II SA/Wa 3231/21

II SA/Wa 3231/21 - Wyrok WSA w Warszawie
Data orzeczenia
2022-08-18
orzeczenie nieprawomocne
Data wpływu
2021-09-13
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Agnieszka Góra-Błaszczykowska
Joanna Kube
Karolina Kisielewicz /przewodniczący sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Sygn. powiązane
III OSK 2914/22 - Postanowienie NSA z 2025-11-21
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Karolina Kisielewicz (spr.), Sędzia WSA Agnieszka Góra-Błaszczykowska, Sędzia WSA Joanna Kube, , Protokolant ref. staż. Beata Kowalska, , po rozpoznaniu na rozprawie w dniu 18 sierpnia 2022 r. sprawy ze skargi A. M. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lipca 2021 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
A. M. w dniu 27 czerwca 2018 r. zwrócił się do spółek: D. Sp. z o.o. sp. komandytowa z siedzibą w W. oraz D. Sp. z o.o. z siedzibą w W., z pismem z 26 czerwca 2018 r., w którym poinformował, że na podstawie art. 17 ust. 1 lit. b i ust. 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L.2016.119.1), zwane dalej jako rozporządzenie 2016/679, cofa zgodę na przetwarzanie przez Spółki jego danych osobowych oraz wniósł o usunięcie danych osobowych, w tym w szczególności ze strony internetowej [...] Wnioskodawca powołał się na tzw. prawo do bycia zapomnianym i podniósł, że zgodnie z zasadą adekwatności oraz minimalizacji danych wyrażoną w art. 5 ust. 1 lit. c rozporządzenia 2016/679, do przetwarzania danych osobowych musi dochodzić z maksymalnym ograniczeniem ingerencji w sferę prywatności. Zgodnie ze stanowiskiem Grupy Roboczej art. 29 wyrażonym w opinii z dnia 2 kwietnia 2013 r. w sprawie ograniczenia celu przetwarzania danych osobowych, przetwarzanie niezbędne obejmuje jedynie czynności koniecznie potrzebne (niezbędne) dla osiągnięcia celów przetwarzania danych osobowych. A. M. dodał, że zgodnie z wyrokiem Sądu Apelacyjnego w G. z [...] marca 2016 r. sygn. akt [...] publikacja danych osobowych podmiotu danych, który pełni funkcję w spółce (jest np. akcjonariuszem lub wspólnikiem spółki) na stronie internetowej administratora danych stanowi naruszenie dóbr osobistych poprzez naruszenie prawa do prywatności i jest podstawą do złożenia roszczenia o ochronę dóbr osobistych na podstawie właściwych przepisów prawa cywilnego.
Skarżący podał również, że niniejszym pismem wnosi sprzeciw wobec przetwarzania dotyczących go danych, o którym mowa w art. 21 ust. 1 rozporządzenia 2016/679 i wnosi o usunięcie danych w pełnym możliwym zakresie bez zbędnej zwłoki.
W dniu 18 lipca 2018 r. A. M. złożył do Prezesa Urzędu Ochrony Danych Osobowych skargę na niezgodne z prawem przetwarzanie jego danych osobowych przez D. Sp. z o.o. sp. komandytowa z siedzibą w W. Skarżący wniósł o nakazanie Spółce, jako administratorowi danych osobowych, usunięcie jego danych osobowych przetwarzanych bez podstawy prawnej, spełnienie wobec niego obowiązku informacyjnego oraz niezwłoczne udzielenie odpowiedzi na sprzeciw wobec przetwarzania danych osobowych i ich usunięcie w pełnym dopuszczalnym przez prawo zakresie, a także o nałożenie na Spółkę administracyjnej kary pieniężnej na podstawie art. 83 ust. 5 lit. a i b rozporządzenia.
W uzasadnieniu skargi A. M. podał, że Spółka udostępniła jego dane osobowe, bez jego zgody, na stronie internetowej [...], w tym w zakładce "akcjonariusze" oraz "osoby zarządzające", pomimo tego, że nie pełni w Spółce żadnej funkcji zarządczej, a więc niezgodnie z zasadą adekwatności i minimalizacji danych. To zaś oznacza, zdaniem skarżącego, że Spółka przetwarza jego dane osobowe bez podstawy prawnej oraz z naruszeniem obowiązku informacyjnego. A. M. dodał, że D. Sp. z o.o. sp. komandytowa z siedzibą w W. nie udzieliła w przepisanym prawem terminie odpowiedzi na zgłoszony sprzeciw wobec przetwarzania danych osobowych.
Analogiczną skargę skarżący skierował również do spółki działającej pod firmą D. Sp. z o.o. z siedzibą w W.
Prezes Urzędu Ochrony Danych Osobowych działając na podstawie art. 58 ust. 1 lit a) i e) rozporządzenia 2016/679 zwrócił się do D. Sp. z o.o. z siedzibą w W. oraz D. Sp. z o.o. sp. komandytowa z siedzibą w W. (odpowiednio pisma z 1 i z 9 października 2018 r.) o ustosunkowanie się do skarg A. M. oraz złożenie wyjaśnień dotyczących podstaw i zakresu przetwarzania danych osobowych skarżącego.
D. Sp. z o.o. z siedzibą w W. oraz D. Sp. z o.o. sp. komandytowa z siedzibą w W. w pismach z 12 i z 19 października 2018 r. wyjaśniły m. in., że D. Sp. z o.o. z siedzibą w W. jest komplementariuszem w Spółce D. Sp. z o.o. sp. komandytowa z siedzibą w W. oraz że A. M. od [...] czerwca 2003 r. jest wspólnikiem Spółki D. Sp. z o.o. z siedzibą w W., natomiast od [...] czerwca 2008 r. jest komandytariuszem Spółki D. Sp. z o.o. sp. komandytowa (stroną umowy spółki komandytowej).
D. Sp. z o.o. sp. komandytowa z siedzibą w W. w wyjaśnieniach udzielonych Prezesowi Urzędowi Ochrony Danych Osobowych podała m. in., że w piśmie z 2 sierpnia 2018 r. poinformowała skarżącego, że jego sprzeciw wobec przetwarzania dotyczących go danych osobowych jest nieuzasadniony oraz o tym, że przetwarza jego dane osobowe (w zakresie imienia, nazwiska, danych kontaktowych, adresu zamieszkania, NIP, numeru PESEL, danych zawartych w korespondencji prowadzonej przez skarżącego, danych zawartych w umowie spółki i innych dokumentach, w szczególności dokumentach korporacyjnych, danych wymaganych przez kodeks spółek handlowych, danych zawartych w sprawozdaniach finansowych, fakturach, deklaracjach podatkowych, ofertach i umowach) nie na podstawie jego zgody (art. 6 ust. 1 pkt 1 lit a rozporządzenia), ale na podstawie art. 6 ust. 1 lit b oraz lit. c rozporządzenia (tj. w celu wykonania postanowień umowy Spółki oraz obowiązków prawnych ciążących na spółce, w szczególności wynikających z k.s.h, ustawy o krajowym rejestrze sądowym, realizacji obowiązków podatkowych i rachunkowych).
Spółka podniosła, że przetwarza dane osobowe skarżącego również na podstawie art. 6 ust. 1 lit. f rozporządzenia, a więc do celów wynikających z prawnie uzasadnionych interesów administratora, a więc w szczególności w celu dochodzenia roszczeń do obrony przed roszczeniami, realizacji umów zawartych z klientami i kontrahentami spółki. Spółka dodała, że na tej podstawie umieściła na swojej stronie internetowej dane osobowe A. M. takie jak imię, nazwisko, podstawowe dane osobowe dotyczące wykształcenia (nazwa uczelni) oraz doświadczenia zawodowego, a także stanowiska zajmowanego w spółce. Uczyniła to "wyłącznie w kontekście" jego statusu wspólnika Spółki oraz w związku z rzeczywiście prowadzoną działalnością w ramach tego podmiotu, tj. dla celów informacyjnych. Zdaniem Spółki, umieszczenie na stronie internetowej podstawowych danych o wspólnikach i osób zaangażowanych w działalność spółki jest powszechną praktyką w branży doradczej i skarżący miał pełną świadomość, że jego dane osobowe (które sam udostępnił) mogą zostać zamieszczone na stronie Spółki i było to podyktowane jej prawnie uzasadnionym interesem (art. 6 ust. 1 lit f rozporządzenia), polegającym w szczególności na zapewnieniu transparentności prowadzonej działalności oraz wzmacnianiu relacji z obecnymi i potencjalnymi klientami, która jest szczególnie ważna w branży doradczej.
D. Sp. z o.o. sp. komandytowa z siedzibą w W. w piśmie skierowanym do Prezesa Urzędu Ochrony Danych Osobowych (z 19 października 2018 r.) podała również, że w piśmie z 2 sierpnia 2018 r., z uwagi na chęć załagodzenia sporu, poinformowała skarżącego, że ograniczyła zakres przetwarzania danych na podstawie swego prawnie uzasadnionego interesu (art. 6 ust. 1 lit f rozporządzenia), w ten sposób, że na stronie internetowej [...], dotyczącej działalności Spółki umieściła informacje o skarżącym (w zakładce "Kluczowe osoby") stanowiące odzwierciedlenie danych zawartych w Krajowym Rejestrze Sądowym tj. imię, nazwisko oraz zwyczajowo przyjęty przez spółkę opis: [...]. Spółka dodała, że poinformowała A. M., że ograniczy również przetwarzanie danych na podstawie art. 6 ust. 1 lit f rozporządzenia do celów związanych z realizacją umów zawartych wcześniej z klientami i kontrahentami, a także wynikających z konieczności dochodzenia roszczeń.
W wyjaśnieniach udzielonych organowi Spółka D. Sp. z o.o. sp. komandytowa podkreśliła, że przetwarza dane osobowe A. M. zgodnie z prawem, a jego skarga jest elementem strategii procesowej w toczącym się sporze korporacyjnym. W ocenie Spółki sprzeciw skarżącego wobec przetwarzania dotyczących go danych osobowych jest nieuzasadniony. Zdaniem Spółki, nie jest również zasadne żądanie skarżącego dotyczące nakazania Spółce przez Prezesa UODO spełnienia obowiązku informacyjnego. Spółka odwołała się do art. 13 ust. 4 rozporządzenia i podała, że skarżący posiadał i posiada pełną wiedzę na temat zakresu, formy i podstaw prawnych przetwarzania jego danych osobowych, ponieważ od chwili założenia spółki (10 lat) pozostaje komandytariuszem w Spółce oraz aktywnie uczestniczy w jej pracach, mając pełny dostęp do dokumentacji, w tym do swoich danych osobowych. Spółka wyjaśniła również, że w konsekwencji dostosowania procedur oraz dokumentacji w Spółce do przepisów RODO, pismem z 24 maja 2018 r. skarżący został poinformowany o przetwarzaniu jego danych osobowych przez Spółkę.
Spółka ponadto podniosła, że działając w dobrej wierze, w dniu 19 października 2018 r. podjęła decyzję o usunięciu informacji o skarżącym ze strony internetowej [...].
D. Sp. z o.o. z siedzibą w [...] w wyjaśnieniach udzielonych Prezesowi Urzędu Ochrony Danych Osobowych w piśmie z 12 października 2018 r. podniosła m. in., że pismo skarżącego (z 26 czerwca 2018 r.) z wnioskiem o usunięcie jego danych i sprzeciwem wobec przetwarzania danych otrzymała w dniu 3 lipca 2018 r. oraz że w piśmie z 2 sierpnia 2018 r., a wiec w terminie określonym w art. 12 ust. 3 rozporządzenia 2016/679, udzieliła skarżącemu odpowiedzi.
Spółka podniosła, że w wymienionym piśmie poinformowała A. M. o podstawach przetwarzania jego danych osobowych (art. 6 ust. 1 lit. b, lit. c oraz lit. f rozporządzenia) oraz o tym, że nie zamieszcza jego danych osobowych na stronie internetowej. Spółka wyjaśniła, że podana przez skarżącego strona internetowa nie dotyczy jej działalności, a informacje o skarżącym zostały tam umieszczone przez D. Sp. z o.o. sp. komandytowa.
D. Sp. z o.o. wyjaśniła również, że w celu zapobieżenia eskalacji konfliktu, podobnie jak D. Sp. z o.o. sp. komandytowa, w piśmie z 2 sierpnia 2018 r. poinformowała skarżącego o tym, że zadecydowała ograniczyć zakres jego danych osobowych, które legalnie przetwarza na podstawie uzasadnionego interesu (art. 6 ust. 1 lit. f), do celów związanych z realizacją umów zawartych wcześniej ze swymi kontrahentami i klientami, a także wynikających z konieczności dochodzenia roszczeń i innych praw oraz obrony przed roszczeniami.
Spółka dodała, że A. M. w piśmie z 24 sierpnia 2018 r. ponownie wystąpił do niej ze sprzeciwem wobec udostępniania jego danych osobowych na stronie internetowej Spółki. W piśmie z 27 września 2018 r. Spółka podtrzymała dotychczasowe stanowisko zawarte w piśmie z 2 sierpnia 2018 r.
W tych okolicznościach faktycznych i prawnych Prezes Urzędu Ochrony Danych Osobowych decyzją z dnia [...] lipca 2021 r., wydaną na podstawie art. 104 § 1 k.p.a. w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781) oraz art. 6 ust. 1 lit. b, c oraz f, art. 17 ust. 1, art. 21 ust. 1 oraz art. 58 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), odmówił uwzględnienia wniosku (skargi) A. M. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez D. Sp. z o.o. z siedzibą w W. oraz D. Sp. z o.o. Sp. k. z siedzibą w W. polegające na przetwarzaniu jego danych osobowych bez podstawy prawnej, w tym na stronie internetowej [...], nieudzieleniu informacji związanych ze złożeniem sprzeciwu wobec przetwarzania jego danych osobowych złożonym na podstawie art. 21 ust. 1 rozporządzenia oraz nieuwzględnieniu jego żądania w przedmiocie usunięcia danych osobowych.
W uzasadnieniu decyzji organ przedstawił przebieg postępowania oraz powołując się na notatkę służbową pracownika organu z 11 marca 2021 r. podał, że w jego toku ustalił, że na stronie internetowej pod adresem [...] nie są udostępnione dane osobowe skarżącego. Prezes Urzędu Ochrony Danych Osobowych odwołał się do art. 6 rozporządzenia zawierającego przesłanki legalizujące przetwarzanie danych osobowych, przepisów k.s.h. dotyczących spółki komandytowej oraz zasady rozstrzygania sprawy w oparciu o stan faktyczny (i prawny) istniejący w chwili wydania decyzji administracyjnej.
Prezes Urzędu Ochrony Danych Osobowych podał, że skoro A. M. od [...] czerwca 2008 r. jest komandytariuszem w D. Sp. z o.o. Sp. k., natomiast w D. Sp. z o.o. jest jednym z jej wspólników od [...] czerwca 2003 r., to przetwarzanie przez te Spółki jego danych znajduje oparcie w art. 6 ust. 1 lit. b i lit c rozporządzenia 2016/679 – w celu wykonania postanowień umowy spółek i z tym związanego wypełnienia obowiązku prawnego ciążącego na spółkach jako administratorach danych, w szczególności obowiązków wynikających z kodeksu spółek handlowych, ustawy o krajowym rejestrze sądowym oraz realizacji obowiązków wynikających z przepisów podatkowych i rachunkowych).
Organ podzielił również stanowisko Spółek wyrażane w toku postępowania administracyjnego, że podstawą legalizującą przetwarzanie danych jest art. 6 ust. 1 lit. f rozporządzenia 2016/679. Spółki przetwarzają dane osobowe A. M. w celu dochodzenia roszczeń w związku ze złożonym pozwem przeciwko wyłączeniu go ze spółki oraz w celach związanych z realizacją umów zawartych z kontrahentami i klientami spółek. Spółki mają prawnie uzasadniony interes w zachowaniu ciągłości prowadzonej działalności, z którą to działalnością nierozerwalnie wiążą się ich zasoby kadrowe w rozumieniu także osób zarządzających czy wspólników. Jednocześnie nie można stwierdzić naruszenia danych osobowych skarżącego w tej sprawie, bowiem on sam, jako założyciel, wspólnik, nie może skutecznie domagać się, aby jego interesy, czy też prawa i wolności stały się nadrzędnymi wobec interesów spółek tylko dlatego, że wszedł z nimi w spór korporacyjny.
Prezes Urzędu Ochrony Danych Osobowych stwierdził, że udostępnienie przez D. Sp. z o.o. Sp. k. na stronie internetowej danych skarżącego, w tym o jego wykształceniu, doświadczeniu, miało oparcie w art. 6 ust. 1 lit f rozporządzenia. D. Sp. z o.o. Sp. k. działa w branży doradczej biznesowo-finansowej, w której szczególne znaczenie ma zapewnienie transparentności co do charakteru jej działalności oraz wzmacnianie relacji z obecnymi i potencjalnymi klientami.
Zdaniem organu, dane osobowe skarżącego w dalszym ciągu są niezbędne w kontekście celów realizowanych przez spółki (brak przesłanki z art. 17 ust. 1 lit. a rozporządzenia), podstawą ich przetwarzania jest m.in. prawnie usprawiedliwiony interes realizowany przez administratora, a nie zgoda skarżącego (brak przesłanki z art. 17 ust. 1 lit. b rozporządzenia), kwestionowany proces przetwarzania danych osobowych skarżącego jest realizowany w sposób legalny (brak przesłanki z art. 17 ust. 1 lit. d), nie istnieje przepis, który obligowałby Spółki do usunięcia kwestionowanych danych osobowych skarżącego (brak przesłanki z art. 17 ust. 1 lit. e rozporządzenia), dane osobowe skarżącego nie zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1 rozporządzenia (brak przesłanki z art. 17 ust. 1 lit. f rozporządzenia 2016/679). W rozpoznawanej sprawie nie można również przyjąć istnienia przesłanki do skutecznego żądania usunięcia danych określonej w art. 17 ust. 1 lit. c rozporządzenia 2016/679, który nakazuje usunąć dane w sytuacji wniesienia przez osobę, której one dotyczą sprzeciwu m.in. na mocy art. 21 ust. 1 rozporządzenia 2016/679. A. M. nie wykazał bowiem istnienia po jego stronie żadnej szczególnej sytuacji (rozumianej przede wszystkim jako możliwość ujawnienia czy przetwarzania zbędnych w kontekście realizowanych przez spółki celów jego danych osobowych, związanych ze sferą ściśle prywatną, rodzinną), uzasadniającej żądanie zaprzestania przetwarzania przez spółki jego danych osobowych.
W odniesieniu do zarzutu skarżącego w przedmiocie nieudzielenia odpowiedzi na wyrażony w piśmie z 26 czerwca 2018 r. sprzeciw wobec przetwarzania jego danych osobowych oraz żądanie ich usunięcia, Prezes Urzędu Ochrony Danych Osobowych stwierdził, że obie Spółki udzieliły odpowiedzi na wniosek pismem z 2 sierpnia 2018 r., z zachowaniem terminu określonego w art. 12 ust. 3 rozporządzenia 2016/679.
Organ zauważył, że D. Sp. z o.o. na wniosek skarżącego ograniczyła przetwarzanie jego danych osobowych na podstawie art. 6 ust. 1 lit. f do celów związanych z realizacją umów zawartych z klientami spółki, a także wynikających z konieczności dochodzenia roszczeń oraz obrony przed roszczeniami, a Spółka D. Sp. z o.o. Sp. k. dodatkowo ograniczyła przetwarzanie jego danych osobowych na stronie internetowej (mimo, że miała podstawę ich przetwarzania w art. 6 ust. 1 lit. f rozporządzenia 2016/679) do danych odnoszących się do jego roli w Spółce, a więc danych powszechnie dostępnych. Ponadto ze złożonych w sprawie wyjaśnień i załączonych do nich dokumentów wynika, że D. Sp. z o.o. Sp. k. w dniu [...] października 2018 r. (z własnej woli) usunęła dane osobowe skarżącego ze strony internetowej.
Organ dodał, że po stronie skarżącego nie zachodzi szczególna sytuacja, której mowa w art. 21 ust. 1 rozporządzenia 2016/679, uzasadniająca jego sprzeciw zgłoszony w trybie tego przepisu.
Odnosząc się do żądania skarżącego dotyczącego nakazania D. Sp. z o.o. Sp. k. oraz D. Sp. z o.o. spełnienia wobec skarżącego obowiązku informacyjnego wynikającego z rozporządzenia 2016/679 Prezes UODO stwierdził, że skoro A. M. jest wspólnikiem w D. Sp. z o.o., wchodzi w skład zgromadzenia wspólników, który jest organem uchwałodawczym, decydującym o najważniejszych sprawach spółki (art. 227 § 1 k.s.h,), a także jest również komandytariuszem w D. Sp. z o.o. Sp. k. i posiadał pełny dostęp do dokumentacji, w tym swoich danych osobowych, to nie ma do niego zastosowania art. 13 ust. 1, 2 i 3 rozporządzenia (art. 13 ust. 4).
W konkluzji Prezes Urzędu Ochrony Danych Osobowych stwierdził, że D. Sp. z o.o. oraz D. Sp. z o.o. Sp. k. nie można zarzuć niezgodnego z prawem przetwarzania danych osobowych A. M. Spółki przetwarzają dane osobowe skarżącego na podstawie art. 6 ust. 1 lit. b, c oraz f rozporządzenia 2016/679, nie doszło też do uchybień przetwarzania jego danych osobowych w związku z obowiązkami określonymi w art. 12 i 13 rozporządzenia 2016/679. W świetle powyższego, w ocenie Prezesa Urzędu Ochrony Danych Osobowych nie ma podstaw do zastosowania przepisu art. 58 ust. 2 rozporządzenia 2016/679.
A. M. w piśmie z 5 sierpnia 2021 r. zaskarżył decyzję Prezesa Urzędu Ochrony Danych Osobowych z [...] lipca 2021 r. do Wojewódzkiego Sądu Administracyjnego w Warszawie.
Skarżący zarzucił tej decyzji, mogące mieć istotny wpływ na wynik sprawy naruszenie przepisów postępowania, tj. art. 6, art. 7, art. 8, art. 10 § 1, art. 77 § 1, art. 79a, art. 80 i art. 107 § 3 k.p.a. w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781).
W uzasadnieniu tych zarzutów podniósł, że Prezes UODO "niemal całkowite" zaniechał przeprowadzenia postępowania dowodowego, nie podjął czynności niezbędnych do dokładnego wyjaśnienia stanu faktycznego, w konsekwencji nie zebrał całego materiału dowodowego i nie ustalił, czy skarżący jest nadal i w jakim okresie był komandytariuszem spółki pod firmą D. Sp. z o.o. Sp.k. z siedzibą w W., w jakim okresie uczestniczył w jej działalności oraz czy jest nadal i w jakim okresie uczestniczył w działalności spółki pod firmą D. Sp. z o.o. z siedzibą w W.
A. M. podniósł, że organ niejako przyjął za własne ustalenia, wyjaśnienia przedstawione przez Spółki. W szczególności zupełnie pominął informacje pochodzące od skarżącego, że wbrew twierdzeniom Spółek nie jest i nie był już od [...] lutego 2018 r. komandytariuszem D. Sp. z o.o, Sp. k., a od [...] sierpnia 2017 r. ze Spółkami nie współpracuje nie prowadząc swojej działalności w ich ramach. PUODO pominął też zupełnie wskazane przez niego powody, dlaczego powyższe nie znajduje odzwierciedlenia w Rejestrze Przedsiębiorców KRS. W ocenie skarżącego, przepis art. 17 ust. 1 ustawy z dnia 20 sierpnia 1997 r. – o Krajowym Rejestrze Sądowym (Dz. U. z 2021 r., poz. 112) zawiera jedynie domniemanie prawdziwości danych w nim zawartych i organ mógł oraz powinien zweryfikować informacje zawarte przez niego w pismach z 28 lutego i 11 marca 2019 r., zapoznać się z materiałami zgromadzonymi przez Sąd Rejonowy [...] w [...] (w szczególności pod sygn. akt [...]) oraz przez Sąd Okręgowy w W. (sygn. akt [...])
A. M. podniósł, że gdyby PUODO prowadził postępowanie w sposób prawidłowy, musiałby dojść do analogicznych wniosków co Sąd Rejonowy [...] w [...], w wyroku wydanym w dniu [...] października 2020 r. w sprawie [...] i ustalić, że skarżący nie współpracuje ze Spółkami od [...] sierpnia 2017 r., a od [...] lutego 2018 r. (konieczny upływ okresu wypowiedzenia umowy spółki) nie jest też wspólnikiem Spółki D. Sp. z o.o. Sp. k.
W skardze do Sądu skarżący zarzucił ponadto organowi dowolne, wykraczające poza zakres swobodnej oceny, ustalenie, że sam fakt posiadania udziałów w spółce kapitałowej stanowi zaangażowanie w działalność takiej spółki, a pośrednio w działalność spółek, których ta spółka jest wspólnikiem, wymagające i uzasadniające udostępnianie danych osobowych wspólnika.
W ocenie skarżącego, organ obowiązany był dokonać ustaleń co do dokładnego okresu udostępniania jego danych osobowych na stronie [...] Zdaniem A. M., nie jest bowiem prawidłowe twierdzenie organu, wyrażone w zaskarżonej decyzji, że istotny z punktu widzenia oceny ewentualnego naruszenia praw skarżącego jest wyłącznie stan istniejący w czasie wydawania decyzji administracyjnej. Pogląd organu podważa "sens i istotę" postępowań dotyczących nakładania pieniężnych kar administracyjnych, ponieważ niezależnie od skali dokonywanych naruszeń i ich skutków mógłby się zawsze uwolnić od odpowiedzialności poprzez samo zaprzestanie dokonywania naruszeń w toku postępowania, byle przed wydaniem decyzji. W konkluzji skarżący stwierdził, że w rozpatrywanej sprawie organ zobligowany był ustalić "pełny stan faktyczny", nie tylko w odniesieniu do dnia wydawania decyzji, a więc m.in. uwzględnić faktyczny okres ewentualnych naruszeń, nawet jeśli w ocenie tego organu w dniu decyzji do przetwarzania danych osobowych już nie dochodzi lub dochodzi w węższym (już prawidłowym) zakresie niż uprzednio.
W uzasadnieniu zarzutów procesowych sformułowanych w skardze, A. M. podniósł również, że organ nie rozpoznał jego skargi w pełnym zakresie, ponieważ nie odniósł się do jego żądania nałożenia kar pieniężnych na Spółki.
A. M. w skardze zarzucił również, że w konsekwencji błędnych ustaleń faktycznych, organ naruszył art. 6 ust 1 lit. b, c oraz f rozporządzenia 2016/679, poprzez ich nieprawidłowe zastosowanie.
Uwzględnienie faktycznych zaszłości historycznych musiałoby doprowadzić organ do wniosku, że Spółka sp. z o.o. sp. k. w ogóle nie była, co najmniej od [...] lutego 2018 r. uprawniona do przetwarzania jego danych osobowych, poza ewentualnym zakresem związanym z postępowaniami pomiędzy tą spółką a skarżącym. Nie ma bowiem przepisów prawa, które nakazywałyby (i zezwalały) na przetwarzanie danych osobowych byłego wspólnika. Udostępnianie takich danych nie jest konieczne dla realizacji umów Spółki z jej klientami i kontrahentami, zwłaszcza przyszłymi. Brak jest racji przemawiających również za tym, by transparentność podmiotów gospodarczych nawet z branży doradczej wymagała przetwarzania, w tym udostępniania w sieci Internet danych byłych wspólników w żaden sposób niezaangażowanych w działalność danej spółki. W przypadku zaś Spółki z o o., to wszystkie powyższe uwagi mają również pełne zastosowanie z tym zastrzeżeniem, że spółce tej nie można odmówić prawa do przetwarzania danych osobowych skarżącego w zakresie obowiązków wynikających z przepisów prawa związanych ze statusem skarżącego jako wspólnika tej spółki, ale tylko w tym zakresie.
Zdaniem skarżącego, zaskarżona decyzja narusza również art. 6 ust. 1 lit. f w zw. z art. 21 ust. 1 RODO. Nie można bowiem zgodzić się z przyjętym przez organ założeniem, że skoro dane osobowe skarżącego dostępne są w jawnym rejestrze publicznym - Rejestrze Przedsiębiorców KRS (niezależnie od tego, czy umieszczone są tam zasadnie czy też nie), to udostępnianie ich poza tym rejestrem w sieci Internet nie może prowadzić do naruszenia praw skarżącego, a w szczególności jego prawa do prywatności (s. 10). Nawet bowiem pomijając fakt (podniesiony przez skarżącego, a pominięty przez PUODO), że udostępnianie danych skarżącego przez Spółki stanowiło przykład zjawiska "ogrzewania się cudzą renomą" oraz utrudniania mu prowadzenia dalszej działalności, co niewątpliwie narusza jego prawa, z twierdzeniem PUODO nie można się zgodzić. Konsekwencją takiego poglądu byłoby bowiem wyzucie wszystkich osób wpisanych, chociażby w przeszłości, a obecnie wykreślonych (ich dane przecież można odnaleźć w odpisach pełnych i informacjach im odpowiadającym) do któregokolwiek z rejestrów KRS, jak i ksiąg wieczystych (również wszak jawnych i udostępnianych w serwisach Ministerstwa Sprawiedliwości) z prawa do prywatności. Przetwarzanie i udostępnianie danych osobowych przez określony podmiot publiczny na podstawie powszechnie obowiązujących przepisów prawa nie stanowi podstawy do swobodnego udostępniania w Internecie tychże danych przez podmioty prywatne, a zwłaszcza w szerszym zakresie (jak w przypadku skarżącego i jego danych o doświadczeniu i wykształceniu).
Organ naruszył w tej sprawie art. 17 ust. 1 RODO, poprzez uznanie, że nie przysługuje mu prawo żądania chociażby częściowego usunięcia jego danych osobowych przetwarzanych przez obie spółki.
Na zakończenie skarżący zarzucił, że organ dokonał błędnej wykładni art. 21 ust. 1 RODO w zakresie pojęcia "przyczyn związanych z szczególną sytuacją osoby składającej sprzeciw". Twierdze organu, że przyczyny te muszą się charakteryzować szczególną doniosłością oraz być związane ze sferą ściśle prywatną, rodzinną prowadzi do ograniczenia w sposób niedopuszczalny zakresu uprawnień osoby fizycznej, która nie chce by jej dane były nadal przetwarzane przez dany podmiot. Zdaniem skarżącego, nie można pominąć, że ustawodawca unijny wyraźnie podkreślał, zarówno w preambule RODO, jak i w art. 5 rozporządzenia, konieczność i cel ograniczania przetwarzania danych osobowych.
A. M. wniósł o stwierdzenie, na podstawie art. 145 § 2 p.p.s.a. w zw. z art. 156 § 1 pkt 2 zd. 2 k.p.a. nieważności zaskarżonej decyzji, ewentualnie o jej uchylenie na podstawie art. 145 § 1 pkt 1 lit. a i c p.p.s.a, oraz o zasądzenie zwrotu niezbędnych kosztów postępowania.
W skardze do sądu zawarł ponadto wniosek o przeprowadzenie dowodu uzupełniającego z dokumentu w postaci wydruku wyroku Sądu Rejonowego [...] w [...] z dnia [...] października 2020 r., sygn. [...] wraz z uzasadnieniem na okoliczność treści tego dokumentu, a w szczególności tego, że skarżący skutecznie wypowiedział umowę spółki pod firmą D. Sp. z o.o. Sp. k. w dniu[...] sierpnia 2017 r. i w konsekwencji od dnia [...] lutego 2018 r. nie jest wspólnikiem tej spółki oraz przyczyn, dla których pomimo to wciąż widnieje w Rejestrze Przedsiębiorców KRS.
Prezes Urzędu Ochrony Danych Osobowych w odpowiedzi na skargę wniósł o jej oddalenie. Organ podniósł m. in., że w zaskarżonej decyzji ocenił legalność przetwarzania danych osobowych skarżącego zgodnie z jego wnioskiem i ustalił że przetwarzanie danych znajduje oparcie w art. 6 ust. 1 lit b, c i f rozporządzenia 2016/679 oraz że nie ma podstaw do zastosowania uprawnień naprawczych, o których mowa w art. 58 ust. 2 rozporządzenia.
Organ podkreślił, że Spółki legitymują się przesłankami legalności określonymi w art. 6 ust. 1 lit. b, c oraz f rozporządzenia 2016/679, nie zaś zgodą skarżącego. Każda z przesłanek (podstaw) uzasadniających przetwarzanie danych osobowych, wymienionych w art. 6 ust. 1 rozporządzenia 2016/679 ma charakter autonomiczny i niezależny, co oznacza, że spełnienie co najmniej jednej z nich stanowi w danym przypadku o zgodnym z prawem przetwarzaniu danych osobowych.
Organ wyjaśnił, że skarżący w pismach z 28 lutego i z 11 marca 2019 r. podniósł m.in. że Spółki nie mają podstaw prawnych do przetwarzania jego danych osobowych w związku z jego zdaniem skutecznym wypowiedzeniem umowy Spółki oraz braku złożenia przez D. Sp. z o.o. Sp. k. wniosku o wykreślenie wpisu z Krajowego Rejestru Sądowego dotyczącego występowania przez Skarżącego jako komandytariusza tej Spółki. Te okoliczności, w ocenie Prezesa Urzędu Ochrony Danych Osobowych, nie miały znaczenia dla wyniku sprawy. Nie jest bowiem organem właściwym do rozstrzygania kwestii związanych z prawidłowym (lub nie) wywiązywaniem się z umów zawieranych pomiędzy stronami w obrocie gospodarczym, wypowiadaniem takich umów, weryfikacji sposobu wzajemnego świadczenia usług, bowiem właściwy w tym zakresie jest sąd powszechny. Organ powołał się na zasadę domniemania prawdziwości wpisu danych zawartych w Krajowym Rejestrze Sądowym (art. 17 ust. 1 ustawy z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym, Dz.U. z 2021 r. poz. 112 ze zm.) i podał, że obowiązany był do uwzględnienia informacji zawartych w Krajowym Rejestrze Sądowym w dniu wydania decyzji, z których wynika, że A. M. wciąż figuruje jako wspólnik komplementariusza D. Sp. z o.o. Sp. k. oraz wspólnik w D. Sp. z o.o.
Organ podkreślił, że D. Sp. z o.o. oraz D. Sp. z o.o. Sp. k. złożyły wyjaśnienia wraz z potwierdzającymi je dowodami, które w połączeniu z aktualnym wydrukiem z Krajowego Rejestru Sądowego, stanowiły wystarczający materiał dowodowy w sprawie. Przedłożone przez Spółki dokumenty jednoznacznie wskazywały że A. M. od [...] czerwca 2008 r. jest komandytariuszem w D. Sp. z o.o. Sp.k., natomiast w D. Sp. z o.o. jest jednym z jej wspólników od [...] czerwca 2003 r.
Te okoliczności prowadziły do wniosku, że zarówno D. Sp. z o.o., jak i D. Sp. z o.o. Sp. k. przetwarzają dane osobowe skarżącego od dnia powstania tych podmiotów w celu wykonania postanowień umowy Spółek i z tym związanego wypełnienia obowiązku prawnego ciążącego na Spółkach jako administratorach danych, w szczególności obowiązków wynikających z kodeksu spółek handlowych, ustawy o krajowym rejestrze sadowym oraz realizacji obowiązków wynikających z przepisów podatkowych i rachunkowych, a także w celu dochodzenia roszczeń.
Prezes Urzędu Ochrony Danych Osobowych podtrzymał również stanowisko wyrażone w zaskarżonej decyzji, że udostępnienie na stronie internetowej [...] przez D. Sp. z o.o. Sp. k. danych osobowych skarżącego, związanych z działalnością prowadzoną w Spółce, znajdywało oparcie w art. 6 ust. 1 lit. f rozporządzenia 2016/679. D. Sp. z o.o. Sp. k. działa w branży doradczej biznesowo-finansowej, w której szczególne znaczenie ma zapewnienie transparentności co do charakteru jej działalności oraz wzmacnianie relacji z obecnymi i potencjalnymi klientami. Organ przypomniał jednocześnie, że D. Sp. z o.o. Sp. k. po wniesieniu przez skarżącego sprzeciwu na podstawie art. 21 ust. 1 rozporządzenia 2016/679 ograniczyła przetwarzanie jego danych osobowych, mimo że miała podstawę ich przetwarzania w art. 6 ust. 1 lit. f rozporządzenia 2016/679. W szczególności ograniczyła zakres informacji zamieszczonych na stronie internetowej spółki poprzez usunięcie danych skarżącego w zakresie wykształcenia (nazwa uczelni) oraz doświadczenia zawodowego, jednocześnie pozostawiając na swojej stronie internetowej w zakładce "Kluczowe osoby" dane skarżącego w zakresie jego imienia i nazwiska oraz opisu o pełnionej przez skarżącego roli w Spółce.
Zdaniem organu, nie zasługują także na uwzględnienie zarzuty naruszenia przez organ nadzorczy art. 17 ust. 1 rozporządzenia 2016/679, ponieważ nie wystąpiła żadna z okoliczności określonych w tym przepisie, powodujących powstanie po stronie administratora obowiązku niezwłocznego usunięcia danych osobowych osoby, której te dane dotyczą. Prezes UODO podał, że dane osobowe skarżącego w dalszym ciągu są niezbędne w kontekście celów realizowanych przez Spółki (brak przesłanki z art. 17 ust. 1 lit a rozporządzenia 2016/679), podstawą ich przetwarzania jest m.in. prawnie usprawiedliwiony interes realizowany przez administratora, a nie zgoda skarżącego (brak przesłanki z art. 17 ust. 1 lit. b), kwestionowany proces przetwarzania danych osobowych skarżącego jest realizowany w sposób legalny (brak przesłanki z art. 17 ust. 1 lit. d rozporządzenia), nie istnieje przepis, który obligowałby Spółki do usunięcia kwestionowanych danych osobowych skarżącego (brak przesłanki z art. 17 ust. 1 lit. e rozporządzenia), dane osobowe skarżącego nie zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1 rozporządzenia 2016/679 (brak przesłanki z art. 17 ust. 1 lit. f rozporządzenia).
W rozpoznawanej sprawie nie można również przyjąć istnienia przesłanki do skutecznego żądania usunięcia danych określonej w art. 17 ust. 1 lit. c rozporządzenia, w związku z tym zarzut naruszenia przez organ art. 17 ust.1 lit c i art. 21 ust. 1 rozporządzenia 2016/679 jest nieuzasadniony. W literaturze przedmiotu przyjmuje się, że szczególna sytuacja uzasadniająca zaprzestanie przetwarzania danych osobowych wnioskodawcy wiązać się może z groźbą ujawnienia przez takie przetwarzania danych związanych ze sferą prywatności lub życia rodzinnego, w przypadku gdy wykorzystywanie tych danych w konkretnej sytuacji nie jest bezwzględnie konieczne (P. Fajgielski "Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz" WKP 2018).
Skarżący nie wykazał istnienia po jego stronie żadnej szczególnej sytuacji uzasadniającej żądanie zaprzestania przetwarzania przez Spółki jego danych osobowych. W żadnym razie nie wykazał istnienia po jego stronie szczególnej sytuacji rozumianej przede wszystkim jako możliwość ujawnienia (czy przetwarzania) zbędnych w kontekście realizowanych przez Spółki celów - jego danych osobowych - związanych ze sferą ściśle prywatną, rodzinną etc. Dane osobowe skarżącego, "pozostawione" przez D. Sp. z o.o. Sp. k. na stronie internetowej po wniesieniu przez skarżącego sprzeciwu wobec przetwarzania danych, są danymi powszechnie dostępnymi, a w konsekwencji ich przetwarzanie przez D. Sp. z o.o. Sp. k. dla potrzeb związanych z upowszechnianiem informacji dotyczących działalności Spółki oraz publikacja nie wiązała się - choćby potencjalnie - m.in. z ingerencją w sferę jego prywatności. Co więcej, ze złożonych w sprawie wyjaśnień i załączonych do nich dokumentów wynika, że D. Sp. z o.o. Sp. k. w dniu [...] października 2018 r. (z własnej woli) usunęła dane osobowe skarżącego ze strony internetowej.
Odnosząc się do zarzutu niezastosowania administracyjnej kary pieniężnej wobec Spółek, organ podniósł, że rozstrzygnięcie w tym przedmiocie jest jego autonomiczną decyzją i nie stanowi przedmiotu niniejszej sprawy.
Skarżący w piśmie procesowym z 21 lipca 2022 r., odnosząc się do odpowiedzi na skargę podniósł m. in., że organ niezasadnie przyjął, że istotny z punktu widzenia oceny ewentualnego naruszenia jego praw jest wyłącznie stan prawny istniejący w chwili wydania decyzji administracyjnej.
A. M. podał, że WSA w Warszawie w wyroku z 26 listopada 2021 r. sygn. akt II SA/Wa 2317/20 wydanym w analogicznej sprawie, wywiódł m. in., że przyjmując wykładnię proponowaną przez organ, należałoby przyjąć, iż ochrona przewidziana w cytowanych przepisach ma w znacznej mierze charakter czysto iluzoryczny. Podmiot dokonujący naruszeń w zakresie przepisów rozporządzenia 2016/679, zaprzestając tych naruszeń przed datą wydania decyzji uniknąłby konsekwencji z tego wynikających. Nie taki był jednak zamysł, wynikający z konstrukcji wskazanych regulacji. Sąd na poparcie swojego stanowiska podał, że przepisy rozporządzenia (art. 58 ust. 2, pkt a), c) i e) wskazują na potrzebę oceny czasu trwania naruszenia, nakazują wziąć pod rozwagę działania podjęte w celu zminimalizowania szkody oraz wszelkie wcześniejsze naruszenia ze strony administratora lub pomiotu przetwarzającego.
Zdaniem skarżącego, nie jest również prawidłowe powołanie się przez organ na wyrok NSA z 7 maja 2008 r. sygn. akt I OSK 761/07. W powołanym wyroku NSA stwierdził co prawda, że GIODO obowiązany jest rozstrzygnąć sprawę na podstawie stanu faktycznego i prawnego obowiązującego w dniu wydania decyzji administracyjnej przez ten organ, niemniej chodziło o to, czy organ odwoławczy może ograniczyć się jedynie do skontrolowania decyzji organu I instancji, dokonując tego z perspektywy stanu prawnego i faktycznego istniejącego w dniu wydania zaskarżonej decyzji, czy też zobowiązany jest rozstrzygnąć sprawę, uwzględniając również okoliczności faktyczne, które wystąpiły po wydaniu decyzji poprzez organ I instancji, a przed wydaniem decyzji przez organ II instancji. W konsekwencji, zdaniem strony skarżącej, powołany wyrok nie może stanowić argumentu dla ograniczenia zakresu rozpoznania sprawy dotyczącej naruszenia ochrony danych osobowych do oceny stanu istniejącego wyłącznie w dniu wydania decyzji administracyjnej i zaniechania jakichkolwiek ustaleń w kwestii wcześniejszych naruszeń.
Skarżący podniósł, że organ nie rozpoznał jego żądania w zakresie nałożenia na spółki administracyjnej kary pieniężnej.
A. M. wywiódł ponadto, że organ administracji dokonując ustaleń faktycznych w sprawie może oczywiście oprzeć się na domniemaniu z art. 17 ust. 1 ustawy o KRS i zasadniczo nie ciąży na nim obowiązek weryfikacji danych zawartych w rejestrze. Niemniej, jeśli otrzyma od strony postępowania informacje wskazujące, że dane wpisane do rejestru są nieaktualne, powinien zweryfikować tę informację.
Skarżący przypomniał, że w pismach z 28 i 11 marca 2019 r. podnosił, że [...] sierpnia 2017 r. skutecznie wypowiedział umowę spółki pod firmą D. Sp. z o.o. Sp. k. i że był jej wspólnikiem do dnia [...] lutego 2018 r. (upływ 6 miesięcy od dnia wypowiedzenia).
W tych okolicznościach organ obowiązany był zweryfikować informacje zawarte w KRS co do jego wpisu jako wspólnika spółki. Domniemanie prawdziwości wpisu w KRS (art. 17 ust. 1 ustawy o KRS) nie ma charakteru niewzruszalnego. Możliwa jest sytuacja, gdy dana osoba nie jest już wspólnikiem spółki, ale jest wpisana w tym charakterze do rejestru z uwagi na zaniechania po stronie osób mających legitymację do złożenia stosownego wniosku o wykreślenia do sądu rejestrowego, którą nie dysponuje sam wspólnik.
A. M. podniósł, że w toku postępowania przed PUODO wskazywał zarówno na fakt złożenia przez niego wypowiedzenia umowy spółki D. Sp. z o.o. Sp. k., jak i to, że toczy się proces o wyłączenie go ze spółki działającej pod firmą D. Sp. z o.o. Sp. k. (z powództwa spółki pod firmą D. Sp. z o.o.). Organ nie zweryfikował wyniku tego procesu.
Skarżący podkreślił, że Sąd Rejonowy [...] w [...] a, [...] Wydział Gospodarczy wyrokiem z [...] października 2020 r., sygn. akt [...] oddalił powództwo m. in. Spółki pod firmą D. Sp. z o.o. o jego wyłączenie ze spółki D. Sp. z o.o. sp. k. ze skutkiem na dzień wniesienia pozwu ([...] lutego 2019 r.) i stwierdził, że w sposób skuteczny wypowiedział umowę spółki w dniu [...] sierpnia 2017 r., ze skutkiem na [...] lutego 2018 r. (przestał być wspólnikiem spółki).
A. M. dodał, że Sąd Okręgowy w W. [...] Wydział Gospodarczy Odwoławczy i Zamówień Publicznych wyrokiem z [...] lutego 2022 r., sygn. akt [....] oddalił apelację D. Sp. z o.o.
Skarżący odnosząc się do stwierdzenia organu, że nie jest właściwy do oceny skuteczności wypowiedzenia umowy spółki podał, że twierdzenie to jest prawdziwe, "ale tylko jeśli chodzi o kompetencję do władczego przesądzania takiego ewentualnego sporu między stronami". Nie oznacza to jednak, że nie może on, jeżeli dane zagadnienie prawne dotyczy okoliczności mającej znaczenie dla jego rozstrzygnięcia, dokonać oceny na potrzeby tego postępowania.
W konkluzji pisma skarżący podniósł, że uprawnione jest przetwarzanie jego danych osobowych przez sp. z o.o., poprzez ich przechowywanie i przetwarzanie dla potrzeb korporacyjnych związanych, np. z przesyłaniem zawiadomień o zgromadzeniu wspólników, natomiast nie było podstaw do przetwarzania jego danych (przez sp. z o.o. sp.k) w internecie.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Skarga A. M. jest nieuzasadniona.
Rozważania należy rozpocząć od przypomnienia, że skarżący w skargach do Prezesa Urzędu Ochrony Danych Osobowych z 18 lipca 2018 r., na niezgodne z prawem przetwarzanie jego danych osobowych przez D. Sp. z o.o. sp. komandytowa z siedzibą w W. oraz D. Sp. z o.o. z siedzibą w W., domagał się nakazania Spółkom, jako administratorom danych osobowych, zaprzestania ich przetwarzania (m. in. na stronie internetowej) i ich usunięcia, wywodząc, że cofa zgodę na przetwarzanie danych. Skarżący zażądał również zobowiązania Spółek do spełnienia wobec niego obowiązku informacyjnego oraz udzielenia odpowiedzi na sprzeciw wobec przetwarzania danych osobowych, a także nałożenia na Spółkę administracyjnej kary pieniężnej.
Prezes Urzędu Ochrony Danych Osobowych w zaskarżonej decyzji odmówił uwzględnienia skargi (wniosku) A M. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez wspomniane Spółki, polegające na przetwarzaniu jego danych osobowych bez podstawy prawnej, nieudzieleniu informacji związanych ze złożeniem sprzeciwu wobec przetwarzania jego danych osobowych oraz nieuwzględnieniu żądania skarżącego w przedmiocie usunięcia danych osobowych. Organ podniósł, że z informacji zawartych w Krajowym Rejestrze Sądowym, wynika że A. M. jest komandytariuszem w D. Sp. z o.o. Sp. k., natomiast w D. Sp. z o.o. jest jednym z jej wspólników. To zaś, zdaniem organu, prowadzi do wniosku, że przetwarzanie przez te Spółki jego danych znajduje oparcie w art. 6 ust. 1 lit. b, lit. c oraz lit. f rozporządzenia 2016/679.
Organ oceniając legalność przetwarzania przez Spółki danych osobowych skarżącego zwrócił uwagę, że Spółki po otrzymaniu pisma A. M. z czerwca 2018 r. ograniczyły przetwarzanie jego danych osobowych na podstawie art. 6 ust. 1 lit f rozporządzenia, a Spółka z o.o. sp. k. dodatkowo ograniczyła przetwarzanie jego danych na stronie internetowej (tylko do danych odnoszących się do jego roli w spółce), a następnie – w toku postępowania administracyjnego, całkowicie usunęła jego dane ze strony internetowej. Jednocześnie PUODO ocenił, że udostępnienie danych osobowych skarżącego na stronie internetowej w szerszym zakresie miało oparcie w art. 6 ust. 1 lit f rozporządzenia.
Skarżący w skardze do Sądu oraz w piśmie procesowym podniósł mi. im., że Prezes Urzędu Ochrony Danych Osobowych nie rozpoznał właściwie sprawy, ponieważ w sposób nieuprawniony wziął pod uwagę stan faktyczny istniejący w dniu wydania zaskarżonej decyzji i obowiązany był ustalić jak długo jego dane osobowe były udostępnione na stronie internetowej.
A. M. wywiódł ponadto, że skoro organ uzasadnił legalność przetwarzania jego danych osobowych przez Spółki faktem, że jest ich stroną (wspólnikiem w sp. z o.o. i komandytariuszem w sp. z o.o. sp.k.), to nie mógł pominąć informacji podnoszonych przez niego w pismach z 28 i 11 marca 2019 r. że [...] sierpnia 2017 r. skutecznie wypowiedział umowę spółki pod firmą D. Sp. z o.o. Sp. k. i że był jej wspólnikiem do dnia [...] lutego 2018 r. (upływ 6 miesięcy od dnia wypowiedzenia) i poprzestać na odwołaniu się do zasady domniemania prawdziwości wpisów do Rejestru, o której mowa w art. 17 ust. 1 ustawy o Krajowym Rejestrze Sądowym. W piśmie procesowym dodał, że właściwe sądy cywilne przesądziły prawomocnie, że skutecznie wypowiedział umowę spółki komandytowej i z dniem [...] lutego 2018 r. przestał być wspólnikiem Spółki D. Sp. z o.o. Sp. k. (pozostaje członkiem zarządu spółki pod nazwą D. Sp. z o.o.).
Zdaniem Sądu orzekającego w niniejszej sprawie, stanowisko skarżącego nie jest uzasadnione.
Skarżący domagał się od organu podjęcia władczych działań (naprawczych) mających na celu dostosowania operacji przetwarzania jego danych osobowych do wymogów określonych przepisami.
Do grupy uprawnień naprawczych organu prawodawca unijny zaliczył: wydawanie ostrzeżeń, które mają charakter prewencyjny i powinny być wydawane, gdy organ nadzorczy dostrzega możliwość naruszenia przepisów rozporządzenia poprzez planowane operacje przetwarzania (art. 58 ust. 2 pkt 1), udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów rozporządzenia przez operacje przetwarzania (art. 58 ust. 2 pkt 2), które, jak wynika z motywu 148 preambuły, może być udzielone, gdy naruszenie przepisów rozporządzenia jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie, wreszcie wydawanie nakazów i zakazów (spełnienia żądań osoby, której dane dotyczą; dostosowania operacji przetwarzania do wymogów określonych przepisami; zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych; sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania). Szczególnym rodzajem uprawnień organu nadzorczego, zaliczonych przez prawodawcę unijnego do grupy uprawnień naprawczych, jest uprawnienie do nakładania administracyjnych kar pieniężnych. Zgodnie z art. 58 ust. 2 lit. i rozporządzenia 2016/679 kara pieniężna może być nałożona "oprócz lub zamiast" zastosowania innych uprawnień naprawczych. Wszystkie uprawnienia naprawcze, jakie zostały przewidziane dla organu nadzorczego, mają na celu zapewnienie właściwego poziomu ochrony danych osobowych, czyli dostosowanie procesu przetwarzania danych osobowych do wymogów przepisów prawa.
Sąd nie podziela stanowiska skarżącego, że w toku postępowania w tej sprawie Prezes UODO obowiązany był dokonać ustaleń co do dokładnego okresu udostępnienia jego danych osobowych na stronie internetowej i nie mógł oprzeć zaskarżonej decyzji na stwierdzeniu, że obecnie na stronie internetowej nie znajdują się jakiekolwiek dane osobowe skarżącego. W ocenie Sadu, całkowicie nieuzasadnione jest stanowisko, że w takich sprawach jak rozpatrywana, uwzględnienie stanu faktycznego z dnia wydania decyzji powoduje, że ochrona danych osobowych ma charakter "czysto iluzoryczny", skoro podmiot przetwarzający, zaprzestając naruszeń przed datą wydania decyzji w sprawie, uniknąłby konsekwencji z tego wynikających. Skarżący domagał się od organu zobowiązania podmiotów przetwarzających jego dane (w mniemaniu skarżącego niezgodnie z prawem) do zaprzestania przetwarzania jego danych (także na stronie internetowej) i z oczywistych względów miarodajny w tym zakresie był stan faktyczny istniejący w dniu wydania decyzji przez organ administracji.
Zdaniem Sądu stanowiska tego nie podważa treść art. 83 ust. 2 rozporządzenia, dotyczącego warunków nakładania administracyjnych kar pieniężnych, z którego wynika, że przy jej wymierzeniu należy wziąć pod uwagę takie okoliczności jak czas trwania naruszenia (art. 83 ust. 2 lit. a rozporządzenia) czy wcześniejsze naruszenia ze strony administratora (art. 83 ust. 2 lit. e rozporządzenia). Wywodzenie z tego przepisu, że w rozpatrywanej sprawie organ zobowiązany był ustalić dokładnie okres, w którym dane osobowe skarżącego były udostępnione na stronie internetowej, nie jest uzasadnione. W związku z tym Sąd orzekający w niniejszej sprawie nie podziela stanowiska wyrażonego przez WSA w Warszawie w wyroku, na który powołał się skarżący w piśmie procesowym z 21 lipca 2022 r.
Sąd zauważa jednocześnie, że w uzasadnieniu zaskarżonej decyzji Prezes UODO stwierdził, że przetwarzanie danych osobowych skarżącego na stronie internetowej we wcześniejszym okresie, miało oparcie w art. 6 ust. 1 lit. f rozporządzenia. Organ nadzorczy podał, że D. Sp. z o.o. Sp. k. udostępniała dane osobowe skarżącego na stronie internetowej znajdującej się pod adresem: [...] w zakładce "osoby zarządzające", a następnie w zakładce "Kluczowe osoby" w celach informacyjnych związanych z upowszechnianiem informacji dotyczących działalności Spółki. D. Sp. z o.o. Sp. k. działa w branży doradczej biznesowo-finansowej, w której szczególne znaczenie ma zapewnienie transparentności co do charakteru jej działalności oraz wzmacnianie relacji z obecnymi i potencjalnymi klientami. W związku z tym, zdaniem organu, przetwarzanie danych osobowych skarżącego, związanych z działalnością prowadzoną w Spółce i udostępnianie tych informacji na potrzeby obrotu prawnego, znajdywało oparcie w art. 6 ust. 1 lit. f rozporządzenia 2016/679. Dotyczy to też informacji o osobie skarżącego, w tym jego wykształceniu, czy też doświadczeniu, czy też działalności w Spółkach.
W ocenie Sądu, organ prawidłowo przyjął w zaskarżonej decyzji, że przetwarzanie danych osobowych A. M. znajduje oparcie w art. 6 ust.1 lit. b rozporządzenia (przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą), lit. c (przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze) oraz lit. f (przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora) rozporządzenia oraz że każda z przesłanek (podstaw) uzasadniających przetwarzanie danych osobowych, wymienionych w art. 6 ust. 1 rozporządzenia 2016/679 ma charakter autonomiczny i niezależny, co prowadzi do wniosku, że zaistnienie co najmniej jednej z nich stanowi w danym przypadku o zgodnym z prawem przetwarzaniu danych osobowych.
Zdaniem Sądu, nie są uzasadnione zarzuty skarżącego dotyczące tego, że organ uzasadniając legalność przetwarzania przez Spółki jego danych osobowych faktem, że jest wspólnikiem sp. z o.o. i komandytariuszem spółki D. Sp. z o.o. Sp. k. (stroną umowy spółki komandytowej), nie mógł pominąć okoliczności dotyczących istnienia sporu co do skuteczności wypowiedzenia przez niego umowy spółki D. Sp. z o.o. Sp. k. (ze skutkiem na dzień [...] lutego 2018 r.), które podnosił w pismach z 28 lutego i 11 marca 2019 r., a następnie wyroku Sądu Rejonowego [...] w [...],[...] Wydział Gospodarczy z [...] października 2020 r., sygn. akt [...]. Organ prawidłowo powołał się na zasadę domniemania prawdziwości wpisów do Rejestru (art. 17 ust. 1 ustawy z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym, Dz.U. z 2021 r. poz. 112 ze zm.). Wyrok Sądu Rejonowego [....], na który powołuje się skarżący został wydany w dniu [...] października 2020 r., a więc w toku postępowania administracyjnego, niemniej w dniu wydania zaskarżonej decyzji nie był prawomocny.
Nie zasługują także na uwzględnienie zarzuty dotyczące naruszenia przez organ nadzorczy art. 17 ust. 1 oraz art. 21 ust. 1 rozporządzenia 2016/679. Sąd podziela zapatrywanie organu, wyrażone w zaskarżonej decyzji, że podnoszone przez skarżącego okoliczności nie stanowią o jego szczególnej sytuacji, która przeważałaby nad prawnie uzasadnionym interesem Spółek.
W sprawie nie wystąpiła żadna z okoliczności określonych w art. 17 ust. 1 rozporządzenia 2016/679 uzasadniających niezwłoczne usunięcie przez Spółki danych osobowych dotyczących skarżącego, jako wspólnika Spółki [...] Sp. z o.o. i komandytariusza Spółki D. Sp. z o.o. sp. komandytowa.
Sąd podkreśla, że prawa skarżącego do "bycia zapomnianym" (art. 17 ust. 1 rozporządzenia), nie można wywieść z art. 17 ust. 1 lit. c rozporządzenia 2016/679, który stanowi, że osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli wniosła sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania. Z art. 21 ust. 1 rozporządzenia wynika, że osoba może wnieść sprzeciw z przyczyn związanych z jej szczególną sytuacją - wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e lub f, w tym profilowania na podstawie tych przepisów. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.
Szczególna sytuacja uzasadniająca zaprzestanie przetwarzania danych osobowych wnioskodawcy wiązać się może z groźbą ujawnienia przez takie przetwarzania danych związanych ze sferą prywatności lub życia rodzinnego, w przypadku gdy wykorzystywanie tych danych w konkretnej sytuacji nie jest bezwzględnie konieczne. Skarżący nie wykazał istnienia po jego stronie żadnej szczególnej sytuacji uzasadniającej żądanie zaprzestania przetwarzania przez Spółki jego danych osobowych, rozumianej przede wszystkim jako możliwość ujawnienia (czy przetwarzania) zbędnych w kontekście realizowanych przez Spółki celów - jego danych osobowych - związanych ze sferą ściśle prywatną, rodzinną. Dane skarżącego w tym zakresie (roli wspólnika w Spółce) są danymi powszechnie dostępnymi co skutkuje brakiem podstaw dla przyjęcia, że ich przetwarzanie przez D. Sp. z o.o. Sp. k. dla potrzeb związanych z upowszechnianiem informacji dotyczących działalności Spółki oraz publikacja wiązała się - choćby potencjalnie - m.in. z ingerencją w sferę jego prywatności.
Zdaniem Sądu, prawidłowe jest również stanowisko organu, zgodnie z którym nie ma podstaw do uwzględnienia pozostałych żądań skarżącego, dotyczących nakazania Spółkom wypełnienia w stosunku do niego obowiązku informacyjnego, o którym mowa w art. 13 rozporządzenia 2016/679 oraz udzielenia odpowiedzi na sprzeciw wobec przetwarzania jego danych osobowych złożony na podstawie art. 21 ust. 1 rozporządzenia 2016/679. Z niespornych okoliczności faktycznych sprawy wynika, że obie Spółki w pismach z 2 sierpnia 2018 r., a więc w terminie określonym w art. 12 ust. 3 rozporządzenia 2016/679, udzieliły skarżącemu odpowiedzi na sprzeciw wobec przetwarzania dotyczących go danych osobowych. Sąd stwierdza, że skarżący z uwagi na swój status w Spółkach posiadał pełną wiedzę na temat zakresu, formy i podstaw prawnych przetwarzania jego danych osobowych, a w konsekwencji ma do niego zastosowanie art. 13 ust. 4 rozporządzenia. Spółki wyjaśniły ponadto, że dostosowując procedury oraz dokumentację do przepisów RODO, w maju 2018 r. poinformowały skarżącego o przetwarzaniu jego danych osobowych.
Odnosząc się do zarzutu dotyczącego nierozpoznania sprawy w zakresie żądania wymierzenia Spółkom administracyjnej kary pieniężnej (zastosowania uprawnienia naprawczego o którym mowa w art. 83 ust. 2 lit. j rozporządzenia), należy wyjaśnić, że postępowanie w tym przedmiocie jest wszczynane przez organ z urzędu i nie jest przedmiotem rozpoznawanej sprawy.
Z tych wszystkich względów Sąd stwierdza, że zarzuty zawarte w skardze są nieuzasadnione. Wojewódzki Sąd Administracyjny kontrolując zaskarżoną decyzję w zakresie wykraczającym poza granice wyznaczone zarzutami skargi (art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi, Dz. U. z 2022 r., poz. 329) stwierdził, że nie ma też podstaw do jej uchylenia lub stwierdzenia nieważności, które byłby zobowiązany uwzględnić z urzędu.
Biorąc to wszystko pod uwagę, Wojewódzki Sąd Administracyjny w Warszawie działając na podstawie art. 151 ustawy procesowej, orzekł jak w sentencji.