Informacja o wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie w sprawie decyzji Prezesa UODO wobec Bisnode, bardzo szybko obiegła „świat RODO”. Wszyscy wstrzymywali się z komentarzami do momentu publikacji uzasadnienia. Takowe już znamy i można napisać o całej sprawie trochę więcej. Jednak nadal trzeba mieć na uwadze, że wyrok może zostać zaskarżony i tym samym jeszcze wszystko może się zmienić.

O co chodzi w całej sprawie?

Na wstępie przypomnijmy sobie stan faktyczny. Prezes UODO w pierwszej decyzji nakładającej administracyjną karę finansową w kwocie prawie miliona złotych uznał, iż spółka Bisnode naruszyła przepisy RODO nie spełniając obowiązku informacyjnego z art. 14 RODO wobec osób fizycznych prowadzących jednoosobową działalność gospodarczą, których dane znajdują się w CEIDG. Decyzja nie dotyczy danych osób, których adres email spółka posiadała, i do których wysłała obowiązek informacyjny drogą elektroniczną. Co do pozostałej części bazy tj. wobec osób, których adresu poczty elektronicznej nie posiadali, uznali że ma zastosowanie wyłączenie mówiące o tym, iż nie ma konieczności spełnienia obowiązku informacyjnego z art. 14 RODO jeśli „udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku”. Bisnode argumentowało, że spełnienie takiego obowiązku wiązałoby się z „milionowymi kosztami” i tym samym stanowi „niewspółmiernie duży wysiłek”.  Prezes UODO uznał jednak odmiennie tj. że nie można postawić znaku równości między dużymi kosztami, a niewspółmiernie dużym wysiłkiem. W trakcie ustaleń, sąd stwierdził, że baza, którą posiada Bisode składa się z danych osób: aktualnie prowadzących działalność, z zawieszoną działalnością i tych, których takiej działalności nie prowadzą tj. dane archiwalne. Administracyjna kara finansowa została zaś nałożona za niespełnienie obowiązku informacyjnego wobec wszystkich trzech kategorii osób.

Czy Bisnode wygrało?

Decyzja Prezesa UODO w części o nałożeniu administracyjnej kary finansowej wobec Bisnode została uchylona. Prawdopodobnie właśnie z tego powodu można było zobaczyć gratulacje w internacie dla pełnomocników prowadzących sprawę. W końcu jakby nie patrzeć „pierwsza kara z RODO” została uchylona. Ponadto, kosztami procesu został obciążony urząd i to w kwocie ponad 20 tys zł. Podsumowując, kary nie ma, urząd musi płacić, można powiedzieć, że spółka wygrała. Tylko dlaczego mam przeczucie, że jest inaczej?

Nie spełnimy obowiązku informacyjnego, bo mamy nieprawidłowe dane

Całą karę, decyzję i wyrok należałoby tak naprawdę podzielić na odpowiednie rozdziały. Zacznijmy od pierwszego tj. administracyjna kara finansowa została uchylona ponieważ przy jej obliczaniu Prezes UODO wziął pod uwagę osoby, których dane są prawdopodobnie nieaktualne. Jak argumentował pełnomocnik spółki, nie dysponuje ona aktualnymi adresami osób prowadzących działalność w przeszłości. Pełnomocnik argumentował, że nie ma podstaw, aby zasadnie przyjąć, że dane adresowe, które były aktualne w momencie prowadzenia przez przedsiębiorców działalności gospodarczej, pozostają aktualne obecnie, pomimo zakończenia prowadzenia takiej działalności, i że mogą być uznane za prawidłowe dane kontaktowe tych osób. Co jest istotne, sąd podzielił taką argumentację. Jak wskazał WSA:

„Sąd podziela podniesione w skardze wątpliwości Spółki co do ewentualnych możliwości pozyskania aktualnych danych kontaktowych tych osób. Oczywiście wobec braku ustaleń organu w decyzji w tym zakresie nie sposób stwierdzić, czy i w odniesieniu do ilu osób fizycznych, które w przeszłości prowadziły jednoosobową działalność gospodarczą w istocie możliwa jest realizacja obowiązku określonego w art. 14 ust. 1 i 2 rozporządzenia 2016/679.”

Mam jednak wrażenie, że konsekwencją tego, że sąd podzielił stanowisko spółki może być dla nich jeszcze większy problem. Bowiem czytając uzasadnienie mam wrażenie, że argumentacja spółki była taka: „nie posiadamy aktualnych danych więc nie możemy skutecznie spełnić obowiązku informacyjnego”. Tylko pamiętajmy, że art. 5 ust. 1 lit. d RODO nakłada na administratorów obowiązek zadbania o jakość przetwarzanych danych tj. że muszą one być prawidłowe i w razie potrzeby uaktualniane oraz, że należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane. Upraszczając powyższe, argumentacja spółki wygląda dla mnie następująco: nie spełnimy obowiązku określonego w art. 14 RODO, ponieważ nie spełniamy zasady z art. 5 ust. 1 lit d RODO. I z taką argumentacją sąd się właśnie zgodził. Jak bowiem wskazał:

„W ocenie Sądu, w kontekście okoliczności podniesionej przez Spółkę w skardze, co do braku dysponowania aktualnymi adresami osób fizycznych, które w przeszłości prowadziły jednoosobową działalność gospodarczą (zaprzestały wykonywania działalności), ustalenia organu, co do możliwości realizacji obowiązku przekazania tym osobom informacji określonych w art. 14 ust. 1 i 2 rozporządzenia 2016/679 wymagały będą wcześniejszego dokonania przez organ ustaleń na gruncie art. 6 i art. 5 rozporządzenia 2016/679, co do zgodności z prawem unijnym, tj. rozporządzeniem 2016/679, przetwarzania tych danych, a zatem m.in. ich przechowywania, wykorzystywania, ujawniania, udostępniania. Spółka twierdzi, że nie posiada aktualnych adresów tych osób fizycznych, których dane przetwarza. Rozporządzenie 2016/679 wymaga w art. 5 ust. 1, aby dane osobowe były przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dotyczą (a), aby były prawidłowe i w razie potrzeby uaktualniane (d). Powyższe jest ściśle powiązane z obowiązkiem administratora podania takiej osobie fizycznej, której dane są przetwarzane, a które zostały pozyskane w inny sposób niż bezpośrednio od tej osoby (w tym przypadku z jawnych rejestrów) informacji, o których mowa w art. 14 rozporządzenia 2016/679. Ponownie rozpoznając sprawę organ uwzględni przedstawione wyżej wskazania.”

Kara została uchylona bowiem jak ustalił sąd, organ nakładając ją wziął także pod uwagę dane nieprawidłowe, wobec których faktycznie nie można spełnić obowiązku informacyjnego, ale których dane w ogóle prawdopodobnie nie powinny być przetwarzane. Wszyscy oczekiwali więc tego, jak definiować „niewspółmiernie duży wysiłek”, a okaże się, że zaraz możemy mieć ciekawe rozstrzygnięcia w sprawie dbania o jakość przetwarzanych danych. Istnieje możliwość, że będzie to pyrrusowe zwycięstwo, gdyż może się okazać (ale nie musi), że spółka albo dostanie jeszcze większą karę, za naruszenie art. 5 i 6 RODO albo będzie musiała wykasować dużą część swojej bazy (a na tym w końcu zarabiają, na danych). Jak bowiem podnieśli w trakcie sprawy, nie są w stanie tych danych sprostować.

Niewspółmiernie duży wysiłek to nie są wysokie koszty

No właśnie, ale co z tym niewspółmiernie dużym wysiłkiem? Tutaj przechodzimy do rozdziału drugiego. Spółka argumentowała, że „niewspółmiernie duży wysiłek”, rozumie jako obciążenie organizacyjne (konieczność oddelegowania pracowników i zasobów rzeczowych – komputerów, urządzeń biurowych – do realizacji wyłącznie tego zadania) oraz finansowe (koszt druku, przygotowania do wysyłki i nadania, w tym papieru, tonerów, kopert i znaczków pocztowych, obsługi zwrotów korespondencji, ewentualnie wynagrodzenie podmiotów, którym skarżąca mogłaby zlecić wykonanie tego zadania), nieadekwatne do ryzyka dla podmiotów danych, które jednocześnie w krytyczny sposób zakłóciłoby funkcjonowanie spółki w stopniu, który mógłby wiązać się z koniecznością zakończenia prowadzenia przez nią działalności. Z takim stanowiskiem nie zgodził się jednak sąd i co do zasady przyznał rację Prezesowi UODO. Jak możemy przeczytać w wyroku:

„ W ocenie Sądu pojęcie niewspółmiernie dużego wysiłku ujęte jako przesłanka wyłączająca zastosowanie art. 14 ust. 1 i 2 rozporządzenia 2016/679 nie może być utożsamiane z wysokością kosztów, jakie administrator zmuszony będzie ponieść w związku z koniecznością dopełnienia obowiązku, który jest w pełni możliwy do realizacji, tak jak ma to miejsce w tym przypadku. Zarówno kwestie organizacyjne w zakresie realizacji obowiązku z art. 14 ust. 1 i 2 rozporządzenia, jak i kwestie finansowe nie przeważają nad prawami osób fizycznych, których dane osobowe przetwarzane są przez administratora, w tym także w przypadku, gdy pozyskane zostały ze źródeł powszechnie dostępnych, a przetwarzane są następnie przez administratora w celach komercyjnych. (…) W ocenie Sądu w art. 14 ust. 5 lit b) rozporządzenia 2016/679 – gdy mowa o niewspółmiernie dużym wysiłku – chodzi o sytuację, kiedy udzielenie informacji, o których mowa w art. 14 ust. 1 i 2 tego rozporządzenia jest obiektywnie możliwe, ale niebywale utrudnione (graniczące z brakiem możliwości udzielenia informacji). Administrator, aby udzielić tych informacji zmuszony byłby do podjęcia szeregu działań, które zmierzałyby dopiero do tego, aby udzielenie informacji stało się możliwe. Zakres tych działań (czynności) musiałby mieć przy tym olbrzymią skalę.”

 Jeśli wyrok się obroni, to trzeba będzie zwrócić uwagę, że „niewspółmiernie duży wysiłek” będzie miał zastosowanie bardzo rzadko. Idąc bowiem tokiem myślenia sądu, będzie on miał zastosowanie w sytuacji, kiedy będzie graniczyło to z niemożliwością i kiedy będzie niebywale utrudnione. Osobiście mam jednak mieszane uczucia, co do takiej interpretacji. Jestem w stanie zgodzić się z tym, że nie można postawić znaku równości między „niewspółmiernie duży wysiłek” a „duże koszty”. Prawodawca wskazał jednak, że takie działanie musiałoby być „niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku”, a nie „niemożliwe lub prawie niemożliwe”. Porównywanie „niewspółmiernie dużego wysiłku” do, jak to ujął sąd: „niebywale utrudnione (graniczące z brakiem możliwości udzielenia informacji)”, wydaje się być jednak trochę zbyt daleko idące.

Kary nie ma, ale Bisnode będzie musiało zapłacić

No i dochodzimy do momentu, gdzie jednak to zwycięstwo smakuje gorzko, czyli rozdziału trzeciego. Bisnode wygrało, kary nie ma, ale obowiązek musi spełnić. Jeśli szacunki były właściwe, to spółka będzie musiała wydać od kilkunastu do kilkudziesięciu milionów złotych.  Wychodzi bowiem, że wobec ok 3,5 mln osób obowiązek będzie musiał zostać spełniony i to prawdopodobnie drogą pocztową (tą tradycyjną). Co więcej, uznanie, że w tym przypadku funkcjonowania spółki nie ma zastosowania wyłączenie w ramach „niewspółmiernie dużego wysiłku”, to nie tylko będzie ona musiała jednorazowo wydać te kilkanaście – kilkadziesiąt milionów złotych, ale także zmienić model funkcjonowania swojego procesu biznesowego. Biorąc powyższe pod uwagę, tj. konieczność spełnienia obowiązku informacyjnego, zmianę modelu biznesowego oraz zalecenie zbadania przez Prezesa UODO, czy w ogóle legalne jest przetwarzanie danych w części bazy, to zwycięstwo pod względem finansowym zaczyna być dla mnie trochę wątpliwe.

Ile kosztują nasze prawa?

Na koniec chciałem zwrócić uwagę na to, na ile wycenione zostały podstawowe prawa wynikające z RODO. Zgodzę się, że przedsiębiorcy korzystają z trochę mniejszego poziomu ochrony prywatności. Jednakże, nie oznacza to, że można dowolnie przetwarzać ich dane osobowe. Jak zauważył sąd:

„Okoliczność bowiem, że dane i informacje udostępniane przez CEIDG są jawne i każdy ma prawo dostępu do tych danych i informacji ujawnionych w rejestrze (art. 45 ust. 1 ustawy o CEIDG) nie jest równoznaczna z możliwością dowolnego ich przetwarzania przez inne podmioty w celach innych niż te dane zostały w CEIDG zgromadzone. Rozporządzenie 2016/679 absolutnie nie wyłącza w odniesieniu do administratora takich danych osobowych, przetwarzanych dla osiągnięcia określonych celów komercyjnych, stosowania zasad i obowiązków wynikających z tego rozporządzenia, w tym właśnie obowiązku podania informacji określonych w art. 14 ust. 1 i 2 rozporządzenia 2016/679, co prawidłowo stwierdził Prezes UODO.”

Proponuję spojrzeć z trochę innej perspektywy na całą sprawę. Mówimy o milionach osób w całej Polsce. Prawdopodobnie wielu osobom z Warszawy przedsiębiorca kojarzy się z zatrudnieniem B2B, adwokatami, radcami itp. Nie można jednak zapomnieć, że to są także takie osoby, jak pan Janek z małej miejscowości, prowadzący warsztat samochodowy, czy pani Grażynka prowadząca sklep spożywczy. Czemu o tym piszę? Wydaje mi się bowiem, że osoba zatrudniona w korporacji w Warszawie, może mieć pojęcie o takim biznesie jak brokerzy danych, spółka Bisnode itp. Inaczej już może być z panią prowadzącą sklep spożywczy lub panem od warsztatu samochodowego.

Proszę także zauważyć, że w całej sprawie mówi się o milionach złotych, które spółka musi wydać, aby spełnić obowiązek informacyjny. Pozostańmy jednak po stronie podmiotu danych tj. przedsiębiorcy. Weźmy przedsiębiorcę pana Janka, który prowadzi wspomniany warsztat. W związku z tym, że prowadzi działalność to jego dane znajdują się w CEIDG, bo wynika to z obowiązku prawnego i o tym wie. Następnie pojawia się spółka, która bierze jego dane w celach komercyjnych. Podkreślę, spółka zaczyna przetwarzać jego dane, żeby na nich zarabiać. Choć są to dane konkretnej osoby tj. pana Janka, to nie zobaczył on ani jednego grosza, a spółka prawdopodobnie zarobiła na jego danych (nawet pośrednio, zawyżając ceny z tego względu, że ma dużą liczbę danych lub robiąc sobie na tym reklamę). Co więcej, wobec pana Janka mogły być wykonywane różne analizy na podstawie danych, dostarczonych przez spółkę. Mógł on więc odczuć jeszcze negatywne konsekwencje np. gorsze warunki kredytowe, gorsza analiza AML itp. Podsumowując, spółka prawdopodobnie zarobiła na danych pana Janka, nie podzieliła się z nim zyskiem, a pan Janek mógł jeszcze na tym stracić. Do tego wszystkiego, pan Janek o niczym nie wiedział, ponieważ w jego konkretnej sprawie, spółka postanowiła pozbawić go jego podstawowych praw, wynikających z RODO, ponieważ kosztowałoby ją to 5,20 zł*. Jeśli spojrzymy na konkretną osobę (a o tym mówi RODO, o prawach i wolnościach osób fizycznych) to nie są to milionowe kwoty, tylko to jest kilka złotych. Jeśli spojrzeć więc z perspektywy przedsiębiorcy,  o którego dane się sprawa rozchodzi, to decyzja i wyrok wydają się być odpowiednie.

*Wyliczenie to jest wykonane na podstawie informacji znajdującej się w decyzji organu, gdzie z wyjaśnień Spółki wynika także, że gdyby miała wykonać obowiązek informacyjny indywidualnie wobec wszystkich osób fizycznych, których dane są przedmiotem postępowania z wykorzystaniem poczty tradycyjnej, to koszt takiej operacji wyniósłby ponad 33.749.175,00 złotych, a ilość osób, która wtedy była brana pod uwagę wobec, których miałaby go wykonać to 6.490.226 osób.

Podsumowanie

Wyrok zapewne nie jest ostateczny i będzie zaskarżany do Naczelnego Sądu Administracyjnego, dlatego wstrzymałbym się z definitywnymi ocenami i powyższe traktowałbym jako pewne rozważania w całym temacie. Wszystko może bowiem się jeszcze zmienić.

Jan Komosa