Kontrowersyjne decyzje UODO

Autor: Malgorzata Cwynar pod red. Marcina Soczko — w kategorii Blog — 30 marca 2022

30

mar
2022

Przepisy RODO przewidują szereg narzędzi służących ochronie praw osób fizycznych. Jednym z nich jest możliwość złożenia skargi do organu nadzorczego. Na podstawie art. 77 RODO jest to możliwe w dowolnym państwie członkowskim Unii Europejskiej, będącym dla osoby skarżącej jej miejscem stałego pobytu, pracy lub miejscem popełnienia domniemanego naruszenia.

W Polsce organem nadzorczym, powołanym ustawą z 10 maja 2018 r. o ochronie danych osobowych, jest Prezes Urzędu Ochrony Danych Osobowych. Jego zadaniem jest kontrola przestrzegania przepisów dotyczących ochrony danych w Polsce, a jedną z jego kompetencji jest rozpatrywanie skarg złożonych przez osoby fizyczne. Skargę złożyć można w formie tradycyjnej oraz elektronicznej. Obie formy są bezpłatne. Podkreślić należy, że organ nadzorczy nie rozpatruje skarg anonimowych. Prezes UODO powinien rozpatrzeć skargę niezwłocznie. Nie został wskazany jednak konkretny termin, w jakim Prezes UODO zobligowany jest do rozpatrzenia skargi. Biorąc pod uwagę dynamikę rozpatrywania ostatnich skarg należy przyjąć, że okres ten może być liczony nawet w latach, co pokażemy na poniższym przykładzie.

Jak już zostało wspomniane wyżej, skarga jest jednym ze środków ochrony prawnej. Prawo do  jej złożenia nie wyklucza możliwości skorzystania z innych środków ochrony prawnej, np.  z  prawa dochodzenia roszczeń przed sądem. W związku z tym osoba może nie tylko złożyć skargę do organu nadzorczego, ale także wnieść do sądu powództwo cywilne. Organ nadzorczy powinien pouczyć osobę, której dane dotyczą o możliwości skorzystania z sądowego środka ochrony prawnej. Zgodnie z art. 78 RODO osoba fizyczna, która złożyła skargę do organu nadzorczego ma prawo odwołać się od wydanej decyzji do sądu.

Skarga na Bisnode Polska Sp. z o.o. Spółka miała już wcześniej problemy z przestrzeganiem przepisów RODO…

Bohaterem tego artykułu oprócz w/w Spółki będzie Pan Marcin Soczko – założyciel Soczko & Partnerzy oraz wieloletni członek Zarządu SABI – Stowarzyszenia Inspektorów Ochrony Danych, który korzystając z praw przysługujących mu na gruncie RODO, chciał dowiedzieć się na jakiej podstawie firma Bisnode Polska Sp. z o.o. przetwarza jego dane osobowe. Oprócz troski o swoje dane, Pana Marcina motywował dodatkowo fakt, że Spółka miała już wcześniej problemy z przestrzeganiem przepisów RODO. Zapisała się na kartach historii jako pierwszy podmiot ukarany w Polsce przez organ nadzorczy za nieprzestrzeganie przepisów RODO. W  2019 roku Prezes UODO, którym była wówczas Edyta Bielak-Jaama, decyzją z 15 marca 2019 r. nałożyła na Spółką karę za niedopełnienie obowiązku informacyjnego w sytuacji pozyskiwania danych osobowych ze źródeł publicznie dostępnych, m.in. z Centralnej Ewidencji i Informacji Działalności Gospodarczej (CEiDG). Spółka poinformowała jedynie część przedsiębiorców (tych, którzy podali w CEiDG swoje adresy mailowe), że ich dane trafiły do bazy spółki. W  przypadku pozostałych osób Bisnode uchyliła się od spełniania obowiązku, powołując się na art. 14 pkt 5 lit b RODO. Przepis ten dopuszcza możliwość odstąpienia od obowiązku informowania w sytuacji, jeżeli wymagałoby to „nadmiernego wysiłku”. W toku wyjaśnień Prezes UODO ustaliła, że Spółka nie dopełniła obowiązku informacyjnego wobec aż 6 mln osób, w tym byłych przedsiębiorców. Obowiązek dopełniony został wobec 90 tys. osób, natomiast 12 tys. z nich zdecydowało się wnieść sprzeciw wobec przetwarzania ich danych osobowych. Sprawa ta była już opisywana na naszym blogu.  Pan Marcin był jedną z tych osób, które otrzymały maila z klauzulą informacyjną. Nie wyraził sprzeciwu, ale odniósł wrażenie, że uchybienie stwierdzone przez organ, to „wierzchołek góry lodowej”. 

Bezskuteczne żądanie skierowane do Spółki i skarga do Prezesa UODO

Dnia 2 kwietnia 2019 roku Pan Marcin wystąpił do Bisnode z wnioskiem o treści: „jakie kategorie danych na mój temat przetwarzacie oraz jaka jest ich treść, a także z jakich źródeł, kiedy zostały pozyskane i  jakim podmiotom, kiedy zostały udostępnione oraz w jakim celu”. W odpowiedzi Spółka po 2 tygodniach przesłała Panu Marcinowi część klauzuli informacyjnej znajdującej się na jej stronie internetowej i w żadnym stopniu nie odniosła się bezpośrednio do przesłanych pytań. W związku z otrzymaniem niezadowalającej odpowiedzi Pan Marcin ponownie wystąpił z żądaniem udzielenia informacji na temat jego danych przetwarzanych przez Spółkę. Nie otrzymał jednak odpowiedzi, więc zdecydował się skorzystać z prawa wniesienia skargi do Prezesa UODO.

Pan Marcin skargę do Prezesa UODO złożył w kwietniu 2019 roku. Decyzja wydana została w  styczniu 2022 roku – prawie po 3 latach. W treści decyzji czytamy, że w toku wyjaśnień Bisnode zaznaczyła, że nie udzieliła odpowiedzi Panu Marcinowi, ponieważ „przysługujące Skarżącemu prawo dostępu do danych zostało zrealizowane, a sam wniosek był powtórzeniem zrealizowanego prawa”. Prezes UODO po zbadaniu sprawy przyznał rację Spółce. Stwierdzi m.in., że „Analiza udzielonej Skarżącemu przez Spółką odpowiedzi wskazuje, że Spółka przekazała Skarżącemu żądane przez niego informacje związane z przetwarzaniem jego danych osobowych w zakresie wynikającym z tego wniosku”.

Czy zdaniem Prezesa UODO przytoczenie (a raczej skopiowanie) fragmentu polityki prywatności jest wystarczającą realizacją prawa dostępu? Przypomnijmy, że Pan Marcin pytał o następujące kwestie: jakie kategorie danych na jego temat są przetwarzane i jaka jest ich treść, z jakich źródeł i kiedy zostały pozyskane oraz jakim podmiotom i w jakim celu zostały przekazane. Po pierwsze należy zwrócić uwagę, że zgodnie z art. 15 ust. 1 RODO osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarza jej dane osobowe. Jeżeli ma to miejsce to osoba fizyczna uprawniona jest uzyskać do nich dostęp. Spółka nie potwierdziła nawet, czy przetwarza dane Pana Marcina. Przytoczony fragment klauzuli odnosił się bowiem do wszystkich danych, które przetwarza Bisnode. Należy zwrócić uwagę, że Pan Marcin chciał uzyskać informacje tylko o swoich danych osobowych, a nie w ogóle danych przetwarzanych przez Bisnode.

Zasadniczą kwestią, o którą pytał Pan Marcin były kategorie jego danych osobowych, które przetwarza Bisnode oraz ich treść. W treści odpowiedzi czytamy, że Bisnode „pozyskuje, przetwarza i udostępnia dane jawne (nazwa podmiotu, adres rejestrowy, numery rejestrowe, PKD, adres email) pochodzące z oficjalnych źródeł rejestrowych tj. GUS, CEIDG”. Zważywszy jednak, że Spółka kończąc odpowiedź skierowaną do Pana Marcina, wkleiła link przekierowujący do „pełnego obowiązku informacyjnego”, postanowiliśmy właśnie tam poszukać więcej informacji o przetwarzanych przez Spółkę danych. Ku naszemu zdziwieniu w pełnej klauzuli informacyjnej nie znaleźliśmy informacji o kategoriach danych osobowych przetwarzanych przez Bisnode. Spółka informuje jedynie, że przetwarza dane osobowe w zakresie, w jakim są one udostępniane przez ogólnodostępne źródła. Sygnalizuje również, że nie są to dane wrażliwe. Na marginesie pojawia się pytanie, czy taka informacja jest wystarczającym wypełnieniem obowiązku określonego w art. 14 ust. 1 lit. d RODO, w kontekście zasady przejrzystości. W naszej ocenie – zdecydowanie nie, dlatego klientom doradzamy, aby w takich sytuacjach wskazywali, jaki jest konkretnie zakres pozyskanych danych osobowych. Przez analogię do transparentności przy zbieraniu danych bezpośrednio od osoby, której one dotyczą, ponieważ wówczas wie ona jakie dane podaje.

Widocznie naszego zdania nie podziela organ nadzorczy. W ocenie Prezesa UODO przytoczenie przez Spółkę fragmentu klauzuli informacyjnej skutecznie zaspokoiło żądanie Skarżącego. Według organu nadzorczego wskazano kategorie przetwarzanych danych, informację o ich źródle, podstawę prawną, cel i informację o odbiorcach danych. Podkreślono też, że obowiązek informacyjny nie obejmuje konieczności podania treści danych. A Pan Marcin nie zwrócił się do Spółki o kopię jego danych, nie wystąpił również z wnioskiem o uzyskanie do nich dostępu.

Kolejną kwestią, o którą pytał Pan Marcin, był czas i źródło pozyskania jego danych. Bisnode w odpowiedzi poinformowała, że dane pochodzą z oficjalnych źródeł rejestrowych. Nie podano, skąd konkretnie one pochodziły. Spółka nie odpowiedziała w ogóle na drugą część pytania, czyli o czas pozyskania danych. Nie wskazano nawet przybliżonego okresu pozyskania danych, na co organ w decyzji nie zwrócił uwagi. Prezes UODO twierdzi, że „Spółka przekazała Skarżącemu żądane przez niego informacje związane z przetwarzaniem jego danych osobowych w zakresie wynikającym z jego wniosku”.

Brak informacji jakie konkretnie dane są przetwarzane oraz kiedy zostały zebrane uniemożliwia dodatkowo skorzystanie z prawa do sprostowania danych. Skoro Skarżący nie uzyskał informacji o kategoriach przetwarzanych danych i czasie ich pozyskania, ani nie poznał ich treści, to nie może zweryfikować ich aktualności.

Ostatnim elementem żądania Pana Marcina było przedstawienie przez Spółkę informacji jakim podmiotom, kiedy i w jakim celu zostały udostępnione jego dane osobowe. Spółka przytaczając fragment klauzuli informacyjnej poinformowała jedynie, że odbiorami danych są wszystkie podmioty, które realizują określone czynności na rzecz administratora. Dane trafiają do głównej siedziby Bisnode w Szwecji oraz do zewnętrznej kancelarii prawnej obsługującej Spółkę. Firma nie wskazała tych „wszystkich podmiotów, które realizują czynności na jej rzecz”, do których trafiają dane osobowe. Należy podkreślić, że działalność Spółki polega na gromadzeniu danych o osobach prowadzących działalność gospodarczą i przekazywaniu ich (odpłatnie) osobom zainteresowanym. Spółka nie wskazała Skarżącemu do kogo i w jakim celu trafiły jego dane osobowe oraz jakie były kategorie udostępnionych danych. Możemy wnioskować, że skoro ktoś odpłatnie korzysta z usług firm takich jak Bisnode, to muszą one zbierać szerszy zakres informacji niż te dostępne bezpłatnie np. w CEiDG. Informacji o  kategoriach pozyskiwanych, a następnie przekazywanych danych, nie podano również w klauzuli informacyjnej.

Dlaczego organ nadzorczy pozwala Spółce lekceważyć obowiązek przewidziany w art. 15 RODO, chociaż wcześniej postanowił ją srogo ukarać? W innej swojej decyzji z marca 2021 r. twierdził, że „Prawidłowe i rzetelne wypełnienie przez administratora danych tego obowiązku jest niezbędne do zapewnienia osobie, której dane osobowe dotyczą, kontroli prawidłowości procesu przetwarzania danych osobowych. Złożenie wniosku, zależnie od jego treści, zobowiązuje administratora danych do udzielenia pełnych informacji o procesie przetwarzania danych w zakresie nie węższym niż przewiduje powołany przepis art. 15 RODO”.

W tej samej decyzji Prezes UODO wskazuje, że zgodnie z art. 12 RODO administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą, wszelkich informacji. W naszej ocenie przytoczenie przez Bisnode fragmentu polityki prywatności nie jest przejrzystą odpowiedzią na pytania podmiotu danych. Co prawda Pan Marcin od wielu lat zajmuje się ochroną danych osobowych, więc „prawniczy żargon” klauzuli informacyjnej nie jest mu obcy. Należy jednak pamiętać, że Bisnode przetwarza również dane osób, które nie znają dokładnie wymagań RODO realizowanych w klauzulach informacyjnych i trudniej jest im zrozumieć ich często niejasną treść. Mając na uwadze ten fakt, Spółka odpowiadając na żądania osób, których dane dotyczą, powinna prostym językiem i w sposób przejrzysty udzielić informacji o  przetwarzanych danych osobowych.

Argumentacja Prezesa UODO w odpowiedzi na skargę Pana Marcina nasuwa wniosek, że należy precyzyjnie formułować żądania skierowane do administratora. Najwyraźniej posługiwanie się językiem potocznym jest niewystarczające i zdaniem Prezesa UODO należy we wnioskach cytować sformułowania użyte w polskiej wersji RODO. Administratorzy często otrzymują żądania, z  których nie wynika jasno i bezpośrednio czego oczekuje osoba występująca z wnioskiem. Ponadto, nie zawsze łatwo jest rozróżnić podobne prawa, które z punktu widzenia osoby fizycznej wywoływać mogą tożsamy skutek, jakim może być zaprzestanie przetwarzania danych osobowych (np. prawo do usunięcia danych, sprzeciwu, ograniczenia przetwarzania, czy wycofanie zgody). Zdaniem doktryny, jeżeli administrator nie jest w stanie sam określić, czego żąda dana osoba, powinien każdorazowo prosić o doprecyzowanie jej oczekiwań, a nie zignorować wniosek. Jeżeli administrator chce uniknąć zarzutu zaniechania realizacji praw przysługujących osobom fizycznym, powinien dokładnie analizować każde żądanie. Argumenty nieprecyzyjnego sformułowanie żądań nie powinny przemawiać na korzyść administratora w sytuacji złożenia przez osobę fizyczną skargi lub w sytuacji kontroli UODO. W przypadku skargi Pana Marcina organ postąpił odmiennie, co budzi wiele kontrowersji.

Ostatnie decyzje Prezesa UODO wzbudzają wiele kontrowersji

W ostatnim czasie decyzje Prezesa UODO są bardzo kontrowersyjne. Można nawet dojść do wniosku, że organ umarza postępowania lub podejmuje inne decyzje, nie chcąc gruntownie zbadać danej sprawy. Werdykty Prezesa UODO nie są jednoznaczne. Często w zbliżonych do siebie stanach faktycznych organ nadzorczy wyrokuje odmiennie. Można nawet rzec, że momentami Prezes UODO zaprzecza sam sobie.

W poradniku umieszczonym na stronie internetowej UODO organ stoi na stanowisku, że imienny adres e-mail (tj. zawierający imię i nazwisko, który powiązany jest z konkretną osobą) uznawany jest za dane osobowe. W innym artykule umieszczonym na stronie UODO podkreślono, że imienny adres e-mail zawiera dane z zakresu tzw. „danych zwykłych”.   W  ostatnim czasie Prezes UODO wydał jednak decyzję, która stanowi zaprzeczenie wcześniej utartej opinii organu nadzorczego. Prezes UODO zajął stanowisko, że służbowy imienny adres e-mail jest powiązany z osobą prawną (podmiotem, w którym zatrudniona jest dana osoba fizyczna), a więc nie stanowi danych osobowych. Jest to całkowita zmiana zajętego przez Prezesa UODO stanowiska względem wcześniej przytoczonych zaleceń.

W doktrynie zdążyło się też już ugruntować przekonanie, że wizerunek osób fizycznych stanowi ich dane osobowe. Co prawda nie zawsze celem jego przetwarzania będzie identyfikacja osoby, ale nie ulega wątpliwości, że jest to cecha umożliwiająca prawie zawsze jej jednoznaczną identyfikację. Zapisując więc w telefonie zdjęcie konkretnej osoby fizycznej przetwarzamy jej dane osobowe. RODO nie ma jednak zastosowania w ramach czynności o charakterze czysto osobistym lub domowym (np. rodzinne zdjęcia z wakacji). Przepisy RODO mają jednak zastosowanie, gdy wykraczamy poza cele czysto prywatne. W takiej sytuacji przetwarzanie wizerunku wymaga spełnienia obowiązków wynikających z RODO. Prezes UODO wydał niedawno decyzję, w której zawarł odmienne stanowisko. Badana sprawa dotyczyła wizerunku utrwalonego na nagraniu z monitoringu hotelowego. Organ orzekł, że „bezspornie uznać należy, iż wizerunek uczestniczek spotkania służbowego (…) nie stanowił (…) danych osobowych”. Co ciekawe organ badał tę sprawę w kontekście nielegalnego przetwarzania danych osobowych. Uznał zatem, że zapoznanie się z materiałem i przekazanie go Zarządowi Spółki „nie wyczerpuje znamion popełnienia czynu określonego w art. 107 ustawy o ochronie danych osobowych”. Chociaż z  perspektywy powyższej kontrowersyjnej opinii, bardziej adekwatne wydawałoby się umorzenie sprawy z uwagi na brak przesłanek przedmiotowych skargi. Skoro rzekomo wizerunek to nie dane osobowe, zatem skarga do Urzędu Ochrony Danych Osobowych jest w ogóle bezzasadna.

Sądy uchylają coraz więcej decyzji Prezesa UODO

W ostatnim czasie bardzo często powodem uchylanie decyzji UODO jest z niedogłębne zbadanie sprawy przez organ. We wrześniu 2021 r. WSA w Warszawie uchylił decyzję Prezesa UODO dot. przetwarzania danych osobowych klienta banku. Sąd w wyroku uzasadnia, że Prezes UODO nie uwzględnił wszystkich okoliczności mogących mieć istotne znaczenie w sprawie. Zdaniem WSA Prezes UODO w sprawach skomplikowanych (jakimi są np. sprawy z zakresu prawa bankowego) powinien konsultować się z innymi organami administracji. W tej konkretnej sprawie Sąd uznał za uchybienie brak konsultacji z Komisją Nadzoru Finansowego. Prezes UODO złożył w tej sprawię skargę kasacyjną argumentując, że „stanowisko zawarte w  wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie w sprawie przetwarzania danych osobowych klienta banku godzi w niezależność i autonomię organu nadzorczego”.

Zasadność zalecenia konsultacji z innymi organami administracji podtrzymują również przedstawiciele doktryny. Zdaniem dr. Arwida Mednisa „Spełnienie wymagań RODO, zwłaszcza odnośnie bezpieczeństwa danych, to w dużej mierze kwestia ocenna. Administrator ocenia ryzyko, koszty, itp. i dobiera odpowiednie zabezpieczenia, a prezes UODO może zbadać poprawność tej oceny i dobór środków. Natomiast rolą sądu powinno być sprawdzenie, czy organ wziął pod uwagę wszystko to, czego RODO w tym zakresie wymaga. A na to procedura sądowo-administracyjna nie pozwala”. Nasuwa się więc pytanie, czy sądy administracyjne nadal powinny badać zasadność decyzji Prezesa UODO, czy bardziej celowym byłoby powierzenie tej kompetencji innemu sądowi.

W marcu br. sąd uchylił decyzję Prezesa UODO nakładającą karę w wysokości 1,1 mln. zł. na Cyfrowy Polsat. Sprawa dotyczyła zagubienia przesyłek kurierskich z danymi osobowymi lub dostarczenia ich na nieprawidłowy adres przez firmy kurierskie. Organ nadzorczy przyjął, że Cyfrowy Polsat jest administratorem danych i to na nim ciążył obowiązek wdrożenia odpowiednich rozwiązań. W ocenie Prezesa UODO firma kurierska była podmiotem przetwarzającym. Sąd uchylając decyzję stwierdził, że organ nadzorczy nie wykazał w sposób wyczerpujący powodu określenia statusu tych dwóch podmiotów. Prawidłowe określenie pozycji podmiotów ma kluczowe znaczenie w tej sprawie. W ocenie Prezesa UODO firma kurierska będąca procesorem przetwarza dane w imieniu administratora, którym w tym przypadku jest Cyfrowy Polsat i to właśnie na nim ciąży odpowiedzialność za wdrożenie odpowiednich rozwiązań. W sytuacji, gdyby firma kurierska była uznana za administratora, to właśnie ona byłaby odpowiedzialna za bezpieczeństwo danych. Zdaniem dr. Pawła Litwińskiego „O ile usługa świadczona przez firmę kurierską polega wyłącznie na doręczeniu przesyłki do adresata, a firmie tej przysługuje status operatora pocztowego, to wówczas ona odgrywa rolę administratora danych osobowych w stosunku do danych nadawcy i odbiorcy”. Co ciekawe, sam Prezes UODO w opinii z 2019 r. stwierdził, że „Poczta Polska i inni operatorzy pocztowi w związku z wykonywaniem usług pocztowych są administratorami danych osobowych nadawców i adresatów przesyłek, a jednocześnie odpowiadają za bezpieczeństwo przesyłek (i zawartych w nich danych osobowych) w ramach należytego wykonywania usług pocztowych oraz przestrzegania zasad i obowiązków określonych w Prawie pocztowym”.

Ostatnie decyzje Prezesa UODO nie tylko szokują, ale również szkodzą...

Zmiana stanowisk Prezesa UODO rodzi problemy z prawidłową interpretacją przepisów dotyczących ochrony danych osobowych. Organ nadzorczy brakiem jednomyślności w  rozpatrywaniu skarg zmniejsza zaufanie społeczeństwa i przedstawicieli doktryny do urzędu. Prezes UODO zajmując w niemal tożsamych sprawach całkowicie odmienne stanowiska nie tylko „nie pomaga” w prawidłowym interpretowaniu przepisów o  ochronie danych osobowych, ale wprowadza chaos i pogłębia brak zrozumienia materii przetwarzania danych osobowych wśród zwykłych obywateli oraz niechęć do realizacji ich uprawnień kontrolnych wobec administratorów. Dobrej reputacji Prezesa UODO nie wzmacnia również fakt, że jego decyzje są coraz częściej uchylane przez sądy z uwagi na niedogłębne zbadanie sprawy.

Sprawa Pana Marcina trafiła najwyraźniej na gorszy okres w funkcjonowaniu UODO. Niemniej jednak postanowił on wykorzystać zawarte w treści decyzji informacje, aby ponownie dowiedzieć się od Bisnode czegoś więcej na temat przetwarzania jego danych.

O rezultatach tych starań poinformujemy na łamach naszego Bloga.

Dołącz do dyskusji

Podanie adresu e-mail jest związane z moderacją treści komentarza, w szczególności z ewentualnym kontaktem z Użytkownikiem, w celu uzgodnienia ostatecznej treści, co stanowi prawnie uzasadniony interes administratora. Po opublikowaniu komentarza widoczna jest jedynie jego treść i data publikacji oraz imię autora, reszta danych jest niezwłocznie usuwana. Szczegóły dotyczące przetwarzania danych osobowych zawarte są w Polityce prywatności.


dziesięć + siedem =