Decyzja
ZKE.440.54.2019
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.) oraz na podstawie art. 160 ust. 1 i 2 ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku (Dz. U. z 2018 r. poz. 1000 ze zm.), art. 12 pkt 2, art. 18 ust. 1 pkt 6, art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.) art. 6 ust. 1 lit. f rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 str. 2), po przeprowadzeniu postępowania administracyjnego ze skargi M. K. na przetwarzanie jego danych osobowych przez Pana P. K. prowadzącego działalność gospodarczą pod firmą P., Prezes Urzędu Ochrony Danych Osobowych
nakazuje Panu P. K. prowadzącemu działalność gospodarczą pod firmą P. wyeliminowanie nieprawidłowości w procesie przetwarzania danych osobowych Pana M. K., poprzez usunięcie jego danych osobowych przetwarzanych w serwisie internetowym o nazwie […] pod adresem www.[...].[...].
Uzasadnienie
Do Generalnego Inspektora Ochrony Danych Osobowych (obecnie Prezesa Urzędu Ochrony Danych Osobowych) wpłynęła skarga Pana M. K., (zwanego dalej: Skarżącym), na Pana P. K. prowadzącego działalność gospodarczą pod firmą P. […], (zwanego dalej: Przedsiębiorcą) dotycząca odmowy usunięcia danych osobowych Skarżącego przetwarzanych przez Przedsiębiorcę w serwisie internetowym o nazwie […] (zwanym dalej: […]). Skarżący w treści swojego wniosku wniósł o nakazanie Przedsiębiorcy usunięcia swoich danych osobowych przetwarzanych przez Przedsiębiorcę z uwagi na swoją sytuację osobistą. Skarżący podkreślił, że upublicznienie jego danych osobowych przez Przedsiębiorcę w ww. serwisie internetowym narusza jego prawa i wolności osobiste, w szczególności powoduje dyskryminację w zatrudnieniu („negatywnie wpływa na prowadzone przez niego rozmowy kwalifikacyjne i naraża go na nieprzyjemności”).
W toku postępowania administracyjnego przeprowadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych (dalej: „Prezes UODO”) ustalił, co następuje.
- Przedsiębiorca prowadzi serwis internetowy – […] - działający pod adresem internetowym www.[...]. Dostęp do usług podstawowych jest bezpłatny i nie wymaga wcześniejszej rejestracji w serwisie. Natomiast dostęp do danych szczegółowych dotyczących upadłości zgromadzonych w […], możliwy jest po zarejestrowaniu się w serwisie oraz opłaceniu subskrypcji lub abonamentu zgodnie z Regulaminem Serwisu Internetowego www.[...]. Treść publikowanych w Serwisie informacji nie jest modyfikowana i pochodzi bezpośrednio z Monitora Sądowego i Gospodarczego (MSiG). Serwis zawiera informacje o osobach fizycznych oraz podmiotach wobec, których orzeczono upadłość, w tym upadłość konsumencką.
- Przedsiębiorca pozyskał dane osobowe Skarżącego z MSiG, rocznik 2015, numer […]/2015 ([…]) poz. […] z […] maja 2015 roku. Dane osobowe Skarżącego udostępnione zostały w związku ze złożonym przez Skarżącego wnioskiem o ogłoszenie jego upadłości konsumenckiej w sprawie o sygn. akt […], postanowieniem Sądu Rejonowego w O. z dnia […] maja 2015 roku oraz podaniem go do wiadomości publicznej na podstawie art. 4915 ust. 1 ustawy z dnia 28 lutego 2013 r. Prawo upadłościowe (Dz. U. z 2019 r. poz. 498 ze zm.) zwanej dalej Prawem upadłościowym. W obwieszczeniu w MSiG udostępnione zostały następujące dane osobowe Skarżącego: imię, nazwisko, adres, sygnatura akt sprawy […], […], data wydania postanowienia upadłościowego przez Sąd Rejonowy w O.
- Dane osobowe Skarżącego zostały udostępnione w serwisie internetowym […] jako dane osoby fizycznej w upadłości likwidacyjnej i podane do wiadomości publicznej. Przedsiębiorca w wyjaśnieniach jako podstawę umieszczenia ww. danych osobowych w swoim serwisie wskazał art. 4915 ust. 1 Prawa upadłościowego w związku z ogłoszeniem postanowienia Sądu Rejonowego w O. z dnia […] maja 2015 roku w MSiG.
- W serwisie internetowym […] pod adresem strony internetowej https://www.[...] znajdują się następujące dane osobowe Skarżącego: imię, nazwisko, dane teleadresowe, pesel oraz informacje dotyczące upadłości tj. sygnatura akt upadłości […], sygnatura wniosku o upadłość: […], data ogłoszenia upadłości: 2015-05-[…] rok, dane sądu, dane syndyka, obwieszczenie z MSiG o sporządzeniu i przekazaniu sędziemu komisarzowi listy wierzytelności, obwieszczenie z MSiG o ogłoszeniu upadłości i postanowienie o ogłoszeniu upadłości. Wymienione informacje dotyczące Skarżącego dostępne są po zalogowaniu do serwisu internetowego […] w zakładce szczegóły. W wynikach wyszukiwania bez zalogowania na stronie http://www.[...] po wpisaniu imienia i nazwiska Skarżącego pojawiają się następujące dane osobowe: ”Konsumencka – osoba fizyczna, nie prowadząca działalności gospodarczej M. K. w upadłości likwidacyjnej ([…]) […]”.
- W treści wniosku Skarżący wskazał, że opublikowane na stronie internetowej serwisu […] informacje na temat postępowania upadłościowego są nieaktualne i wprowadzają w błąd. W serwisie brak jest wzmianki, że Sąd Rejonowy w O. V Wydział Gospodarczy postanowieniem z […] lutego 2016 roku (sygn. […]) umorzył zobowiązania upadłego bez ustalenia planu spłaty.
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Przedmiotem niniejszego postępowania jest przetwarzanie danych osobowych bez podstawy prawnej osobowych Skarżącego na stronie [...].
Z dniem 25 maja 2018 r. w życie weszły przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000 ze zm.), zwanej dalej „u.o.d.o.”.
W myśl art. 160 ust. 1-3 u.o.d.o. postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.) zwanej dalej: „ustawą”, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), zwanej dalej „k.p.a”. Jednocześnie, czynności dokonane w postępowaniach, wszczętych i niezakończonych przed dniem wejścia w życie przepisów u.o.d.o., pozostają skuteczne.
Od dnia 25 maja 2018 r. zastosowanie ma również rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), zwane dalej „Rozporządzeniem 2016/679”.
W wyroku z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07 Naczelny Sąd Administracyjny stwierdził, iż „badając […] legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.
Przetwarzanie danych osobowych, w tym ich udostępnianie, jest zgodne z prawem wówczas, gdy administrator danych legitymuje się jedną z przesłanek wymienionych w art. 6 ust.1 Rozporządzenia 2016/679. Przesłanki te odnoszą się do wszelkich form przetwarzania danych wymienionych w art. 4 pkt 2 Rozporządzenia 2016/679, w tym do ich udostępnienia. Warunki te są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednej z nich. Zgodnie z ww. przepisem „przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.”
Wskazana przez Przedsiębiorcę podstawa prawna przetwarzania danych osobowych Skarżącego w postaci przepisów Prawa upadłościowego nie ma zastosowania w niniejszym przypadku, ponieważ dotyczy ona wydania przez sąd postanowienia o ogłoszeniu upadłości oraz podania tego postanowienia do publicznej wiadomości przez ogłoszenie w budynku sądowym oraz obwieszczenie w Monitorze Sądowym i Gospodarczym. Nie stanowi zaś podstawy do publikacji informacji o upadłości w prywatnym serwisie internetowym.
Biorąc pod uwagę katalog przesłanek legalizujących przetwarzanie danych, wymienionych w art. 6 Rozporządzenia 2016/679, Przedsiębiorca mógłby dopatrywać się podstawy prawnej przetwarzania danych osobowych Skarżącego jedynie w przesłance określonej w art. 6 ust. 1 lit f Rozporządzenia 2016/679, tj. w swoim prawnie uzasadnionym interesie. Jednakże należy podkreślić, że przesłanka ta nie ma charakteru bezwzględnego, ponieważ skonstruowana jest na zasadzie ważenia interesów. „Na jednej szali nakazuje umieścić prawnie uzasadniony interes administratora danych (lub osoby trzeciej), a na drugiej – wymagające ochrony podstawowe prawa i wolności osoby, której dane dotyczą. Jeżeli wynik tego ważenia interesów będzie wskazywał, że za przeważające należy uznać wymagające ochrony prawa podmiotu danych, to administrator nie powinien opierać przetwarzania danych na omawianej tu podstawie prawnej” (P. Fajgielski, Komentarz do art. 6 [w:] red. P. Fajgielski, Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz. Wolters Kluwer Polska, 2018).
Odnosząc się do okoliczności niniejszej sprawy należy stwierdzić, że Przedsiębiorca przetwarza dane Skarżącego w związku z prowadzeniem działalności gospodarczej – w celach zarobkowych. Jednak zdaniem Prezesa UODO upublicznianie w prywatnym serwisie danych konsumenta – upadłego, którego zobowiązania postanowieniem sądu zostały umorzone bez planu spłat, a więc osoby, która de facto została oddłużona, nie znajduje uzasadnienia, ponieważ w takim przypadku nie może być mowy o ochronie interesów jego wierzycieli. Ochronie interesów wierzycieli upadłego służą rozwiązania wprowadzone przez prawodawcę, w tym publikacja postanowień o upadłości w Monitorze Sądowym i Gospodarczym. Ponadto należy podkreślić, że celem regulacji prawnych dotyczących upadłości konsumenckiej jest m.in. umożliwienie upadłym „nowego startu”, tymczasem upublicznienie informacji o upadłości Skarżącego może wpływać negatywnie na jego dobre imię i istotnie utrudniać mu znalezienie nowej pracy. Zatem publikowanie danych osobowych Skarżącego na stronie internetowej prywatnego serwisu […] prowadzonego przez Przedsiębiorcę, zdaniem Prezesa UODO, narusza interes Skarżącego. Dlatego też po przeanalizowaniu interesów obu stron, należy stwierdzić, że w przedmiotowej sprawie interes osobisty Skarżącego w postaci prawa do ochrony własnego dobrego imienia, przeważa nad interesem Przedsiębiorcy, jakim jest osiągnięcie zarobku na przetwarzaniu danych osobowych Skarżącego. Tym samym wyklucza to możliwość zastosowania przesłanki z art. 6 f Rozporządzenia 2016/679 jako podstawy prawnej przetwarzania danych osobowych Skarżącego przez Przedsiębiorcę.
Stosownie do art. 18 ust. 1 pkt 6 ustawy w przypadku naruszenia przepisów o ochronie danych osobowych Prezes Urzędu Ochrony Danych Osobowych z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem. Mając na uwadze okoliczności przedmiotowej sprawy, Prezes Urzędu Ochrony Danych Osobowych, upoważniony jest do nakazania Przedsiębiorcy usunięcia z […] ww. danych osobowych Skarżącego.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Na podstawie art. 127 § 3 Kpa od decyzji przysługuje stronie prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.