Logo biura

Infolinia Urzędu 606-950-000

Infolinia Urzędu 606-950-000

Godło białoczarny orzeł

PREZES
URZĘDU OCHRONY
DANYCH OSOBOWYCH

Warszawa, dnia 23 grudnia 2019 r.

DECYZJA

ZKE.440.7.2019

Na podstawie art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r., poz. 2096 ze zm.), art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781) w zw. z art. 12 pkt 2 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.) oraz z art. 57 ust. 1 pkt a) i f) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016 r. str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 r. str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani K. K., na przetwarzanie bez podstawy prawnej jej danych osobowych przez B. Sp. z o.o., F. Sp. z o.o. oraz V. Sp. z o.o., Prezes Urzędu Ochrony Danych Osobowych

umarza postępowanie.

UZASADNIENIE

Do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie: Urzędu Ochrony Danych Osobowych) wpłynęła skarga Pani K. K., zwanej dalej „Skarżącą”, na przetwarzanie bez podstawy prawnej („nielegalne obracanie, przechowywanie, udostępnianie i sprzedawanie”) jej danych osobowych przez B. Sp. z o.o., Fa. Sp. z o.o. (aktualnie: F. Sp. z o.o.) oraz przez V. Sp. z o.o. Wszystkim trzem wskazanym podmiotom przetwarzającym jej dane osobowe Skarżąca zarzuciła również „niedopełnienie obowiązku informacyjnego wymaganego przez polskie prawo”. W związku z przedstawioną sytuacją Skarżąca wniosła o „wszczęcie stosownego postępowania i doprowadzenie do stanu zgodnego z polskim prawem”.

W toku postępowania przeprowadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny:

  1. Zgodnie z wpisem do Centralnej Ewidencji i Informacji o Działalności Gospodarczej Rzeczypospolitej Polskiej (dalej „CEIDG”) Skarżąca od […] kwietnia 2001 r. do chwili obecnej prowadzi w W. pod adresem: […], działalność gospodarczą pod firmą „[…]”. W jawnej i publicznie dostępnej (pod adresem internetowym: https://prod.ceidg.gov.pl/CEIDG/ CEIDG.Public.UI/Search.aspx) ewidencji CEIDG ujawnione zostały dane osobowe skarżącej w zakresie: imienia i nazwiska, firmy przedsiębiorcy, numeru NIP, numeru REGON, miejsca wykonywania działalności gospodarczej i adresu do doręczeń, daty rozpoczęcia wykonywania działalności gospodarczej, rodzaju przeważającej działalności gospodarczej oraz o statusie (aktywnym) tej działalności. W tym samym zakresie dane osobowe Skarżącej przetwarzane są w jawnym i publicznie dostępnym (pod adresem https://wyszukiwarkaregon.stat.gov.pl/appBIR/index.aspx) Krajowym rejestrze urzędowym podmiotów gospodarki narodowej (rejestrze REGON) prowadzonym przez Główny Urząd Statystyczny.
  1. Odnośnie przetwarzania danych osobowych Skarżącej przez B. Sp. z o.o. (zwaną dalej „B.”) ustalono, że:
  1. B. jest tzw. wywiadownią gospodarczą, która w ramach prowadzonej przez siebie działalności pozyskuje, przetwarza, analizuje i dostarcza swoim klientom ogólnodostępne dane dotyczące podmiotów gospodarczych. W ramach swojej działalności, na stronie internetowej […] B. m.in. bezpłatnie udostępnia podstawowe dane dotyczące podmiotu gospodarczego („firmy”) wraz z ofertą zakupu raportu o nim;
  2. B. pozyskała dane osobowe Skarżącej związane z prowadzoną przez nią działalnością gospodarczą w listopadzie 2010 r. z rejestru REGON;
  3. Zgodnie z wyjaśnieniami B. złożonymi w niniejszym postępowaniu dane osobowe Skarżącej zostały usunięte z bazy danych spółki „niezwłocznie po tym, jak uzyskaliśmy informację, iż Skarżąca ma zastrzeżenia w zakresie przetwarzania danych osobowych przez naszą Spółkę”, i na dzień złożenia wyjaśnień ([…] marca 2014 r.) nie były przez B. przetwarzane;
  4. Aktualnie dane osobowe Skarżącej nie są przez B. przetwarzane. Wyszukanie danych Skarżącej w wyszukiwarce zamieszczonej na stronie głównej portalu […] nie zwraca żadnego wyniku w postaci jej danych osobowych.
  1. Odnośnie przetwarzania danych osobowych Skarżącej przez Fa. Sp. z o.o. (aktualnie: F. Sp. z o.o., zwana dalej „F.”) ustalono, że:
  1. Spółka Fa. Sp. z o.o. (KRS nr […]), wobec której Skarżąca skierowała swoją skargę, w ramach prowadzonej przez siebie działalności prowadziła serwis internetowy […] umożliwiający jego użytkownikom wyszukiwanie podmiotów gospodarczych („firm”) z branż, które ich interesują. Dane udostępniane w tym serwisie (obejmujące dane pozyskane z jawnych rejestrów CEIDG i REGON), spółka Fa. Sp. z o.o. pozyskiwała – na podstawie stosownej umowy – od B. Sp. z o.o.;
  2. Zgodnie z wyjaśnieniami Fa. Sp. z o.o. złożonymi w niniejszym postępowaniu dane osobowe Skarżącej zostały usunięte z zasobów serwisu […] w marcu 2014 r.;
  3. Z dniem […] września 2016 r. nastąpiło połączenie (w trybie art. 492 § 1 pkt 1 ustawy z dnia 15 września 2000 r. Kodeks spółek handlowych, zwanej dalej „k.s.h.”) spółki Fa. Sp. z o.o. (KRS nr […]) ze spółką W. Sp. z o.o. (KRS nr […]) poprzez przeniesienie na spółkę W. Sp. z o.o. całego majątku spółki Fa. Sp. z o.o. Zgodnie z art. 494 § 1 k.s.h. spółka W. wstąpiła z dniem połączenia we wszystkie prawa i obowiązki spółki Fa. Sp. z o.o. (która została wykreślona z Rejestru Przedsiębiorców KRS z dniem […] stycznia 2017 r.); w szczególności została stroną niniejszego postepowania. Z dniem […] marca 2017 r. spółka W. Sp. z o.o. zmieniła nazwę na „F. Sp. z o.o.”;
  4. Aktualnie dane osobowe Skarżącej nie są przez F. przetwarzane. W ramach prowadzonej działalności F. nie przetwarza i nie udostępnia aktualnie danych podmiotów gospodarczych; stanowi jedynie platformę prezentacji ogłoszeń świadczenia usług i oferowania produktów, gdzie dane podmiotów gospodarczych zainteresowanych prezentacją ogłoszeń ich dotyczących, udostępniane są wyłącznie za ich zgodą po zarejestrowaniu się w serwisie.
  1. Odnośnie przetwarzania danych osobowych Skarżącej przez V. Sp. z o.o. (zwaną dalej „V.”) ustalono, m.in. w toku kontroli przeprowadzonej w dniach […] marca 2015 r. (sygn. […]), że:
  1. V. jest agencją reklamową świadczącą usługi reklamowe na rzecz swoich klientów. W ramach prowadzonej przez siebie działalności V. nie prowadzi portali internetowych, nie pozyskuje i nie przetwarza danych o podmiotach gospodarczych, w szczególności nie udostępnia ich na żadnych stronach internetowych;
  2. V. nie przetwarzała i nie przetwarza aktualnie danych osobowych Skarżącej; takie przetwarzanie nie mieści się bowiem w zakresie prowadzonej przez nią działalności;
  3. Strona internetowa o adresie […], wskazana przez Skarżącą jako miejsce gdzie udostępniane są bezprawnie jej dane osobowe, obecnie nie funkcjonuje, a jej abonentem – zgodnie z wpisem zamieszczonym w Krajowym Rejestrze Domen (www.dns.pl/whois) – jest aktualnie spółka B. B. AB.

Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Z dniem wejścia w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwanej dalej „u.o.d.o. 2018”, tj. z dniem 25 maja 2018 r., Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), zwanej dalej „k.p.a.”. Wszelkie czynności podjęte przez Generalnego Inspektora Ochrony Danych Osobowych przed dniem 25 maja 2018 r. pozostają skuteczne (art. 160 ust. 1–3 u.o.d.o. 2018).

Stosownie do art. 57 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. U. UE L 119 z 4.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 str. 2), zwanego dalej „Rozporządzeniem 2016/679”, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia (lit. a) oraz rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez umocowany przez nią – zgodnie z art. 80 Rozporządzeniem 2016/679 – podmiot, organizację lub zrzeszenie, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (lit. f).

W tym miejscu wskazać należy, że Prezes Urzędu Ochrony Danych Osobowych wydając decyzję administracyjną zobowiązany jest do rozstrzygania w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Jak podnosi doktryna „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania (…). Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno-prawnych, gdy stosunki te tego wymagają” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego, M. Jaśkowska, A. Wróbel, Lex., el/2012). Również Naczelny Sąd Administracyjny – w wyroku z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07 stwierdził, iż cyt.: „badając bowiem legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.

Odnosząc powyższe do ustalonego stanu faktycznego, podkreślić należy, że w toku prowadzonego postępowania wyjaśniającego Prezes Urzędu Ochrony Danych Osobowych ustalił, iż obecnie dane osobowe Skarżącej nie są przetwarzane przez żadną z trzech wskazanych przez nią Spółek. Spółki B. oraz F. Sp. z o.o. (której następcą prawnym jest Fa.) przetwarzały dane osobowe Skarżącej pochodzące z jawnych i publicznie dostępnych rejestrów CEIDG i REGON, jednakże – jak zostało to wykazane powyżej, w części uzasadnienia niniejszej decyzji opisującej dokonane ustalenia faktyczne – w związku z zakwestionowaniem przez Skarżącą takiego przetwarzania, zaprzestały ich przetwarzania i usunęły je ze swoich baz danych. Spółka V. natomiast nigdy danych osobowych Skarżącej nie przetwarzała.

Z powyższych względów postępowanie stało się bezprzedmiotowe i w związku z tym należało je umorzyć na podstawie art. 105 § 1 k.p.a., wobec jego bezprzedmiotowości.

Zgodnie z wyżej wskazanym przepisem, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości lub w części, organ administracji publicznej wydaje decyzję o umorzeniu postępowania odpowiednio w całości lub w części. Brzmienie powołanego przepisu nie pozostawia wątpliwości, iż w razie stwierdzenia bezprzedmiotowości postępowania organ prowadzący to postępowanie obligatoryjnie je umarza. Jednocześnie w literaturze przedmiotu wskazuje się, że bezprzedmiotowość postępowania administracyjnego, o której stanowi art. 105 § 1 k.p.a. oznacza, że brak jest któregoś z elementów materialnego stosunku prawnego, a wobec tego nie można wydać decyzji załatwiającej sprawę przez rozstrzygnięcie jej co do istoty. Przesłanka umorzenia postępowania może istnieć jeszcze przed wszczęciem postępowania, co zostanie ujawnione dopiero w toczącym się postępowaniu, a może ona powstać także w czasie trwania postępowania, a więc w sprawie już zawisłej przed organem administracyjnym (B. Adamiak, J. Borkowski „Kodeks postępowania administracyjnego. Komentarz”, 14. Wydanie, Wydawnictwo C.H. Beck, Warszawa 2016 r., str. 491). Takie samo stanowisko zajął Wojewódzki Sąd Administracyjny w Krakowie w wyroku z dnia 27 lutego 2008 r. w sprawie o sygn. akt III SA/Kr 762/2007, w którym to stwierdził, że „postępowanie staje się bezprzedmiotowe, gdy brak któregoś z elementów stosunku materialnoprawnego, co powoduje, że nie można załatwić sprawy przez rozstrzygnięcie co do istoty”.

W niniejszej sprawie tym elementem stosunku materialnoprawnego, który nie istniał od początku postępowania (w przypadku spółki V.) lub który przestał istnieć w trakcie postępowania (w przypadku spółek B. i F.) jest fakt przetwarzania danych osobowych Skarżącej przez administratorów. Stwierdzenie istnienie tego faktu pozwoliłoby dopiero rozstrzygnąć o jego legalności (istnieniu podstawy prawnej przetwarzania) i zgodności z przepisami o ochronie danych osobowych (w tym o wywiązaniu się przez administratorów z ciążących na nich obowiązków informacyjnych wobec Skarżącej).

Ustalenie przez organ administracji publicznej istnienia przesłanki, o której mowa w art. 105 § 1 k.p.a. zobowiązuje go, jak podkreśla się w doktrynie i orzecznictwie, do umorzenia postępowania, albowiem brak jest podstaw do rozstrzygnięcia sprawy co do istoty, zaś dalsze prowadzenie postępowania w takim przypadku stanowiłoby o jego wadliwości, mającej istotny wpływ na wynik sprawy.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Na podstawie art. 127 § 3 k.p.a. od decyzji przysługuje stronie prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.

2021-05-14 Metadane artykułu
Podmiot udostępniający: Departament Kar i Egzekucji
Wytworzył informację: Jan Nowak 2019-12-23
Wprowadził‚ informację: Anna Pachla 2021-05-14 12:45:17
Ostatnio modyfikował: Edyta Madziar 2021-05-27 12:18:05