W marcu 2019 roku polski organ nadzorczy (w rozumieniu przepisów dot. ochrony danych osobowych), to jest Urząd Ochrony Danych Osobowych (UODO) nałożył pierwszą w Polsce karę pieniężną (niemal milion złotych) z tytułu naruszenia zasad ochrony danych osobowych na gruncie przepisów ogólnego rozporządzenie o ochronie danych RODO.
Kara została nałożona na spółkę Bisnode (obecnie Dun & Bradstreet), która oferowała usługi sprawdzania kontrahentów, w tym przedsiębiorców jednoosobowych. Dane znajdujące się w rękach spółki były pozyskiwane także ze źródeł publicznie dostępnych, m.in. z Centralnej Ewidencji i Informacji Działalności Gospodarczej (CEiDG).
UODO nie kwestionował samego pozyskiwania danych z ogólnodostępnych rejestrów publicznych, ale po przeprowadzeniu postępowania administracyjnego uznał, że spółka nie poinformowała zdecydowanej większości osób, których dane pozyskała, o tym, że stała się administratorem ich danych oraz o tym, jak dalej zamierza je przetwarzać. Spółka poinformowała o tym tylko część przedsiębiorców, tzn. tych, którzy podali swój e-mail w CEIDG.
Zdaniem UODO, spółka, pozyskując dane osobowe z ogólnodostępnych rejestrów publicznych (np. KRS, CEIDG, REGON), musi spełnić obowiązek informacyjny wobec tych osób określony w art. 14 RODO poprzez bezpośrednie przekazanie informacji osobie, której dane dotyczą.
UODO uznał, że spółka mogła poinformować przedsiębiorców o przetwarzaniu ich danych m.in. telefonicznie albo korespondencyjnie (w CEIDG są dane, które to umożliwiają). Uznano również, że naruszenie miało charakter umyślny, bowiem spółka doskonale wiedziała, jakiego obowiązku nie spełnia i nie podjęła żadnych działań zmierzających do usunięcia naruszenia.
Spółka zaskarżyła decyzję UODO, wnosząc skargę do Wojewódzkiego Sądu Administracyjnego (WSA) w Warszawie.
WSA uznał, że spółka była zobligowana do spełnienia obowiązku informacyjnego wynikającego z art. 14 RODO, ale tylko wobec osób, które w momencie jej wydania aktywnie prowadziły działalność gospodarczą lub ją zawiesiły. Decyzja UODO odnosiła się jednak nie tylko do tych osób, ale także osób, które prowadziły w przeszłości taką działalność. Wobec tego WSA uchylił decyzję UODO w zakresie nakazu spełnienia obowiązku informacyjnego wobec tej grupy osób. Ponieważ liczba osób, których prawa naruszono, miała wpływ na wymiar kary, WSA uchylił decyzję UODO także w części dotyczącej nałożenia kary administracyjnej. WSA wskazał w szczególności, że w kontekście okoliczności podniesionej przez spółkę w skardze, co do braku dysponowania aktualnymi adresami osób fizycznych, które w przeszłości prowadziły jednoosobową działalność gospodarczą (zaprzestały wykonywania działalności), ustalenia UODO, co do możliwości realizacji obowiązku przekazania tym osobom stosownej informacji wymagały będą wcześniejszego dokonania przez UODO ustaleń co do zgodności przetwarzania (przechowywania, wykorzystywania, ujawniania, udostępniania) tych danych z prawem unijnym – RODO. Skoro spółka twierdzi, że nie posiada aktualnych adresów tych osób fizycznych, których dane przetwarza, to trzeba wziąć pod uwagę, że RODO wymaga w szczególności, by dane osobowe były przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dotyczą, oraz by były prawidłowe i w razie potrzeby uaktualniane. Zdaniem WSA powyższe jest ściśle powiązane z obowiązkiem informacyjnym, a UODO ponownie rozpoznając sprawę zobowiązany będzie uwzględnić te wskazania sądu.
Spółka wniosła jednak skargę kasacyjną od tego wyroku WSA podnosząc, że nie musiała spełniać obowiązku informacyjnego z wykorzystaniem tradycyjnej korespondencji lub telefonów, powołując się na art. 14 pkt 5 lit b RODO, który stanowi, iż obowiązek informowania nie musi być spełniony jeśli “wymagałoby niewspółmiernie dużego wysiłku”.
19 września 2023 roku Naczelny Sąd Administracyjny (NSA) oddalił skargę kasacyjną spółki Bisnode (obecnie Dun & Bradstreet) od wyroku WSA w Warszawie. NSA nie przychylił się do rozumowania prezentowanego przez spółkę i potwierdził słuszność stanowiska UODO.
Zdaniem NSA podstawową zasadą jest transparentność przetwarzania. Przepis dotyczący “niewspółmiernego wysiłku” to wyjątek, a wyjątki należy interpretować zawężająco. Branie pod uwagę “niewspółmiernego wysiłku” miałoby sens np. przy przetwarzaniu danych dla celów publicznych, statystycznych, badawczych, archiwalnych czy historycznych. Spółka jest jednak firmą, która pobiera dane, zarabia na nich. Skoro chce to robić zgodnie z prawem, nie powinna bazować na wyjątkach.
Jednakże to nie kończy jeszcze sprawy. Teraz Prezes UODO zobowiązany jest ponownie rozpatrzyć sprawę w zakresie w jakim WSA uchylił decyzję administracyjną, tj. w zakresie dotyczącym przetwarzania danych osób prowadzących w przeszłości działalność gospodarczą oraz w zakresie wysokości nałożonej kary administracyjnej.