Nielegalne pozyskiwanie danych z rejestrów publicznych - obrona prawna (RODO i art. 107 UODO)
RODO i dane osobowe · 5 min czytania · Redakcja zaufanyprawnik.pl
Powszechne jest błędne przekonanie, że skoro dane znajdują się w publicznym rejestrze, to można je dowolnie pobierać i wykorzystywać. Tymczasem dane osobowe zawarte w KRS, CEIDG, księgach wieczystych czy innych rejestrach publicznych nadal są danymi osobowymi w rozumieniu RODO i ich dalsze przetwarzanie wymaga podstawy prawnej oraz spełnienia obowiązków informacyjnych. Bezprawne przetwarzanie danych może rodzić odpowiedzialność administracyjną (kary nakładane przez Prezesa UODO), cywilną (odszkodowanie) oraz karną (art. 107 ustawy o ochronie danych osobowych). Poniżej wyjaśniamy, kiedy pozyskanie danych z rejestrów publicznych jest legalne, a kiedy bezprawne, oraz jakie realne linie obrony przewiduje polskie prawo. Artykuł ma charakter informacyjny i nie zastępuje indywidualnej porady prawnej.
Dlaczego dane z rejestrów publicznych nadal chroni RODO
Publiczna dostępność rejestru nie oznacza, że zawarte w nim dane osobowe są wyłączone spod ochrony. RODO (rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679) obejmuje każde przetwarzanie danych osobowych osób fizycznych, niezależnie od źródła. Oznacza to, że nawet jawne dane z KRS, CEIDG czy ksiąg wieczystych można przetwarzać dalej tylko wtedy, gdy istnieje ku temu podstawa prawna z art. 6 ust. 1 RODO oraz spełniony jest obowiązek informacyjny. Szczególne znaczenie ma art. 14 RODO, który nakłada na administratora pobierającego dane nie bezpośrednio od osoby, której dotyczą (a tak jest przy pobraniu z rejestru), obowiązek poinformowania tej osoby o źródle danych, tożsamości administratora i celu przetwarzania - co do zasady w rozsądnym terminie, najpóźniej w ciągu miesiąca. Naruszenie tych zasad może skutkować odpowiedzialnością administracyjną i karną.
Kiedy przetwarzanie jest legalne - podstawy z art. 6 RODO
Legalność przetwarzania danych zależy od istnienia co najmniej jednej z sześciu podstaw wymienionych w art. 6 ust. 1 RODO. Najważniejsze w kontekście rejestrów publicznych to: zgoda osoby (lit. a), niezbędność do wykonania umowy (lit. b), wypełnienie obowiązku prawnego ciążącego na administratorze (lit. c), ochrona żywotnych interesów (lit. d), wykonanie zadania w interesie publicznym lub w ramach władzy publicznej (lit. e) oraz prawnie uzasadniony interes administratora (lit. f), o ile nie przeważają nad nim prawa i wolności osoby, której dane dotyczą. Zgoda nie jest więc jedyną drogą - np. weryfikacja kontrahenta w KRS przed zawarciem umowy może opierać się na uzasadnionym interesie. Dla danych szczególnych kategorii (tzw. wrażliwych - o zdrowiu, poglądach, przynależności związkowej) obowiązuje surowszy reżim z art. 9 RODO, gdzie sama podstawa z art. 6 nie wystarcza.
Kiedy pozyskanie danych staje się bezprawne
Pozyskanie i wykorzystanie danych z rejestru publicznego przekracza granice prawa wówczas, gdy brakuje podstawy z art. 6 (lub art. 9) RODO albo gdy dane są przetwarzane niezgodnie z pierwotnym, dozwolonym celem. Typowe sytuacje bezprawne to: masowe pobieranie danych (scraping) w celu budowy własnej bazy marketingowej bez podstawy prawnej i bez realizacji obowiązku informacyjnego z art. 14 RODO, wykorzystanie danych z rejestru do celu sprzecznego z celem jego prowadzenia, czy dalsza odsprzedaż danych. Trzeba odróżnić to od przestępstwa nielegalnego dostępu do informacji z art. 267 k.k., który penalizuje uzyskanie dostępu do informacji nieprzeznaczonej dla sprawcy przez przełamanie zabezpieczeń - to zupełnie inny czyn niż pobranie jawnych danych z otwartego rejestru. Granica między legalnym a bezprawnym przetwarzaniem przebiega więc przez cel i podstawę prawną, a nie przez sam fakt, że dane były publicznie dostępne.
Linie obrony: podstawa prawna, brak zamiaru i charakter cywilny sporu
Obrona w sprawie o bezprawne przetwarzanie danych z rejestrów publicznych może iść kilkoma torami. Po pierwsze, wykazanie istnienia podstawy prawnej z art. 6 ust. 1 RODO - najczęściej obowiązku prawnego (lit. c), wykonania umowy (lit. b) lub uzasadnionego interesu (lit. f), poparte testem równowagi interesów. Po drugie, wykazanie, że spełniono obowiązek informacyjny z art. 14 RODO albo że zachodził jeden z wyjątków od niego (np. gdy poinformowanie okazałoby się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku). Po trzecie, w sprawie karnej z art. 107 UODO obrona koncentruje się na stronie podmiotowej: przestępstwo to jest umyślne, więc wykazanie braku zamiaru bezprawnego przetwarzania (np. działania w usprawiedliwionym przekonaniu o legalności) podważa odpowiedzialność karną. Warto też pamiętać, że nie każde naruszenie RODO jest przestępstwem - wiele z nich rodzi wyłącznie odpowiedzialność administracyjną lub cywilną, a nie karną.
Odpowiedzialność karna - art. 107 i 108 UODO
Polskie prawo penalizuje bezprawne przetwarzanie danych w ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych. Zgodnie z art. 107 ust. 1 UODO, kto przetwarza dane osobowe, choć ich przetwarzanie jest niedopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Jeżeli czyn dotyczy danych szczególnych kategorii, o których mowa w art. 9 RODO (dane wrażliwe), górna granica kary wzrasta do lat 3 (art. 107 ust. 2 UODO). Odrębnie art. 108 UODO penalizuje udaremnianie lub utrudnianie kontroli przeprowadzanej przez organ nadzorczy. Te przepisy zastępują dawną odpowiedzialność karną z uchylonej ustawy z 1997 r. Ważne jest, że odpowiedzialność karna wymaga umyślności i świadomości bezprawności działania, co stanowi istotny element ewentualnej obrony.
Odpowiedzialność administracyjna i cywilna
Niezależnie od odpowiedzialności karnej, naruszenie przepisów o ochronie danych rodzi odpowiedzialność administracyjną i cywilną. Prezes Urzędu Ochrony Danych Osobowych (PUODO) może nałożyć administracyjną karę pieniężną na podstawie art. 83 RODO - w najpoważniejszych przypadkach do 20 mln euro lub do 4% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku (zastosowanie ma kwota wyższa). Na podmioty publiczne polska ustawa przewiduje niższe pułapy (art. 102 UODO). Ponadto osoba, której dane przetwarzano niezgodnie z prawem, może na podstawie art. 82 RODO dochodzić przed sądem cywilnym odszkodowania za poniesioną szkodę majątkową lub niemajątkową (zadośćuczynienie za naruszenie dóbr osobistych i prywatności). Te trzy ścieżki - karna, administracyjna i cywilna - mogą się kumulować, co czyni bezprawne przetwarzanie danych szczególnie ryzykownym.
Jak weryfikować legalność dostępu i ograniczać ryzyko
Aby uniknąć zarzutu bezprawnego przetwarzania, warto przed pobraniem danych z rejestru ustalić: czy istnieje podstawa prawna z art. 6 (lub art. 9) RODO, jaki jest cel przetwarzania i czy mieści się on w granicach prawa, oraz jak zostanie spełniony obowiązek informacyjny z art. 14 RODO. Pomocne jest udokumentowanie testu równowagi interesów (przy podstawie z art. 6 ust. 1 lit. f), prowadzenie rejestru czynności przetwarzania oraz - przy operacjach o wysokim ryzyku - przeprowadzenie oceny skutków dla ochrony danych (DPIA, art. 35 RODO). Dane z rejestrów takich jak KRS, CEIDG czy księgi wieczyste są jawne, ale ich masowe pobieranie i dalsze wykorzystanie w innym celu (np. marketingowym) bez podstawy prawnej jest jednym z częstszych źródeł sporów z PUODO. W razie wątpliwości lub otrzymania zawiadomienia o naruszeniu warto jak najwcześniej skonsultować się z prawnikiem specjalizującym się w ochronie danych.
Najczęstsze pytania
Czy mogę dowolnie wykorzystać dane z KRS lub CEIDG, skoro są jawne?
Nie. Jawność rejestru nie wyłącza ochrony RODO. Dane osobowe z KRS, CEIDG czy ksiąg wieczystych można dalej przetwarzać tylko na podstawie z art. 6 ust. 1 RODO (np. uzasadniony interes przy weryfikacji kontrahenta) i przy spełnieniu obowiązku informacyjnego z art. 14 RODO. Masowe pobieranie tych danych do własnej bazy marketingowej bez podstawy prawnej jest jednym z najczęstszych naruszeń karanych przez PUODO.
Jakie kary grożą za nielegalne pozyskiwanie danych?
Zgodnie z art. 107 ust. 1 ustawy o ochronie danych osobowych za bezprawne przetwarzanie danych grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2. Jeżeli czyn dotyczy danych wrażliwych (szczególnych kategorii z art. 9 RODO), górna granica rośnie do 3 lat (art. 107 ust. 2 UODO). Niezależnie od kary karnej Prezes UODO może nałożyć administracyjną karę pieniężną na podstawie art. 83 RODO - w najcięższych przypadkach do 20 mln euro lub 4% rocznego obrotu.
Jakie linie obrony są możliwe w takiej sprawie?
Najczęstsze to: wykazanie podstawy prawnej z art. 6 ust. 1 RODO (obowiązek prawny, wykonanie umowy lub uzasadniony interes poparty testem równowagi), wykazanie spełnienia obowiązku informacyjnego z art. 14 RODO lub zachodzenia wyjątku od niego, oraz - w sprawie karnej - podważenie umyślności i świadomości bezprawności, bo art. 107 UODO penalizuje czyn umyślny. Istotne jest też wykazanie, że dane naruszenie rodzi wyłącznie odpowiedzialność administracyjną lub cywilną, a nie karną.
Czy osoba poszkodowana może żądać odszkodowania?
Tak. Zgodnie z art. 82 RODO każda osoba, która poniosła szkodę majątkową lub niemajątkową wskutek niezgodnego z prawem przetwarzania jej danych, ma prawo dochodzić odszkodowania lub zadośćuczynienia przed sądem cywilnym. Roszczenia te są niezależne od ewentualnej kary administracyjnej nałożonej przez PUODO oraz od odpowiedzialności karnej sprawcy z art. 107 UODO. Wszystkie trzy ścieżki mogą się kumulować.
Czym różni się pobranie jawnych danych od przestępstwa z art. 267 k.k.?
To dwa różne czyny. Pobranie jawnych danych z otwartego rejestru bez podstawy prawnej narusza RODO i może wypełniać znamiona art. 107 UODO (bezprawne przetwarzanie). Natomiast art. 267 k.k. penalizuje uzyskanie dostępu do informacji nieprzeznaczonej dla sprawcy przez przełamanie lub ominięcie zabezpieczeń - czyli np. włamanie do systemu. Jeśli dane były jawnie dostępne i żadne zabezpieczenie nie zostało przełamane, art. 267 k.k. nie ma zastosowania.
Czy każde naruszenie RODO jest przestępstwem?
Nie. Większość naruszeń RODO rodzi odpowiedzialność administracyjną (kara od PUODO na podstawie art. 83 RODO) lub cywilną (odszkodowanie z art. 82 RODO), a nie karną. Przestępstwem jest dopiero umyślne bezprawne przetwarzanie danych penalizowane w art. 107 UODO oraz utrudnianie kontroli organu (art. 108 UODO). Brak umyślności lub świadomości bezprawności wyłącza odpowiedzialność karną, choć nie musi wyłączać administracyjnej.
Powiązane poradniki
- Nielegalne pozyskiwanie danych (art. 267 KK): odpowiedzialność, obrona i RODO
- Naruszenie RODO w ochronie zdrowia - rola prawnika i prawa pacjenta
- Hacking i włamanie do systemu (art. 267 k.k.) - linie obrony, kary i rola adwokata
- Nieuprawnione udostępnianie danych firmowych - odpowiedzialność karna i linie obrony (art. 266, 267 k.k., art. 23 UZNK)
Podstawa prawna i źródła
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) - art. 6, 9, 14, 35, 82, 83
- Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (art. 102, 107, 108)
- Ustawa z dnia 6 czerwca 1997 r. - Kodeks karny (art. 267 - nielegalny dostęp do informacji)
- Urząd Ochrony Danych Osobowych (PUODO) - organ nadzorczy
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę