Opublikowano uzasadnienie wyroku WSA w Warszawie w sprawie ze skargi Bisnode Polska sp. z o.o. na decyzję Prezesa Urzędu Ochrony Danych Osobowych
Wyrok WSA w sprawie kary na spółkę Bisnode
sygn. II SA/WA 1030/19
09/01/2020
W Centralnej Bazie orzeczeń Sądów Administracyjnych jJuż jest dostępne uzasadnienie wyroku WSA w Warszawie z dnia 11 grudnia 2019 roku w sprawie toczącej się ze skargi Bisnode sp. z o.o. na decyzję PUODO.
Wyrok
Wojewódzkiego Sądu Administracyjnego w Warszawie
z dnia 11 grudnia 2019 r.
II SA/Wa 1030/19
UZASADNIENIE
Skład orzekający
Przewodniczący: Sędzia WSA Iwona Maciejuk (spr.).
Sędziowie WSA: Andrzej Góraj, Danuta Kania, Bogumiła Kobierska.
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu na rozprawie w dniu 11 grudnia 2019 r. sprawy ze skargi B. Sp. z o.o. z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia (...) marca 2019 r. nr (...) w przedmiocie przetwarzania danych osobowych
- uchyla punkt 1 zaskarżonej decyzji w zakresie w jakim nakazuje ona B. Sp. z o.o. z siedzibą w W. dopełnienie obowiązku podania informacji określonych w art. 14 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. EU L 119 z dnia 4 maja 2016 r., str. 1, ze zmianą ogłoszoną w Dz.Urz.UE.L 127 z dnia 23 maja 2018 r., str. 2) osobom fizycznym, których dane osobowe B. Sp. z o.o. z siedzibą w W. przetwarza, prowadzącym w przeszłości jednoosobową działalność gospodarczą, którym informacje te nie zostały podane,
- uchyla punkt 2 zaskarżonej decyzji,
- oddala skargę w pozostałym zakresie,
- zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz B. Sp. z o.o. z siedzibą w W. kwotę 20.235 zł (słownie: dwadzieścia tysięcy dwieście trzydzieści pięć złotych), tytułem zwrotu kosztów postępowania.
Uzasadnienie faktyczne
Prezes Urzędu Ochrony Danych Osobowych decyzją z dnia (...) marca 2019 r. nr (...), na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096, z późn. zm.) zwanej dalej k.p.a. oraz art. 7 ust. 1 i 2, art. 60 i art. 101 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000, z późn. zm.), zwanej dalej u.o.d.o. w związku z art. 12 ust. 1, art. 14 ust. 1-3 i art. 58 ust. 2 lit. d i lit. i oraz z art. 83 ust. 5 lit. b rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz.UE.L 119 z 04.05.2016, str. 1, ze zmianą ogłoszoną w Dz.Urz.UE.L 127 z 23.05.2018, str. 2), zwanego dalej rozporządzeniem 2016/679, po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez (...) Sp. z o.o. z siedzibą w (...), stwierdzając naruszenie przez Spółkę przepisów art. 14 ust. 1-3 rozporządzenia 2016/679, polegające na niepodaniu informacji zawartych w art. 14 ust. 1 i 2 wyżej powołanego rozporządzenia wszystkim osobom fizycznym, których dane osobowe (...) Sp. z o.o. przetwarza, prowadzącym aktualnie lub w przeszłości jednoosobową działalność gospodarczą oraz osobom fizycznym, które zawiesiły wykonywanie tej działalności;
- w punkcie 1 nakazał (...) Sp. z o.o. z siedzibą w (...) dopełnienie obowiązku podania informacji określonych w art. 14 ust. 1 i 2 rozporządzenia 2016/679, osobom fizycznym, których dane osobowe (...) Sp. z o.o. przetwarza, prowadzącym aktualnie lub w przeszłości jednoosobową działalność gospodarczą oraz osobom fizycznym, które zawiesiły wykonywanie tej działalność, którym informacje te nie zostały podane - w terminie trzech miesięcy od dnia doręczenia niniejszej decyzji;
- w punkcie 2 nałożył na (...) Sp. z o.o. z siedzibą w (...) za naruszenie stwierdzone w niniejszej decyzji, administracyjną karę pieniężną w wysokości 943.470,00 PLN (słownie: dziewięćset czterdzieści trzy tysiące czterysta siedemdziesiąt złotych).
Prezes UODO ustalił m.in., że w ramach swojej działalności Spółka oferuje w szczególności raporty handlowe obejmujące m.in. dane finansowe i rejestrowe firm, opis działalności przedsiębiorstwa, jego kondycji finansowej, powiązania kapitałowe i osobowe. Spółka świadczy też usługi w zakresie udostępniania i uzupełniania baz danych swoich klientów np. marketingowych, baz danych dłużników, kontrahentów. Przedmiotem przeważającej działalności Spółki jest pozostała działalność usługowa w zakresie informacji, gdzie indziej niesklasyfikowana. W zakresie działalności Spółki mieści się także m.in. wydawanie wykazów oraz list (np. adresowych, telefonicznych), przetwarzanie danych, zarządzanie stronami internetowymi (hosting) i podobna działalność, a także pozostałe doradztwo w zakresie prowadzenia działalności gospodarczej i zarządzania.
Organ ustalił też, że w bazie danych systemu (...) Spółki ("(...)-wewnętrzny system (...)") znajdują się dane dotyczące ok. 3,59 mln osób fizycznych prowadzących aktualnie jednoosobową działalność gospodarczą oraz osób fizycznych, które zawiesiły tę działalność oraz 2,33 mln osób fizycznych prowadzących w przeszłości działalność gospodarczą. W systemie tym Spółka przetwarza dane osobowe osób fizycznych prowadzących działalność gospodarczą, które zostały pozyskane ze źródeł ogólnie dostępnych, w tym z rejestrów publicznych, m.in. z Centralnej Ewidencji i Informacji o Działalności Gospodarczej, z Bazy REGON Głównego Urzędu Statystycznego, z Monitora Sądowego i Gospodarczego. Spółka w odniesieniu do osób fizycznych prowadzących działalność gospodarczą przetwarza imię, nazwisko, nazwę przedsiębiorstwa, adres rejestrowy oraz inne adresy, rodzaj działalności PKD, numer telefonu (opcjonalnie), adres e-mail (opcjonalnie), adres strony www (opcjonalnie), zakazy/uprawnienia/ograniczenia/ koncesje na prowadzenie określonej działalności, związane z przedsiębiorcą zdarzenia prawne. W dniu (...) kwietnia 2018 r., tj. przed dniem rozpoczęcia obowiązywania rozporządzenia 2016/679, Spółka wysłała informację o przetwarzaniu danych osobowych zatytułowaną "(...) Polska - RODO - obowiązek informacyjny" na wszystkie adresy poczty elektronicznej posiadane w bazie danych systemu (...) przypisane do przedsiębiorców prowadzących jednoosobową działalność gospodarczą. W trakcie ww. kampanii informacyjnej Spółka wysłała 902 837 wiadomości elektronicznych. Spółka zamieściła także na swojej stronie internetowej o adresie (...), w zakładce "Dane i prywatność"/"Informacja o przetwarzaniu danych osobowych", informację o przetwarzaniu danych osobowych przez (...). Organ wskazał, że Spółka opublikowała również na swojej stronie internetowej (...), w zakładce "Dane i prywatność"/Informacja o przetwarzaniu danych osobowych", pod adresem (...), pełną klauzulę informacyjną, odpowiadającą wymogom art. 14 ust. 1 i ust. 2 rozporządzenia 2016/679. Organ ustalił, że Spółka podjęła decyzję, aby nie realizować obowiązku informacyjnego, poprzez wysłanie krótkich wiadomości tekstowych (SMS) wobec osób, których dane pozyskała ze źródeł publicznie dostępnych (w tym osób fizycznych prowadzących działalność gospodarczą), ponieważ nie posiada numerów telefonów w odniesieniu do każdej z tych osób, a także ze względu na wysokie koszty takiej akcji. Ze względu na wysokie koszty Spółka nie zdecydowała się również na spełnienie tego obowiązku drogą tradycyjnej korespondencji.
Organ wskazał, że z wyjaśnień Spółki przedstawionych w piśmie z dnia (...) lutego 2019 r. wynika, że dane przez nią przetwarzane są danymi dostępnymi publicznie, zgromadzonymi w oficjalnych, publicznych rejestrach, zakres tych danych jest stosunkowo wąski, a ryzyko dla praw i wolności osób, których dane dotyczą, związane z ich przetwarzaniem - niskie. Spółka posiada łącznie 7.594,636 rekordów danych dotyczących osób fizycznych, w tym przedsiębiorców prowadzących jednoosobową działalność gospodarczą oraz osób będących wspólnikami lub członkami organów spółek, fundacji i stowarzyszeń. Spółka spełniła indywidualny obowiązek informacyjny wobec 682 439 osób, w stosunku do których posiada w ramach rekordu bazy danych adresy poczty elektronicznej. W odniesieniu do 181 142 osób Spółka dysponuje wyłącznie numerami telefonów komórkowych, a w odniesieniu do 6.490.226 osób dysponuje wyłącznie adresami korespondencyjnymi, z czego 2.924.443 rekordy dotyczą nieaktywnych działalności gospodarczych. Organ wskazał, że z wyjaśnień Spółki wynika, że realizacja obowiązku informacyjnego w jego podstawowej formie (tj. indywidualnego kontaktu z każdą osobą, której dane dotyczą) powodowałaby po stronie Spółki "niewspółmierny wysiłek", o którym mowa w art. 14 ust. 5 lit. b rozporządzenia 2016/679, rozumiany jako obciążenie organizacyjne (tzn. konieczność oddelegowania pracowników i zasobów rzeczowych - komputerów, urządzeń biurowych - do realizacji wyłącznie tego zadania) oraz finansowe (tzn. koszt druku, przygotowania do wysyłki i nadania, w tym papieru, tonera, kopert, znaczków pocztowych, obsługi zwrotów korespondencji, ewentualnie wynagrodzenie podmiotów, którym Spółka mogłaby zlecić wykonanie tego zadania), które w krytyczny sposób zakłóciłyby funkcjonowanie Spółki w stopniu, który mógłby wiązać się z koniecznością zakończenia prowadzenia działalności w Polsce.
Rozstrzygając sprawę Prezes UODO stwierdził, że Spółka nie spełniła obowiązku określonego w art. 14 rozporządzenia 2016/679 wobec tych osób fizycznych prowadzących jednoosobową działalność gospodarczą, co do których nie posiadała adresu e-mail w swojej bazie danych, przy czym zarówno chodzi o przedsiębiorców, którzy prowadzą aktualnie działalność gospodarczą (nie zamknęli tej działalności, są aktywni, bądź zawieszeni), jak i o tych, którzy zaprzestali prowadzenia działalności gospodarczej. Organ stwierdził, że samo umieszczenie informacji, wymaganych w art. 14 ust. 1 i ust. 2 rozporządzenia 2016/679, na stronie internetowej Spółki, w sytuacji posiadania przez Spółkę danych adresowych (a niekiedy również numerów telefonów) osób fizycznych prowadzących jednoosobową działalność gospodarczą, umożliwiających przesłanie pocztą tradycyjną korespondencji zawierającej wymagane tym przepisem informacje (lub przekazanie ich drogą kontaktu telefonicznego), nie może być uznane za wystarczające spełnienie przez Spółkę obowiązku, o którym mowa w art. 14 ust. 1-3 rozporządzenia 2016/679.
Prezes UODO stwierdził też, że przesłanka wyłączająca spełnienie obowiązku informacyjnego, przewidziana w art. 14 ust. 5 lit. b rozporządzenia 2016/679, tj. wyłączająca zastosowanie art. 14 ust. 1 i 2 tego rozporządzenia, nie znajdzie zastosowania w niniejszej sprawie w odniesieniu do osób fizycznych prowadzących jednoosobową działalność gospodarczą, których dane osobowe Spółka przetwarza w bazie systemu (...). W ocenie organu wysłanie informacji, o których mowa w art. 14 rozporządzenia 2016/679 pocztą tradycyjną, na adres osoby fizycznej prowadzącej działalność gospodarczą, lub w drodze kontaktu telefonicznego, nie jest czynnością "niemożliwą" oraz nie wymaga "niewspółmiernie dużego wysiłku", w sytuacji posiadania przez Spółkę w bazie systemu informatycznego (...) danych adresowych, w odniesieniu do osób fizycznych prowadzących jednoosobową działalność gospodarczą (aktualnie lub w przeszłości), a także dodatkowo - numerów telefonów - w odniesieniu do części tych osób.
Organ wskazał przy tym, że w odróżnieniu do ww. osób fizycznych, odmienna jest sytuacja osób będących udziałowcami lub członkami organów spółek i innych osób prawnych, których dane Spółka przetwarza. W rejestrach publicznych (w szczególności w Rejestrach KRS) brak jest bowiem danych teleadresowych tych osób, w związku z czym Spółka musiałaby poszukiwać tych danych w innych źródłach, co już mogłoby stanowić dla Spółki "niewspółmiernie duży wysiłek".
Odnosząc się do przedstawionej przez Spółkę w piśmie z dnia (...) lutego 2019 r. kalkulacji kosztów związanych z ewentualnym dokonaniem osobom fizycznym, których dane osobowe przetwarza, wysyłki informacji, o których mowa w art. 14 ust. 1-2 rozporządzenia 2016/679, pocztą tradycyjną, tj. przesyłką poleconą w wariancie ekonomicznym, Prezes UODO stwierdził, że z ustalonych okoliczności stanu faktycznego sprawy wynika, że Spółka prowadzi działalność na polskim rynku od ponad 25 lat, a na dzień (...) lutego 2019 r. posiada w bazie danych łącznie 7.594.636 rekordów zawierających dane osobowe przedsiębiorców oraz osób będących wspólnikami lub członkami organów spółek, fundacji czy stowarzyszeń. Ze złożonych wyjaśnień wynika również, że na dzień ich złożenia Spółka nie spełniła indywidualnego obowiązku informacyjnego łącznie wobec 6.671.368 osób. Odnośnie 181.142 osób Spółka dysponuje wyłącznie numerami telefonów komórkowych, co oznacza, że może spełnić obowiązek informacyjny za pośrednictwem tego narzędzia komunikacji. Organ wskazał, że jeśli chodzi o 6.490.226 osób, co do których Spółka dysponuje wyłącznie adresami korespondencyjnymi, to zwrócić należy uwagę na treść art. 12 ust. 1 rozporządzenia 2016/679. Organ wskazał, że przepis ten przewiduje podjęcie przez administratora z własnej inicjatywy, bez udziału podmiotu danych, realizację obowiązku o charakterze informacyjnym, o którym mowa m.in. w art. 14 rozporządzenia 2016/679. W ocenie Prezesa UODO, z przepisu tego nie wynika, żeby prawodawca nałożył na administratora obowiązek wysyłania takiej informacji np. przesyłką poleconą, byleby tylko administrator mógł stosownymi dowodami wykazać, że ów obowiązek informacyjny został przez niego spełniony wobec podmiotów, których dane osobowe przetwarza. W ocenie Prezesa UODO Spółka może zrealizować obowiązek w dowolny sposób, a w kontekście motywu 171 rozporządzenia 2016/479 - w którym ustawodawca unijny wskazał, że przetwarzanie, które w dniu rozpoczęcia stosowania niniejszego rozporządzenia już się toczy powinno w terminie dwóch lat od wejścia w życie niniejszego rozporządzenia zostać dostosowane do jego przepisów - znaczenie ma termin, w którym określone obowiązki miały być wypełnione.
Odnosząc się do powołanego przez Spółkę wyroku NSA z dnia 24 stycznia 2013 r. sygn. akt I OSK 1827/11, organ podał, że rozpatrywana sytuacja Spółki nie jest analogiczna do tej, która była przedmiotem oceny Naczelnego Sądu Administracyjnego w tym wyroku, ani w zakresie ilości danych, które Spółka pozyskuje z publicznie dostępnych źródeł, ani spełnienia obowiązku informacyjnego.
Organ przytoczył treść art. 58 ust. 2 lit. i oraz art. 83 ust. 2 rozporządzenia 2016/679. Stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki warunkujące nałożenie na Spółkę administracyjnej kary pieniężnej. Decydując o nałożeniu na Spółkę administracyjnej kary pieniężnej oraz ustalając jej wysokość, zgodnie z art. 83 ust. 2 lit. a-k rozporządzenia 2016/679 organ wziął pod uwagę m.in. to, że nie został spełniony obowiązek informacyjny, wynikający z art. 14 ust. 1-3 rozporządzenia 2016/679, wobec osób fizycznych prowadzących aktualnie lub w przeszłości jednoosobową działalność gospodarczą (aktywnych, zawieszonych i historycznych zamknięta), stan ten trwa do chwili obecnej, czyli nie jest to jednorazowe zdarzenie ograniczone w czasie, a dotyczy łącznie 6.671.368 rekordów, według danych zawartych w wyjaśnieniach Spółki z dnia (...) lutego 2019 r.; stwierdzone w niniejszej sprawie naruszenie ma poważny charakter, dotyczy bowiem podstawowych praw i wolności osób, których dane Spółka przetwarza, narusza również podstawową w odniesieniu do przetwarzania danych osobowych zasadę rzetelności i przejrzystości (art. 5 ust. 1 lit. a rozporządzenia 2016/679). Naruszenie przez Spółkę obowiązku podania podstawowych informacji o przetwarzaniu oraz pouczenia o przysługujących podmiotom danych prawach z tym związanych (wskazanych w art. 15-21 rozporządzenia 2016/679), pociąga za sobą m.in. ryzyko odebrania im możliwości skorzystania z tych praw; wagę naruszenia zwiększa również okoliczność, że na Spółce przetwarzającej dane osobowe w sposób profesjonalny, w ramach swojej podstawowej działalności, w celach zarobkowych, i na bardzo dużą skalę (liczba podmiotów danych dotkniętych naruszeniem - 6.671,368), ciąży większa odpowiedzialność i większe wymagania niż na podmiocie przetwarzającym dane osobowe w ramach działalności ubocznej, incydentalnie lub na niewielką skalę. Okolicznością obciążającą jest to, że stwierdzone naruszenie trwa do chwili obecnej; Spółka podjęła świadomą decyzję (motywowaną chęcią uniknięcia dodatkowych nakładów finansowych) o niezrealizowaniu wobec osób fizycznych prowadzących aktualnie (w tym aktywnych, zawieszonych) lub w przeszłości jednoosobową działalność gospodarczą obowiązku, o którym mowa w art, 14 ust, 1-3 rozporządzenia 2016/679 "ze względu na milionowe koszty", co oznacza, że należy przypisać jej umyślność w naruszeniu wskazanych przepisów prawa. Organ wskazał też, że w toku postępowania nie ustalono, żeby konsekwencją stwierdzonego naruszenia było powstanie po stronie podmiotów danych szkód, jednakże dalsze przetwarzanie danych osobowych bez wiedzy osób, których dotyczą, niewątpliwie utrudnia czy ogranicza skorzystanie przez te osoby z przysługujących im uprawnień, np. prawa do usunięcia danych, sprostowania, czy złożenia sprzeciwu wobec przetwarzania danych osobowych (organ podał, że na dzień (...) września 2018 r. z uprawnienia tego skorzystało 12630 osób). W konsekwencji, brak spełnienia obowiązku informacyjnego, prowadzi do uprzywilejowanej pozycji Spółki w realizacji jej praw w stosunku do praw osób, których dane dotyczą i stanowią istotny element przedmiotu działalności Spółki. Organ podał, że zarówno w toku przeprowadzonej kontroli, jak i w trakcie trwania niniejszego postępowania Spółka współpracowała z Prezesem UODO, w wyznaczonym terminie Spółka przesłała wyjaśnienia i udzieliła odpowiedzi na pismo Prezesa UODO, a jednocześnie wraz z pismem przesłała stosowne dokumenty na potwierdzenie złożonych wyjaśnień. Jednakże współpraca ta miała na celu zapewnienie jedynie prawidłowego przebiegu postępowania, a nie usunięcie stwierdzonego w toku kontroli naruszenia, czy też usunięcie jego skutków. Organ ustalił, że stwierdzone naruszenie nie dotyczy szczególnych kategorii danych osobowych, o których mowa w art. 9 rozporządzenia 2016/679. Wskazał, że uzasadnianie przez Spółkę niewykonania obowiązku wysokimi kosztami finansowymi, aż do próby przerzucenia odpowiedzialności - gdyby go wykonała - za ewentualny spadek jej konkurencyjności na rynku, czy też utratę płynności finansowej, aż do konieczności zakończenia prowadzonej działalności, stanowi okoliczność zdecydowanie działającą na niekorzyść Spółki. Organ zwrócił uwagę, że chociaż Spółka pozyskuje dane ze źródeł publicznych, to stanowią one przedmiot jej wieloletniej działalności komercyjnej, zaś osoby, których te dane dotyczą, nie posiadają informacji o przetwarzaniu przez Spółkę takich danych. W ocenie Prezesa UODO odpowiedzialność wobec tych osób spoczywa zatem na Spółce, szczególnie w zakresie realizacji obowiązku wynikającego z art. 14 ust. 1-3 rozporządzenia 2016/679. Niewykonanie ww. obowiązku z uwagi na wskazane przez Spółkę koszty finansowe, świadczy o obniżeniu wartości praw osób, których dane osobowe Spółka przetwarza, w stosunku do wartości finansów Spółki, której to argumentacji nie można uznać za zasadną w świetle wymogów rozporządzenia 2016/679. Organ wskazał, że Spółka pozyskuje przecież środki finansowe w ramach prowadzonej działalności gospodarczej, której przedmiotem jest udostępnienie danych osobowych osób fizycznych jej klientom (tj.m.in. podmiotom gospodarczym, w tym osobom prowadzącym jednoosobową działalność gospodarczą, czy też organom publicznym), jako odrębnym administratorom, w związku z produktami oferowanymi przez Spółkę. W bazie danych (...), Spółka przechowuje również dane osób, które nie prowadzą już działalności gospodarczej ponieważ jak wynika z ustaleń kontroli klienci Spółki zwracają się z pytaniami, czy wśród ich dostawców nie ma podmiotów wykreślonych. Informacja o klientach nieaktywnych jest częścią produktu Spółki polegającego na dostarczaniu informacji gospodarczych.
W ocenie Prezesa UODO dodatkową okolicznością obciążającą jest motywacja, którą kierowała się Spółka decydując, że wystarczającym sposobem przekazania informacji będzie opublikowanie ich na swojej stronie internetowej. Organ wskazał, że Spółka ma świadomość, że prawidłową, gwarantującą odpowiedni poziom zabezpieczenia praw i wolności podmiotów danych, formą podania im wymaganych informacji jest bezpośredni kontakt zainicjowany przez Spółkę. Świadczy o tym fakt wybrania w pierwszej kolejności takiego kontaktu w przypadku przedsiębiorców, których adresami e-mail Spółka dysponowała. Organ stwierdził, że rezygnacja z bezpośredniego kontaktu tylko z powodu związanych z tym kosztów należy ocenić negatywnie, szczególnie, że operacje na danych osobowych stanowią przedmiot podstawowej, czysto komercyjnej, profesjonalnej, wieloletniej działalności Spółki. Organ zwrócił uwagę, że znaczenie mają także konsekwencje niespełniania tego obowiązku jakimi są: niewiedza osób, których dane dotyczą o procesach przetwarzania ich danych oraz o możliwości skorzystania z przysługujących im praw zagwarantowanych przepisami rozporządzenia 2016/679. Także czas trwania naruszenia organ ocenił negatywnie mając na uwadze termin wejścia w życie rozporządzenia 2016/679 i termin rozpoczęcia jego stosowania. Znaczenie w tej sprawie ma także to, że naruszenie dotyczy - zgodnie z art. 83 ust. 5 lit. b rozporządzenia 2016/679 - jednego z podstawowych praw osób, do którego zastosowanie ma wyższa kwota administracyjnej kary pieniężnej.
W ocenie Prezesa Urzędu Ochrony Danych Osobowych, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. Organ zaznaczył, że spełnienie obowiązku informacyjnego zgodnie z zasadą przejrzystości ma na celu uświadomienie osobom, których dane dotyczą ryzyk, zasad, zabezpieczeń, i praw związanych z przetwarzaniem danych osobowych oraz sposobów wykonania praw związanych z przetwarzaniem.
Odstraszający charakter kary pieniężnej wiąże się z zapobieganiem popełniania naruszeń przez karanie za ich popełnienie. Organ stwierdził, że kara ma odstraszać zarówno Spółkę, przed ponownym naruszeniem, jak i inne podmioty. Nakładając niniejszą decyzją karę pieniężną za naruszenie przepisów o ochronie danych osobowych Prezes UODO wziął pod uwagę oba aspekty: po pierwsze - charakter represyjny. Spółka naruszyła przepisy, po drugie - charakter prewencyjny, zarówno Spółka jak i inni administratorzy będą skutecznie zniechęceni do naruszania w przyszłości prawa ochrony danych osobowych.
Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia (...) marca 2019 r. nr (...) stała się przedmiotem skargi (...) Sp. z o.o. z siedzibą w (...), reprezentowanej przez radcę prawnego, do Wojewódzkiego Sądu Administracyjnego w Warszawie.
Pełnomocnik skarżącej wniósł o stwierdzenie nieważności zaskarżonej decyzji w części nakazującej skarżącej spełnienie obowiązku informacyjnego wobec osób, które prowadziły w przeszłości jednoosobową działalność gospodarczą w oparciu o wpis do Centralnej Ewidencji i Informacji o Działalności Gospodarczej oraz uchylenie zaskarżonej decyzji w pozostałej części, ewentualnie o uchylenie zaskarżonej decyzji w całości i zasądzenie od organu na rzecz skarżącej zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego, według norm przepisanych. Pełnomocnik zwrócił się do Sądu o wstrzymanie wykonania zaskarżonej decyzji w całości. Żądanie w tym zakresie ponowił w piśmie z dnia (...) maja 2019 r. Zaskarżonej decyzji zarzucił:
1. naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 58 ust. 2 lit. d rozporządzenia 2016/679 w związku z art. 14 ust. 1 i 2 tego rozporządzenia polegające na jego niewłaściwym zastosowaniu i nakazaniu Spółce dopełnienie obowiązku podania informacji określonych w art. 14 ust. 1 i 2 rozporządzenia osobom fizycznym, których dane osobowe skarżąca przetwarza, prowadzącym w przeszłości jednoosobową działalność gospodarczą, którym informacje te nie zostały podane, w sytuacji, w której skarżąca nie dysponuje danymi teleadresowymi osób, które prowadziły w przeszłości taką jednoosobową działalność gospodarczą, a do ich pozyskania nie jest uprawniona na gruncie obecnie obwiązujących przepisów prawa, w związku z czym zachodzi niewykonalność decyzji w omawianym zakresie w dniu jej wydania, przy czym niewykonalność ma charakter trwały, co jednocześnie stanowi podstawę do stwierdzenia częściowej nieważności decyzji w oparciu o art. 156 § 1 pkt 5 k.p.a.;
2. naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 14 ust. 5 lit. b rozporządzenia 2016/679 w związku z art. 14 ust. 1 i 2 tego rozporządzenia, polegające na ich niewłaściwym zastosowaniu i niezasadnym przyjęciu, że skarżąca powinna była zrealizować obowiązek informacyjny, o którym mowa we wspomnianych przepisach, indywidualnie wobec każdej osoby, której dotyczą dane przetwarzane przez skarżącą w toku prowadzonej przez nią działalności gospodarczej, podczas gdy skarżąca miała podstawy, by oprzeć się na wyjątku od tego obowiązku, ustanowionym w przepisie art. 14 ust. 5 lit. b rozporządzenia 2016/679, w związku z tym, że wykonanie go wymagałoby niewspółmiernie dużego wysiłku, rozumianego jako nadmierne obciążenie organizacyjne oraz finansowe dla skarżącej, niewspółmierne do ryzyka i ewentualnego uszczerbku na prawach lub wolnościach osób, których dane dotyczą;
3. naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 14 ust. 5 lit. c rozporządzenia 2016/679, w związku z art. 23 ust. 1 lit. c oraz i) tego rozporządzenia, w związku z art. 45 ust. 1 ustawy z dnia 6 marca 2018 r. o Centralnej Ewidencji i Informacji o Działalności Gospodarczej i Punkcie Informacji dla Przedsiębiorcy (Dz. U. z 2018 r. poz. 647), zwanej dalej ustawą o CEIDG, polegające na błędnym przyjęciu, że w odniesieniu do podmiotów, których dane przetwarza skarżąca, a prowadzących aktualnie lub w przeszłości jednoosobową działalność gospodarczą, oraz które zawiesiły wykonywanie tej działalności, a wpisanych do CEIDG, znajduje zastosowanie obowiązek informacyjny wynikający z art. 14 ust. 1 i 2 rozporządzenia 2016/679, w sytuacji gdy: dane te są jawne dla każdego, a w konsekwencji każdy podmiot ma do nich dostęp, może je przetwarzać i udostępniać; należy uznać, iż pozyskiwanie i ujawnianie danych zawartych w CEIDG jest wyraźnie uregulowane prawem RP, któremu podlega skarżąca, a w konsekwencji znajduje zastosowanie również wyjątek wskazany w art. 14 ust. 5 lit. c) rozporządzenia 2016/679; przepis art. 45 ust. 1, a także inne przepisy ustawy o CEIDG w sposób wyczerpujący dookreślające zasady dostępu, pozyskiwania oraz udostępniania danych z CEIDG, należy uznać za przepisy ustanawiające wyłączenie art. 14 ust. 1 i 2 rozporządzenia 2016/679 w myśl art. 23 ust. 1 lit. c) oraz i) tego rozporządzenia;
4. naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 23 ust. 1 lit. c oraz i) rozporządzenia 2016/679 w związku z art. 47 ust. 2 i art. 50 ustawy o CEIDG oraz art. 5 ustawy z dnia 25 lutego 2016 r. o ponownym wykorzystywaniu informacji sektora publicznego, zwanej dalej u.p.w.i.s.p., w związku z art. 14 ust. 1 i 2 rozporządzenia 2016/679, polegające na ich błędnym zastosowaniu i pominięciu, że art. 50 ustawy o CEIDG (w brzmieniu obowiązującym w dniu wydania zaskarżonej decyzji) wyłączał zastosowanie przepisów o ochronie danych osobowych w stosunku do jawnych danych i informacji udostępnianych przez CEIDG w zakresie obowiązków informacyjnych, a przepisy ustawy o CEIDG oraz u.p.w.i.s.p. stanowią przepisy ograniczające prawo podmiotu danych do informacji;
5. naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 83 ust. 1 rozporządzenia 2016/679 w związku z art. 8 § 1 k.p.a., polegające na wymierzeniu skarżącej kary administracyjnej za naruszenie przepisów rozporządzenia 2016/679, objętych przepisem art. 83 ust. 5 lit. b rozporządzenia 2016/679, podczas gdy brak było podstawy do uznania naruszenia przepisu art. 83 ust. 5 lit. b tego rozporządzenia, ze względu na fakt, że skarżąca w dobrej wierze skorzystała z ustanowionego w rozporządzeniu 2016/679 wyjątku i zastosowała przepis art. 14 ust. 5 lit. b tego rozporządzenia, wykonując obowiązek informacyjny przez zamieszczenie go na stronie internetowej;
6. naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 83 ust. 1 rozporządzenia 2016/679 w związku z art. 8 § 1 k.p.a. polegające na wymierzeniu skarżącej kary administracyjnej za naruszenie przepisów rozporządzenia 2016/679, objętych przepisem art. 83 ust. 5 lit. b rozporządzenia 2016/679 w celu zniechęcenia innych administratorów danych do naruszania w przyszłości prawa ochrony danych osobowych, co skutkowało wymierzeniem kary z naruszeniem zasady jej zindywidualizowania i w wysokości nieproporcjonalnej do rzekomego naruszenia przepisów rozporządzenia, którego w ocenie organu dopuściła się skarżąca, jak również do naruszenia zasady prowadzenia postępowania administracyjnego w sposób budzący zaufanie jego uczestników do władzy publicznej oraz wytycznej nakazującej organowi administracji kierować się zasadami proporcjonalności, bezstronności i równego traktowania;
7. naruszenie przepisów prawa materialnego, które miało istotny wpływ na wynik sprawy, tj. art. 83 ust. 2 lit. a rozporządzenia 2016/679, polegające na wymierzeniu skarżącej kary administracyjnej za naruszenie przepisów tego rozporządzenia w wysokości określonej w zaskarżonej decyzji, przy jednoczesnym stwierdzeniu przez organ, że konsekwencją stwierdzonego naruszenia nie było powstanie po stronie podmiotów danych szkody;
8. naruszenie przepisów prawa materialnego, które miało istotny wpływ na wynik sprawy i skutkowało niesłusznym wymierzeniem skarżącej kary administracyjnej za naruszenie przepisów rozporządzenia 2016/679, tj. art. 83 ust. 2 lit. b tego rozporządzenia, polegające na niezasadnym przyjęciu i uznaniu za okoliczność obciążającą, że rzekome naruszenie przepisów rozporządzenia 2016/679 przez skarżącą miało charakter umyślny, w sytuacji, w której skarżąca działała w oparciu o wyjątek od obowiązku podania informacji osobom, których dane dotyczą, przewidziany w art. 14 ust. 5 lit. b rozporządzenia 2016/679, co nie może być uznane za umyślne naruszenie tego obowiązku;
9. naruszenie przepisów prawa materialnego, które miało istotny wpływ na wynik sprawy i skutkowało niesłusznym wymierzeniem skarżącej kary administracyjnej za naruszenie przepisów rozporządzenia 2016/679, tj. art. 83 ust. 2 lit. f tego rozporządzenia, polegające niezasadnym uznaniu za okoliczność obciążającą skarżącą braku współpracy skarżącej z organem w celu usunięcia naruszenia lub złagodzenia jego ewentualnych negatywnych skutków, w sytuacji, w której skarżąca działała w oparciu o wyjątek od obowiązku podania informacji osobom, których dane dotyczą, przewidziany w art. 14 ust. 5 lit. b tego rozporządzenia, a zarazem działała w przekonaniu, że nie występuje jakiekolwiek naruszenie i szkoda, wobec czego organ nie powinien był potraktować jej postawy jako okoliczności obciążającej ją i wpływającej na wymiar kary za rzekome naruszenie;
10. naruszenie przepisów prawa materialnego, które miało istotny wpływ na wynik sprawy, tj. art. 83 ust. 2 lit. g rozporządzenia 2016/679, polegające na nieuznaniu za okoliczność łagodzącą rzekomego naruszenia faktu, że skarżąca przetwarza dane ogólnodostępne, publikowane w publicznych rejestrach, których przetwarzanie wiąże się z niskim ryzykiem dla praw i wolności osób fizycznych - zgodnie z argumentacją prezentowaną przez skarżącą w toku postępowania - co skutkowało niesłusznym wymierzeniem skarżącej kary administracyjnej za naruszenie przepisów rozporządzenia 2016/679;
11. naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj. art. 7 w związku z art. 77 i art. 80 k.p.a., polegające na niewyczerpującym zebraniu i rozpatrzeniu całego materiału dowodowego i niepodjęciu wszelkich kroków niezbędnych do dokładnego wyjaśnienia stanu faktycznego i załatwienia sprawy, co skutkowało niesłusznym nałożeniem na skarżącą dotkliwych obowiązków, skutkujących poważnym obciążeniem finansowym, mogącym prowadzić do utraty płynności finansowej;
12. naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj. art. 107 § 1 i 3 k.p.a. poprzez niewskazanie w decyzji i uzasadnieniu do niej wszystkich faktów, które organ uznał za udowodnione, jak też dowodów, na których się oparł oraz przyczyn, z powodu których odmówił wiarygodności i mocy dowodowej innym dowodom, co znacząco utrudnia rekonstrukcję sposobu rozumowania organu, a w konsekwencji kontrolę legalności zaskarżonej decyzji.
Podnosząc przedstawione zarzuty pełnomocnik wniósł jednocześnie, aby Sad rozważył zwrócenie się do Trybunału Sprawiedliwości Unii Europejskiej z pytaniami prawnymi w trybie prejudycjalnym w kwestii pojęcia niewspółmiernie dużego wysiłku.
W obszernym uzasadnieniu skargi pełnomocnik rozszerzył argumentację w zakresie postawionych zarzutów. W nawiązaniu do zarzutu naruszenia przez organ art. 156 § 1 pkt 5 k.p.a. pełnomocnik wskazał, że w zaskarżonej decyzji organ nakazał skarżącej dopełnienie obowiązku podania informacji określonych w art. 14 ust. 1 i 2 rozporządzenia 2016/679 między innymi osobom fizycznym prowadzącym w przeszłości jednoosobową działalność gospodarczą, których dane osobowe skarżąca przetwarza, a którym informacje te nie zostały podane.
Pełnomocnik wskazał, że Spółka nie dysponuje aktualnymi adresami tych osób. W przekonaniu skarżącej, ustanowienie tak sformułowanego obowiązku jest obarczone wadą, polegającą na niewykonalności decyzji w tym zakresie, przy czym niewykonalność ta ma charakter trwały. Skarżąca przetwarza - w omawianym zakresie - dane osób, które prowadziły jednoosobową działalność gospodarczą w przeszłości. Pełnomocnik wskazał, że dane dotyczące działalności gospodarczej prowadzonej przez te osoby, przetwarzane przez skarżącą, są danymi wyłącznie historycznymi, pozyskanymi przez skarżącą w czasie, gdy osoby tę były wpisane do CEIDG jako aktywnie prowadzące działalność gospodarczą. Pełnomocnik wskazał, że dane historyczne potrzebne są skarżącej do tworzenia pełnego, historycznego obrazu prowadzenia działalności gospodarczej przez przedsiębiorców. Wskazał, że nie ma podstaw, aby zasadnie przyjąć, że dane adresowe, które były aktualne w momencie prowadzenia przez przedsiębiorców działalności gospodarczej, pozostają aktualne obecnie, pomimo zakończenia prowadzenia takiej działalności, i że mogą być uznane za prawidłowe dane kontaktowe tych osób. Innymi słowy, skarżąca nie może przyjąć, że fakt prowadzenia działalności gospodarczej w przeszłości pod określonym adresem oznacza, że osoba, która taką działalność gospodarczą prowadziła, nadal posługuje się (jest osiągalna pod) takim adresem. Pełnomocnik podniósł, że w konsekwencji, wysłanie przez skarżącą korespondencji listownej, zawierającej informacje, o których mowa w art. 14 ust. 1 i 2 rozporządzenia 2016/679, na historyczne adresy przedsiębiorców posiadane przez Spółkę, nie spowoduje skutecznego wykonania wobec tych osób obowiązku informacyjnego. Podkreślił, że baza danych dotyczących nieaktywnych działalności gospodarczych, przetwarzana przez skarżącą, gdzie jedyną daną kontaktową jest dawny adres prowadzenia takiej działalności, obejmuje 2.924.443 (dwa miliony dziewięćset dwadzieścia cztery tysiące czterysta czterdzieści trzy) rekordy. Pełnomocnik wskazał też, że skarżąca nie ma możliwości pozyskania aktualnych danych kontaktowych osób, których dotyczą omawiane dane osobowe z ww. rejestrów, ponieważ nie dysponuje ani numerami PESEL identyfikującymi te osoby, ani innymi danymi, które pozwoliłyby na ich wyszukanie w rejestrach (dane wymagane do podania we wzorze formularza wniosku o udostępnienie danych jednostkowych z rejestru mieszkańców oraz rejestru PESEL). Z tego względu w ocenie Spółki nie ma ona możliwości uzyskania informacji, które pozwoliłyby jej na wykonanie nałożonego na nią obowiązku dotyczącego osób prowadzących w przeszłości jednoosobową działalność gospodarczą.
W nawiązaniu do zarzutu naruszenia art. 14 ust. 5 lit. b w związku z art. 14 ust. 1 i 2 rozporządzenia 2016/679 pełnomocnik wskazał, że organ nie uwzględnił, że po stronie skarżącej zachodzi niewspółmiernie duży wysiłek. Wysiłek ten, zdaniem skarżącej, należy oceniać przez pryzmat ryzyka dla praw osób, których dane dotyczą. Ocena występowania niewspółmiernie dużego wysiłku nie może być oderwana od okoliczności pozyskania konkretnych danych osobowych. W ocenie Spółki w szczególności w przypadku pozyskania danych osobowych z publicznie dostępnych rejestrów uznać należy, że ryzyko to jest dla osób, których dane zostały pozyskane, w najgorszym wypadku, bardzo niskie, o czym zdecydował sam ustawodawca, zezwalając na upublicznianie tych danych. Wynika to z faktu, że pozyskane dane są publicznie dostępne dla każdego, bez opłat, z rejestru CEIDG. Każdy ma prawo i faktyczną możliwość zapoznania się z tymi danymi, w dowolnie wybranym przez siebie miejscu i czasie, co jest jednocześnie poza kontrolą zarówno osób, których dane dotyczą, jak też podmiotu prowadzącego CEIDG.
Pełnomocnik podniósł nadto, że uznanie przez organ, że pozyskanie z publicznie dostępnych źródeł danych osobowych wiąże się z bezwzględnym obowiązkiem indywidualnego poinformowania odrębnie każdej z osób, których dane dotyczą, zgodnie z art. 14 ust. 1 i 2 rozporządzenia 2016/679, nie znajduje podstaw w przepisach rozporządzenia. Spółka wskazała, że niewspółmierny wysiłek, o którym mowa w art. 14 ust. 5 lit. b rozporządzenia rozumie jako obciążenie organizacyjne (konieczność oddelegowania pracowników i zasobów rzeczowych - komputerów, urządzeń biurowych - do realizacji wyłącznie tego zadania) oraz finansowe (koszt druku, przygotowania do wysyłki i nadania, w tym papieru, tonerów, kopert i znaczków pocztowych, obsługi zwrotów korespondencji, ewentualnie wynagrodzenie podmiotów, którym skarżąca mogłaby zlecić wykonanie tego zadania), nieadekwatne do ryzyka dla osób, których dane dotyczą, które jednocześnie w krytyczny sposób zakłóciłoby funkcjonowanie przedsiębiorstwa skarżącej w stopniu, który mógłby wiązać się z koniecznością zakończenia prowadzenia przez nią działalności w Polsce.
Pełnomocnik wskazał nadto, że omawiany wyżej wysiłek byłby przede wszystkim niewspółmierny do ewentualnego naruszenia praw lub wolności osób, których dane dotyczą, w tym do ryzyka powstania szkody po stronie tych osób. Podniósł, że sam organ wskazał w zaskarżonej decyzji, że działanie skarżącej nie skutkowało powstaniem szkody po stronie podmiotów danych. Pełnomocnik wskazał, że podmioty te rejestrując swoją działalność gospodarczą i przekazując dane do wpisu do publicznie dostępnych rejestrów, mają świadomość, że ich dane zawarte w tej bazie będą dostępne dla nieograniczonego kręgu podmiotów, które będą uprawnione do ich wykorzystania dla swoich celów gospodarczych. Rejestr osób prowadzących działalność gospodarczą jest jawny właśnie w tym celu, aby wszystkie podmioty wchodzące w relację z takimi przedsiębiorcami, mogły sprawdzić ich status, w tym to, czy prowadzą działalność gospodarczą, pod jaką firmą, adresem czy numerem NIP.
Pełnomocnik zauważył też, że niezastosowanie wyjątku z przepisu art. 14 ust. 5 lit. b rozporządzenia 2016/679, umożliwiającego odstąpienie od indywidualnego informowania podmiotów danych o takim pozyskaniu ich danych, skutkowałoby koniecznością zwracania się do kilku milionów osób, których dane pobierane są z bazy CEIDG przez nieokreślony krąg podmiotów, co miesiąc, ze wskazaniem faktu pobrania ich danych i celu takiego działania. Biorąc pod uwagę, że osoby, o których dane osobowe tu chodzi, udostępniły swoje dane do publicznie dostępnych rejestrów, a ponadto mają świadomość, że rejestry te są publicznie dostępne (dla innych podmiotów), oraz że pobieranie danych z tych rejestrów są całkowicie legalne, trudno jest uznać, że osoby te mają oczekiwanie "zalewania" ich informacjami o każdorazowym pobraniu ich danych z rejestru.
Pełnomocnik zwrócił też m.in. uwagę, że organ w swojej decyzji nie wskazał, na jakiej podstawie prawnej przyjął istnienie obowiązku informacyjnego, wynikającego z przepisów rozporządzenia 2016/679 wobec danych osobowych zebranych przed rozpoczęciem stosowania rozporządzenia 2016/679. Jeżeli moment pozyskania danych osobowych miał miejsce przed rozpoczęciem stosowania rozporządzenia 2016/679 pojawia się wątpliwość co do objęcia danych pozyskanych w takim okresie obowiązkiem ustanowionym w okresie późniejszym. Pełnomocnik wskazał też m.in. na wątpliwość co do zastosowania obowiązku informacyjnego wobec wyłączeń znajdujących się w przepisach ustawy o CEIDG. W ocenie Spółki art. 45 ust. 1 ustawy o CEIDG w powiązaniu z innymi przepisami tej ustawy pozwalają przyjąć, że regulacja ta stanowi przepisy uszczegóławiające w stosunku do art. 14 ust. 1 i 2 rozporządzenia 2016/679, przyjęte stosownie do treści art. 23 ust. 1 lit. c i lit. i rozporządzenia 2016/679, w celu ochrony bezpieczeństwa publicznego oraz praw i wolności osób uczestniczących w obrocie gospodarczym. Regulację tę należy również uznać za przepis, który w sposób wyraźny reguluje pozyskiwanie i ujawnianie danych, stosownie do treści art. 14 ust. 5 lit. c rozporządzenia 2016/679, a zatem uzasadnia zastosowanie także kolejnego wyjątku od zasady informowania. Pełnomocnik powołał się też na art. 50 ustawy o CEIDG i wskazał, że dopiero ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679, która wejdzie w życie dopiero po dniu wniesienia niniejszej skargi, uchyla art. 50 ustawy o CEIDG (art. 158). Przepis art. 50 ustawy o CEIDG do dnia wejścia w życie ustawy nowelizującej, implementującej rozporządzenia 2016/679, wyłącza zastosowanie art. 14 ust. 1 i 2 rozporządzenia 2016/679. Obowiązuje natomiast art. 47 ust. 2 ustawy o CEIDG, który w zakresie ponownego wykorzystania danych CEIDG odsyła do przepisów u.p.w.i.s.p. W myśl art. 5 tej ustawy, każdemu przysługuje prawo do ponownego wykorzystywania informacji sektora publicznego, udostępnionych w systemie teleinformatycznym. Pełnomocnik wskazał też m.in. na ustalenie niewłaściwej liczby osób dotkniętych rzekomym naruszeniem, wskazał, że niesłusznie nałożono karę administracyjną, nieprawidłowo ustalono przesłanki wymiaru kary administracyjnej. Skarżąca konsekwentnie stoi na stanowisku, że jej działanie nie nosiło cech bezprawności i nie stanowiło naruszenia przepisów rozporządzenia 2016/679. Odwołanie się w tym miejscu do prawnokarnej instytucji błędu co do znamion czynu zabronionego ma na celu jedynie wskazanie, że organ twierdząc w zaskarżonej decyzji, że skarżąca popełniła naruszenie, w świetle zgromadzonego materiału dowodowego, działając w sposób rzetelny i zgodny z prawem, powinien był uznać, że skarżąca znajdowała się w usprawiedliwionym przekonaniu o możliwości powołania się na wyjątek z art. 14 ust. 5 lit. b tego rozporządzenia, a zatem działała - co najwyżej - w okolicznościach błędu co do okoliczności stanowiącej znamię czynu zabronionego. Pełnomocnik wskazał też m.in. na brak zindywidualizowania wymierzonej kary.
Prezes Urzędu Ochrony Danych Osobowych w odpowiedzi na skargę wniósł o jej oddalenie, podtrzymując ustalenia dokonane w zaskarżonej decyzji. Odnosząc się do zarzutów skargi podniósł m.in., że wskazana przez Spółkę liczba 6.671.368 osób, którą Prezes UODO przyjął w uzasadnieniu zaskarżonej decyzji wynikała z wyjaśnień Spółki z dnia 4 lutego 2019 r. Jednakże mając na uwadze ustalenia faktyczne sprawy, oparte na dowodach, z których jednoznacznie wynikało, że w różnym czasie (tj. w różnych datach) w bazie danych systemu (...) Spółka dysponowała różną liczbą danych osób (rekordów), w sentencji zaskarżonej decyzji Prezes UODO sformułował w sposób opisowy nakaz wykonania przez Spółkę obowiązku informacyjnego, mając na uwadze ową dynamikę przetwarzanych rekordów.
Jednocześnie organ wskazał, że Spółka na etapie postępowania administracyjnego nie wskazywała, że nie dysponuje danymi teleadresowymi osób, które prowadziły w przeszłości taką jednoosobową działalność gospodarczą, a do ich pozyskania nie jest uprawniona na gruncie obecnie obwiązujących przepisów prawa, którą to kwestię podniosła dopiero w skardze. Organ stwierdził, że argumentowanie przez Spółkę niemożności wykonania decyzji w tym zakresie brakiem aktualnych adresów do doręczeń osób fizycznych i ewentualnego uzyskania tych informacji z rejestrów PESEL i rejestrów mieszkańców świadczy o tym, że Spółka precyzyjnie potrafi określić wobec których osób fizycznych nie spełniła obowiązku informacyjnego. A zatem może wykonać zaskarżoną decyzję, bowiem sentencja tej decyzji jest precyzyjna w zakresie określenia osób fizycznych, którym Spółka powinna przekazać informacje z art. 14 ust. 1 i 2 rozporządzenia 2016/679.
Wojewódzki Sąd Administracyjny w Warszawie postanowieniem z dnia 3 czerwca 2019 r. sygn. akt II SA/Wa 1030/19 po rozpatrzeniu wniosku Spółki wstrzymał wykonanie punktu pierwszego decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia (...) marca 2019 r. nr (...) i oddalił wniosek w pozostałym zakresie.
W piśmie procesowym z (...) grudnia 2019 r. pełnomocnik Spółki odnosząc się do odpowiedzi na skargę podtrzymał dotychczasowe zarzuty. Wskazał m.in., że w uzasadnieniu zaskarżonej decyzji, organ przyjął liczbę 6.671.368 jako liczbę osób dotkniętych rzekomym naruszeniem, którego miała dopuścić się skarżąca.
W uzasadnieniu skargi skarżąca wskazywała, że błąd organu polegał na uznaniu sumy rekordów dotyczących wszystkich osób fizycznych, które znajdowały się w bazie danych skarżącej w okresie prowadzenia kontroli przez organ, co do których skarżąca nie dysponuje adresem poczty elektronicznej, za liczbę osób, wobec których skarżąca ma - zgodnie z punktem 1 zaskarżonej decyzji - zrealizować obowiązek informacyjny. Tymczasem, jak wskazywała skarżąca, liczba ta obejmuje zarówno osoby fizyczne prowadzące (aktualnie lub w przeszłości) jednoosobową działalność gospodarczą, osoby, które zawiesiły prowadzenie jednoosobowej działalności gospodarczej, jak również osoby będące członkami organów spółek, fundacji lub stowarzyszeń.
Pełnomocnik zwrócił uwagę, że nie było uprawnione przyjęcie przez organ, że rzekome naruszenie, którego miała dopuścić się skarżąca, dotyczące niepoinformowania osób fizycznych prowadzących aktualnie lub w przeszłości jednoosobową działalność gospodarczą, oraz które zawiesiły wykonywanie tej działalności, obejmowało liczbę 6.671.368 osób fizycznych. Podniósł, że liczba osób objęta domniemanym naruszeniem miała znaczenie dla wymierzenia kary, jak i dla ustalenia jej wysokości.
Uzasadnienie prawne
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Skarga w części jest zasadna.
1. W ocenie Sądu zaskarżona decyzja Prezesa UODO w części w jakiej nakazuje Spółce dopełnienie obowiązku podania informacji określonych w art. 14 ust. 1 i 2 rozporządzenia 2016/679 osobom fizycznym prowadzącym w przeszłości jednoosobową działalność gospodarczą, którym informacje te nie zostały podane, wydana została z naruszeniem prawa procesowego, tj. art. 7, art. 77 § 1 i art. 80 k.p.a., które mogło mieć istotny wpływ na wynik sprawy. W ocenie Sądu brak jest na tym etapie postępowania podstaw do stwierdzenia nieważności zaskarżonej decyzji we wskazanym zakresie, jak chciałaby tego Spółka. Przede wszystkim zauważyć należy, że organ nie dokonał żadnych ustaleń, co do faktycznej możliwości wykonania przez Spółkę wobec tych osób obowiązku, o którym mowa wyżej, z uwzględnieniem konieczności osiągnięcia rzeczywistego celu jego realizacji. Organ nie ustalił bowiem, czy istnieje możliwość faktycznego dotarcia informacji, o których mowa w powołanych przepisach rozporządzenia 2016/679 do adresata będącego w tym przypadku osobą fizyczną, która nie prowadzi już działalności gospodarczej (w decyzji określona jako osoba fizyczna prowadząca w przeszłości jednoosobową działalność gospodarczą).
Fakt, że Spółka na etapie postępowania administracyjnego nie podnosiła okoliczności, że nie dysponuje aktualnymi adresami tych osób, nie zwalniał organu od dokonania ustaleń, czy Spółka dysponując tymi danymi, które w zbiorze danych posiada i przetwarza, ma możliwość realnego dotarcia z informacją określoną w art. 14 ust. 1 i 2 rozporządzenia 2016/679 - poprzez przesłanie drogą pocztową lub poprzez kontakt telefoniczny - do tych właśnie osób. W decyzji nie ma ustaleń w stosunku do ilu osób, które w przeszłości prowadziły jednoosobową działalność gospodarczą istnieje faktyczna możliwość realizacji nałożonego w decyzji w tym zakresie obowiązku. Organ wskazał, że poza imieniem i nazwiskiem takiej osoby (jak i innych osób prowadzących jednoosobową działalność gospodarczą ujętych w decyzji), Spółka przetwarza m.in. także nazwę przedsiębiorstwa, adres rejestrowy oraz inne adresy, opcjonalnie numer telefonu. W decyzji nie określono, czy chodzi o adres do doręczeń, adres stałego miejsca wykonywania działalności gospodarczej (art. 5 ust. 1 pkt 6 ustawy o CEIDG), czy też mowa o innych adresach, a jeśli tak, to o jakich.
Z ustawy o CEIDG wynika, że z wnioskiem o wpis do CEIDG, z wyjątkiem wniosku o wykreślenie przedsiębiorcy, składa się oświadczenia m.in. o posiadaniu tytułu prawnego do nieruchomości, których adresy są wpisywane do CEIDG. Skoro już przy wykreśleniu z CEIDG nie jest wymagane oświadczenie o posiadaniu tytułu prawnego do nieruchomości, których adresy znalazły się w CEIDG, to wydaje się, że w odniesieniu do osób fizycznych, które w przeszłości prowadziły jednoosobową działalność gospodarczą (a zatem przedsiębiorca został wykreślony z CEIDG) powstaje istotna wątpliwość co do tego, czy adres, którym Spółka dysponuje w odniesieniu do tych osób fizycznych (nazwany w skardze historycznym adresem prowadzenia działalności) pozwala na rzeczywisty kontakt z tymi osobami. Sąd podziela podniesione w skardze wątpliwości Spółki co do ewentualnych możliwości pozyskania aktualnych danych kontaktowych tych osób. Oczywiście wobec braku ustaleń organu w decyzji w tym zakresie nie sposób stwierdzić, czy i w odniesieniu do ilu osób fizycznych, które w przeszłości prowadziły jednoosobową działalność gospodarczą w istocie możliwa jest realizacja obowiązku określonego w art. 14 ust. 1 i 2 rozporządzenia 2016/679. Organ ponownie rozpoznając sprawę w tym zakresie obowiązany będzie dokonać niezbędnych ustaleń. Zauważyć przy tym należy, że w istocie chodzi o dane osób fizycznych (imiona, nazwiska, adresy), które aktualnie (tj. na dzień wydania decyzji) nie są osobami prowadzącymi działalność gospodarczą. Organ nie wskazał, od jak dawna osoby te nie są przedsiębiorcami (czy zostały wykreślone z CEIDG np. 3 miesiące temu, czy też np. 4 lata temu, bądź też np. 12 lub więcej lat temu). Zauważyć przy tym należy, w związku z podkreślanym przez skarżącą faktem przetwarzania danych osobowych pozyskanych z powszechnie dostępnych rejestrów (w tym właśnie danych osób fizycznych, które w przeszłości prowadziły jednoosobową działalność gospodarczą), że w przypadku danych zgromadzonych w CEIDG ustawodawca przewidział, że po upływie 10 lat od dnia wykreślenia przedsiębiorcy z CEIDG usunięciu podlegają dane wpisane do CEIDG przed dniem tego wykreślenia (art. 49 ust. 2 ustawy o CEIDG). Usunięciu z CEIDG po 10 latach (od złożenia wniosku) podlegają także dane osoby, która złożyła wniosek o wpis do CEIDG wraz z informacją o niepodjęciu działalności gospodarczej (art. 49 ust. 3 ustawy o CEIDG).
W ocenie Sądu, w kontekście okoliczności podniesionej przez Spółkę w skardze, co do braku dysponowania aktualnymi adresami osób fizycznych, które w przeszłości prowadziły jednoosobową działalność gospodarczą (zaprzestały wykonywania działalności), ustalenia organu, co do możliwości realizacji obowiązku przekazania tym osobom informacji określonych w art. 14 ust. 1 i 2 rozporządzenia 2016/679 wymagały będą wcześniejszego dokonania przez organ ustaleń na gruncie art. 6 i art. 5 rozporządzenia 2016/679, co do zgodności z prawem unijnym, tj. rozporządzeniem 2016/679, przetwarzania tych danych, a zatem m.in. ich przechowywania, wykorzystywania, ujawniania, udostępniania. Spółka twierdzi, że nie posiada aktualnych adresów tych osób fizycznych, których dane przetwarza. Rozporządzenie 2016/679 wymaga w art. 5 ust. 1, aby dane osobowe były przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dotyczą (a), aby były prawidłowe i w razie potrzeby uaktualniane (d). Powyższe jest ściśle powiązane z obowiązkiem administratora podania takiej osobie fizycznej, której dane są przetwarzane, a które zostały pozyskane w inny sposób niż bezpośrednio od tej osoby (w tym przypadku z jawnych rejestrów) informacji, o których mowa w art. 14 rozporządzenia 2016/679. Ponownie rozpoznając sprawę organ uwzględni przedstawione wyżej wskazania.
2. Konsekwencją uchylenia zaskarżonej decyzji we wskazanym wyżej zakresie z uwagi na naruszenie prawa procesowego, które mogło mieć istotny wpływ na wynik sprawy jest uchylenie przez Sąd także punktu 2 tej decyzji, tj. nałożonej na Spółkę administracyjnej kary pieniężnej. Wskazany przez organ fakt niedopełnienia przez Spółkę obowiązku informacyjnego m.in. właśnie wobec osób fizycznych prowadzących w przeszłości jednoosobową działalność gospodarczą, był podstawą nałożenia administracyjnej kary pieniężnej, a nadto w ściśle określonej wysokości. Nakładając karę pieniężną organ uwzględnił bowiem naruszenie obowiązku m.in. w stosunku do tych właśnie osób, które nie prowadzą już działalności gospodarczej, co wpłynęło na ocenę organu tak co do charakteru naruszenia, jak i jego wagi. Także ustalona przez organ liczba osób dotkniętych naruszeniem miała znaczenie przy nakładaniu kary pieniężnej i ustalaniu jej wysokości. W sytuacji zatem, gdy, jak podaje Spółka w skardze i w piśmie procesowym z dnia (...) grudnia 2019 r. liczba ta obejmowała nie tylko osoby fizyczne prowadzące aktualnie lub w przeszłości jednoosobową działalność gospodarczą oraz osoby fizyczne, które zawiesiły prowadzenie jednoosobowej działalności gospodarczej, ale także osoby będące członkami organów spółek, fundacji lub stowarzyszeń, których przecież niniejsza decyzja nie dotyczy, to także z tego względu konieczne stało się uchylenie punktu 2 zaskarżonej decyzji. Wskazywana w uzasadnieniu decyzji liczba osób fizycznych dotkniętych naruszeniem miała bezspornie wpływ, jak wynika z uzasadnienia zaskarżonej decyzji w przedmiocie nałożonej kary pieniężnej, tak na samą decyzję Prezesa UODO o nałożeniu tejże kary pieniężnej na Spółkę, jak i na określenie jej wysokości. Kwestionowane zatem przez Spółkę przyjęcie przez organ w uzasadnieniu zaskarżonej decyzji liczby 6.671.368 jako liczby osób dotkniętych naruszeniem, ma znaczenie dla podjętej przez organ decyzji o nałożeniu administracyjnej kary pieniężnej i ustalenia jej wysokości. Uchybienie przepisowi art. 7, art. 77 § 1 i art. 80 k.p.a. w tym zakresie przy podejmowaniu decyzji o administracyjnej karze pieniężnej mogło mieć istotny wpływ na wynik sprawy w tym zakresie. Organ nie dokonał bowiem bezspornych ustaleń faktycznych, co do faktycznej liczby osób fizycznych wobec których Spółka uchybiła przepisom rozporządzenia 2016/679, nie rozpatrzył w tym zakresie w sposób wyczerpujący materiału dowodowego, stąd też przyjęta ocena organu musiała zostać uznana za dowolną.
W okolicznościach niniejszej sprawy, wobec wskazanych wyżej uchybień przepisom postępowania, Sąd nie miał podstaw, aby przyjąć, że nałożona kara pieniężna jest proporcjonalna do stwierdzonego naruszenia przepisu art. 14 ust. 1 i 2 rozporządzenia 2016/679, jak wymaga tego art. 83 ust. 1 tegoż rozporządzenia. Sąd podziela wprawdzie stwierdzenie organu, że naruszenie ma poważny charakter, albowiem dotyczy podstawowych praw i wolności osób fizycznych, narusza również zasadę przejrzystości i rzetelności (art. 5 ust. 1 lit. a rozporządzenia), jednakże powyższe nie przesądza - w stanie faktycznym tej sprawy - o niezasadności zarzutu naruszenia przez organ art. 83 rozporządzenia 2016/679. Sąd zauważa przy tym, że poniesiona szkoda, o której jest mowa w art. 83 ust. 2 lit.a rozporządzenia 2016/679, w okolicznościach każdego przypadku powinna być rozumiana inaczej. Liczba poszkodowanych osób, o których także jest mowa w tym przepisie, to liczba osób, wobec których w tym konkretnym przypadku Spółka nie dopełniła ciążącego na niej obowiązku określonego w art. 14 ust. 1 i 2 rozporządzenia 2016/679. Szkoda zatem winna być rozumiana w tym przypadku jako pozbawienie uprawnień. Niedopełnienie obowiązku informacyjnego powoduje w istocie pozbawienie uprawnień do korzystania przez osoby fizyczne ze swoich praw (możliwości decydowania o swoich danych osobowych, kontroli nad własnymi danymi).
Zgodzić się natomiast trzeba ze skarżącą, że nie stanowi o zindywidualizowaniu kary i jej wysokości w tej sprawie powołanie się przez organ na konieczność odstraszenia (poza samą Spółką przed ponownym naruszeniem) także innych administratorów. W ocenie Sądu skuteczność, proporcjonalność i odstraszający charakter administracyjnej kary pieniężnej wskazanej w art. 83 ust. 5 lit. b w zw. z art. 83 ust. 1 rozporządzenia 2016/679 musi być odnoszony do konkretnego podmiotu, który dopuścił się naruszenia przepisów tego rozporządzenia. Na wymiar kary nie może mieć zatem wpływu cel, jaki Prezes UODO chciałby osiągnąć wobec innych administratorów. Zamiar zniechęcenia "skutecznie" innych podmiotów do naruszania w przyszłości prawa ochrony danych osobowych, o czym jest mowa w zaskarżonej decyzji, stanowi zatem przesłankę niedozwoloną tak przy podejmowaniu decyzji o nałożeniu administracyjnej kary pieniężnej, jak i przy kształtowaniu jej wysokości. Biorąc pod uwagę, że administracyjną karę pieniężną organ może stosować, zgodnie z art. 58 ust. 2 lit. i rozporządzenia 2016/679 oprócz lub zamiast środków, o których mowa w ust. 2 tego przepisu, odstraszający charakter czy cel kary pieniężnej należy odnosić - tak przy jej nakładaniu, jak i ustalaniu jej wysokości - do ściśle określonych okoliczności danego przypadku i podmiotu, który w ocenie organu naruszył przepisy rozporządzenia 2016/679.
W tych okolicznościach konieczne było uchylenie punktu 2 zaskarżonej decyzji. Do organu należy ponowna ocena tak co do niezbędności zastosowania administracyjnej kary pieniężnej w tej sprawie jak i - w przypadku podtrzymania stanowiska co do potrzeby wymierzenia kary pieniężnej - ustalenia jej wysokości z uwzględnieniem wymogów art. 83 rozporządzenia 2016/679.
3. Odnosząc się do tej części decyzji, którą Sąd uznał za odpowiadającą prawu wskazać trzeba, że prawidłowo Prezes UODO nakazał Spółce dopełnienie obowiązku podania informacji określonych w art. 14 ust. 1 i 2 rozporządzenia 2016/679, osobom fizycznym, których dane osobowe Spółka przetwarza, prowadzącym aktualnie jednoosobową działalność gospodarczą oraz osobom fizycznym, które zawiesiły wykonywanie tej działalności, którym informacje te nie zostały podane.
Zasadnie Prezes UODO stwierdził - w stanie faktycznym niniejszej sprawy - w odniesieniu do tych osób, że samo umieszczenie informacji, wymaganych w art. 14 ust. 1 i ust. 2 rozporządzenia 2016/679, na stronie internetowej Spółki, nie może być uznane za wystarczające spełnienie obowiązku, o którym mowa w art. 14 ust. 1 i 2 rozporządzenia 2016/679.
Nie sposób przyjąć założenie, aby każda osoba fizyczna prowadząca jednoosobową działalność gospodarczą oraz osoba fizyczna, która zawiesiła prowadzenie jednoosobowej działalności gospodarczej, których dane osobowe Spółka przetwarza, miała wiedzę choćby o nazwie Spółki (...) Sp. z o.o. z siedzibą w (...) i o możliwości przetwarzania swoich danych osobowych przez tę Spółkę dla celów komercyjnych (a zatem celów innych niż cel ujawnienia danych w publicznie dostępnych rejestrach, z których dane pozyskano). Trzeba podkreślić, że jeśli nie wie się o przetwarzaniu swoich danych osobowych przez określony podmiot (pozyskanych z jawnych rejestrów, ale rejestrów prowadzonych w innych celach, niż cel działalności Spółki (...) Sp. z o.o.), to trudno jest takim osobom fizycznym domyślić się, że powinny poszukiwać strony internetowej tej właśnie konkretnej Spółki, żeby dowiedzieć się o przetwarzaniu swoich danych osobowych, celach tego przetwarzania i przysługujących prawach. W rozporządzeniu 2016/679 w art. 14 ust. 2 lit. f wyraźnie wskazano zresztą, że poza informacjami, o których mowa w ust. 1 (m.in. o tożsamości administratora danych, celu przetwarzania danych, podstawie prawnej przetwarzania, o odbiorcach danych osobowych, o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim), administrator danych podaje osobie, której dane dotyczą informacje niezbędne dla zapewnienia rzetelności i przejrzystości ich przetwarzania wobec osoby której dotyczą, informacje o źródle pochodzenia danych, a gdy ma to zastosowanie (jak ma to miejsce w niniejszej sprawie) czy pochodzą one ze źródeł powszechnie dostępnych.
Okoliczność bowiem, że dane i informacje udostępniane przez CEIDG są jawne i każdy ma prawo dostępu do tych danych i informacji ujawnionych w rejestrze (art. 45 ust. 1 ustawy o CEIDG) nie jest równoznaczna z możliwością dowolnego ich przetwarzania przez inne podmioty w celach innych niż te dane zostały w CEIDG zgromadzone. Rozporządzenie 2016/679 absolutnie nie wyłącza w odniesieniu do administratora takich danych osobowych, przetwarzanych dla osiągnięcia określonych celów komercyjnych, stosowania zasad i obowiązków wynikających z tego rozporządzenia, w tym właśnie obowiązku podania informacji określonych w art. 14 ust. 1 i 2 rozporządzenia 2016/679, co prawidłowo stwierdził Prezes UODO.
W ocenie Sądu w sprawie tej nie wystąpiły przesłanki, które mogłyby uzasadniać wystąpienie z pytaniem prejudycjalnym do Trybunału Sprawiedliwości Unii Europejskiej.
Zdaniem Sądu trafnie Prezes UODO wskazał, że w sprawie tej - w odniesieniu do danych osób fizycznych prowadzących aktualnie jednoosobową działalność gospodarczą i osób fizycznych, które zawiesiły wykonywanie jednoosobowej działalności gospodarczej - nie znajduje zastosowania przesłanka wyłączająca spełnienie obowiązku informacyjnego, przewidziana w art. 14 ust. 5 lit. b rozporządzenia 2016/679. Stosownie do powołanego przepisu, m.in. ust. 1 i 2 art. 14 nie mają zastosowania w zakresie w jakim udzielenie informacji wskazanych w tych przepisach okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku.
W dalszej części przepis ten wskazuje, że dotyczy to w szczególności przypadku przetwarzania danych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1, lub o ile obowiązek, o którym mowa w ust. 1 niniejszego artykułu, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osób, których dane dotyczą, w tym udostępnia informacje publicznie.
Sąd podziela twierdzenie organu, że wysłanie informacji, o których mowa w art. 14 rozporządzenia 2016/679 pocztą tradycyjną, na adres osoby fizycznej prowadzącej aktualnie jednoosobową działalność gospodarczą, adres osoby, która zawiesiła wykonywanie działalności gospodarczej lub w drodze kontaktu telefonicznego, nie jest czynnością niemożliwą oraz nie wymaga niewspółmiernie dużego wysiłku, w sytuacji posiadania przez Spółkę danych adresowych, a nadto także dodatkowo w odniesieniu do części tych osób - numerów telefonów. Zarzut naruszenia art. 14 ust. 5 lit.b) rozporządzenia 2016/679 nie jest zatem trafny. Skarżąca Spółka wskazała, że niewspółmiernie duży wysiłek, o którym mowa w art. 14 ust. 5 lit. b rozporządzenia rozumie jako obciążenie organizacyjne (konieczność oddelegowania pracowników i zasobów rzeczowych - komputerów, urządzeń biurowych - do realizacji wyłącznie tego zadania) oraz finansowe (koszt druku, przygotowania do wysyłki i nadania, w tym papieru, tonerów, kopert i znaczków pocztowych, obsługi zwrotów korespondencji, ewentualnie wynagrodzenie podmiotów, którym skarżąca mogłaby zlecić wykonanie tego zadania), nieadekwatne do ryzyka dla osób, których dane dotyczą, które jednocześnie w krytyczny sposób zakłóciłoby funkcjonowanie przedsiębiorstwa skarżącej w stopniu, który mógłby wiązać się z koniecznością zakończenia prowadzenia przez nią działalności w Polsce.
W ocenie Sądu pojęcie niewspółmiernie dużego wysiłku ujęte jako przesłanka wyłączająca zastosowanie art. 14 ust. 1 i 2 rozporządzenia 2016/679 nie może być utożsamiane z wysokością kosztów, jakie administrator zmuszony będzie ponieść w związku z koniecznością dopełnienia obowiązku, który jest w pełni możliwy do realizacji, tak jak ma to miejsce w tym przypadku. Zarówno kwestie organizacyjne w zakresie realizacji obowiązku z art. 14 ust. 1 i 2 rozporządzenia, jak i kwestie finansowe nie przeważają nad prawami osób fizycznych, których dane osobowe przetwarzane są przez administratora, w tym także w przypadku, gdy pozyskane zostały ze źródeł powszechnie dostępnych, a przetwarzane są następnie przez administratora w celach komercyjnych. Nie ma też wątpliwości, że udzielenie przez Spółkę tych informacji - w stanie faktycznym niniejszej sprawy - jest i było możliwe w odniesieniu do danych osób prowadzących jednoosobową działalność gospodarczą i osób, które zawiesiły wykonywanie działalności gospodarczej. Sprawa niniejsza nie dotyczy przetwarzania danych osób będących członkami organów spółek, fundacji lub stowarzyszeń. Wszelkie odniesienia do trudności w pozyskaniu danych teleadresowych tych osób nie mają zatem przełożenia na grunt niniejszej sprawy, co jest oczywiste.
Nie jest zrozumiałe na gruncie tej sprawy, podnoszone przez Spółkę w odniesieniu do pojęcia niewspółmiernie dużego wysiłku twierdzenie, że w przypadku pozyskania danych osobowych z publicznie dostępnych rejestrów, ryzyko dla osób, których dane zostały pozyskane jest w "najgorszym wypadku" bardzo niskie.
Podnoszona przez Spółkę okoliczność, że każdy ma prawo i możliwość zapoznania się z danymi z rejestru CEIDG, nie jest równoznaczna - co wymaga podkreślenia - z tym, że osoby fizyczne prowadzące jednoosobową działalność gospodarczą nie mają prawa do ochrony swoich danych osobowych, w tym kontroli ich przetwarzania przez m.in. podmioty inne niż określone przepisami prawa, takie jak skarżąca Spółka (przetwarzające dane w ściśle określonych celach komercyjnych, o których osoby te (podmioty danych) nic nie wiedzą). Jeśli chodzi o przetwarzanie danych osobowych z CEIDG przez organy państwowe, to są one przetwarzane w celu realizacji zadań ustawowych, co wynika wprost z ustawy o CEIDG (art. 47 tej ustawy).
W ocenie Sądu w art. 14 ust. 5 lit. b rozporządzenia 2016/679 - gdy mowa o niewspółmiernie dużym wysiłku - chodzi o sytuację, kiedy udzielenie informacji, o których mowa w art. 14 ust. 1 i 2 tego rozporządzenia jest obiektywnie możliwe, ale niebywale utrudnione (graniczące z brakiem możliwości udzielenia informacji). Administrator, aby udzielić tych informacji zmuszony byłby do podjęcia szeregu działań, które zmierzałyby dopiero do tego, aby udzielenie informacji stało się możliwe. Zakres tych działań (czynności) musiałby mieć przy tym olbrzymią skalę. Sytuacja taka nie zachodzi w niniejszej sprawie w odniesieniu do nałożonego obowiązku udzielenia informacji osobom fizycznym prowadzącym aktualnie jednoosobową działalność gospodarczą, i osobom fizycznym, które zawiesiły wykonywanie działalności gospodarczej.
Zdaniem Sądu w powołanym przepisie art. 14 ust. 5 lit. b rozporządzenia 2016/679 chodzi o ustalenie, czy wysiłek, jaki musiałby zostać poniesiony, aby w ogóle wypełnić obowiązek z art. 14 ust. 1 i 2 rozporządzenia 2016/679, jest tak znaczny, że przeważa nad prawem do bycia poinformowanym m.in. o tym, kto przetwarza dane osobowe, jaki jest cel przetwarzania, do którego mają posłużyć dane osobowe, jaka jest podstawa prawna przetwarzania, kto jest odbiorcą danych, jeśli tacy odbiorcy danych są, okres przez który dane osobowe będą przetwarzane, jeśli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f rozporządzenia - jakie są prawnie usprawiedliwione interesy realizowane przez administratora lub przez stronę trzecią, a także, co warto podkreślić, informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych. W ocenie Sądu nie chodzi tu o znaczne obciążenie finansowe wiążące się z koniecznością dopełnienia - w pełni możliwego do realizacji, jak w tej sprawie - obowiązku. Przez niewspółmiernie duży wysiłek nie można na gruncie rozporządzenia 2016/679 rozumieć kosztu (tak organizacyjnego, który stanowi w istocie o sposobie zorganizowania przez administratora w ramach prowadzonej działalności, wykonania tego zadania, jak i finansowego) dopełnienia w pełni możliwego do realizacji obowiązku z art. 14 ust. 1 i 2 rozporządzenia 2016/679.
W sprawie niniejszej nie mamy do czynienia z sytuacją, w której wysiłek, jaki administrator musiałby ponieść, aby wypełnić obowiązek z art. 14 ust. 1 i 2 rozporządzenia, można byłoby uznać za niewspółmiernie duży w odniesieniu do korzyści uzyskanych przez osoby fizyczne, których dane osobowe Spółka przetwarza, prowadzące jednoosobową działalność gospodarczą i te, które zawiesiły wykonywanie tej działalności. Spółka dysponuje, jak ustalił organ, a ustalenie to nie zostało przez skarżącą podważone, danymi kontaktowymi (adresami i w odniesieniu do niektórych numerami telefonów), nie może być więc w ogóle mowy o niewspółmiernie dużym wysiłku w odniesieniu do realizacji obowiązku informacyjnego, o którym mowa w art. 14 ust. 1 i 2 rozporządzenia 2016/679. Oczywiście z punktu widzenia Spółki, której działalność nakierowana jest na osiąganie zysku, zrozumiałe jest jej stanowisko w zakresie wydatkowania środków na wskazany cel. Tym niemniej, taka interpretacja art. 14 ust. 5 lit.b) rozporządzenia w zakresie niewspółmiernie dużego wysiłku, jak zaprezentowana w skardze, przeczyłaby istocie ochrony danych osób fizycznych w związku z przetwarzaniem ich danych osobowych.
W przepisie tym nie chodzi o wydatek finansowy na samą realizację w pełni możliwego do spełnienia obowiązku, ale o trudność rzeczywistą w tym, aby w ogóle mieć możliwość jego realizacji. Interes finansowy administratora nie jest i nie może być - na gruncie rozporządzenia 2016/679 - wartością przeważającą nad prawem do uzyskania przez osobę fizyczną, której dane Spółka przetwarza, informacji m.in. o tym, jakie są prawnie usprawiedliwione interesy realizowane przez administratora, jak też o prawie do żądania od administratora dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania.
Trzeba pamiętać, że prawo do ochrony danych osobowych, o którym mowa w motywie 1 rozporządzenia 2016/679 może się realizować tylko, gdy wiemy m.in. kto przetwarza dane i w jakich celach, skąd je pozyskał, jak długo będzie je przetwarzał i komu je udostępnia. Jeśli podmiot danych tego nie wie - to nie wie też o możliwych naruszeniach jego praw. Dążenie do postępu społeczno-gospodarczego, o czym jest mowa w motywie 2 rozporządzenia 2016/679 musi uwzględniać konieczność przestrzegania praw osób, których dane wykorzystywane są w działalności gospodarczej.
4. Jednocześnie wskazania wymaga, że Sąd nie stwierdził uchybienia w zakresie sposobu sformułowania nakazu zawartego w punkcie pierwszym decyzji dotyczącego dopełnienia obowiązku podania informacji określonych w art. 14 ust. 1 i ust. 2 rozporządzenia 2016/679 osobom fizycznym, których dane osobowe (...) Sp. z o.o. przetwarza, prowadzącym aktualnie jednoosobową działalność gospodarczą oraz osobom fizycznym, które zawiesiły wykonywanie tej działalność, którym informacje te nie zostały podane. Taki sposób sformułowania nakazu, który nie budzi żadnych wątpliwości co do zakresu obowiązku, pozwala na jego wykonanie. Dodatkowo wskazać należy, na co organ zwrócił uwagę w odpowiedzi na skargę, że ze względu na dynamikę przetwarzanych przez Spółkę rekordów (różną liczbę w różnych datach), nie było możliwe sformułowanie nakazu dopełnienia obowiązku w inny sposób.
5. Za niezasadne Sąd uznał także wszystkie pozostałe zarzuty skargi. Zarzut naruszenia art. 14 ust. 5 lit. c rozporządzenia 2016/679 w związku z art. 23 ust. 1 lit. c oraz i) tegoż rozporządzenia, w związku z art. 45 ust. 1 ustawy o CEIDG, w związku z nałożonym obowiązkiem z art. 14 ust. 1 i 2 rozporządzenia 2016/679 nie jest trafny.
W sprawie tej ani pozyskiwanie w celach komercyjnych przez skarżącą Spółkę danych osób fizycznych prowadzących jednoosobową działalność gospodarczą i tych osób fizycznych które zwiesiły wykonywanie działalności gospodarczej nie jest uregulowane prawem Unii ani prawem Rzeczypospolitej Polskiej, ani też ujawnianie (udostępnianie innym podmiotom w ramach komercyjnej działalności) przez Spółkę danych osobowych w związku z prowadzoną działalnością gospodarczą nie jest uregulowane prawem w znaczeniu, o którym mowa w tym przepisie rozporządzenia 2016/679. Także ustawa o CEIDG (art. 45 ust. 1) nie ogranicza obowiązku Spółki wynikającego z art. 14 ust. 1 i 2 rozporządzenia 2016/679. Próba wywodzenia tego rodzaju ograniczenia oparta przy tym na bezpieczeństwie publicznym i ochronie osoby, której dane dotyczą lub prawach i wolnościach innych osób (art. 23 ust. 1 lit. c), lit. i) rozporządzenia 2016/679) wskazuje na niezrozumienie istoty ograniczeń, o których mowa w art. 23 powołanego rozporządzenia. Raz jeszcze podkreślić trzeba, że to, iż dane i informacje udostępniane przez CEIDG są jawne, każdy ma prawo dostępu do tych danych i informacji (może się z nimi zapoznawać) nie jest równoznaczne z tym, że w odniesieniu do podmiotu, który utrwalił te dane we własnych celach i przetwarza (w tym udostępnia) je następnie w ramach prowadzonej działalności gospodarczej w celach komercyjnych, jak ma to miejsce w przypadku skarżącej, wyłączony jest obowiązek, o którym mowa w art. 14 ust. 1 i 2 rozporządzenia 2016/679.
6. Także okoliczność, że przepis art. 50 ustawy o CEIDG (który stanowił, że do jawnych danych i informacji udostępnianych przez CEIDG nie stosuje się przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, z wyjątkiem określonych przepisów), uchylony został dopiero z dniem 4 maja 2019 r. na mocy art. 158 ustawy z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), nie zmienia ustaleń Sądu. Przepis art. 50 ustawy o CEIDG odsyłał zresztą do przepisów ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r., która z określonymi wyjątkami, utraciła moc obowiązującą z dniem 25 maja 2018 r. (art. 175 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000), co z kolei miało ścisły związek ze stosowaniem od 25 maja 2018 r. rozporządzenia 2016/679 (art. 99 ust. 2 rozporządzenia 2016/679). Przepisy rozporządzenia 2016/679 bezspornie znajdowały zastosowanie w niniejszej sprawie. Warto przy tym zauważyć, że rozporządzenie 2016/679 weszło w życie już 25 maja 2016 r. Celem takiego uregulowania kwestii daty wejścia w życie rozporządzenia i jego stosowania było umożliwienie administratorom przez 2 lata dostosowanie procesu przetwarzania danych osobowych do nowej regulacji prawnej. Wobec wyrażonej w skardze wątpliwości Spółki, czy obowiązek z art. 14 ust. 1 i 2 rozporządzenia 2016/679 ma zastosowanie w odniesieniu do tych wszystkich danych osób fizycznych, które pozyskane zostały przez Spółkę przed (...) maja 2018 r., Sąd wskazuje, że rozporządzenie 2016/679 nie pozostawia w tym zakresie wątpliwości. Nie ma podstaw do odmiennego traktowania na gruncie tego rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 osób fizycznych, których dane osobowe Spółka przetwarza, pozyskanych przed datą (...) maja 2018 r. i po tej dacie (motyw 14 tego rozporządzenia). Wszelkie przetwarzanie danych osobowych powinno być zgodne z prawem i rzetelne (motyw 39 rozporządzenia 2016/679). Nadto, stosownie do motywu 171 rozporządzenia 2016/679 (zdanie drugie), przetwarzanie, które w dniu rozpoczęcia stosowania niniejszego rozporządzenia już się toczy, powinno w terminie dwóch lat od wejścia niniejszego rozporządzenia w życie zostać dostosowane do jego przepisów.
7. Za nietrafne Sąd uznał także odwołanie się do ustawy o ponownym wykorzystywaniu informacji sektora publicznego, jako aktu prawnego, który w ocenie Spółki miałby ograniczać prawo podmiotu danych do informacji. Prawo do ponownego wykorzystywania informacji sektora publicznego nie oznacza, że dane osób fizycznych prowadzących aktualnie jednoosobową działalność gospodarczą oraz osób fizycznych, które zawiesiły wykonywanie tej działalności, wyłączone są z zakresu stosowania rozporządzenia 2016/679. Wniosek taki jest nieuprawniony tak na gruncie przepisów u.p.w.i.s.p., jak i samego rozporządzenia 2016/679.
Mając powyższe na uwadze, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit. c ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2019 r. poz. 2325), orzekł jak w punkcie pierwszym wyroku. W punkcie drugim wyroku Sąd orzekł na podstawie art. 145 § 1 pkt 1 lit. c i a ustawy - Prawo o postępowaniu przed sądami administracyjnymi. W punkcie 3 wyroku Sąd orzekł na podstawie art. 151 powołanej ustawy. O zwrocie kosztów postępowania Sąd orzekł, na podstawie art. 200 w zw. z art. 205 § 2 powołanej ustawy. Do kosztów tych Sąd zaliczył uiszczony wpis sądowy od skargi w wysokości 9.435 zł oraz wynagrodzenie radcy prawnego w wysokości 10.800 zł (§ 2 pkt 7 w zw. z § 14 ust. 1 pkt 1 lit. a rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 r. w sprawie opłat za czynności radców prawnych (t.j. Dz. U. z 2018 r. poz. 265)).
Wyrok WSA sygn. II SA/WA 1030/19
Decyzja PUODO nakazująca dopełnienie obowiązku informacyjnego oraz nakładająca karę