Czy Krajowy Rejestr Sądowy spełnia wymogi privacy by design?


Z początkiem października 2018 r. sprawozdanie finansowe podmiotów wpisanych do Krajowego Rejestru Sądowego może zostać złożone wyłącznie w formie elektronicznej. Konieczne jest także jego opatrzenie kwalifikowanym podpisem elektronicznym lub podpisanie profilem zaufanym przez osobę, której powierzono prowadzenie ksiąg rachunkowych i członków zarządu. Co ważne, każdy ze złożonych w ten sposób podpisów zawiera imię, nazwisko i numer PESEL osoby podpisującej się pod sprawozdaniem.


W kontekście przetwarzania danych z ogólnodostępnych rejestrów (a więc przede wszystkim KRS), w dniu 30 stycznia 2019 r. Prezes UODO wydał istotną decyzję1. Na jej gruncie poczyniono wniosek, iż nie ma podstaw do stwierdzenia, że dane osobowe (pochodzące m.in. z KRS) zostały pozyskane w sposób sprzeczny z prawem, jak również że w sposób nieuprawniony poddane zostały procesowi dalszego przetwarzania. Warto nadmienić, że podmiot którego dotyczy przedmiotowo decyzja (fundacja) prowadzi działalność „na rzecz rozwoju demokracji, otwartej i przejrzystej władzy oraz zaangażowania obywatelskiego”. Tym samym, przetwarzanie danych przez administratora uznano za niezbędne „do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora” (art. 6 ust. 1 lit. f RODO). Przetwarzanie danych osobowych ujawnionych w rejestrze KRS okazuje się więc pozostawać w pełnej zgodności z zasadami ochrony danych osobowych – ponieważ stanowią one dane powszechnie dostępne. Rzecz jasna, zgodnie z jedną z podstawowych dla RODO zasad przetwarzania danych – zasadą minimalizacji – zakres przetwarzanych danych musi pozostawać adekwatny oraz ograniczony do tego, co niezbędne do celów, w których dane podlegają przetwarzaniu.


Punkt widzenia Prezesa UODO pozostaje w zgodności z orzeczeniem NSA2, który stwierdził m.in., iż "(...) ustawa o ochronie danych osobowych nie wprowadza specjalnych obowiązków w zakresie pozyskiwania danych z publicznych rejestrów. Celem rejestrów publicznie dostępnych jest bowiem udostępnienie informacji na potrzeby obrotu prawnego. Zapoznawanie się z takimi danymi jest legalnie, co wynika wprost z art. 8 ust. 1 ustawy (...) o Krajowym Rejestrze Sądowym (...) statuującego zasadę jawności rejestru oraz art. 10 ust. 1 (...) określającego prawo każdego zainteresowanego do przeglądania akt (...)".


Wobec powyższego, uprawnione będzie stwierdzenie, że administratorzy danych (np. właściciele stron internetowych) prowadzący działalność polegającą na powielaniu danych z KRS nie muszą wypełniać obowiązku informacyjnego, o którym mowa w art. 13 i 14 RODO - o ile tylko przetwarzanie pozostaje w zgodzie z pozostałymi zasadami przetwarzania danych (art. 5 RODO). Można także założyć, że podstawą prawną wyłączenia obowiązku informacyjnego będzie najczęściej art. 14 ust. 5 lit b) RODO, znajdujący przede wszystkim zastosowanie jeżeli wypełnienie obowiązku informacyjnego okazałoby się „niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku”.
Wobec powyższego, można jednak powziąć istotne wątpliwości, czy KRS nie narusza niezwykle istotnej na gruncie RODO zasady - privacy by design?


Koncepcja regulacji privacy by design opiera się na uwzględnieniu ochrony danych osobowych już w fazie projektowania (art. 25 RODO). Ochrona prywatności ma więc zostać zapewniona już na etapie tworzenia urządzenia, systemu czy oprogramowania (np. aplikacji, strony usługowej). U podstaw koncepcji leży przede wszystkim potrzeba ochrony prywatności od początku do końca życia cyklu informacji. Oczywiście administratorzy mają także obowiązek wdrażania odpowiednich środków technicznych i organizacyjnych zarówno w momencie ustalania sposobów przetwarzania danych, jak i w trakcie samego procesu przetwarzania – np. pseudonimizacja, minimalizacja i integracja niezbędnych zabezpieczeń.


Ochrona danych osobowych zawartych w Krajowym Rejestrze Sądowym nie powinna być więc uwzględniana „następczo”, na skutek ew. incydentów bezpieczeństwa. Czy w związku z tym Krajowy Rejestr Sądowy powinien zostać „przebudowany” lub też jego istotne elementy należałoby zaprojektować od nowa? Nie ulega wątpliwości, że Prezes UODO pozostaje świadomy problemu , gdyż w dniu 14 czerwca 2019 r. przesłano do Ministra Cyfryzacji wystąpienie3, w którym w szczególności stwierdzono, iż „należy obecnie bardzo wnikliwe rozważyć, czy ujawnianie numeru PESEL w certyfikacji kwalifikowanego podpisu elektronicznego jest rzeczywiście jedynym sposobem skutecznego i bezpiecznego potwierdzenia tożsamości osób posługujących się podpisem elektronicznym i czy nie ma innych rozwiązań w tym zakresie, np. wykorzystywanie w tym celu innego numeru pozwalającego na uwierzytelnianie ważności certyfikatu i tożsamości osoby posługującej się podpisem elektronicznym”. Wystąpienie co prawda nie dotyczy w sposób bezpośredni zakresu udostępnienia danych osobowych w KRS - niemniej, jest to krok w dobrą stronę.



Marlena Wach – Radca prawny, doktor nauk prawnych
Mateusz Kamm – Radca prawny

data publikacji: 24.07.2019

Wyjaśnienia:
1Pismo z dnia 30 stycznia 2019 r. (znak: ZSPU.440.574.2018): Decyzja o odmowie uwzględnienia wniosku w sprawie skargi osoby fizycznej na przetwarzanie jej danych osobowych przez Fundację.
2Wyrok z dnia 3 grudnia 2015 r., sygn. akt: I OSK 1166/14.
3Zob. https://uodo.gov.pl/pl/138/1072 (dostęp: 12.07.2019).