Bisnode RODO: podstawa prawna i praktyka w praktyce prawnej

Decyzja Prezesa Urzędu Ochrony Danych Osobowych w sprawie spółki Bisnode (obecnie działającej pod marką Dun & Bradstreet) z marca 2019 roku stanowi jeden z najbardziej przełomowych i szeroko komentowanych kamieni milowych w historii polskiego prawa ochrony danych osobowych. Było to pierwsze tak spektakularne i surowe rozstrzygnięcie polskiego organu nadzorczego po rozpoczęciu stosowania Ogólnego Rozporządzenia o Ochronie Danych (RODO). Sprawa ta dotknęła bezpośrednio fundamentów działalności wielu podmiotów gospodarczych: brokerów danych, firm technologicznych, agencji marketingowych oraz instytucji finansowych, które budują swoje bazy danych i modele biznesowe w oparciu o informacje pozyskiwane z publicznie dostępnych rejestrów państwowych. Głównym przedmiotem sporu stał się zakres, forma oraz koszty realizacji aktywnego obowiązku informacyjnego, o którym mowa w art. 14 RODO, w sytuacji, gdy administrator nie pozyskuje danych bezpośrednio od osób, których one dotyczą.

Geneza sporu i decyzja Prezesa UODO

Spółka Bisnode, jako wiodący dostawca danych i analiz gospodarczych, przetwarzała w celach komercyjnych dane milionów przedsiębiorców. Informacje te były masowo pobierane z publicznych rejestrów, takich jak Centralna Ewidencja i Informacja o Działalności Gospodarczej (CEIDG) oraz Krajowy Rejestr Sądowy (KRS). W strukturze bazy danych spółki znajdowały się informacje o osobach fizycznych prowadzących jednoosobową działalność gospodarczą, wspólnikach spółek cywilnych oraz członkach organów spółek kapitałowych.

W celu realizacji obowiązku informacyjnego wynikającego z art. 14 RODO, spółka zdecydowała się na zróżnicowanie swoich działań w zależności od posiadanych kanałów kontaktu. W stosunku do około 680 tysięcy osób, dla których w bazie znajdował się adres e-mail, spółka wysłała stosowne powiadomienia drogą elektroniczną. Jednak w przypadku ponad 5,7 miliona osób, dla których spółka posiadała jedynie numery telefonów lub tradycyjne adresy rejestrowe (korespondencyjne), podjęto decyzję o odstąpieniu od indywidualnego powiadamiania. Spółka powołała się na art. 14 ust. 5 lit. b RODO, argumentując, że wysłanie tradycyjnych listów lub wykonanie milionów połączeń telefonicznych wiązałoby się z niewspółmiernie dużym wysiłkiem organizacyjnym i finansowym, przekraczającym kwotę kilkunastu milionów złotych.

Prezes Urzędu Ochrony Danych Osobowych (PUODO) nie podzielił tej argumentacji. W swojej decyzji organ wskazał, że posiadanie adresu korespondencyjnego lub numeru telefonu umożliwia bezpośredni kontakt z osobą, a wysokie koszty finansowe nie mogą stanowić samoistnej przesłanki do zwolnienia z podstawowych obowiązków nałożonych przez RODO. Organ nałożył na spółkę administracyjną karę pieniężną w wysokości ponad 943 tysięcy złotych oraz nakazał spełnienie obowiązku informacyjnego wobec wszystkich pominiętych osób w terminie trzech miesięcy od dnia doręczenia decyzji.

Artykuł 14 RODO: Aktywny obowiązek informacyjny i jego zakres

Aby właściwie ocenić wagę sprawy Bisnode, należy szczegółowo przeanalizować konstrukcję prawną art. 14 RODO. Przepis ten nakłada na administratora szereg obowiązków w sytuacji, gdy dane nie zostały pozyskane od osoby, której dotyczą. W przeciwieństwie do art. 13 RODO, gdzie informacja jest przekazywana w momencie zbierania danych (np. podczas wypełniania formularza na stronie internetowej), art. 14 wymaga od administratora aktywnego wyjścia z inicjatywą i dotarcia do osoby fizycznej w określonym terminie – najpóźniej w ciągu miesiąca od pozyskania danych, a jeśli dane mają być użyte do komunikacji z tą osobą, najpóźniej przy pierwszej takiej komunikacji.

Zakres informacji, które należy przekazać na podstawie art. 14 RODO, jest bardzo szeroki i obejmuje:

  • tożsamość oraz dane kontaktowe administratora (oraz jego przedstawiciela i inspektora ochrony danych, jeśli zostali wyznaczeni);
  • cele przetwarzania danych oraz podstawę prawną przetwarzania;
  • kategorie odnośnych danych osobowych (np. dane kontaktowe, dane finansowe);
  • odbiorców danych lub kategorie odbiorców;
  • okres, przez który dane będą przechowywane, lub kryteria ustalania tego okresu;
  • prawnie uzasadnione interesy realizowane przez administratora (jeśli przetwarzanie odbywa się na tej podstawie);
  • prawa przysługujące osobie, której dane dotyczą (prawo do żądania dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu oraz przenoszenia danych);
  • prawo do wniesienia skargi do organu nadzorczego;
  • źródło pochodzenia danych osobowych (ze szczególnym wskazaniem, czy pochodzą one ze źródeł publicznie dostępnych);
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.

Pojęcie 'niewspółmiernie dużego wysiłku' w świetle wytycznych europejskich

Kluczowym punktem sporu w sprawie Bisnode była interpretacja wyjątku zapisanego w art. 14 ust. 5 lit. b RODO. Zgodnie z tym przepisem, obowiązek informacyjny nie ma zastosowania, jeżeli jego spełnienie okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku. Jak należy interpretować to pojęcie w praktyce prawnej?

Pomocne w tym zakresie są wytyczne Grupy Roboczej Art. 29 (obecnie Europejska Rada Ochrony Danych – EROD) dotyczące przejrzystości na mocy rozporządzenia 2016/679 (WP260). Zgodnie z tymi wytycznymi, przy ocenie, czy spełnienie obowiązku wymaga niewspółmiernie dużego wysiłku, należy przeprowadzić test proporcjonalności. Należy zważyć wysiłek administratora (mierzony czasem, kosztami i zasobami) z jednej strony, a z drugiej strony – wpływ przetwarzania na prawa i wolności osoby, której dane dotyczą. Jeśli przetwarzanie wiąże się z wysokim ryzykiem dla praw i wolności, bardzo trudno będzie wykazać, że wysiłek związany z poinformowaniem jest niewspółmierny. Ponadto, motyw 62 RODO wskazuje, że przy ocenie niewspółmierności można brać pod uwagę liczbę osób, których dane dotyczą, wiek danych oraz wszelkie przyjęte środki kompensacyjne.

W sprawie Bisnode, Prezes UODO przyjął niezwykle rygorystyczne stanowisko, uznając, że sam koszt finansowy (nawet liczony w milionach złotych) nie może być uznany za nadmierny wysiłek, jeżeli administrator dysponuje fizycznymi adresami korespondencyjnymi. Zdaniem organu, podmiot profesjonalny, który decyduje się na model biznesowy oparty na masowym przetwarzaniu danych, must dostosować swoje zasoby finansowe do wymogów prawa, a nie odwrotnie.

Wyroki sądów administracyjnych: WSA i NSA

Decyzja Prezesa UODO została zaskarżona przez spółkę do Wojewódzkiego Sądu Administracyjnego w Warszawie. WSA w wyroku z dnia 11 grudnia 2019 r. (sygn. akt II SA/Wa 1030/19) dokonał częściowej modyfikacji rozstrzygnięcia organu nadzorczego. Sąd podzielił stanowisko UODO w zakresie, w jakim dotyczyło ono osób fizycznych aktywnie prowadzących działalność gospodarczą. WSA uznał, że wobec tych osób spółka miała obowiązek podjąć wszelkie starania, aby zrealizować obowiązek informacyjny drogą tradycyjną lub telefoniczną, skoro dysponowała ich danymi adresowymi.

Jednakże WSA dostrzegł istotną różnicę w odniesieniu do osób, które w przeszłości prowadziły działalność gospodarczą, lecz obecnie jest ona zawieszona lub trwale zamknięta. W ocenie Sądu, w stosunku do tej grupy osób (która stanowiła znaczną część bazy danych spółki), nakazanie wysyłki tradycyjnych listów papierowych rzeczywiście wiązałoby się z niewspółmiernie dużym wysiłkiem w stosunku do celu, jaki miałby zostać osiągnięty. Dane te miały bowiem charakter historyczny, a ryzyko naruszenia praw tych osób było znacznie mniejsze.

Sprawa ostatecznie trafiła do Naczelnego Sądu Administracyjnego. NSA w wyroku z dnia 11 grudnia 2023 r. (sygn. akt II OSK 2382/20) oddalił skargi kasacyjne zarówno spółki, jak i Prezesa UODO, utrzymując w mocy wyrok sądu pierwszej instancji. NSA potwierdził, że koszty finansowe wysyłki listów tradycyjnych nie mogą być jedynym i decydującym kryterium oceny 'niewspółmiernie dużego wysiłku'. Sąd podkreślił, że prawo do ochrony danych osobowych jest prawem podstawowym, a przedsiębiorca komercjalizujący dane osobowe musi ponosić pełną odpowiedzialność za zgodność swoich działań z przepisami prawa. Wyrok ten ostatecznie zamknął wieloletni spór i wyznaczył jasne granice dla interpretacji art. 14 RODO w Polsce.

Praktyczne konsekwencje dla biznesu i doradców prawnych

Rozstrzygnięcie sprawy Bisnode niesie za sobą doniosłe konsekwencje praktyczne dla wszystkich administratorów danych osobowych w Polsce. Do najważniejszych wniosków, które należy wdrożyć w codziennej praktyce prawnej i biznesowej, należą:

  • Brak automatycznego zwolnienia dla danych z CEIDG i KRS: Powszechne przekonanie, że dane zawarte w publicznych rejestrach można przetwarzać bez żadnych ograniczeń i obowiązków informacyjnych, zostało ostatecznie obalone. Każda firma korzystająca z baz danych JDG musi liczyć się z koniecznością realizacji art. 14 RODO.
  • Konieczność dokumentowania analiz (Accountability): Zgodnie z zasadą rozliczalności (art. 5 ust. 2 RODO), każda decyzja o zaniechaniu wysyłki powiadomień z powołaniem się na 'nadmierny wysiłek' musi być poparta rzetelnym, pisemnym testem proporcjonalności (LIA/DPIA). Brak takiej dokumentacji w przypadku kontroli UODO będzie traktowany jako bezpośrednie naruszenie przepisów.
  • Segmentacja baz danych: Administratorzy powinni dzielić swoje bazy na segmenty (np. aktywni przedsiębiorcy vs. zawieszone działalności) i dostosowywać kanały komunikacji oraz formę realizacji obowiązku informacyjnego do specyfiki danej grupy.
  • Wdrożenie środków kompensacyjnych: W sytuacjach, gdy rzeczywiście wykazano nadmierny wysiłek, administrator musi podjąć alternatywne działania, takie jak opublikowanie bardzo szczegółowych i łatwo dostępnych informacji na swojej stronie internetowej oraz wdrożenie mechanizmów ułatwiających osobom trzecim weryfikację, czy ich dane są przetwarzane.

Procedura wdrożenia zgodności krok po kroku

Aby skutecznie zabezpieczyć organizację przed ryzykiem prawnym i finansowym związanym z pozyskiwaniem danych z rejestrów publicznych, zaleca się wdrożenie następującej procedury compliance:

  1. Audyt procesów pozyskiwania danych: Zidentyfikowanie wszystkich systemów, narzędzi i procesów, w ramach których dochodzi do pobierania danych osobowych z zewnętrznych źródeł (scraping, zakup baz danych, integracje API z rejestrami).
  2. Weryfikacja statusu podmiotów: Odsianie z bazy danych osób prawnych (których RODO nie dotyczy) od osób fizycznych (JDG, wspólnicy spółek cywilnych).
  3. Analiza dostępnych kanałów komunikacji: Ustalenie, jakimi danymi kontaktowymi dysponujemy dla każdego rekordu (e-mail, telefon, adres fizyczny).
  4. Wysyłka powiadomień elektronicznych: Wdrożenie automatycznego systemu wysyłki klauzul informacyjnych na adresy e-mail w nieprzekraczalnym terminie 30 dni od momentu pozyskania danych.
  5. Sporządzenie testu proporcjonalności dla pozostałych danych: Dla rekordów bez adresów e-mail należy sporządzić formalny dokument wykazujący, czy wysyłka tradycyjna lub kontakt telefoniczny stanowi nadmierny wysiłek. W analizie należy uwzględnić m.in. wielkość bazy, koszty operacyjne, cel przetwarzania oraz potencjalny wpływ na prywatność osób.
  6. Publikacja klauzuli dedykowanej: Stworzenie na stronie internetowej dedykowanej podstrony zawierającej klauzulę informacyjną dla osób, których dane pozyskano z rejestrów publicznych, wraz z prostym formularzem umożliwiającym zgłoszenie sprzeciwu.

Najczęstsze błędy w interpretacji wyroku Bisnode

Wokół sprawy Bisnode narosło wiele mitów, które prowadzą do błędnych decyzji biznesowych. Warto wskazać na trzy najpoważniejsze błędy interpretacyjne:

  1. 'Wyrok dotyczy tylko wielkich korporacji': To nieprawda. Przepisy RODO i wykładnia dokonana przez NSA dotyczą każdego administratora, niezależnie od skali jego działalności. Nawet mały start-up pobierający dane z CEIDG must realizować obowiązek informacyjny.
  2. 'Skoro mam tylko adres fizyczny, to nie muszę nic robić': Wyrok NSA jasno wskazuje, że posiadanie adresu fizycznego nakłada obowiązek podjęcia próby kontaktu, chyba że w drodze rzetelnego testu proporcjonalności wykazano inaczej dla konkretnej, precyzyjnie określonej grupy (np. działalności zamkniętych).
  3. 'Wystarczy umieścić informację w polityce prywatności': Ogólna polityka prywatności na stronie internetowej nie spełnia wymogów art. 14 RODO w stosunku do osób, których dane pozyskano z zewnątrz. Informacja musi być dedykowana, precyzyjna i łatwo dostępna dla tej konkretnej kategorii osób.

Praktyczny przykład (Case Study)

Rozważmy sytuację spółki 'LeadGenerator Sp. z o.o.', która świadczy usługi marketingu bezpośredniego dla sektora finansowego. Spółka pobrała z rejestru CEIDG bazę 100 000 aktywnych jednoosobowych działalności gospodarczych z sektora transportowego. Baza zawierała imiona, nazwiska, adresy rejestrowe oraz w 40 000 przypadków – adresy e-mail.

Działając zgodnie z wytycznymi po wyroku Bisnode, spółka wdrożyła następujący schemat postępowania: do 40 000 przedsiębiorców, dla których posiadała adresy e-mail, wysłała w terminie 14 dni spersonalizowane wiadomości e-mail zawierające pełną klauzulę informacyjną zgodną z art. 14 RODO. Dla pozostałych 60 000 rekordów, gdzie dysponowano wyłącznie adresami fizycznymi, dział prawny sporządził szczegółowy test proporcjonalności (LIA). W teście wykazano, że koszt wysyłki 60 000 listów tradycyjnych (szacowany na około 450 000 PLN) przewyższa całkowity budżet projektu marketingowego i doprowadziłby do rażącej nieopłacalności przedsięwzięcia. Jako środek kompensacyjny, spółka podjęła decyzję o: a) rezygnacji z bezpośredniego marketingu tradycyjnego do tych 60 000 podmiotów, b) ograniczeniu przetwarzania ich danych wyłącznie do celów statystycznych, c) opublikowaniu na swojej stronie głównej wyraźnego ogłoszenia skierowanego do przedsiębiorców z sektora transportowego z linkiem do dedykowanej klauzuli informacyjnej oraz d) wdrożeniu bezpłatnej infolinii, na której każdy przedsiębiorca mógł sprawdzić, czy jego dane są w bazie i zażądać ich usunięcia. Dzięki takiemu podejściu spółka zminimalizowała ryzyko prawne, wykazując pełną rozliczalność przed organem nadzorczym.

Podsumowanie i rekomendacje dla działów prawnych

Sprawa Bisnode RODO na zawsze zmieniła krajobraz ochrony danych osobowych w Polsce. Pokazała ona, że Prezes UODO oraz sądy administracyjne traktują prawa osób fizycznych niezwykle poważnie, nie dopuszczając do sytuacji, w której względy czysto ekonomiczne zwalniają przedsiębiorców z przestrzegania standardów ochrony prywatności. Dla każdego działu prawnego i inspektora ochrony danych kluczowe jest odejście od szablonowych rozwiązań. Każdy proces pozyskiwania danych z rejestrów publicznych musi być traktowany jako proces podwyższonego ryzyka, wymagający indywidualnej analizy, rzetelnego udokumentowania oraz wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających pełną zgodność z RODO.