ZKE.440.73.2019

Na podstawie art. 104 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.) oraz na podstawie art. 160 ust. 1 i 2 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) w zw. z art. 22, art. 23 ust. 1 oraz 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.) oraz art. 57 ust. 1 lit. a) i f), art. 28 i art. 29 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2 ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana Z. K. oraz Pani W. K., na przetwarzanie ich danych osobowych przez Kancelarię Prawną H. Sp. k., Prezes Urzędu Ochrony Danych Osobowych

odmawia uwzględnienia wniosku

Uzasadnienie

Do Biura Generalnego Inspektora Ochrony Danych Osobowych (aktualnie: Urząd Ochrony Danych Osobowych) wpłynęła skarga Pana Z. i Pani W. K., zwanych dalej ,,Skarżącymi”, reprezentowanych przez radcę prawnego W.R. z Kancelarii Radców Prawnych W. s.c., zwanego dalej ,,Pełnomocnikiem”, na przetwarzania ich danych osobowych przez Kancelarię Prawną H. Sp.k., zwaną dalej ,,Kancelarią”. W treści skargi Pełnomocnik wniósł o usunięcie uchybień w procesie przetwarzania danych osobowych poprzez:

1. Zaprzestanie przetwarzania przez Kancelarię danych osobowych Skarżących,  
2. Usunięcie danych osobowych Skarżących z bazy danych osobowych Kancelarii,
3. Kontrolę w zakresie sprawdzenia czy dane osobowe Skarżących zostały usunięte z bazy danych.

Pełnomocnik w uzasadnieniu do skargi wskazał, że Kancelaria w imieniu Funduszu P., zwanego dalej ,,Funduszem”, dochodzi na podstawie tytułu wykonawczego o sygn. akt […], należności pieniężnych po zmarłym M. K. z tytułu umowy pożyczki numer […] zawartej z S., zwaną dalej ,,S.”. Zdaniem Pełnomocnika Kancelaria jest administratorem danych osobowych Skarżących, ponieważ przechowuje dane i decyduje o celach i środkach ich przetwarzania. Ponadto żadna z przesłanek z art. 23 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.), zwanej dalej ,,ustawą z 1997 r.”, nie uprawnia Kancelarię do przetwarzania danych Skarżących. Nie jest nią zwłaszcza art. 23 ust. 1 pkt 5 tej ustawy (prawnie usprawiedliwiony cel), tj. prowadzenie postępowania spadkowego i dochodzenie zwrotu należnego świadczenia z tytułu umowy prowadzonej działalności gospodarczej po zmarłym M. K. wynikającej z ww. tytułu wykonawczego. Zdaniem Pełnomocnika dalsze dochodzenie należności przez Kancelarię nie powinno mieć miejsca, ponieważ Skarżący notarialnie odrzucili spadek. Pełnomocnik podkreślił, że dalsze przetwarzanie danych bez zgody Skarżących narusza ich prawa i wolności, w tym prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia, a wysyłanie kolejnych pism informacyjnych stanowi próbę uporczywego nękania.

Na podstawie zebranego w sprawie materiału dowodowego Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny:

1. Fundusz skierował do Z. K. pismo realizujące obowiązek informacyjny przewidziany w art. 25 ustawy z 1997 r. w stosunku do małoletniej W.K. Pismo  realizujące obowiązek informacyjny zostało skierowane również […] maja 2017 r. w stosunku do Z. K. W pismach Fundusz poinformował, że m.in. na mocy umowy przelewu wierzytelności S. przekazał mu dane osobowe Skarżących, które to będą przetwarzane w celu ustalenia spadkobierców po zmarłym M. K., aby móc następnie dochodzić od spadkobierców dłużnika roszczeń z tytułu prowadzonej przez Fundusz działalności gospodarczej (dowody: kopia pisma z […] kwietnia 2017 r. znak: […];  kopia pisma z […] maja 2017 r. znak: […]).
2. W odpowiedzi Pełnomocnik skierował do Kancelarii pismo z […] maja 2017 r. oraz pismo z […] maja 2017 r., w których zażądał zaprzestania przetwarzania danych osobowych Z. K. i W. K. oraz prowadzenia w stosunku do nich dalszych działań windykacyjnych (dowody: pismo z […] maja 2017 r.; pismo z […] maja 2017 r.).
3. Kancelaria udzieliła odpowiedzi na ww. pisma odpowiednio […] maja 2017 r. oraz […] czerwca 2017 r. (dowód: pismo z […] maja 2017 r. znak: […]; pismo z […] czerwca 2017 r. znak: […]).
4. Z wyjaśnień Kancelarii wynika, że dane osobowe Skarżących zostały pozyskane od S. na podstawie umowy o świadczenie usług prawnych z […] grudnia 2002 r. Zgodnie z ww. umową Kancelaria zobowiązała się do świadczenia obsługi prawnej w zakresie dochodzenia należności od dłużników S. na drodze sądowej i egzekucyjnej, zaś S. powierzył Kancelarii, na podstawie art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.), zwanej dalej ,,ustawą z 1997 r.”, przetwarzanie danych osobowych (dowód: umowa o współpracy z […] grudnia 2002 r.). Jak wskazała Kancelaria, w 2001 r. S. przekazał jej do obsługi sprawę dochodzenia wierzytelności przysługującej S. na podstawie umowy pożyczki z […] marca 2010 r. zawartej z M. K. Pełnomocnik Kancelarii wystąpił wówczas do Sądu Rejonowego L. z pozwem przeciwko ww. dłużnikowi, na skutek którego S. uzyskał tytuł wykonawczy w postaci nakazu zapłaty w elektronicznym postępowaniu upominawczym z […] marca 2011 r. (dowody: pozew o zapłatę z […] lutego 2011 r.; nakaz zapłaty w postępowaniu upominawczym z […] marca 2011 r. – sygn. akt […]; postanowienie Sądu Rejonowego L. z […] maja 2011 r. w przedmiocie nadania klauzuli wykonalności – sygn. akt […]). Dłużnik zmarł […] kwietnia 2014 r. w związku z czym koniecznym stało się ustalenie kręgu spadkobierców po zmarłym w celu zaspokojenia wierzytelności S. (dowód: kopia odpisu skróconego aktu zgonu). Kancelaria w imieniu S. skierowała […] marca 2015 r. do Sądu Rejonowego w B. wniosek o podanie informacji i przesłanie dokumentów dotyczących postępowania spadkowego po zmarłym M. K. (dowód: wniosek Kancelarii z […] marca 2015 r. do Sądu Rejonowego w B. – znak: […]). W odpowiedzi Sąd poinformował, że zostały złożone oświadczenia o odrzuceniu spadku. Dnia […] marca 2015 r. Kancelaria otrzymała akt notarialny (wypis) z […] sierpnia 2015 r. o odrzuceniu spadku przez Z. K. oraz E. K. w imieniu małoletniej córki W. K. – Repetytorium A numer […], a  […] sierpnia 2015 r. akt notarialny (wypis) z […] marca 2015 r. o odrzuceniu spadku przez m.in. Z. K., P. K. – Repetytorium A numer […] (dowody: kopia aktu notarialnego (wypisu) z […] sierpnia 2015 r. o odrzuceniu spadku – Repetytorium A numer […]; kopia aktu notarialnego (wypisu) z […] marca 2015 r. o odrzuceniu spadku – Repetytorium A numer […]). Zakres przetwarzanych przez Kancelarię danych wynika z treści ww. aktów notarialnych i obejmuje: imiona i nazwiska Skarżących, imiona rodziców Skarżących, seria i numer dowodu osobistego Skarżącego, numer PESEL Skarżącego oraz adres zamieszkania Skarżących. Dane osobowe Skarżących zostały pozyskane przez S. na podstawie art. 23 ust. 1 pkt 5 w zw. z art. 23 ust. 4 pkt 2 ustawy z 1997 r., a następnie powierzone Kancelarii na podstawie art. 31 tej ustawy. W wyjaśnieniach Kancelaria wskazała również, że […] grudnia 2016 r. S. przelał na rzecz Funduszu, wierzytelność wynikającą z umowy pożyczki zawartej z M. K. (dowód: kopia umowy przelewu wierzytelności z […] grudnia 2016 r.). Tego samego dnia Kancelaria na podstawie zawartej umowy o obsługę prawną przyjęła zlecenie do reprezentowania tegoż Funduszu w postępowaniach sądowych i egzekucyjnych oraz administracyjnych, dotyczących wierzytelności nabytych przez Fundusz. W ramach tej umowy Fundusz jako administrator danych, powierzył Kancelarii przetwarzanie danych osobowych Skarżących (dowód: kopia umowy o obsługę prawną z […] grudnia 2016 r.). Kancelaria wskazała, że wobec faktu, iż nie jest administratorem danych osobowych Skarżących, lecz podmiotem przetwarzającym dane na zlecenie Funduszu, jest zwolniona z obowiązku informacyjnego, o którym mowa w art. 24 i art. 25 ustawy z 1997 r. Kancelaria podkreśliła, że cyt. ,,(…) pomimo odrzucenia spadku przez Skarżących, która to okoliczność nie była nigdy negowana, nadal istnieje uzasadnienie prawne przetwarzania ich danych osobowych, pomimo że z oczywistych przyczyn wierzyciel nie będzie od nich dochodził zadłużenia. Dane osobowe Skarżących, którzy należą do kręgu spadkobierców ustawowych po M. K. są niezbędne, aby wykazać, że dziedziczą osoby należące do dalszego kręgu spadkobierców ustawowych. Fakt odrzucenia spadku nie jest równoznaczny z tym, że wierzyciel nie ma prawnie usprawiedliwionego celu przetwarzania danych osobowych. Cel ten jest aktualny do czasu ustalenia spadkobierców, spłaty wierzytelności lub podjęcia przez wierzyciela decyzji o niedochodzeniu należności. W procesie ustaleń spadkowych wierzyciel musi dysponować danymi wszystkich osób, które wchodzą w krąg spadkobierców ustawowych pod spadkodawcy, także tych, które spadek odrzuciły, bowiem są one traktowane, tak jakby nie dożyły otwarcia spadku (art. 1020 k.c.), co powoduje, że na ich miejsce wchodzą dalsi spadkobiercy. Do czasu zakończenia ustaleń spadowych i ustalenia spadkobierców, konieczne będzie m.in. powoływanie się na okoliczność odrzucenia spadku przez małoletnią oraz jej przedstawiciela ustawowego, który również odrzucił spadek po dłużniku. Z tego względu niezbędne jest dalsze przetwarzanie ich danych osobowych”.

Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Z dniem wejścia w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), tj. 25 maja 2018 r. Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.), zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), zwanej dalej ,,Kpa”. Wszelkie czynności podjęte przez Generalnego Inspektora Ochrony Danych Osobowych przed dniem 25 maja 2018 r. pozostają skuteczne (art. 160 ust. 1 – 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych).

Stosownie do art. 57 ust. 1 lit f) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 str. 2), dalej ,,RODO”, bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia każdy organ nadzorczy na swoim terytorium rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez podmiot, organizację lub zrzeszenie zgodnie z art. 80, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań, w szczególności jeżeli niezbędne jest dalsze prowadzenie postępowań lub koordynacja działań z innym organem nadzorczym.

Prezes Urzędu Ochrony Danych Osobowych wydając decyzję administracyjną zobowiązany jest do rozstrzygania w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Jak podnosi doktryna „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania. Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno-prawnych, gdy stosunki te tego wymagają” (Komentarz do ustawy  z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego M. Jaśkowska, A. Wróbel, Lex., el/2012).

W czasie kiedy wpłynęła do Generalnego Inspektora Ochrony Danych Osobowych skarga, obowiązywała ustawa z 1997 r., w związku z powyższym Prezes Urzędu na podstawie zgromadzonego materiału dowodowego dokonał oceny zachowania administratora w kontekście powyższej ustawy. Należy podkreślić, że owa ocena dotyczyła jedynie przetwarzania danych osobowych Skarżących, natomiast kwestie dotyczące dziedziczenia, a w szczególności kolejności dziedziczenia nie były brane przez Prezesa Urzędu Ochrony Danych Osobowych pod uwagę. Takie sprawy są bowiem sprawami cywilnymi w rozumieniu art. 1 ustawy z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego (Dz. U. z 2019 r., poz. 1460 ze zm.) i rozpatrywane są w postępowaniach prowadzonych przez sądy powszechne.

Prezes Urzędu ustalił, że w przedmiotowej sprawie podstawą prawną działania Kancelarii jest art. 31 ustawy z 1997 r. (na gruncie przepisów RODO jego odpowiednikiem jest obecnie art. 28 oraz art. 29). Przepis ten stanowi, że administrator może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych (ust. 1), natomiast podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie (ust. 2), a przed rozpoczęciem przetwarzania danych zobowiązany jest podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36–39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych (ust. 3). Przekazanie danych osobowych Skarżących nastąpiło na podstawie zawartej między Funduszem a Kancelarią umowy o obsługę prawną z […] grudnia 2016 r. Z § 7 ust. 19 w związku z § 2 ust. 1 tej umowy wynika, że Kancelaria przetwarza dane osobowe Skarżących w celu cyt. ,,podejmowania czynności mających na celu zabezpieczenie, dochodzenie lub egzekucję roszczeń wynikających z wierzytelności”. Cechą charakterystyczną umowy powierzenia jest to, że administrator danych nie musi osobiście wykonywać czynności związanych z przetwarzaniem danych osobowych. Może w tym celu skorzystać z usług wyspecjalizowanych podmiotów zewnętrznych, zlecając im wykonywanie w tym zakresie bądź całego procesu przetwarzania danych osobowych, bądź tylko pewnych czynności, np. samego zbierania czy przechowywania. W sytuacji przekazania danych osobowych mamy do czynienia z przetwarzaniem danych w imieniu administratora, w granicach wskazanych w umowie powierzenia przetwarzania danych i nie w celach własnych procesora, lecz dla realizacji celów administratora danych. Co istotne, przy powierzeniu przetwarzania danych osobowych nie dochodzi do zmiany ich administratora. Fundusz pozostaje administratorem danych osobowych Skarżących, a Kancelaria wykonuje na rzecz i w imieniu Funduszu czynności jej zlecone na mocy zawartej z Funduszem umowy o współpracy.

Mając na uwadze powyższe przepisy prawa, Prezes Urzędu uznał zarzut Pełnomocnika Skarżących, mówiący o konieczności dopełnienia przez Kancelarię obowiązków informacyjnych, za nietrafny. Kancelaria bowiem jako podmiot nie będący administratorem danych osobowych lecz podmiotem przetwarzającym dane na zlecenie Funduszu jest zwolniona z obowiązków przewidzianych w art. 24 i art. 25 ustawy z 1997 r. Obowiązki takie ciążą wyłącznie na administratorze danych. Kancelaria odpowiada natomiast za przetwarzanie danych wyłącznie w celu i zakresie przewidzianym w umowie, a ponadto – przed rozpoczęciem przetwarzania danych – za podjęcie środków zabezpieczających zbiór danych, o których mowa w art. 36-39, w tym za spełnienie wymagań określonych w art. 39a. W zakresie przestrzegania jedynie tych przepisów ponosi odpowiedzialność jak administrator danych.

Należy również dodać, że twierdzenia Pełnomocnika, że cyt. ,,dalsze przetwarzanie danych osobowych (…) bez ich zgody narusza ich prawa i wolności w tym prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia” i że cyt. ,,wysyłanie kolejnych pism informacyjnych stanowi próbę uporczywego nękania”, nie znalazły uzasadnienia w zebranym materiale dowodowym sprawy. Powierzenie przez Fundusz do przetwarzania danych osobowych Skarżących nie nakładało na Kancelarię obowiązku uzyskania od nich zgody, ponieważ działanie Funduszu miało swoje umocowanie w obowiązujących przepisach prawa, tj. w oparciu o wspomniany art. 31 ustawy z 1997 r. Ponadto – jak słusznie wskazała Kancelaria w swoich wyjaśnieniach – pismo z […] kwietnia 2017 r. oraz pismo z […] maja 2017 r. skierowane do Skarżących stanowiło ,,wyłącznie wykonanie obowiązków informacyjnych”, jakie obciążały Fundusz. Zdaniem Prezesa Urzędu przetwarzanie przez Kancelarię danych osobowych Skarżących jest słuszne również dlatego, że ,,prowadzone są dalsze ustalenia odnośnie spadkobierców M. K.”. Niemniej jednak należy zauważyć, że kwestia ta nie może być przedmiotem niniejszego postępowania, bowiem żądanie Pełnomocnika dotyczyło wyłącznie przetwarzania danych osobowych wyłącznie przez Kancelarię. Na marginesie należy dodać, że prawa wymienione przez Skarżącego, tj.  prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia, należą do dóbr osobistych podlegających ochronie na podstawie przepisów prawa cywilnego. O tym, czy w konkretnym przypadku miało miejsce ich naruszenie orzekają właściwe rzeczowo i miejscowo sądy powszechne. Artykuł 23 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 2019 r., poz. 1145 ze zm.), zwanej dalej ,,K.c.”, określa, że dobra osobiste człowieka, m.in.: nazwisko, wizerunek, pozostają pod ochroną prawa cywilnego niezależnie od ochrony przewidzianej w innych przepisach. Natomiast na podstawie art. 24 K.c., ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie dokonanego naruszenia może on także żądać, by osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności by złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie. Na zasadach przewidzianych w Kodeksie cywilnym może on również żądać zadośćuczynienia pieniężnego lub zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny. Ponadto jeżeli wskutek naruszenia dobra osobistego została wyrządzona szkoda majątkowa, poszkodowany może żądać jej naprawienia na zasadach ogólnych.

Odnosząc się natomiast do żądania usunięcia przez Kancelarię danych osobowych Skarżących  należy zauważyć, że w przedmiotowej sprawie nie może mieć ono miejsca. Jak już wspomniano, Kancelaria nie jest administratorem danych osobowych Skarżących, lecz podmiotem, któremu Fundusz zlecił ich przetwarzanie na podstawie umowy o obsługę prawną z […] grudnia 2016 r. (art. 31 ustawy z 1997 r.). Kancelaria przetwarza dane wyłącznie na podstawie i w celach wskazanych w ww. umowie. Z § 7 ust. 23 tej umowy wynika, że Kancelaria jest obowiązana do trwałego usunięcia danych jedynie w sytuacji braku konieczności dalszego ich przetwarzania, w szczególności w sytuacji rozwiązania umowy z Funduszem. Kancelaria nie może dokonać usunięcia danych na żądanie Skarżącego, ponieważ to nie ona decyduje o celach i środkach ich dalszego przetwarzania. O celach i środkach przetwarzania danych decyduje Fundusz, do którego Skarżący mogą zwrócić się z wnioskiem o usunięcie ich danych. Niemniej jednak Prezes Urzędu zawraca uwagę na wyjaśnienia Kancelarii, z których wynika konieczność przetwarzania danych osobowych Skarżących, pomimo odrzucenia przez nich spadku. Powyższe ma swoje uzasadnienie w tym, że Fundusz, będący ich administratorem, prowadzi cyt. ,,dalsze ustalenia odnośnie spadkobierców M. K.”. Jak wskazała Kancelaria cyt. ,,Dane osobowe Skarżących, którzy należą do kręgu spadkobierców ustawowych po M. K. są niezbędne, aby wykazać, że dziedziczą osoby należące do dalszego kręgu spadkobierców ustawowych” – i dalej –,,Gdy tylko dojdzie do ich ustalenia w drodze postanowienia o stwierdzeniu nabycia spadku, bądź gdy administrator danych – wierzyciel podejmie decyzje o rezygnacji z dochodzenia roszczeń względem osób dziedziczących spadek, dane osobowe Skarżących zostaną niezwłocznie usunięte”. W tym miejscu należy przytoczyć wyrok Naczelnego Sądu Administracyjnego z dnia 6 czerwca 2005 r. (sygn. akt I OPS 2/05), gdzie za prawnie usprawiedliwiony cel administratora danych, o którym mowa w art. 23 ust. 1 pkt 5 ustawy, uznano sam fakt dochodzenia roszczeń z tytułu prowadzonej działalności gospodarczej.

W odniesieniu do żądania Pełnomocnika Skarżących o przeprowadzenie ,,kontroli w zakresie sprawdzenia czy dane osobowe Skarżących zostały usunięte z bazy danych”, wskazać należy, kontrola zgodności przetwarzania danych z przepisami ustawy o ochronie danych osobowych (obecnie zgodności z przepisami RODO) należy do autonomicznych kompetencji Prezesa Urzędu Ochrony Danych Osobowych, w związku z czym nie jest realizowana na wniosek osoby zainteresowanej. W niniejszej sprawie organ nie dopatrzył się naruszenia, które stałoby się powodem wszczęcia postępowania z urzędu. Jeżeli zdaniem Skarżących doszło do popełnienia czynu zabronionego na ich szkodę, mogą oni zwrócić się bezpośrednio do organów ścigania ze stosownym zawiadomieniem o możliwości popełnienia przestępstwa i dochodzić ochrony swoich praw w drodze postępowania przed organami ściągania a następnie przed sądem powszechnym.

Ocena dokonywana przez Prezesa Urzędu Ochrony Danych Osobowych w każdym przypadku służy zbadaniu zasadności skierowania pod adresem określonego podmiotu nakazu, odpowiadającego dyspozycji art. 58 ust. 2 RODO, służącego przywróceniu stanu zgodnego z prawem, w procesie przetwarzania danych – jest więc ona uzasadniona i potrzebna tylko o tyle, o ile nieprawidłowości w procesie przetwarzania danych osobowych istnieją.

W ocenie Prezesa Urzędu Ochrony Danych Osobowych nie ma podstaw do stwierdzenia, iż dane osobowe Skarżących przetwarzane są przez Kancelarię w sposób niezgodny z przepisami o ochronie danych osobowych, a zatem  nie zaistniała niezbędna przesłanka do wydania przez Prezesa Urzędu decyzji nakazującej przywrócenie stanu zgodnego z prawem, tj. usunięcia danych osobowych Skarżących.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Na podstawie art. 127 § 3 Kpa od niniejszej decyzji stronie przysługuje prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia decyzji stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych.