OSINT a RODO – analiza prawna w czterech scenariuszach

Autor: Zespół Timeline | Data publikacji: 28 czerwca 2025

Wprowadzenie

OSINT (Open Source Intelligence), czyli tzw. biały wywiad, to metoda pozyskiwania informacji z legalnych, ogólnodostępnych źródeł – np. za pomocą wyszukiwarek internetowych, publicznych rejestrów czy dostępnych dokumentów. Najczęściej dotyczy ona danych o konkretnych osobach lub firmach. Samo wyszukiwanie informacji publicznie dostępnych nie jest zabronione ani zagrożone sankcjami, jednak nie oznacza to możliwości dowolnego wykorzystywania znalezionych danych osobowych. Z punktu widzenia RODO (Rozporządzenia UE 2016/679 o ochronie danych osobowych) kluczowe jest ustalenie, czy w ramach OSINT dochodzi do przetwarzania danych osobowych oraz czy ma zastosowanie RODO, a jeśli tak – jaka jest podstawa prawna takiego przetwarzania i jakie obowiązki spoczywają na podmiocie prowadzącym OSINT. Poniżej przeanalizowano te zagadnienia w czterech odmiennych scenariuszach: (1) osoba fizyczna działająca prywatnie (hobbystycznie, niekomercyjnie), (2) przedsiębiorca wykorzystujący OSINT (np. agencja marketingowa, firma analityczna), (3) dziennikarz w ramach działalności prasowej, oraz (4) licencjonowany detektyw. Dla każdego przypadku omówiono zastosowanie RODO, możliwe podstawy prawne, ewentualne wyłączenia (np. tzw. wyjątek domowy z art. 2 ust. 2 lit. c RODO), a także ryzyka naruszeń i obowiązki (informacyjne, rejestracyjne, oceny skutków – DPIA). Analiza odnosi się do aktualnych przepisów, orzecznictwa (zarówno TSUE, jak i sądów polskich) oraz stanowisk organów nadzorczych (Prezesa UODO i EROD).

Osoba prywatna a OSINT (działalność czysto osobista)

Zastosowanie RODO

Gdy OSINT jest wykonywany przez osobę fizyczną w celach czysto prywatnych, niekomercyjnych (np. jako hobby, ciekawość, potrzeby osobiste), kluczowe jest ustalenie, czy ma zastosowanie RODO. Zgodnie z art. 2 ust. 2 lit. c RODO, rozporządzenie nie stosuje się do przetwarzania danych osobowych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze. Innymi słowy, jeśli przetwarzanie danych odbywa się wyłącznie w ramach życia prywatnego lub rodzinnego danej osoby, może ono zostać wyłączone spod rygorów RODO (tzw. household exception). Europejska Rada Ochrony Danych (EROD) podkreśla jednak, że wyłączenie to należy interpretować bardzo wąsko. Orzecznictwo TSUE – jeszcze na gruncie dyrektywy 95/46/WE, ale aktualne także wobec RODO – precyzuje, że publikowanie lub monitorowanie informacji wykraczające choćby częściowo poza czysto prywatną sferę powoduje, iż przetwarzanie nie ma już charakteru „osobistego lub domowego”. Przykładowo, Trybunał uznał, że nagrywanie kamerą również fragmentu przestrzeni publicznej (np. ulicy za ogrodzeniem posesji prywatnej) wykracza poza sprawy domowe – nie jest to już „czynność o czysto osobistym lub domowym charakterze”. Podobnie wcześniejszy wyrok w sprawie Lindqvist stwierdził, że udostępnianie danych osobowych znajomych na ogólnodostępnej stronie internetowej nie mieści się w wyjątku domowym, bo informacje stają się dostępne nieograniczonemu kręgowi odbiorców (wychodząc poza krąg rodziny czy przyjaciół).

Konsekwencje przekroczenia wyjątku domowego

Jeżeli zatem osoba prywatna prowadząca OSINT wyłącznie na własny użytek nie udostępnia wyników nikomu spoza kręgu osobistego (np. przechowuje zebrane informacje tylko dla siebie), wówczas przetwarzanie może nie podlegać RODO. Gdy jednak wyniki białego wywiadu są publikowane w Internecie, na blogu, w mediach społecznościowych lub inaczej rozpowszechniane publicznie, osoba prywatna staje się de facto administratorem danych osobowych i przepisy RODO znajdą zastosowanie. W takiej sytuacji trzeba spełnić wszystkie wymogi RODO jak każdy inny administrator – mieć podstawę prawną przetwarzania, realizować obowiązki informacyjne, respektować prawa osób, których dane dotyczą itd. Osoba fizyczna działająca prywatnie nie korzysta bowiem z żadnego szczególnego immunitetu (chyba że jej działania nadal mieszczą się w czysto domowym użytku, co – jak wskazano – kończy się w momencie szerszego upubliczniania danych). W praktyce oznacza to, że jeśli np. hobbysta prowadzi otwarty blog zawierający informacje z OSINT o różnych osobach (zdobyte z publicznych forów, portali, rejestrów itp.), to takie działanie podlega RODO, a hobbysta powinien zadbać m.in. o wskazanie podstawy prawnej i poinformowanie opisywanych osób o przetwarzaniu ich danych. Trzeba zaznaczyć, że w realiach hobbystycznych zdobywanie uprzedniej zgody od opisywanych osób zazwyczaj nie wchodzi w grę – ewentualną podstawą prawną mogłoby być tu prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO). Taki interes (np. pasja badawcza, zamiar informowania społeczności itp.) musiałby jednak zostać zrównoważony z prawami i wolnością osób, których dane są przetwarzane. Jeżeli doszłoby do naruszenia ich prywatności (np. publikacji nadmiernych lub wrażliwych informacji bez uzasadnienia), osoba prywatna ryzykuje zarzut przetwarzania danych bez podstawy lub niezgodnie z zasadami RODO. W skrajnych przypadkach mogą grozić jej konsekwencje przewidziane w RODO – np. skarga do UODO, a nawet administracyjna kara pieniężna. W praktyce organ nadzorczy koncentruje się na poważniejszych, zawodowych naruszeniach, niemniej nie można wykluczyć odpowiedzialności także osoby fizycznej, jeśli swoim OSINT-em rażąco naruszy czyjąś prywatność i prawa (zwłaszcza gdy dane wrażliwe zostaną upublicznione bez podstawy).

Podsumowanie (scenariusz 1)

Reasumując, prywatny OSINT sam w sobie nie narusza prawa, dopóki pozostaje w sferze prywatnej. Typowe przeglądanie ogólnodostępnych informacji o znajomych czy sąsiadach na własny użytek nie uruchamia stosowania RODO. Jednak przekroczenie granicy użytku osobistego – poprzez dalsze wykorzystanie danych (np. publikację, systematyczne gromadzenie większych baz, komercjalizację wyników) – sprawia, że RODO w pełni obowiązuje taką osobę. Konieczne jest wówczas wskazanie podstawy przetwarzania (zwykle można rozważyć uzasadniony interes, bo trudno mówić o zgodzie czy obowiązku prawnym w hobbystycznym OSINT) oraz realizacja obowiązków ochrony danych. W przeciwnym razie osoba ryzykuje naruszenie przepisów o ochronie danych osobowych. TSUE i EROD wyraźnie akcentują, że wyjątek dla czynności osobistych/domowych należy interpretować ściśle, a wszelkie wyjście poza prywatny krąg skutkuje podporządkowaniem się rygorom RODO.

Przedsiębiorca i OSINT (wywiad gospodarczy, marketing)

Czy dochodzi do przetwarzania danych?

Gdy przedsiębiorca lub firma wykorzystuje OSINT w swojej działalności (np. agencja marketingowa zbierająca dane o potencjalnych klientach z mediów społecznościowych, firma wywiadu gospodarczego gromadząca informacje o kontrahentach z rejestrów, analityk sprawdzający publiczne profile kandydatów do pracy itp.), co do zasady dochodzi do przetwarzania danych osobowych w rozumieniu RODO. Zbierane informacje dotyczą zidentyfikowanych lub możliwych do zidentyfikowania osób fizycznych (np. imiona i nazwiska, dane kontaktowe, informacje o aktywności online) – a fakt, że pochodzą one ze źródeł publicznych, nie wyłącza ich charakteru jako danych osobowych ani nie zwalnia z obowiązków ochrony danych. Taka działalność nie mieści się w wyjątku czysto osobistym – jest prowadzona w celach zawodowych lub komercyjnych, zatem RODO w pełni obowiązuje administratora (firmę). Innymi słowy, firma korzystająca z białego wywiadu musi przestrzegać przepisów RODO tak samo, jak przy innych formach przetwarzania danych. Pogląd ten potwierdził Naczelny Sąd Administracyjny (NSA) w głośnej sprawie spółki gromadzącej dane z publicznych rejestrów – NSA wyraźnie uznał, że samo pozyskiwanie danych osobowych z ogólnodostępnych źródeł (np. rejestrów przedsiębiorców) nie zwalnia z obowiązków wynikających z RODO.

Podstawy prawne przetwarzania danych z OSINT przez firmy

W działalności komercyjnej najczęstszą podstawą prawną takiego przetwarzania będzie prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO). Przedsiębiorca ma zazwyczaj uzasadniony interes w analizie dostępnych informacji – np. marketingowy (wyszukiwanie publicznych danych kontaktowych klientów, budowanie bazy leadów), bezpieczeństwa biznesu (weryfikacja kontrahenta, sprawdzenie wiarygodności płatniczej czy reputacji osoby), czy rekrutacyjny (sprawdzenie publicznego profilu kandydata do pracy). RODO akceptuje taką podstawę, wymaga jednak dokonania testu równowagi – oceny, czy interes administratora nie jest nadrzędny wobec praw i wolności osób, których dane dotyczą. Administrator powinien rozważyć m.in. czy dane były publicznie udostępnione przez samą osobę, jaki jest kontekst i jej rozsądne oczekiwania co do wykorzystania tych danych. Przykładowo, jeśli osoba prowadzi publiczny profil zawodowy (np. na LinkedIn), można argumentować, że powinna liczyć się z tym, iż firma zewnętrzna wykorzysta te informacje przy rekrutacji (co przemawia za dopuszczalnością w oparciu o uzasadniony interes). Inaczej byłoby, gdyby firma gromadziła dane z fora internetowych o życiu prywatnym osoby – tu prywatność może przeważyć nad interesem biznesowym. Inne podstawy prawne są rzadziej spotykane w kontekście OSINT przedsiębiorców: zgoda osoby, której dane dotyczą (art. 6 ust. 1 lit. a) jest trudno osiągalna, skoro dane zbiera się zwykle bez kontaktu z osobą; obowiązek prawny (art. 6 ust. 1 lit. c) mógłby wchodzić w grę jedynie w szczególnych sytuacjach (np. przetwarzanie pewnych danych wynika wprost z nakazu ustawowego – co przy OSINT nie jest typowe); umowa z osobą (art. 6 ust. 1 lit. b) również raczej nie znajdzie zastosowania (chyba że dane dotyczą kontrahenta, z którym firma ma umowę – ale wtedy to nie OSINT, tylko normalna relacja umowna). Bywa, że firmy powołują się także na zadanie realizowane w interesie publicznym (art. 6 ust. 1 lit. e), np. jeśli działają na zlecenie organów państwowych, lecz w typowej działalności komercyjnej OSINT ten wyjątek nie ma miejsca. Zatem najbardziej odpowiednią podstawą jest uzasadniony interes, wsparty przeprowadzeniem rzetelnej analizy bilansu interesów oraz zapewnieniem możliwości sprzeciwu po stronie osób (art. 21 RODO).

Obowiązki informacyjne i transparentność

Jednym z najpoważniejszych wyzwań przy komercyjnym OSINT jest spełnienie obowiązku informacyjnego wobec osób, których dane pozyskujemy ze źródeł publicznych. Zgodnie z art. 14 RODO, jeśli dane osobowe nie pochodzą od samej osoby (czyli zostały zebrane z innych źródeł), administrator musi poinformować osobę o fakcie przetwarzania jej danych, celach, podstawie prawnej, źródle pochodzenia danych itp. najpóźniej w ciągu miesiąca od pozyskania. W praktyce wiele firm korzystających z OSINT miało z tym problem – głośnym przykładem jest kara Prezesa UODO nałożona w 2019 r. na spółkę Bisnode (wywiadownię gospodarczą). Spółka ta zebrała z publicznych rejestrów (CEIDG, REGON, Monitor Sądowy itp.) dane ponad 7 milionów osób prowadzących działalność gospodarczą, ale spełniła obowiązek informacyjny tylko wobec ok. 680 tysięcy z nich (tych, do których miała adres e-mail). Pozostałe osoby nie zostały bezpośrednio poinformowane – firma zamieściła jedynie klauzulę informacyjną na swojej stronie internetowej, uznając, że wysyłanie listów czy telefonowanie do kilku milionów osób stanowiłoby „niewspółmiernie duży wysiłek”. Prezes UODO stwierdził naruszenie art. 14 RODO i nałożył karę ok. 943 tys. zł, nakazując jednocześnie dopełnienie obowiązku informacyjnego. Spółka odwołała się do sądu, jednak WSA w Warszawie potwierdził zasadę, że osób, których dane pochodzą z publicznych rejestrów, co do zasady trzeba poinformować – uchylił decyzję UODO jedynie w części dotyczącej już nieaktywnych przedsiębiorców (gdzie dane były nieaktualne i brak było adresów). Ostatecznie NSA w 2023 r. oddalił skargę kasacyjną spółki, potwierdzając, iż wyjątek „niewspółmiernego wysiłku” z art. 14 ust. 5 lit. b RODO musi być interpretowany zawężająco, a zasada transparentności wymaga dołożenia starań, by jednak skutecznie poinformować osoby nawet, jeśli dane zebrano z rejestrów. Wynika z tego ważna wskazówka: publiczny charakter danych nie zwalnia z obowiązku informowania podmiotu danych o ich przetwarzaniu. Firmy stosujące OSINT muszą już na etapie planowania takiego przetwarzania uwzględnić rozwiązania spełniające obowiązek informacyjny (np. wysyłka e-maili, jeśli adresy są dostępne; komunikat na stronie to za mało, chyba że zastosowanie miałby faktycznie wyjątek z art. 14 ust. 5). Niedopełnienie tych obowiązków niesie ryzyko sankcji – jak pokazuje przykład Bisnode – oraz naraża prawa osób, które nieświadome przetwarzania nie mają możliwości zareagować (skorzystać z prawa sprzeciwu czy sprostowania).

Inne obowiązki (rejestry, DPIA, zabezpieczenia)

Administrator wykorzystujący OSINT powinien ponadto przestrzegać ogólnych zasad i obowiązków RODO, takich jak minimalizacja danych (przetwarzać tylko dane adekwatne do celu – np. firma rekrutacyjna nie powinna zbierać z sieci nadmiernych informacji o kandydacie, niezwiązanych z rekrutacją), ograniczenie celu (wykorzystać dane tylko do celu, w jakim je zebrano – np. informacje zebrane o konkurencji nie mogą nagle zostać użyte w kampanii marketingowej skierowanej do tych osób, bez nowej podstawy), czy zasada rozliczalności (udokumentować zgodność przetwarzania, np. prowadzić rejestr czynności przetwarzania, polityki ochrony danych). W niektórych przypadkach firma stosująca OSINT może być zobowiązana do przeprowadzenia oceny skutków dla ochrony danych (DPIA) przed rozpoczęciem przetwarzania. Dotyczy to zwłaszcza sytuacji, gdy OSINT przeradza się w systematyczne monitorowanie osób na dużą skalę. RODO w art. 35 ust. 3 lit. c wprost wymienia „systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie” jako przykład operacji wymagającej DPIA. Jeśli więc przedsiębiorca tworzy np. system automatycznego skanowania portali społecznościowych czy forów w poszukiwaniu określonych informacji o osobach (monitoring publicznej przestrzeni internetowej) – a zwłaszcza, gdy wykorzystuje do tego technologie profilujące – może to stanowić operację wymagającą uprzedniej oceny skutków. Organ nadzorczy (UODO) w 2019 r. opublikował wykaz operacji wymagających DPIA, który potwierdza ten obowiązek m.in. dla zautomatyzowanego pozyskiwania i łączenia danych ze źródeł publicznych na dużą skalę. Zignorowanie obowiązku DPIA w sytuacji, gdy jest on wymagany, także stanowi naruszenie RODO i może skutkować sankcjami.

Podsumowanie (scenariusz 2)

Wykorzystanie OSINT przez przedsiębiorców podlega pełnemu reżimowi RODO. Dane osobowe zebrane z Internetu, rejestrów czy mediów społecznościowych są chronione prawem tak samo, jak dane zebrane innymi metodami. Administrator musi legitymować się adekwatną podstawą prawną – w praktyce najczęściej uzasadnionym interesem (po przeprowadzeniu testu równowagi i uwzględnieniu kontekstu publikacji danych przez osobę) – oraz realizować obowiązki, w tym poinformować osoby o przetwarzaniu (chyba że zachodzi ściśle rozumiany wyjątek). Wykorzystanie publicznie dostępnych danych bez dopełnienia obowiązków grozi naruszeniem podstawowych zasad (jak zasada przejrzystości z art. 5 ust. 1 lit. a RODO), czego konsekwencją mogą być skargi i kary (jak w sprawie Bisnode). Firmy powinny także ocenić, czy skala i charakter OSINT nie wymagają dodatkowych środków jak DPIA czy powołanie IOD (jeśli monitoring jest na tyle duży, że spełnia kryteria art. 37 ust. 1 lit. b lub c RODO). Podsumowując, OSINT w biznesie jest legalny, ale pod warunkiem przestrzegania RODO – znajomość publicznego źródła danych nie zwalnia z odpowiedzialności za ich zgodne z prawem przetwarzanie.

Dziennikarz i OSINT (przetwarzanie danych w celach prasowych)

Wolność prasy a ochrona danych – klauzula prasowa

Dziennikarze, blogerzy i inne osoby publikujące materiały w celach dziennikarskich często korzystają z OSINT do gromadzenia informacji o osobach (np. do artykułów śledczych wykorzystują dane dostępne w Internecie, mediach społecznościowych, rejestrach publicznych). W ich przypadku również dochodzi do przetwarzania danych osobowych – jednak RODO przewiduje pewne specjalne regulacje z uwagi na ochronę wolności wypowiedzi i prasy. Artykuł 85 RODO zobowiązuje państwa członkowskie do pogodzenia prawa do ochrony danych z prawem do wolności wypowiedzi i informacji, w tym przetwarzania do celów dziennikarskich. Ustawodawca polski skorzystał z tej możliwości, wprowadzając do ustawy z 10 maja 2018 r. o ochronie danych osobowych tzw. klauzulę prasową. Zgodnie z art. 2 ust. 1 tej ustawy: do działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych (w rozumieniu ustawy Prawo prasowe), a także do wypowiedzi w ramach działalności literackiej lub artystycznej nie stosuje się przepisów art. 5–9, art. 11, art. 13–16, art. 18–22, art. 27, art. 28 ust. 2–10 oraz art. 30 RODO. W praktyce oznacza to, że znaczna część obowiązków RODO została wyłączona wobec dziennikarzy przetwarzających dane w ramach działalności prasowej. Wyłączenia te obejmują m.in.: zasady dotyczące przetwarzania (art. 5), wymóg posiadania podstawy prawnej z art. 6, ograniczenia przetwarzania szczególnych kategorii danych (art. 9), obowiązek informacyjny (art. 13-14), prawa osób (dostęp, sprostowanie, usunięcie, sprzeciw – art. 15-22), obowiązek rejestrowania czynności (art. 30) itd. Uznano, że wolność prasy wymaga, by dziennikarze mogli gromadzić i publikować informacje (nawet dotyczące prywatnych osób) bez konieczności spełniania tych rygorów – w przeciwnym razie efektywna kontrola władzy czy nagłaśnianie spraw społecznie ważnych byłoby utrudnione przez formalności RODO.

Przetwarzanie danych w celach dziennikarskich – zakres zwolnienia

W konsekwencji, gdy dziennikarz wykorzystuje OSINT w ramach typowej działalności prasowej (np. zbiera publicznie dostępne informacje o osobie, o której pisze artykuł), nie musi legitymować się standardową podstawą prawną z RODO. Nie stosuje się art. 6 ust. 1 – co potwierdził Prezes UODO w jednej ze spraw, odmawiając oceny legalności publikacji artykułu pod kątem przesłanek z art. 6, właśnie z uwagi na wyłączenie tych przepisów w działalności dziennikarskiej. Dziennikarz nie ma też obowiązku informować opisywanej osoby o fakcie przetwarzania jej danych (wyłączone art. 13-14), ani respektować ewentualnego żądania dostępu czy sprostowania ze strony tej osoby (wyłączone art. 15-16). Może również przetwarzać dane wrażliwe, jeśli jest to niezbędne do opisanego celu (nie obowiązuje art. 9 RODO), np. ujawnić informacje o czyimś zdrowiu czy poglądach – choć oczywiście musi to czynić w granicach prawa prasowego i z poszanowaniem dóbr osobistych. Istotne jest, że wyłączenia te dotyczą wyłącznie czynności w ramach działalności prasowej w rozumieniu Prawa prasowego (czyli zasadniczo działalności informacyjnej prowadzonej zawodowo lub w celach publikacji). Nie obejmują one np. sytuacji, gdy ktoś prowadzi pseudo-dziennikarskiego bloga nieobjętego definicją prasy – w takich wypadkach nie można automatycznie korzystać z klauzuli prasowej (trzeba by wykazać, że dana działalność mieści się w szeroko rozumianej wolności wypowiedzi artystycznej lub akademickiej, które również są chronione art. 85 RODO). Generalnie jednak zakres interpretacji „działalności dziennikarskiej” jest dość szeroki – obejmuje także twórców internetowych o charakterze informacyjnym, jeśli działają w celu publikacji informacji dla opinii publicznej. Dla pewności w razie sporu, przesądzające może być uznanie danej strony za tytuł prasowy lub rejestracja jako dziennikarz, ale nawet blogerzy mogą powoływać się na tę klauzulę, o ile spełniają funkcje informacyjne podobne do mediów.

Wyjątek dziennikarski nie jest bezwzględny

Ważne podkreślić, że choć wyłączenia z art. 2 ust. 1 ustawy 2018 zwalniają dziennikarzy z wielu obowiązków, to nie wszystkie przepisy RODO zostały wyłączone. Na liście wyłączeń (przywołanej wyżej) nie ma np. art. 32 RODO (bezpieczeństwo danych) – dziennikarz powinien zatem zapewnić odpowiednią ochronę materiałów, notatek, nagrań zawierających dane osobowe (aby nie doszło np. do wycieku informacji o informatorach). Nie wyłączono też art. 5 ust. 1 lit. f (integralność i poufność), ani art. 24 (obowiązek wykazania zgodności) – co oznacza, że podstawowe środki techniczne i organizacyjne powinny być stosowane również przez redakcje względem posiadanych danych. Co szczególnie istotne – nadal obowiązują niektóre prawa osób, zwłaszcza prawo do żądania usunięcia danych (art. 17 RODO). Przepisy tego artykułu nie zostały wymienione w katalogu wyłączeń klauzuli prasowej. Oznacza to, że osoba, której dane zostały opublikowane przez media, wciąż może domagać się ich usunięcia w pewnych sytuacjach – np. gdy dalsze publikowanie nie jest już potrzebne do celów informacyjnych, narusza jej prawa lub dane okazały się nieprawdziwe. W praktyce oczywiście to prawo do usunięcia (tzw. prawo do bycia zapomnianym) musi być wyważone względem wolności prasy – dziennikarz może odmówić usunięcia, powołując się na nadrzędny interes informacyjny (co zresztą sam art. 17 ust. 3 przewiduje jako wyjątek dla wolności wypowiedzi). Niemniej nie można z góry odmówić rozpatrzenia takiego żądania. Potwierdził to WSA w Warszawie w wyroku z 2024 r., gdzie skarżący domagał się od UODO ingerencji wobec przedsiębiorcy publikującego artykuły prasowe z jego danymi. Prezes UODO odmówił wszczęcia postępowania, twierdząc że w całości sprawa podlega wyłączeniu prasowemu. WSA uchylił tę decyzję, wskazując że „niemożność zastosowania przepisów RODO nie ma charakteru oczywistego” i że organ powinien merytorycznie ocenić, czy w danym przypadku prawo do usunięcia danych (art. 17) może być jednak wykonane, gdyż przepis ten nie został wyłączony klauzulą prasową. Innymi słowy, dziennikarski wyjątek nie stanowi absolutnej tarczy – tam, gdzie przepisy nie są wyłączone, należy stosować RODO. Gdyby np. dziennikarz w ramach OSINT pozyskał dane w sposób sprzeczny z prawem (np. złamał zabezpieczenia, co nie mieści się już w „legalnych źródłach” OSINT), nie mógłby zasłaniać się wyłączeniem – odpowiadałby za naruszenie zasad legalności. Podobnie gdy po publikacji osoba żąda sprostowania lub usunięcia informacji, które okazują się fałszywe lub nieaktualne – redakcja powinna te żądania rozważyć (choćby na gruncie Prawa prasowego, które nakłada obowiązek sprostowania nieścisłych danych).

Podsumowanie (scenariusz 3)

OSINT wykorzystywany w działalności dziennikarskiej jest w dużej mierze wyłączony spod obowiązywania RODO – co wynika z polskiej klauzuli prasowej i art. 85 RODO. Dziennikarze mogą zatem zbierać i publikować informacje (w tym dane osobowe) z ogólnodostępnych źródeł bez konieczności posiadania jednej z typowych przesłanek z art. 6 czy uzyskiwania zgód, a także bez obowiązku informowania każdej osoby, której dane opisują. Ma to na celu ochronę wolności słowa i praw obywateli do informacji. Należy jednak pamiętać, że nie wszystkie wymogi RODO zostały uchylone – dziennikarze powinni dbać o bezpieczeństwo zebranych danych, a niektóre prawa (jak prawo do usunięcia w szczególnych sytuacjach) mogą być egzekwowane, jeśli nie zagrażają istocie wolności prasy. Dodatkowo, działalność musi faktycznie mieć charakter dziennikarski/prasowy; w przeciwnym razie podlega zwykłym zasadom. W sumie przepisy tworzą specjalny reżim dla prasy, który pozwala na daleko idącą swobodę przetwarzania danych w celach informacyjnych, jednak nie zwalnia całkowicie z odpowiedzialności za nadużycia (np. publikację danych rażąco naruszających prywatność bez uzasadnienia interesem publicznym).

Detektyw i OSINT (wykorzystanie białego wywiadu przez detektywów)

Zakres działania detektywa a dane osobowe

Prywatni detektywi zawodowo zajmują się pozyskiwaniem informacji o osobach – jest to wręcz istota usług detektywistycznych, często z wykorzystaniem OSINT (analiza otwartych źródeł, profili, rejestrów) uzupełnionego metodami terenowymi. W świetle przepisów polskiego prawa, świadczenie usług detektywistycznych zawsze wiąże się z przetwarzaniem danych osobowych – ustawowa definicja takich usług wprost obejmuje „pozyskiwanie oraz przetwarzanie zdobytych danych na temat osób”. RODO ma zastosowanie do działalności detektywa, ponieważ jest to działalność profesjonalna, wykraczająca poza użytek domowy. Detektyw (lub firma detektywistyczna) jest administratorem danych zebranych w toku zlecenia. W Polsce funkcjonują jednak szczególne regulacje dotyczące detektywów, które wpływają na podstawy prawne i obowiązki przy przetwarzaniu danych. Zgodnie z ustawą z 6 lipca 2001 r. o usługach detektywistycznych (z późn. zm.), detektyw może przetwarzać dane osobowe bez zgody osoby, której dane dotyczą, o ile czyni to w zakresie realizowanej usługi i na podstawie umowy ze zleceniodawcą. Wprost stanowi o tym art. 28a tej ustawy: „Detektyw lub zatrudniający go przedsiębiorca przetwarza dane osobowe zebrane w toku wykonywania czynności […] bez zgody osób, których dane dotyczą, wyłącznie w zakresie realizacji usługi detektywistycznej.”. Przepis ten jasno autoryzuje przetwarzanie danych osobowych przez detektywów bez konieczności uzyskiwania zgody od osób objętych ich działaniami. Jest to zrozumiałe – oczywiście trudno wyobrazić sobie, by osoba obserwowana w ramach dochodzenia wyrażała na to zgodę; działalność detektywa z definicji często odbywa się bez wiedzy obserwowanego.

Podstawa prawna przetwarzania i dopuszczalny zakres

Powyższa regulacja krajowa wskazuje na istnienie szczególnej podstawy prawnej dla działań detektywistycznych. W kontekście RODO można ją rozpatrywać dwojako: jako przepis prawa krajowego, który spełnia wymogi art. 6 ust. 1 lit. c lub e RODO (tj. przetwarzanie jest niezbędne do wykonania zadania w interesie publicznym lub obowiązku prawnego – tutaj: realizacji usługi detektywistycznej zgodnie z ustawą) albo jako konkretyzację prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f) – interesu zleceniodawcy, który ma prawo dochodzić prawdy i chronić swoje prawa poprzez wynajęcie detektywa. Niezależnie od kwalifikacji, jest jasne, że detektyw działa w ramach ściśle określonego celu zlecenia, który nadaje dopuszczalny zakres przetwarzania. Ustawa ogranicza przetwarzanie „wyłącznie do realizacji usługi” – co oznacza, że detektyw nie może legalnie wykorzystywać zebranych danych do innych celów (np. sprzedać je osobie trzeciej lub upublicznić, o ile nie jest to częścią zlecenia). Co więcej, zawarcie umowy detektywistycznej wymaga od zleceniodawcy wykazania „uzasadnionego interesu prawnego” w prowadzeniu sprawy. Umowa powinna jasno opisywać, jakiego prawnie chronionego interesu dotyczy sprawa (np. podejrzenie popełnienia przestępstwa na szkodę zleceniodawcy, dochodzenie roszczeń cywilnych, poszukiwanie osoby zaginionej, weryfikacja lojalności pracownika itp.). Taki wymóg ma zapobiec nadużyciom – detektyw nie może działać pro forma bez celu, ani przyjmować zleceń sprzecznych z prawem czy moralnością (ustawa zabrania wykonywania czynności detektywa bez uzasadnionego interesu prawnego zleceniodawcy). W ten sposób działalność detektywistyczna znajduje legitymizację prawną dla przetwarzania danych, zwłaszcza że często dotyka ona sfery prywatnej osób obserwowanych.

Wyłączenia spod RODO – brak ogólnej klauzuli, ale szczególne wyjątki

W odróżnieniu od dziennikarzy, detektywi nie mają ogólnego wyłączenia z RODO – wszystkie przepisy RODO co do zasady ich obowiązują, chyba że jakiś przepis szczególny stanowi inaczej. Jednak w praktyce stosowania RODO w działalności detektywa uwzględnić należy pewne odstępstwa wynikające z charakteru tej działalności. Przede wszystkim, choć detektyw jest administratorem przetwarzającym dane osób trzecich pozyskane z różnych źródeł (często nie od samych osób zainteresowanych), obowiązek informacyjny z art. 14 RODO może podlegać ograniczeniu. Zwykle poinformowanie osoby obserwowanej o fakcie przetwarzania jej danych przez detektywa byłoby niemożliwe lub wymagałoby niewspółmiernego wysiłku, a przede wszystkim zniweczyłoby cel prowadzonego dochodzenia. RODO przewiduje w art. 14 ust. 5 lit. b wyjątek, gdy obowiązek informacyjny „wymagałby niewspółmiernie dużego wysiłku” lub „uniemożliwiłby lub poważnie utrudnił osiągnięcie celów przetwarzania”. Działalność detektywistyczna idealnie wpisuje się w tę przesłankę – informowanie „obiektu” śledztwa o tym, że jest przedmiotem dochodzenia, zniweczyłoby cały wysiłek. Dlatego detektyw może w większości przypadków skorzystać z wyłączenia obowiązku informacyjnego wobec osób, których dane zbiera (przynajmniej dopóki realizuje aktywne czynności). Należy tu dodać, że detektywa dodatkowo obowiązuje tajemnica zawodowa, co też wspiera odstąpienie od informowania. Oczywiście, gdy zlecenie zostanie zakończone i np. sprawa trafi do sądu, osoba, której dotyczyła obserwacja, i tak prędzej czy później dowie się o zgromadzonych dowodach – ale będzie to następować w trybie przewidzianym przepisami postępowania (np. w procesie, gdzie dowody muszą zostać ujawnione stronie przeciwnej), a nie na podstawie obowiązku z RODO ciążącego na detektywie. Detektyw również nie musi uzyskiwać zgody osób, których dane przetwarza – co jak wspomniano jest wykluczone przez specyfikę pracy, a ponadto wyraźnie potwierdzone przez przepis art. 28a ustawy detektywistycznej. Wreszcie, pewne prawa osób mogą być ograniczone: np. prawo dostępu (art. 15) – gdyby osoba zażądała od agencji detektywistycznej informacji, czy ta przetwarza jej dane, detektyw mógłby odmówić udzielenia pełnych informacji powołując się na zagrożenie praw innych osób lub tajemnicę zawodową. RODO pozwala na ograniczenie zakresu informacji przekazywanych osobie, jeżeli wpływa to na prawa innych lub toczy się postępowanie (art. 15 ust.4, art. 23 RODO – tu państwo członkowskie może przewidzieć wyjątki, a w Polsce można odwołać się do tajemnicy detektywa ustanowionej ustawowo).

Obowiązki i dobre praktyki detektywa jako administratora

Poza wspomnianymi wyjątkami, detektyw jako administrator musi przestrzegać ogólnych zasad ochrony danych. Przede wszystkim powinien zapewnić odpowiednie zabezpieczenia techniczne i organizacyjne – informacje zebrane w toku śledztwa są często wrażliwe (np. dotyczą czyjegoś życia prywatnego, potencjalnych naruszeń prawa) i muszą być chronione przed nieuprawnionym dostępem. Detektyw powinien prowadzić dokumentację przetwarzania – zwłaszcza, że jego działalność jest reglamentowana (musi posiadać licencję, prowadzić rejestr spraw, raporty dla klienta). Istnieje też szczególny wymóg ustawowy: po zakończeniu usługi detektywistycznej detektyw ma obowiązek przekazać zleceniodawcy wszystkie zgromadzone dane osobowe, a jeśli zleceniodawca ich nie odbierze – zniszczyć je w określonym terminie. Ta regulacja krajowa jest spójna z zasadą ograniczenia przechowywania (art. 5 ust.1 lit. e RODO) – detektyw nie powinien archiwizować danych osób postronnych po zakończeniu sprawy, poza tym, co przekazał klientowi w raporcie. W razie naruszenia ochrony danych (np. wycieku informacji ze swojego biura) detektyw, jak każdy administrator, ma obowiązek dokonania zgłoszenia do UODO (art. 33) i zawiadomienia osób, których dane dotyczą, jeśli naruszenie może powodować wysokie ryzyko (art. 34) – choć w praktyce zachowanie poufności takich incydentów jest szczególnie istotne. Jeśli chodzi o ocenę skutków (DPIA) – zazwyczaj działalność pojedynczego detektywa nie obejmuje zautomatyzowanego czy na dużą skalę monitorowania wielu osób, więc nie spełnia progów obligujących do DPIA. Gdyby jednak jakaś agencja detektywistyczna wdrożyła np. masowe przeszukiwanie internetu pod kątem tysięcy osób (co przypominałoby raczej pracę data-brokera, nie klasycznego detektywa), należałoby rozważyć DPIA podobnie jak w przypadku przedsiębiorcy analizującego dane na dużą skalę.

Podsumowanie (scenariusz 4)

Prywatny detektyw przetwarzający dane osobowe w toku wykonywania zleceń działa w granicach prawa, które pozwala mu na gromadzenie informacji o osobach bez ich zgody, o ile jest to niezbędne do realizacji uzasadnionego celu zleceniodawcy. RODO w pełni dotyczy takiej działalności, lecz pewne obowiązki (jak informowanie osób czy uzyskanie zgody) z natury rzeczy nie mają zastosowania – co wynika zarówno z wyjątków przewidzianych w samym RODO (art. 14 ust.5), jak i z przepisów szczególnych chroniących tajemnicę zawodową detektywa. Detektyw musi ograniczyć się do celu zlecenia i przestrzegać zasady, by nie przetwarzać danych poza zakresem swojej usługi. Naruszenia, takie jak wykorzystywanie zdobytych informacji w innych celach lub niezabezpieczenie materiałów, mogą skutkować odpowiedzialnością prawną (zarówno na gruncie RODO, jak i ustawy detektywistycznej, a potencjalnie także karną, jeśli metody działania byłyby nielegalne). W praktyce detektywi powinni ściśle dokumentować swoje działania, zawierać umowy ze zleceniodawcami precyzujące cel i interes prawny, przestrzegać zakazu stosowania metod niedozwolonych (np. podsłuch bez zezwolenia sądu jest zabroniony), a po zakończeniu sprawy przekazać lub usunąć dane. Dzięki temu mogą powołać się na legalność przetwarzania nawet w przypadku ewentualnych sporów – wszak ich działania opierają się na ustawowej podstawie i służą realizacji prawnie uzasadnionych celów (np. obrona roszczeń, zapobieganie nadużyciom).

Zakończenie

Analiza czterech powyższych scenariuszy ukazuje, że charakter i cel wykonywania OSINT mają kluczowe znaczenie dla oceny zgodności z RODO. W przypadku osób prywatnych granicą jest użytek osobisty – dopóki OSINT pozostaje w sferze prywatnej, RODO nie wkracza, lecz przy wyjściu poza nią osoba ta staje się administratorem i musi sprostać wymogom ochrony danych. Przedsiębiorcy stosujący biały wywiad muszą traktować dane z publicznych źródeł jak każdy inny zasób danych osobowych: legalność zapewni im najczęściej uzasadniony interes, ale pod warunkiem poszanowania zasad transparentności (w tym informowania osób) oraz minimalizacji. Dziennikarze korzystają z wyjątków przewidzianych dla wolności prasy – co pozwala im na daleko idące wykorzystanie OSINT bez formalnych rygorów, aczkolwiek nie zwalnia z zachowania elementarnych standardów rzetelności i ochrony osób (np. w razie oczywistego naruszenia prywatności mogą być pociągnięci do odpowiedzialności na podstawie innych przepisów, a pewne prawa, jak żądanie usunięcia w szczególnych okolicznościach, pozostają aktualne). Detektywi natomiast operują w ramach ściśle wytyczonych prawem zadań – ich OSINT jest legalny dzięki ustawowej podstawie, lecz musi być prowadzony profesjonalnie, z poszanowaniem granic zlecenia i tajemnicy. W każdym z tych przypadków kluczowe jest zachowanie balansu między dostępnością informacji a prawem do prywatności. RODO nie zabrania korzystania z otwartych źródeł informacji – wymaga jednak, by odbywało się to w sposób zgodny z zasadami ochrony danych, co w praktyce oznacza: legalny cel i podstawa, transparentność (z wyjątkami uzasadnionymi w szczególnych sytuacjach), zabezpieczenie danych i respekt dla praw osób. Zarówno orzecznictwo TSUE, jak i decyzje organów nadzorczych (UODO, EROD) wskazują, że publicznie dostępne dane osobowe nie są pozbawione ochrony – przeciwnie, ich przetwarzanie podlega RODO, chyba że ustawodawca przewidział konkretny wyjątek w imię innej wartości (jak wolność prasy). Podmioty korzystające z OSINT muszą więc znać nie tylko techniki pozyskiwania informacji, ale i ramy prawne ich wykorzystywania – tak, aby białego wywiadu nie zacienił zarzut naruszenia RODO.

Bibliografia

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO).

  • Ustawa z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2019 poz. 1781) – art. 2 ust. 1 (tzw. klauzula prasowa) judykatura.pl.

  • Ustawa z 6 lipca 2001 r. o usługach detektywistycznych (Dz.U. 2022 poz. 120) – art. 28a (przetwarzanie danych przez detektywa) ddcs.pl.

  • Wyrok TSUE z 6.11.2003, C-101/01, Lindqvist – publikacja danych osobowych w Internecie a zakres wyłączenia czynności osobistych.

  • Wyrok TSUE z 11.12.2014, C-212/13, Ryneš – monitoring prywatny obejmujący przestrzeń publiczną wyłączony spod wyjątku domowego uodo.gov.pl.

  • Wyrok WSA w Warszawie z 22.02.2024 (VII SA/Wa 1586/23) – klauzula prasowa a prawo do usunięcia danych (uchylenie odmowy Prezesa UODO) judykatura.pl.

  • Wyrok NSA z 19.09.2023 (I OSK 1719/21) – oddalenie skargi kasacyjnej spółki Dun & Bradstreet (dawniej Bisnode) ws. kary UODO za brak spełnienia obowiązku informacyjnego; potwierdzenie obowiązku informowania osób, których dane zebrano z publicznych rejestrów prawo.pl oraz prawo.pl.

  • Decyzja Prezesa UODO z 15.03.2019 (ZSPU.421.3.2019) dot. Bisnode – kara 943 tys. zł za niespełnienie obowiązku z art. 14 RODO lbplegal.com.

  • Europejska Rada Ochrony Danych, Wytyczne dot. oceny skutków dla ochrony danych (WP248) – kryteria DPIA (m.in. monitorowanie na dużą skalę miejsc publicznych) uodo.gov.pl.

  • EROD, Wytyczne dot. uzasadnionego interesu 2024 – podkreślenie testu równowagi i kryteriów (m.in. czy dane były publicznie dostępne i czy osoba mogła się spodziewać takiego wykorzystania) uodo.gov.pl.

  • Materiały UODO: “Kiedy trzeba przeprowadzić ocenę skutków dla ochrony danych?” (poradnik, 2025) uodo.gov.pl; “100. posiedzenie plenarne EROD – komunikat” (2024)uodo.gov.pl.

  • Artykuł prawniczy: M. Staniszewski, “Czym jest OSINT (biały wywiad)?” (RPMS, 2022) – definicja OSINT, legalność pozyskiwania informacji rpms.pl oraz rpms.pl.

  • Artykuł na blogu detektywistycznym: “Prywatny detektyw a ochrona danych osobowych” (Invigla, 2020) – opis przepisów dot. detektywów ddcs.pl oraz ddcs.pl.

  • Serwis Judykatura.pl: “WSA: wyjątek dziennikarski nie jest bezwzględny” (omówienie wyroku WSA Warszawa VII SA/Wa 1586/23) judykatura.pl.

  • Serwis Prawo.pl: “Pierwsza kara UODO (Bisnode) – wyrok NSA” (20.09.2023) prawo.pl oraz prawo.pl.