Decyzja DKN.5112.28.2022

Na podstawie art. 104 § 1 i art. 105 ust. 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572), dalej Kpa, w związku z art. 7, art. 60 i art. 90 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a) i lit. h), w także art. 58 ust. 2 lit. b) w związku z art. 29 i art. 32 ust. 4 oraz art. 30 ust. 2 i ust. 3 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), zwanego dalej „rozporządzeniem 2016/679”,

po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez G. R. prowadzącego działalność gospodarczą pod firmą H. (…) z miejscem wykonywania działalności w B. przy ul. (…), Prezes Urzędu Ochrony Danych Osobowych,

I.

Stwierdzając naruszenie przez G. R. prowadzącego działalność gospodarczą pod firmą H. (…) z miejscem wykonywania działalności w B. przy ul. (…) przepisów:

a)

art. 29 i art. 32 ust. 4 rozporządzenia 2016/679, polegające na niezapewnieniu, aby każda osoba mająca dostęp do danych osobowych przetwarzała je wyłącznie na polecenie administratora,

b)

art. 30 ust. 2 i 3 rozporządzenia 2016/679, polegające na nieprowadzeniu, jako podmiot przetwarzający, rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora,

udziela G. R. prowadzącemu działalność gospodarczą pod firmą H. (…) z miejscem wykonywania działalności w B. przy ul. (…) upomnienia.

II.

W pozostałym zakresie umarza postępowanie.

Uzasadnienie

1.

Upoważnieni przez Prezesa Urzędu Ochrony Danych Osobowych (dalej także jako „Prezes Urzędu”) kontrolujący przeprowadzili w dniach od 22 do 26 sierpnia 2022 r. u Pana G. R. prowadzącego działalność gospodarczą pod firmą H. (…) z miejscem wykonywania działalności w B. przy ul. (…) (dalej także jako „Przedsiębiorca”), kontrolę zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, tj. z rozporządzeniem 2016/679 oraz ustawą z 10 maja 2018 r. o ochronie danych osobowych.

2.

Kontrola została przeprowadzona w związku z zarejestrowanym przez Prezesa Urzędu pod sygnaturą (…) zgłoszeniem naruszenia ochrony danych osobowych, dokonanym przez Pana T. S. prowadzącego działalność gospodarczą pod firmą W. (…) z miejscem wykonywania działalności w B. przy ul. (…), zwanego dalej także „Administratorem”. Zakresem kontroli objęto przetwarzanie przez Przedsiębiorcę danych osobowych w związku z ww. naruszeniem ochrony danych osobowych.

3.

Celem kontroli przeprowadzonej przez Prezesa Urzędu u Przedsiębiorcy było zweryfikowanie, czy Przedsiębiorca przetwarza dane osobowe zgodnie z przepisami rozporządzeniem 2016/679. W ramach zakresu kontroli sprawdzono m.in., czy wdrożone zostały odpowiednie środki techniczne i organizacyjne dotyczące funkcjonowania systemu informatycznego wykorzystywanego do przetwarzania danych osobowych objętych ww. naruszeniem.

4.

Dokonano również sprawdzenia, czy przetwarzanie danych odbywa się w sposób zapewniający, aby każda osoba mająca dostęp do danych osobowych przetwarzała je wyłącznie na polecenie administratora, np. na podstawie nadanych upoważnień. Ponadto zweryfikowano, czy Przedsiębiorca prowadzi rejestr kategorii czynności przetwarzania danych osobowych, w którym zamieszczone są wszystkie informacje określone w art. 30 ust. 2 rozporządzenia 2016/679.

5.

W toku kontroli odebrano od Przedsiębiorcy oraz od wyznaczonych przez niego osób wyjaśnienia, pozyskano kopie dokumentów przedłożonych przez Przedsiębiorcę kontrolującym oraz dokonano oględzin systemów informatycznych, w ramach których odbywa się przetwarzanie danych osobowych. Stan faktyczny szczegółowo opisano w protokole kontroli, który został podpisany przez kontrolowanego.

I. Ustalenia stanu faktycznego sprawy.

6.

Głównym przedmiotem działalności Przedsiębiorcy na dzień kontroli było (…) na bazie oprogramowania dostarczonego przez M. S.A. z siedzibą w B.. Współpraca Przedsiębiorcy z M. S.A. odbywa się na podstawie umowy zawartej na odległość, tj. za pośrednictwem sieci Internet, poprzez założenie konta resellerskiego na wirtualnej platformie dostępnej na stronie internetowej pod adresem www.(…)

7.

Na podstawie umowy z 1 czerwca 2020 r. zawartej przez Przedsiębiorcę z Administratorem, na dzień kontroli Przedsiębiorca świadczył na rzecz Administratora między innymi usługę pozycjonowania strony internetowej sklepu internetowego prowadzonego przez Administratora w wyszukiwarce Z.. Ponadto, Przedsiębiorca zawarł z Administratorem umowę z 24 maja 2018 r., na mocy której Administrator powierzył mu przetwarzanie danych osobowych.

8.

W wyniku kontroli ustalono, że Przedsiębiorca przetwarzał dane osobowe objęte ww. naruszeniem ochrony danych zgłoszonym przez Administratora jako podmiot przetwarzający, nie zaś jako administrator w rozumieniu art. 4 pkt 7 rozporządzenia 2016/679. Administratorem ww. danych, w rozumieniu ww. przepisu, był T. S. prowadzący działalność gospodarczą pod firmą W. (…) z miejscem wykonywania działalności w B. przy ul. (…).

9.

Przedmiotowe naruszenie ochrony danych osobowych polegało na tym, iż w wyniku niepowołanego dostępu do zarejestrowanego przez Przedsiębiorcę konta Z. i znajdujących się w nim haseł dostępowych do sklepu internetowego prowadzonego przez Administratora pod adresem „(…)” doszło do nieuprawnionego dostępu do danych osobowych z panelu administracyjnego tego sklepu internetowego, prowadzonego przez T. S. w ramach działalności gospodarczej pod firmą W. (…), będącego administratorem ww. danych w rozumieniu art. 4 pkt 7 rozporządzenia 2016/679. Dostęp do ww. panelu administracyjnego sklepu miał miejsce w rezultacie dwóch nieuprawnionych logowań w dniach (…) 2021 r. (z adresu IP (…)) oraz (…) 2021 r. (z adresu IP (…)) z użyciem konta dostępowego przydzielonego Przedsiębiorcy przez Administratora. W dniu (…) 2021 r. o godzinie (…) zostało wyeksportowane (…) rekordów będących zamówieniami klientów wraz z ich danymi osobowymi takimi jak imię i nazwisko, adres e-mail, telefon oraz adres zamieszkania/adres wysyłki.

II. W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu zważył, co następuje:

10.

Na podstawie zgromadzonego materiału dowodowego w toku przeprowadzonej kontroli ustalono, że w procesie przetwarzania danych osobowych Przedsiębiorca naruszył przepisy o ochronie danych osobowych. Naruszenia te polegały na przetwarzaniu danych osobowych klientów Administratora bez wprowadzenia środków zapewniających, by przetwarzanie to odbywało się z upoważnienia Przedsiębiorcy jako podmiotu przetwarzającego i wyłącznie na polecenie Administratora, jak również na nieprowadzeniu przez Przedsiębiorcę jako podmiot przetwarzający rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora. Powyższe okoliczności stanowiły o naruszeniu przez Przedsiębiorcę przepisów art. 29 i art. 32 ust. 4 oraz art. 30 ust. 2 i 3 rozporządzenia 2016/679.

11.

W oparciu o materiał dowodowy zebrany w niniejszej sprawie stwierdzono, że Przedsiębiorca nie naruszył natomiast przepisów rozporządzenia 2016/679 w zakresie obowiązku wdrożenia odpowiednich środków technicznych służących zapewnieniu bezpieczeństwa przetwarzania, wynikającego z treści art. 32 ust. 1 rozporządzenia 2016/679.

12.

W związku z powyższym, (…) 2024 r. Prezes Urzędu wszczął wobec Przedsiębiorcy postępowanie administracyjne w celu wyjaśnienia okoliczności sprawy w zakresie naruszenia art. 29 i art. 32 ust. 4 w związku z art. 5 ust. 2 oraz art. 30 ust. 2 i 3 rozporządzenia 2016/679. Następnie, pismem z (…) 2024 r., Prezes Urzędu rozszerzył powyższe postępowanie o możliwość naruszenia przez Przedsiębiorcę przepisu art. 5 ust. 1 lit. f) rozporządzenia 2016/679.

13.

Przedsiębiorca nie ustosunkował się do pisma zawiadamiającego o wszczęciu postępowania administracyjnego, jak również do pisma informującego o rozszerzeniu tego postępowania.

III. Naruszenie art. 29 i art. 32 ust. 4 rozporządzenia 2016/679.

14.

Jak wynika z treści art. 32 ust. 4 rozporządzenia 2016/679, administrator oraz podmiot przetwarzający (jak w przypadku Przedsiębiorcy) podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.

15.

Z kolei w myśl art. 29 rozporządzenia 2016/679, podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.

16.

Według doktryny prawa powyższy „artykuł dotyczy przetwarzania danych osobowych zgodnie z instrukcjami (na polecenie) administratora, przy czym wymóg ten adresowany jest zarówno do podmiotu przetwarzającego dane na zlecenie administratora, jak również do osób działających z upoważnienia administratora oraz z upoważnienia podmiotu przetwarzającego dane na zlecenie administratora”^[1].

17.

Ponadto, jak wskazuje się w komentarzu do rozporządzenia 2016/679 pod redakcją naukową Edyty Bielak-Jomaa oraz Dominika Lubasza („RODO Ogólne rozporządzenie o ochronie danych”, wyd. Wolters Kluwer Polska S.A., 2018, s. 658), „Wobec braku wskazania przez prawodawcę wymogów formalnych w zakresie udzielania polecenia osobie upoważnionej, teoretycznie możliwe jest zastosowanie każdej formy. Przy uwzględnieniu jednak ogólnego podejścia prawodawcy europejskiego do kwestii dokumentowania oświadczeń lub czynności sugerowaną formą dokumentowania poleceń powinna być forma pisemna, w tym elektroniczna (…)”.

18.

Jednym ze sposobów spełnienia wymogu art. 32 ust. 4 oraz art. 29 rozporządzenia 2016/679 dotyczącego zapewnienia, by przetwarzanie danych przez pracowników (współpracowników) podmiotu przetwarzającego, którym w stosunku do Administratora był Przedsiębiorca, odbywało się z upoważnienia Przedsiębiorcy jako podmiotu przetwarzającego i wyłącznie na polecenie Administratora, może być udzielenie pracownikom (współpracownikom) stosownych upoważnień. Zapewnienie przetwarzania danych osobowych wyłącznie na polecenie administratora i z upoważnienia podmiotu przetwarzającego, może polegać także na innych działaniach niż udzielenie upoważnienia, np. poprzez skierowanie do pracownika określonego komunikatu w drodze korespondencji elektronicznej, itp. Niemniej jednak ww. działania nie mogą budzić wątpliwości co do zakresu polecenia administratora i zarazem zakresu upoważnienia udzielonego przez Przedsiębiorcę jako podmiot przetwarzający. Tak więc podmiot przetwarzający musi wykazać, np. poprzez przedstawienie stosownych dowodów, że podjął ww. działania i że były one adekwatne do potrzeb i warunków przetwarzania. Innymi słowy, z przedstawionych przez podmiot przetwarzający dowodów powinno jasno wynikać przede wszystkim, kto przetwarza dane na polecenie administratora, w jakim zakresie, w jakim celu oraz w jakim czasie jest upoważniony to czynić.

19.

Jak wynika z materiału dowodowego zgromadzonego w toku kontroli i postępowania administracyjnego, Przedsiębiorca do (…) 2021 r. nie udzielił wszystkim swoim pracownikom (współpracownikom) stosownych upoważnień do przetwarzania danych, jak również nie ewidencjonował takiej dokumentacji, poprzez prowadzenie np. rejestru upoważnień.

20.

Przedsiębiorca nie przedstawił również w toku kontroli ani postępowania administracyjnego innych środków niż upoważnienie zapewniających, by przetwarzanie danych przez pracowników (współpracowników) Przedsiębiorcy odbywało się z jego upoważnienia jako podmiotu przetwarzającego i wyłącznie na polecenie Administratora. W konsekwencji Przedsiębiorca nie zapewnił do (…) 2021 r., aby przetwarzanie powierzonych mu przez Administratora danych osobowych klientów odbywało się z upoważnienia Przedsiębiorcy jako podmiotu przetwarzającego i wyłącznie na polecenie Administratora, co oznacza naruszenie art. 29 i art. 32 ust. 4 rozporządzenia 2016/679.

21.

Upoważnienia do przetwarzania danych osobowych Przedsiębiorca nadał swoim pracownikom (współpracownikom) dopiero w okresie od (…) do (…) 2021 r. Tym samym stan naruszenia przepisów rozporządzenia 2016/679 w tym zakresie ustał (…) 2021 r., co uzasadnia odstąpienie przez Prezesa Urzędu od skorzystania z przysługującego mu na gruncie art. 58 ust. 2 lit. d) rozporządzenia 2016/679 środka naprawczego w postaci nakazania dostosowania operacji przetwarzania do przepisów rozporządzenia 2016/679.

22.

Przedsiębiorca w odniesieniu do danych przetwarzanych przez niego w imieniu Administratora powinien zapewnić sobie należytą kontrolę nad wewnętrznymi regułami przetwarzania danych osobowych przez jego pracowników (współpracowników), tj. nad tym, kto, w jakim czasie i w jakim zakresie może przetwarzać dane w związku z jego poleceniem. Zapewniając sobie kontrolę nad procesami przetwarzania danych może wówczas zawczasu reagować na wszelkiego rodzaju potencjalne nieprawidłowości w tym zakresie, w tym także w przypadku przetwarzania wykraczającego poza zakres jego polecenia, tj. np. w przypadku, gdy pracownik zacząłby w nieautoryzowany i niekontrolowany sposób wykorzystywać dane w innych celach, niż objęte zakresem upoważnienia.

23.

Należy zatem raz jeszcze wskazać, że Przedsiębiorca nie przedstawił ww. dowodów, a tym samym nie był w stanie wykazać, że uczynił zadość postanowieniom art. 29 oraz art. 32 ust. 4 rozporządzenia 2016/679 w okresie od 25 maja 2018 r. (data wejścia w życie przepisów rozporządzenia 2016/679) do (…) 2021 r., w którym udzielił upoważnień do przetwarzania danych osobowych wszystkim swoim pracownikom (współpracownikom).

IV. Naruszenie art. 30 ust. 2 i 3 rozporządzenia 2016/679.

24.

Zgodnie z treścią przepisu art. 30 ust. 2 rozporządzenia 2016/679, na podmiocie przetwarzającym ciąży obowiązek prowadzenia (w stosownych przypadkach przez przedstawiciela podmiotu przetwarzającego) rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, w którym zawarte są następujące informacje:

a)

imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie - przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;

b)

kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;

c)

gdy ma to zastosowanie - przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;

d)

jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

Powyższy rejestr ma formę pisemną, w tym formę elektroniczną, o czym mowa w art. 30 ust. 3 rozporządzenia 2016/679.

25.

W literaturze przedmiotu podkreśla się, że „w ust. 2 nałożono obowiązek prowadzenia rejestru na podmiot przetwarzający dane w imieniu administratora (także na przedstawiciela podmiotu przetwarzającego) oraz określono zakres informacji, jakie powinny znaleźć się w tym rejestrze. Przepis ust. 3 określa formę, w jakiej rejestr powinien być prowadzony”^[2] . Należy zauważyć, że Przedsiębiorca miał zatem obowiązek prowadzenia powoływanego rejestru, przede wszystkim wobec pełnionej przez niego roli podmiotu przetwarzającego, w zakresie wykonywanych procesów przetwarzania danych osobowych w relacji z Administratorem.

26.

Jak wynika z ustaleń poczynionych w toku kontroli, Przedsiębiorca do (…) 2021 r. nie prowadził rejestru kategorii czynności przetwarzania danych osobowych, dokonywanych w imieniu Administratora. Powyższy rejestr został wdrożony dopiero (…) 2021 r. W związku z powyższym należy przyjąć, że naruszenie przepisów art. 30 ust. 2 i 3 rozporządzenia 2016/679 miało miejsce do ww. daty, zatem na dzień wydania niniejszej decyzji stan naruszenia ww. przepisów został usunięty, co z kolei uzasadnia brak konieczności sformułowania w ww. zakresie nakazu dostosowania operacji przetwarzania do przepisów rozporządzenia 2016/679 poprzez wdrożenie rejestru kategorii czynności przetwarzania.

V. Uzasadnienie udzielenia upomnienia.

27.

Działając na podstawie art. 58 ust. 2 lit. b) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi lub podmiotowi przetwarzającemu, w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania, Prezes Urzędu uznaje za uzasadnione udzielenie Przedsiębiorcy upomnienia w zakresie stwierdzonego naruszenia przepisów art. 29 i art. 32 ust. 4 oraz art. 30 ust. 2 i 3 rozporządzenia 2016/679.

28.

Motyw 148 ww. rozporządzenia stanowi, że aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy rozporządzenia 2016/679 przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące. Prezes Urzędu uznał, że w ustalonych okolicznościach niniejszej sprawy wystarczającym środkiem jest udzielenie Przedsiębiorcy upomnienia.

29.

Za okoliczność łagodzącą, która między innymi za tym przemawia, Prezes Urzędu uznał okoliczność, iż w wyniku popełnionych przez Przedsiębiorcę naruszeń przepisów rozporządzenia 2016/679 nie stwierdzono naruszenia praw lub wolności osób, których dane dotyczą. W szczególności, w toku kontroli oraz postępowania administracyjnego nie stwierdzono, aby ww. osoby kierowały wobec Przedsiębiorcy skargi lub roszczenia. W związku powyższym w sprawie nie stwierdzono również przypadków wyrządzenia szkód osobom, których dane dotyczą. Należy również uznać, że współpraca Przedsiębiorcy z organem nadzorczym dotycząca wyjaśnienia okoliczności sprawy (w toku kontroli) odbywała się w sposób niebudzący zastrzeżeń. Prezes Urzędu wziął także pod uwagę fakt, że naruszenia przepisów rozporządzenia 2016/679, które są przedmiotem niniejszego postępowania, zostały przez Przedsiębiorcę usunięte. Również zakres przetwarzanych przez Przedsiębiorcę danych stanowi w sprawie okoliczność łagodzącą, bowiem sprowadzał się on jedynie do danych najbardziej podstawowych, takich jak: imię, nazwisko, adres zamieszkania oraz adres poczty elektronicznej. W sprawie nie stwierdzono przetwarzania szczególnych danych osobowych, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679.

30.

W ocenie Prezesa Urzędu nałożone upomnienie zapobiegnie w sposób należyty naruszeniom przepisów o ochronie danych osobowych przez Przedsiębiorcę w przyszłości. Należy jednakże zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa Urzędu wobec Przedsiębiorcy będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia administracyjnej kary pieniężnej, zgodnie z zasadami określonymi w art. 83 ust. 2 rozporządzenia 2016/679.

VI. Umorzenie postępowania administracyjnego.

31.

Naruszenie przez Przedsiębiorcę zasad przetwarzania danych osobowych określonych w art. 5 ust. 1 lit. f) oraz 5 ust. 2 rozporządzenia 2016/679, wskazane w zawiadomieniu z (…) 2024 r. o wszczęciu postępowania oraz w zawiadomieniu z (…) 2024 r. o rozszerzeniu postępowania, może być, w świetle treści ww. przepisów, popełnione wyłącznie przez administratora danych. Wobec powyższego, Prezes Urzędu, po zweryfikowaniu roli, w jakiej Przedsiębiorca przetwarzał dane osobowe objęte zgłoszonym naruszeniem ochrony danych osobowych (tj. jako podmiot przetwarzający), uznał ostatecznie, że w przedmiotowej sprawie nie doszło do naruszenia przez Przedsiębiorcę przepisów art. 5 ust. 1 lit. f) oraz 5 ust. 2 rozporządzenia 2016/679. Zgodnie bowiem z treścią ww. przepisów rozporządzenia 2016/679, ich naruszenia może dopuścić się wyłącznie administrator. Wobec powyższego, prowadzenie postępowania w niniejszej sprawie w zakresie naruszenia przez Przedsiębiorcę art. 5 ust. 1 lit. f) i ust. 2 rozporządzenia 2016/679 stało się bezprzedmiotowe i należało je umorzyć.

32.

Stosownie bowiem do art. 105 § 1 Kpa, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości albo w części, organ administracji publicznej wydaje decyzję o umorzeniu postępowania odpowiednio w całości albo w części. Przesłanką umorzenia postępowania, na podstawie art. 105 § 1 Kpa jest bezprzedmiotowość postępowania „z jakiejkolwiek przyczyny”, czyli z każdej przyczyny powodującej brak jednego z elementów materialnego stosunku prawnego w odniesieniu do jego strony podmiotowej lub przedmiotowej (wyrok NSA z 21 stycznia 1999 r., sygn. akt SA/Sz 1029/97). Takie samo stanowisko zajął Wojewódzki Sąd Administracyjny w Krakowie w wyroku z 27 lutego 2008 r., sygn. akt III SA/Kr 762/2007. Jednocześnie w literaturze przedmiotu wskazuje się, że bezprzedmiotowość postępowania administracyjnego, o której stanowi art. 105 § 1 Kpa, oznacza, że brak jest określonego elementu materialnego stosunku prawnego, a wobec tego nie można wydać decyzji załatwiającej sprawę przez rozstrzygnięcie jej co do istoty^[3].

Mając powyższe na uwadze Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak w sentencji niniejszej decyzji.