30 stycznia 2019 roku prezes Urzędu Ochrony Danych Osobowych wydała ciekawą decyzję w sprawie możliwości przetwarzania danych osobowych dostępnych w Krajowym Rejestrze Sądowym. W Rejestrze tym zamieszcza się szereg informacji dotyczących konkretnych osób fizycznych – zarówno imiona i nazwiska, numery PESEL, funkcje pełnione w organach różnych osób prawnych, czy posiadane w nich udziały. Oczywiście dane zamieszczone w KRS są jawne – właściwie każdy zainteresowany ma do nich nieograniczony dostęp. Jednak w praktyce powstał problem – rozstrzygnięty wspomnianą decyzją prezesa UODO – mianowicie, czy dostępne publicznie dane mogą podlegać dalszemu przetwarzaniu. Sprawa dotyczyła fundacji, która wykorzystując informacje z Krajowego Rejestru Sądowego dokonywała ich różnego rodzaju zestawień, pozwalając użytkownikom np. na badanie sieci powiązań.
Sprawę zainicjowano jeszcze przed Generalnym Inspektorem Ochrony Danych Osobowych, jednak znalazła swój finał dopiero niedawno. Prezes UODO uznał, że przetwarzanie danych dostępnych w KRS jest w pełni legalne i nie wymaga poinformowania o tym fakcie ich właścicieli. Co za tym idzie sami zainteresowani nie mogą wykonywać swoich uprawnień tradycyjnie związanych z przetwarzaniem danych, a więc np. żądania zaprzestania ich przetwarzania, korekty, sprawdzania ich poprawności, czy skorzystania z prawa do „bycia zapomnianym”. Stąd też przetwarzanie publicznie dostępnych danych danej osoby – w związku z funkcjami jakie ona pełni – jest w pełni legalne. Należy jednak podkreślić, że uprawnienie do takiego przetwarzania dotyczy tylko tych danych, które zostały skopiowane z rejestrów publicznych – np. KRS. Jeśli dany podmiot chce przetwarzać dodatkowe informacje o osobach fizycznych – nieznajdujące się w takich rejestrach – musi dopełnić wszystkich formalności wynikających z RODO. To zaś oznacza przede wszystkim uzyskanie zgody samych zainteresowanych i umożliwienie im kontroli procesu przetwarzania danych – włącznie z wycofaniem swojej zgody.