WSA o podstawie przetwarzania danych z KRS’u

Wojewódzki Sąd Administracyjny w wyroku z marca 2022 r. uchylił decyzję Prezesa UODO dotycząca przetwarzania danych osobowych pobieranych z Krajowego Rejestru Sądowego przez pewną Fundację w celach  “komercyjnych lub niekomercyjnych innych niż pierwotny publiczny cel, dla którego informacja została wytworzona” (art. 2 ust. 2 u.p.w.i.s.p.)”, a takie działanie Fundacji “zapewnia społeczeństwu łatwy dostęp do danych z KRS”.

Jak ławo się domyśleć w sprawie pojawiają dwie wątki – podstawa prawna przetwarzania danych oraz realizacja, a właściwe brak, obowiązku informacyjnego.

W tym przypadku osoba, której dane w zakresie imienia, nazwiska, daty urodzenia i wieku były publikowane na stronach Fundacji otrzymała od Prezesa UODO decyzję, w której organ nadzorczy odmówił uwzględnienia skargi.

Wnioskodawca wyjaśniał, że dane zamieszczone na tej stronie (w części: dane historyczne), dotyczące jego powiązań ze spółkami tam wymienionymi, są nieaktualne i wprowadzają użytkownika w błąd. M. Z. podał, że w 2016 r. przestał pełnić jakiekolwiek funkcje w tych spółkach, w szczególności przestał pełnić funkcję prezesa zarządu i likwidatora spółki […] sp. z .o. o. oraz “urwał wszelkie kontakty” z osobami powiązanymi z tą spółką.  M. Z. podał także, że jedna ze spółek która była udziałowcem […] sp. z .o. o., była zamieszana w tzw. aferę […]. Historyczne powiązania kapitałowe, wskazane na stronie internetowej, powodują trudności w “normalnym funkcjonowaniu w gospodarce”, w znalezieniu czy pozyskaniu klientów, nawiązaniu nowych kontaktów biznesowych czy nawet znalezieniu pracy. Wnioskodawca wyjaśnił, że nie chce aby jego obecni kontrahenci zasięgali informacji o nim i jego “byłych powiązaniach osobowych”, a konkurencja docierała w ten sposób do osób, z którymi już nie współpracuje i z którymi rozstał się w nie najlepszych relacjach i które mu szkodą.

W uzasadnieniu decyzji organ przedstawił podstawowe zasady dotyczące przetwarzania danych osobowych (art. 6 rozporządzenia), odwołał się do zasady jawności Krajowego Rejestru Sądowego (art. 8 ustawy o KRS) i obowiązku ogłoszenia wpisów w Monitorze Sądowym i Gospodarczym i jego zakresu (art. 13 ust. 1) oraz przepisów art. 2 ust. 1 i ust. 2 ustawy z dnia 25 lutego 2016 r. o ponownym wykorzystywaniu informacji sektora publicznego i stwierdził, że przetwarzanie przez Fundację […] publicznie dostępnych danych osobowych skarżącego – jako osoby pełniącej określone funkcje w podmiotach podlegających wpisowi do Rejestru, wypełnia dyspozycje art. 6 ust. 1 lit. 1 lit f rozporządzenia. Powołany przepis stanowi, że przetwarzanie danych osobowych jest zgodne z prawem, jeżeli jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
129
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
1548
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
  • Oszczędność 15% względem pozostałych pakietów
Wybieram
Subskrypcja 180 dni
Przez 180 dni masz dostęp do wszystkich elementów subskrypcji 90 dni:
774
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualną konsultację z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (1 konsultacja w ramach obowiązującej subskrypcji)
  • Oszczędność 10% względem pozostałych pakietów
Wybieram

Prezes Urzędu Ochrony Danych Osobowych zgodził się z Fundacją, że jej cele i zadania mają bez wątpienia prawnie usprawiedliwiony charakter. Ich realizacja jest zarazem uwarunkowana przetwarzaniem danych osobowych ujawnionych w publicznie dostępnych rejestrach, w tym danych osobowych skarżącego jako osoby pełniącej określone funkcje w podmiotach okonanej oceny nie zmienia komercyjny charakter działalności prowadzonej przez Fundację.

Nadto Prezes UODO:

stwierdził, że M. Z. nie może skutecznie domagać się od administratora usunięcia danych osobowych, w oparciu o art. 17 ust. 1 rozporządzenia 2016/679, ponieważ w jego przypadku nie zachodzą żadna z okoliczności, o których mowa w tym przepisie. Dane osobowe skarżącego w dalszym ciągu są niezbędne w kontekście celów realizowanych przez Fundację (brak przesłanki z art. 17 ust. 1 lit a), podstawą ich przetwarzania jest prawnie usprawiedliwiony interes realizowany przez administratora, a nie zgoda skarżącego (brak przesłanki z art. 17 ust. 1 lit. b), kwestionowany proces przetwarzania danych osobowych skarżącego jest realizowany w sposób legalny (brak przesłanki z art. 17 ust. 1 lit. d), nie istnieje przepis, który obligowałby Fundację do usunięcia kwestionowanych danych osobowych skarżącego (art. 17 ust. 1 lit. e), dane osobowe M. Z. nie zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1 (art. 17 ust. 1 lit. f rozporządzenia).

Takie uzasadnienie znamy z tej sprawy:

ZSPU.440.574.2018

Wracając do omawianego wyroku WSA w Warszawie Sąd wskazał, że decyzja odmawiająca uwzględnienia skargi narusza prawo.

Argumenty przemawiające za taką teza sa następujące:

Podstawowy argument uzasadnienia zaskarżonej decyzji zawiera się w stwierdzenie organu, że nie ma podstaw do przyjęcia, że “realizacja prawnie uzasadnionego interesu Fundacji, polegającego na prowadzeniu działalności związanej z upowszechnianiem treści zawartych w KRS (Monitorze), musiała ustąpić wobec nadrzędnych w stosunku do niej interesów lub podstawowych praw i wolności skarżącego, wymagających ochrony danych osobowych.”

Ta teza nie ma jednak, według Sądu dostatecznego oparcia w wywodach zaprezentowanych w uzasadnieniu zaskarżonej decyzji. Uzasadnienie nie daje bowiem podstaw do przyjęcia, że zostały spełnione wyżej przytoczone, za wypowiedziami piśmiennictwa, wymagania warunkujące dopuszczalność przetwarzania danych osobowych na podstawie art. 6 lit. f RODO.

W pierwszej kolejności należy zauważyć, że zarówno Fundacja przetwarzająca dane osobowe skarżącego, jak i organ, który wydał zaskarżoną decyzję powoływali się na ogólną dostępność tych danych, przytaczając w związku z tym art. 2 ust. 1 i 2 ustawy z dnia 25 lutego 2016 r. ponownym wykorzystywaniu informacji sektora publicznego. W stanowiskach tych dwóch podmiotów nie ma jednak wyjaśnienia, jakie konkretne znaczenie ma dla dopuszczalności przetwarzania danych osobowych skarżącego fakt ich ogólnej dostępności. Organ, poza tym stwierdzeniem i powołaniem się na art. 2 ust. 1 i 2 wyżej wspomnianej ustawy, nie przeprowadził żadnej konfrontacji przepisów tej ustawy z przepisami rozporządzenia RODO, nie wyprowadził żadnych wniosków co do tego, w jaki sposób ogólna dostępność danych osobowych wpływa na ich ochronę na podstawie rozporządzenia RODO. W tej sytuacji samo powołanie się na ogólną dostępność danych osobowych nie może stanowić argumentu na rzecz dopuszczalności ich przetwarzania albo osłabienia ich ochrony. Wynika to pośrednio z uzasadnienia zaskarżonej decyzji, w którym organ rozpatruje kwestię dopuszczalności przetwarzania danych osobowych skarżącego w świetle art. 6 lit. f i innych przepisów rozporządzenia RODO.

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
129
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
1548
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
  • Oszczędność 15% względem pozostałych pakietów
Wybieram
Subskrypcja 180 dni
Przez 180 dni masz dostęp do wszystkich elementów subskrypcji 90 dni:
774
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualną konsultację z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (1 konsultacja w ramach obowiązującej subskrypcji)
  • Oszczędność 10% względem pozostałych pakietów
Wybieram

Nadto Sąd odniósł się do przepisów ustawy o ponownym wykorzystaniu informacji z sektora publicznego:

Kontynuując ten wątek Sąd zwraca uwagę na treść art. 86 RODO, który dotyczy również przetwarzania danych osobowych, publicznie dostępnych oraz na przepisy art. 6 i 7 ustawy z dnia 25 lutego 2016 r. ponownym wykorzystywaniu informacji sektora publicznego, przewidujące ograniczenia prawa do ponownego wykorzystywania takich informacji. Szczególnie wymaga podkreślenia ust. 2 art. 7 tej ustawy, który stanowi, że przepisy ustawy nie naruszają przepisów o ochronie danych osobowych. Z tego przepisu wynika, że podmiot stosujący tę ustawę, udostępniający lub przekazujący informacje sektora publicznego w celu ich ponownego wykorzystania, jest obowiązany do przestrzegania jednocześnie zasad ochrony danych uregulowanych w ogólnym rozporządzeniu o ochronie danych osobowych bądź w innych przepisach z zakresu ochrony takich danych, w tym przede wszystkim tych przepisów rozporządzenia RODO, które przesądzają o dopuszczalności przetwarzania danych (komentarz do art. 7 ust. 2 w : B. Fischer i in., Ustawa o ponownym wykorzystywaniu informacji sektora publicznego. Komentarz, WKP 2019, dostępny w LEX).

oraz do podstawy prawnej jaką miało być prawnie uzasadniony interes Fundacji:

Sąd zauważa, że organ w uzasadnieniu nadrzędności prawnie uzasadnionych interesów realizowanych przez administratora nad interesami lub prawami lub wolnościami skarżącego posługiwał się jedynie ogólnymi stwierdzeniami, nie odnosząc się do okoliczności faktycznych tej konkretnej sprawy. Powołał się jedynie na statutowe cele Fundacji. Nie skonkretyzował tych celów w kontekście przetwarzania danych skarżącego. Nie wykazał w związku z tym, czy istnieje i na czym polega bezpośrednie i realne powiązanie celów administratora z przetwarzaniem danych skarżącego, osoby, której dane przetwarzane obecnie mają, jak podkreśliła to Fundacja charakter historyczny, dotyczą określonego okresu czasu i odnoszą się do podmiotu wykreślonego z KRS. Tym samym organ nie zweryfikował prawidłowo, zdaniem Sądu wystąpienia podstawowej przesłanki przetwarzania danych określonej w art. 6 ust. 1 lit. f. – niezbędności przetwarzania tych danych przez Fundację.

Organ również powierzchownie odniósł do negatywnej przesłanki przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO – nadrzędności interesów lub podstawowych praw i wolności osoby, której te dane dotyczą. Trudno uznać za rzetelną ocenę organu, poczynioną w tym zakresie w sytuacji, gdy nawet nie skonkretyzowano tych interesów lub podstawowych praw i wolności skarżącego, które wymagają skonfrontowania z interesami administratora danych. W żaden sposób nie spełnia tego wymagania stwierdzenie Fundacji, że dane osobowe skarżącego, który do 2016 r. był prezesem spółki, a więc działał wówczas w domenie publicznej, obecnie nie potrzebują ochrony w ramach prawa do prywatności.

Sąd wskazał także, że Prezes UODO nie wyjaśnił kwestii dotyczącej niedopełnienia obowiązku informacyjne:

Prezes Urzędu Ochrony Danych Osobowych nie wyjaśnił ponadto w zaskarżonej decyzji, dlaczego uznał, że nie można zarzucić Fundacji niedopełnienia obowiązków informacyjnych, o których mowa w art. 14 ust. 1 rozporządzenia. Organ dopiero w odpowiedzi na skargę podniósł, że udzielenie takiej informacji skarżącemu wymagałoby niewspółmiernie dużego wysiłku (art. 14 ust. 5 pkt b rozporządzenia) i stwierdził, że powoływanie się przez stronę skarżącą na wyrok Wojewódzkiego Sądu Administracyjnego z dnia 11 grudnia 2019 r., sygn.. akt II SA/Wa 1030/19 nie jest uzasadnione, ponieważ dotyczył obowiązku informacyjnego wobec osób, których dane zostały pozyskane z Centralnej Ewidencji i Informacji o Działalności Gospodarczej, a nie z Krajowego Rejestru Sądowego. Odpowiedź organu na skargę nie może stanowić uzupełnienia zaskarżonej decyzji, wszelkie istotne dla sprawy okoliczności winny być rozważone i znaleźć odzwierciedlenie w samej decyzji.