W marcu 2019 r. media obiegła informacja o pierwszej nałożonej przez ówczesną prezes UODO kary za niedopełnienie obowiązku informacyjnego wobec osób prowadzących jednoosobową działalność gospodarczą. Adresatem decyzji była wywodząca się ze Szwecji spółka Bisnode AB, zajmująca się gromadzeniem, opracowywaniem i dostarczaniem informacji gospodarczych. Wysokość nałożonej kary wyniosła ponad 943 tys. złotych. Ostatecznie we wrześniu 2023 r. NSA wydał wyrok podzielający stanowisko prezesa UODO.

Decyzja PUODO

Wydana przez PUODO decyzja dotyczyła naruszenia art. 14 RODO. Zdaniem organu ukarana spółka nie wypełniła należycie obowiązku informacyjnego, nie podając przedsiębiorcom wymienionych w powyższym przepisie informacji.

Spółka wyjaśniała przy tym, że szacunkowe koszty poinformowania wszystkich osób mogłyby wynieść około 30 mln złotych, tzn. więcej niż obrót spółki. Dlatego podjęto decyzję o zamieszczeniu informacji na stronie internetowej Bisnode. Ponadto informacje przesłano elektronicznie do tych osób, których adresami mailowymi dysponowała spółka.

W wydanej decyzji wskazano jednak, że skoro spółka dysponowała adresami osób fizycznych, to powinna poinformować je, że takie dane przetwarza. Zarazem pozyskując dane z CEIDG, spółka zna adres, pod którym została zarejestrowana działalność. W niektórych przypadkach posiada też dostęp do numeru telefonu. Może zatem wysłać tradycyjny list czy wiadomość SMS. Jak stwierdziła prezes UODO, dopiero gdyby spółka musiała te dane pozyskiwać, wtedy należałoby mówić o niewspółmiernie dużym wysiłku.

Wyrok WSA

Decyzja została zaskarżona przez spółkę do WSA w Warszawie, który częściowo przyznał rację organowi. Sąd stwierdził, że na spółce ciążył obowiązek informacyjny wynikający z art. 14 RODO, jednak wyłącznie wobec osób, które w momencie wydania decyzji aktywnie prowadziły działalność gospodarczą lub ją zawiesiły [1]. Zarazem WSA uchylił decyzję w zakresie nakazu spełnienia obowiązku informacyjnego wobec osób, które w przeszłości prowadziły działalność gospodarczą. Co istotne, wpływ na wymiar kary miała liczba osób, których prawa naruszono, w związku z czym sąd uchylił decyzję również w części dotyczącej nałożenia kary administracyjnej.

Wyrok NSA

Bisnode wniosła jednak skargę kasacyjną od wyroku WSA wskazując, że nie musiała wypełnić obowiązku informacyjnego z wykorzystaniem tradycyjnej korespondencji lub wiadomości SMS w związku z wyłączeniem, zgodnie z którym spełnienie obowiązku udzielenia informacji nie jest konieczne, jeżeli poinformowanie osoby wymagałoby niewspółmiernie dużego wysiłku.

Jednakże NSA przychylił się do stanowiska zaprezentowanego w decyzji prezesa UODO oraz wyroku WSA. W ocenie NSA spółka powinna była spełnić obowiązek informacyjny wobec osób prowadzących działalność gospodarczą, których dane pozyskała [2]. Sąd uznał, że na gruncie RODO zasadą jest transparentność przetwarzania. Dlatego też wszelkie wyjątki od tej zasady, w tym wyjątek dotyczący zwolnienia z obowiązku poinformowania osób z uwagi na „niewspółmiernie duży wysiłek” należy interpretować zawężająco. Odstępstwo to powinno mieć zastosowanie przy przetwarzaniu danych dla celów publicznych – w szczególności statystycznych, badawczych, archiwalnych czy historycznych.

Konsekwencją wyroku NSA jest zobowiązanie prezesa UODO do ponownego rozpoznania sprawy w zakresie, w jakim sąd uchylił decyzję, tj. w zakresie dotyczącym przetwarzania danych osób prowadzących działalność gospodarczą  w przeszłości oraz w zakresie wysokości nałożonej kary.

[1] Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 11 grudnia 2019 r., sygn. akt II SA/Wa 1030/19; dostępny pod adresem: https://orzeczenia.nsa.gov.pl/doc/30EDD316DA 

[2] Wyrok Naczelnego Sądu Administracyjnego z dnia 19 września 2023 r., sygn. akt III OSK 2538/21; dostępny pod adresem: https://orzeczenia.nsa.gov.pl/doc/44C12DED71