Na łamach „Rz” niedawno opisaliśmy serwis internetowy publikujący dane kontaktowe adwokatów i radców prawnych zaczerpnięte z publicznych rejestrów. Czy ich powszechna dostępność oznacza, że każdy może z nich skorzystać w dowolnym celu?
Ujawnienie danych osobowych, nawet tych dotyczących wykonywanego zawodu, nie oznacza automatycznie dowolności ich dalszego przetwarzania. Każde upublicznienie danych rejestrowych następuje bowiem w określonych celu, np. zagwarantowania pewności co do korzystania z usług osoby wykonującej zawód zaufania publicznego. Późniejsze wykorzystanie tych danych osobowych nie może być niezgodne z tymi celami, a żeby zmienić pierwotny cel musi zostać przeprowadzony i udokumentowany przez następnego administratora cały test, o którym mowa w art. 6 ust.4 RODO. Ma on zapewnić realizację prawa do ochrony danych osobowych.
Czytaj więcej
W serwisie Lexspace można znaleźć dane tysięcy pełnomocników, zaczerpnięte z publicznych rejestrów. Niektórzy próbują je usunąć, a samorząd radców...
Na czym polega taki test i jakie warunki trzeba spełnić, żeby korzystanie z tych danych było legalne?
W pełnym zakresie znajduje zastosowanie RODO, a więc i uprawnienia oraz obowiązki w nim określone. Na pierwszy plan wysuwają się podstawowe zasady przetwarzania danych osobowych (w tym waśnie ograniczenia celu czy zapewnienia poprawności danych), ale w tym przypadku kluczowe wydaje się także wykazanie podstawy przetwarzania danych i realizacja obowiązków informacyjnych wobec osób, których dane dotyczą. Przedsiębiorcy pobierający dane osobowe z jawnych rejestrów najczęściej powołują się na podstawę „prawnie uzasadnionego interesu” (art. 6 ust.1 lit f RODO). Jednak żeby skutecznie legitymować się tą przesłanką, należy wcześniej przeprowadzić trzyetapowy test uzasadnionego interesu, w którym analizuje się, czy występuje taki interes, czy przetwarzanie danych jest niezbędne do jego realizacji i czy zachowana jest równowaga między celami administratora i prawami, wolnościami osoby, której dane dotyczą. To jeden z podstawowych błędów w stosowaniu RODO, że w przypadku jawnych danych rejestrowych banalizuje się potrzebę dokonania całościowej analizy zgodności z tym aktem. Ogranicza się też wykonanie obowiązku informacyjnego, powołując się na pierwotną jawność danych. Tymczasem wcześniej dane zostały upublicznione przez innego administratora w odrębnym celu. Osoba, której dane dotyczą, nie ma wiedzy o kolejnych użytkownikach (administratorach) jej danych.
Czytaj więcej
Ponad 14,2 tys. naruszeń RODO zgłoszono w naszym kraju w 2024 r. Więcej było tylko w Niemczech (prawie 27,8 tys.) oraz Holandii 33,4 – wynika z do...
Artykuł 14 wymaga powiadomienia osób, których dane dotyczą, o kolejnym administratorze, podstawie przetwarzania ich danych, przysługujących prawach i możliwości kontaktu z administratorem. Czy zamieszczenie takich informacji w polityce prywatności na stronie jest wystarczające, czy trzeba tu się zwrócić bezpośrednio do każdego podmiotu z rejestru (i czy musi to nastąpić przed wykorzystaniem tych danych)?
Zasada jest taka, że to administrator ma obowiązek indywidualnego poinformowania osoby, której dane dotyczą. Wyjątkiem od tego wymogu jest sytuacja, gdy udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku. Dopiero wówczas wystarczające jest publiczne udostępnienie wymaganych informacji. Jednak NSA w wyroku z 19 września 2023 r. (sygn. akt III OSK 2538/21) zwraca uwagę, że gdy działalność spółki ma charakter komercyjny i nie realizuje interesu publicznego, trudno zasadniczo mówić o niewspółmiernym wysiłku. Zresztą akurat w rejestrze adwokatów prowadzonym przez samorząd zawodowy podawany jest kontaktowy adres e-mail, a więc nie istnieje problem nawiązania bezpośredniej komunikacji.
Grzegorz Sibiga jest prof. INP PAN, adwokatem, partnerem w Traple Konarski, Podrecki i Wspólnicy
