Firmy czy organizacje pozarządowe nie muszą pytać o zgodę na przetwarzanie danych dostępnych w rejestrach takich jak KRS czy CEiDG.
Dziennik Gazeta Prawna
Rejestry publiczne, takie jak Krajowy Rejestr Sądowy czy Centralna Ewidencja i Informacja o Działalności Gospodarczej, są dostępne dla każdego i każdy może w nich sprawdzić, kto jest prezesem danej spółki czy fundacji albo pod jakim adresem prowadzi działalność. Na podstawie tych danych są tworzone kolejne bazy, zarówno biznesowe, pozwalające choćby na sprawdzanie wiarygodności kontrahentów, jak i niekomercyjne, służące jawności życia publicznego. Unijne rozporządzenie 2016/679 o ochronie danych osobowych (RODO) nie tylko nie uniemożliwia tej działalności, ale wręcz ją ułatwia. Prawo do bycia zapomnianym nie oznacza przy tym, że każdy może zażądać wykreślenia go z takiej bazy.

Uzasadniony interes

Firmy czy organizacje udostępniające imię i nazwisko członka zarządu spółki nie muszą pytać go o zgodę. Przetwarzanie odbywa się bowiem na podstawie innej przesłanki prawnej – uzasadnionego interesu.
– Dane, które prezentujemy, są ogólnodostępne, a ich jawność wynika tak z zasady jawności funkcjonowania państwa, jak i pewności obrotu gospodarczego – wyjaśnia Krzysztof Izdebski, dyrektor programowy Fundacji ePaństwo, prowadzącej portal MojePanstwo.pl, który pozwala śledzić powiązania między spółkami, organizacjami czy osobami. Korzystając z jego wyszukiwarki, można np. sprawdzić, w ilu radach nadzorczych spółek Skarbu Państwa występuje dana osoba, czy też we władzach jakich stowarzyszeń zasiada.
Prawna podstawa do przetwarzania danych nie zwalnia z obowiązków informacyjnych. I tu był największy problem. Trudno bowiem sobie wyobrazić, by firma czy fundacja wysyłała do kilku milionów ludzi list z informacją o tym, że przetwarza ich dane osobowe. Sądy administracyjne, a następnie GIODO, już przed kilkoma laty wypracowały interpretację, zgodnie z którą wystarczało zamieszczenie informacji na stronie internetowej. RODO w sposób literalny stwierdza, że indywidualne informowanie każdego z osobna nie jest konieczne.
– Artykuł 14 ust. 5 lit. b stanowi wprost, że obowiązku informacyjnego nie ma, jeżeli udzielenie informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku. W większości przypadków gromadzenia danych z rejestrów publicznych wysiłek włożony w takie informowanie byłby niewspółmierny w stosunku do naruszenia prawa do ochrony danych osobowych. Problem został więc rozwiązany na poziomie RODO – zauważa dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński.
W opisanej przez eksperta sytuacji wystarczy publicznie udostępnić informacje (m.in. kto przetwarza dane, w jakim celu i jak się z nim skontaktować). Co to oznacza w praktyce?
– Administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie. A przez to można rozumieć udostępnienie ich na ogólnodostępnej stronie internetowej. Decyzja GIODO wyprzedzała obecny stan prawny i może być nadal w ten sposób wykonywana – mówi dr Jan Byrski, adwokat z kancelarii Traple Konarski Podrecki i Wspólnicy.

Internet pamięta

Osobom, których dane są przetwarzane, przysługują wszystkie uprawnienia przewidziane w RODO.
– Mamy prawo do bycia zapomnianym, do sprzeciwu, do ograniczenia przetwarzania, do uzyskania kopii danych. Z definicji nie ma tylko prawa do przenoszenia danych, bo ono przysługuje wtedy, gdy podstawą przetwarzania jest zgoda albo konieczność wykonania umowy, a tutaj te sytuacje nie zachodzą – tłumaczy dr Paweł Litwiński.
Największe zainteresowanie budzi prawo do bycia zapomnianym.
– Incydentalnie takie wnioski pojawiały się już wcześniej, po sprawie Google Spain, ale zainteresowanie korzystaniem z tego uprawnienia wzrosło przy okazji dyskusji w związku z wdrożeniem RODO – przyznaje Krzysztof Izdebski.
Niektórym wydaje się, że administratorzy są zobowiązani do usuwania danych na żądanie. To nieprawda. Automatyczne wykasowanie danych następuje tylko przy korzystaniu z nich na potrzeby marketingu. Przy przetwarzaniu danych dostępnych w publicznych rejestrach zainteresowani musieliby wykazać wyższość swego interesu nad publicznym. Prezes spółki nie ma więc szans na to, żeby zniknąć z baz danych tylko dlatego, że nie chce widnieć w siatce powiązań portalu MojePanstwo.pl.
– Dane te, co do zasady, nie podlegają prawu do bycia zapomnianym. Niektóre osoby motywują swoje wnioski tym, że prowadzą postępowanie rozwodowe i nie chcą, by małżonek dowiedział się o posiadanym majątku w postaci spółki. To niewystarczające – zaznacza Izdebski.
Tylko sporadycznie mogą zdarzyć się sytuacje, w których żądanie usunięcia danych będzie uzasadnione.
– Być może mogłoby to być związane z uprawdopodobnionym brakiem poczucia bezpieczeństwa np. w wyniku pogróżek, lub – na co mieliśmy przykład w naszej działalności – w przypadku gdy spółka zarejestrowała się pod adresem osoby prywatnej, która nie miała z nią nic wspólnego i przedstawiła dokumenty potwierdzające zgłoszenie tego faktu na policję – mówi Krzysztof Izdebski.
Nie wszystkie dane dotyczące przedsiębiorców są chronione przez RODO. O ile pod rozporządzenie podpada imię i nazwisko prezesa zarządu, o tyle nazwa czy adres spółki już nie. W motywie 14 RODO stwierdza się, że nie dotyczy ono przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej. Pytanie, co rozumieć pod pojęciem danych kontaktowych osoby prawnej?
– Możliwe są trzy wykładnie tego sformułowania. Pierwsza, że jako dane kontaktowe osoby prawnej rozumie się wyłącznie adres, e-mail, numer telefonu lub inne „oznaczenia kontaktowe” osoby prawnej. Druga, że chodzi dodatkowo o dane dotyczące osób fizycznych ujawnione i upublicznione (nie zaś wszystkie dane z rejestru publicznego), na podstawie przepisów prawa, w odpowiednim rejestrze publicznym (np. dane osobowe w rejestrze przedsiębiorców KRS). I wreszcie trzecia, zgodnie z którą mogą to być dodatkowo dane osobowe osoby fizycznej wyznaczonej do kontaktów w imieniu osoby prawnej, niekoniecznie ujawnione w rejestrze publicznym – analizuje dr Jan Byrski. Dyskusja nad tym, która z tych wykładni powinna być przyjęta jako prawidłowa, toczy się w grupie roboczej ds. ochrony danych osobowych powołanej przez Ministerstwo Cyfryzacji.