Niejednokrotnie w dyskusjach dotyczących stosowania przepisów RODO pojawia się zarzut braku adekwatnej ochrony danych osobowych wspólników spółek osobowych, wspólników i członków organów spółek kapitałowych oraz prokurentów, których dane są ujawniane w Krajowym Rejestrze Sądowym (KRS). W ramach wpisów do rejestru, obok funkcji pełnionej w danym podmiocie, imienia i nazwiska osoby fizycznej, publikowany jest również jej numer PESEL.
Numer PESEL, jako jedenastocyfrowy identyfikator, jednoznacznie wskazuje konkretną osobę fizyczną. Jego struktura zawiera informacje o dacie urodzenia, numerze porządkowym, oznaczeniu płci (gdzie cyfry parzyste, w tym 0, przypisane są kobietom, zaś cyfry nieparzyste – mężczyznom), a także cyfrę kontrolną umożliwiającą weryfikację poprawności numeru. W konsekwencji każdy podmiot, który przetwarza numer PESEL, przetwarza również dane dotyczące płci oraz wieku osoby, której ten numer dotyczy.
Analogiczne wątpliwości rodzi również praktyka publikacji danych w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG). W rejestrze tym ujawniane są dane osobowe przedsiębiorców prowadzących jednoosobową działalność gospodarczą, w tym m.in. firma (często zawierająca imię i nazwisko przedsiębiorcy), numer telefonu, a także adres siedziby, który nierzadko pokrywa się z adresem zamieszkania. Nie budzi przy tym większych wątpliwości, że wskazane informacje stanowią dane osobowe w rozumieniu RODO, ponieważ umożliwiają bezpośrednią identyfikację konkretnej osoby fizycznej.
Czy numer PESEL stanowi daną szczególnych kategorii?
Numer PESEL pomimo, iż zawiera w swoim ciągu liczb szereg informacji nie jest uznawany za daną osobową szczególnych kategorii, do których zgodnie z art. 9 ust. 1 RODO zalicza się m.in. dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne, dane genetyczne, dane biometryczne czy dane dotyczące zdrowia i orientacji seksualnej. Jest to dana osobowa zwykła, z uwagi jednak na zawartą w nim datę urodzenia i oznaczenie płci, PESEL w połączeniu z innymi danymi (np. imieniem i nazwiskiem) może stanowić bardziej szczegółowy opis osoby.
Jaka jest podstawa prawna przetwarzania danych osobowych w KRS?
To jakie dane osobowych mogą być gromadzone w ramach rejestru określa art. 35 pkt 1 ustawy z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym (Dz. U. 1997 Nr 121 poz. 769 z późn.zm.). Art. 10 ww. ustawy statuuje zasadę, iż każdy ma prawo do przeglądania akt rejestrowych podmiotów wpisanych do rejestru, zaś art. 8 wskazuje również, iż rejestr jest jawny i każdy ma prawo dostępu do zawartych w nim danych za pośrednictwem centralnej informacji. Jawność nie oznacza jednak pełnej dowolności w zakresie wykorzystania zgromadzonych informacji. Dane osobowe opublikowane w Krajowym Rejestrze Sądowym są , w szczególności gromadzone, zmieniane, udostępniane w celu realizacji przepisów ww. ustawy, najczęściej w celu weryfikacji uprawnień danej osoby do działania w imieniu danego podmiotu gospodarczego.
Wykorzystanie informacji zawartych w rejestrach publicznych do celów komercyjnych – stanowisko UODO
Kwestia ponownego przetwarzania danych osobowych opublikowanych w Krajowym Rejestrze Sądowym była przedmiotem postępowania administracyjnego prowadzonego przez Prezesa Urzędu Ochrony Danych Osobowych pod sygnaturą ZSPU.440.705.2018. Wniesiona skarga dotyczyła fundacji prowadząej działalność związaną z m.in.rozwojem demokracji oraz zaangażowaniem obywatelskim.Działanie fundacji polegało na gromadzeniu danych powszechnie dostępnych i udostępnianiu ich w ramach serwisów internetowych. Fundacja nie udostępniała jednak nr PESEL osób wskazanych w Krajowym Rejestrze Sądowym.
W ocenie Prezesa UODO, przetwarzanie danych osobowych skarżącej – jako osoby pełniącej określoną funkcję w podmiotach wpisanych do KRS – znajdowało podstawę prawną w art. 6 ust. 1 lit. f RODO, tj. w prawnie uzasadnionym interesie administratora danych. Co istotne, fundacja nie przetwarzała danych wrażliwych ani nie udostępniała numerów PESEL, co wpłynęło na ocenę proporcjonalności przetwarzania w świetle zasad wynikających z art. 5 RODO.
Decyzja Prezesa UODO została wydana w dniu 17 maja 2019 r., jednak do chwili obecnej tj. dnia publikacji niniejszego artykułu nie uzyskała statusu prawomocnej.
Obowiązek informacyjny z art. 14 RODO
Jednym z najgłośniejszych postępowań administracyjnych prowadzonych przez Prezesa Urzędu Ochrony Danych Osobowych w Polsce była sprawa dotycząca spółki Bisnode Polska sp. z o.o., zakończona decyzją o nałożeniu administracyjnej kary pieniężnej w wysokości niemal 1 mln złotych. Postępowanie to dotyczyło naruszenia art. 14 RODO, czyli obowiązku informacyjnego względem osób, których dane osobowe zostały pozyskane z rejestrów publicznych, a nie bezpośrednio od samych osób.
Spółka uzyskała z publicznych rejestrów takie dane jak m.in. imię, nazwisko, PESEL (pozyskane z KRS), nazwa przedsiębiorstwa, adres rejestrowy, rodzaj działalności PKD, numer telefonu (opcjonalnie), adres e-mail (opcjonalnie), adres strony www (opcjonalnie), zakazy/uprawnienia/ograniczenia/koncesje na prowadzenie określonej działalności, związane z przedsiębiorcą zdarzenia prawne i wykorzystywała je w ramach prowadzonej wywiadowni gospodarczej. Prezes UODO w swojej decyzji uznał jednak, że Spółka dysponowała adresami korespondencyjnymi oraz numerami telefonów do części swoich klientów, wobec czego miała możliwość spełnienia wobec nich obowiązku informacyjnego z art. 14 RODO, czego nie zrobiła.
Czy można wykorzystywać dane osobowe z rejestrów publicznych do celów marketingowych?
Nie. Sam fakt ujawnienia danych osobowych w rejestrze publicznym – takim jak Krajowy Rejestr Sądowy (KRS) czy Centralna Ewidencja i Informacja o Działalności Gospodarczej (CEIDG) – nie uprawnia do ich wykorzystywania w celach marketingowych, w szczególności do tworzenia baz marketingowych i przesyłania informacji handlowych w formie elektronicznej (e-mail, SMS, komunikatory).
Zgodnie z art. 398 ust. 1 ustawy z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej (Dz.U. 2024 poz. 1243), przesyłanie niezamówionych informacji handlowych za pomocą środków komunikacji elektronicznej (w tym adresów e-mail) wymaga uprzedniej, dobrowolnej i wyraźnej zgody użytkownika końcowego lub abonenta.
Podsumowanie
Jawność danych osobowych zawartych w publicznych rejestrach nie oznacza automatycznego zwolnienia z obowiązków wynikających z RODO oraz innych aktów prawnych dotyczących ochrony danych osobowych i komunikacji elektronicznej. Administratorzy danych, korzystający z tych źródeł, muszą każdorazowo dokonywać rzetelnej oceny celowości i zgodności przetwarzania danych, w szczególności respektując zasady ograniczenia celu, minimalizacji danych oraz zapewnienia prawidłowości i bezpieczeństwa informacji. Ponadto, przetwarzanie danych osobowych pochodzących z rejestrów publicznych w celach marketingowych lub innych formach wtórnego wykorzystania wymaga spełnienia dodatkowych wymogów, w tym konieczności posiadania odrębnej, wyraźnej zgody osób, których dane dotyczą, zgodnie z ustawą Prawo komunikacji elektronicznej oraz przepisami RODO.
W konsekwencji, administratorzy danych powinni prowadzić transparentną politykę informacyjną, starannie dobierać cele i zakres przetwarzania, a także przestrzegać obowiązków informacyjnych i zapewnić środki techniczne oraz organizacyjne gwarantujące bezpieczeństwo danych. Tylko takie podejście pozwoli na zgodne z prawem i etyczne korzystanie z informacji dostępnych w rejestrach publicznych, minimalizując ryzyko sankcji oraz utraty zaufania ze strony klientów i partnerów biznesowych.