Working on a digital tablet

Łatwiejsze wykorzystywanie danych osobowych pozyskanych z Internetu

Dodano: Grudzień 30, 2016 Kategoria: Administrator danych, Podmiot danych Autor: Dominik Sęczkowski

W dobie postępującej cyfryzacji otaczającej nas rzeczywistości coraz więcej procesów, w tym usług odbywa się w ramach narzędzi udostępnianych w Internecie. Nie inaczej jest również w przypadku zadań lub obowiązków spoczywających na organach państwowych, które w coraz większym stopniu wykonywane są przy wykorzystaniu nowych technologii w ramach sieci Internet.

W największym stopniu informatyzacja objęła udostępnianie jawnych rejestrów publicznych oraz zawartych w nich danych. Jako przykłady funkcjonujących rozwiązań tego typu wskazać można w szczególności:

  • Krajowy Rejestr Sądowy (https://ems.ms.gov.pl);
  • Elektroniczne Księgi Wieczyste (https://ekw.ms.gov.pl);
  • Bazę Internetową REGON (https://wyszukiwarkaregon.stat.gov.pl).

Wśród wielu informacji, które udostępniane są w ramach wymienionych powyżej rejestrów są również dane osobowe (np. dane osobowe członków organów podmiotów wpisanych do KRS czy dane osobowe właściciela nieruchomości).

Pozyskiwanie danych osobowych z Internetu

Oczywistym jest, że dane osobowe mogą być pozyskiwane bezpośrednio od osoby, której dotyczą, jak również z innych źródeł. Tymi innymi źródłami może być inny administrator danych, jak również wspomniane e-rejestry.

Na rynku funkcjonuje wiele podmiotów pozyskujących, często w sposób zautomatyzowany, informacje, w tym dane osobowe z udostępnionych w Internecie jawnych rejestrów publicznych. Pozyskiwane w ten sposób informacje wykorzystywane są w celach komercyjnych w ramach świadczonych przez te podmioty usług, np. usług polegających na sporządzaniu raportów o stanie finansowym spółki prawa handlowego, czy stanie prawnym określonej nieruchomości.

Przy okazji świadczenia tego typu usług dochodzi do wykorzystywania, a więc przetwarzania danych osobowych osób fizycznych, które to dane również znajdują się w tych rejestrach. Podmiotowi pozyskującemu te dane oraz przetwarzającemu je we własnym celu komercyjnym, przysługuje w stosunku do tych danych status administratora danych ze wszystkimi tego konsekwencjami prawnymi (prawa i obowiązki).

Obowiązek informacyjny – art. 25 ust. 1 ustawy o ochronie danych osobowych

Jednym z podstawowych obowiązków administratora danych jest obowiązek przekazania osobie, której dane dotyczą szeregu informacji, w tym: identyfikujących administratora danych, o celu i zakresie zbierania danych, prawie dostępu do treści danych oraz ich poprawiania, o uprawnieniach przysługujących podmiotowi danych oraz o źródle danych, w przypadku, gdy dane zostały zebrane z innych źródeł.

Dane osobowe pozyskane z publicznych rejestrów a obowiązek informacyjny

Właśnie sposób realizacji obowiązku informacyjnego był przez wiele lat osią sporu pomiędzy Generalnym Inspektorem Ochrony Danych Osobowych a spółką, której przedmiotem działalności jest tworzenie w oparciu o informacje publicznie dostępne w Krajowym Rejestrze Sądowym raportów o podmiotach wpisanych do KRS, w tym o osobach fizycznych wchodzących w skład organów tych podmiotów, np. o członkach zarządu spółki z ograniczoną odpowiedzialnością.

W decyzji wydanej w 2011 r. GIODO nakazał spółce spełnienie obowiązku informacyjnego, indywidualnie w stosunku do każdej osoby, której dane osobowe były przetwarzane przez spółkę. Problem tkwił jednak w liczbie tych osób – było ich kilkaset tysięcy, a ponadto spółka nie przetwarzała informacji o ich adresach (takie dane nie są ujawnione w e-KRSie). Co więcej, realizacja nałożonego przez GIODO obowiązku pociągałaby dla spółki ogromne koszty, których poniesienie pozbawiłoby działalność spółki rentowności.

Spółka złożyła skargę do WSA w Warszawie, który nie uwzględnił jej argumentacji. Dopiero po złożeniu przez spółkę skargi kasacyjnej, Naczelny Sąd Administracyjny uchylił wyrok sądu I instancji oraz skrytykował decyzję GIODO, stwierdzając, że decyzja nie zawierała rzetelnej i pełnej analizy w zakresie sposobu realizacji obowiązku informacyjnego w sytuacji, gdy spółka nie posiadała danych o adresach osób, którym miała przekazać informacje wymagane ustawą o ochronie danych osobowych.

Podobne spory z GIODO dotyczące realizacji obowiązku informacyjnego były przedmiotem również innych spraw zawisłych przed WSA w Warszawie i NSA w 2014 i 2015 r.

Nowa decyzja GIODO – zdecydowany zwrot

W ostatnim czasie Generalny Inspektor Ochrony Danych Osobowych całkowicie zmienił swoją optykę w zakresie dopuszczalnego sposobu spełnienia opisywanego obowiązku informacyjnego przez podmioty pozyskujące dane osobowe z publicznych e-rejestrów. Znalazło to wyraz w wydanej przez GIODO decyzji, w której organ nadzoru umożliwił realizację obowiązku informacyjnego w takich wypadkach na stronie internetowej administratora danych.

Konsekwencje rewolucyjnej decyzji GIODO

Wydaje się, że nowe stanowisko GIODO w sposób pozytywny wpłynie na funkcjonowanie na rynku podmiotów korzystających z danych pobieranych z publicznych rejestrów udostępnionych w Internecie. Co istotne, nie chodzi tutaj tylko o duże podmioty wykorzystujące tego typu dane na masową skalę, ale również te, które korzystają z nich w prowadzonej działalności w marginalnym zakresie.
Ułatwienie wynikające wprost z decyzji GIODO sprowadza się do możliwości spełnienia obowiązku informacyjnego wobec osób, których dane pobrane zostały z publicznych źródeł dostępnych w Internecie poprzez odpowiednie postanowienia regulaminu serwisu internetowego, czy właściwie skonstruowaną informację udostępnianą na stronie internetowej.
Po decyzji GIODO, pozyskiwanie i korzystanie z danych osobowych upublicznionych w Internecie będzie łatwiejsze.

Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.

dominik-seczkowski

Dominik Sęczkowski
Aplikant
dominik.seczkowski@lubasziwspolnicy.pl

Wykonanie Agencja Interaktywna Czarny Kod www.czarnykod.pl

Copyright by Lubasz i Wspólnicy

Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej