Decyzja
ZKE.440.18.2019
Na podstawie art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256 ze zm.), art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781) w zw. z art. 12 pkt 2 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.) oraz z art. 57 ust. 1 lit. a i lit. f rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016 r. str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 r. str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana J. P., zam. w W. przy ul. (…), na przetwarzanie bez podstawy prawnej jego danych osobowych przez I. Sp. z o.o. z siedzibą w W. przy ul. (…) oraz przez I. Fundusz Inwestycyjny Zamknięty Niestandaryzowany Fundusz Sekurytyzacyjny reprezentowany przez I. Towarzystwo Funduszy Inwestycyjnych S.A. z siedzibą w W. przy ul. (…), Prezes Urzędu Ochrony Danych Osobowych
umarza postępowanie.
UZASADNIENIE
Do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie: Urzędu Ochrony Danych Osobowych) wpłynęła skarga Pana J. P., zam. ul. (…), (…) W., zwanego dalej „Skarżącym”, na niezgodne z prawem przetwarzanie jego danych osobowych przez I. Sp. z o.o. z siedzibą w W. przy ul. (…), zwaną dalej „Spółką”, w celu „windykacji nieistniejącego długu (nr sprawy (…))”. Skarżący podniósł, że w latach 2006-2007 związany był umową o świadczenie usług telekomunikacyjnych z T. S.A. W trakcie trwania tej umowy cyt. „T. S.A. wystawiła faktury prawidłowe (mające oparcie w zawartej umowie) oraz faktury nieprawidłowe (nie mające oparcia w zawartej umowie). Faktury nieprawidłowe (rzecz jasna niezapłacone) zostały sprzedane do windykacji firmie K. S.A., a następnie firmie I.” Razem z danymi dotyczącymi wierzytelności Spółka miała pozyskać dane osobowe Skarżącego. Skarżący wskazał w treści skargi również, że wezwał Spółkę do zaprzestania przetwarzania jego danych osobowych. W związku z przedstawioną sytuacją Skarżący wniósł o „wydanie decyzji/postanowienia w sprawie dotyczącej przedmiotu skargi”.
W toku postępowania przeprowadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny:
- Umową przelewu wierzytelności z (...) września 2008 r. T. z siedzibą w W. przy ul. (…) dokonała cesji pakietu należących do niej wierzytelności na rzecz I. Funduszu Inwestycyjnego Zamkniętego Niestandaryzowanego Funduszu Sekurytyzacyjnego (numer rejestru Funduszy Inwestycyjnych RFI (…)), zwanego dalej „Funduszem”, reprezentowanego przez I. Towarzystwo Funduszy Inwestycyjnych S.A. z siedzibą w W. przy ul. (…), zwane dalej „Towarzystwem”. Wśród wierzytelności stanowiących przedmiot umowy przelewu wierzytelności znajdowała się wierzytelność wobec Skarżącego.
- Na mocy wskazanej wyżej umowy przelewu wierzytelności Fundusz pozyskał od cedenta dane osobowe Skarżącego w zakresie imienia, nazwiska, adresu zamieszkania, adresu e-mail oraz danych dotyczących tytułu prawnego wierzytelności oraz jej wysokości.
- Fundusz jako administrator danych osobowych Skarżącego przetwarzał jego dane osobowe – w celu dochodzenia roszczeń z tytułu prowadzonej działalności gospodarczej – na podstawie art. 23 ust. 1 pkt 5 w związku z ust. 4 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.).
- W oparciu o umowę o zarządzanie sekurytyzowanymi wierzytelnościami z (...) sierpnia 2013 r. oraz umowę o przetwarzanie danych osobowych z (...) sierpnia 2013 r. Fundusz powierzył Spółce przetwarzanie danych osobowych Skarżącego w celu dochodzenia zapłaty wierzytelności nabytej od T. S.A. na mocy umowy przelewu wierzytelności z (...) września 2008 r.
- Zgodnie z wpisem w Rejestrze Przedsiębiorców KRS dokonanym przez Sąd Rejonowy (…), (…) Wydział Gospodarczy KRS, w dniu (...) lipca 2018 r. Spółka zmieniła swoją firmę z „I. Sp. z o.o.” na „In. Sp. z o.o.”.
- Zgodnie z wpisem w Rejestrze Przedsiębiorców KRS dokonanym przez Sąd Rejonowy (…), (…) Wydział Gospodarczy KRS, w dniu (...) marca 2020 r. Towarzystwo zmieniło swoją firmę z „I. Towarzystwo Funduszy Inwestycyjnych S.A.” na „In. Towarzystwo Funduszy Inwestycyjnych S.A.”.
- Zgodnie z wyjaśnieniami pełnomocnika Funduszu złożonymi w ramach niniejszego postępowania pismem z (...) października 2019 r. dane osobowe Skarżącego wraz z całą dokumentacją sprawy zostały trwale usunięte z baz danych Spółki i Funduszu.
Po rozpatrzeniu całości zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Z dniem 25 maja 2018 r. w krajach członkowskich Unii Europejskiej zaczęły być stosowane w przedmiocie ochrony danych osobowych przepisy Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z dnia 04.05.2016, str. 1, ze zmianą ogłoszoną w Dz. Urz. UE L 127 z dnia 23.05.2018, str. 2), zwane dalej „Rozporządzeniem 2016/679”. Również z dniem 25 maja 2018 r. weszła w życie na terytorium Rzeczpospolitej Polskiej ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), zwana dalej „u.o.d.o. 2018”, wdrażająca na terytorium Rzeczpospolitej Polskiej Rozporządzenie 2016/679 i uzupełniająca regulacje w tym akcie prawnym przewidziane.
Stosownie do art. 57 ust. 1 Rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia (lit. a) oraz rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez umocowany przez nią – zgodnie z art. 80 Rozporządzeniem 2016/679 – podmiot, organizację lub zrzeszenie, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (lit. f).
Natomiast w myśl art. 160 ust. 1 i 2 u.o.d.o. 2018, postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie tej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.), zwanej dalej „u.o.d.o. 1997”, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256 ze zm.), zwanej dalej „k.p.a.”. Jednocześnie, zgodnie z art. 160 ust. 3 u.o.d.o. 2018, czynności dokonane w postępowaniach wszczętych i niezakończonych przed dniem wejścia w życie jej przepisów pozostają skuteczne.
Uwzględniając powyższe regulacje prawne stwierdzić zatem należy, iż niniejsze postępowanie, wszczęte i niezakończone przed dniem 25 maja 2018 r., prowadzone jest – w zakresie obejmującym przepisy regulujące procedurę postępowania – w oparciu o przepisy u.o.d.o. 1997 oraz k.p.a. Natomiast materialnoprawna ocena legalności i zgodności z prawem procesu przetwarzania danych osobowych powinna być dokonana w oparciu o przepisy Rozporządzenia 2016/679. Powyższe stwierdzenie zgodne jest z ugruntowanym stanowiskiem doktryny, zgodnie z którym „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 2000.98.1071) M. Jaśkowska, A. Wróbel, Lex., el/2012). Jak stwierdził zaś Naczelny Sąd Administracyjny w wyroku z dnia 7 maja 2008 r. (sygn. akt I OSK 761/07) „badając […] legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.
Ustalenie, że dane osobowe osoby szukającej ochrony swoich praw w postępowaniu przed organem ochrony danych osobowych nie są w chwili wydawania decyzji przetwarzane przez administratora, obliguje organ do zastosowania art. 105 § 1 k.p.a., który stanowi: „Gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości albo w części, organ administracji publicznej wydaje decyzję o umorzeniu postępowania odpowiednio w całości albo w części.” Jednocześnie w doktrynie i orzecznictwie sądów administracyjnych wskazuje się, że „bezprzedmiotowość postępowania administracyjnego, o której stanowi art. 105 § 1 kpa, oznacza, że brak jest któregoś z elementów materialnego stosunku prawnego, a wobec tego nie można wydać decyzji załatwiającej sprawę przez rozstrzygnięcie jej co do istoty. Przesłanka umorzenia postępowania może istnieć jeszcze przed wszczęciem postępowania, co zostanie ujawnione dopiero w toczącym się postępowaniu, a może ona powstać także w czasie trwania postępowania, a więc w sprawie już zawisłej przed organem administracyjnym” (B. Adamiak, J. Borkowski, „Kodeks postępowania administracyjnego. Komentarz”, 14. wydanie, Wydawnictwo C.H. Beck, Warszawa 2016, s. 491). Takie samo stanowisko zajął Wojewódzki Sąd Administracyjny w Krakowie, który w wyroku z dnia 27 lutego 2008 r. (sygn. akt III SA/Kr 762/2007) stwierdził, że „postępowanie staje się bezprzedmiotowe, gdy brak któregoś z elementów stosunku materialnoprawnego, co powoduje, że nie można załatwić sprawy przez rozstrzygnięcie co do istoty”. Natomiast wprost na gruncie przepisów o ochronie danych osobowych Naczelny Sąd Administracyjny w wyroku z dnia 19 listopada 2001 r. (sygn. akt II SA 2702/00) stwierdził: „(…) skoro w toku prowadzonego (…) postępowania administracyjnego zniesiony został stan naruszenia prawa, którego miało dotyczyć rozstrzygnięcie, to postępowanie stało się bezprzedmiotowe. W świetle przepisu art. 18 ust. 1 ustawy, wszczęte przez GIODO z urzędu lub na wniosek osoby zainteresowanej postępowanie dotyczące naruszenia przepisów o ochronie danych osobowych może zakończyć się tylko wydaniem decyzji administracyjnej nakazującej administratorowi danych przywrócenie stanu zgodnego z prawem, a w szczególności: usunięcie uchybień, uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnianie danych osobowych, zastosowanie dodatkowych środków zabezpieczających zgromadzone dane, wstrzymanie przekazywanie danych osobowych do państwa trzeciego, zabezpieczenie danych lub przekazanie ich innym podmiotom, usunięcie danych osobowych. W stanie faktycznym rozpatrywanej sprawy żadna taka decyzja wydana być nie mogła, gdyż stan naruszenia został wcześniej przywrócony do stanu zgodnego z prawem (...)”.
Odnosząc powyższe do ustalonego w niniejszej sprawie stanu faktycznego stwierdzić należy, że w toku prowadzonego postępowania wyjaśniającego Prezes Urzędu Ochrony Danych Osobowych ustalił, iż aktualnie dane osobowe Skarżącego nie są przetwarzane ani przez Fundusz jako administratora, ani przez Spółkę jako podmiot przetwarzający. Zostały one usunięte z baz danych Funduszu i Spółki (wraz z całą dokumentacją sprawy wierzytelności wobec Skarżącego) nie później niż 23 października 2019 r., to jest przed dniem złożenia przez pełnomocnika Funduszu – w ramach niniejszego postępowania – oświadczenia o dokonaniu tej czynności. Fakt przetwarzania przez Fundusz i Spółkę danych osobowych Skarżącego jest więc tym – wskazywanym w przytoczonym wyżej stanowisku doktryny i sądów administracyjnych – elementem stosunku prawnego łączącego Skarżącego z obydwoma podmiotami, którego brak uniemożliwia rozstrzygnięcie sprawy co do jej istoty i czyni dalsze postepowanie bezprzedmiotowym. Bezprzedmiotowym byłoby bowiem badanie legalności przetwarzania danych osobowych Skarżącego, w kontekście ewentualnego zaistnienia przesłanek dla sformułowania nakazu ich usunięcia, w sytuacji gdy dane te nie są aktualnie przetwarzane.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji decyzji.
Na podstawie art. 127 § 3 k.p.a. od decyzji przysługuje stronie prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.