Przetwarzanie danych osobowych przez fundację przedmiotem decyzji prezesa UODO

Prezes UODO podjął decyzję odmawiającą uwzględnienia skargi dotyczącej przetwarzania danych osobowych przez fundację na swojej stronie internetowej. Sprawa dotyczyła publikacji danych pozyskanych z dostępnych źródeł, a Prezes UODO ustalił m.in. cele działalności fundacji oraz zakres przetwarzanych danych osobowych. Decyzja została oparta na przepisach RODO oraz KPA.

Tematyka: Prezes UODO, fundacja, przetwarzanie danych osobowych, RODO, KPA, decyzja, publikacja danych, ochrona danych osobowych, prawo do informacji publicznej

Prezes UODO na podstawie art. 104 § 1 ustawy z 14.6.1960 r. – Kodeks postępowania administracyjnego (t.j.:
Dz.U. z 2018 r. poz. 2096 ze zm., dalej jako: KPA), art. 7 ust. 1 w zw. z art. 60 ustawy z 10.5.2018 r. o ochronie
danych osobowych (Dz.U. z 2018 r. poz. 1000 ze zm., dalej jako: OchronaDanychU) oraz art. 6 ust. 1 lit. f i art.
57 ust. 1 lit. a i f Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie
ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego
przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L Nr 119 z 27.4.2016 r., s. 1, dalej
jako: RODO) w decyzji odmawiającej uwzględnienia skargi z 17.5.2019 r. wypowiedział się w sprawie
udostępniania danych osobowych na stronie internetowej fundacji. Sprawa dotyczyła przetwarzania danych
osobowych (również ich publikacji) pozyskanych ze źródeł ogólnodostępnych.
Stan faktyczny
Do Urzędu Ochrony Danych Osobowych wpłynęła skarga M.B. na przetwarzanie jej danych osobowych przez
Fundację. Skarżąca sformułowała pod adresem Fundacji zarzut nieuprawnionego przetwarzania jej danych
osobowych publikowanych w prowadzonym przez Fundację serwisie. Skarżąca wskazała, że przetwarzanie jest
niezgodne z prawem, gdyż moje interesy lub podstawowe prawa i wolności mają nadrzędny charakter wobec
interesów realizowanych przez administratora.
Skarżąca zarzuciła zarazem Fundacji, że prezentowane przez nią w serwisie informacje na jej temat wskazują na
istnienie nieprawdziwych powiązań organizacyjnoprawnych pomiędzy podmiotami, w organach których sprawuje
określone funkcje. Skarżąca argumentowała, że Fundacja zamieściła na stronach internetowych tego portalu graf
obrazujący moje powiązania jako Członka Zarządu Spółki i członka Zarządu stowarzyszenia z osobami pełniącymi
funkcje w Zarządzie Spółki. Tymczasem – jak zaznaczyła Skarżąca każdy z tych podmiotów prowadzi działalność
gospodarczą niezależnie od interesów drugiego z nich i interesów osób zarządzających drugim z tych podmiotów.
Podmioty te nie stanowią spółek powiązanych w rozumieniu KSH. Nie działają one także w ramach jednej grupy
kapitałowej, żaden z tych podmiotów nie posiada udziału w kapitale drugiego. Skoro nie ma żadnych powiązań
kapitałowych, to nie ma żadnych powodów, dla których na stronach internetowych portalu miałyby być zamieszczone
informacje nt. powiązań między tymi podmiotami.
Ustalenia faktyczne Prezesa UODO
W toku postępowania wyjaśniającego Prezes UODO ustalił m.in., że:
• Zgodnie z wpisem dotyczącym Fundacji w Krajowym Rejestrze Sądowym jej celem jest wspomaganie rozwoju
demokracji przez upowszechnianie praw obywatela w zakresie dostępu do informacji publicznej. W statucie Fundacji
wskazano ponadto, że Fundacja realizuje swoje cele przez m.in.: budowanie narzędzi informatycznych,
programistycznych i technologicznych, wspierających zaangażowanie obywateli w sprawy publiczne, podejmowanie
działań w zakresie ustanawiania i promowania standardów i dobrych praktyk w zakresie dostępu i ponownego
wykorzystania informacji z sektora publicznego (§ 6 pkt 4 i 5).
• Fundacja przetwarza dane osobowe Skarżącej jako aktualnego członka organu reprezentacji (wiceprezesa
zarządu) stowarzyszenia, członka organu nadzoru Sp. z o.o. oraz członka organu reprezentacji (członka zarządu) Sp.
z o.o. Ponadto Fundacja przetwarza dane osobowe Skarżącej dotyczące jej uprzedniego uczestnictwa w charakterze
wspólnika w Sp. z o.o. Przedmiotowe dane osobowe zostały przez Fundację pozyskane ze źródła publicznie
dostępnego tj. ze strony internetowej Ministra Sprawiedliwości prowadzonej dla Krajowego Rejestru Sądowego.
Zakres pozyskanych przez Fundację danych osobowych Skarżącej objął następujące, ujawnione w KRS, informacje
na jej temat: imię i nazwisko, numer ewidencyjny PESEL, funkcje pełnione w organach podmiotów wpisanych do
KRS oraz informacje na temat liczby i wartości udziałów w tych podmiotach (jednym z nich) - i był to zakres danych
tożsamy z zakresem danych osobowych Skarżącej ujawnionych w KRS.
• Fundacja przetwarza numer PESEL Skarżącej w celach identyfikacyjnych.
Rozstrzygnięcie
Prezes UODO jest organem właściwym w sprawie ochrony danych osobowych i organem nadzorczym w rozumieniu
rozporządzenia RODO. Prezes UODO prowadzi postępowania w sprawie naruszenia przepisów o ochronie danych
osobowych (art. 60 OchrDanychU), przy czym w sprawach nieuregulowanych w ustawie, do postępowań
administracyjnych przed Prezesem UODO, w szczególności unormowanych w rozdziale 7 OchrDanychU postępowań

w sprawie naruszenia przepisów o ochronie danych osobowych, stosuje się KPA. Stosownie do art. 57 ust. 1 RODO,
bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia każdy organ nadzorczy na swoim
terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia.
Artykuł 4 pkt 2 RODO definiuje przetwarzanie danych jako operację lub zestaw operacji wykonywanych na
danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany,
taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub
modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie,
rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie
lub niszczenie. Zgodne z prawem przetwarzanie danych osobowych z art. 6 ust. 1 RODO.
Ustawa z 20.8.1997 r. o Krajowym Rejestrze Sądowym (t.j.: Dz.U. z 2018 r. poz. 986 ze zm., dalej jako: KRSU)
wprowadza w art. 8 zasadę jawności formalnej KRS. Powołany przepis stanowi wprost, że Rejestr jest jawny (ust.
1), że każdy ma prawo dostępu do danych zawartych w Rejestrze za pośrednictwem Centralnej Informacji (ust. 2)
oraz że każdy ma prawo otrzymać, również drogą elektroniczną, poświadczone odpisy, wyciągi, zaświadczenia
i informacje z Rejestru (ust. 3). Art. 12 ust. 1 KRSU statuuje generalną zasadę, że dane zawarte w Rejestrze nie
mogą być z niego usunięte (chyba że ustawa stanowi inaczej). Natomiast zgodnie z art. 13 ust. 1 KRSU wpisy do
Rejestru podlegają obowiązkowi ogłoszenia w Monitorze Sądowym i Gospodarczym, chyba że ustawa stanowi
inaczej.
Imiona, nazwiska i numery PESEL osób fizycznych wchodzących w skład organów reprezentacji i organów nadzoru
spółek z ograniczoną odpowiedzialnością, wspólników tych spółek (ze wskazaniem ilości i wartości przypadających
im udziałów) oraz osób wchodzących w skład organów reprezentacji stowarzyszeń, podlegają wpisowi odpowiednio:
do jawnego rejestru przedsiębiorców oraz do jawnego rejestru stowarzyszeń, innych organizacji społecznych
i zawodowych, fundacji oraz samodzielnych publicznych zakładów opieki zdrowotnej na mocy: art. 35 pkt 1, art. 36
pkt 6, art. 38 pkt 8 lit. c, art. 39 pkt 1 i 2 i art. 49 ust. 1 i 2 KRSU.
Mając na uwadze, że Fundacja przetwarza tożsamy zakres informacji na temat Skarżącej z zakresem jej
danych ujawnionych w KRS oznacza to, że przetwarza ona również (przy czym nie publikuje) nr PESEL
Skarżącej. Każdy podmiot przetwarzający numer PESEL określonej osoby przetwarza tym samym również
informację o dacie jej urodzenia (wieku) oraz płci.
Fundacja prowadzi działalność na rzecz rozwoju demokracji, otwartej i przejrzystej władzy oraz zaangażowania
obywatelskiego, w związku z czym gromadzi zbiory danych powszechnie dostępnych i udostępnia je obywatelom
w ramach serwisów internetowych przez siebie prowadzonych. Fundacja w zakresie swojej statutowej działalności
wspiera rozwój demokracji poprzez upowszechnienie praw obywatela w zakresie dostępu do informacji publicznej
i tworzy rozwiązania informatyczne, które pozwalają obywatelom w łatwiejszy sposób dotrzeć do danych
udostępnionych przez państwo. W ramach realizacji powyższych celów Fundacja podejmuje działania polegające na
częściowo odpłatnym, a częściowo nieodpłatnym udostępnianiu obywatelom w serwisie internetowym danych
pochodzących z powszechnie dostępnych źródeł (KRS/Monitor). Tak określone cele i zadania Fundacji mają bez
wątpienia prawne usprawiedliwiony charakter. Ich realizacja jest zarazem uwarunkowana przetwarzaniem
danych osobowych ujawnionych w publicznie dostępnych rejestrach, w tym danych osobowych Skarżącej
jako osoby pełniącej określone funkcje w podmiotach podlegających wpisowi do Rejestru. Brak zarazem
podstaw do przyjęcia, że realizacja ww., prawnie uzasadnionego interesu administratora (Fundacji),
polegającego na prowadzeniu działalności związanej z upowszechnianiem treści zawartych
w KRS/Monitorze, musiała ustąpić wobec nadrzędnych w stosunku do niej interesów lub podstawowych
praw i wolności Skarżącej, wymagających ochrony danych osobowych. Jak bowiem wskazano, przetwarzane
przez Fundację w kwestionowany sposób dane osobowe Skarżącej, są danymi powszechnie dostępnymi.
Jednocześnie zakres danych osobowych Skarżącej publikowanych w serwisie internetowym jest adekwatny (nie
nadmierny) w kontekście realizowanego celu informacyjnego (dane te są w istocie publikowane w zakresie węższym
w porównaniu do zakresu danych ujawnionych KRS - nie obejmują bowiem numeru PESEL), natomiast ich treść jest
zbieżna z treścią danych ujawnionych w KRS. Prezes UODO nie znalazł podstaw, by zakwestionować legalność
pozyskania i dalszego przetwarzania przez Fundację, w zbiorze utworzonym dla potrzeb funkcjonowania
serwisu informacji o numerze PESEL – w celu umożliwienia jednoznacznego odróżnienia Skarżącej od
innych osób o tych samych imionach i nazwisku. Jednocześnie raz jeszcze podkreślić należy, że numer ten
nie jest przez Fundację publikowany w ww. serwisie internetowym. Co zaś tyczy się kwestii publikowania
przez Fundację w ww. serwisie informacji o płci Skarżącej przez ikonę graficzną wskazać należy, że
informację tego rodzaju niosą za sobą już same dane Skarżącej w zakresie jej imienia.
Odnosząc się do kwestii publikowania przez Fundację tych danych osobowych Skarżącej, które dotyczą przeszłego
występowania przez nią w charakterze wspólnika sp. z o.o., podkreślić należy, że uczestnictwo Skarżącej w spółce
w podanym charakterze pozostaje faktem, a informacje na temat tego rodzaju aktywności Skarżącej w szeroko
rozumianym obrocie gospodarczym mogą nadal pozostawać w sferze publicznego zainteresowania. Z tego samego
względu informacje te są nadal publikowane w KRS. Uwzględniając publiczny charakter tych informacji, ich

merytorycznej poprawności oraz waloru informacyjnego fakt, że mają one obecnie walor historyczny, pozostaje bez
wpływu na możliwość ich dalszego przetwarzania (w tym publikowania) przez Fundację.
Podsumowując dotychczasowe rozważania, przetwarzanie przez Fundację publicznie dostępnych danych
osobowych Skarżącej - jako osoby pełniącej określone funkcje w podmiotach podlegających wpisowi do Rejestru,
w tym ich publikacja – znajduje oparcie w powołanym art. 6 ust. 1 lit. f RODO.
decyzja Prezesa UODO z 17.5.2019 r., ZSPU.440.705.2018

Fundacja przetwarza dane osobowe Skarżącej zgodnie z prawem, w celu umożliwienia jednoznacznego ich identyfikowania. Prezes UODO uznał, że publikacja danych osobowych w serwisie internetowym fundacji jest zgodna z przepisami RODO. Decyzja Prezesa UODO stanowiła podstawę prawną dla dalszego przetwarzania danych.