Wykorzystywanie danych osobowych z rejestrów publicznych, a RODO

BySylwia Ostrowska

wykorzystywanie danych              Jawność życia społecznego oraz potrzeba zapewnienia sprawnego obrotu prawnego wymaga dostępu do różnego rodzaju informacji. Wśród nich istotne miejsce zajmują dane osobowe, które udostępniane są w wielu publicznie dostępnych rejestrach, które umożliwiają uzyskanie w nie wglądu nawet bez potrzeby dokonywania jakiejkolwiek autoryzacji. Przykłady takich rejestrów można mnożyć, począwszy od najbardziej popularnych, jak Centralna Ewidencja i Informacja o Działalności Gospodarczej czy wchodzące w skład Krajowego Rejestru Sądowego, przez bardziej specjalistyczne – jak rejestr adwokatów, rejestr radców prawnych, czy rejestr lekarzy.

Wskazane rejestry to jedynie próbka z rejestrów, które są publicznie dostępne. Poza nimi funkcjonuje cały szereg rejestrów, do których dostęp jest co najmniej w pewien sposób limitowany, jak Elektroniczne Księgi Wieczyste, które wymagają znajomości numeru takiej księgi. Każdy z nich zawiera różnego rodzaju dane, począwszy od imienia i nazwiska, miejsca pracy, przez dane kontaktowe i adresowe, aż po numer PESEL i prawo wykonywania zawodu.

Powstaje, wobec tego pytanie, czy z danych publikowanych w takich rejestrach można swobodnie korzystać, a przede wszystkim czy mogą to robić przedsiębiorcy. To z kolei wymaga udzielenia odpowiedzi na pytanie, jaka jest relacja tych rejestrów do przepisów Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO).

Wykorzystywanie danych osobowych z publicznych rejestrów

W pierwszej kolejności należy podkreślić, że zawarte w rejestrach publicznych informacje o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych są danymi osobowymi. Na postrzeganie ich w takich kategoriach nie wpływa fakt publicznej dostępności. Dostępność ta nie pozbawia bowiem takich informacji charakteru danych osobowych, jak też nie powoduje, że mogą być one przetwarzane w dowolny sposób.

Skoro tak, to należy wskazać, że przetwarzanie danych osobowych zawartych w rejestrach musi odbywać się z poszanowaniem zasad wynikających z RODO. O ile zatem pozyskanie takich danych na indywidualne potrzeby osoby fizycznej, związane z jej czysto osobistym lub domowym charakterem (np. zweryfikowanie w rejestrze adwokatów, że adwokat, z którego usług chce się skorzystać ma prawo do wykonywania tego zawodu) nie będzie podlegało wymogom RODO, to inaczej ma się sprawa przy wykorzystaniu tych danych przez inne podmioty – administratorów danych.

Zasady wykorzystywania danych z rejestrów

Administrator chcąc skorzystać z danych zawartych w rejestrze publicznym, powinien przede wszystkim określić cel takiego przetwarzania. Cele takie mogą być rozmaite – począwszy od weryfikacji uprawnień danej osoby do reprezentowania kontrahenta administratora, potwierdzenie, że dana osoba prowadzi działalność gospodarczą, przez dokonywanie analiz związanych z procesem due diligence czy przeciwdziałaniem praniu pieniędzy, aż po czynności czysto marketingowe.

Wiedząc, w jakim celu chce przetwarzać dane osobowe, administrator musi skonfrontować się jeszcze z zasadami przetwarzania wyrażonymi w art. 5 RODO, a także ustalić, czy przetwarzanie takie znajdzie oparcie w co najmniej jednej z przesłanek opisanych w art. 6 ust. 1 RODO. Z tego powodu niedopuszczalne będzie np. skorzystanie z danych zawartych w rejestrze przedsiębiorców KRS celem podszywania się pod inną osobę, czy też celem podjęcia próby wyłudzenia kredytu. Administrator będzie też musiał ustalić jakie konkretne dane zawarte w rejestrze publicznym będą niezbędne do zakładanego przez niego celu przetwarzania – nie może bowiem wyjść z założenia, że może swobodnie przetwarzać w swoich celach wszystkie z tych danych, jeżeli nie są one do tego niezbędne.

Wśród przesłanek legalizujących, które mogą stanowić podstawę do przetwarzania danych osobowych szczególnych kategorii pierwszoplanowe znaczenie ma z pewnością prawnie uzasadniony interes realizowany przez administratora (art. 6 ust. 1 lit. f RODO). Należy jednak pamiętać, że przesłanka ta chociaż ma pojemny charakter wymaga uważności ze strony administratora, który zobowiązany jest zweryfikować, czy jego cel jest prawnie uzasadniony, a jeżeli tak, to czy nadrzędne nie są wobec niego prawa i wolności lub interesy osób, których dane dotyczą. Należy jednak pamiętać, że przesłanka ta chociaż ma pojemny charakter wymaga uważności ze strony administratora, który zobowiązany jest zweryfikować, czy jego cel jest prawnie uzasadniony, a jeżeli tak, to czy nadrzędne nie są wobec niego prawa i wolności lub interesy osób, których dane dotyczą. Nadrzędności takiej nie można z góry wykluczyć tylko dlatego, że przetwarzane mają być dane zawarte w publicznym rejestrze.

Jeżeli powyższe analizy doprowadzą administratora do wniosku, że przetwarzanie przez niego danych osobowych zawartych w publicznym rejestrze będzie dopuszczalne, musi on pamiętać o realizacji wszystkich powinności, które nakładają na niego przepisy RODO. Wśród nich znajduje się zapewnienie bezpieczeństwa pozyskanym danym osobowym, przetwarzanie ich w sposób gwarantujący realizację wskazanych już zasad wynikających z art. 5 RODO, ale również obowiązek spełnienia wobec osób, których dane dotyczą obowiązku informacyjnego.

Publiczne rejestry, a obowiązek informacyjny

Realizacja ostatniego ze wskazanych wyżej obowiązków wiążę się z największą liczbą pytań i wątpliwości. Nie bez powodu kwestia ta stała się też przedmiotem zainteresowania ze strony Prezesa Urzędu Ochrony Danych Osobowych oraz sądów administracyjnych. Powstaje bowiem wątpliwość czy administrator pozyskując dane z publicznych rejestrów musi spełnić wobec każdej z osób, której dane w ten sposób pozyskał obowiązek informacyjny. Zacznijmy analizę tej kwestii od art. 14 RODO. Przepis ten w ust. 1-2 nakłada na administratora danych obowiązek przekazania osobie, której dane dotyczą szereg informacji związanych z przetwarzaniem jej danych osobowych w sytuacji, gdy pozyskane zostały one w inny sposób niż od tej osoby, a więc np. z publicznych rejestrów. Wśród informacji, które należy przekazać takiej osobie znajduje się m.in. tożsamość i dane kontaktowe administratora, cele przetwarzania, kategorie danych osobowych, czy też informacja o źródle pochodzenia danych, w tym o pozyskaniu ich ze źródeł publicznie dostępnych. Realizacja tego obowiązku powinna nastąpić maksymalnie w terminie miesiąca po pozyskaniu danych, a wcześniej – jeżeli administrator będzie wykorzystywał dane do komunikacji z osobą, której dane dotyczą albo gdy planuje on ujawnienie takich danych.

Z naszej perspektywy najbardziej interesujący jest jednak art. 14 ust. 4 RODO, w którym przewidziano wyjątki od nakazu realizacji obowiązku informacyjnego. Do wyjątków tych należą sytuację, gdy:

  • osoba, której dane dotyczą, dysponuje już tymi informacjami,
  • udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku,
  • pozyskanie lub ujawnienie jest wyraźnie uregulowane prawem Unii lub prawem krajowym, któremu podlega administrator przewidującym odpowiednie środki chroniące prawnie uzasadnionego interesy osoby, której dane dotyczą, lub
  • dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej.

Spośród wskazanych wyjątków na szczególną uwagę zasługuje ten wskazany w punkcie 2. Wśród przykładów sytuacji, w których spełnienie obowiązku informacyjnego mogłoby być niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku prawodawca wskazał m.in. przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, jeżeli realizacja takiego obowiązku mogłaby uniemożliwić lub poważnie utrudnić realizacje takich celów.

Wśród przypadków, które uzasadniałyby odstąpienie od obowiązku informacyjnego ze względu na niewspółmiernie duży wysiłek wskazywano m.in. konieczność poniesienia przez administratora znacznych kosztów związanych, np. z koniecznością skierowania do podmiotów danych korespondencji informującej o przetwarzaniu ich danych (por. K. M. Krzysztofek, Ochrona danych osobowych w Unii Europejskiej po reformie. Komentarz do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, Warszawa 2016, art. 14, nb. 36). Pogląd taki został jednak odrzucony przez Prezesa UODO oraz sądy administracyjne, które rozpoznawały sprawę spółki, która w celach komercyjnych pozyskiwała dane z ogólnodostępnych źródeł, w tym z rejestru przedsiębiorców KRS oraz CEIDG. Dane te były udostępniane przez firmę odpłatnie w formie raportów. Spółka realizowała indywidualny obowiązek informacyjny jedynie wobec tych podmiotów, do których posiadała ona adres e-mail. Wobec innych podmiotów, tzn. takich, do których spółka posiadała jedynie adres korespondencyjny, informacje o przetwarzaniu danych były przekazywane za pomocą strony internetowej. Odstąpienie w tych przypadkach od realizacji indywidualnego obowiązku informacyjnego spółka tłumaczyła niewspółmiernie dużym wysiłkiem, który wynikać miał z konieczności wysyłki do tych podmiotów klauzuli informacyjnej w formie listu. Spółka oszacowała, że realizacja tej czynności wiązałaby się z kosztem ok. 33 mln zł.

Działanie spółki – odstąpienie od indywidualnej realizacji obowiązku informacyjnego wobec osób, do których spółka posiadała adres korespondencyjny – spotkało się z negatywną oceną Prezesa UODO. Wskazał on, że stanowisko Spółki o niewspółmiernie dużym wysiłku wiążącym się z wysyłką listów nie znajduje uzasadnienia i nie może stanowić podstawy do niespełnienia wobec tych osób obowiązku informacyjnego. Koszt realizacji tego obowiązku nie może bowiem, zdaniem Prezesa UODO, stanowić podstawy do niepoinformowania ich o przetwarzaniu danych. Organ wypunktował przy tym, że Spółka nie może odwoływać się jedynie do kosztów związanych z tym obowiązkiem, szczególnie, że operacje na danych osobowych stanowią przedmiot podstawowej, czysto komercyjnej, profesjonalnej i wieloletniej działalności Spółki, która powinna uwzględniać ten koszt w swojej działalności. Ocena ta doprowadziła do nałożenia na Spółkę administracyjnej kary pieniężnej w wysokości nieco poniżej 1 mln zł (decyzja Prezesa UODO z 15.03.2019 r. ZSPR.421.3.2018). Stanowisko Organu nadzorczego spotkało się z aprobatą sądów administracyjnych – zarówno Wojewódzki Sąd Administracyjny w Warszawie, jak też Naczelny Sąd Administracyjny utrzymały decyzję w mocy, zgadzając się z argumentacją organu nadzorczego. NSA wskazał w swoim rozstrzygnięciu, że przewidziane w art. 14 ust. 5 RODO zwolnienie stanowi wyjątek od kardynalnej dla RODO zasady transparentności korzystania i przetwarzania danych osobowych oraz powiązanej z nią zasady informowania i przez to musi być interpretowany ściśle. W swojej ocenie NSA wskazał też, że wspomniany wyjątek nie obejmuje przetwarzania danych osobowych w ramach prowadzenia działalności gospodarczej, której celem jest osiąganie celów komercyjnych (wyrok NSA z 19.09.2023 r. III OSK 2538/21).

Powyższe powoduje, że niewspółmierny duży wysiłek sprowadzony jest zasadniczo jedynie do tych sytuacji, gdy przetwarzanie danych odbywa się w celach archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych. Przesłanka ta staje się więc mało atrakcyjna dla przedsiębiorców, którzy współmierność swoich wysiłków mierzą przede wszystkim kosztami finansowymi ich realizacji. Trudno też wyobrazić sobie, aby niewspółmierność realizacji obowiązku informacyjnego była tłumaczona pozafinansowymi okolicznościami, chociaż wydaje się, że mogłoby ją uzasadniać pozyskanie znacznego wolumenu danych osobowych przy niewielkich rozmiarach działalności administratora i wykazanie, że spełnienie w takiej sytuacji obowiązku informacyjnego mogłoby sparaliżować pracę takiego przedsiębiorstwa.

Bardziej przydatny może więc okazać się drugi z wyjątków przewidzianych w art. 14 ust. 5 RODO, czyli niemożność zrealizowania obowiązku informacyjnych. Niemożność ta wynikać może przede wszystkim z braku dostatecznych informacji, które pozwoliłyby administratorowi spełnić obowiązek informacyjny – adres do doręczeń, czy też adres e-mail, numeru telefonu. Administrator nie ma bowiem obowiązku pozyskiwania i przetwarzania dodatkowych danych osobowych tylko w tym celu, aby mógł on zrealizować wobec określonych osób obowiązek informacyjny.

Powyższe znajduje potwierdzenie w decyzji Prezesa UODO, który rozpoznając sprawę fundacji, która w ramach działalności statutowej pozyskiwała z KRS i publikowała w swoich serwisach dane osobowe członków organów, wspólników oraz prokurentów. Wśród takich danych nie znajdowały się dane kontaktowe do tych osób. Prezes UODO wskazał przy rozpoznawaniu tej sprawy, iż z powodu braku takich danych kontaktowych udzielenie indywidualnej informacji podmiotom danych jest niemożliwe i znajduje zastosowanie przesłanka z art. 14 ust. 5 lit. b) RODO. Organ wskazał też, że przyjęcie odmiennego stanowiska udaremniłoby fundacji prowadzenie serwisu, a w konsekwencji wykonywanie statutowej działalności i niweczyłoby powszechne prawo dostępu do informacji publicznej i ponownego wykorzystania informacji sektora publicznego (decyzja Prezesa UODO ZSPU.440.574.2018). Rozstrzygnięcie to przeszło kontrolę sądów administracyjnych, które utrzymały je w mocy podzielając argumenty organu (zob. wyrok NSA z 30.11.2021 r. III OSK 4558/21).

Wskazane wyżej sytuacje chociaż z pozoru mogą wydawać się podobne, różnią się istotnymi elementami. Przede wszystkim spółka, która powoływała się na niewspółmiernie duży wysiłek związany ze spełnieniem obowiązku informacyjnego wobec osób, których dane osobowe pozyskała ona z rejestrów publicznych, dysponowała danymi kontaktowymi takich osób (co najmniej adresami do korespondencji). Miała więc ona techniczną możliwość spełnienia obowiązku informacyjnego. Z kolei fundacja pozyskiwała z KRS jedynie dane identyfikacyjne (imię i nazwisko, stanowisko, PESEL), nie dysponując tym samym danymi umożliwiającymi komunikację z podmiotem danych.  Druga różnica ujawnia się w charakterze działalności spółki i fundacji – pierwszy z tych podmiotów miał charakter czysto komercyjny, drugi zaś korzystając z prawa dostępu do informacji i ponownego wykorzystania informacji sektora publicznego realizował cele statutowe (społeczne).

Podsumowanie

Rejestry publiczne stanowią źródło wielu danych osobowych. Ich wykorzystanie jest zasadniczo możliwe i legalne. Konieczne jest jednak przestrzeganie reguł wynikających z RODO. W tym ustalenie celu takiego przetwarzania i osadzenie go wśród przesłanek legalizujących opisanych w art. 6 ust. 1 RODO. Najczęstszą podstawą skorzystania z danych znajdujących się w rejestrze może być prawnie uzasadniony interes administratora, który wyrażać się może, np. w konieczności weryfikacji uprawnień danej osoby do działania w imieniu danego podmiotu gospodarczego, czy wykonaniu analizy na potrzeby AML.

Zasadą jest, że administrator pozyskujący dane osobowe ma obowiązek spełnić wobec osób, których dane dotyczą obowiązek informacyjny. Co dotyczy również osób, których dane osobowe pozyskane zostały z publicznych rejestrów. Wyjątki w tym zakresie przewidziane w art. 14 ust. 5 RODO interpretowane muszą być ściśle i nie mogą być nadinterpretowane. Uzasadnieniem dla niespełnienia obowiązku informacyjnego wobec podmiotu, którego dane pozyskano z rejestru publicznego może być, np. brak danych pozwalających na realizację tego obowiązku (brak danych adresowych, kontaktowych). Nie może być nim natomiast konieczność poniesienia dodatkowych, nawet wysokich kosztów związanych z realizacją takiego obowiązku.