Bazy dostępne publicznie, a prawo do ich kopiowania na własne serwery cz. 2

 Obowiązek bieżącego monitorowania, o którym wspomina UKNF w swoim piśmie, niestety nie jest wystarczającym dokumentem do uznania go za podstawę prawną do budowania własnej bazy danych. Niestety nie jest też wystarczającym fakt, że nie wyobrażamy sobie realizować tego obowiązku bez wsparcia ze strony IT i naprawdę trudno polemizować z tym faktem ale… aktualny stan prawny do jakiego udało nam się dotrzeć mówi, że:

„Art. 12. 1. Minister Sprawiedliwości zamieszcza w Biuletynie Informacji Publicznej na stronie podmiotowej urzędu go obsługującego informację o adresie, pod którym
w sieci Internet dostępny jest Rejestr. 

2. Minister Sprawiedliwości jest administratorem danych zgromadzonych w Rejestrze oraz danych objętych treścią obwieszczeń. 

Art. 13. Minister Sprawiedliwości określi, w drodze rozporządzenia, sposób zamieszczania danych w Rejestrze oraz sposób przetwarzania i ujawniania danych zawartych w Rejestrze, a także tryb i sposób przetwarzania oraz przekazywania danych, o których mowa w art. 11 ust. 11, mając na uwadze potrzebę zapewnienia czytelności oraz przejrzystości danych ujawnianych w Rejestrze, łatwość jego użytkowania oraz konieczność zapewnienia bezpieczeństwa przetwarzanych danych.”

(Ustawa z dnia 6 grudnia 2018 r. o Krajowym Rejestrze Zadłużonych, Dz. U. z 2021 r. poz. 1909)

Niestety, ustawa nie mówi nic o tym, że dane te można sobie zabrać czyli nie ma mowy o innej formie udostępnienia, jak dostęp do Rejestru prowadzonego przez Ministerstwo, przez sieć Internet. Podobnie trudno szukać takich zapisów
w rozporządzeniu, Ministra Sprawiedliwości z dnia 22 listopada 2021 r. w sprawie sposobu zamieszczania oraz przetwarzania danych w Krajowym Rejestrze Zadłużonych.

A teraz ciut z innej beczki ale temat bliźniaczy… Podczas sprawdzeń wypłynął dość podobny temat – listy sankcyjne, związane z praniem… Otóż, czym innym jest umowa na dostęp do baz AML, gdzie za pomocą API łączymy się z taką bazą i sięgamy do niej zapytując o konkretny PESEL, a czym innym jest (podobnie jak opisywanym przypadku wyżej) zaciągnięcie takich list do swojego systemu. Dlaczego? Dlatego, że kierując do bazy zapytanie o konkretną osobę nie zachowujemy nic poza odpowiedzią TAK lub NIE. Natomiast ściągając tą bazę do siebie aby dopiero lokalnie zadać zapytanie, nie tylko gromadzimy dane do niczego nam niepotrzebne ale dodatkowo decydujemy, jak będą przechowywane i używane, wyczerpując znamiona definicji AD.

Dlaczego przywołuję ten przykład? Otóż, RODO nie wymaga od nas bezwzględnego spełnienia obowiązku informacyjnego z zakresu artykułu 14. Rozporządzenia nie stosuje się gdy: „okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1, lub o ile obowiązek, o którym mowa w ust. 1 niniejszego artykułu, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie” 

Co to oznacza? Jeżeli na liście sankcyjnej mam do dyspozycji PESEL, imię
i nazwisko, to generalnie może mi się, jako Administratorowi nie udać pozyskać danych do spełnienia obowiązku informacyjnego, nawet gdybym się bardzo starał. Ale jeżeli mam Rejestr Zadłużenia, gdzie następnie mogę za pośrednictwem nr NIP pozyskać
z CEiDG w prosty sposób dane komunikacyjne danej osoby prowadzącej działalność, to sprawa nie jest już taka oczywista.

O ile w przypadku list sankcyjnych możliwym może okazać się ogarnięcie tematu poprzez rozbudowanie obowiązku informacyjnego w zakresie prania i zamieszczenie go na stronie www, to o tyle w przypadku Rejestru Zadłużenia mamy konkretne wytyczne prawne co i jak działa i w naszej ocenie sprawa jest bardziej skomplikowana. Jak widać nawet bardzo podobne przypadki nie muszą mieć identycznych interpretacji i każdą sytuację należy ocenić indywidualnie. 

Dlatego też całkowicie rozumiejąc kwestię niemożliwości wykonania zaleceń UKNF bez wsparcia systemowego zalecamy nie tylko ostrożność przy wdrażaniu tego typu rozwiązań ale przede wszystkim zalecamy skierowanie zapytania do służb prawnych co do zasadności ich wdrożenia z punktu widzenia litery prawa i wynikających z niego obowiązków i/lub skierowania takiego zapytania do UKNF i/lub skierowania ww. zagadnień do konsultacji z Prezesem UODO, przy czym kolejność działań nie jest tu przypadkowa. Oczywiście takie zapytanie należały skierować zarówno w zakresie list sankcyjnych (jeżeli ktoś z Państwa importuje je do swojego systemu) oraz w zakresie Rejestru Zadłużenia dla potrzeb importu danych.

Bernadeta Gronowska, Jacek Rembikowski