Decyzja
ZKE.440.70.2019
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) w zw. z art. 12 pkt 2 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.) oraz art. 6 ust. 1 lit. f) i art. 57 ust. 1 lit. a) i lit. f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 04.05.2016 r. str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 r. str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani A. T., na nieprawidłowości w procesie przetwarzania jej danych osobowych przez I. Spółkę Jawną, Prezes Urzędu Ochrony Danych Osobowych
odmawia uwzględnienia wniosku.
UZASADNIENIE
Do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie: Urzędu Ochrony Danych Osobowych) wpłynęła skarga Pani A. T., zwanej dalej „Skarżącą”, na przetwarzanie jej danych osobowych przez I. Spółkę Jawną, zwaną dalej „Spółką”. Skarżąca podniosła, że Spółka przetwarza na swoich stronach internetowych (np. […], […], […]), bez jej zgody, jej dane osobowe związane z jej uczestniczeniem w przeszłości w spółce „P. Spółka Partnerska A. T. – M. Ł.”. W związku z przedstawioną sytuacją Skarżąca wniosła o podjęcie działań skutkujących zaprzestaniem przetwarzania jej danych osobowych przez Spółkę, w szczególności o usunięcie jej danych ze stron internetowych Spółki.
W toku postępowania przeprowadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny:
- W okresie od […] maja 2010 r. do […] stycznia 2017 r. Skarżąca uczestniczyła jako partner w spółce „P. Spółka Partnerska A. T. – M. Ł.” (KRS nr […]), zwaną dalej „spółką M.”. Partnerzy prowadzili w jej ramach lekarską praktykę dentystyczną. W dniu […] stycznia 2017 r. podmiot ten został wykreślony z Rejestru Przedsiębiorców KRS (zwanego dalej również „KRS”) przez Sąd Rejonowy K., Wydział […] Gospodarczy KRS. Wykreślenie uprawomocniło się […] lutego 2017 r.
- Spółka jest właścicielem i abonentem domen internetowych […] oraz […]. Jest także administratorem danych osobowych tam przetwarzanych.
- Jak wynika z Regulaminu korzystania z Serwisu I. znajdującego się pod adresem […], Spółka za jego pośrednictwem świadczy usługi polegające na udostępnianiu informacji pochodzących z Biur Informacji Gospodarczej, z Krajowego Rejestru Sądowego oraz z Monitora Sądowego i Gospodarczego, w tym informacji o podmiotach gospodarczych, informacji o osobach pełniących określone funkcje w tych podmiotach, raportów o podmiotach gospodarczych oraz raportów o osobach pełniących określone funkcje w tych podmiotach.
- Strona internetowa o adresie […] służy do sprawdzania na podstawie określonych kryteriów (imię i/lub nazwisko) czy dana osoba figuruje w systemie informatycznym Serwis I. Uzyskanie szczegółowych danych odnośnie danej osoby następuje po przekierowaniu na stronę Serwisu I. o adresie […].
- Strona internetowa o adresie […] służy do sprawdzania na podstawie określonych kryteriów (np. części nazwy) czy dana firma (podmiot zarejestrowany w KRS) figuruje w systemie informatycznym Serwis I. Uzyskanie szczegółowych danych odnośnie danej firmy (podmiotu zarejestrowanego w KRS) następuje po przekierowaniu na stronę Serwisu I. o adresie […].
- Na publicznie dostępnych stronach internetowych […], […] i […] oraz w oferowanych przez Spółkę raportach o osobie Skarżącej i o spółce M., Spółka przetwarza dane osobowe Skarżącej pozyskane z Monitora Sądowego i Gospodarczego oraz z Rejestru Przedsiębiorców KRS i wyłącznie w zakresie danych tam ujawnionych. Są to informacje związane z uczestnictwem Skarżącej w spółce M. (jej imiona i nazwisko, wiek, płeć, PESEL, informacja o tym, że jest partnerem uprawnionym do samodzielnego reprezentowania spółki M.), a także dane dotyczące samej spółki M. (w szczególności jej numer identyfikacyjny w KRS, firma, adres siedziby, przedmiot działalności, dane drugiego partnera w spółce, daty jej wpisania i wykreślenia z KRS oraz uprawomocnienia się wpisu o wykreśleniu z KRS, data zawieszenia jej działalności, daty wszelkich zmian jej dotyczących ujawnianych w KRS). Spółka nie przetwarza danych o adresie zamieszkania i innych adresach Skarżącej.
- Zgodnie z wyjaśnieniami Spółki, dane osobowe Skarżącej pozyskane zostały na podstawie art. 8 ustawy z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym (Dz. U. z 2019 r. poz. 1500 ze zm.), zwanej dalej „ustawą o KRS”.
- Jak wynika z Polityki Prywatności Serwisu I., Spółka aktualnie przetwarza dane osobowe Skarżącej „w celu wykonywania bieżącej działalności I. polegającej na udostępnianiu naszym Klientom informacji dotyczących przedsiębiorców w tym osób prawnych i powiązanych z nimi osób fizycznych (takich jak członkowie organów spółek prawa handlowego, prokurenci, wspólnicy spółek, itp.)” i „na podstawie naszego prawnie uzasadnionego interesu jakim jest możliwość zbierania i udostępniania innym uczestnikom obrotu gospodarczego poprawnych, rzetelnych i wartościowych informacji dotyczących przedsiębiorców pochodzących z publicznie dostępnych źródeł […]”. Jak zostało wskazane w Polityce Prywatności „informacje udostępniane przez I. służą zapewnieniu bezpieczeństwa, przejrzystości i pewności obrotu gospodarczego dla Klientów I.”.
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Z dniem wejścia w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwanej dalej „u.o.d.o. 2018”, tj. z dniem 25 maja 2018 r., Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), zwanej dalej „u.o.d.o. 1997”, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), zwanej dalej „k.p.a.”. Wszelkie czynności podjęte przez Generalnego Inspektora Ochrony Danych Osobowych przed dniem 25 maja 2018 r. pozostają skuteczne (art. 160 ust. 1–3 u.o.d.o. 2018).
Stosownie do art. 57 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. U. UE L 119 z 4.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 str. 2), zwanego dalej „Rozporządzeniem 2016/679”, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia (lit. a) oraz rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez umocowany przez nią – zgodnie z art. 80 Rozporządzeniem 2016/679 – podmiot, organizację lub zrzeszenie, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (lit. f). Instrumentami realizacji zadań przewidzianych w art. 57 ust. 1 Rozporządzenia 2016/679 są w szczególności określone w jego art. 58 ust. 2 uprawnienia naprawcze, w tym możliwość: nakazania administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia (art. 58 ust. 2 lit. c), nakazania administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu (art. 58 ust. 2 lit. d).
W tym miejscu wskazać należy, że Prezes Urzędu Ochrony Danych Osobowych wydając decyzję administracyjną zobowiązany jest do rozstrzygania w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Jak podnosi doktryna „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania (…). Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno-prawnych, gdy stosunki te tego wymagają” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego, M. Jaśkowska, A. Wróbel, Lex., el/2012). Również Naczelny Sąd Administracyjny – w wyroku z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07 stwierdził, iż cyt.: „badając bowiem legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.
Zgodnie z brzmieniem przepisu art. 23 ust. 1 u.o.d.o. 1997, obowiązującej w okresie, w którym Spółka pozyskała dane osobowe Skarżącej, i w którym Skarżąca wniosła do GIODO skargę w niniejszej sprawie, przetwarzanie danych osobowych było dopuszczalne gdy: osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych (pkt 1), jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (pkt 2), jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (pkt 3), jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (pkt 4), jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (pkt 5).
Zgodnie z obecnie obowiązującą regulacją (art. 6 ust. 1 Rozporządzenia 2016/679), przetwarzanie danych (każda czynność mieszcząca się w tym pojęciu) jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Odnosząc wyżej przywołane przepisy do stanu faktycznego niniejszej sprawy stwierdzić należy, że zarówno w stanie prawnym obowiązującym do 24 maja 2018 r. (regulowanym przepisami u.o.d.o. 1997), jak i w stanie prawnym obowiązującym obecnie (od 25 maja 2018 r., to jest od daty rozpoczęcia stosowania przepisów Rozporządzenia 2016/679), jedną z kilku samoistnych podstaw przetwarzania danych osobowych jest niezbędność tego przetwarzania dla realizacji prawnie usprawiedliwionych celów (interesów) administratora. Na tę podstawę powoływała się i nadal powołuje się Spółka w niniejszej sprawie. Spółka w swoich wyjaśnieniach wskazała ponadto na KRS jako źródło, z którego pozyskała dane osobowe Skarżącej, i powołała się na przepis art. 8 ustawy o KRS jako podstawę ich pozyskania z KRS.
Ustawa o KRS wprowadza w swoim art. 8 zasadę jawności formalnej Krajowego Rejestru Sądowego. Powołany przepis stanowi wprost, że KRS jest jawny (ust. 1), że każdy ma prawo dostępu do danych zawartych w KRS za pośrednictwem Centralnej Informacji (ust. 2) oraz, że każdy ma prawo otrzymać, również drogą elektroniczną, poświadczone odpisy, wyciągi, zaświadczenia i informacje z KRS (ust. 3). Art. 12 ust. 1 ustawy o KRS wprowadza generalną zasadę, iż dane zawarte w KRS nie mogą być z niego usunięte (chyba że ustawa stanowi inaczej). Natomiast zgodnie z art. 13 ust. 1 tej ustawy, wpisy do KRS podlegają obowiązkowi ogłoszenia w Monitorze Sądowym i Gospodarczym, chyba, że ustawa stanowi inaczej. Jednocześnie szereg przepisów ustawy o KRS wskazuje zakres danych podlegających wpisowi do KRS, statuując tym samym obowiązek ich wpisania i ujawnienia w tym rejestrze. W szczególności wpisowi do KRS podlegają następujące dane: firma, forma prawna, siedziba i adres podmiotu (art. 38 pkt 1 lit. a-c), informacja o pozostawaniu wspólnika spółki partnerskiej w związku małżeńskim (art. 38 pkt 2a), oznaczenie (imiona i nazwiska oraz PESEL) partnerów spółki partnerskiej (art. 38 pkt 5 w związku z art. 35 pkt 1), wskazanie wspólników uprawnionych do reprezentowania spółki partnerskiej (art. 39 pkt 1), przedmiot działalności podmiotu według Polskiej Klasyfikacji Działalności (art. 40 pkt 1), informacje o rozwiązaniu spółki (art. 44 pkt ust. 1 pkt 3).
Jak ustalono w niniejszej sprawie, Spółka przetwarza dane osobowe we wskazanym powyżej, określonym przepisami ustawy o KRS, zakresie. Ponadto, w związku z tym że Spółka dysponuje numerem PESEL Skarżącej, stwierdzić należy, że przetwarza również dane o dacie urodzenia Skarżącej (wieku) oraz jej płci. Zgodnie bowiem z art. 15 ust. 2 ustawy z dnia 24 września 2010 r. o ewidencji ludności (Dz. U. z 2019 r. poz. 1397 ze zm.) PESEL jest jedenastocyfrowym symbolem numerycznym, jednoznacznie identyfikującym osobę fizyczną, zawierającym datę urodzenia, numer porządkowy, oznaczenie płci oraz liczbę kontrolną. W jego pierwszych sześciu cyfrach zawarta jest data urodzenia (w następującej kolejności: dwie ostatnie cyfry roku urodzenia, miesiąc urodzenia wraz z zakodowanym stuleciem urodzenia oraz dzień urodzenia), kolejne cztery cyfry to numer porządkowy i płeć osoby (ostatnia cyfra numeru porządkowego zawiera oznaczenie płci: cyfrę parzystą, w tym "0", dla kobiet, a cyfrę nieparzystą dla mężczyzn), a ostatnia, jedenasta cyfra jest liczbą kontrolną umożliwiającą elektroniczną kontrolę poprawności nadanego numeru identyfikacyjnego.
Spółka prowadzi działalność polegającą na gromadzeniu i udostępnianiu informacji dotyczących podmiotów gospodarczych (w tym spółek prawa handlowego) i powiązanych z nimi osób fizycznych (w tym wspólników tych spółek oraz osób je reprezentujących). Przy tym podstawowe informacje udostępniane są wszystkim użytkownikom internetu na stronach […], […] i […] nieodpłatnie, natomiast szczegółowe informacje w postaci raportów o podmiotach gospodarczych lub o osobach – tylko użytkownikom Serwisu I. (podmiotom korzystającym z usług Spółki w okresie testowym oraz podmiotom, które zawarły lub na rzecz których zwarto ze Spółką umowę o świadczenie usług) – odpłatnie. Działalność Spółki ma na celu zapewnienie „innym uczestnikom obrotu gospodarczego poprawnych, rzetelnych i wartościowych informacji dotyczących przedsiębiorców pochodzących z publicznie dostępnych źródeł” a informacje udostępniane przez Spółkę – jak zostało to wskazane w Polityce Prywatności Serwisu I. – „służą zapewnieniu bezpieczeństwa, przejrzystości i pewności obrotu gospodarczego dla Klientów I.”. Tak określone cele, zakres działalności oraz interes Spółki mają bez wątpienia prawnie usprawiedliwiony charakter. Wskazać należy bowiem, że deklarowane przez Spółkę cele jej działalności pokrywają się z racją istnienia jawnego, publicznie dostępnego i opatrzonego przymiotem rękojmi wiary publicznej, rejestru jakim jest KRS. Realizacja interesu Spółki jest zarazem uwarunkowana przetwarzaniem danych osobowych ujawnionych w publicznie dostępnych rejestrach, w tym danych osobowych Skarżącej jako osoby uczestniczącej (dobrowolnie) w spółce podlegającej obowiązkowemu wpisowi do KRS. Brak jest zarazem podstaw do przyjęcia, że realizacja tego prawnie uzasadnionego interesu administratora (Spółki) musi ustąpić wobec nadrzędnych w stosunku do niego interesów lub podstawowych praw i wolności Skarżącej, wymagających ingerencji Prezesa Urzędu Ochrony Danych Osobowych w tenże interes Spółki. Jak bowiem wskazano, kwestionowane przez Skarżącą, a przetwarzane przez Spółkę, jej dane osobowe są danymi powszechnie dostępnymi. Jednocześnie zakres danych osobowych Skarżącej udostępnianych w Serwisie I. jest adekwatny (nie nadmierny) w kontekście realizowanego przez Spółkę celu; ich treść jest zbieżna z treścią danych przetwarzanych i ujawnianych w KRS (i publikowanych także w Monitorze Sądowym i Gospodarczym).
Odnosząc się do podniesionej przez Skarżącą okoliczności, że jej dane osobowe pozyskane zostały przez Spółkę w związku z działalnością, której Skarżąca już nie prowadzi (z jej uczestnictwem w nie istniejącej już spółce), stwierdzić należy, że taka, mająca miejsce w przeszłości, działalność pozostaje faktem, a informacje na temat tego rodzaju aktywności Skarżącej w szeroko rozumianym obrocie gospodarczym mogą nadal pozostawać w sferze publicznego zainteresowania. Z tego samego względu ustawodawca postanowił – formułując treść z art. 12 ust. 1 ustawy o KRS – że informacje te nie będą z KRS usuwane. Fakt, że dane osobowe Skarżącej związane z jej uczestnictwem w podmiocie wykreślonym z KRS, mają obecnie walor historyczny, pozostaje – wobec ich publicznego charakteru, aktualnej publicznej dostępności, merytorycznej poprawności oraz waloru informacyjnego wzmacniającego pewność obrotu gospodarczego – bez wpływu na legalność ich dalszego przetwarzania przez Spółkę.
Podsumowując powyższe rozważania stwierdzić należy, że przetwarzanie przez Spółkę (w tym udostępnianie w serwisie internetowym) publicznie dostępnych danych osobowych Skarżącej związanych z jej dobrowolnym uczestnictwem w podmiocie podlegającym wpisowi do KRS, nie naruszało i nie narusza przepisów o ochronie danych osobowych. Aktualnie, to jest w stanie faktycznym i prawnym istniejącym w chwili wydania niniejszej decyzji, znajduje ono podstawę w powołanym powyżej art. 6 ust. 1 lit. f Rozporządzenia 2016/679.
Stosownie do brzmienia art. 17 ust. 1 Rozporządzenia 2016/679 osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności: a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane; b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a lub art. 9 ust. 2 lit. a, i nie ma innej podstawy prawnej przetwarzania; c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania; d) dane osobowe były przetwarzane niezgodnie z prawem; e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator; f) dane osobowe zostały zebrane w związku z oferowaniem bezpośrednio dziecku usług społeczeństwa informacyjnego.
W niniejszej sprawie dane osobowe Skarżącej w dalszym ciągu są niezbędne w kontekście celów realizowanych przez Spółkę (brak więc przesłanki z art. 17 ust. 1 lit. a), podstawą ich przetwarzania jest prawnie usprawiedliwiony interes realizowany przez administratora a nie zgoda Skarżącej (brak więc przesłanki z art. 17 ust. 1 lit. b), kwestionowany proces przetwarzania danych osobowych Skarżącej jest realizowany w sposób legalny (brak więc przesłanki z art. 17 ust. 1 lit. d), nie istnieje przepis, który obligowałby Spółkę do usunięcia kwestionowanych danych osobowych Skarżącej (brak więc przesłanki z art. 17 ust. 1 lit. e), dane osobowe Skarżącej nie zostały zebrane w związku z oferowaniem dziecku usług społeczeństwa informacyjnego (brak więc przesłanki z art. 17 ust. 1 lit. f). W niniejszej sprawie nie można również przyjąć istnienia przesłanki skutecznego żądania usunięcia danych określonej w art. 17 ust. 1 lit. c Rozporządzenia 2016/679. Powołany przepis nakazuje usunąć dane osobowe m.in. w sytuacji wniesienia przez osobę, której one dotyczą sprzeciwu na mocy art. 21 ust. 1 Rozporządzenia 2016/679. Prawo do wniesienia sprzeciwu, o którym mowa w tym przepisie, przysługuje m.in. osobie, której dane przetwarzane są w celach wynikających z prawnie uzasadnionych interesów administratora, w przypadku wystąpienia przyczyn związanych z jej szczególną sytuacją. W przypadku wniesienia takiego sprzeciwu administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń. Jak podkreśla się w literaturze przedmiotu „[…] szczególna sytuacja uzasadniająca zaprzestanie przetwarzania danych osobowych wnioskodawcy wiązać się może z groźbą ujawnienia przez takie przetwarzanie danych związanych ze sferą prywatności lub życia rodzinnego, w przypadku gdy wykorzystywanie tych danych w konkretnej sytuacji nie jest bezwzględnie konieczne […]” (Fajgielski Paweł, komentarz do art. 21, w: Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), w: Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz. Wolters Kluwer Polska, 2018.). W niniejszej sprawie nie ma podstaw by uznać, że taki sprzeciw został przez Skarżącą skutecznie wniesiony; Skarżąca ani w toku postępowania przed Prezesem Urzędu Ochrony Danych Osobowych, ani wobec Spółki, nie wskazała ani w żadnym stopniu nie uprawdopodobniła istnienia po jej stronie szczególnej sytuacji uzasadniającej żądanie zaprzestania przetwarzania przez Spółkę jej danych osobowych. Zauważyć w tym miejscu należy, że przetwarzanie przez Spółkę, na potrzeby związane z funkcjonowaniem Serwisu I., danych osobowych Skarżącej nie wiąże się choćby potencjalnie z nadmierną, większą niż wynikającą z publicznego charakteru jej danych osobowych (będącego następstwem ich ujawnienia w KRS), ingerencją w sferę jej prywatności. Tylko taka ingerencja mogłaby ewentualnie uzasadniać sprzeciw, o którym mowa w art. 21 ust. 1 Rozporządzenia 2016/679, wniesiony w związku ze szczególną sytuacją Skarżącej.
Reasumując, uznać należy przetwarzanie danych osobowych Skarżącej przez Spółkę za legalne, zaś żądanie Skarżącej zaprzestania ich przetwarzania - za nie zasługujące na uwzględnienie. Brak jest więc podstaw do skorzystania przez Prezesa Urzędu Ochrony Danych Osobowych z jakiegokolwiek uprawnienia naprawczego przewidzianego w art. 58 ust. 2 Rozporządzenia 2016/679. Warunkiem wydania skierowanego do Spółki nakazu, o którym mowa w tym przepisie, jest bowiem stwierdzenie w dacie wydania decyzji istnienia stanu naruszenia przepisów o ochronie danych osobowych.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Na podstawie art. 127 § 3 Kpa od decyzji przysługuje stronie prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Strona ma prawo do zrzeczenia się prawa do złożenia wniosku o ponowne rozpatrzenie sprawy. Zrzeczenie się prawa do złożenia wniosku o ponowne rozpatrzenie sprawy powoduje, że decyzja staje się ostateczna i prawomocna. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.