RODO – Wysokie koszty to nie to samo co niewspółmierny wysiłek

Sprawa pierwszej administracyjnej kary pieniężnej nałożonej przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie RODO dotyczyła naruszenia obowiązku informacyjnego z art. 14 RODO przez spółkę, która pozyskiwała dane osobowe z publicznych rejestrów, w tym z CEIDG. W 2019 r. sprawę rozpoznawał Wojewódzki Sąd Administracyjny w Warszawie, a następnie Naczelny Sąd Administracyjny oddalił skargę kasacyjną spółki i potwierdził zasadnicze stanowisko organu nadzorczego.

W rozpoznawanej przez WSA sprawie spółka, która przetwarzała dane osobowe osób fizycznych pozyskane z publicznych rejestrów (CEIDG), nie poinformowała o tym osób, których dane dotyczyły, w sposób tradycyjny, tj. poprzez listowną wysyłkę odpowiedniej informacji. Spółka argumentowała, iż z uwagi na treść art. 14 ust. 5 lit. b RODO nie była do tego zobowiązana. Zgodnie z tym przepisem informacja o przetwarzaniu danych osobowych nie musi być przekazywana osobie, której dane dotyczą, w zakresie, w jakim udzielenie takiej informacji wymagałoby niewspółmiernie dużego wysiłku od administratora. Poprzez niewspółmiernie duży wysiłek spółka rozumiała obciążenia organizacyjne oraz finansowe, w tym koszty druku, przygotowania do wysyłki i nadania, koszty papieru, tonerów, kopert i znaczków pocztowych, obsługi zwrotów korespondencji, ewentualnie wynagrodzenie podmiotów, którym mogłaby zlecić wykonanie tego zadania.

W ocenie Sądu pojęcie niewspółmiernie dużego wysiłku nie może być jednak utożsamiane wyłącznie z wysokością kosztów, jakie administrator musiałby ponieść. Sąd podkreślił, że ani kwestie organizacyjne, ani kwestie finansowe nie przeważają nad prawami osób fizycznych, których dane osobowe są przez administratora przetwarzane w celach komercyjnych. Fakt, że każdy ma prawo i możliwość zapoznania się z danymi z rejestru CEIDG, nie jest równoznaczny z tym, że osoby fizyczne prowadzące jednoosobową działalność gospodarczą nie mają prawa do ochrony swoich danych osobowych, w tym kontroli ich przetwarzania.

Sprawa miała dalszy ciąg przed Naczelnym Sądem Administracyjnym. NSA oddalił skargę kasacyjną spółki i potwierdził, że administrator powinien spełnić obowiązek informacyjny wobec osób prowadzących działalność gospodarczą, których dane pozyskał z publicznych rejestrów. NSA podkreślił również, że transparentność przetwarzania danych jest jedną z podstawowych zasad RODO, a wyjątki od obowiązku informacyjnego, w tym wyjątek dotyczący „niewspółmiernie dużego wysiłku”, należy interpretować ostrożnie.

W praktyce oznacza to, że administrator nie może powołać się na „niewspółmiernie duży wysiłek” tylko dlatego, że poinformowanie osób byłoby kosztowne, czasochłonne albo organizacyjnie niewygodne. Wyjątek ten powinien być stosowany ostrożnie, szczególnie gdy dane są wykorzystywane w celach komercyjnych. Dane dostępne w publicznym rejestrze nadal pozostają danymi osobowymi, a osoby, których dane dotyczą, mają prawo wiedzieć, kto, w jakim celu i na jakiej podstawie je przetwarza.