Aktualizacja publikacji z dnia 30 marca 2022 r.
Przepisy RODO przewidują szereg narzędzi służących ochronie praw osób fizycznych. Jednym z nich jest możliwość złożenia skargi do organu nadzorczego. Na podstawie art. 77 RODO jest to możliwe w dowolnym państwie członkowskim Unii Europejskiej, będącym dla osoby skarżącej jej miejscem stałego pobytu, pracy lub miejscem popełnienia domniemanego naruszenia.
W Polsce organem nadzorczym, powołanym ustawą z 10 maja 2018 r. o ochronie danych osobowych (uodo), jest Prezes Urzędu Ochrony Danych Osobowych. Jego zadaniem jest kontrola przestrzegania przepisów dotyczących ochrony danych w Polsce, a jedną z jego kompetencji jest rozpatrywanie skarg złożonych przez osoby fizyczne. Skargę złożyć można w formie tradycyjnej oraz elektronicznej. Obie formy są bezpłatne. Podkreślić należy, że organ nadzorczy nie rozpatruje skarg anonimowych. Prezes UODO powinien rozpatrzeć skargę niezwłocznie. W uodo nie został wprost wskazany konkretny termin, w którym Prezes UODO powinien rozpatrzeć skargę. Natomiast zgodnie z art. 7 ust. 1 tej ustawy w kwestiach dotyczących postępowania przed organem nadzorczym, które nie zostały nią uregulowane stosować należy przepisy Kodeksu postępowania administracyjnego (k.p.a.). Zgodnie z art. 237 ust. 1 k.p.a. właściwy organ powinien rozpatrzeć skargę bez zbędnej zwłoki, jednak nie później niż w ciągu miesiąca. Biorąc pod uwagę dynamikę rozpatrywania ostatnich skarg należy przyjąć, że okres ten może zostać przez organ nadzorczy znacznie wydłużony, a nawet może być liczony w latach, co pokażemy na poniższym przykładzie.
Jak już zostało wspomniane wyżej, skarga jest jednym ze środków ochrony prawnej. Prawo do jej złożenia nie wyklucza możliwości skorzystania z innych środków ochrony prawnej, np. z prawa dochodzenia roszczeń przed sądem. W związku z tym osoba może nie tylko złożyć skargę do organu nadzorczego, ale także wnieść do sądu powództwo cywilne. Organ nadzorczy powinien pouczyć osobę, której dane dotyczą o możliwości skorzystania z sądowego środka ochrony prawnej. Zgodnie z art. 78 RODO osoba fizyczna, która złożyła skargę do organu nadzorczego ma prawo odwołać się od wydanej decyzji do sądu. Ponadto zgodnie z art. 78 ust. 2 RODO ma ona prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli organ nadzorczy nie rozpatrzył skargi we właściwym terminie lub w ciągu trzech miesięcy od wpłynięcia skargi nie poinformował skarżącego o postępach w jej rozpatrywaniu.
Skarga na Bisnode Polska Sp. z o.o. Spółka miała już wcześniej problemy z przestrzeganiem przepisów RODO…
Bohaterem tego artykułu oprócz w/w Spółki będzie Pan Marcin Soczko – założyciel Soczko & Partnerzy oraz wieloletni członek Zarządu SABI – Stowarzyszenia Inspektorów Ochrony Danych, który korzystając z praw przysługujących mu na gruncie RODO, chciał dowiedzieć się na jakiej podstawie firma Bisnode Polska Sp. z o.o. przetwarza jego dane osobowe. Oprócz troski o swoje dane, Pana Marcina motywował dodatkowo fakt, że Spółka miała już wcześniej problemy z przestrzeganiem przepisów RODO. Zapisała się na kartach historii jako pierwszy podmiot ukarany w Polsce przez organ nadzorczy za nieprzestrzeganie przepisów RODO. W 2019 roku Prezes UODO, którym była wówczas Edyta Bielak-Jaama, decyzją z 15 marca 2019 r. nałożyła na Spółką karę za niedopełnienie obowiązku informacyjnego w sytuacji pozyskiwania danych osobowych ze źródeł publicznie dostępnych, m.in. z Centralnej Ewidencji i Informacji Działalności Gospodarczej (CEiDG). Spółka poinformowała jedynie część przedsiębiorców (tych, którzy podali w CEiDG swoje adresy mailowe), że ich dane trafiły do bazy spółki. W przypadku pozostałych osób Bisnode uchyliła się od spełniania obowiązku, powołując się na art. 14 pkt 5 lit b RODO. Przepis ten dopuszcza możliwość odstąpienia od obowiązku informowania w sytuacji, jeżeli wymagałoby to „nadmiernego wysiłku”. W toku wyjaśnień Prezes UODO ustaliła, że Spółka nie dopełniła obowiązku informacyjnego wobec aż 6 mln osób, w tym byłych przedsiębiorców. Obowiązek dopełniony został wobec 90 tys. osób, natomiast 12 tys. z nich zdecydowało się wnieść sprzeciw wobec przetwarzania ich danych osobowych. Sprawa ta była już opisywana na naszym blogu. Pan Marcin był jedną z tych osób, które otrzymały maila z klauzulą informacyjną. Nie wyraził sprzeciwu, ale odniósł wrażenie, że uchybienie stwierdzone przez organ, to „wierzchołek góry lodowej”.
Bezskuteczne żądanie skierowane do Spółki i skarga do Prezesa UODO
Dnia 2 kwietnia 2019 roku Pan Marcin wystąpił do Bisnode z wnioskiem o treści: „jakie kategorie danych na mój temat przetwarzacie oraz jaka jest ich treść, a także z jakich źródeł, kiedy zostały pozyskane i jakim podmiotom, kiedy zostały udostępnione oraz w jakim celu”. W odpowiedzi Spółka po 2 tygodniach przesłała Panu Marcinowi część klauzuli informacyjnej znajdującej się na jej stronie internetowej i w żadnym stopniu nie odniosła się bezpośrednio do przesłanych pytań. W związku z otrzymaniem niezadowalającej odpowiedzi Pan Marcin ponownie wystąpił z żądaniem udzielenia informacji na temat jego danych przetwarzanych przez Spółkę. Nie otrzymał jednak odpowiedzi, więc zdecydował się skorzystać z prawa wniesienia skargi do Prezesa UODO.
Pan Marcin skargę do Prezesa UODO złożył w kwietniu 2019 roku. Decyzja wydana została w styczniu 2022 roku – prawie po 3 latach. W treści decyzji czytamy, że w toku wyjaśnień Bisnode zaznaczyła, że nie udzieliła odpowiedzi Panu Marcinowi, ponieważ „przysługujące Skarżącemu prawo dostępu do danych zostało zrealizowane, a sam wniosek był powtórzeniem zrealizowanego prawa”. Prezes UODO po zbadaniu sprawy przyznał rację Spółce. Stwierdzi m.in., że „Analiza udzielonej Skarżącemu przez Spółką odpowiedzi wskazuje, że Spółka przekazała Skarżącemu żądane przez niego informacje związane z przetwarzaniem jego danych osobowych w zakresie wynikającym z tego wniosku”.
Czy zdaniem Prezesa UODO przytoczenie (a raczej skopiowanie) fragmentu polityki prywatności jest wystarczającą realizacją prawa dostępu? Przypomnijmy, że Pan Marcin pytał o następujące kwestie: jakie kategorie danych na jego temat są przetwarzane i jaka jest ich treść, z jakich źródeł i kiedy zostały pozyskane oraz jakim podmiotom i w jakim celu zostały przekazane. Po pierwsze należy zwrócić uwagę, że zgodnie z art. 15 ust. 1 RODO osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarza jej dane osobowe. Jeżeli ma to miejsce to osoba fizyczna uprawniona jest uzyskać do nich dostęp. Spółka nie potwierdziła nawet, czy przetwarza dane Pana Marcina. Przytoczony fragment klauzuli odnosił się bowiem do wszystkich danych, które przetwarza Bisnode. Należy zwrócić uwagę, że Pan Marcin chciał uzyskać informacje tylko o swoich danych osobowych, a nie w ogóle danych przetwarzanych przez Bisnode.
Zasadniczą kwestią, o którą pytał Pan Marcin były kategorie jego danych osobowych, które przetwarza Bisnode oraz ich treść. W treści odpowiedzi czytamy, że Bisnode „pozyskuje, przetwarza i udostępnia dane jawne (nazwa podmiotu, adres rejestrowy, numery rejestrowe, PKD, adres email) pochodzące z oficjalnych źródeł rejestrowych tj. GUS, CEIDG”. Zważywszy jednak, że Spółka kończąc odpowiedź skierowaną do Pana Marcina, wkleiła link przekierowujący do „pełnego obowiązku informacyjnego”, postanowiliśmy właśnie tam poszukać więcej informacji o przetwarzanych przez Spółkę danych. Ku naszemu zdziwieniu w pełnej klauzuli informacyjnej nie znaleźliśmy informacji o kategoriach danych osobowych przetwarzanych przez Bisnode. Spółka informuje jedynie, że przetwarza dane osobowe w zakresie, w jakim są one udostępniane przez ogólnodostępne źródła. Sygnalizuje również, że nie są to dane wrażliwe. Na marginesie pojawia się pytanie, czy taka informacja jest wystarczającym wypełnieniem obowiązku określonego w art. 14 ust. 1 lit. d RODO, w kontekście zasady przejrzystości. W naszej ocenie – zdecydowanie nie, dlatego klientom doradzamy, aby w takich sytuacjach wskazywali, jaki jest konkretnie zakres pozyskanych danych osobowych. Przez analogię do transparentności przy zbieraniu danych bezpośrednio od osoby, której one dotyczą, ponieważ wówczas wie ona jakie dane podaje.
Widocznie naszego zdania nie podziela organ nadzorczy. W ocenie Prezesa UODO przytoczenie przez Spółkę fragmentu klauzuli informacyjnej skutecznie zaspokoiło żądanie Skarżącego. Według organu nadzorczego wskazano kategorie przetwarzanych danych, informację o ich źródle, podstawę prawną, cel i informację o odbiorcach danych. Podkreślono też, że obowiązek informacyjny nie obejmuje konieczności podania treści danych. A Pan Marcin nie zwrócił się do Spółki o kopię jego danych, nie wystąpił również z wnioskiem o uzyskanie do nich dostępu.
Kolejną kwestią, o którą pytał Pan Marcin, był czas i źródło pozyskania jego danych. Bisnode w odpowiedzi poinformowała, że dane pochodzą z oficjalnych źródeł rejestrowych. Nie podano, skąd konkretnie one pochodziły. Spółka nie odpowiedziała w ogóle na drugą część pytania, czyli o czas pozyskania danych. Nie wskazano nawet przybliżonego okresu pozyskania danych, na co organ w decyzji nie zwrócił uwagi. Prezes UODO twierdzi, że „Spółka przekazała Skarżącemu żądane przez niego informacje związane z przetwarzaniem jego danych osobowych w zakresie wynikającym z jego wniosku”.
Brak informacji jakie konkretnie dane są przetwarzane oraz kiedy zostały zebrane uniemożliwia dodatkowo skorzystanie z prawa do sprostowania danych. Skoro Skarżący nie uzyskał informacji o kategoriach przetwarzanych danych i czasie ich pozyskania, ani nie poznał ich treści, to nie może zweryfikować ich aktualności.
Ostatnim elementem żądania Pana Marcina było przedstawienie przez Spółkę informacji jakim podmiotom, kiedy i w jakim celu zostały udostępnione jego dane osobowe. Spółka przytaczając fragment klauzuli informacyjnej poinformowała jedynie, że odbiorami danych są wszystkie podmioty, które realizują określone czynności na rzecz administratora. Dane trafiają do głównej siedziby Bisnode w Szwecji oraz do zewnętrznej kancelarii prawnej obsługującej Spółkę. Firma nie wskazała tych „wszystkich podmiotów, które realizują czynności na jej rzecz”, do których trafiają dane osobowe. Należy podkreślić, że działalność Spółki polega na gromadzeniu danych o osobach prowadzących działalność gospodarczą i przekazywaniu ich (odpłatnie) osobom zainteresowanym. Spółka nie wskazała Skarżącemu do kogo i w jakim celu trafiły jego dane osobowe oraz jakie były kategorie udostępnionych danych. Możemy wnioskować, że skoro ktoś odpłatnie korzysta z usług firm takich jak Bisnode, to muszą one zbierać szerszy zakres informacji niż te dostępne bezpłatnie np. w CEiDG. Informacji o kategoriach pozyskiwanych, a następnie przekazywanych danych, nie podano również w klauzuli informacyjnej.
Dlaczego organ nadzorczy pozwala Spółce lekceważyć obowiązek przewidziany w art. 15 RODO, chociaż wcześniej postanowił ją srogo ukarać? W innej swojej decyzji z marca 2021 r. twierdził, że „Prawidłowe i rzetelne wypełnienie przez administratora danych tego obowiązku jest niezbędne do zapewnienia osobie, której dane osobowe dotyczą, kontroli prawidłowości procesu przetwarzania danych osobowych. Złożenie wniosku, zależnie od jego treści, zobowiązuje administratora danych do udzielenia pełnych informacji o procesie przetwarzania danych w zakresie nie węższym niż przewiduje powołany przepis art. 15 RODO”.
W tej samej decyzji Prezes UODO wskazuje, że zgodnie z art. 12 RODO administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą, wszelkich informacji. W naszej ocenie przytoczenie przez Bisnode fragmentu polityki prywatności nie jest przejrzystą odpowiedzią na pytania podmiotu danych. Co prawda Pan Marcin od wielu lat zajmuje się ochroną danych osobowych, więc „prawniczy żargon” klauzuli informacyjnej nie jest mu obcy. Należy jednak pamiętać, że Bisnode przetwarza również dane osób, które nie znają dokładnie wymagań RODO realizowanych w klauzulach informacyjnych i trudniej jest im zrozumieć ich często niejasną treść. Mając na uwadze ten fakt, Spółka odpowiadając na żądania osób, których dane dotyczą, powinna prostym językiem i w sposób przejrzysty udzielić informacji o przetwarzanych danych osobowych.
Argumentacja Prezesa UODO w odpowiedzi na skargę Pana Marcina nasuwa wniosek, że należy precyzyjnie formułować żądania skierowane do administratora. Najwyraźniej posługiwanie się językiem potocznym jest niewystarczające i zdaniem Prezesa UODO należy we wnioskach cytować sformułowania użyte w polskiej wersji RODO. Administratorzy często otrzymują żądania, z których nie wynika jasno i bezpośrednio czego oczekuje osoba występująca z wnioskiem. Ponadto, nie zawsze łatwo jest rozróżnić podobne prawa, które z punktu widzenia osoby fizycznej wywoływać mogą tożsamy skutek, jakim może być zaprzestanie przetwarzania danych osobowych (np. prawo do usunięcia danych, sprzeciwu, ograniczenia przetwarzania, czy wycofanie zgody). Zdaniem doktryny, jeżeli administrator nie jest w stanie sam określić, czego żąda dana osoba, powinien każdorazowo prosić o doprecyzowanie jej oczekiwań, a nie zignorować wniosek. Jeżeli administrator chce uniknąć zarzutu zaniechania realizacji praw przysługujących osobom fizycznym, powinien dokładnie analizować każde żądanie. Argumenty nieprecyzyjnego sformułowanie żądań nie powinny przemawiać na korzyść administratora w sytuacji złożenia przez osobę fizyczną skargi lub w sytuacji kontroli UODO. W przypadku skargi Pana Marcina organ postąpił odmiennie, co budzi wiele kontrowersji.
Ostatnie decyzje Prezesa UODO wzbudzają wiele kontrowersji
W ostatnim czasie decyzje Prezesa UODO są bardzo kontrowersyjne. Można nawet dojść do wniosku, że organ umarza postępowania lub podejmuje inne decyzje, nie chcąc gruntownie zbadać danej sprawy. Werdykty Prezesa UODO nie są jednoznaczne. Często w zbliżonych do siebie stanach faktycznych organ nadzorczy wyrokuje odmiennie. Można nawet rzec, że momentami Prezes UODO zaprzecza sam sobie.
W poradniku umieszczonym na stronie internetowej UODO organ stoi na stanowisku, że imienny adres e-mail (tj. zawierający imię i nazwisko, który powiązany jest z konkretną osobą) uznawany jest za dane osobowe. W innym artykule umieszczonym na stronie UODO podkreślono, że imienny adres e-mail zawiera dane z zakresu tzw. „danych zwykłych”. W ostatnim czasie Prezes UODO wydał jednak decyzję, która stanowi zaprzeczenie wcześniej utartej opinii organu nadzorczego. Prezes UODO zajął stanowisko, że służbowy imienny adres e-mail jest powiązany z osobą prawną (podmiotem, w którym zatrudniona jest dana osoba fizyczna), a więc nie stanowi danych osobowych. Jest to całkowita zmiana zajętego przez Prezesa UODO stanowiska względem wcześniej przytoczonych zaleceń.
W doktrynie zdążyło się też już ugruntować przekonanie, że wizerunek osób fizycznych stanowi ich dane osobowe. Co prawda nie zawsze celem jego przetwarzania będzie identyfikacja osoby, ale nie ulega wątpliwości, że jest to cecha umożliwiająca prawie zawsze jej jednoznaczną identyfikację. Zapisując więc w telefonie zdjęcie konkretnej osoby fizycznej przetwarzamy jej dane osobowe. RODO nie ma jednak zastosowania w ramach czynności o charakterze czysto osobistym lub domowym (np. rodzinne zdjęcia z wakacji). Przepisy RODO mają jednak zastosowanie, gdy wykraczamy poza cele czysto prywatne. W takiej sytuacji przetwarzanie wizerunku wymaga spełnienia obowiązków wynikających z RODO. Prezes UODO wydał niedawno decyzję, w której zawarł odmienne stanowisko. Badana sprawa dotyczyła wizerunku utrwalonego na nagraniu z monitoringu hotelowego. Organ orzekł, że „bezspornie uznać należy, iż wizerunek uczestniczek spotkania służbowego (…) nie stanowił (…) danych osobowych”. Co ciekawe organ badał tę sprawę w kontekście nielegalnego przetwarzania danych osobowych. Uznał zatem, że zapoznanie się z materiałem i przekazanie go Zarządowi Spółki „nie wyczerpuje znamion popełnienia czynu określonego w art. 107 ustawy o ochronie danych osobowych”. Chociaż z perspektywy powyższej kontrowersyjnej opinii, bardziej adekwatne wydawałoby się umorzenie sprawy z uwagi na brak przesłanek przedmiotowych skargi. Skoro rzekomo wizerunek to nie dane osobowe, zatem skarga do Urzędu Ochrony Danych Osobowych powinna być całkiem bezzasadna.
Sądy uchylają coraz więcej decyzji Prezesa UODO
W ostatnim czasie bardzo często powodem uchylanie decyzji UODO jest z niedogłębne zbadanie sprawy przez organ. We wrześniu 2021 r. WSA w Warszawie uchylił decyzję Prezesa UODO dot. przetwarzania danych osobowych klienta banku. Sąd w wyroku (wyrok został usunięty ze strony) uzasadnia, że Prezes UODO nie uwzględnił wszystkich okoliczności mogących mieć istotne znaczenie w sprawie. Zdaniem WSA Prezes UODO w sprawach skomplikowanych (jakimi są np. sprawy z zakresu prawa bankowego) powinien konsultować się z innymi organami administracji. W tej konkretnej sprawie Sąd uznał za uchybienie brak konsultacji z Komisją Nadzoru Finansowego. Prezes UODO złożył w tej sprawię skargę kasacyjną (dokument usunięty ze strony) argumentując, że „stanowisko zawarte w wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie w sprawie przetwarzania danych osobowych klienta banku godzi w niezależność i autonomię organu nadzorczego”.
Zasadność zalecenia konsultacji z innymi organami administracji podtrzymują również przedstawiciele doktryny. Zdaniem dr. Arwida Mednisa „Spełnienie wymagań RODO, zwłaszcza odnośnie bezpieczeństwa danych, to w dużej mierze kwestia ocenna. Administrator ocenia ryzyko, koszty, itp. i dobiera odpowiednie zabezpieczenia, a prezes UODO może zbadać poprawność tej oceny i dobór środków. Natomiast rolą sądu powinno być sprawdzenie, czy organ wziął pod uwagę wszystko to, czego RODO w tym zakresie wymaga. A na to procedura sądowo-administracyjna nie pozwala”. Nasuwa się więc pytanie, czy sądy administracyjne nadal powinny badać zasadność decyzji Prezesa UODO, czy bardziej celowym byłoby powierzenie tej kompetencji innemu sądowi.
W marcu br. sąd uchylił decyzję Prezesa UODO nakładającą karę w wysokości 1,1 mln. zł. na Cyfrowy Polsat. Sprawa dotyczyła zagubienia przesyłek kurierskich z danymi osobowymi lub dostarczenia ich na nieprawidłowy adres przez firmy kurierskie. Organ nadzorczy przyjął, że Cyfrowy Polsat jest administratorem danych i to na nim ciążył obowiązek wdrożenia odpowiednich rozwiązań. W ocenie Prezesa UODO firma kurierska była podmiotem przetwarzającym. Sąd uchylając decyzję stwierdził, że organ nadzorczy nie wykazał w sposób wyczerpujący powodu określenia statusu tych dwóch podmiotów. Prawidłowe określenie pozycji podmiotów ma kluczowe znaczenie w tej sprawie. W ocenie Prezesa UODO firma kurierska będąca procesorem przetwarza dane w imieniu administratora, którym w tym przypadku jest Cyfrowy Polsat i to właśnie na nim ciąży odpowiedzialność za wdrożenie odpowiednich rozwiązań. W sytuacji, gdyby firma kurierska była uznana za administratora, to właśnie ona byłaby odpowiedzialna za bezpieczeństwo danych. Zdaniem dr. Pawła Litwińskiego „O ile usługa świadczona przez firmę kurierską polega wyłącznie na doręczeniu przesyłki do adresata, a firmie tej przysługuje status operatora pocztowego, to wówczas ona odgrywa rolę administratora danych osobowych w stosunku do danych nadawcy i odbiorcy”. Co ciekawe, sam Prezes UODO w opinii (dokument został usunięty ze strony) z 2019 r. stwierdził, że „Poczta Polska i inni operatorzy pocztowi w związku z wykonywaniem usług pocztowych są administratorami danych osobowych nadawców i adresatów przesyłek, a jednocześnie odpowiadają za bezpieczeństwo przesyłek (i zawartych w nich danych osobowych) w ramach należytego wykonywania usług pocztowych oraz przestrzegania zasad i obowiązków określonych w Prawie pocztowym”.
Ostatnie decyzje Prezesa UODO nie tylko szokują, ale również szkodzą...
Zmiana stanowisk Prezesa UODO rodzi problemy z prawidłową interpretacją przepisów dotyczących ochrony danych osobowych. Organ nadzorczy brakiem jednomyślności w rozpatrywaniu skarg zmniejsza zaufanie społeczeństwa i przedstawicieli doktryny do urzędu. Prezes UODO zajmując w niemal tożsamych sprawach całkowicie odmienne stanowiska nie tylko „nie pomaga” w prawidłowym interpretowaniu przepisów o ochronie danych osobowych, ale wprowadza chaos i pogłębia brak zrozumienia materii przetwarzania danych osobowych wśród zwykłych obywateli oraz niechęć do realizacji ich uprawnień kontrolnych wobec administratorów. Dobrej reputacji Prezesa UODO nie wzmacnia również fakt, że jego decyzje są coraz częściej uchylane przez sądy z uwagi na niedogłębne zbadanie sprawy.
Sprawa Pana Marcina trafiła najwyraźniej na gorszy okres w funkcjonowaniu UODO. Niemniej jednak postanowił on wykorzystać zawarte w treści decyzji informacje, aby ponownie dowiedzieć się od Bisnode czegoś więcej na temat przetwarzania jego danych.
O rezultatach tych starań poinformujemy na łamach naszego bloga.
AKTUALIZACJA
Od publikacji pierwszej części artykułu minął ponad rok. Tak jak obiecaliśmy, powracamy z jego aktualizacją. Bohater naszej publikacji – Pan Marcin, po niesatysfakcjonującej go decyzji Prezesa UODO ponownie skierował do Bisnode wniosek. Tym razem wykorzystał do tego informacje zawarte w przedmiotowej decyzji organu nadzorczego.
Ponowny wniosek do Bisnode
Pan Marcin skierował do Bisnode mailowy wniosek z następującym żądaniem:
„W trybie art. 15 RODO zwracam się z wnioskiem o przekazanie następujących informacji:
1) jakie kategorie danych na mój temat są przetwarzane (art. 15 ust. 1 lit. b),
2) z jakich źródeł i kiedy dane zostały pozyskane (art. 15 ust. 1 lit. g),
3) jakim podmiotom i kiedy dane zostały udostępnione (art. 15 ust. 1 lit. c),
4) w jakim celu dane zostały udostępnione (art. 15 ust. 1 lit. a),
5) jak długo dane będą przechowywane (art. 15 ust. 1 lit. d).
oraz kopii przetwarzanych informacji (art. 15 ust. 3)”.
Bisnode, zgodnie z obowiązującym miesięcznym terminem, przesłało odpowiedź na żądanie.
Jako zakres przetwarzanych danych spółka wskazała dane rejestrowe działalności (których dokładna treść została wskazana w załączniku do odpowiedzi) oraz dwa adresy mailowe – prywatny (ale podany w CEiDG) oraz służbowy. Jako źródło danych podano „oficjalne źródło rejestrowe CEIDG”. Wskazano dokładny czas pozyskania danych, czyli 6 grudnia 2008 r. (dane rejestrowe), 12.12.2016 r. (prywatny adres mailowy) oraz 10.08.2019 r. (służbowy adres mailowy).
Spółka poinformowała, że po 25 maja 2018 roku (a więc od początku obowiązywania RODO) dane Pana Marcina zostały ujawnione tylko dwóm wskazanym odbiorcom. Spółka podała również daty udostępnienia danych. Należy jednak zwrócić uwagę na fakt, że spółka przetwarza dane wnioskodawcy od 2008 roku. Czyżby przed wejściem w życie przepisów RODO nie istniał obowiązek poinformowania o odbiorcach danych?
Aby potwierdzić tę informację sięgnęliśmy do „starej” ustawy o ochronie danych osobowych z 1997 roku. Kwestię praw osób, której dane dotyczą regulował wówczas art. 32. Na podstawie art. 32 ust. 5 osobie, której dane dotyczą przysługiwało prawo do „uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane”. Klauzula informacyjna dostępna na stronie internetowej spółki rzeczywiście zawiera kategorie odbiorców danych osobowych. Bisnode wskazuje, że są to jej klienci oraz inne spółki z tej samej grupy kapitałowej. Ponadto dane mogą być przekazywane również kontrahentom spółki, w tym podmiotom z tej samej grupy kapitałowej. Mogą one prowadzić usługi „związane z obsługą i wysyłką poczty tradycyjnej, obsługą IT, obsługą księgową czy doradczą”. W klauzuli widnieje informacja, że dane mogą być przekazywane również do odbiorców w państwach trzecich.
Natomiast w udzielonej odpowiedzi zabrakło jakiegokolwiek odniesienia co do odbiorców danych w tamtym okresie. Nie jest pewne czy były to te same kategorie podmiotów co obecnie. Jeśli tak, wystarczające byłoby poinformowanie wnioskodawcy, że kategorie odbiorców danych przed 25 maja 2018 r. dostępne są w klauzuli informacyjnej.
Na mocy art. 15 ust. 1 lit. c RODO osoba, której dane dotyczą uprawniona jest do uzyskania „informacji o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych”. Porównując przepis obecny z wcześniejszym można stwierdzić, że są one niemal tożsame (w szczególności w kwestii informowania o odbiorcach lub kategoriach odbiorców danych). W związku z tym stanowisko Bisnode pomijające w odpowiedzi informacje o odbiorcach lub kategoriach odbiorców przed wejściem w życie RODO jest tym bardziej niezrozumiałe.
Czy wobec powyższego dane Pana Marcina przez 10 lat nie zostały ujawnione żadnym odbiorcom? Czy to może spółka (mimo przekazywania danych wnioskodawcy do kategorii odbiorców wskazanych w klauzuli) tylko pominęła ten fakt w odpowiedzi? Z uwagi na brak informacji ze strony Bisnode niestety nie jesteśmy w stanie poznać odpowiedzi na te pytania.
Czy w związku z tym, że spółka podała kategorie odbiorców danych w klauzuli informacyjnej, przedstawienie wnioskodawcy dokładnych odbiorców danych było działaniem nadmiernym? Przepis wskazuje, że informacja powinna wskazywać na „kategorie lub kategorie odbiorców”. Wykładni art. 15 ust. 1 lit. c podjął się Trybunał Sprawiedliwości UE w wyroku z 12 stycznia 2023 r. (sygn. akt C-154/21) wydanym w trybie prejudycjalnym. TSUE stwierdził, że „(…) na administratorze danych ciąży obowiązek podania tej osobie dokładnej tożsamości tych odbiorców (…)”. TSUE argumentuje to tym, że „(…) w celu zagwarantowania skuteczności wszystkich (…) praw osoby, której dane dotyczą, powinna ona posiadać w szczególności prawo do informacji o tożsamości konkretnych odbiorców, w przypadku gdy jej dane osobowe zostały już ujawnione”.
Z powyższym stanowiskiem TSUE trudno się nie zgodzić. Z resztą ma ono swoje potwierdzenie w innym przepisie RODO. Zgodnie z art. 19 RODO, administrator musi mieć wiedzę o tożsamości wszystkich odbiorców danych, aby móc ich poinformować o sprostowaniu, usunięciu danych osobowych lub ograniczeniu przetwarzania. A ponadto „Administrator informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.” Najwyraźniej Bisnode uznała, że obowiązek ten nie dotyczy udostępnień sprzed momentu obowiązywania RODO. Powinna jednak w jakimkolwiek stopniu odnieść się do tego, w jaki sposób wykorzystywała dane osobowe Pana Marcina od czasu ich zebrania, a więc prawie 10 lat.
Kolejną kwestią, o którą pytał wnioskodawca był cel udostępnienia danych innym odbiorcom. Spółka wskazała, że podstawą prawną przetwarzania przez nią danych osobowych przedsiębiorców jest prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO). Natomiast klienci Bisnode, którym zostały udostępnione dane osobowe m.in. Pana Marcina „posiadają natomiast prawnie uzasadniony interes wynikający z przepisów prawa w pozyskiwaniu informacji o przedsiębiorcach, zapewnienia sobie bezpieczeństwa obrotu gospodarczego, weryfikacji poprawności i wzbogacania posiadanych danych”. Spółka poinformowała również, że nie zapewnia podstaw do przetwarzania danych osobowych do stosowania marketingu bezpośredniego.
W następnym punkcie wnioskodawca zapytał, jak długo jego dane będą przechowywane przez administratora. Spółka w żaden sposób nie odniosła się do pytania. Nie wskazała nawet przypuszczalnego okresu przechowywania danych ani kryteriów ustalania tego okresu. W odpowiedzi podała dobrze znaną z poprzedniej korespondencji formułę „Pełen obowiązek informacyjny wraz z zakresem przetwarzanych danych osobowych (…) znajduje się na naszej stronie internetowej (…)”. Najwidoczniej spółka myli prawo do bycia poinformowanym z prawem dostępu do danych.
Pan Marcin na postawie art. 15 ust. 3 zawnioskował również o przesłanie kopii przetwarzanych informacji. Zgodnie z prośbą kopia danych posiadanych przez Bisnode została przesłana jako załącznik do korespondencji.
Podsumowanie
Ostatnia odpowiedź Bisnode na pytania Pana Marcina była dokładniejsza w porównaniu do tej udzielonej poprzednio. Tym razem spółka nie poprzestała wyłącznie na skopiowaniu treści klauzuli informacyjnej, która przecież jest dostępna dla każdego na stronie internetowej. Jednak mimo „postępu” wciąż można dostrzec liczne nieprawidłowości w zakresie realizacji prawa dostępu przysługującego osobie, której dane dotyczą. Niektóre z pytań ponownie zostały bez odpowiedzi. Ciekawe, czy w tej sytuacji organ nadzorczy również nie dopatrzyłby się uchybień ze strony spółki. Tym razem jednak Pan Marcin nie pokusił się o złożenie skargi do Prezesa UODO. Przewlekłość prowadzenia poprzedniego postępowania przez organ nadzorczy (trwającego prawie 3 lata) skutecznie zniechęca do realizowania praw przysługujących podmiotowi danych na gruncie RODO. Być może z powodu pytań, które wciąż pozostają bez odpowiedzi Pan Marcin zdecyduje się po raz kolejny skierować wniosek do Bisnode. Podobno „do trzech razy sztuka” – być może za trzecim razem Bisnode w sposób rzetelny i pełny wywiąże się z realizacji prawa dostępu do danych. 😊
Franek 23 stycznia, 2023
RODO Artykuł 78 pkt. 2.Bez uszczerbku dla innych administracyjnych lub pozasądowych środków ochrony prawnej każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli organ nadzorczy właściwy zgodnie z art. 55 i 56 nie rozpatrzył skargi lub nie poinformował osoby, której dane dotyczą, w terminie trzech miesięcy o postępach lub efektach rozpatrywania skargi wniesionej zgodnie z art. 77.
Oraz na mocy RODO w sprawach nieuregulowanych w RODO zastosowanie mają zapisy polskiego kpa, czyli 1 miesiąc, a w przypadku spraw szczególnie skomplikowanych (przy czym urząd musi to uzasadnić na piśmie) 3 miesiące.
Marcin Soczko 17 lutego, 2023
Panie Franku, dziękujemy za komentarz.
Doprecyzowaliśmy artykuł.