Wróć do: Decyzje UODO

Sygnatura

DS.523.6794.2024

Decyzja UODO DS.523.6794.2024

Status

final

Data publikacji
16 kwietnia 2026

Treść rozstrzygnięcia

Postanowienie DS.523.6794.2024 Na podstawie art. 61a § 1 ustawy z dnia 14.06.1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2024 r. poz. 572), w zw. z art. 7 ust. 1 ustawy z dnia 10.05.2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781 t.j.) oraz w zw. z art. 57 ust. 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), Prezes Urzędu Ochrony Danych OsobowychPrezes Urzędu Ochrony Danych Osobowych postanawia odmówić wszczęcia postępowania w sprawie skargi Pana T. R., zam. w U. przy pl. (…), na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Panią G. Y., zam. w miejscowości L., (…)-(…) A., polegające na bezprawnym przetwarzaniu i wykorzystaniu jego danych osobowych, w tym jego adresu e-mail (…), oraz braku prawidłowego wypełnienia obowiązku informacyjnego wynikającego z art. 15 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35). Uzasadnienie Do Urzędu Ochrony Danych Osobowych wpłynęła w dniu 30.10.2024 r. skarga Pana T. R., zam. w U. przy pl. (…), zwanego dalej Skarżącym, na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Panią G. Y., zam. w miejscowości L., (…)-(…) A., zwaną dalej Skarżoną, polegające na bezprawnym przetwarzaniu i wykorzystaniu danych osobowych Skarżącego, w tym jego adresu e-mail (…), oraz braku prawidłowego wypełnienia obowiązku informacyjnego wynikającego z art. 15 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej rozporządzeniem 2016/679. Jak wynika z treści skargi oraz załączników do niej, Skarżący cyt.: „wnioskiem z dnia 02.12.2023 r. skierowałem do V. Sp. z o.o. o informacje (art. 15 RODO), kopię moich danych osobowych oraz wyraziłem sprzeciw RODO na dalsze przetwarzanie i wykorzystywanie moich danych. (…) W dniu 27.12.2023 r. otrzymałem odpowiedź w której w/w Podmiot ograniczył się do wskazania, z jakiej strony rzekomo moje dane pozyskał, że moje dane są nadal przetwarzane w celach marketingowych i kiedy zostały utrwalone”. V. Sp. z o.o. z siedzibą w K. przy ul. (…), zwana dalej Spółką, została wykreślona z Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy w P., (…) Wydział (…), z dniem (…).2024 r., co potwierdza wydruk z Centralnej Informacji Krajowego Rejestru Sądowego (w aktach sprawy). Uprawomocnienie wpisu o wykreśleniu nastąpiło w dniu (…).2024 r. Skarżona była prezesem zarządu tej spółki. Zdaniem Skarżącego jako członek zarządu odpowiada ona za zobowiązania Spółki. Wskazał, że nie wie, co się stało z jego danymi osobowymi i żąda od Skarżonej wypełnienia obowiązku informacyjnego, o którym mowa w art. 15 rozporządzenia 2016/679. Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje. Zgodnie z art. 61a § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2024 poz. 572 t.j.), zwanej dalej k.p.a., gdy żądanie, o którym mowa w art. 61 k.p.a., zostało wniesione przez osobę niebędącą stroną lub z innych uzasadnionych przyczyn postępowanie nie może być wszczęte, organ administracji publicznej wydaje postanowienie o odmowie wszczęcia postępowania. Organ administracji publicznej rozpatrując wniosek o wszczęcie postępowania administracyjnego ma obowiązek zbadać, czy żądanie strony jest zgodne z przepisami i czy organ posiada kompetencje do jego spełnienia. Zgodnie z art. 57 ust. 4 rozporządzenia 2016/679, jeżeli żądanie jest w sposób oczywisty nieuzasadnione lub nadmierne, w szczególności ze względu na swą powtarzalność, organ nadzorczy może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych lub może odmówić podjęcia żądanych działań. Obowiązek wykazania, że żądanie jest w sposób oczywisty nieuzasadnione lub nadmierne, spoczywa na organie nadzorczym. W konsekwencji ocena dokonywana na podstawie art. 57 ust. 4 rozporządzenia 2016/679 musi sięgać dalej, aniżeli ta dokonywana w ramach art. 61a § 1 k.p.a. Artykuł 57 ust. 4 rozporządzenia 2016/679 swą treścią w zakresie „oczywistej niezasadności” zawsze jest więc ocenny, choć w innym zakresie, niż art. 61a § 1 k.p.a. O ile art. 61a § 1 k.p.a. obliguje bowiem jedynie do odmowy podjęcia działań, gdy formalne przeszkody do wszczęcia postępowania widać na pierwszy rzut oka, to art. 57 ust. 4 rozporządzenia 2016/679 wymaga dokonania oceny żądania stanowiącego podstawę do wszczęcia postępowania. Skorzystanie przez osobę, której dane dotyczą, ze środków ochrony prawnej przewidzianych w art. 77 rozporządzenia 2016/679 – to jest z prawa do wniesienia skargi do organu nadzorczego w przypadku stwierdzenia przez nią, że mogło dojść do naruszenia przepisów rozporządzenia o ochronie danych osobowych w związku z niezrealizowaniem jej prawa określonego w rozdziale III tego rozporządzenia – może nastąpić jedynie wtedy, gdy administrator nie wywiąże się ze swego obowiązku w terminie lub odmówi spełnienia żądania. Zgodnie z art. 15 ust. 1 rozporządzenia 2016/679 osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji: a) cele przetwarzania; b) kategorie odnośnych danych osobowych; c) informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych; d) w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu; e) informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania; f) informacje o prawie wniesienia skargi do organu nadzorczego; g) jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą - wszelkie dostępne informacje o ich źródle; h) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz - przynajmniej w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. W świetle natomiast ust. 3 tego artykułu administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się w powszechnie stosowanej formie elektronicznej. Jednocześnie w myśl art. 12 ust. 3 rozporządzenia 2016/679, administrator bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania wniosku – udziela osobie, której dane dotyczą, informacje o działaniach podjętych w związki z żądaniem na podstawie art. 15 – 22 rozporządzenia 2016/679. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. W rezultacie, skorzystanie przez osobę, której dane dotyczą, ze środków ochrony prawnej przewidzianych w art. 77 rozporządzenia 2016/679, to jest z prawa do wniesienia skargi do organu nadzorczego w przypadku stwierdzenia przez nią, że mogło dojść do naruszenia przepisów ww. aktu prawnego w związku z niezrealizowaniem jej prawa wynikającego z przepisu art. 15 rozporządzenia 2016/679, może nastąpić jedynie poprzez brak terminowego spełnienia żądania lub odmowę spełnienia tego żądania po skutecznym złożeniu wniosku do administratora. Jak wynika z treści skargi, Skarżący nie kierował żądania z art. 15 rozporządzenia 2016/679 do Skarżonej. Swoje żądanie skierował tylko do Spółki. Żądanie Skarżącego skierowane do Prezesa UODO jest zatem przedwczesne. Prezes UODO nie może tym samym przeprowadzić postępowania w sprawie naruszenia przepisów o ochronie danych osobowych przez Skarżoną, gdyż nie miała on dotąd możliwości odnieść się do jego żądania. Prezes UODO nie może zastępować strony w realizacji uprawnień przysługujących jej na mocy przepisów o ochronie danych osobowych. Skarżona, po wykreśleniu Spółki z Krajowego Rejestru Sądowego, nie stała się administratorem danych osobowych Skarżącego w myśl przepisów ustawy z dnia 15.09.2000 r. Kodeks spółek handlowych (Dz.U. Z 2024 r., poz. 18 ze zm.), zwanej dalej k.s.h, jak stwierdził to Skarżący. Wskazać w tym miejscu należy, że przepis art. 299 k.s.h. przewiduje odpowiedzialność osobistą członków zarządu w stosunku do osób trzecich. Regulacja zawarta w art. 299 k.s.h. służy jednak interesowi wierzycieli spółki z ograniczoną odpowiedzialnością i ma na celu ich ochronę (zob. m.in. uchwałę SN z 19.11.2008 r., III CZP 94/08). Nie czyni ona ze Skarżonej administratora danych osobowych Skarżącego. Z żadnego przepisu prawa nie wynika, że po wykreśleniu spółki z rejestru dane osobowe, których była ona administratorem, mają być dalej przetwarzane przez określonego członka zarządu. Takie założenie Skarżącego nie jest poparte żadnymi dowodami i nieuzasadnione postanowieniami prawa. Jest jedynie jego dywagacją. Wobec powyższego stwierdzić należy, że nastąpiła inna uzasadniona przyczyna uniemożliwiająca wszczęcie postępowania w niniejszej sprawie, określona w art. 61a § 1 k.p.a., czyli – wyrażone w art. 57 ust. 4 rozporządzenia 2016/679 – oczywiście nieuzasadnione, bowiem przedwczesne żądanie wykluczające podjęcie działań przez organ nadzorczy. Wobec powyższego Prezes UODO postanowił, jak na wstępie.

Analiza z kontekstem sprawy

Co ta decyzja oznacza dla Twojej sprawy?

Zapytaj o skutki rozstrzygnięcia, podstawę prawną albo argumenty do wykorzystania. AnyLawyer rozpocznie od tej konkretnej sprawy.

Zapytaj AnyLawyer o tę decyzję

Informacje o sprawie

Rodzaj
decision
Data ogłoszenia
31 stycznia 2025
Słowa kluczowe
odmowa, Marketing, niespełnienie obowiązków informacyjnych, uprawnienia kontrolne podmiotu danych, podejmowanie zautomatyzowanych decyzji, marketing, obowiązek informacyjny, prawo do sprostowania danych, profilowanie, sektor prywatny

Źródło urzędowe: Urząd Ochrony Danych Osobowych