Decyzja
ZSPU.440.574.2018
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000 ze zm.) w zw. z art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), a także art. 6 ust. 1 lit f) i art. 14 ust. 5 lit. b) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana S. S., zam. w W. […], na przetwarzanie jego danych osobowych przez Fundację, z siedzibą w Z. […], Prezes Urzędu Ochrony Danych Osobowych
odmawia uwzględnienia wniosku.
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych (aktualnie Urzędu Ochrony Danych Osobowych) wpłynęła skarga Pana S. S., zam. w W. […], zwanego dalej również Skarżącym, na przetwarzanie jego danych osobowych przez Fundację, z siedzibą w Z. […], zwaną dalej również Fundacją. Skarżący zakwestionował legalność działań Fundacji polegających na przetwarzaniu jego danych osobowych, wykorzystywanych w szczególności dla potrzeb ich publikacji na prowadzonym przez nią portalu internetowym […] (poprzednio: […]). Skarżący ocenił powyższe działania Fundacji jako nielegalne zarówno wobec braku przesłanki przetwarzania przedmiotowych danych przewidzianej w art. 23 ust. 1 i art. 27 ust. 2 obowiązującej w czasie złożenia skargi ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), jak również, wobec niedopełnienia przez Fundację obowiązków informacyjnych statuowanych przepisami ww. aktu prawnego oraz braku jej reakcji na wezwanie do zaprzestania przetwarzania rzeczonych danych. W związku z powyższym Skarżący w następujący sposób sformułował swoje żądanie pod adresem organu właściwego w sprawie ochrony danych osobowych cyt.: „(…) wnoszę o wydanie decyzji administracyjnej nakazującej (…) Fundacji (…) usunięcie danych osobowych (…) pana S. S., ze zbiorów danych osobowych tworzonych przez wskazanego Administratora Danych Osobowych (…)”.
W korespondencji z dnia […] października 2016 r. pełnomocnik Skarżącego doprecyzował cyt.: „(…) Skarżący kwestionuje niedopełnienie wobec niego przez Fundację szeregu obowiązków, w tym także obowiązku informacyjnego i w związku z licznymi naruszeniami prawa, w tym przede wszystkim w związku z przetwarzaniem jego danych osobowych bez odpowiedniej podstawy prawnej wnosi o wydanie decyzji nakazującej Administratorowi Danych Osobowych usunięcia danych osobowych (…)”.
Zarówno w skardze inicjującej niniejsze postępowanie, jak i w dalszej korespondencji w przedmiotowej sprawie Skarżący wyraził przekonanie, że Fundacja, podając do publicznej wiadomości w serwisie […] (poprzednio: […]) informacje na jego temat pozyskane z Krajowego Rejestru Sądowego publikuje w istocie jego dane podlegające szczególnej ochronie, określonej w art. 27 ust. 1 powołanej uprzednio ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych tj. cyt.: „(…) dane dotyczące orzeczeń sądów rejestrowych dotyczących osoby Wnioskodawcy {Skarżącego} (…)”.
W toku postępowania wyjaśniającego przeprowadzonego w przedmiotowej sprawie Prezes Urzędu Ochrony Danych Osobowych, zwany dalej również Prezesem UODO (wcześniej: Generalny Inspektor Ochrony Danych Osobowych) ustalił, co następuje.
- Fundacja jest podmiotem, którego celem działania - wedle informacji zawartych w Dziale 3, Rubryce 3 dotyczącego jej Krajowego Rejestru Sądowego (nr KRS […]) jest cyt.: „wspomaganie rozwoju demokracji poprzez upowszechnianie praw obywatela w zakresie dostępu do informacji publicznej”. Z kolei wedle zapisów Statutu Fundacji - opublikowanego przez nią na jej stronie internetowej – […] cyt.: „(…) Fundacja przyjmuje za swoje zadanie wspomaganie rozwoju demokracji poprzez upowszechnianie praw obywatela w zakresie dostępu do informacji publicznej (…)” (§ 5); „(…) Fundacja realizuje swoje cele poprzez: (…) budowanie narzędzi informatycznych, programistycznych i technologicznych, wspierających zaangażowanie obywateli w sprawy publiczne (…) podejmowanie działań w zakresie ustanawiania i promowania standardów i dobrych praktyk w zakresie dostępu i ponownego wykorzystania informacji z sektora publicznego (…)” (§ 6 pkt 4 i 5).
- Fundacja przetwarza pozyskane z Krajowego Rejestru Sądowego, zwanego dalej również KRS lub Rejestrem, dane osobowe Skarżącego związane z jego uczestnictwem w podmiotach podlegających wpisowi do tego Rejestru. Fundacja pozyskała dane osobowe Skarżącego cyt.: „(…) ze strony internetowej podmiotu prowadzącego Krajowy Rejestr Sądowy (…) tj. Ministra Sprawiedliwości (…)” (pismo Fundacji z dnia […] października 2016 r. – w aktach sprawy). Zakres pozyskanych przez Fundację danych osobowych Skarżącego objął: jego imiona, nazwisko, numer ewidencyjny PESEL, funkcje pełnione w organach ww. podmiotów oraz informacje o uczestnictwie w nich w charakterze wspólnika (wraz ze wskazaniem ilości i wartości udziałów). Fundacja do chwili obecnej przetwarza dane osobowe Skarżącego w ww. zakresie cyt.: „(…) w celu ich udostępniania w serwisach internetowych prowadzonych przez Fundację (…)” (pismo Fundacji z dnia […] października 2016 r.). Jak zarazem podkreśliła Fundacja cyt.: „(…) jedynym zbiorem danych osobowych, w jakim Fundacja przetwarza dane osobowe Skarżącego, jest zbiór danych osobowych pozyskanych ze źródeł powszechnie dostępnych – Krajowego Rejestru Sądowego oraz Monitora Sądowego i Gospodarczego, a dane osobowe Skarżącego są wykorzystywane przez Fundację jedynie dla potrzeb związanych z prowadzeniem przez Fundację serwisu […] (wcześniej […]) (…)” (pismo Fundacji z dnia […] listopada 2018 r. – w aktach sprawy). Fundacja publikuje w prowadzonym przez nią serwisie internetowym […] (wcześniej: […]) ww. dane osobowe Skarżącego, poza numerem PESEL. Publikowane aktualnie w ww. serwisie dane osobowe Skarżącego odnoszą się do niego jako: wspólnika i członka organów D […] Sp. z o.o. (nr KRS […]), wspólnika S. […] Spółka jawna w likwidacji (nr […]), członka organów S. […] Sp. z o.o. (nr KRS […]), prokurenta S. […] Sp. komandytowo – akcyjna (nr KRS […]), członka organów S. […] Sp. z o.o. (nr KRS […]), członka organów E. […] S.A. (nr KRS […]).
- Pismem z dnia […] czerwca 2016 r. pełnomocnik Skarżący zwrócił się do Fundacji z żądaniem cyt.: „(…) natychmiastowego usunięcia danych osobowych mojego Mocodawcy {Skarżącego} (…)” (kopia pisma – w aktach sprawy). Fundacja odmówiła spełnienia powyższego żądania (kopia pisma Fundacji z dnia […] czerwca 2016 r. – w aktach sprawy).
- Odnosząc się do zarzutów Skarżącego pełnomocnik Fundacji wskazał w szczególności cyt.: „(…) Fundacja jest podmiotem działającym na rzecz rozwoju demokracji, otwartej i przejrzystej władzy oraz zaangażowania obywatelskiego. Wykorzystując możliwości jakie stwarza ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej oraz ustawa z dnia 25 lutego 2016 r. o ponownym wykorzystaniu informacji sektora publicznego, Fundacja podejmuje działania polegające na otwieraniu różnorakich danych publicznych i nieodpłatnym udostępnianiu ich obywatelom w serwisach internetowych prowadzonych przez Fundację (…) Fundacja udostępnia dane osobowe Skarżącego w serwisach internetowych prowadzonych przez Fundację (…) w celu wynikającym z przedmiotu działalności Fundacji, jakim jest wspomaganie rozwoju demokracji poprzez upowszechnianie praw obywatela w zakresie dostępu do informacji publicznej (…)”.
- Na stronie internetowej Fundacji […] w ramach dokumentu „Polityka prywatności” zawarte są w szczególności następujące informacje:
- w pkt [...] „Definicje” cyt.: „(…) Administrator- Fundacja […] z siedzibą w Z. […] KRS […] (…)” (pkt [...]), „(…) Serwis – zespół stron internetowych udostępnionych przez Administratora na serwerach internetowych pod adresami: (…) […] (…)” (pkt [...]), „(…) Użytkownik – każda osoba fizyczna odwiedzająca Serwis, w szczególności każda osoba fizyczna korzystająca z usług udostępnionych przez Usługodawcę w Serwisie” (pkt [...]);
- w pkt [...] „Cele oraz podstawy prawne przetwarzania danych w serwisie” ppkt [...] „Dane osobowe ze źródeł powszechnie dostępnych – Krajowy Rejestr Sądowy oraz Monitor Sądowy i Gospodarczy” cyt.:
„[...] Administrator w ramach strony internetowej […] prezentuje dane osobowe pobrane ze źródeł publicznie dostępnych tj. Krajowego Rejestru Sądowego i Monitora Sądowego oraz Gospodarczego.
[...] Kategorie danych osobowych przetwarzanych przez Fundację są tożsame z kategoriami danych osobowych ujawnionych w Krajowym Rejestrze Sądowym oraz Monitorze Sądowym i Gospodarczym, w szczególności stanowią je: imiona, nazwiska, data urodzenia, wiek, numer PESEL, informacje o funkcjach pełnionych przez osobę w podmiocie wpisanym do Krajowego Rejestru Sądowego, jeśli występuje: ilość i wartość posiadanych udziałów/akcji;
[...] Ww. dane osobowe Administrator przetwarza w celu ich udostępniania w serwisach internetowych prowadzonych przez Fundację dla wspierania pewności i jawności obrotu gospodarczego, z wykorzystaniem profilowania – podstawą prawną jest prawnie uzasadniony interes Fundacji (art. 6 ust. 1 lit. f RODO), prawnie uzasadnionym interesem Fundacji jest udostępnianie danych osobowych w serwisach internetowych prowadzonych przez Fundację dla wspierania pewności i jawności obrotu gospodarczego.
[...] Profilowanie, o którym mowa w poprzednim punkcie, polega na: [...] automatycznej analizie numeru PESEL, w celu uzyskania informacji o roku urodzenia osób, których dane są przetwarzane, co pozwala Administratorowi na wprowadzenie funkcjonalności wyświetlania roku urodzenia osób o tych samych imionach i nazwiskach (dla ich rozróżnienia od innych, tak samo nazywających się osób, występujących w Krajowym Rejestrze Sądowym)”; [...] automatycznym łączeniu danych osobowych z danymi pobranymi z innych źródeł oraz na prezentowaniu powiązań i relacji.
- w pkt [...] „Prawa osób, których dane dotyczą” cyt.:
„[...] Każdej osobie, której dane dotyczą przysługuje prawo dostępu do treści danych oraz – na zasadach określonych przez RODO – prawo żądania ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych oraz prawo wniesienia sprzeciwu względem przetwarzania danych, a także prawo wniesienia skargi do organu nadzorczego zajmującego się ochroną danych osobowych.
[...] Bez uszczerbku dla dostępnych administracyjnych lub pozasądowych środków ochrony prawnej, w tym prawa do wniesienia skargi do organu nadzorczego, każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna ona, że prawa przysługujące jej na mocy RODO zostały naruszone w wyniku przetwarzania jego danych osobowych z naruszeniem RODO”.
- w pkt [...] „Przekazywanie danych poza EOG” cyt.:
„[...] Z uwagi na to, że poziom ochrony danych osobowych poza Europejskim Obszarem Gospodarczym (EOG) różni się od tego zapewnianego przez przepisy RODO Administrator przekazuje dane osobowe poza EOG tylko wtedy, gdy jest to konieczne, i z zapewnieniem odpowiedniego stopnia ochrony, przede wszystkim poprzez: [...] współpracę z podmiotami przetwarzającymi dane osobowe w państwach, w odniesieniu do których została wydana stosowna decyzja Komisji Europejskiej; [...] stosowanie standardowych klauzul umownych wydanych przez Komisję Europejską; [...] stosowanie wiążących reguł korporacyjnych, zatwierdzonych przez właściwy organ nadzorczy; [...] w razie przekazywania danych do USA – współpracę z podmiotami uczestniczącymi w programie Tarcza Prywatności (Privacy Shield), zatwierdzonym decyzją Komisji Europejskiej”.
- w pkt [...] „Dane kontaktowe” cyt.: „Kontakt z Administratorem jest możliwy poprzez adres email: […]”.
Jednocześnie, w ramach wyjaśnień złożonych w przedmiotowej sprawie, Fundacja stanęła na stanowisku, iż nie jest obowiązana spełniać indywidualnie w stosunku do osób, których dane przetwarza, w tym w stosunku do Skarżącego, obowiązku informacyjnego, o którym mowa w art. 14 ust. 1 i 2 RODO (w okresie obowiązywania ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych – w art. 25 ust. 1 powołanego aktu prawnego). Jak podniosła Fundacja cyt.: „(…) obowiązek informacyjny wynikający z tego przepisu nie ma zastosowania jeżeli (…) dostarczenie takich informacji wymagałoby niewspółmiernie dużego wysiłku. I właśnie z taką sytuacją mamy do czynienia w niniejszej sprawie – dostarczenie informacji wymagałoby niewspółmiernie dużego wysiłku, biorąc pod uwagę skalę takiej operacji (dziesiątki milionów rekordów) oraz okoliczność, w której mimo zebrania danych osobowych (…) nie zmienia się zasadniczy element sytuacji prawnej podmiotów danych osobowych: ich dane są w dalszym ciągu dostępne przez sieć Internet, z dowolnego miejsca na świecie i bez żadnych ograniczeń. Jak bowiem podnosi się w nauce prawa (…) z sytuacją niewspółmiernie dużego wysiłku będziemy mieli do czynienia wówczas, gdy wysiłek włożony w przekazanie informacji jest nieproporcjonalny w stosunku do niedogodności spowodowanych brakiem tych informacji u osoby, której dane dotyczą (…) Inne stanowisko, w szczególności przyjęcie nieograniczonego podmiotowo obowiązku informacyjnego prowadziłoby w takim przypadku do zniweczenia prawa dostępu do informacji publicznej i prawa ponownego wykorzystania informacji sektora publicznego. Tymczasem są to wartości równorzędne na poziomie Konstytucji RP i niezależne na poziomie ustawowym, korzystanie więc z jednego prawa nie może naruszać istoty drugiego (…)”.
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes UODO zważył, co następuje.
Na wstępie wskazać należy, iż z dniem 25 maja 2018 r., wraz z wejściem w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000 ze zm.), Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed 25 maja 2018 r. prowadzone są przez Prezesa UODO, na podstawie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.) zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), zwanej dalej również Kpa. Wszelkie czynności podjęte przez Generalnego Inspektora Ochrony Danych Osobowych przed dniem 25 maja 2018 r. pozostają skuteczne (art. 160 ust. 1 i ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych).
Prezes UODO jest organem właściwym w sprawie ochrony danych osobowych (art. 34 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych) i organem nadzorczym w rozumieniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1), zwanego dalej RODO (art. 34 ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.).
Stosownie do art. 57 ust. 1 RODO, bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia (lit. a) oraz rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez podmiot, organizację lub zrzeszenie zgodnie z art. 80, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań, w szczególności jeżeli niezbędne jest dalsze prowadzenie postępowań lub koordynacja działań z innym organem nadzorczym (lit. f). Instrumentami realizacji zadań przewidzianych w art. 57 ust. 1 RODO są w szczególności określone w art. 58 ust. 2 RODO, uprawnienia naprawcze, w tym możliwość: nakazania administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia (art. 58 ust. 2 lit c)), nakazania administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu (art. 58 ust. 2 lit. d)).
RODO definiuje dane osobowe jako wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"), przy czym możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej (art. 4 pkt 1). Z kolei przetwarzanie danych, to w świetle RODO operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (art. 4 pkt 2 RODO).
Zgodnie z art. 6 ust. 1 RODO, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Ustawa z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym (Dz. U. z 2018 r., poz. 986 ze zm.), zwana dalej ustawą o KRS, wprowadza w art. 8 zasadę jawności formalnej Krajowego Rejestru Sądowego, zwanego dalej Rejestrem. Powołany przepis stanowi wprost, że Rejestr jest jawny (ust. 1), że każdy ma prawo dostępu do danych zawartych w Rejestrze za pośrednictwem Centralnej Informacji (ust. 2) oraz, że każdy ma prawo otrzymać, również drogą elektroniczną, poświadczone odpisy, wyciągi, zaświadczenia i informacje z Rejestru (ust. 3). Natomiast zgodnie z art. 13 ust. 1, wpisy do Rejestru podlegają obowiązkowi ogłoszenia w Monitorze Sądowym i Gospodarczym (zwanym dalej Monitorem), chyba, że ustawa stanowi inaczej.
Imiona, nazwiska i numery PESEL osób fizycznych wchodzących w skład organów uprawnionych do reprezentowania podmiotów podlegających wpisowi do rejestru przedsiębiorców KRS, ich prokurentów oraz wspólników, są wpisywane do wskazanego Rejestru na podstawie art. 36 pkt 2 i 5-7, art. 38 pkt 4 i 8 i art. 39 pkt 1 i 3 w zw. z art. 35 pkt 1 ustawy o KRS i stanowią informacje jawne i dostępne dla każdego na mocy art. 8 omawianego aktu prawnego.
Mając na uwadze, że Fundacja przetwarza również (przy czym nie publikuje) nr PESEL Skarżącego należy wskazać, że zgodnie z art. 15 ust. 2 ustawy z dnia 24 września 2010 r. o ewidencji ludności (Dz. U. z 2018 r. poz. 1382 ze zm.) numer ten jest jedenastocyfrowym symbolem numerycznym, jednoznacznie identyfikującym osobę fizyczną, zawierającym datę urodzenia, numer porządkowy, oznaczenie płci oraz liczbę kontrolną, przy czym data urodzenia zawarta jest w pierwszych sześciu cyfrach w następującej kolejności: dwie ostatnie cyfry roku urodzenia, miesiąc urodzenia wraz z zakodowanym stuleciem urodzenia oraz dzień urodzenia, kolejne cztery cyfry to numer porządkowy i płeć osoby (ostatnia cyfra numeru porządkowego zawiera oznaczenie płci: cyfrę parzystą, w tym "0", dla kobiet, a cyfrę nieparzystą dla mężczyzn), a ostatnia, jedenasta cyfra numeru PESEL jest liczbą kontrolną umożliwiającą elektroniczną kontrolę poprawności nadanego numeru identyfikacyjnego. Oznacza to, że każdy podmiot przetwarzający numer PESEL określonej osoby przetwarza tym samym również informację o dacie jej urodzenia (wieku) oraz płci.
Fundacja prowadzi działalność cyt.: „(…) na rzecz rozwoju demokracji, otwartej i przejrzystej władzy oraz zaangażowania obywatelskiego (…) Wykorzystując możliwości, jakie stwarza ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej oraz ustawa z dnia 25 lutego 2016 r. o ponownym wykorzystaniu informacji sektora publicznego, Fundacja podejmuje działania polegające na otwieraniu różnorakich danych publicznych i nieodpłatnym udostępnianiu ich obywatelom w serwisach internetowych prowadzonych przez Fundację (…)” (pismo Fundacji z dnia […] października 2016 r.). W ramach realizacji powyższych celów Fundacja podejmuje działania polegające na nieodpłatnym udostępnianiu obywatelom w serwisie internetowym […] (poprzednio: […]) danych pochodzących z powszechnie dostępnych źródeł (KRS/Monitor). Tak określone cele i zadania Fundacji mają bez wątpienia prawne usprawiedliwiony charakter. Ich realizacja jest zarazem uwarunkowana przetwarzaniem danych osobowych ujawnionych w publicznie dostępnych rejestrach, w tym danych osobowych Skarżącego jako osoby pełniącej określone funkcje w podmiotach podlegających wpisowi do Rejestru. Brak zarazem podstaw do przyjęcia, że realizacja ww., prawnie uzasadnionego interesu administratora (Fundacji), polegającego na prowadzeniu działalności związanej z upowszechnianiem treści zawartych w KRS/Monitorze, musiała ustąpić wobec nadrzędnych w stosunku do niej interesów lub podstawowych praw i wolności Skarżącego, wymagających ochrony danych osobowych. Jak bowiem wskazano, przetwarzane w kwestionowany sposób dane osobowe Skarżącego, są danymi powszechnie dostępnymi. Jednocześnie zakres danych osobowych Skarżącego publikowanych w serwisie internetowym […] (wcześniej: […]) jest adekwatny (nie nadmierny) w kontekście realizowanego celu informacyjnego (dane te są w istocie publikowane w zakresie węższym w porównaniu do zakresu danych ujawnionych w KRS - nie obejmują bowiem numeru PESEL). Prezes UODO nie znajduje podstaw, by zakwestionować legalność pozyskania i dalszego przetwarzania przez Fundację, w zbiorze utworzonym dla potrzeb funkcjonowania serwisu […], informacji o numerze PESEL – w celu umożliwienia jednoznacznego odróżnienia Skarżącego od innych osób o tych samych imionach i nazwisku. Jednocześnie podkreślić należy, że numer ten nie jest przez Fundację w podanym serwisie internetowym publikowany.
Tym samym należy przyjąć, że przetwarzanie przez Fundację publicznie dostępnych danych osobowych Skarżącego - jako osoby pełniącej określone funkcje w podmiotach podlegających wpisowi do Rejestru – znajduje oparcie w powołanym już art. 6 ust. 1 lit f) RODO.
W tym miejscu nadmienić warto, że w podobnej sprawie, której istota sprowadzała się do oceny dopuszczalności dalszego wykorzystywania danych osobowych pozyskanych z publicznego rejestru, Naczelny Sąd Administracyjny, zwany dalej również NSA, w wyroku z dnia 3 grudnia 2015 r. (sygn. akt: I OSK 1166/14) stwierdził, iż cyt.: „(…) ustawa o ochronie danych osobowych nie wprowadza specjalnych obowiązków w zakresie pozyskiwania danych z publicznych rejestrów (tu: z Krajowego Rejestru Sądowego). Celem rejestrów publicznie dostępnych jest bowiem udostępnienie informacji na potrzeby obrotu prawnego. Zapoznawanie się z takimi danymi jest legalnie, co wynika wprost z art. 8 ust. 1 ustawy (…) o Krajowym Rejestrze Sądowym (…) statuującego zasadę jawności rejestru oraz art. 10 ust. 1 (…) określającego prawo każdego zainteresowanego do przeglądania akt (…)”.
W kontekście argumentacji przedstawionej w niniejszej sprawie przez Fundację celem wykazania legalności jej działań, zasadne jest również przytoczenie przepisów ustawy z dnia 25 lutego 2016 r. o ponownym wykorzystywaniu informacji sektora publicznego (Dz. U. 2018 r., poz. 1243 ze zm.). Zgodnie z art. 2 ust. 1 tej ustawy, przez informację sektora publicznego należy rozumieć każdą treść lub jej część, niezależnie od sposobu utrwalenia, w szczególności w postaci papierowej, elektronicznej, dźwiękowej, wizualnej lub audiowizualnej, będącą w posiadaniu podmiotów, o których mowa w art. 3. Ww. ustawa definiuje zarazem ponowne wykorzystywanie jako wykorzystywanie przez osoby fizyczne, osoby prawne i jednostki organizacyjne nieposiadające osobowości prawnej, zwane "użytkownikami", informacji sektora publicznego, w celach komercyjnych lub niekomercyjnych innych niż pierwotny publiczny cel, dla którego informacja została wytworzona (art. 2 ust. 2). Ustawa statuuje powszechne prawo do ponownego wykorzystywania informacji sektora publicznego udostępnionych w systemie teleinformatycznym, a w szczególności na stronie podmiotowej Biuletynu Informacji Publicznej podmiotu zobowiązanego lub w centralnym repozytorium informacji publicznej, o którym mowa w art. 9a ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. z 2018 r. poz. 1330 ze zm.), lub w inny sposób (art. 5 pkt 1 ustawy o ponownym wykorzystywaniu informacji sektora publicznego). Ponowne wykorzystanie informacji może zostać ograniczone - podmiot zobowiązany udostępnia na swojej stronie podmiotowej Biuletynu Informacji Publicznej w menu przedmiotowym w kategorii "Ponowne wykorzystywanie” warunki ponownego wykorzystywania, jeżeli zostały przez niego określone (art. 11 ust. 1 pkt 1 ustawy o ponownym wykorzystywaniu informacji sektora publicznego) – wykorzystanie informacji pochodzących z KRS nie zostało jednak obwarowane takimi warunkami.
Nadmienić należ również, że nie zasługuje na uwzględnienie argumentacja Skarżącego, jakoby przetwarzane przez Fundację informacje na jego temat stanowiły dane osobowe podlegające szczególnej ochronie. Wobec utraty mocy obowiązującej art. 27 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, analiza zasadności ww. twierdzeń Skarżącego w kontekście powołanego przepisu jest obecnie oczywiście bezprzedmiotowa. Z kolei będący odpowiednikiem ww., uchylonej już regulacji, aktualnie obowiązujący art. 9 RODO, nie zalicza do katalogu danych szczególnie chronionych informacji na temat wszelkich orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.
Reasumując, w kontekście art. 6 ust. 1 lit f) RODO, nie ma podstaw do stwierdzenia, iż dane osobowe Skarżącego zostały pozyskane przez Fundację w sposób sprzeczny z prawem, jak również że są w sposób nieuprawniony poddane procesowi dalszego przetwarzania.
Podkreślenia wymaga zarazem, że nie zasługuje na uwzględnienie argumentacja Skarżącego w zakresie zarzutu niedopełnienia w stosunku do niego, przez Fundację pierwotnego, niezależnego od wniosku zainteresowanego, obowiązku informacyjnego.
Stosownie do brzmienia art. 14 ust. 1 RODO, jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator podaje osobie, której dane dotyczą, następujące informacje: a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela, b) gdy ma to zastosowanie - dane kontaktowe inspektora ochrony danych, c) cele przetwarzania, do których mają posłużyć dane osobowe, oraz podstawę prawną przetwarzania, d) kategorie odnośnych danych osobowych, e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją, f) gdy ma to zastosowanie - informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia. W myśl art. 14 ust. 2 RODO, poza informacjami, o których mowa w ust. 1, administrator podaje osobie, której dane dotyczą, następujące informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania wobec osoby, której dane dotyczą: a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu, b) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) - prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią, c) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych, d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) - informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem, e) informacje o prawie wniesienia skargi do organu nadzorczego, f) źródło pochodzenia danych osobowych, a gdy ma to zastosowanie - czy pochodzą one ze źródeł publicznie dostępnych, g) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz - przynajmniej w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. Art. 14 ust. 3 i ust. 4 RODO określa zarazem moment, w którym administrator zobligowany jest spełnić omawiany obowiązek informacyjny. Jednocześnie, art. 14 ust. 5 lit. b) RODO wyłącza stosowanie ust. 1 – 4 wówczas, gdy - i w zakresie, w jakim udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku, w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1, lub o ile obowiązek, o którym mowa w ust. 1 niniejszego artykułu, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie.
Zakres danych osobowych pozyskiwanych przez Fundację z publicznie dostępnego KRS oraz poddawanych dalszemu przetwarzaniu (w tym publikacji) jest ściśle zdeterminowany celem i zakresem funkcjonowania KRS, a zarazem jest zgodny z prawnie uzasadnionym interesem administratora (art. 6 ust. 1 lit f) RODO). Dane te ograniczają się do informacji bezpośrednio związanych z uczestniczeniem przez Skarżącego w obrocie gospodarczym w charakterze członka organów, wspólnika, czy prokurenta podmiotów podlegających wpisowi do KRS. Jednocześnie, wobec spoczywającego na administratorze obowiązku poszanowania wyrażonej w art. 5 ust. 1 lit c) RODO reguły minimalizacji danych (obligującej go do ograniczenia zakresu przetwarzanych danych do niezbędnego, adekwatnego do realizowanego celu minimum), nie można zasadnie oczekiwać od Fundacji, pozyskania i przetwarzania w celach informacyjnych (wyłącznie dla celu spełnienia indywidualnie wobec Skarżącego obowiązku z art. 14 RODO), dalszych jego danych osobowych (danych adresowych) (por. także wyrok NSA z dnia 24 stycznia 2013 r. (sygn. akt: I OSK 1827/11 oraz wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 28 kwietnia 2014 r. sygn. akt: II SA/Wa 125/14). W tej sytuacji przyjąć należy, że w przedmiotowej sprawie znajduje zastosowanie art. 14 ust. 5 lit b) RODO – udzielenie indywidualnie Skarżącemu rzeczonych informacji jest bowiem – z przyczyn wskazanych powyżej - niemożliwe. Jednocześnie należy zgodzić się z argumentacją Fundacji, iż przyjęcie przeciwnego stanowiska oznaczałoby w istocie – wobec zakresu podmiotowego danych publikowanych w prowadzonym przez nią serwisie (ilości rekordów) – udaremnienie funkcjonowania podanego serwisu, a zatem udaremnienie Fundacji wykonywania jej zasadniczej, statutowej działalności - sprowadzającej się do dalszego udostępniania danych pozyskanych z KRS, a tym samym zniweczenia powszechnego prawa dostępu do informacji publicznej i ponownego wykorzystania informacji sektora publicznego.
Jednocześnie mając na uwadze treść informacji udostępnionych przez Fundację w ramach dokumentu „Polityka prywatności” dostępnego zarówno z poziomu strony internetowej Fundacji: […], jak również z poziomu prowadzonego przez Fundację serwisu […] (poprzednio: […]), przytoczonych szczegółowo w pkt 3 uzasadnienia faktycznego niniejszej decyzji, oceniono, że udzielając Skarżącemu w ten sposób wskazanych informacji na temat procesu przetwarzania jego danych osobowych, Fundacja spełniła warunki określone w art. 14 ust. 5 lit b) RODO in fine. Udzielenie przedmiotowych informacji stanowiło przedsięwzięcie odpowiednich i wystarczających środków w kontekście ochrony praw i wolności Skarżącego. W szczególności Skarżący uzyskał w ten sposób informację na temat procesu przetwarzania jego danych, administratora tych danych i możliwości kontaktu z nim oraz uprawnień związanych z rzeczonym przetwarzaniem danych. W konsekwencji, w rozpoznawanej sprawie nie stwierdzono naruszenia art. 14 ust. 1 i 2 RODO – na skutek wyłączenia ich stosowania na mocy art. 14 ust. 5 lit b) RODO. Tym samym zarzuty Skarżącego, w zakresie, w jakim odnosiły się do przetwarzania jego danych osobowych z naruszeniem przepisów dotyczących biernego obowiązku informacyjnego (tj. obowiązku realizowanego z inicjatywy samego administratora danych, niezależnie od żądania osoby, której dane dotyczą) oceniono, jako niezasadne. Niezależnie od powyższej oceny istotnym wydaje się by nadmienić, że stwierdzenie niedopełnienia obowiązków w obszarze informacji udzielanej osobom, której dane dotyczą, skutkować może sformułowaniem przez organ ochrony danych stosownego nakazu służącego usunięciu tego uchybienia, nie zaś nakazu usunięcia danych w ogóle. Natomiast w rozpoznawanej sprawie, jakkolwiek Skarżący postawił zarzut uchybienia powyższym obowiązkom, zarzut ten potraktował wyraźnie jako argument mający świadczyć o nielegalnym przetwarzaniu rzeczonych danych co do zasady – domagając się ich usunięcia, a nie dopełnienia jakichkolwiek obowiązków informacyjnych.
Reasumując, proces kwestionowanego przetwarzania przez Fundację danych osobowych Skarżącego realizowany jest w sposób legalny, a w konsekwencji Skarżący nie może skutecznie domagać się zaprzestania rzeczonego przetwarzania jego danych (ich usunięcia) – również w kontekście przepisów statuujących prawo do sprzeciwu wobec przetwarzania danych (art. 21 RODO) oraz prawo do bycia zapomnianym (art. 17 RODO).
Stosownie do brzmienia art. 17 ust. 1 RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności: a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane; b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania; c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania; d) dane osobowe były przetwarzane niezgodnie z prawem; e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator; f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1. W rozpoznawanej sprawie, dane osobowe Skarżącego w dalszym ciągu są niezbędne w kontekście celów realizowanych przez Fundację (brak przesłanki z art. 17 ust. 1 lit a) RODO), podstawą ich przetwarzania jest prawnie usprawiedliwiony interes realizowany przez administratora, a nie zgoda Skarżącego (brak przesłanki z art. 17 ust. 1 lit b) RODO), kwestionowany proces przetwarzania danych osobowych Skarżącego jest realizowany w sposób legalny (brak przesłanki z art. 17 ust. 1 lit d) RODO), nie istnieje przepis, który obligowałby Fundację do usunięcia kwestionowanych danych osobowych Skarżącego (brak przesłanki z art. 17 ust. 1 lit e) RODO), dane osobowe Skarżącego nie zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust.1 RODO (brak przesłanki z art. 17 ust. 1 lit f) RODO). W rozpoznawanej sprawie nie można również przyjąć istnienia przesłanki do skutecznego żądania usunięcia danych określonej w art. 17 ust. 1 lit c) RODO. Powołany przepis nakazuje usunąć dane w sytuacji wniesienia przez osobę, której one dotyczą sprzeciwu na mocy art. 21 ust. 1 i ust. 2 RODO – te z kolei regulacje dotyczą sprzeciwu wobec przetwarzania danych osobowych odpowiednio w sytuacji: gdy przetwarzanie to jest realizowane na podstawie art. 6 ust. 1 lit. e) lub f) RODO oraz gdy celem przetwarzania danych jest cel marketingowy. W niniejszej sprawie dane osobowe Skarżącego są przetwarzane w celach niezwiązanych z marketingiem.
Art. 21 ust. 1 RODO przyznaje osobie, której dane dotyczą prawo do tego, by w dowolnym momencie wnieść sprzeciw - z przyczyn związanych z jej szczególną sytuacją - wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f), w tym profilowania na podstawie tych przepisów wskazując zarazem, że administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń. Podkreślenia wymaga jednak, że w przedmiotowej sprawie nie ma podstaw by uznać, że za uwzględnieniem sprzeciwu Skarżącego przemawia jego szczególna sytuacja. Jak podkreśla się w literaturze przedmiotu, cyt.: „(…) szczególna sytuacja uzasadniająca zaprzestanie przetwarzania danych osobowych wnioskodawcy wiązać się może z groźbą ujawnienia przez takie przetwarzania danych związanych ze sferą prywatności lub życia rodzinnego, w przypadku gdy wykorzystywanie tych danych w konkretnej sytuacji nie jest bezwzględnie konieczne (…)” (P. Fajgielski „Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz” WKP 2018). W niniejszej sprawie Skarżący nie wykazał istnienia po jego stronie żadnej szczególnej sytuacji uzasadniającej żądanie zaprzestania przetwarzania przez Fundację jego danych osobowych. Argumenty przedstawione przez Skarżącego w podanym zakresie koncentrują się na kwestii naruszenia - na skutek kwestionowanych działań Fundacji – jego prawa do prywatności oraz cyt.: „(…) realnego zagrożenia praw i wolności (…)”. Wedle stanowiska pełnomocnika Skarżącego, konsekwencją kwestionowanej publikacji danych osobowych Skarżącego przez Fundację cyt.: „(…) jest sytuacja, w której dowolna osoba może w dowolnej chwili uzyskać pełną wiedzę co do daty urodzenia mojego Mocodawcy, przebiegu zatrudnienia, współpracowników biznesowych i przyjaciół. Tak daleko idące informacje tworzą realne zagrożenie dla mojego Mocodawcy – czuje się on przez to niekomfortowo i obawia wykorzystania tych danych w sposób, które pozwolą na wyrządzenie mu realnej szkody. W kontekście wieku mojego Mocodawcy, nie chce on aby każda dowolna osoba, po wpisaniu jego nazwiska do ogólnie dostępnej wyszukiwarki, mogła dowiedzieć się ile ma lat. (…) tworzy to realne utrudnienia związane chociażby z procesami rekrutacyjnymi do potencjalnych nowych pracodawców i miejsc zatrudnienia. Może to także komplikować życie prywatne, osobiste i rodzinne (…)”. Podane argumenty sprowadzają się zatem do spekulacji na temat możliwego odbioru społecznego informacji na jego temat i bliżej nieokreślonych i niepewnych dalszych konsekwencji zapoznani się z nimi. W podany sposób Skarżący w żadnym razie nie wykazał istnienia po jego stronie szczególnej sytuacji rozumianej przede wszystkim jako możliwość ujawnienia zbędnych w kontekście realizowanych przez Fundację celów, jego danych osobowych związanych ze sferą ściśle prywatną, rodzinną etc. Przetwarzane przez Fundację dane są bowiem danymi powszechnie dostępnymi w związku z uczestniczeniem przez Skarżącego w szeroko rozumianym obrocie gospodarczym, zatem nie można przyjąć, że ich przetwarzanie dla potrzeb związanych z prowadzeniem serwisu […], w tym publikowanie w tym serwisie, wiąże się - choćby potencjalnie – z ingerencją w sferę jego prywatności. Dyskomfort Skarżącego związany z możliwością zapoznania się z ww. jego danymi przez dowolną osobę, pozostaje bez wpływu na jawność tych informacji.
Reasumując, proces kwestionowanego przetwarzania danych osobowych Skarżącego przez Fundację jest realizowany legalnie, zaś żądanie Skarżącego dotyczące usunięcia jego danych nie zasługuje na uwzględnienie.
W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął, jak w sentencji.
Na podstawie art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000 ze zm.) w zw. z art. 21 ust. 1 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.) w zw. z art. 129 § 2 i art. 127 § 3 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018, poz. 2096 ze zm.), stronie niezadowolonej z niniejszej decyzji przysługuje, w terminie 14 dni od dnia jej doręczenia, prawo złożenia do Prezesa Urzędu Ochrony Danych Osobowych wniosku o ponowne rozpatrzenie sprawy (adres: Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa). Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo na podstawie art. 52 § 3 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2018 r. poz. 1302 ze zm.) do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych. Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o zwolnienie od kosztów sądowych.