Pierwsza kara RODO w Polsce - czy słusznie?

Pierwsza kara została (w końcu?) nałożona przez Prezesa Urzędu Ochrony Danych Osobowych - dowiadujemy się na https://uodo.gov.pl/pl/138/786. Czytamy tam, że:

Jak wyjaśniał Piotr Drobek, Dyrektor Zespołu Analiz i Strategii w UODO – Spółka nie dopełniała obowiązku informacyjnego w stosunku do ponad 6 mln osób.  Spośród około 90 tys. osób których spółka poinformowała o przetwarzaniu danych ponad 12 tys. wniosło sprzeciw wobec przetwarzania ich danych. Pokazuje to jak ważne jest prawidłowe spełnienie obowiązków informacyjnych dla realizacji uprawnień przysługujących nam zgodnie z RODO.  

W decyzji w tej sprawie dowiadujemy się:

W systemie informatycznym o nazwie „N[…]” (zwanym dalej: „system N[…]”) Spółka przetwarza dane osobowe osób fizycznych prowadzących działalność gospodarczą, które zostały pozyskane ze źródeł ogólnie dostępnych, w tym z rejestrów publicznych, m.in. z Centralnej Ewidencji i Informacji o Działalności Gospodarczej, z Bazy REGON Głównego Urzędu Statystycznego, z Monitora Sądowego i Gospodarczego ([…]).

Przyjrzyjmy się jeszcze raz o jakie informacje chodzi - dane osób prowadzących działalność gospodarczą. W Polsce mamy taki model, że podmiotem gospodarczym może być osoba fizyczna prowadząca działalność. I tutaj mamy niezły bałagan, bo ustawodawca przez ostatnie lata sam już nie wiedział, co z tym fantem począć - raz te dane chroniono, a raz nie. 

A ja zastanawiam się, czy to podejście jest słuszne?

Dlaczego dane przedsiębiorców w takim świetle mają podlegać RODO? Rzućmy okiem na motyw 14 RODO, który odnosi się pośrednio do zagadnienia przetwarzania danych osobowych osób fizycznych prowadzących działalność gospodarczą:

Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej.

Dla pewności zamieszczę wersję angielską:

This Regulation does not cover the processing of personal data which concerns legal persons and in particular undertakings established as legal persons, including the name and the form of the legal person and the contact details of the legal person.

Rzuciłem nawet okiem na wersję hiszpańską, w której mowa o persona jurídica:

El presente Reglamento no regula el tratamiento de datos personales relativos a personas jurídicas y en particular a empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto.

W pierwotnej propozycji RODO mieliśmy:

With regard to the processing of data which concern legal persons and in particular undertakings established as legal persons, including the name and the form of the legal person and the contact details of the legal person, the protection of this Regulation should not be claimed by any person. This should also apply where the name of the legal person contains the names of one or more natural persons.

I teraz zastanówmy się jakie to mogą byc dane osobowe które dotyczą osób prawnych? Kogo mógł mieć prawodawca unijny na myśli? Z treści motywu 14 wynikałoby, że osoby fizyczne prowadzące działalność nie są wyłączone z ochrony, jaką daje rozporządzenie, zatem ich dane należałoby chronić tak, jak dane każdej innej osoby. Biorąc jednak pod uwagę wykładnię celowościową, gdyby ustawodawca chciał wyłączyć ze stosowania rozporządzenia tylko osoby prawne, to by je po prostu wyłączył i nie wyszczególniał by jakie dane nie potrzebują ochrony (danych o firmie, jej formie i danych kontaktowych). Przez takie dane osobowe "osób prawnych" można rozumieć przykładowo informację Dane osobowe Leszek Kępa S.A (bo w nazwie osoby prawnej są dane osoby fizycznej).

Przez legal entity należałoby rozumieć raczej każdy podmiot (zarówno osobę fizyczną jak i prawną), która może zawierać umowy, pozywać i być pozywana.  Dane osoby fizycznej prowadzącej działalnośc gospodarczą należ rozumieć jako właśnie takie "legal entity" i nie powinny podlegać ochronie przewidzianej dla osób fizycznych w RODO, pod warunkiem, że są przetwarzane wyłącznie w celach biznesowych / współpracy i są to dane, które są powszechnie używane w obrocie gospodarczym, a przynajmniej takie, których używanie będzie oczywiste, „niezaskakujące” dla osoby prowadzącej działalność. Za takie oczywiste dane należałoby uznać dane:

• firmę czyli nazwę działalności 
• adres prowadzenia działalności
• telefon firmowy lub podawany do kontaktów biznesowych
• adres poczty elektronicznej lub podawany do kontaktów biznesowych
• numer rachunku bankowego
• numer NIP (bo występuje na fakturach)
• numer Regon

Zbiór danych osób fizycznych prowadzących działalność, współpracujących nie będzie wymagał ochrony wynikającej z rozporządzenia, dopóki dane przetwarzane są wyłącznie w celach gospodarczych. Jeśli firma zacznie takim „jednoosobowym firmom” oferować swoje towary lub usługi traktując je jako osoby, a nie jako działalność gospodarczą, natychmiast zmieni się charakter tych informacji na "prawdziwie osobowe." Przykładowo gdyby do mnie odezwało się Wydawnictwo C.H. Beck proponując mi zakup komentarza do RODO pod red. P. Litwińskiego - nie zdziwiłoby mnie to - jest to związane z tym, czym się zajmuję. Ale gdyby oferowano mi leki czy zakupy spożywcze to już pewnie w celu osobistym - trudno mówić o związku z działalnością gospodarczą.

Bisnode, bo na tę firmę kara została nałożona, nie zgadza się z nią - czytamy w Gazecie Prawnej. Mówi się, że "w dwóch innych krajach nasza firma również była kontrolowana i nie dopatrzono się żadnych uchybień".  Moim zdaniem zabrakło tu spójności - w końcu jeśli w innych krajach było OK, to znaczy, że albo tamte organy są słabe i nie potrafią dobrze przeprowadzić kontroli, albo nasz organ jest nadgorliwy lub doszukał się problemu tam gdzie go nie ma. To jest jedna z tych dobrych rzeczy, które RODO przynosi - w końcu nie jesteśmy sami na tym podwórku i można patrzeć jak robią to inni. Jeśli nasza kara jest słuszna, to inne kraje powinny zweryfkować swoje podejście i być może też karać. Lub odwrotnie. W końcu o to w RODO chodziło - jeden zestaw przepisów dla wszystkich.

Inna rzecz, że Bisnode samo na siebie ukręciło bata uznając przetwarzane dane za dane podlegające ochronie wynikającej z RODO. A skoro tak zrobił, to obowiązek informacyjny powinien wykonać. Wysoki koszt wysłania listów do tych przedsiębiorców, do których nie mieli adresu poczty elektroniczną nie stanowi usprawiedliwienia - per firmę (per osobę) jest to kilka złotych, więc nie można to uznać za nadmierny koszt. Nadmierny byłby, gdyby trzeba było wydać kupę kasy, aby kupić dodatkowe dane, które by umożliwiały spełnienie obowiązku informacyjnego. 

Możliwe, że pewnie bym zaryzykował podejście, ze to są dane podmiotów gospodarczych i że obowiązków informacyjnych nie trzeba spełniać. Dlaczego miałbym informować firmy, że przetwarzam ich dane? Podmiot gospodarczy to podmiot gospodarczy i już. A jesli to nie jest jasne, to Europejska Rada powinna się nad tym pochylić i wydać jednoznaczną opinię - od tego w końcu ją mamy. 

Zobaczmy, co dalej z tego wyniknie. Przypadek jest ciekawy i bez wątpienia będzie pomocny w ustaleniu statusu takich danych.

Aktualizacja

Właśnie zapoznałem się z "Rządowym projektem ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679" - i widzę tam, że art. 158 uchyla się art. 50 ustawy o Centralnej Ewidencji i Informacji o Działalności Gospodarczej i Punkcie Informacji dla Przedsiębiorcy. Uchylany artykuł brzmi tak:

Art. 50. Do jawnych danych i informacji udostępnianych przez CEIDG nie stosuje się przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
(Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138), z wyjątkiem przepisów art. 14–19a i art. 21–22a oraz rozdziału 5 tej ustawy.

Ponieważ nowe przepisy nie weszły jeszcze w życie - czy należałoby więc uznać, że kara nie powinna zostać nałożona?

 

Obrazek: