Zapisz się do newslettera!

Chcesz być zawsze na bieżąco z tematyką bloga? Interesuje Cię praktyczna wiedza i jej źródła? Raz w miesiącu przesyłam informację o nowych wpisach z bloga oraz o praktycznych rozwiązaniach pojawiających się problemów. Żadnych obcych reklam.

Share this:

12 marca 2019

Decyzja Prezesa UODO – legalność przetwarzania danych publicznie dostępnych.

w kategorii Decyzje Prezesa UODO

Kierując się zawodową ciekawością wystąpiłem, w ramach dostępu do informacji publicznej, o kopię Decyzji Prezesa Urzędu Ochrony Danych Osobowych dotyczącej głośnego tematu powielania i udostępniania danych osobowych przetwarzanych w Krajowym Rejestrze Sądowym.

Zanim opiszę sprawę wskażę to, co w mojej ocenie, jest istotą tej decyzji Prezesa Urzędu Ochrony Danych Osobowych. Może się wydawać, że dla szerszego grona osób zainteresowanych prawem ochrony danych osobowych, będzie nią uzasadnienie wybrania przez administratora danych konkretnej podstawy prawnej przetwarzania danych osobowych. Jednak, moim zdaniem dużo praktyczniejszą informacją jest stanowisko oraz argumentacja dotycząca niemożliwości spełnienia obowiązku informacyjnego (art. 14 RODO) względem osób, których dane podlegają przetwarzaniu.

Przechodząc do przedstawienia sprawy zacznę od jej końca, czyli wskazania, że według Prezesa Urzędu Ochrony Danych, w tej konkretnej sprawie (str. 10 decyzji):

Czego dotyczy sprawa ?

W poprzednim miesiącu opublikowano, w jednym z serwisów internetowych artykuł dotyczący przetwarzania przez pewną Fundację danych osobowych pochodzących z jawnych rejestrów publicznych. Nie widząc powodu w ujawnianiu administratora danych, którego dotyczy przedmiotowa decyzja, nie wskażę odnośnika do omawianego artykułu. Jedynie zarysuję temat przedmiotowej skargi oraz co istotniejsze – konkretnych twierdzeń organu nadzorczego.

Przekazana decyzja Prezesa Urzędu Ochrony Danych Osobowych została tak głęboko zanonimizowana, że nie jestem wstanie powołać się na datę jej wydania (wiemy tylko, że styczeń 2019 r.), ani na jej sygnaturę. Mimo to bez problemów jesteśmy wstanie prześledzić stan faktyczny leżący u podstaw złożenia skargi oraz argumentacji administratora, a co najważniejsze stanowisko organu nadzorczego.

Omawiana decyzja organu nadzorczego dotyczy skargi złożonej przez osobę fizyczną w zakresie przetwarzania przez administratora jej danych osobowych uzyskanych z jawnego rejestru, w tym przypadku Krajowego Rejestru Sądowego. Skarżący domagał się w swojej skardze (str. 1 decyzji):

 

 

W trakcie postępowania administracyjnego organ nadzorczy ustalił, że zakres przetwarzanych przez administratora danych osobowych skarżącego dotyczy: imienia, nazwiska, numer ewidencyjnego PESEL (tej danej administrator nie publikował, ale pobierał z KRS, a więc przetwarzał), funkcji pełnionej w organach, które podlegają zgłoszeniu do KRSu (w tym przypadku w pięciu podmiotach). Powyższy zakres danych (bez numer PESEL, z którego można wyczytać datę urodzenia, wiek oraz płeć) jest do dzisiaj publikowany na stronach internetowych administratora danych i jest ogólnodostępny. Większy zakres danych osobowych skarżącego można cały czas odnaleźć na stronie Krajowego Rejestru Sądowego, albowiem jej numer PESEL jest podany do informacji publicznej.

Prawnie uzasadniony interes administratora ?

Przyjętą przez administratora podstawą prawną przetwarzania danych osobowych pochodzących z publicznego rejestru jest ich niezbędność do celów wynikających z prawnie uzasadnionych interesów (art. 6 ust. 1 lit f RODO) polegających na (str. 2 decyzji):

 

 

Tak wskazana podstawa prawna przetwarzania danych spotkała się z aprobatą Prezesa Urzędu Ochrony Danych Osobowych, który stwierdził (str. 7 decyzji):

 

 

oraz potwierdził, że (str. 8 decyzji):

 

 

Organ nadzorczy na potwierdzenie swojego stanowiska powołał orzeczenie NSA I OSK 1166/14, w którym Naczelny Sąd Administracyjny wskazał:

 

 

Jak widać z przytoczonej argumentacji NSA, mimo poprzedniego stanu prawnego w zakresie podstaw prawnych przetwarzania danych, charakter publikatora danych osobowych ma podstawowe znaczenie w ocenie legalności ich pozyskiwania oraz przetwarzania.

Niemożliwość wykonania obowiązku informacyjnego ?

Przechodząc do zagadnienia sprawy, które mnie najbardziej interesuję, a dotyczące wykonania wobec osoby, której dane dotyczą obowiązku informacyjnego (at. 14 ust. 1 i ust. 2 RODO) należy podkreślić, że administrator przetwarzał oraz wtórnie upublicznił „dziesiątki milionów rekordów” (str. 5 decyzji). Fakt ten stanowi, zdaniem organu nadzorczego, powód niemożliwości spełnienia obowiązku informacyjnego poprzez przesłanie jego treści do osób, których dane administrator przetwarza.

Logicznym i zasadnym argumentem organu nadzorczego stwierdzającego, że zgodnie z art. 14 ust. 5 lit b RODO, występuję w tym konkretnym przypadku, niemożliwość spełnienia obowiązku jest nie tylko olbrzymi zakres rekordów przetwarzanych przez administratora, lecz także wskazanie reguły minimalizacji danych (art. 5 ust. 1 lit c RODO). Administrator danych, w celu spełnienia obowiązku informacyjnego w sposób aktywny, a więc np. poprzez jego rozesłanie osobom, których dane przetwarza, musiałby pozyskać więcej danych osobowych niż są mu niezbędne do osiągnięcia celów w jakich przetwarzane dane oraz wykraczających poza zakres obecnie przetwarzanych danych (dane adresowe, str. 9 decyzji):

 

 

Z powyższego stanowisko Prezesa UODO nasuwa się wniosek, że ważnym zagadnieniem dla wszystkich administratorów danych powinno być poważne podejście do zasady minimalizacji przetwarzanych danych osobowych (art. 5 ust. 1 lit c RODO – dane muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane).

Uważam, że takie stanowisko Prezesa Urzędu Ochrony Danych Osobowych jest jak najbardziej prawidłowe nie tylko w świetle zasady minimalizacji danych, ale także w zakresie zdrowego rozsądku. Powinien on kierować osoby, których dane osobowe znajdują się w jawnych rejestrach, do wniosku, że ich dane będą przetwarzanie nie tylko przez operatorów wskazanych rejestrów, ale także przez inne podmioty dążące do podniesienia poziomu pewności obrotu gospodarczego.

Jeśli nie doręczenie obowiązku informacyjnego, to polityka prywatności ?

W omawianej decyzji dokument umieszczony na stronie internetowej administratora, a nazwany polityką prywatności nie stał się jedynie dokumentem wtórnym, jak w większości przypadków, ale stanowił sposób publicznego udostępnienia informacji – art. 14 ust. 5 lit b RODO (str. 10 decyzji):

 

 

Podsumowując, jeżeli jesteś administratorem i planujesz przetwarzać oraz udostępniać dane osobowe uzyskane z dostępnych publicznie źródeł rozważ:

  1. czy na pewno jesteś takim administratorem, który będzie wstanie wykazać prawnie uzasadniony interes,
  2. czy ilość przetwarzanych danych osobowych uniemożliwia wykonanie obowiązku informacyjnego,
  3. przyłóż dużą uwagę i staranność do zapisów polityki prywatności – jest to jedno z podstawowych kanałów komunikacji z osobami, których dane przetwarzasz i bierzesz za nie odpowiedzialność.

 

oraz pamiętaj, że w przedmiotowej sprawie strona skarżąca mogła wykorzystać swoje prawo do wniesienia skargi do WSA i jeżeli tak się stało to na pewno wrócę do tego zagadnienia.