Jawność akt rejestrowych KRS / Ochrona danych osobowych a akta rejestrowe KRS Publiczny/Powszechny dostęp do danych osobowych w aktach rejestrowych KRS
10.07.2023
W lipcu 2021 roku weszła w życie nowelizacja ustawy o Krajowym Rejestrze Sądowym (uKRS). Skutkiem tej noweli, postępowanie rejestrowe dotyczące rejestru przedsiębiorców KRS zostało w całości przeniesione do systemu teleinformatycznego pod nazwą PRS – Portal Rejestrów Sądowych.
Cyfryzacja dotknęła także zbiory danych prowadzone przez sądy rejestrowe. Ponieważ wszelkie wnioski składane do sądów rejestrowych wysyłane są za pośrednictwem systemu teleinformatycznego, także dokumenty przekazywane sądom rejestrowym mają postać elektroniczną. Zgodnie z przepisem art. 9 ust 1 uKRS w brzmieniu obowiązującym od 1 lipca 2021 r., akta rejestrowe dla podmiotów wpisanych do rejestru przedsiębiorców prowadzi się wyłącznie w systemie teleinformatycznym.
Zmieniono przepisy dotyczące akt rejestrowych, gwarantując (przynajmniej pozornie) ich wewnętrzną spójność. Znowelizowano zatem również przepisy dotyczące dostępności do akt rejestrowych podmiotów wpisanych do rejestru przedsiębiorców. Przed dniem 1 lipca 2021 r. jedyną możliwością uzyskania dostępu do akt rejestrowych w celu przeglądnięcia ich było udanie się do siedziby odpowiedniego sądu rejonowego. Nadal każdy ma prawo przeglądania akt rejestrowych podmiotów wpisanych do Rejestru oraz zbioru dokumentów w postaci papierowej, chyba że ustawa stanowi inaczej (art. 10 ust 1 uKRS). Nowelizacją z lipca 2021 r. dodano przepis dotyczący sposobu udostępnienia akt rejestrowych. Akta rejestrowe prowadzone w systemie teleinformatycznym udostępnia się: (1) za pośrednictwem ogólnodostępnych sieci teleinformatycznych; (2) w siedzibie sądu rejestrowego, z wykorzystaniem systemu teleinformatycznego (art. 10 ust 1a ukRS). Ogólnodostępna sieć teleinformatyczna wspomniana w przepisie to wyszukiwarka repozytorium akt rejestrowych Portalu Rejestrów Sądowych (PRS RaR). Znając numer KRS spółki wpisanej do Rejestru można odnaleźć w PRS RaR wszystkie dokumenty złożone do sądu rejestrowego od dnia 1 lipca 2021 r.
Dokumenty przekazywane sądom rejestrowym przez podmioty podlegające wpisowi do Rejestru zawierają znaczne ilości danych osobowych. Skutkiem powyższych zmian oraz funkcjonalności systemu PRS jest, że dane te zostają udostępnione w Internecie bez żadnych zabezpieczeń. Praktyka sądów dowodzi, że dostęp do dokumentów znajdujących się w aktach rejestrowych jest w rzeczywistości niemal nieograniczony. Sąd rejestrowy KRS może ograniczyć dostęp do danego dokumentu złożonego za pośrednictwem systemu PRS wyłącznie do wnioskodawcy, ale dzieje się to niezwykle rzadko i nie jest jasne kiedy; czy tylko na czas rozpoznawania wniosku. Dokumenty znajdujące się w aktach rejestrowych są udostępniane przez sądy rejestrowe publicznie.
Powyższym zmianom towarzyszyła także zmiana Regulamin Urzędowania Sądów Powszechnych. Zmiana weszła w życie 1 lipca 2021 r. jako towarzysząca nowelizacji uKRS. W jednym z dodanych przepisów wskazano, że dokumenty składane do sądu rejestrowego podlegają przed ich udostępnieniem ocenie przez ten sąd w celu ochrony danych osobowych (§ 198 ust. 5). Skutki wprowadzenia tego przepisu nie są jednak widoczne dla korzystających z PSR RaR. Z poziomu użytkownika systemu PRS nie sposób stwierdzić dlaczego niewielka część dokumentów znajdujących się w aktach rejestrowych jest zabezpieczona i dostępna wyłącznie wnioskodawcy, nie ulega jednak wątpliwości że znacząca większość wszystkich dokumentów jest powszechnie dostępna.
Dokumenty te obejmują swą treścią dane osobowe. Zarówno takie, które są też objęte treścią wpisu do Rejestru jak także inne, w nim nieujawniane. Wydaje się, że pominięto fakt, iż podstawowym aktem prawnym regulującym kwestię ochrony danych osobowych jest Ogólne Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO). Zgodnie z przepisami RODO wszelkie przetwarzanie danych osobowych, a tym właśnie jest udostępnianie danych osobowych w ramach dokumentów znajdujących się w aktach rejestrowych KRS, wymaga podstawy prawnej. Podkreślić należy również, że art. 8 Karty Praw Podstawowych Unii Europejskiej (KPP) gwarantuje prawo do ochrony danych osobowych oraz warunkuje przetwarzanie danych osobowych zgodą danej osoby lub istnieniem podstawy prawnej. Kwestia ochrony danych osobowych w zakresie w jakim dane osobowe przetwarzane są przez sądy powszechne w Polsce (a więc także sądy rejestrowe) jest ponadto regulowana przepisami art. 175a – 175g ustawy Prawo o ustroju sądów powszechnych. Pomimo wyłączenia w tych przepisach niektórych, wynikających z RODO, uprawnień osób, których dane są przetwarzane, sądy działające jako administratorzy danych przetwarzanych w ramach KRS muszą przestrzegać obowiązków i wymogów wynikających z RODO.
Przetwarzanie danych osobowych przez sądy rejestrowe powinno zatem dotyczyć wyłącznie tych danych, których przetwarzanie konieczne jest w celu wykonania obowiązków obciążających sądy zgodnie z treścią przepisów szczególnych dotyczących KRS i akt rejestrowych. Wskazać tutaj należy m. in. przepisy art. 19a, art. 35, art. 37, art. 38 i nast. uKRS. Skoro zatem przepisy te wskazują wyraźnie jakie dane osobowe są wymagane w ramach dokumentów przekazywanych sądom rejestrowym, to inne dane osobowe znajdujące się w aktach rejestrowych, albo przynajmniej znaczna ich część (np. adres zamieszkania, dane dokumentów tożsamości, imiona rodziców) są udostępniane publicznie bez podstawy prawnej.
Występuje konflikt pomiędzy prawem do ochrony danych osobowych osób fizycznych i prawem każdego do przeglądania akt rejestrowych. Brak jest systemowych rozwiązań, które dostosowują przetwarzanie danych osobowych znajdujących się w dokumentach przekazywanych do akt rejestrowych do nowej rzeczywistości – cyfryzacji i powszechnego dostępu za pośrednictwem Internetu. W naszej ocenie w systemie prawa pojawiły się niespójności, bowiem dane objęte aktami rejestrowymi dostępne są powszechnie i publicznie, jakby były jawne. Zasada jawności wynikająca z przepisu art. 8 uKRS dotyczy jednak wyłącznie Rejestru, a nie akt rejestrowych. Przepisy dotyczące informatyzacji spraw rejestrowych nie zostały w kompleksowy sposób przeanalizowane ani dostosowane w celu rozwiązania lub zapobieżenia problemom związanym z publicznym, niczym nieograniczonym dostępem do dokumentów zgromadzonych w aktach rejestrowych. Nastąpiło zautomatyzowanie czynności sądów rejestrowych a praktyka dowodzi, że ma to miejsce bez wymaganej przepisami analizy pod kątem ochrony danych i podstawy ich upublicznienia.
Zmiany w tym zakresie są naszym zdaniem konieczne. Docelowo powinny być to zmiany systemowe. Obecnie, w celu ochrony danych osobowych oraz uniknięcia niepotrzebnego ryzyka, rekomendujemy umieszczanie w dokumentach składanych do akt rejestrowych wyłącznie tych danych osobowych, których podanie jest konieczne do spełnienia obowiązków wynikających z przepisów prawa.
Mateusz Bartoszek
Katarzyna Palka-Bartoszek