Kierowana przez pana spółka Bisnode jest pierwszą, na którą nałożono karę na podstawie RODO. Karę niebagatelną, bo prawie miliona złotych. Jak pan ocenia decyzję Urzędu Ochrony Danych Osobowych?

Należy podkreślić, że UODO nie zakwestionował podstaw do przetwarzania tych danych ani stosowanych przez nas zasad bezpieczeństwa, co jest bardzo ważne dla nas i naszych klientów. Bisnode nie zgadza się natomiast z interpretacją UODO dotyczącą proporcjonalności wysiłku związanego z obowiązkiem informacyjnym (art. 14 ust. 5 lit. b RODO) i zaskarży wyrok do sądu administracyjnego. Choć decyzja dotyczy nas bezpośrednio, to wywołuje skutek dla całej branży firm przygotowujących raporty gospodarcze na temat wiarygodności kontrahentów czy branży marketingu bezpośredniego. Wszystkie te podmioty przetwarzają codziennie dane z publicznie dostępnych rejestrów, takich jak Centralna Ewidencja i Informacja o Działalności Gospodarczej.

UODO uznał, że powinniście wszystkich indywidualnych przedsiębiorców poinformować o przetwarzaniu ich danych.

W naszej ocenie spełniliśmy obowiązek informacyjny w zakresie, jaki był możliwy i proporcjonalny do skali naszej działalności. Wszystkim przedsiębiorcom, których adresy e-mail widnieją w CEIDG, przesłaliśmy wymagane informacje, przy czym – wbrew niektórym informacjom – było to nie 90 tys., tylko prawie milion e-maili (w tym 679 tys. do podmiotów z CEDIG). Przygotowując się do wejścia w życie RODO, oczywiście analizowaliśmy też inne możliwości, w tym wysyłkę tradycyjnych listów. Z opinii kancelarii prawnych wynikało, że aby była ona skuteczna, należałoby doręczyć listy polecone, gdyż tylko wtedy mielibyśmy dowody na spełnienie obowiązku. To zaś wedle cennika Poczty Polskiej oznaczałoby wydatek rzędu 30 mln zł, czyli kwotę przekraczającą nasze roczne obroty, co uznaliśmy za nieproporcjonalny wysiłek. W decyzji UODO jest informacja, że nie muszą to być listy polecone, tylko zwykłe, lecz wówczas koszty spadają nieznacznie i nadal wynoszą ponad 22 mln zł.

Zdaniem UODO kwestie biznesowe nie mogą tłumaczyć niewykonania prawnego obowiązku.

Bisnode nie kwestionuje obowiązku informacyjnego i wykonał wszystkie czynności, jakie uznaliśmy za proporcjonalny wysiłek. Powołaliśmy się na art. 14 ust. 5 lit. b RODO zwalniający z obowiązku informacyjnego, jeśli jego spełnienie wymagałoby nieproporcjonalnie dużego wysiłku. W mojej ocenie nie ma wątpliwości, że operacja kosztująca 30 mln zł oznacza właśnie taki, nieproporcjonalnie duży wysiłek dla dowolnej firmy z sektora MSP, chcącej działać na tym rynku. To wpłynęło na świadomą decyzję Bisnode o braku wysyłki listów. Taki sam krok wykonały wszystkie inne firmy globalnie zajmujące się przetwarzaniem danych o firmach i działające w UE.

Urząd podkreśla jednak, że wysłanie listów poleconych nie jest jedynym sposobem na realizację obowiązku informacyjnego.

Tak, ale jednocześnie w swej decyzji nie wskazuje, w jaki inny sposób moglibyśmy go wypełnić, by zostało to później uznane za efektywne spełnienie obowiązku informacyjnego. Zresztą wysłanie korespondencji elektronicznej nie było jedynym działaniem, jakie podjęliśmy. Publikowaliśmy również ogłoszenia na największych portalach informacyjnych, które generowały miesięcznie blisko milion wejść na naszą stronę internetową, informujących o tym, że jesteśmy administratorem danych osobowych. W ten sposób w ciągu ostatnich ośmiu lat otrzymaliśmy ok. 13 tys. żądań usunięcia danych. Wszystkie spełniliśmy, co potwierdza decyzja UODO.

Czy poza Polską mieliście sygnały od innych organów ochrony danych, że możecie naruszać RODO?

Nie. Co warto podkreślić, w dwóch innych krajach nasza firma również była kontrolowana i nie dopatrzono się żadnych uchybień. Podobne kontrole przechodziły też inne spółki zagraniczne działające w naszej branży i również nie stwierdzono naruszeń, a przecież wszyscy przetwarzamy dane z tych samych publicznych rejestrów.

Przyjmijmy, że decyzja UODO zostanie utrzymana przez sądy i będziecie prawomocnie zobowiązani do powiadomienia wszystkich, których dane przetwarzacie. Jak to wpłynie na prowadzoną przez was działalność?

Obawiam się, że wpłynęłoby to negatywnie na konkurencję na tym rynku. Być może znalazłyby się firmy, które byłyby w stanie pokryć tak wysokie koszty i wysłać listy z informacjami do 5 mln przedsiębiorców, ale na pewno nie wszystkie. Koniec końców mogłoby się więc okazać, że na rynku zostaliby nieliczni gracze albo jeden. Bisnode od 25 lat świadczy usługi na rzecz przedsiębiorców w zakresie weryfikacji ryzyka partnerów biznesowych. Nie mogąc wypełnić zaleceń UODO w zakresie obowiązku informacyjnego, musielibyśmy wykasować ich dane z naszych baz. To zaś oznaczałoby, że nasze raporty gospodarcze byłyby niepełne, a przejrzystość prowadzenia biznesu w Polsce dramatycznie by spadła.

Dostrzega pan jakieś wyjście z tej sytuacji?

Tak, są co najmniej dwie możliwości, ale wymagałyby zmian prawa. Zmian, które w dobie gospodarki opartej na nowych technologiach już dawno powinny być wprowadzone. Mam na myśli obowiązek podawania adresu e-mail podczas rejestracji działalności gospodarczej. Wówczas moglibyśmy bez trudu informować każdego przedsiębiorcę o przetwarzaniu jego danych. Innym rozwiązaniem byłby powrót do sytuacji sprzed kilku lat, gdy ustawa o działalności gospodarczej wyłączała przedsiębiorców spod jurysdykcji poprzedniej ustawy o ochronie danych osobowych.