Decyzja
DKE.523.7.2021
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256 ze zm.) oraz na podstawie art. 160 ust. 1 i 2 ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz. U. z 2019 r. poz. 1781) oraz art. 12 pkt 2, art. 22, art. 23 ust. l pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), w związku z art. 6 ust. 1 lit. c) oraz lit. f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), w związku z art. 105 ust. 4 i art. 105a ust. 4 i 5ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2020 r. poz. 1896 ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana P. S., na przetwarzanie jego danych osobowych przez A. S.A. oraz ich udostępnienie B. S.A., Prezes Urzędu Ochrony Danych Osobowych
odmawia uwzględnienia wniosku
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pana P. S. (zwanego dalej także: „Skarżącym”), reprezentowanego przez pełnomocnika Pana D. O. (Kancelaria […]), na przetwarzanie jego danych osobowych przez Bank A. S.A., zwany dalej „Bankiem” oraz ich udostępnienie B. S.A. dalej „B”.
Pełnomocnik Skarżącego wskazał, że Bank przetwarza bez podstawy prawnej dane osobowe Pana P. S., tj. bez jego zgody, w zakresie dotyczącym następujących umów: umowy […] z […] listopada 2008 r.; umowy […] z […] listopada 2008 r. oraz umowy […] z […] listopada 2008 r. ponieważ Bank nie wypełnił wobec Skarżącego obowiązku wynikającego z dyspozycji art. 105a ust. 3 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2020 r. poz. 1896 ze zm.), zwanej dalej: „Prawem bankowym”. Bank kilkakrotnie proszony był o przedstawienie dowodu, wykazującego spełnienie przez Bank ww. obowiązku informacyjnego, jednakże Bank wskazywał jedynie fakt przesłania listu zwykłego, który nigdy nie został doręczony Skarżącemu. Pełnomocnik wskazał także, że bezspornym jest, iż z tytułu powyższych umów spowodowane zostało zadłużenie, które zostało ostatecznie spłacone, a zatem poprzez jego całkowitą spłatę wygasł stosunek prawny pomiędzy Bankiem a Skarżącym.
W związku z powyższym, pełnomocnik Skarżącego w treści skargi wniósł o nakazanie Bankowi przywrócenie stanu zgodnego z prawem, poprzez nakazanie przez Bank zaprzestanie przetwarzania danych osobowych Skarżącego w B.
W toku przeprowadzonego postępowania wyjaśniającego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny:
- Bank pozyskał dane osobowe Skarżącego w związku z zawarciem pomiędzy ww. stronami umowy […] z […] listopada 2008 r., umowy […] z […] listopada 2008 r. oraz umowy […] z […] listopada 2008 r.
- Bank przetwarzał dane Skarżącego w zakresie wynikającym z ww. umów, zgodnie z obowiązującymi przepisami prawa, w szczególności art. 105a ust. 1 ustawy Prawo bankowe, w celu oceny zdolności kredytowej i analizy ryzyka, art. 74 w zw. z art. 71 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2021 r. poz. 217) oraz § 49 rozporządzenia Ministra Finansów z 1 października 2010 r. w sprawie szczegółowych zasad rachunkowości banków (Dz. U. Nr 191, poz. 179).
- Bank, w okresie obowiązywania ww. umów, przetwarzał dane osobowe Skarżącego na podstawie art. 105a ust. 1 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Jednocześnie, działając na podstawie art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), zwanej dalej „ustawą o ochronie danych osobowych z 1997 r.”, w związku z art. 105a ust. 4 ustawy Prawo bankowe, Bank udostępnił dane osobowe Skarżącego do B., co miało miejsce odpowiednio: w dniu […] grudnia 2008 r. – w zakresie wynikającym z umowy […] z […] listopada 2008 r.; w dniu […] grudnia 2008 r. – w zakresie wynikającym z umowy […] z […] listopada 2008 r. oraz w dniu […] stycznia 2009 r. – w zakresie wynikającym z umowy […] z […] listopada 2008 r.
- W spłacie zadłużenia w ramach wymienionych produktów zostały odnotowane opóźnienia. W związku z powyższym, w […] dniu zwłoki Bank wysłał do Skarżącego pisma informujące o możliwości przetwarzania danych osobowych bez jego zgody po wygaśnięciu zobowiązania. Pisma te zostały skierowane do wysyłki na adres wskazany przez Skarżącego, w dniach: […] grudnia 2009 r. (umowa […]), […] stycznia 2010 r. (umowa […]) oraz […] stycznia 2010 r. (umowa […]), zaś widoczna na dokumentach data nadania […] grudzień 2014 r. odpowiada dacie wygenerowania dokumentów na potrzeby procesu reklamacyjnego (dowód w aktach sprawy). Bank nie otrzymał zwrotu ww. pism od Skarżącego, jak również Skarżący nie poinformował Banku o ewentualnej zmianie adresu korespondencyjnego w okresie, w którym Bank kierował ww. pisma. Bank wskazał także, że pisma o wymaganej przepisem art. 105a ust. 3 Prawa bankowego treści były wysyłane do Skarżącego trzykrotnie, tym samym należało uznać, że z dużym prawdopodobieństwem, graniczącym z pewnością, należało przyjąć, ze przynajmniej jedno z pism dotarło do Skarżącego (a raczej wszystkie, biorąc pod uwagę brak zwrotu któregokolwiek z ww. pism). Bank podkreślił, że Skarżący miał świadomość bieżącej sytuacji związanej z niespłacanym przez niego zadłużeniem na ww. rachunkach. Ponadto, w dniu […] grudnia 2009 r. Bank kontaktował się ze Skarżącym telefonicznie celem wyjaśnienia kwestii braku wpłaty oraz poinformowania o upływie terminu wpłaty. Natomiast, w trakcie rozmowy telefonicznej przeprowadzonej ze Skarżącym w dniu […] stycznia 2010 r. deklarował on chęć spłaty zadłużenia, jednakże środki pieniężne nie zostały wpłacone w deklarowanym terminie, co potwierdza kolejny zapis w systemie Banku z dnia […] stycznia 2010 r. (dowód w aktach sprawy).
- W tym miejscu wskazać należy, że wobec nieterminowości w spełnieniu świadczeń wynikających z zawartych umów, Bank przetwarzał w B., do celów oceny zdolności kredytowej i analizy ryzyka kredytowego, dane osobowe Skarżącego bez jego zgody również po wygaśnięciu przedmiotowych zobowiązań. Opisana powyżej praktyka Banku nie mieści się jednak w dyspozycji art. 105a ust. 3 Prawa bankowego albowiem Bank, skutecznie nie zawiadomił Skarżącego o zamiarze takiego przetwarzania danych.
- B., pismem z […] lutego 2021 r. wskazał, że obecnie przetwarza dane osobowe Skarżącego w zakresie umowy […] z […] listopada 2008 r. oraz w zakresie umowy […] z […] listopada 2008 r. Dane Skarżącego dotyczące rachunku z umowy […] listopada 2008 r. będą przetwarzane przez B. do […] lipca 2026 r., a dane dotyczące rachunku z umowy z […] listopada 2008 r. do […] stycznia 2024 r. Natomiast, w wyjaśnieniach z […] września 2020 r. B. wskazał, że nie przetwarza danych Skarżącego w związku z umową […] z […] listopada 2008 r. ponieważ rachunek ten został usunięty przez Bank. Rachunki dotyczące ww. umów mają obecnie status rachunków zamkniętych i dane osobowe Skarżącego są przetwarzane w celu stosowania metod wewnętrznych oraz innych metod i modeli, na podstawie art. 105a ust. 4 i 5 w zw. z art. 105 ust. 4 ustawy Prawo bankowe.
- Bank – zgodnie z jego wyjaśnieniami złożonymi w niniejszym postępowaniu […] marca 2021 r. wskazał, że aktualnie przetwarza dane osobowe Skarżącego wynikające z ww. umów na podstawie art. 6 ust. 1 lit. f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. U. UE L 119 z 4.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 str. 2) zwanego dalej „Rozporządzeniem 2016/679”, w związku z art. 118 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 2020 r. poz. 1740 ze zm.), zwanej dalej „Kodeksem cywilnym”, w celach związanych dochodzeniem roszczeń i obroną przed ewentualnymi roszczeniami związanymi z realizacją umów zawartych przez Skarżącego z Bankiem.
Po przeanalizowani zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych stwierdza, co następuje.
Z dniem 25 maja 2018 r. w życie weszły przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), zwanej dalej także: „ustawą o ochronie danych osobowych z 2018 r.”.
W myśl art. 160 ust. 1-3 ustawy o ochronie danych osobowych z 2018, postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy o ochronie danych osobowych z 1997 r., zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256 ze zm.). Jednocześnie, czynności dokonane w postępowaniach, wszczętych i niezakończonych przed dniem wejścia w życie przepisów ustawy o ochronie danych osobowych z 2018 r., pozostają skuteczne.
Od dnia 25 maja 2018 r. zastosowanie ma również Rozporządzenie 2016/679.
Stosownie do art. 57 ust. 1 rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia (lit. a) oraz rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez podmiot, organizację lub zrzeszenie zgodnie z art. 80, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań, w szczególności jeżeli niezbędne jest dalsze prowadzenie postępowań lub koordynacja działań z innym organem nadzorczym (lit. f).
W tym miejscu wskazać należy, że Prezes Urzędu Ochrony Danych Osobowych wydając decyzję administracyjną zobowiązany jest do rozstrzygania w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Jak podnosi doktryna „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania (…). Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno-prawnych, gdy stosunki te tego wymagają” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego, M. Jaśkowska, A. Wróbel, Lex., el/2012). Również Naczelny Sąd Administracyjny – w wyroku z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07 stwierdził, iż cyt.: „badając bowiem legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.
Zatem, decydujące znaczenie dla rozstrzygnięcia, jakie musi być wydane w przedmiotowej sprawie, ma okoliczność, że przetwarzanie danych osobowych Skarżącego rozpoczęło się w okresie obowiązywania ustawy o ochronie danych osobowych z 1997 r. i obecnie jest kontynuowane. Stwierdzić zatem należy, że właściwe w przedmiotowej sprawie jest zastosowanie przepisów obowiązujących w czasie wydawania rozstrzygnięcia sprawy tj. Rozporządzenia 2016/679, ponieważ Prezes Urzędu musi ocenić czy kwestionowany proces przetwarzania danych osobowych na dzień wydania decyzji administracyjnej jest zgodny z prawem.
Rozporządzenie 2016/679 stanowi przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych oraz chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych (art. 1 ust 1 i 2 rozporządzenia 2016/679). Odpowiednio regulował tę kwestię art. 2 ust. 1 ustawy o ochronie danych osobowych z 1997 r. W świetle przepisów powołanego aktu prawnego, przetwarzanie danych osobowych jest uprawnione, gdy spełniona zostanie którakolwiek z przesłanek wymienionych w art. 6 ust. 1 rozporządzenia 2016/679 (uprzednio art. 23 ust. 1 ustawy o ochronie danych osobowych z 1997 r.). Przesłanki te odnoszą się do wszelkich form przetwarzania danych wymienionych w art. 4 pkt 2 rozporządzenia 2016/679 (uprzednio art. 7 pkt 2 ustawy o ochronie danych osobowych z 1997 r.), w tym w szczególności do ich udostępnienia. Warunki te są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednej z nich.
Natomiast, aktem prawnym szczegółowo regulującym kwestie przetwarzania danych osobowych klientów banków jest przede wszystkim ustawa Prawo bankowe. Dlatego też ocena przetwarzania danych osobowych Skarżącego w związku z łączącą go z Bankiem umowami powinna być dokonywana w powiązaniu z przepisami tej ustawy.
Dokonując badania legalności udostępnienia danych osobowych Skarżącego przez Bank na rzecz B., w związku z zadłużeniem wynikającym z umowy […] z […] listopada 2008 r.; umowy […] z […] listopada 2008 r. oraz umowy […] z […] listopada 2008 r., Prezes Urzędu Ochrony Danych Osobowych wskazuje, że B. jest instytucją utworzoną na podstawie art. 105 ust. 4 Prawa bankowego, który stanowi, że banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje do gromadzenia, przetwarzania i udostępniania m.in.: bankom – informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych, a nadto innym instytucjom ustawowo upoważnionym do udzielania kredytów – informacji o wierzytelnościach oraz o obrotach i stanach rachunków bankowych w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń.
Zgodnie z art. 105a ust. 3 ustawy Prawo bankowe, instytucje o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank lub inną instytucję ustawowo upoważnioną do udzielania kredytów o zamiarze przetwarzania dotyczących jej informacji stanowiących tajemnicę bankową, bez jej zgody.
Jak ustalił Prezes Urzędu Ochrony Danych Osobowych, przekazanie danych osobowych Skarżącego przez Bank do B. nastąpiło w dniu […] grudnia 2008 r. – w zakresie wynikającym z umowy […]; w dniu […] grudnia 2008 r. – w zakresie wynikającym z umowy […] oraz w dniu […] stycznia 2009 r. – w zakresie wynikającym z umowy […], a zatem jeszcze w okresie obowiązywania uprzedniej regulacji prawnej z zakresu ochrony danych osobowych. Udostępnienie danych Skarżącego do B. znajdowało przy tym oparcie w przesłance wymienionej w art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych z 1997 r., a dla legalności tego udostępnienia, stosownie do treści art. 105 ust. 4 Prawa bankowego, zgoda Skarżącego nie była wymagana.
Jednocześnie jednak organ nadzorczy wskazuje, iż rację ma Skarżący podnosząc, że Bank przetwarzał w B. jego dane osobowe wynikające z przedmiotowych zobowiązań, po ich wygaśnięciu, w sposób bezprawny. Na podstawie zgromadzonego w niniejszej sprawie materiału dowodowego, w tym zwłaszcza wyjaśnień Banku i przedstawionej na ich poparcie dokumentacji w postaci wydruków z systemu informatycznego Banku, nie sposób jest bowiem jednoznacznie stwierdzić, że Bank należycie powiadomił Skarżącego o zamiarze przetwarzania jego danych osobowych, stanowiących tajemnicę bankową, do celów oceny zdolności kredytowej i analizy ryzyka kredytowego również po wygaśnięciu zobowiązania kredytowego. Taki zaś obowiązek ciążył na Banku, jako administratorze danych osobowych, stosownie do brzmienia art. 105a ust. 3 Prawa bankowego. W myśl powołanej tu regulacji, banki mogą przetwarzać informacje stanowiące tajemnicę bankową, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody. O ile nie budzi wątpliwości, iż Skarżący popadł w zwłokę ze spłatą zadłużenia wynikającego z umowy […] z […] listopada 2008 r., umowy […] z […] listopada 2008 r. oraz umowy […] z […] listopada 2008 r. – okoliczności tej nie negował on bowiem w trakcie postępowania – o tyle nie można uznać, że do Skarżącego dotarła informacja o planowanej kontynuacji przetwarzania jego danych osobowych po uregulowaniu wierzytelności przysługujących Bankowi względem Skarżącego. Dowodem na okoliczność właściwego przekazania ww. informacji z pewnością nie mogą być przedstawione przez Bank wydruki z bankowego systemu informatycznego. Wobec braku dowodu nadania pisma w placówce operatora pocztowego, jak i braku potwierdzenia jej odbioru, bądź zwrotu do nadawcy wobec niepodjęcia przez adresata – nie sposób jest uznać, że Bank dopełnił spoczywającego na nim obowiązku. Tym samym, w ocenie Prezesa Urzędu Ochrony Danych Osobowych, przetwarzanie danych osobowych Skarżącego po wygaśnięciu ww. zobowiązań, nie znajdowało oparcia w obowiązujących przepisach prawa.
Niezależnie jednak od powyższego wyjaśnić należy, że w chwili obecnej – z uwagi na upływ 5 lat od chwili wygaśnięcia ww. zobowiązań oraz dokonanie przez Bank korekty w B. polegającej na tym, iż informacje dotyczące ww. umów kredytowych nie są już dłużej prezentowane w raportach służących ocenie ryzyka kredytowego – za bez znaczenia w niniejszej sprawie uznać należy fakt niedopełnienia wobec Skarżącego obowiązku informacyjnego, wynikającego z przepisu art. 105a ust. 3 Prawa bankowego. Jakkolwiek bowiem działanie Banku faktycznie naruszało w tym zakresie przepisy o ochronie danych osobowych, to jednak w oparciu o zgromadzony w sprawie materiał dowodowy należy uznać, że stan niezgodności przetwarzania danych osobowych z prawem został usunięty i nie jest już obecnie kontynuowany.
Jak wynika z poczynionych ustaleń faktycznych, B. przetwarza aktualnie dane osobowe Skarżącego wynikające z ww. umów wyłącznie w celu stosowania wewnętrznych metod statystycznych, do czego uprawniony jest na podstawie art. 105a ust. 4 Prawa bankowego, zgodnie z którym Banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać informacje stanowiące tajemnicę bankową, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013. Jednocześnie, jak wynika z brzmienia art. 105a ust. 5 Prawa bankowego, przetwarzanie takie może być wykonywane przez okres nie dłuższy niż 12 lat od dnia wygaśnięcia zobowiązania – w przypadku B. oraz nie dłużej niż przez okres 5 lat od dnia wygaśnięcia zobowiązania – w przypadku Banku.
Co zaś dotyczy Banku, przetwarza on dane osobowe Skarżącego wyłącznie w celach dowodowych, wynikających z okresu przedawnienia roszczeń. Tym samym podstawę przetwarzania danych osobowych Skarżącego przez Bank stanowi obecnie art. 6 ust. 1 lit f) Rozporządzenia 2016/679 w związku z art. 118 Kodeksu cywilnego.
W związku z poczynionymi ustaleniami wskazać należy, że dalsze prowadzenie przez Prezesa Ochrony Danych Osobowych postępowania administracyjnego, zainicjowanego skargą na nieprawidłowości w przetwarzaniu danych osobowych Skarżącego przez Bank, ukierunkowanego na wydanie decyzji administracyjnej na podstawie art. 18 ust. 1 ustawy 1997 jest niezasadne.
Stosownie do brzmienia ww. przepisu, w przypadku naruszenia przepisów o ochronie danych osobowych Prezes UODO z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: usunięcie uchybień (1), uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych (2), zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe (3), wstrzymanie przekazywania danych osobowych do państwa trzeciego (4), zabezpieczenie danych lub przekazanie ich innym podmiotom (5) lub usunięcie danych osobowych (6). Z brzmienia art. 18 ust. 1 ustawy 1997, a zarazem z definicji decyzji administracyjnej – jako aktu rozstrzygającego w sposób władczy o prawach i obowiązkach stron postępowania w ustalonym i aktualnym na chwilę jego wydania stanie faktycznym i prawnym – wynika, że organ ochrony danych osobowych nie dokonuje oceny zdarzeń przeszłych, nie kontynuowanych w chwili orzekania. Decyzja Prezesa UODO jest bowiem instrumentem służącym przywróceniu stanu zgodnego z prawem w procesie przetwarzania danych, realizowanym w chwili wydania decyzji.
Biorąc powyższe pod uwagę, uznać należało, że nie zaistniała żadna przesłanka do wydania przez Prezesa UODO decyzji nakazującej przywrócenie stanu zgodnego z prawem, dlatego też nie jest uzasadnione wydanie przez Prezesa Urzędu Ochrony Danych Osobowych jakiegokolwiek z nakazów, o których mowa w art. 18 ustawy o ochronie danych osobowych z 1997 r. oraz w art. 58 Rozporządzenia 2016/679.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Na podstawie art. 127 § 3 k.p.a. od decyzji przysługuje stronie prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.