RODO istotnym czynnikiem ryzyka w działalności rejestrów kredytowych.
Rozpoczęcie stosowania RODO, a przede wszystkim brak spójnej strategii wdrożenia rozporządzenia, nie tylko na poziomie unijnym, lecz również krajowym, spowodował istotny wzrost ryzyka dla działalności rejestrów kredytowych w całej UE. Doskonałym przykładem jest sytuacja, która miała miejsce stosunkowo niedawno w Polsce, kiedy to Prezes Urzędu Ochrony Danych Osobowych w krótkim odstępie czasu wydał dwa niezwykle doniosłe rozstrzygnięcia dotyczące obowiązków administratorów danych w związku z przetwarzaniem danych zawartych w publicznie dostępnych rejestrach i zbiorach. Obydwa rozstrzygnięcia dotyczą kwestii niezwykle ważnej z punktu widzenia wszystkich podmiotów zajmujących się dostarczaniem danych pochodzących z publicznych zasobów do celów związanych z oceną wiarygodności płatniczej, analiza ryzyka, a także zapobieganiem i przeciwdziałaniem wyłudzeniom lub praniu pieniędzy. Chodzi o wykonywanie obowiązku informacyjnego, o którym mowa w art. 14 RODO, względem osoby, której dotyczą dane pobrane z publicznej bazy danych, przykładowo KRS, REGON lub CEIDG. Zawarte w nich dane osób fizycznych – właścicieli, udziałowców, członków organów, prokurentów, czy też pełnomocników – stanowią na gruncie RODO dane osobowe podlegające ochronie prawnej. Kwestia otwartą pozostaje poziom tej ochrony. Czy dane osoby zajmującej eksponowane stanowisko w dużej spółce akcyjnej wpisane do KRS powinny być chronione na takim samym poziomie jak dane właściciela mikroprzedsiębiorstwa zarejestrowane w CEIDG? Czy wszystkie kategorie danych tych osób przetwarzane w rejestrach powinny podlegać takiej samej ochronie? Czy wreszcie osoby te powinny korzystać z takich samych gwarancji ochrony prywatności jak przysłowiowy „przeciętny Kowalski”?
Próbą udzielenia odpowiedzi m.in. na te pytania są wspominane decyzje PUODO. Problem w tym, że rozstrzygnięcia wydane przez polski organ ochrony danych są ze sobą kierunkowo sprzeczne. W decyzji ze stycznia 2019 r. (nieopublikowanej), odnosząc się z do zarzutu skarżącego dotyczącego niedopełnienia obowiązku informacyjnego, PUODO wskazał na jego wyłączenie na podstawie art. 14 ust 5 lit. b RODO, uznając że realizacja indywidualnego obowiązku informacyjnego byłaby niemożliwa (wbrew zasadzie minimalizacji danych portal musiałby pozyskiwać i przetwarzać także dane adresowe) oraz podkreślił, że portal udzielił skarżącemu informacji na temat procesu przetwarzania jego danych osobowych poprzez publiczne udostępnienie tych informacji (w polityce prywatności dostępnej w serwisie internetowym portalu), co stanowi „przedsięwzięcie odpowiednich i wystarczających środków w kontekście ochrony praw i wolności skarżącego”. Natomiast w wydanej niewiele ponad cztery tygodnie temu decyzji (z dnia 11 marca 2019 r., ZWAD.421.3.2018), przy dosyć podobnym, jak się wydaje, stanie faktycznym organ przedstawił zgoła odmienną ocenę, uznając, że wysłanie bowiem informacji, o których mowa w art. 14 rozporządzenia 2016/679 pocztą tradycyjną, na adres osoby fizycznej prowadzącej działalność gospodarczą, lub w drodze kontaktu telefonicznego, nie jest czynnością „niemożliwą” oraz nie wymaga „niewspółmiernie dużego wysiłku”, w sytuacji posiadania przez administratora w bazie systemu informatycznego danych adresowych, w odniesieniu do osób fizycznych prowadzących jednoosobową działalność gospodarczą (aktualnie lub w przeszłości), a także dodatkowo - numerów telefonów - w odniesieniu do części tych osób. Adresatem decyzji, któremu nakazano wypełnienie obowiązku informacyjnego, a także ukarano finansowo, jest podmiot powiązany ze spółką będącą operatorem jednego z działających w Polsce biur informacji gospodarczej.
Wprawdzie szczegóły stanów faktycznych w obu sprawach różnią się od siebie (w pierwszym przypadku chodzi o dane pochodzące z KRS, podczas gdy w drugim skarga dotyczyła przetwarzania danych zawartych w CEIDG), wydaje się jednak, że nie są to różnice na tyle istotne, aby mogły uzasadniać tak diametralnie odmienną ocenę prawną. W szczególności nie przekonuje argument, iż posiadanie w systemie informatycznym informacji o adresie korespondencyjnym przedsiębiorcy umożliwia administratorowi wykonanie obowiązku informacyjnego z art. 14 RODO. Wydaje się bowiem, że PUODO nie wziął pod uwagę specyfiki działalności gospodarczej polegającej na dostarczaniu danych. Chodzi o przypadki, gdy przetwarzanie oraz udostępnianie danych jest przedmiotem (istotą) usługi świadczonej przez przedsiębiorcę, a nie służy jedynie wykonaniu jakiejś innej usługi świadczonej przez ten podmiot. Gdy w dodatku będziemy mieć do czynienia ze znaczmy wolumenami danych, co jest typowe dla rejestrów kredytowych dostarczających dane w sposób hurtowy i zautomatyzowany instytucjom finansowych, operatorom telekomunikacyjnym oraz innym dostawcom usług masowych, uzyskamy prosty przepis na bankructwo i to bez względu na zapowiedziane niedawno przez Pocztę Polską podwyżki cen jej usług.
Opisany przypadek to tylko jeden z licznych przykładów braku spójnej, i co równie ważne, zbalansowanej strategii wdrożenia RODO w polskim Urzędzie Ochrony Danych Osobowych. Podobnie sytuacja kształtuje się niestety również w wielu innych krajach członkowskich UE. Prowadzenie w tych warunkach działalności przez rejestry kredytowe, zważywszy na potencjalnie grożące surowe kary finansowe, zaczyna przypominać stąpanie po polu minowym. Wymusiło to zacieśnienie transgranicznego dialogu i współpracy pomiędzy przedstawicielami branży dostawców danych kredytowych, czego wyrazem jest m.in. powołanie przez ACCIS (Association of Consumer Credit Information Suppliers) stałej grupy roboczej pod nazwą Forum Ochrony Danych Osobowych (Data Protection Forum). Czas pokaże, czy działalność forum przyniesie wymierne efekty, jednak z pewnością stanowi ona szansę na wymianę doświadczeń, identyfikację wspólnych problemów oraz nawiązanie dialogu z regulatorem. Polski rynek wymiany informacji kredytowej i gospodarczej jest reprezentowany w pracach forum przez dwa rejestry: ERIF BIG S.A. oraz BIK S.A. Taka reprezentacja stwarza możliwość zaprezentowania zróżnicowanej perspektywy, uwzględniającą istniejący w Polsce dualizm regulacji prawnej rejestrów (prawo bankowe, ustawa o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych), jak również specyficzne wyzwania, jakie RODO stawia zarówno przed organizatorami międzybankowej wymiany informacji, jak i przed organizatorami wymiany międzysektorowej, takimi jak biura informacji gospodarczej.
Tomasz Ostrowski
Adwokat
Tomasz Ostrowski współpracuje z EWA w obszarze praktyki ochrony danych osobowych i praktyki udostępniania informacji gospodarczych i wymiany danych gospodarczych
Z mec. Tomaszem Ostrowskim można skontaktować się pod adresem kontakt@wingsadvisory.com