Naczelny Sąd Administracyjny („NSA”) potwierdził słuszność decyzji Prezesa Urzędu Ochrony Danych Osobowych („Prezes UODO”), że pozyskiwanie danych z ogólnodostępnych rejestrów publicznych nie zwalnia z obowiązku poinformowania osób, których dane dotyczą, o przetwarzaniu ich danych osobowych.
Jednocześnie NSA podtrzymał decyzję Wojewódzkiego Sądu Administracyjnego w Warszawie („WSA”) uchylającą administracyjną karę pieniężną dla Spółki z sektora prywatnego („Spółka”) nałożoną przez Prezesa UODO z uwagi na okoliczności mające wpływ na ustalanie wysokości kary.
Decyzja administracyjna Prezesa Urzędu Ochrony Danych Osobowych
Prezes Urzędu Ochrony Danych Osobowych decyzją z 15 marca 2019 r. nałożył administracyjną karę pieniężną w wysokości 943.470,00 zł na Spółkę. W wyniku przeprowadzonej kontroli Prezes UODO stwierdził niedopełnienie obowiązku informacyjnego (art. 14 RODO) wobec osób fizycznych, których dane Spółka przetwarza, a których adresu e-mail nie posiada w swojej bazie danych. Zdaniem Spółki przesłanie obowiązku informacyjnego do osób, których adresu e-mail nie posiada wymagałoby niewspółmiernie dużego wysiłku. W konsekwencji Spółka przetwarzała dane osobowe osób, które nie miały o tym wiedzy i nie miały one możliwości skorzystania z m.in. przysługujących im praw wynikających z RODO.
Wyrok WSA
Spółka nie zgadzając się z decyzją administracyjną Prezesa UODO, zaskarżyła ją do WSA, który w wyroku z dnia 11 grudnia 2019 r. zwrócił uwagę, że ,,niewspółmiernie duży wysiłek’’ nie może zostać utożsamiony z wysokością kosztów, jakie Spółka jest zmuszona ponieść w związku z koniecznością dopełnienia obowiązku informacyjnego. Zarówno kwestie organizacyjne, jak i kwestie finansowe nie powinny przeważać nad prawami osób fizycznych, których dane osobowe są przetwarzane (również w sytuacji, gdy pozyskane zostały ze źródeł powszechnie dostępnych). Sąd przypomniał, że RODO wymaga, aby dane osobowe były przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dotyczą. Dane osobowe muszą być prawidłowe i uaktualniane co jest ściśle związane ze spełnieniem obowiązku informacyjnego.
Jednocześnie WSA uchylił w części zaskarżony wyrok z uwagi na odmienne zdanie co do argumentu przedstawionego przez Prezesa UODO, że należy również spełnić obowiązek informacyjny wobec osób, które nie prowadzą już działalności gospodarczej. WSA stwierdził, że nie dysponując aktualnymi danymi kontaktowymi ciężko taki obowiązek spełnić wobec osób, które zakończyły prowadzenie działalności gospodarczej i może tutaj dochodzić do „niewspółmiernie dużego wysiłku”. W związku z czym WSA w części uchylonej zaskarżonego wyroku (dotyczącej administracyjnej kary pieniężnej) zwrócił sprawę do ponownego rozpoznania Prezesowi UODO, który przy ponownym wydaniu decyzji ma wziąć pod uwagę ilość osób, których dane przetwarzane są z naruszeniem art. 14 RODO, co będzie miało wpływ na wysokość administracyjnej kary pieniężnej.
Wyrok NSA
Spółka wniosła skargę kasacyjną od wyroku WSA, argumentując, że nie była zobligowana do spełnienia obowiązku informacyjnego ze względu na „niewspółmiernie duży wysiłek” co byłoby związane z wysokim nakładem finansowym w związku z przekazaniem klauzuli informacyjnej pocztą tradycyjną. NSA potwierdził słuszność stanowiska przedstawionego w decyzji administracyjnej Prezesa UODO, jak i wyroku WSA. Przypomniał również, że na podstawie RODO jedną z zasad jest transparentność przetwarzania. Wyjątki od tej zasady, w tym wyjątek dotyczący zwolnienia z obowiązku poinformowania osób fizycznych z uwagi na „niewspółmiernie duży wysiłek”, należy interpretować zawężająco i powinny być stosowane przy przetwarzaniu danych dla celów publicznych (np. statystycznych, badawczych, archiwalnych czy też historycznych).
W konsekwencji NSA oddalił skargę kasacyjną Spółki, podtrzymując w mocy wyrok WSA.