Postanowienie DS.523.6794.2024

Na podstawie art. 61a § 1 ustawy z dnia 14.06.1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2024 r. poz. 572), w zw. z art. 7 ust. 1 ustawy z dnia 10.05.2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781 t.j.) oraz w zw. z art. 57 ust. 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), Prezes Urzędu Ochrony Danych OsobowychPrezes Urzędu Ochrony Danych Osobowych postanawia

odmówić wszczęcia postępowania w sprawie skargi Pana T. R., zam. w U. przy pl. (…), na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Panią G. Y., zam. w miejscowości L., (…)-(…) A., polegające na bezprawnym przetwarzaniu i wykorzystaniu jego danych osobowych, w tym jego adresu e-mail (…), oraz braku prawidłowego wypełnienia obowiązku informacyjnego wynikającego z art. 15 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35).

Uzasadnienie

Do Urzędu Ochrony Danych Osobowych wpłynęła w dniu 30.10.2024 r. skarga Pana T. R., zam. w U. przy pl. (…), zwanego dalej Skarżącym, na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Panią G. Y., zam. w miejscowości L., (…)-(…) A., zwaną dalej Skarżoną, polegające na bezprawnym przetwarzaniu i wykorzystaniu danych osobowych Skarżącego, w tym jego adresu e-mail (…), oraz braku prawidłowego wypełnienia obowiązku informacyjnego wynikającego z art. 15 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej rozporządzeniem 2016/679.

Jak wynika z treści skargi oraz załączników do niej, Skarżący cyt.: „wnioskiem z dnia 02.12.2023 r. skierowałem do V. Sp. z o.o. o informacje (art. 15 RODO), kopię moich danych osobowych oraz wyraziłem sprzeciw RODO na dalsze przetwarzanie i wykorzystywanie moich danych. (…) W dniu 27.12.2023 r. otrzymałem odpowiedź w której w/w Podmiot ograniczył się do wskazania, z jakiej strony rzekomo moje dane pozyskał, że moje dane są nadal przetwarzane w celach marketingowych i kiedy zostały utrwalone”.

V. Sp. z o.o. z siedzibą w K. przy ul. (…), zwana dalej Spółką, została wykreślona z Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy w P., (…) Wydział (…), z dniem (…).2024 r., co potwierdza wydruk z Centralnej Informacji Krajowego Rejestru Sądowego (w aktach sprawy). Uprawomocnienie wpisu o wykreśleniu nastąpiło w dniu (…).2024 r. Skarżona była prezesem zarządu tej spółki. Zdaniem Skarżącego jako członek zarządu odpowiada ona za zobowiązania Spółki. Wskazał, że nie wie, co się stało z jego danymi osobowymi i żąda od Skarżonej wypełnienia obowiązku informacyjnego, o którym mowa w art. 15 rozporządzenia 2016/679.

Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Zgodnie z art. 61a § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2024 poz. 572 t.j.), zwanej dalej k.p.a., gdy żądanie, o którym mowa w art. 61 k.p.a., zostało wniesione przez osobę niebędącą stroną lub z innych uzasadnionych przyczyn postępowanie nie może być wszczęte, organ administracji publicznej wydaje postanowienie o odmowie wszczęcia postępowania. Organ administracji publicznej rozpatrując wniosek o wszczęcie postępowania administracyjnego ma obowiązek zbadać, czy żądanie strony jest zgodne z przepisami i czy organ posiada kompetencje do jego spełnienia.

Zgodnie z art. 57 ust. 4 rozporządzenia 2016/679, jeżeli żądanie jest w sposób oczywisty nieuzasadnione lub nadmierne, w szczególności ze względu na swą powtarzalność, organ nadzorczy może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych lub może odmówić podjęcia żądanych działań. Obowiązek wykazania, że żądanie jest w sposób oczywisty nieuzasadnione lub nadmierne, spoczywa na organie nadzorczym.

W konsekwencji ocena dokonywana na podstawie art. 57 ust. 4 rozporządzenia 2016/679 musi sięgać dalej, aniżeli ta dokonywana w ramach art. 61a § 1 k.p.a. Artykuł 57 ust. 4 rozporządzenia 2016/679 swą treścią w zakresie „oczywistej niezasadności” zawsze jest więc ocenny, choć w innym zakresie, niż art. 61a § 1 k.p.a. O ile art. 61a § 1 k.p.a. obliguje bowiem jedynie do odmowy podjęcia działań, gdy formalne przeszkody do wszczęcia postępowania widać na pierwszy rzut oka, to art. 57 ust. 4 rozporządzenia 2016/679 wymaga dokonania oceny żądania stanowiącego podstawę do wszczęcia postępowania.

Skorzystanie przez osobę, której dane dotyczą, ze środków ochrony prawnej przewidzianych w art. 77 rozporządzenia 2016/679 – to jest z prawa do wniesienia skargi do organu nadzorczego w przypadku stwierdzenia przez nią, że mogło dojść do naruszenia przepisów rozporządzenia o ochronie danych osobowych w związku z niezrealizowaniem jej prawa określonego w rozdziale III tego rozporządzenia – może nastąpić jedynie wtedy, gdy administrator nie wywiąże się ze swego obowiązku w terminie lub odmówi spełnienia żądania.

Zgodnie z art. 15 ust. 1 rozporządzenia 2016/679 osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:

a)

cele przetwarzania;

b)

kategorie odnośnych danych osobowych;

c)

informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;

d)

w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

e)

informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;

f)

informacje o prawie wniesienia skargi do organu nadzorczego;

g)

jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą - wszelkie dostępne informacje o ich źródle;

h)

informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz - przynajmniej w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. W świetle natomiast ust. 3 tego artykułu administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się w powszechnie stosowanej formie elektronicznej. Jednocześnie w myśl art. 12 ust. 3 rozporządzenia 2016/679, administrator bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania wniosku – udziela osobie, której dane dotyczą, informacje o działaniach podjętych w związki z żądaniem na podstawie art. 15 – 22 rozporządzenia 2016/679. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia.

W rezultacie, skorzystanie przez osobę, której dane dotyczą, ze środków ochrony prawnej przewidzianych w art. 77 rozporządzenia 2016/679, to jest z prawa do wniesienia skargi do organu nadzorczego w przypadku stwierdzenia przez nią, że mogło dojść do naruszenia przepisów ww. aktu prawnego w związku z niezrealizowaniem jej prawa wynikającego z przepisu art. 15 rozporządzenia 2016/679, może nastąpić jedynie poprzez brak terminowego spełnienia żądania lub odmowę spełnienia tego żądania po skutecznym złożeniu wniosku do administratora.

Jak wynika z treści skargi, Skarżący nie kierował żądania z art. 15 rozporządzenia 2016/679 do Skarżonej. Swoje żądanie skierował tylko do Spółki. Żądanie Skarżącego skierowane do Prezesa UODO jest zatem przedwczesne. Prezes UODO nie może tym samym przeprowadzić postępowania w sprawie naruszenia przepisów o ochronie danych osobowych przez Skarżoną, gdyż nie miała on dotąd możliwości odnieść się do jego żądania. Prezes UODO nie może zastępować strony w realizacji uprawnień przysługujących jej na mocy przepisów o ochronie danych osobowych.

Skarżona, po wykreśleniu Spółki z Krajowego Rejestru Sądowego, nie stała się administratorem danych osobowych Skarżącego w myśl przepisów ustawy z dnia 15.09.2000 r. Kodeks spółek handlowych (Dz.U. Z 2024 r., poz. 18 ze zm.), zwanej dalej k.s.h, jak stwierdził to Skarżący. Wskazać w tym miejscu należy, że przepis art. 299 k.s.h. przewiduje odpowiedzialność osobistą członków zarządu w stosunku do osób trzecich. Regulacja zawarta w art. 299 k.s.h. służy jednak interesowi wierzycieli spółki z ograniczoną odpowiedzialnością i ma na celu ich ochronę (zob. m.in. uchwałę SN z 19.11.2008 r., III CZP 94/08). Nie czyni ona ze Skarżonej administratora danych osobowych Skarżącego. Z żadnego przepisu prawa nie wynika, że po wykreśleniu spółki z rejestru dane osobowe, których była ona administratorem, mają być dalej przetwarzane przez określonego członka zarządu. Takie założenie Skarżącego nie jest poparte żadnymi dowodami i nieuzasadnione postanowieniami prawa. Jest jedynie jego dywagacją.

Wobec powyższego stwierdzić należy, że nastąpiła inna uzasadniona przyczyna uniemożliwiająca wszczęcie postępowania w niniejszej sprawie, określona w art. 61a § 1 k.p.a., czyli – wyrażone w art. 57 ust. 4 rozporządzenia 2016/679 – oczywiście nieuzasadnione, bowiem przedwczesne żądanie wykluczające podjęcie działań przez organ nadzorczy.

Wobec powyższego Prezes UODO postanowił, jak na wstępie.