Decyzja

Na podstawie art. 104 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r., poz. 735 ze zm.), art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) w związku z art. 12 pkt 1-2 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.) w związku z art. 6 ust. 1 lit. c) i lit. f) oraz art. 57 ust. 1 lit. a) i lit. f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana R. S. na przetwarzanie jego danych osobowych przez O. Niestandaryzowany Sekurytyzacyjny Fundusz Inwestycyjny Zamknięty, reprezentowany przez N. S.A.. (dawniej: O. S.A.), polegające na ich udostępnieniu na stronach internetowych: […], […], […]  oraz  […], Prezes Urzędu Ochrony Danych Osobowych

odmawia uwzględnienia wniosku.

Uzasadnienie

Do Prezesa Urzędu Ochrony Danych Osobowych (dawniej: Generalnego Inspektora Ochrony Danych Osobowych) wpłynęła Pana R. S. (zwanego dalej: Skarżącym), na przetwarzanie jego danych osobowych przez O. Niestandaryzowany Sekurytyzacyjny Fundusz Inwestycyjny Zamknięty (zwany dalej także: Funduszem), reprezentowany przez N. S.A. (zwane dalej także: Towarzystwem), następcę prawnego O. S.A, polegające na udostępnieniu tychże danych na stronach internetowych: […], […], […]  oraz  […].

W treści skargi Skarżący zarzucił, że Fundusz naruszył zasady ochrony danych osobowych poprzez ujawnienie jego imienia, nazwiska, adresu, numeru telefonu oraz numeru PESEL na ogólnodostępnej internetowej giełdzie długów, znajdującej się pod adresem: […] – pomimo braku uzyskania na takie działania zgody Skarżącego. Dostęp do wyżej wskazanych informacji mógł mieć każdy użytkownik portalu, posiadający płatne konto w serwisie. Jednocześnie Skarżący wskazał, że drogą SMS-ową został zawiadomiony o tym, że informacje o obciążającym go zadłużeniu wraz z dotyczącymi go danymi osobowymi udostępniono również na stronach internetowych: […], […] oraz […]. Skarżący zakwestionował legalność działań Funduszu w powyższym zakresie.

W związku ze skargą, Skarżący wniósł o przywrócenie w drodze decyzji administracyjnej stanu zgodnego z prawem, poprzez nakazanie Funduszowi usunięcia jego danych osobowych z ww. serwisów internetowych.

W celu ustalenia okoliczności istotnych dla rozstrzygnięcia niniejszej sprawy, Prezes Urzędu Ochrony Danych Osobowych przeprowadził postępowanie administracyjne. Na podstawie zebranego w sprawie materiału dowodowego ustalił następujący stan faktyczny:

1. Na podstawie umowy sprzedaży wierzytelności z  […]  marca 2014 r., zawartej pomiędzy Bankiem A. S.A. a O. Niestandaryzowany Sekurytyzacyjny Fundusz Inwestycyjny Zamknięty, reprezentowany przez N. S.A. (dawniej: O. S.A.), Fundusz nabył od Banku A. S.A. pakiet wymagalnych na dzień sporządzenia umowy wierzytelności. Wskutek zawarcia ww. umowy Fundusz wstąpił w prawa wierzyciela w zakresie wierzytelności dotyczącej m.in. Skarżącego, a tym samym stał się administratorem dotyczących go danych osobowych. Cesja wierzytelności nastąpiła na podstawie art. 509 i nast. ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 2020 r., poz. 1740 tj.).
2. Zakres pozyskanych przez Fundusz danych dotyczących Skarżącego obejmował dane identyfikacyjne w postaci: imienia i nazwiska, numeru PESEL oraz numeru dokumentu tożsamości, dane teleadresowe w postaci: adresu zamieszkania, numeru telefonu kontaktowego oraz adresu e-mail, dane finansowe dotyczące m.in. numerów umów, z których wynikało zadłużenie, a nadto składników zadłużenia (sald, odsetek, opłat windykacyjnych i innych). Podstawę prawną przetwarzania danych osobowych Skarżącego w chwili ich pozyskania stanowił art. 193 ustawy z dnia 24 maja 2007 r. o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi (Dz. U. z 2021r., poz. 605 tj.), zwanej dalej: „u.f.i.” oraz art. 23 ust. 1 pkt 5 w zw. z art. 23 ust. 4 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.), wobec faktu dochodzenia przez Fundusz roszczeń z tytułu prowadzonej działalności gospodarczej.
3. W celu windykacji przysługujących mu wierzytelności, Fundusz zawarł z Kancelarią C. sp. z o.o. oraz z G. S.A. – odpowiednio […] grudnia 2013 r. oraz  […] grudnia 2013 r. – umowę o zarządzanie sekurytyzowanymi wierzytelnościami w rozumieniu art. 193 u.f.i. Przedmiotem obu tych umów było zlecenie odpłatnego zarządzania całością portfela inwestycyjnego Funduszu. Na podstawie przedmiotowych kontraktów, w oparciu o treść art. 193 u.f.i. oraz art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, Fundusz powierzył Kancelarii C. sp. z o.o. oraz G. S.A., jako podmiotom przetwarzającym, przetwarzanie danych osobowych Skarżącego w celu dochodzenia roszczeń przysługujących Funduszowi względem Skarżącego.
4. Kierując się zamiarem zbycia długu, ofertę jego sprzedaży umieszczono na Internetowej Giełdzie Długów, zlokalizowanej pod adresem: […]. Wpis dotyczący Skarżącego został jednak zawieszony w 2016 r. (a zatem nie był widoczny w serwisie internetowym), wobec kwestionowania jego legalności przez samego Skarżącego.
5. Na podstawie umowy przelewu wierzytelności w ramach procesu sekurytyzacji zawartej […] lutego 2017 r. Fundusz zbył wierzytelność przeciwko Skarżącemu na rzecz C. Niestandaryzowanego Funduszu Inwestycyjnego Zamkniętego. W związku z powyższym Fundusz nie przetwarza aktualnie danych osobowych Pana R. S. w celach windykacyjnych. Przetwarzanie danych osobowych Skarżącego przez Fundusz w zakresie jego imienia i nazwiska, numeru PESEL, numeru dowodu osobistego, adresu zamieszkania, numerów telefonu oraz adresów e-mail odbywa się obecnie na podstawie art. 6 ust. 1 lit. c) Rozporządzenia 2016/679, tj. w celu wypełnienia ciążącego na Funduszu obowiązków prawnych, a nadto na podstawie art. 6 ust. 1 lit. f) Rozporządzenia 2016/679, w celach wynikających z prawnie uzasadnionych interesów Funduszu, a zatem w celu ochrony przed ewentualnymi roszczeniami Skarżącego, w tym roszczeniami zgłoszonymi w postępowaniu prowadzonym przez Prezesa Urzędu Ochrony Danych Osobowych.
6. Na stronie: […] znajduje się aktualnie oferta sprzedaży wierzytelności, w której podane są dane osobowe Skarżącego w postaci jego imienia oraz nazwiska, a nadto dane adresowe, ograniczone jednak do wskazania miejsca zamieszkania Skarżącego, tj. miasta „[…]” oraz nazwy ulicy, tj. „[…]”, z pominięciem numeru budynku bądź lokalu. Ponadto w ofercie podana jest całkowita wartość wierzytelności „[…] zł”, oferowana cena jej sprzedaży  „[…] zł” oraz informacja o przeterminowaniu wierzytelności „powyżej […] lat”. Nadto, pod adresami: […] oraz […] widnieją oferty sprzedaży dwóch kolejnych wierzytelności, prawdopodobnie powiązanych z osobą Skarżącego (w ich przypadku odstąpiono jednak od publikacji nazwy ulicy, składającej się na adres zamieszkania dłużnika). Jako wystawca wszystkich trzech ofert widnieje: S. Niestandaryzowany Fundusz Inwestycyjny Zamknięty I. Dane osobowe Skarżącego nie są natomiast w ogóle przetwarzane w serwisach internetowych: […], […] oraz […].

W tym stanie faktycznym, Prezes Urzędu Ochrony Danych Osobowych (zwany dalej także: „Prezesem UODO”) zważył, co następuje.

Z dniem 25 maja 2018 r. w życie weszły przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), zwanej dalej „u.o.d.o.”.

W myśl art. 160 ust. 1-3 u.o.d.o., postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy  z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), zwanej dalej także „u.o.d.o. 1997”, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r., poz. 735 ze zm.). Jednocześnie, czynności dokonane w postępowaniach, wszczętych i niezakończonych przed dniem wejścia w życie przepisów u.o.d.o., pozostają skuteczne.

Od dnia 25 maja 2018 r. zastosowanie ma również Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1  ze zm. oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), zwane dalej „Rozporządzeniem 2016/679”.

Stosownie do art. 57 ust. 1 Rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na jego mocy, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia (lit. a) oraz rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez umocowany przez nią – zgodnie z art. 80 Rozporządzeniem 2016/679 – podmiot, organizację lub zrzeszenie, w odpowiednim zakresie prowadzi postępowania  w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (lit. f).

Uwzględniając powyższe stwierdzić zatem należy, iż niniejsze postępowanie, wszczęte i niezakończone przed dniem 25 maja 2018 r., prowadzone jest na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (w zakresie dotyczącym przepisów regulujących procedurę administracyjną) oraz na podstawie Rozporządzenia 2016/679 (w zakresie rozstrzygającym o legalności procesu przetwarzania danych osobowych). Wynikający z przepisów prawa sposób prowadzenia postępowań w sprawach rozpoczętych i niezakończonych przed dniem wejścia w życie nowych regulacji z zakresu ochrony danych osobowych koreluje z ugruntowanym stanowiskiem doktryny, zgodnie z którym „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego  (Dz. U. 00.98.1071), M. Jaśkowska, A. Wróbel, Lex., el/2012).

W świetle aktualnie obowiązujących przepisów Rozporządzenia 2016/679, przetwarzanie danych osobowych jest zgodne z prawem, gdy spełniona zostanie którakolwiek z przesłanek wymienionych w art. 6 ust. 1 Rozporządzenia 2016/679 (stanowiącym odpowiednik obowiązującego do dnia 25 maja 2018 r. art. 23 ust. 1 u.o.d.o. 1997), tj. gdy:

1. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych  w jednym lub większej liczbie określonych celów (analogicznie w art. 23 ust.1 pkt 1 ustawy 1997);
2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (analogicznie w art. 23 ust. 1 pkt 3 u.o.d.o. 1997);
3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego  na administratorze (analogicznie w art. 23 ust. 1 pkt 2 u.o.d.o. 1997);
4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą,  lub innej osoby fizycznej;
5. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym  lub w ramach sprawowania władzy publicznej powierzonej administratorowi (analogicznie w art. 23 ust. 1 pkt 4 u.o.d.o.  1997) bądź wreszcie;
6. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (analogicznie w art. 23 ust. 1 pkt 5 u.o.d.o. 1997).

Przesłanki te odnoszą się do wszelkich form przetwarzania danych. Warunki te są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednego z nich. Jak wynika zatem z powyższego, zgoda osoby, której dane dotyczą nie stanowi jedynej podstawy zgodności z prawem przetwarzania danych osobowych. W szczególności, na mocy przepisu art. 6 Rozporządzenia 2016/679 przetwarzanie danych jest dopuszczalne wówczas, gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.

Przytaczając motyw 47 Rozporządzenia 2016/679 należy wskazać, że taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem (bądź, jak miało to miejsce w niniejszej sprawie, dłużnikiem) administratora lub działa na jego rzecz. Niewątpliwie dochodzenie przez podmiot roszczeń finansowych stanowi jego prawnie uzasadniony interes i w tym sensie jest nadrzędne nad prawami i wolnościami osoby, której dane dotyczą, albowiem nie ogranicza ich w sposób nieproporcjonalny. Należy uznać, że dochodzenie roszczeń jest zjawiskiem powszechnym w obrocie gospodarczym i jednocześnie naturalnym następstwem zawierania kontraktów przez równoprawne w tym kontekście strony, które w chwili przystąpienia do umowy godzą się na zaproponowane w niej warunki, w tym dotyczące poddania się egzekucji w przypadku niewywiązania się z zobowiązania przez jedną ze stron.

Odnosząc powyższe do ustalonego w sprawie stanu faktycznego, wskazać należy, że O. Niestandaryzowany Sekurytyzacyjny Fundusz Inwestycyjny Zamknięty, reprezentowany przez N. S.A. (dawniej: O. S.A), nabył zobowiązanie Skarżącego na podstawie umowy sprzedaży wierzytelności z […] marca 2014 r. zawartej z Bankiem A. S.A. Powyższe znajdowało oparcie w krajowym ustawodawstwie, tj. art. 509 § 1 k.c., zgodnie z którym wierzyciel może bez zgody dłużnika przenieść wierzytelność na osobę trzecią, chyba że sprzeciwiałoby się to ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania. Wyjaśnić przy tym należy, że cesja wierzytelności wiąże się z uprawnieniem do przekazania nabywcy danych osobowych dłużnika (w tym wypadku danych Skarżącego), umożliwiających podjęcie względem niego stosowanych działań zmierzających do odzyskania należności. Z ustalonego stanu faktycznego nie wynika, aby dopuszczalność przelewu wierzytelności podlegała jakimkolwiek ograniczeniom umownym bądź ustawowym. Nadto, dla dokonania cesji nie była wymagana zgoda Skarżącego. W tym miejscu powołania wymaga stanowisko Naczelnego Sądu Administracyjnego orzekającego w składzie 7 sędziów, który w wyroku z 6 czerwca 2005 r. (sygn. I OPS 2/2005) wskazał, że przekazanie danych osobowych dłużników firmom windykacyjnym może nastąpić bez ich zgody, nie naruszając przy tym przepisów o ochronie danych osobowych, które nie mogą być absolutyzowane, ponieważ muszą być stosowane i interpretowane łącznie z innymi przepisami ustawowymi, służącymi ochronie także innych wartości.

Wobec powyższego uznać należy, że Fundusz na podstawie zawartej umowy sprzedaży wierzytelności stał się administratorem przekazanych mu danych osobowych, przetwarzając  je w celu windykacji nabytych należności. Przesłankę legalizującą pozyskanie i przetwarzanie danych osobowych Skarżącego przez Fundusz stanowił zatem art. 23 ust. 1 pkt. 5 w związku z art. 23 ust. 4 pkt 2 u.o.d.o. 1997 oraz art. 193 ustawy z dnia 24 maja 2007 r. o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi.

Odnosząc się natomiast do zarzutu ujawnienia przez Fundusz danych osobowych Skarżącego na Internetowej Giełdzie Długów, mieszczącej się pod adresem […] wskazać należy, że takie działanie znajdowało prawnie uzasadnienie w normie wynikającej z art. 23 ust. 1 pkt 5 u.o.d.o. 1997. Elementem, który determinował dokonanie oceny, co do zasadności zastosowania tego przepisu w konkretnej sytuacji związanej z przetwarzaniem danych osobowych było istnienie prawnie uzasadnionych interesów realizowanych przez administratora, a zatem takich interesów, które znajdowały uzasadnienie w konkretnych przepisach prawa.

Przepisem takim, jeśli uwzględnić okoliczności niniejszej sprawy, jest niewątpliwie art. 66 k.c., stosownie do którego brzmienia oświadczenie drugiej stronie woli zawarcia umowy stanowi ofertę, jeżeli określa istotne postanowienia tej umowy (art. 66 § 1 k.c.). A zatem,  w przypadku oświadczenia woli zawarcia umowy sprzedaży wierzytelności bezsporne jest,  że należy tę wierzytelność (przedmiot umowy) skonkretyzować. W analizowanym przypadku  – jak to już wcześniej opisano – skonkretyzowanie wierzytelności nastąpiło poprzez wskazanie danych osobowych Skarżącego. Jednocześnie zdaniem organu ochrony danych, brak jest jednoznacznych dowodów na to, że Fundusz ujawnił na stronie internetowej […] wszystkie dane osobowe, którymi dysponował w odniesieniu do długu Skarżącego, w tym jego numer PESEL czy numer telefonu – co podnosił w skardze Pan R. S. Skarżący nie przedstawił żadnego wydruku z ww. strony internetowej, który potwierdziłby prawdziwość jego twierdzeń. Czynności wyjaśniające, przeprowadzone przez Prezesa UODO w toku niniejszego postępowania z urzędu, również nie zezwoliły na stwierdzenie, że Fundusz udostępnił w Internetowej Giełdzie Długów zakres danych osobowych Skarżącego szerszy, aniżeli konieczny do skonkretyzowania wierzytelności. Uzasadnia to zatem konkluzję, iż w analizowanym przypadku udostępnienie danych w Internecie dokonane zostało w zakresie niezbędnym dla wypełnienia prawnie usprawiedliwionego celu administratora danych, w sposób niewykraczający poza ten cel i z zachowaniem zasady minimalizacji danych.

Zdaniem Prezesa Urzędu Ochrony Danych Osobowych, w ustalonym stanie faktycznym i prawnym sprawy ujawnienie danych osobowych Skarżącego nie może być oceniane jako naruszające jego prawa i wolności. Skarżący jako dłużnik musi liczyć się bowiem z tym,  że popadając w zwłokę w spełnieniu zobowiązania jego prawo do prywatności może zostać ograniczone ze względu na dochodzenie przez wierzyciela przysługujących mu należności. W przeciwnym wypadku mogłoby dojść do sytuacji, w której dłużnik, powołując się na prawo  do ochrony danych osobowych, skutecznie uchyliłby się od spoczywającego na nim obowiązku spełnienia świadczenia i w konsekwencji ograniczyłby prawo wierzyciela do uzyskania należnej mu zapłaty. Powołanie się na prawo do ochrony danych osobowych musiałoby też ograniczać, wyżej wskazane, przewidziane szczególnymi przepisami prawo do zbycia wierzytelności i podejmowania dalszych działań w sprawie ich odzyskania. Powyższe, znajduje potwierdzenie  w orzecznictwie sądów administracyjnych, w tym m.in. w wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 30 listopada 2004 r. (sygn. akt: II SA/Wa 1057/04),  w którym ww. stwierdził, że „(...) zasadą powszechnie akceptowaną, wynikającą nie tylko  z przepisów prawa cywilnego, lecz także z norm moralnych, zasad współżycia społecznego oraz dobrych obyczajów jest regulowanie zaciągniętych zobowiązań (zapłata długów). Zasada  ta w pełni odnosi się do podmiotów prawa mających status konsumentów. (...) Dłużnik, który nie wywiązuje się ze swoich zobowiązań, musi liczyć się z konsekwencjami, wynikającymi z przepisów regulujących obrót gospodarczy. Postawa dłużnika nie może bowiem prowadzić do uprzywilejowania jego sytuacji prawnej. Gdyby generalnie uznać każdy wypadek przetwarzania danych osobowych dłużnika (będącego konsumentem) za godzący w jego prawa  i wolności, doszłoby z jednej strony do niczym nieuzasadnionej ochrony osób niewywiązujących się ze swoich zobowiązań, z drugiej natomiast do naruszenia zasady swobody działalności gospodarczej, co z pewnością nie było zamiarem ustawodawcy przy uchwalaniu ustawy o ochronie danych osobowych”.

W kontekście powyższego, udostępnianie danych osobowych Skarżącego na Internetowej Giełdzie Długów należy uznać za znajdujące uzasadnienie tak faktyczne, jak i prawne.

Jednocześnie wskazać należy, że aktualnie – wobec zawarcia umowy przelewu wierzytelności w ramach procesu sekurytyzacji  z […] lutego 2017 r., na podstawie której Fundusz zbył przysługującą mu wobec Skarżącego wierzytelność na rzecz C. Niestandaryzowanego Funduszu Inwestycyjnego Zamkniętego – Fundusz nie przetwarza już danych osobowych Pana R. S. do celów windykacyjnych. Przetwarzanie danych osobowych Skarżącego przez Fundusz w zakresie jego imienia i nazwiska, numeru PESEL, numeru dowodu osobistego, adresu zamieszkania, numerów telefonu oraz adresów e-mail odbywa się obecnie wyłącznie do celów wynikających z treści art. 6 ust. 1 lit. c) i Rozporządzenia 2016/679, tj. w celu wypełnienia ciążącego na Funduszu obowiązków prawnych, a nadto na podstawie art. 6 ust. 1 lit. f) Rozporządzenia 2016/679, w celach wynikających z prawnie uzasadnionych interesów Funduszu, tj. w celu ochrony przed ewentualnymi roszczeniami Skarżącego, w tym roszczeniami zgłoszonymi w postępowaniu prowadzonym przez Prezesa Urzędu Ochrony Danych Osobowych. Tym samym przetwarzanie to należy oceniać jako legalne i znajdujące podstawę w obowiązujących przepisach prawa.

Będąc związanym zakresem skargi, obejmującej przetwarzanie danych osobowych Skarżącego przez O. Niestandaryzowany Fundusz Inwestycyjny Zamknięty, organ nadzorczy odstąpił od badania legalności udostępniania tychże danych w sieci Internet przez ich obecnego administratora, tj. C. F Niestandaryzowanego Funduszu Inwestycyjnego Zamkniętego. Działanie przeciwne stanowiłoby niedopuszczalne rozszerzenie zakresu skargi, która dotyczyła skonkretyzowanego podmiotu i jego działań.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak na wstępie.

Na podstawie art. 127 § 3 Kpa od decyzji przysługuje stronie prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo  do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie  w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona  ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.