupy osób. Ponieważ liczba osób, których prawa naruszono, miała wpływ na wymiar kary, sąd uchylił decyzję także w części dotyczącej nałożenia kary administracyjnej — poinformował rzecznik prasowy UODO.

Transparentność przetwarzania danych według RODO

Spółka wniosła jednak skargę kasacyjną od tego wyroku akcentując, że nie musiała spełniać obowiązku informacyjnego z wykorzystaniem tradycyjnej korespondencji lub telefonów z uwagi na wyłączenie z tego obowiązku ze względu na „niewspółmiernie duży wysiłek”.

https://www.politykabezpieczenstwa.pl/pl/a/9-18-2023-security-magazineMonika Świetlińska

NSA jednak potwierdził słuszność stanowiska przedstawionego w decyzji Prezesa UODO, jak i wyroku WSA, zgodnie z którym spółka powinna spełnić obowiązek informacyjny wobec osób prowadzących działalność gospodarczą których dane pozyskała.

- NSA podkreślił, że na gruncie RODO zasadą jest transparentność przetwarzania, a wszelkie wyjątki od tej zasady, w tym  wyjątek dotyczący zwolnienia z obowiązku poinformowania osób z uwagi na „niewspółmiernie duży wysiłek” należy interpretować zawężająco i co do zasady powinien być stosowany przy przetwarzaniu danych dla celów publicznych, w szczególności statystycznych, badawczych, archiwalnych czy historycznych - przekazał Adam Sanocki.

NSA potwierdził stanowisko UODO i WSA, podkreślając, że zgodnie z RODO, transparentność przetwarzania danych jest priorytetem. Wyjątki od tej zasady, takie jak "niewspółmiernie duży wysiłek", powinny być interpretowane wąsko.

Teraz Prezes UODO musi ponownie rozpatrzyć sprawę w zakresie dotyczącym przetwarzania danych osób, które w przeszłości prowadziły działalność gospodarczą oraz w zakresie wysokości nałożonej kary.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.