Prawie rok temu Urząd Ochrony Danych Osobowych nałożył na Bisnode Polska Sp. z o.o. karę w wysokości ok. miliona złotych. Decyzja UODO dotyczyła w głównej mierze braku wykonania przez Bisnode obowiązku informacyjnego, o którym mowa w art. 14 RODO.
Bisnode to firma gromadząca dane z publicznie dostępnych rejestrów, która na ich podstawie tworzy raporty gospodarcze itp. W związku z powyższym, zgodnie z art. 14 RODO, na Bisnode ciąży obowiązek poinformowania osób o przetwarzaniu ich danych. W tym miejscu należy przypomnieć, że w przypadku, gdy administrator nie pozyskuje danych bezpośrednio od osób, może zrezygnować z wykonywania obowiązku informacyjnego, o ile udzielenie informacji jest niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku. Wówczas konieczne jest powzięcie odpowiednich środków by chronić prawa i wolności oraz prawnie uzasadnione interesy osób, których dane są przetwarzane, w tym udostępnienie informacji publicznie.
Jak można się domyślić, Bisnode wyszedł z założenia, że poinformowanie wszystkich osób, których dane pozyskał z dostępnych rejestrów, pociągnęłoby za sobą ogromne koszty. Według prezesa spółki, w celu spełnienia obowiązku informacyjnego w bezpośredni sposób, firma musiałaby wydać ok. 22 mln złotych. Interpretacji Bisnode nie podzielił UODO, który nałożył na spółkę karę. Co było do przewidzenia, firma wniosła do WSA skargę na decyzję organu nadzorczego. Niedawno poznaliśmy wyrok sądu oraz jego uzasadnienie.
Sąd zaaprobował wykładnię urzędu dotyczącą pojęcia niewspółmiernego dużego wysiłku. Zdaniem WSA, z niewspółmiernie dużym wysiłkiem mamy do czynienia, gdy udzielenie informacji, o których mowa w art. 14 ust. 1 i 2 RODO jest obiektywnie możliwe, ale niebywale utrudnione (graniczące z brakiem możliwości udzielenia informacji). Administrator, aby udzielić tych informacji, zmuszony byłby do podjęcia szeregu działań, które zmierzałyby dopiero do tego, aby udzielenie informacji stało się możliwe. Zakres tych działań (czynności) musiałby mieć przy tym olbrzymią skalę. Ponadto WSA stwierdził, że przez niewspółmiernie duży wysiłek nie można na gruncie RODO rozumieć kosztu (tak organizacyjnego, który stanowi w istocie o sposobie zorganizowania przez administratora w ramach prowadzonej działalności, wykonania tego zadania, jak i finansowego) dopełnienia w pełni możliwego do realizacji obowiązku z art. 14.
Trudno jest pogodzić się z podejściem WSA. W przypadku administratorów danych, którzy prowadzą działalność gospodarczą, w rzeczywistości każdy wysiłek jest wysiłkiem finansowym. Wydaje się, że dla WSA niewspółmiernie duży wysiłek stanowi pojęcie abstrakcyjne i zupełnie oderwane od zasadniczego celu podmiotu prowadzącego działalność gospodarczą, którym jest osiąganie zysków. Oczywiście konieczność poniesienia jakiegokolwiek wydatku nie może być sposobem na obejście obowiązku określonego w art. 14. Jednak oprócz uwzględnienia interesów osób, których dane są przetwarzane, sąd powinien rozważyć możliwości finansowe administratora danych oraz koszty, z jakimi wiązałoby się bezpośrednie poinformowanie osób. Jeśli dotychczasowe podejście UODO oraz WSA utrwali się na dobre, racjonalny wyjątek dotyczący niewspółmiernie dużego wysiłku stanie się w Polsce martwym przepisem. Świadomie wspominam o naszym kraju, ponieważ jak twierdzi w jednym z wywiadów prezes Bisnode Polska Sp. z o.o., organy nadzorcze w innych państwach nie miały zastrzeżeń, co do sposobu przetwarzania danych przez spółki prowadzące podobną działalność.
