Decyzja

Na podstawie art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256 ze zm.), art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781) w zw. z art. 12 pkt 2 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.) oraz z art. 57 ust. 1 pkt a) i f) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016 r. str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 r. str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie skargi G. B., na przetwarzanie jego danych osobowych w celach marketingowych oraz niespełnienie żądania usunięcia tych danych przez J. M., prowadzącą działalność gospodarczą pod firmą F., Prezes Urzędu Ochrony Danych Osobowych

umarza postępowanie.

UZASADNIENIE

Do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie: Urzędu Ochrony Danych Osobowych) wpłynęła skarga G. B. (zwanego dalej „Skarżącym”), na przetwarzanie jego danych osobowych w celach marketingowych oraz niespełnienie żądania usunięcia tych danych przez J. M., prowadzącą działalność gospodarczą pod firmą F. (zwaną dalej „Administratorem”). Skarżący podniósł, że […] czerwca 2015 roku, skierował do Administratora oświadczenie o odwołaniu zgody na przetwarzanie jego danych osobowych do celów marketingowych oraz żądanie usunięcia tych danych przez Administratora. Pismem z […] czerwca 2015 roku, skierowanym w imieniu Administratora do Skarżącego, wskazano, że dane osobowe Skarżącego zostały usunięte z systemu zgodnie z jego żądaniem. Skarżący wskazał, że od stycznia 2017 roku ponownie otrzymywał połączenia telefoniczne wykonywane w imieniu Administratora. Skarżący wskazał, że ostatnie połączenie miało miejsce […] sierpnia 2017 roku. W związku z powyższym Skarżący wniósł o wyegzekwowanie od Administratora jego oświadczenia obejmującego odwołanie zgody na wykorzystywanie jego danych osobowych do celów marketingowych oraz żądania ich zniszczenia.

W toku postępowania przeprowadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny:

Administrator prowadził działalność gospodarczą pod firmą F., wpisaną w Centralnej Ewidencji i Informacji o Działalności Gospodarczej Rzeczypospolitej Polskiej (zwanej dalej „CEIDG”). W systemie ujawniony jest wpis, według którego wskazana wyżej działalność gospodarcza Administratora jest zawieszona od […] listopada 2017 roku.

W dniu […] czerwca 2015 roku Skarżący skierował do Administratora odwołanie zgody na przetwarzanie jego danych osobowych oraz żądanie usunięcia tych danych.

W dniu […] czerwca 2015 roku, Skarżący został pisemnie poinformowany o usunięciu jego danych osobowych z systemu informatycznego Administratora.

Od stycznia 2017 roku wznowione zostały połączenia telefoniczne, kierowane w imieniu Administratora do Skarżącego. Skarżący przedstawił 5 numerów telefonów komórkowych, z których dokonywane były połączenia. Ostatnie połączenie zostało wykonane […] sierpnia 2017 roku.

Po rozpatrzeniu materiału dowodowego zgromadzonego w sprawie, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Z dniem wejścia w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwanej dalej „u.o.d.o. 2018”, tj. z dniem 25 maja 2018 r., Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), zwanej dalej „k.p.a.”. Wszelkie czynności podjęte przez Generalnego Inspektora Ochrony Danych Osobowych przed dniem 25 maja 2018 r. pozostają skuteczne (art. 160 ust. 1–3 u.o.d.o. 2018).

Stosownie do art. 57 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. U. UE L 119 z 4.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 str. 2), zwanego dalej „Rozporządzeniem 2016/679”, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia (lit. a) oraz rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez umocowany przez nią – zgodnie z art. 80 Rozporządzeniem 2016/679 – podmiot, organizację lub zrzeszenie, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (lit. f).

W tym miejscu wskazać należy, że Prezes Urzędu Ochrony Danych Osobowych wydając decyzję administracyjną zobowiązany jest do rozstrzygania w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Jak podnosi doktryna „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania (…). Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno-prawnych, gdy stosunki te tego wymagają” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego, M. Jaśkowska, A. Wróbel, Lex., el/2012). Również Naczelny Sąd Administracyjny – w wyroku z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07 stwierdził, iż cyt.: „badając bowiem legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.

Odnosząc powyższe do ustalonego stanu faktycznego, stwierdzić należy, że w toku prowadzonego postępowania wyjaśniającego Prezes Urzędu Ochrony Danych Osobowych ustalił, iż obecnie dane osobowe Skarżącego nie są przetwarzane przez Administratora.

Wniosek Skarżącego o zaprzestanie przetwarzania w celach marketingowych i usunięcie jego danych osobowych, o ile został uwzględniony przez Administratora (co potwierdza pismo Administratora do Skarżącego skierowane z […] czerwca 2015 roku), to czynność ta została dokonana w sposób nieudolny. Potwierdza to fakt, że po upływie kilkunastu miesięcy od oświadczenia o usunięciu danych, Skarżący ponownie otrzymywał niechciane telefony o treści marketingowej a oświadczenia rozmówców wskazywały, że są to telefony kierowane w imieniu Administratora. Prowadzi to do wniosku, że w czasie, w którym Skarżący otrzymywał w/w telefony, tj. od stycznia do sierpnia 2017 roku, w systemie Administratora pozostawały nieusunięte dane osobowe Skarżącego, co więcej – ponownie użyto ich w celach marketingowych.

Ostatni kontakt nawiązany w imieniu Administratora ze Skarżącym przy użyciu jego danych osobowych, miał miejsce […] sierpnia 2017 roku. Po tej dacie Administrator nie kontaktował się już ze Skarżącym, co może być podstawą do stwierdzenia, że Administrator ostatecznie usunął dane osobowe Skarżącego z systemu informatycznego, do czego zobowiązał się w 2015 roku.

W chwili wydania niniejszej decyzji działalność gospodarcza Administratora, prowadzoną pod firmą F pozostaje w stanie zawieszenia, począwszy od […] listopada 2017 roku. Wpis w ewidencji działalności gospodarczej CEIDG ma charakter deklaratoryjny i nie przesądza o faktycznym statusie prowadzenia działalności. Jednak tak długi okres zawieszenia uzasadnia stwierdzenie, że działalność ta nie jest aktualnie faktycznie prowadzona. Nadto należy wziąć pod uwagę, że co do zasady zawieszenie działalności jest możliwe w sytuacji, gdy przedsiębiorca nie zatrudnia pracowników, zgodnie z art. 22 ust. 1 Ustawy z dnia 6 marca 2018 r. - Prawo przedsiębiorców (t.j. Dz. U. z 2019 r. poz. 1292 z późn. zm.), poza wyjątkami przewidzianymi w ust. 2 w/w przepisu.

Wszystkie powyższe ustalenia, rozpatrywane łącznie, prowadzą do domniemania faktycznego, że podmiot wskazany w przedmiotowej sprawie jako Administrator danych, na dzień wydania niniejszej decyzji nie prowadzi już działalności gospodarczej i nie przetwarza danych osobowych Skarżącego.  

Z powyższych względów niniejsze postępowanie administracyjne stało się bezprzedmiotowe i w związku z tym należało je umorzyć na podstawie art. 105 § 1 k.p.a.

Zgodnie z wyżej wskazanym przepisem, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości lub w części, organ administracji publicznej wydaje decyzję o umorzeniu postępowania odpowiednio w całości lub w części. W doktrynie wskazano, że „Umorzenie postępowania nie jest zależne ani od woli organu administracji, ani tym bardziej pozostawione do uznania organu – organ ten jest zobowiązany do umorzenia postępowania w przypadku stwierdzenia jego bezprzedmiotowości. (…) Bezprzedmiotowość postępowania może być także wynikiem zmiany stanu faktycznego sprawy. Postępowanie musi być uznane za bezprzedmiotowe wskutek ustania stanu faktycznego podlegającego uregulowaniu przez organ administracji w drodze decyzji (por. uzasadnienie wyroku NSA z 29 września 1987 r., IV SA 220/87, ONSA 1987, nr 2, poz. 67)” - Przybysz Piotr Marek. Art. 105. W: Kodeks postępowania administracyjnego. Komentarz aktualizowany. System Informacji Prawnej LEX, 2019.

Wniesienie skargi przez Skarżącego należy ocenić jako zasadne - zainicjowanie niniejszego postępowania administracyjnego przez Skarżącego, mogło w istotny sposób wpłynąć na ostateczne zrealizowanie jego żądań i respektowanie prawa w zakresie przetwarzania jego danych osobowych przez Administratora. W toku niniejszej sprawy wystąpiła jednak przesłanka bezprzedmiotowości postępowania i jest konsekwencją faktu, że Administrator danych, wskazany w skardze, faktycznie nie wykonuje już działalności gospodarczej.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Na podstawie art. 127 § 3 k.p.a. od decyzji przysługuje stronie prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.