W dniu wczorajszym, po ponad czterech latach procesowania, Naczelny Sąd Administracyjny (NSA) oddalił skargę kasacyjną spółki Bisnode, obecnie znanej jako Dun & Bradstreet. Skarga dotyczyła decyzji Wojewódzkiego Sądu Administracyjnego w Warszawie w sprawie nałożenia kary pieniężnej w wysokości ponad 943 tys. zł na spółkę Bisnode za nieprzestrzeganie przepisów o ochronie danych osobowych.
Na skróty:
Główne zarzuty
Głównym punktem sporu była kwestia przetwarzania przez spółkę Bisnode danych z ogólnodostępnych rejestrów publicznych, takich jak KRS, CEIDG czy REGON. Chociaż samo pozyskiwanie danych z tych rejestrów nie budziło kontrowersji, problemem stało się to, że spółka nie poinformowała wielu osób, których dane pozyskała, że przetwarza ich dane. W efekcie ci ludzie nie mieli pojęcia, że Bisnode stał się administratorem ich danych i nie mieli możliwości skorzystania z przysługujących im praw, takich jak prawo do sprostowania danych.
Reakcja społeczności
Sprawa ta od początku wzbudzała wiele emocji w społeczności. Z jednej strony, były osoby twierdzące, że Urząd Ochrony Danych Osobowych (UODO) zbyt restrykcyjnie interpretuje przepisy, z drugiej zaś podkreślano wagę ochrony prywatności i praw jednostki.
Decyzje sądów
Wojewódzki Sąd Administracyjny w Warszawie, chociaż przyznał rację UODO w kwestii obowiązku informacyjnego, uchylił decyzję w zakresie nałożenia kary administracyjnej oraz w zakresie obowiązku informacyjnego wobec osób, które w przeszłości prowadziły działalność gospodarczą. Z kolei NSA potwierdził słuszność stanowiska UODO, podkreślając wagę transparentności przetwarzania danych osobowych.
Kolejne kroki
Teraz, zgodnie z decyzją NSA, Prezes UODO musi ponownie rozpatrzyć sprawę, biorąc pod uwagę wskazania sądu. Szczególnie chodzi tu o kwestię przetwarzania danych osób, które prowadziły w przeszłości działalność gospodarczą oraz ostateczne ustalenie wysokości kary.
W kontekście tej sprawy ważne jest podkreślenie, że ochrona danych osobowych to nie tylko zobowiązanie prawne, ale też etyczne. W dobie cyfryzacji i gromadzenia ogromnych ilości informacji o jednostkach, obowiązkiem przedsiębiorstw jest dbać o prywatność i prawa swoich klientów.
* Sygnatura akt: III OSK 2538/21