Pierwsza kara RODO w Polsce. Saga która trwa do dziś.
Share
Marzec 2019. UODO nakłada pierwszą karę. Firma odwołuje się do sądu. Mija rok. Mija pięć lat. Sprawa wciąż nie jest zamknięta. A lekcja z niej wynika prostsza niż ktokolwiek oczekiwał.
Jest taka sprawa w polskim RODO której nie można pominąć.
Nie dlatego że kara była rekordowa – bo nie była. Nie dlatego że wyciekły dane milionów klientów – bo nie wyciekły. Dlatego że była pierwsza. I dlatego że pokazała coś czego wtedy nikt nie chciał usłyszeć: obowiązek informacyjny to nie formalność do odhaczenia.
A Bisnode Polska postanowiła sprawdzić czy naprawdę.
Kim był Bisnode i co robił z danymi
Bisnode to wywiadownia gospodarcza która oferowała usługi sprawdzania kontrahentów, w tym przedsiębiorców jednoosobowych.
Model biznesowy był prosty i powszechny w branży. Pobierasz dane z publicznych rejestrów – KRS, CEIDG, REGON – budujesz bazę, sprzedajesz dostęp firmom które chcą zweryfikować kontrahenta. Legalnie, przejrzyście, z wartością dla rynku.
Problem polegał na jednym szczególe.
Samo wcześniejsze opublikowanie danych w CEIDG nie oznacza że można je po prostu pobrać, włożyć do innej bazy i dalej przetwarzać. Trzeba spełnić warunki nakładane przez RODO, a jednym z tych warunków jest poinformowanie ludzi o tym że ich dane są w ten sposób przetwarzane. Już ostatnio pisałem - JDG i Spólki cywilne nie posiadają osobowości prawnej. Traktuje się je jak osoby fizyczne a wobec nich trzeba spełnić wymogi z RODO np. klauzulę informacyjną.
Bisnode poinformował. Ale nie wszystkich.
Firma wysyłała maile do przedsiębiorców z bazy, ale nie poinformowała o przetwarzaniu danych osobowych przedsiębiorców którzy nie podali w bazie CEIDG swojego adresu email, wskazując na to że przesłanie klauzuli informacyjnej pocztą wymagałoby niewspółmiernie dużego wysiłku.
W bazie Bisnode było blisko 6 milionów osób. Firma poinformowała około 90 tysięcy – tych którzy mieli maila w rejestrze. Pozostałe 5,9 miliona osób – nieaktywnych mailowo w CEIDG – nie dowiedziało się nic.
Marzec 2019. Pierwsza kara.
Urząd Ochrony Danych Osobowych nałożył pierwszą karę za naruszenie przepisów o ochronie danych osobowych. Na Bisnode Polska została nałożona kara w wysokości 943 tys. złotych
Branża zamarła.
Nie dlatego że kara była wysoka. Dlatego że argument Bisnode wydawał się intuicyjnie sensowny. Poinformowanie 6 milionów osób listownie – przy koszcie przesyłki – to operacja wartości kilkudziesięciu milionów złotych. Spółka szacowała wówczas że przeprowadzenie takiej operacji kosztowałoby ją nawet 30 mln zł.
Trzydzieści milionów za spełnienie obowiązku informacyjnego. Wobec kary dziesięć razy mniejszej.
Grudzień 2019. WSA uchyla karę. Wszyscy się mylą co do tego co to znaczy.
Bisnode zaskarżył decyzję do Wojewódzkiego Sądu Administracyjnego. W grudniu 2019 sąd wydał wyrok który media i komentatorzy odczytali jako zwycięstwo firmy.
Nie było to zwycięstwo firmy.
Uchylił decyzję z powodów proceduralnych – UODO objął nią zbyt szeroki zakres osób wliczając byłych przedsiębiorców którzy zamknęli działalność i do których dotarcie byłoby faktycznie problematyczne. W zakresie aktywnych i zawieszonych przedsiębiorców – UODO miał rację.
Wrzesień 2023. NSA zamyka dyskusję.
Po ponad czterech latach swój finał ma sprawa związana z nałożeniem pierwszej kary pieniężnej przez polski organ nadzorczy. Naczelny Sąd Administracyjny oddalił skargę kasacyjną spółki Bisnode od wyroku Wojewódzkiego Sądu Administracyjnego.
NSA potwierdził słuszność stanowiska przedstawionego w decyzji Prezesa UODO i wyroku WSA, zgodnie z którym spółka powinna spełnić obowiązek informacyjny wobec osób prowadzących działalność gospodarczą których dane pozyskała. NSA podkreślił że na gruncie RODO zasadą jest transparentność przetwarzania, a wszelkie wyjątki od tej zasady w tym wyjątek dotyczący zwolnienia z obowiązku poinformowania osób z uwagi na "niewspółmiernie duży wysiłek" należy interpretować zawężająco.
Wyjątek dla niewspółmiernie dużego wysiłku istnieje. Ale jest wyjątkiem dla danych przetwarzanych dla celów publicznych, statystycznych, badawczych, archiwalnych. Nie dla brokera danych który buduje bazę w celach komercyjnych.
Co oznaczało "niewspółmiernie duży wysiłek" – i czym nie jest
To jest centralne pytanie tej sprawy i warto je rozstrzygnąć precyzyjnie.
Art. 14 ust. 5 lit. b RODO zwalnia administratora z obowiązku informacyjnego gdy okazałoby się on "niemożliwy lub wymagałby niewspółmiernie dużego wysiłku." Bisnode uznał że 30 milionów złotych za wysyłkę listów to właśnie ten wysiłek.
Sądy – i UODO – odpowiedziały że koszt i wysiłek to nie są synonimy.
Wysiłek w rozumieniu RODO to obiektywna niemożliwość lub poważna niedostępność danych kontaktowych – nie kalkulacja ekonomiczna. Bisnode miał w CEIDG adresy. Miał numery telefonów. Miał możliwości. Po prostu wybrał tańszą opcję – tylko mail – i obsłużył 90 tysięcy zamiast 6 milionów.
Gdzie sprawa jest dziś
Obecnie Prezes UODO zobowiązany jest ponownie rozpatrzyć sprawę w zakresie w jakim sąd uchylił decyzję administracyjną, tj. w zakresie dotyczącym przetwarzania danych osób prowadzących w przeszłości działalność gospodarczą oraz w zakresie wysokości nałożonej kary administracyjnej.
Czyli sprawa nie jest zamknięta. UODO musi ponownie wydać decyzję – tym razem z uwzględnieniem wskazań sądów. Nowa decyzja będzie określać czy i ile kary zapłaci firma – która w międzyczasie zmieniła nazwę na Dun & Bradstreet. Mając na uwadze co sie stało z Morele, może się okazac że nowa kara będzie nawet wyższa niż pierwotnie zaskarżona przez Bisnode.
Kara z 2019 roku wciąż nie jest prawomocnie wykonana. Sprawa która zaczęła się jako pierwsza kara RODO w Polsce trwa już ponad pięć lat.
Co z tego wynika dla wszystkich którzy przetwarzają dane ze źródeł publicznych
Bisnode nie był wyjątkiem. Jest model biznesowy który stosuje wiele firm – pobranie danych z KRS, CEIDG, rejestru dłużników, bazy GUS – i zbudowanie na tej podstawie usługi weryfikacji lub marketingu.
Po wyroku NSA zasady są jasne.
Jeśli pobierasz dane osobowe ze źródeł publicznych i przetwarzasz je w celach komercyjnych – masz obowiązek informacyjny z art. 14 RODO. Masz obowiązek poinformować każdą osobę której dane przetwarzasz. Bezpośrednio. Nie przez zakładkę na stronie internetowej. Nie przez ogłoszenie w prasie. Bezpośrednio. Jeśli macie firmę, to może dostaliście już te irytujące listy o wpisaniu do bazy? To jest właśnie skutek decyzji.
Fakt że dane były publicznie dostępne nie zwalnia z obowiązku informowania. Fakt że poinformowanie kosztuje więcej niż kara – nie zwalnia z obowiązku informowania. Fakt że masz 6 milionów rekordów w bazie – nie zwalnia z obowiązku informowania.
Obowiązek można pominąć tylko gdy naprawdę nie masz jak dotrzeć do osoby. Nie gdy dotarcie jest drogie.
Puenta która nie starzeje się od 2019 roku
Pan Piotr Drobek, Dyrektor Zespołu Analiz i Strategii w UODO powiedział -
"Bisnode miał dane 6 milionów osób. Z 90 tysięcy które poinformował – ponad 12 tysięcy wniosło sprzeciw wobec przetwarzania ich danych. "
Trzynaście procent osób które wiedziały że ich dane są przetwarzane – powiedziało "nie."
Reszta nie powiedziała nic. Bo nic nie wiedziała.
Właśnie po to jest obowiązek informacyjny.
Artykuł powstał przy wsparciu AI. Weryfikacja merytoryczna i redakcja: Damian Bielecki, Typ od RODO.