Jak wykorzystywać publicznie dostępne dane do celów komercyjnych

Rośnie popularność praktyki rynkowej polegającej na wykorzystywaniu powszechnie dostępnych danych osobowych – na przykład danych osób fizycznych dostępnych w Krajowym Rejestrze Sądowym – do celów działalności gospodarczej podmiotów komercyjnych.

Chodzi  często o wysyłkę niezamówionych materiałów promocyjnych i reklamowych osobom ujawnionym w Krajowym Rejestrze Sądowym na adresy tamże widniejące. Jak odnieść się do takich praktyk przedsiębiorców? Jak wygląda ich legalność w świetle zapisów ustawy o ochronie danych osobowych? Jak ma się do tego konstytucyjna zasada gwarantująca każdemu obywatelowi dobrowolność – chyba że ustawa stanowi inaczej – ujawniania informacji dotyczących jego osoby?

Jawny ?i ogólnodostępny

Przedsiębiorca, który podejmuje działalność rejestrowaną w Krajowym Rejestrze Sądowym, wspólnik albo członek organów ujawnia na potrzeby wpisu do rejestru imiona, nazwiska, numer PESEL, a w niektórych wypadkach również adres zamieszkania, ze świadomością rzecz jasna, że jego dane widnieć będą w prowadzonym przez państwo rejestrze, i to rejestrze o charakterze jawnym i ogólnodostępnym.

Dla każdego

Jak wiadomo, dane osób ujawnionych w KRS są upubliczniane w internecie, można bowiem mieć do nich wgląd poprzez Centralną Informację KRS, można się z nimi zapoznać także analogowo, przeglądając akta rejestrowe we właściwych wydziałach sądów. Dane są udostępniane każdemu zainteresowanemu bez konieczności wykazywania interesu prawnego w uzyskaniu dostępu do nich. Osoba ujawniona w KRS może jednak zasadnie zakładać, że jej dane zostaną wykorzystane wyłącznie na podstawie przepisów dotyczących funkcjonowania tego rejestru. Tymczasem praktyka wskazuje, że bywa inaczej. Stąd irytacja tych, których dane osobowe wykorzystywane są bez ich wiedzy i zgody, wydaje się uzasadniona i zrozumiała.

Przede wszystkim zauważyć trzeba, że ustawa o ochronie danych osobowych (dalej: u.o.d.o.) nie zabrania przetwarzania danych osobowych ze źródeł powszechnie dostępnych. Istnieje oczywiście pewna kontrowersja w doktrynie, czym mianowicie są owe powszechnie dostępne źródła. Rozwiewa je w jakiejś mierze generalny inspektor ochrony danych osobowych (GIODO), który zauważa, że danymi powszechnie dostępnymi są „dane zawarte w zbiorze danych, z którymi może zapoznać się bez szczególnego nakładu sił i środków nieograniczony krąg podmiotów". Takimi źródłami są z całą pewnością książka telefoniczna, prasa, internet. Są nimi również rejestr przedsiębiorców i ewidencja działalności gospodarczej – oba rejestry dostępne, jak już wskazałam, również poprzez internet. Nie jest natomiast, w świetle wykładni GIODO, powszechnie dostępnym źródłem na przykład portal społecznościowy, ten bowiem wymaga od użytkownika wcześniejszej rejestracji.

Podsumowując aktualny stan prawny, pozyskanie danych ze źródła powszechnie dostępnego nie jest obarczone koniecznością uzyskiwania żadnych zgód ani od dysponenta danych (osoby fizycznej), ani – tym bardziej – od GIODO.

Trzeba poinformować

W momencie jednak, kiedy tak pozyskane dane utworzą bazę danych, czyli – w rozumieniu przepisów u.o.d.o. – zbiór danych osobowych, podmiot je pozyskujący staje się administratorem danych osobowych i zaczynają na nim ciążyć obowiązki wynikające z u.o.d.o. Najistotniejszy wydaje się obowiązek informacyjny wynikający z treści art. 25 ust. 1 u.o.d.o., a więc zobowiązanie administratora danych (o ile – tak jak w wypadku danych pobranych ze źródeł powszechnie dostępnych – zebrane dane nie zostały pozyskane od osób, których dotyczą) do poinformowania wszystkich osób fizycznych, których dane zgromadzono w zbiorze, o:

? ?nazwie i adresie administratora,

? ?celu i zakresie zbierania danych, a zwłaszcza o odbiorcach danych,

? ?źródle, z którego dane zostały pobrane,

? ?prawie dostępu do danych i prawie ich poprawiania,

? ?prawie żądania zaprzestania przetwarzania danych lub wniesienia sprzeciwu wobec przetwarzania danych.

Obowiązek informacyjny wykreowany przez wspomniany przepis art. 25 ust. 1 u.o.d.o. jest właściwie bezwzględny, ustawowe wyłączenia dotyczą badań naukowych, dydaktycznych, historycznych, statystycznych albo badania opinii publicznej, a także sytuacji, gdy przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą. Z całą pewnością wyłączenie obowiązku informacyjnego nie wchodzi w grę, gdy tworzenie zbiorów danych ma na celu wykorzystanie  ich w celach komercyjnych, takich jak wysyłka materiałów reklamowych.

Możliwy jest sprzeciw

Warto podkreślić, że rewersem obowiązku informacyjnego ciążącego na administratorze danych (przedsiębiorcy) jest uprawnienie dysponenta danych (osoby fizycznej, której dane ujawnione zostały w KRS) do dostępu do własnych danych i ich poprawiania, ale również – co znacznie bardziej istotne – do żądania zaprzestania przetwarzania danych oraz sprzeciwu, jeżeli administrator zamierza wykorzystać dane do celów marketingowych. Jest to więc realny oręż zapobiegający wykorzystaniu danych dostępnych powszechnie dla celów nieakceptowalnych przez ich dysponenta.

Co na to sąd

Obowiązek informacyjny może być rzecz jasna dolegliwy dla administratora przetwarzającego dane pozyskane ze źródeł powszechnie dostępnych, w szczególności zaś koszty takiej operacji mogą się okazać znaczące.

Na tle wyroku Wojewódzkiego Sądu Administracyjnego ?w Warszawie z 2 czerwca 2011 r. (II SA/Wa 720/11) można jednak wysunąć tezę, że dopełnienie obowiązku informacyjnego ma charakter bezwarunkowy, a koszty przedsięwzięcia (i co za tym idzie: jego ewentualna nieracjonalność z gospodarczego punktu widzenia) są drugorzędne.

Skala działań wymaganych dla dopełnienia obowiązku z art. 25 ust. 1 u.o.d.o. nie ma znaczenia, ponieważ przedsiębiorca, tworząc dużą bazę danych, musi się liczyć z tym, że będzie miał określone przepisami ustawy o ochronie danych osobowych obowiązki w stosunku do  znacznej liczby osób.

Co więcej, WSA jednoznacznie wskazał w cytowanym orzeczeniu, że „ustawodawca nie może (...) dopuścić do tego, że ochrona danych osobowych znajdujących się w KRS nie będzie ograniczona wobec podmiotów, które będą chciały wykorzystać te dane w innych celach i na innych zasadach, niż dopuszcza to ustawa o Krajowym Rejestrze Sądowym. Wówczas dopuszczono by także do sytuacji, w której dane z KRS mogłyby być w nieograniczony sposób wykorzystywane, bez woli osób w nich ujętych, w celu utworzenia bazy danych dla prowadzenia kampanii marketingowych".

Spore koszty

Omawiane orzeczenie WSA zostało jednak uchylone wyrokiem Naczelnego Sądu Administracyjnego z 24 stycznia 2013 r. (I OSK 1827/11, sprawę przekazano do ponownego rozpoznania), choć  NSA odniósł się głównie do znaczących kosztów procedowania obowiązku informacyjnego, nie zaś do samej istoty tego obowiązku, która wydaje się absolutnie bezdyskusyjna.

W świetle stanowiska NSA sposób realizacji obowiązku informacyjnego powinien być jak najmniej dotkliwy dla administratora. W opisywanej sprawie zamiast ustalania za pośrednictwem Centralnego Biura Adresowego adresów zamieszkania osób fizycznych, których dane pobrano z KRS, informację z art. 25 ust. 1 u.o.d.o. należało – zdaniem NSA – przesłać na adres podmiotu gospodarczego. Byłoby to zresztą w pełni spójne ?z treścią przepisu art. 42 ust. 1 k.p.a., który za równoważne do doręczenia w miejscu zamieszkania uznaje doręczanie pism osobom fizycznym w ich mieszkaniu lub miejscu pracy.

Zdaniem autorki

Małgorzata ?Łukowiak-Verschelden, radca prawny, wspólnik Kancelaria Prawna Piszcz, ?Norek i Wspólnicy