W 2019 roku Prezes Urzędu Ochrony Danych Osobowych nałożył pierwszą administracyjną karę pieniężną od momentu wejścia w życie przepisów Rozporządzenia o ochronie danych osobowych (dalej jako „RODO”). Kara została nałożona na spółkę Bisnode (obecnie Dun & Bradstreet) w wysokości 943 tysięcy złotych. PUODO zarzuciło w tamtym czasie, że Bisnode jako broker danych, pozyskiwała dane osobowe (głównie przedsiębiorców prowadzących jednoosobowe działalności gospodarcze) z ogólnodostępnych rejestrów publicznych (jak np. CEIDG). Główny zarzut, który postawił Spółce organ nadzorczy dotyczył braku realizacji obowiązków informacyjnych wobec osób, których dane zostały pozyskane z publicznych rejestrów. Zgodnie z ustalonymi informacjami przez PUODO skala braku realizacji obowiązku informacyjnego była naprawdę spora, ponieważ dotyczyła blisko 6 mln rekordów. Teraz okoliczności całej sprawy zostały rozpatrzone przed Naczelnym Sądem Administracyjnym.
Główny zarzut PUODO z decyzji administracyjnej nakładającą karę pieniężną był brak realizacji obowiązku informacyjnego przewidzianego w art. 14 RODO. Jednocześnie ukarana spółka zasłaniała się art. 14 ust. 5 lit. b RODO, który wskazuje, że realizacja obowiązku informacyjnego nie jest wymagana, gdy: „udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku”. I tego właśnie argumentu na swoją obronę używała Spółka. Bisnode zwracało uwagę, że dysponując wyłącznie adresami prowadzonej działalności, wysyłanie w formie listu poleconego, tak wielu klauzul informacyjnych, powodowałyby ogromne koszty finansowe po stronie Spółki. PUODO z kolei zwrócił uwagę, że przepisy nie nakładają na administratora obowiązku wysyłania takiej korespondencji w formie listu poleconego. Organ nadzorczy finalnie stwierdził, że realizacja prawa do informacji na temat przetwarzania danych osobowych jest jednym z podstawowych praw podmiotów danych na gruncie RODO i powinna być realizowana możliwie najpełniej przez administratora. Dodatkowo, PUODO uznało, że naruszenie miało charakter w pełni umyślny, a Spółka nie podejmowała prób, które mógłby wskazane naruszenie wyeliminować.
Spółka złożyła skargę do Wojewódzkiego Sądu Administracyjnego na decyzję wydaną przez PUODO. WSA w wyroku z grudnia 2019 uchylił decyzję o nałożeniu administracyjnej kary pieniężnej (sygn. II Sa/Wa 1030/19). Uchylenie decyzji nie dotyczyło jednak stricte przepisów materialnych, a Sąd potwierdził, że ukarana Spółka powinna zrealizować wobec podmiotów danych obowiązek informacyjny z art. 14 RODO, ale tylko wobec osób, które w momencie wydania decyzji prowadziły działalności gospodarczą. W związku z tym zmieniła się liczba osób, których dane zostały objęte naruszeniem. Niemniej, uchylenie decyzji przez WSA spowodowane były kwestiami proceduralnymi.
Bisnode złożyło jednak skargę kasacyjną do Naczelnego Sądu Administracyjnego. W wyroku o sygnaturze II OSK 2538/21, NSA oddalił skargę kasacyjną Bisnode. Spółka raz jeszcze w skardze kasacyjnej zwracała uwaga, że nie spełniła obowiązku informacyjnego z wykorzystaniem tradycyjnej poczty z uwagi na tzw. „niewspółmiernie duży wysiłek. NSA jednak tym razem przyznał rację PUODO. Sąd podkreślił, że transparentne przetwarzanie danych osobowych jest jedną z podstawowych zasad RODO. Podmioty danych powinny otrzymywać informacje, w jaki sposób i dla jakich celów przetwarzane są ich dane osobowe. Co ważne – Spółka nie powinna wskazywać w tej sytuacji na „niewspółmiernie duży wysiłek” z uwagi na to, że pozyskiwanie i obrót danymi osobowymi jest jednym z kluczowych elementów działalności gospodarczej firmy. Spółka pozyskując te dane, zarabia na nich. Nie może więc uzasadniać braku realizacji podstawowych praw podmiotów danych, tzw. „niewspółmiernym dużym wysiłkiem” – który zdaniem NSA powinien być traktowany jako wyjątek, a nie reguła.
To nie koniec tej sprawy. Sprawa Bisnode ponownie trafi do PUODO, gdzie zgodnie z wyrokiem WSA, PUODO musi sprawę rozpatrzyć raz jeszcze, w zakresie wysokości nałożonej kary administracyjnej oraz w zakresie dotyczącym liczby osób dotkniętym naruszeniem. Niemniej zarówno z wyroku WSA i NSA wynika jeden bardzo istotny wniosek dla administratorów danych: realizacja obowiązku informacyjnego i prawo do transparentnej informacji jest jednym z podstawowych praw podmiotów danych, które musi być realizowane przez podmioty przetwarzające dane w roli ich administratorów.
