II SA/Wa 1035/24

II SA/Wa 1035/24 - Wyrok WSA w Warszawie
Data orzeczenia
2025-02-20
orzeczenie nieprawomocne
Data wpływu
2024-06-25
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Iwona Maciejuk /sprawozdawca/
Mateusz Rogala
Sławomir Fularski /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżoną decyzję
Powołane przepisy
Dz.U. 2024 poz 935
art. 145 par. 1 pkt 1 lit. c, art. 200 w zw. z art. 205
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Dz.U.UE.L 2016 nr 119 poz 1 art. 6 ust. 1, art. 58 ust. 2, art. 17 ust. 3
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Sławomir Fularski, Sędzia WSA Iwona Maciejuk (spr.), Asesor WSA Mateusz Rogala, , Protokolant referent Marta Stec po rozpoznaniu na rozprawie w dniu 20 lutego 2025 r. sprawy ze skargi [...] sp. z o.o. z siedzibą w [...] na punkt 1 decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] kwietnia 2024 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla punkt 1 decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] kwietnia 2024 r. nr [...]; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz skarżącego [...] sp. z o.o. z siedzibą w [...] kwotę 697 zł (słownie: sześćset dziewięćdziesiąt siedem złotych) tytułem zwrotu kosztów postępowania.
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych decyzją z dnia [...] kwietnia 2024 r. nr [...] na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2023 r. poz. 775 ze zm.), art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), art. 6 ust. 1 lit. f), art. 58 ust. 2 lit. d) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), po przeprowadzeniu postępowania administracyjnego w sprawie skargi E. D., na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] Sp. z o.o. z siedzibą w [...], polegające na przetwarzaniu jego danych osobowych bez podstawy prawnej, w tym udostępnianiu ich podmiotom trzecim oraz na niespełnieniu żądania w zakresie usunięcia tych danych, w pkt. 1 nakazał [...] Sp. z o.o. z siedzibą w [...], zaprzestanie przetwarzania danych osobowych E. D., w celu ochrony przed ewentualnymi roszczeniami z jego strony, w pkt. 2 w pozostałym zakresie odmówił uwzględnienia wniosku.
Prezes UODO w uzasadnieniu wskazał, że do Urzędu Ochrony Danych Osobowych wpłynęła skarga E. D. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] Sp. z o.o. z siedzibą w [...] polegające na przetwarzaniu jego danych osobowych bez podstawy prawnej, w tym udostępnianiu ich podmiotom trzecim oraz na niespełnieniu żądania w zakresie usunięcia tych danych. W treści ww. skargi wnioskodawca podniósł cyt.: "(...) W maju 2022 roku zażądałem zaprzestania przetwarzania, przekazywania i usunięcia moich danych osobowych przez firmę [...] Sp. z o.o. Skorzystałem też z prawa do bycia zapomnianym. Niestety znowu zaczęli wydzwaniać do mnie telemarketerzy powołując się na dane pozyskane z firmy [...] Sp. z o.o. (...) Zgodnie z informacją w załącznikach, na początku czerwca 2022 roku moje dane powinny zostać usunięte (...)".Wnioskodawca podał, iż kwestionuje przetwarzanie przez Spółkę jego imienia, nazwiska, telefonu, adresu e-mail. Wskazując na powyższe wniósł o cyt.: "(...) Żądam podjęcia czynności mających na celu zweryfikowanie operacji przetwarzania danych i - w razie stwierdzenia nieprawidłowości - podjęcia adekwatnych czynności w ramach przysługujących organowi nadzorczemu kompetencji, żądam nakazania skarżonemu podmiotowi dostosowania operacji przetwarzania do przepisów RODO (...)".
W toku przeprowadzonego postępowania wyjaśniającego w niniejszej sprawie Prezes UODO, ustalił następujący stan faktyczny.
1. Przedmiotem działalności Spółki jest m. in. pozostała działalność usługowa w zakresie informacji, gdzie indziej niesklasyfikowana, przetwarzanie danych, działalność związana z bazami danych, badanie rynku i opinii publicznej, doradztwo w zakresie prowadzenia działalności gospodarczej i zarządzania, działalność agencji informacyjnych, przetwarzanie danych, zarządzanie stronami internetowymi (hosting) i podobna działalność, działalność portali internetowych, pozostałe doradztwo w zakresie prowadzenia działalności gospodarczej i zarządzania - Informacja odpowiadająca odpisowi pełnemu z Rejestru przedsiębiorców Krajowego Rejestru Sądowego dotycząca Spółki (numer KRS: [...]) - w aktach sprawy.
2. Spółka pozyskała dane osobowe wnioskodawcy w dniu [...] września 2019 r. z Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG). Zakres pozyskanych przez Spółkę danych osobowych wnioskodawcy był następujący: imię i nazwisko, firma przedsiębiorcy, adres rejestrowy, numery i dane rejestrowe (w szczególności numer NIR, adres e – mail, RKD, data założenia działalności gospodarczej, numer telefonu wnioskodawcy - pismo Spółki z dnia [...] lutego 2023 r. do UODO - w aktach sprawy.
3. Dane osobowe wnioskodawcy zostały przez Spółkę pozyskane w celu dostarczania jej klientom kompleksowej informacji w ramach oferowanych przez nią produktów, które przede wszystkim przyczyniają się do zwiększenia stabilności i bezpieczeństwa obrotu gospodarczego, co mieści się w zakresie działalności gospodarczej Spółki. Działalność Spółki skoncentrowana jest na dostarczaniu raportów gospodarczych dotyczących przedsiębiorców innym podmiotom - klientom Spółki. Spółka udostępnia raporty gospodarcze opierając się na posiadanych przez Spółkę danych, jednakże zarówno Spółka jak i podmioty, którym dane zostały udostępnione są odrębnymi administratorami danych osobowych - pismo Spółki z dnia [...] lutego 2023 r. do UODO - w aktach sprawy.
4. Zgodnie z oświadczeniem Spółki, prawnie uzasadnione interesy Spółki polegają na oferowaniu klientom Spółki produktów [...]. Przetwarzanie danych osobowych przedsiębiorców, w tym danych osobowych wnioskodawcy, jest natomiast niezbędne do tworzenia i dostarczania klientom takich produktów - pismo Spółki z dnia [...] lutego 2023 r. do UODO - w aktach sprawy.
5. Spółka nie przetwarzała danych osobowych wnioskodawcy w celach marketingowych - pismo Spółki z dnia [...] lutego 2023 r. do UODO - w aktach sprawy.
6. Spółka udostępniła posiadane przez nią dane osobowe wnioskodawcy innym podmiotom, tj. [...] Sp. z o.o., [...] Sp. z o.o., [...] Sp. z o.o., [...] Sp. z o.o., [...] Sp. z o.o., [...] Sp. z o.o., [...] Sp. z o.o., [...] Sp. z o.o., [...] Sp. z o.o., [...] S.A., [...], [...] S.A. - pismo Spółki z dnia [...] lutego 2023 r. do UODO - w aktach sprawy.
7. W dniu [...] maja 2022 r. wnioskodawca, drogą elektroniczną, zwrócił się do Spółki o cyt.: "(...) Wydzwaniają do mnie różne firmy z propozycjami produktów, którymi nie jestem zainteresowany. Organizacje te poinformowały mnie, że dane te uzyskały od Państwa. W związku z tym cofam zgodę na przetwarzanie moich danych osobowych przez Państwa organizację o ile ją wyraziłem. Jeśli nie wyrażałem takiej zgody, żądam natychmiastowego zaprzestania przekazywania moich danych innym podmiotom, a także naprawienia szkody w postaci usunięcia moich danych osobowych z baz przekazanych innym podmiotom. Żądam przesłania informacji do jakich podmiotów zostały dostarczone moje dane osobowe i na jakiej podstawie. Jednocześnie informuję, że chcę skorzystać z prawa do bycia zapomnianym zgodnie z artykułem 17 ust. 1 Rozporządzenia o ochronie danych osobowych (...)"- wiadomość e-mail wnioskodawcy do Spółki z dnia [...] maja 2022 r. godz. [...]- w aktach sprawy.
8. W odpowiedzi na powyższą wiadomość Spółka, pismem z dnia [...] czerwca 2022 r. skierowanym do wnioskodawcy drogą elektroniczną, poinformowała go o podmiotach, którym jego dane osobowe zostały udostępnione, wymienionych w pkt 6 decyzji, podstawach prawnych przetwarzania danych osobowych, jak również o fakcie, iż w związku ze zgłoszeniem wnioskodawcy, jego dane osobowe zostały usunięte z baz produktowych Spółki wskazując cyt.: "(...) [...] [...] Sp. z o. o. z siedzibą w [...] zaprzestał przetwarzania wskazanych danych osobowych w bazach produktowych. O usunięciu Pana danych osobowych zostali poinformowani wszyscy odbiorcy, którym ujawniono Pana dane (...)" - wiadomość e-mail Spółki do wnioskodawcy z dnia [...] czerwca 2022 r. godz. [...] - w aktach sprawy.
9. Aktualnie, dane osobowe wnioskodawcy zostały usunięte z baz produktowych Spółki - pismo Spółki z dnia [...] lutego 2023 r. do UODO - w aktach sprawy.
10. Aktualnie Spółka przetwarza dane wnioskodawcy wyłącznie w celu: weryfikacji i deduplikacji danych osobowych, jak również obrony roszczeń - pismo Spółki z dnia [...] lutego 2023 r. do UODO - w aktach sprawy.
11. Zgodnie z oświadczeniem Spółki, aktualnie Spółka nie wywodzi wobec wnioskodawcy żadnych roszczeń, a wnioskodawca - poza roszczeniami dochodzonymi w niniejszym postępowaniu administracyjnym o sygn. [...], prowadzonym przed Prezesem UODO - także nie wywodzi wobec Spółki innych roszczeń - pismo Spółki z dnia [...] lutego 2024 r. do UODO - w aktach sprawy.
Na podstawie powyższego Prezes UODO wskazał, że zgodnie z art. 6 ust. 1 RODO, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest co najmniej jedna z przesłanek wskazanych w tym przepisie. Zebrany w sprawie materiał dowodowy wykazał, że Spółka przetwarzała dane osobowe wnioskodawcy na podstawie art. 6 ust. 1 lit. f RODO, stosownie do którego przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych.
Prezes UODO wyjaśnił, że Spółka pozyskała dane osobowe wnioskodawcy z powszechnie dostępnej Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG), a jej prawnie uzasadnionym interesem jest prowadzenie działalności gospodarczej zarejestrowanej w Krajowym Rejestrze Sądowym polegającej m. in. na przetwarzaniu danych, działalności związanej z bazami danych, badaniu rynku i opinii publicznej, doradztwie w zakresie prowadzenia działalności gospodarczej i zarządzania. Zgodnie z oświadczeniem Spółki prowadzona działalność polega na dostarczaniu raportów gospodarczych dotyczących przedsiębiorców innym podmiotom - klientom Spółki. Spółka przetwarza dane osobowe podmiotów danych w szczególności poprzez ich umieszczenie w bazach produktowych Spółki, których głównym przeznaczeniem jest dostarczanie klientom Spółki rzetelnych i pełnych informacji gospodarczych, mających na celu zachowanie bezpieczeństwa obrotu, w szczególności pomiędzy przedsiębiorcami działającymi na rynku. Aktualnie jednak dane osobowe wnioskodawcy zostały usunięte z baz produktowych Spółki.
Prezes UODO uznał, że w przedmiotowych okolicznościach przetwarzanie jawnych danych osobowych dotyczących działalności gospodarczej widniejących w publicznych rejestrach i udostępnianie informacji na potrzeby obrotu prawnego znajduje oparcie w art. 6 ust. 1 lit. f RODO i stanowi przetwarzanie danych osobowych do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Spółkę jako ich administratora, o których mowa w tym przepisie. Wyżej określone cele Spółki mają bez wątpienia usprawiedliwiony charakter, ich realizacja jest uwarunkowana przetwarzaniem danych osobowych ujawnionych w publicznie dostępnych rejestrach, w tym danych wnioskodawcy, jako osoby prowadzącej działalność gospodarczą. Brak jest zarazem podstaw do przyjęcia, że realizacja ww. prawnie uzasadnionego interesu administratora, polegającego na prowadzeniu działalności związanej z upowszechnianiem treści zawartych w CEIDG musiałaby ustąpić wobec interesów lub podstawowych praw i wolności wnioskodawcy. Wnioskodawca nie podał powodu, dla którego jego żądanie zasługuje na uwzględnienie, jak również nie wskazał praw, wolności, ani interesów, które zostały naruszone przez publikację jego powszechnie dostępnych danych w serwisie. Jednocześnie zakres danych przetwarzanych przez Spółkę nie wykraczał poza zakres informacji widniejących w CEIDG.
Prezes UODO podkreślił, iż ustawa z 6 marca 2018 r. o Centralnej Ewidencji i Informacji o Działalności Gospodarczej i Punkcie Informacji dla Przedsiębiorcy (Dz. U. z 2022 r. poz. 541), zwana dalej ustawą o CEIDG, w art. 45 ust. 1 wprowadza zasadę jawności tego rejestru. Zgodnie bowiem z tym przepisem, dane i informacje udostępniane przez CEIDG są jawne. Każdy ma prawo dostępu do tych danych i informacji. Z kolei zgodnie z art. 45 ust. 2 ustawy o CEIDG, dane i informacje, o których mowa w art. 5 ust. 1 i 2 oraz art. 44 ust. 1, z wyjątkiem danych niepodlegających udostępnianiu zgodnie z art. 43 ust. 1, są udostępniane na stronie internetowej CEIDG. Organ przytoczył też art. 2 pkt 8 ustawy z 11 sierpnia 2021 r. o otwartych danych i ponownym wykorzystywaniu informacji sektora publicznego (Dz.U. z 2023 r. poz. 1524). Wskazał m.in., że ustawa statuuje powszechne prawo do ponownego wykorzystywania informacji sektora publicznego udostępnionych w Biuletynie Informacji Publicznej podmiotu zobowiązanego lub w portalu danych, lub w innym systemie teleinformatycznym podmiotu zobowiązanego oraz przekazanych na wniosek o ponowne wykorzystanie. W świetle powyższego Spółka legitymowała się podstawą prawną do przetwarzania danych osobowych wnioskodawcy określoną w art. 6 ust. 1 lit. f RODO. Zasadność takiego działania została potwierdzona w wyroku Naczelnego Sądu Administracyjnego z dnia 19 września 2023 r. (sygn. akt III OSK 2538/21).
Prezes UODO zaznaczył, że aktualnie Spółka nie przetwarza danych wnioskodawcy, bowiem jak oświadczyła, usunęła jego dane ze zbiorów produktowych, a co za tym idzie, wypełniła żądanie wnioskodawcy. Natomiast z materiału dowodowego sprawy wynika, iż przetwarzanie danych osobowych wnioskodawcy przez inne podmioty w celach marketingowych obywa się niezależnie od Spółki, bowiem podmioty te są odrębnymi administratorami danych w rozumieniu art. 4 pkt 7 RODO. W kontekście złożonych przez Spółkę wyjaśnień, przetwarzanie danych osobowych wnioskodawcy przez inne podmioty w celach marketingowych nie podlegało ocenie w niniejszym postępowaniu jako niezależne od działań Spółki i mogłoby być co najwyżej przedmiotem odrębnego zaskarżenia.
Prezes UODO podniósł, iż z materiału dowodowego niniejszej sprawy nie wynika, by wnioskodawca zgłaszał wobec Spółki jakiekolwiek roszczenia, brak jest również roszczeń Spółki wobec wnioskodawcy. Art. 6 ust. 1 lit. f RODO nie może stanowić podstawy do przetwarzania danych osobowych w celu zabezpieczenia przed ewentualnymi, przyszłymi i niepewnymi roszczeniami. W ocenie Prezesa UODO aktualny proces przetwarzania danych osobowych wnioskodawcy przez Spółkę w celu ochrony przed ewentualnymi roszczeniami ze strony wnioskodawcy jest niezgodny z przepisami o ochronie danych osobowych, bowiem przetwarzanie danych w celu nieistniejących przyszłych roszczeń nie ma oparcia w art. 6 ust. 1 lit. f RODO. Dlatego też zasadne było nakazanie Spółce zaprzestania ich przetwarzania w tym celu. Art. 17 ust. 3 lit. e RODO odnosi się bowiem do roszczeń istniejących, a nie przyszłych i niepewnych.
[...] Sp. z o.o. z siedzibą w [...], reprezentowana przez adwokata, w skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie na punkt 1 decyzji Prezesa UODO z dnia [...] kwietnia 2024 r. nr [...] wniosła o umorzenie postępowania administracyjnego w zaskarżonym zakresie ewentualnie, w przypadku braku uznania podstaw do umorzenia postępowania o uchylenie punktu 1 decyzji Prezesa UODO z dnia [...] kwietnia 2024 r. nr [...] oraz zasądzenie zwrotu kosztów postępowania niezbędnych do celowego dochodzenia praw, w tym kosztów zastępstwa procesowego, według norm przepisanych. Pełnomocnik zarzucił naruszenie art. 7, art. 77 § 1 oraz art. 80 k.p.a. poprzez wadliwe dokonanie ustaleń stanu faktycznego, nierozpatrzenie całego materiału dowodowego zgromadzonego w sprawie, jak i niedokonanie jego wszechstronnej i całościowej oceny, a w konsekwencji niewyjaśnienie wszystkich istotnych okoliczności sprawy; art. 107 § 3 k.p.a. poprzez niedostateczne i niepełne uzasadnienie wydanej decyzji, polegające wyłącznie na zdawkowym wskazaniu, że w sprawie brak jest podstaw prawnych do przetwarzania danych osobowych uczestnika przez Spółkę w celu obrony potencjalnych roszczeń, bez wyjaśnienia stanowiska, że art. 6 ust. 1 lit. f RODO nie stanowi rzekomo w takim przypadku prawidłowej podstawy przetwarzania danych osobowych Uczestnika przez Spółkę; art. 6 ust. 1 lit. f RODO poprzez jego błędną wykładnię polegającą na przyjęciu, że zawarta w ww. przepisie przesłanka nie może stanowić podstawy prawnej legitymizującej przetwarzanie danych osobowych uczestnika w celu realizacji prawnie uzasadnionych interesów Spółki, polegających na obronie lub dochodzeniu ewentualnych roszczeń, jeżeli nie zostały jeszcze skutecznie podniesione, podczas gdy prawidłowa interpretacja tego przepisu prowadzi do wniosku, że przetwarzanie takie jest dopuszczalne przez okres przedawnienia roszczeń wynikający z obowiązujących przepisów prawa; art. 17 ust. 3 lit. e RODO poprzez jego nieprawidłową wykładnię i przyjęcie, że przepis ten odnosi się wyłącznie do roszczeń istniejących, a nie przyszłych i niepewnych, podczas gdy przepis ten nie wprowadza takich ograniczeń, a przyjęcie wykładni zaproponowanej przez organ prowadziłoby do nierówności stron i braku faktycznej możliwości dochodzenia lub obrony roszczeń w terminach przedawnienia.
Pełnomocnik w uzasadnieniu podkreślił, że organ naruszył szereg zasad w zakresie prawidłowego prowadzenia postępowania administracyjnego, w tym m. in. zasadę prawdy obiektywnej, poprzez wadliwe ustalenie stanu faktycznego, jak i poprzez brak należytego rozważenia materiału dowodowego zgromadzonego w sprawie. Organ całkowicie pominął sytuację faktyczną występującą w niniejszej sprawie przy rozważaniu aktualnego celu przetwarzania danych osobowych uczestnika przez Spółkę. Organ pominął fakt, że uczestnik wystąpił ze skargą do Prezesa UODO, jak i że w wiadomościach kierowanych do Spółki w formie e - mail wskazywał, że żąda naprawienia szkody w postaci usunięcia danych osobowych z baz przekazanych innym podmiotom (e – mail uczestnika z dnia [...] maja 2022 r.). Kierowane przez uczestnika żądania i podejmowane kolejne kroki prawne, czynią nietrafnym stanowisko organu, jakoby roszczenia uczestnika były ewentualne, przyszłe i niepewne. Na powyższą możliwość uwagę zwracała już także Spółka w toku prowadzonego postępowania administracyjnego w piśmie z dnia [...] lutego 2024 r. Powyższe prowadzi do wniosku, że organ nie rozpatrzył zgromadzonego w sprawie materiału dowodowego rozważnie i w całości. Pełnomocnik podkreślił, że organ naruszył normę wynikającą z 107 § 3 k.p.a., ograniczając się w przytoczonym uzasadnieniu faktycznym i prawnym do zdawkowego wskazania, że podstawy przetwarzania danych osobowych uczestnika w celu obrony bądź dochodzenia roszczeń nie można w szczególności wywodzić z art. 6 ust. 1 lit. f RODO. W wydanej decyzji zabrakło jakiegokolwiek rozważenia czy rzeczywiście przetwarzanie danych osobowych uczestnika w celu obrony bądź dochodzenia ewentualnych roszczeń jest niezbędne dla realizacji prawnie uzasadnionych interesów realizowanych przez . Spółkę, jak i czy istnieją inne sposoby do osiągnięcia takiego celu obranego przez Spółkę jako administratora. Ponadto w uzasadnieniu organ nie odniósł się w ogóle dlaczego odmawia uznania stanowiska Spółki, że roszczenia, które mogą być kierowane przez uczestnika wobec Spółki są realne i znajdują uzasadnienie w okolicznościach faktycznych. Pełnomocnik podniósł, że istotą niniejszej sprawy jest weryfikacja czy przetwarzanie danych na podstawie art. 6 ust. 1 lit. f RODO dotyczy wyłącznie obrony przed roszczeniami już istniejącymi w chwili przetwarzania danych osobowych, czy też może dotyczyć roszczeń przyszłych, hipotetycznych. W ocenie strony skarżącej, organ wadliwie odkodował normę prawną wynikającą z art. 6 ust. 1 lit. f) RODO przyjmując, że zawarta w ww. przepisie przesłanka realizacji prawnie uzasadnionych interesów administratora danych osobowych nie może stanowić podstawy prawnej legitymizującej przetwarzanie przez Spółkę danych osobowych uczestnika w celu obrony przed ewentualnymi roszczeniami, jeżeli nie zostały one jeszcze podniesione. Spółka już choćby w związku z wniesieniem przez uczestnika skargi do Prezesa UODO przetwarza jego dane osobowe w celu obrony i przedstawienia swojego stanowiska w toku przedmiotowego postępowania administracyjnego.
Pełnomocnik zwrócił uwagę, że na gruncie art. 82 RODO każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów RODO, jest uprawniona do uzyskania odszkodowania za poniesioną szkodę. Jednocześnie podmiot danych może wywodzić roszczenia, przysługujące na podstawie przepisów prawa cywilnego, tj. w szczególności dochodzić odszkodowania lub zadośćuczynienia za naruszenie dóbr osobistych w postaci prawa do prywatności (por. wyrok Sądu Okręgowego [...] w [...] - [...] Wydział [...] z dnia [...] marca 2022 r., [...]). Zdaniem skarżącego cel w postaci przechowywania danych osobowych uczestnika na wypadek konieczności obrony przed potencjalnymi roszczeniami przysługującymi uczestnikowi wydaje się uzasadniony i zgodny z prawem. Pełnomocnik podniósł ponadto, że przepis art. 17 ust. 3 lit. e) RODO nie mówi wprost o "istniejących roszczeniach", a jedynie o "roszczeniach".
Prezes UODO w odpowiedzi na skargę wniósł o jej oddalenie podtrzymując dotychczasowe stanowisko. W uzasadnieniu Prezes UODO dodał m.in., że nie zgadza się z prezentowaną przez Spółkę wykładnią przepisu art. 6 ust. 1 lit. f RODO prowadzącą do uznania, że w realiach niniejszej sprawy przetwarzanie danych osobowych Skarżącego w celu obrony roszczeń, stanowi prawnie uzasadniony interes administratora i jest dopuszczalne przez okres przedawnienia roszczeń.
W ocenie organu przesłanka prawnie usprawiedliwionego interesu, podobnie jak pozostałe przesłanki przetwarzania danych wymienione w art. 6 ust. 1 RODO, stanowi przesłankę zgodności z prawem procesu przetwarzania danych osobowych. Tym samym chroni przede wszystkim osobę, której proces ten dotyczy przed nieuprawnionym przetwarzaniem jej danych osobowych. Przy interpretacji art. 6 ust. 1 lit. f RODO, Spółka niezasadnie skupiła się na własnych interesach gospodarczych, nie dostrzegając jednocześnie, że z punktu widzenia ochrony danych osobowych dane osobowe mogą być wprawdzie przetwarzane do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, ale wyłącznie wówczas, gdy interesy te są nadrzędne nad interesami i prawami osoby, której dane dotyczą. Kluczowe znaczenie przy zastosowaniu przesłanki wynikającej z art. 6 ust. 1 lit. f RODO ma zatem ustalenie, czy interesy lub podstawowe prawa i wolności osoby, której dane dotyczą nie mają nadrzędnego charakteru nad prawnie uzasadnionymi interesami administratora danych. Prezes UODO podziela wyrażony w doktrynie pogląd, że powyższa "podstawa dopuszczalności przetwarzania nie ma charakteru bezwarunkowego, jest skonstruowana jako mechanizm ważenia interesów. Na jednej szali nakazuje umieścić prawnie uzasadniony interes administratora danych (lub strony trzeciej), a na drugiej - wymagające ochrony podstawowe prawa i wolności osoby, której dane dotyczą. Jeżeli wynik tego ważenia interesów będzie wskazywał, że za przeważające należy uznać wymagające ochrony prawa podmiotu danych, to administrator nie powinien opierać przetwarzania danych na omawianej tu podstawie prawnej. Ważąc interesy i podstawowe prawa i wolności Skarżącego, takie jak chociażby gwarantowane (tak na gruncie prawa europejskiego, Konstytucji RP czy prawa cywilnego) prawo do prywatności, z interesem Spółki, który dotyczy w tym wypadku zachowania w swych zasobach danych "na wszelki wypadek", tj. na wypadek tego, że mogą się okazać przydatne w przyszłości do dochodzenia lub obrony ewentualnych roszczeń, które obecnie nie istnieją, należało dojść do wniosku, że to interesy i podstawowe prawa i wolności Skarżącego są nadrzędne.
Pełnomocnik skarżącego w piśmie procesowym z dnia 10 lutego 2025 r. (omyłkowo wskazano 2024 r.) podtrzymał skargę na punkt 1 decyzji. Dodatkowo podniósł m.in., że organ nietrafnie przyjmuje, że Spółka przetwarzała dane uczestnika w celu zabezpieczenia przed ewentualnymi, przyszłymi i niepewnymi roszczeniami, jak również że jest to przetwarzanie "na wszelki wypadek" i "na zapas". Sposób wykładni prezentowany przez organ w istocie kreuje faktyczną nierówność podmiotów prawa, a zastosowanie się do niej powodowałoby, że Skarżący traciłby jakiekolwiek możliwości obrony swoich praw, nim nastąpi przedawnienie roszczeń. Prawidłowe dokonanie testu ważenia interesów, na które równoprawnie składają się interesy podmiotu danych (uczestnika), jak i interesy Spółki powinno doprowadzić organ do uznania, że przetwarzanie danych osobowych uczestnika jest wystarczająco uzasadnione w okresie, w którym uczestnik może podnosić żądania wobec Spółki, które mogą się zakończyć dla niej negatywnie. Podstawą takiego przetwarzania może być zaś przesłanka prawnie uzasadnionych interesów Spółki jako administratora, tj. art. 6 ust. 1 lit. f RODO.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju
sądów administracyjnych (Dz. U. z 2024 r., poz. 1267), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli
ustawy nie stanowią inaczej. Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną (art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2024 r., poz. 935), zwanej dalej P.p.s.a.
Skarga oceniana w świetle powyższych kryteriów podlegała uwzględnieniu.
Zaskarżona w zakresie punktu 1 decyzja narusza przepisy prawa procesowego, tj. art. 80 i art. 107 § 1 k.p.a. w stopniu, który mógł mieć istotny wpływ na wynik sprawy. Organ administracji publicznej ocenia na podstawie całokształtu materiału dowodowego, czy dana okoliczność została udowodniona (art. 80 k.p.a.) Zgodnie zaś z art. 107 § 3 k.p.a., uzasadnienie faktyczne decyzji powinno w szczególności zawierać wskazanie faktów, które organ uznał za udowodnione, dowodów, na których się oparł, oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej, zaś uzasadnienie prawne - wyjaśnienie podstawy prawnej decyzji, z przytoczeniem przepisów prawa.
W ocenie Sądu organ nie rozważył należycie i wyczerpująco kwestii, o której rozstrzygnął w punkcie 1 decyzji.
W sprawie tej organ (w punkcie 1 decyzji) nakazał Spółce zaprzestanie przetwarzania danych osobowych uczestnika postepowania (skarżącego w postepowaniu przed Prezesem UODO) w celu ochrony przed ewentualnymi roszczeniami z jego strony.
Dla oceny zgodności z prawem rozstrzygnięcia podjętego w punkcie 1 decyzji konieczne jest przedstawienie okoliczności faktycznych ustalonych przez organ w sprawie. Przedstawienie tych okoliczności jest istotne, albowiem w ocenie Sądu w nawiązaniu do nich właśnie, zabrakło należytego i wyczerpującego rozważenia materiału dowodowego przy podejmowaniu rozstrzygnięcia zawartego w punkcie 1 decyzji.
W toku postepowania organ ustalił m.in., że Spółka pozyskała dane osobowe uczestnika z powszechnie dostępnej Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG), a jej prawnie uzasadnionym interesem jest prowadzenie działalności gospodarczej zarejestrowanej w Krajowym Rejestrze Sądowym polegającej m. in. na przetwarzaniu danych, działalności związanej z bazami danych, badaniu rynku i opinii publicznej, doradztwie w zakresie prowadzenia działalności gospodarczej i zarządzania. Działalność Spółki polega m.in. na dostarczaniu raportów gospodarczych dotyczących przedsiębiorców innym podmiotom - klientom Spółki. Spółka przetwarza dane osobowe podmiotów danych w szczególności poprzez ich umieszczenie w bazach produktowych Spółki, których głównym przeznaczeniem jest dostarczanie klientom Spółki rzetelnych i pełnych informacji gospodarczych, mających na celu zachowanie bezpieczeństwa obrotu, w szczególności pomiędzy przedsiębiorcami działającymi na rynku. Organ stwierdził, że zakres danych przetwarzanych przez Spółkę nie wykraczał poza zakres informacji widniejących w CEIDG.
Nadto, organ stwierdził, że przetwarzanie jawnych danych osobowych dotyczących działalności gospodarczej widniejących w publicznych rejestrach i udostępnianie informacji na potrzeby obrotu prawnego, znajduje oparcie w art. 6 ust. 1 lit. f RODO i stanowi przetwarzanie danych osobowych do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Spółkę jako ich administratora. Powyższe stwierdzenie organu nie są przedmiotem oceny i rozstrzygania przez Sąd w niniejszej sprawie, albowiem skarga nie dotyczy punktu 2 decyzji. Prezes UODO ustalił też, że aktualnie dane osobowe uczestnika zostały usunięte z baz produktowych Spółki. Wskazał, że Spółka usunęła dane uczestnika ze zbiorów produktowych, a co za tym idzie, wypełniła żądanie.
Jednocześnie organ wskazał, że z materiału dowodowego sprawy wynika, iż przetwarzanie danych osobowych uczestnika przez inne podmioty w celach marketingowych, obywa się niezależnie od Spółki, bowiem podmioty te są odrębnymi administratorami danych. Organ stwierdził też powołując się na wyjaśnienia Spółki, że przetwarzanie danych osobowych uczestnika przez inne podmioty w celach marketingowych nie podlega ocenie w niniejszym postępowaniu jako niezależne od działań Spółki i mogłoby być co najwyżej przedmiotem odrębnego zaskarżenia. Organ stwierdził powyższe wskazując, że Spółka wyraźnie podkreśla " (...), iż w przypadku wykorzystywania pozyskanych od Spółki danych osobowych w celach prowadzenia marketingu własnego podmiotów - podmiot otrzymujący dane osobowe zobowiązany jest do pozyskania we własnym zakresie stosownych zgód od odbiorcy komunikacji, określonych w przepisach prawa (...)".
W tych okolicznościach faktycznych Prezes UODO, rozstrzygnięcie w punkcie 1 decyzji, tj. nakaz zaprzestania przetwarzania przez Spółkę danych uczestnika w celu ochrony przed ewentualnymi roszczeniami z jego strony, uzasadnił stwierdzeniem, że z materiału dowodowego niniejszej sprawy nie wynika, by uczestnik zgłaszał wobec Spółki jakiekolwiek roszczenia, brak jest również roszczeń Spółki wobec uczestnika. Wobec powyższego, w sprawie brak jest podstaw prawnych do przetwarzania danych osobowych uczestnika przez Spółkę w celu zabezpieczenia przed ewentualnymi, przyszłymi i niepewnymi roszczeniami. Organ stwierdził, że podstawy tej nie może w szczególności stanowić art. 6 ust. 1 lit. f RODO. W ocenie Prezesa UODO aktualny proces przetwarzania danych osobowych uczestnika przez Spółkę w celu ochrony przed ewentualnymi roszczeniami ze strony uczestnika jest niezgodny z przepisami o ochronie danych osobowych, bowiem przetwarzanie danych w celu nieistniejących przyszłych roszczeń nie ma oparcia w art. 6 ust. 1 lit. f RODO. Dlatego też w ocenie organu zasadne było nakazanie Spółce zaprzestania ich przetwarzania w tym celu. Organ wskazał, że art. 17 ust. 3 lit. e RODO odnosi się do roszczeń istniejących, a nie przyszłych i niepewnych.
W odniesieniu do powyższego stwierdzić należało, że uzasadnienie decyzji w zakresie zaskarżonego punktu 1 nie odpowiada wymogom art. 107 § 3 k.p.a. i uniemożliwia w istocie w niniejszej sprawie pełną kontrolę sądową zaskarżonej części decyzji. Ocena organu dokonana w tej sprawie, na tym etapie postępowania, uznana została przez Sąd za dowolną (art. 80 k.p.a.), albowiem organ ochrony danych osobowych nie rozważył w zaskarżonej decyzji podstawowych kwestii, które winny być wzięte pod uwagę przy rozstrzyganiu o istnieniu bądź braku podstaw do przetwarzania danych osobowych "w celu ochrony przed ewentualnymi roszczeniami", jak ujęto to w nakazie. Naruszono tym samym również art. 77§ 1 k.p.a. Organ podjął próbę dokonania pełnej oceny w tym zakresie w odpowiedzi na skargę, jednakże odpowiedź na skargę stanowi pismo procesowe w sprawie sądowej i nie zastępuje indywidualnego aktu administracyjnego, nie sanuje braków decyzji administracyjnej.
W sprawie tej organ nie rozważył i nie uzasadnił należycie w uzasadnieniu kwestii, którą rozstrzygnął w punkcie 1 decyzji.
Organ wskazał, że przesłanka z art. 6 ust. 1 lit. f RODO (w zw. z art. 17 ust. 3 lit e RODO) dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest potrzeba dochodzenia lub obrony przed roszczeniami istniejącymi, a nie ewentualnymi, przyszłymi i niepewnymi.
Warto wskazać, że w kwestii przetwarzania danych osobowych przez administratora danych na podstawie art. 6 ust. 1 lit. f RODO w celu zabezpieczenia uzasadnionych interesów administratora na wypadek ewentualnego sporu sądowego w okresie do upływu terminu przedawnienia roszczeń, wypowiedział się Naczelny Sąd Administracyjny w wyroku z dnia 20 lutego 2024 r. sygn. akt III OSK 2700/22 (orzeczenia.nsa.gov.pl). Choć wyrok ten zapadł w sprawie, w której podstawę przetwarzania danych osobowych, o której mowa w art. 6 ust. 1 lit. f RODO, administrator wywodził z przepisów Kodeksu pracy, to dokonane przez NSA w tym wyroku rozważania natury ogólnej, dotyczące wykładni art. 6 ust. 1 lit. f RODO w kontekście przetwarzania danych osobowych w celu obrony administratora danych przed ewentualnymi roszczeniami, znajdują zastosowanie również w przedmiotowej sprawie.
Podzielając ocenę prawną zawartą w powołanym wyżej wyroku Sąd zauważa, że zgodnie z art. 6 ust. 1 lit. f RODO przetwarzanie jest zgodne z prawem gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Zastosowanie tego przepisu jest zatem uzasadnione, gdy łącznie spełnione są następujące przesłanki: 1) po stronie administratora istnieją cele, dla osiągnięcia których przetwarzanie danych osobowych jest niezbędne; 2) cele te wynikają z "prawnie uzasadnionych interesów" realizowanych przez administratora; 3) "prawnie uzasadnione interesy" realizowane przez administratora mają charakter nadrzędny wobec interesów lub podstawowych praw i wolności osoby, której dotyczą przetwarzane dane.
Jak wskazał NSA w ww. wyroku, poprzez cel, dla osiągnięcia którego przetwarzanie danych osobowych jest niezbędne, należy rozumieć stan rzeczy, układ rzeczywistości, do którego dąży administrator poprzez to przetwarzanie. "Niezbędność" przetwarzania danych osobowych do osiągnięcia obranego przez administratora celu sprowadza się do ustalenia, że bez tego przetwarzania nie da się go zrealizować. Chodzi więc o wykazanie logicznie uzasadnionego i weryfikowalnego związku przyczynowo-skutkowego pomiędzy przetwarzaniem danych osobowych a realizacją stanu rzeczy, do którego dąży administrator. Ustalenie "niezbędności" przetwarzania danych osobowych dla celów administratora musi opierać się na przesłankach konkretnych, uwzględniających możliwie najszersze spektrum uwarunkowań jego realizacji. Przetwarzanie danych osobowych na podstawie art. 6 ust. 1 lit. f RODO wymaga od administratora wykazania, że jest to konieczne z uwagi na charakter celu, okoliczności faktyczne i prawne jego realizacji oraz relacje podmiotowe pomiędzy administratorem a osobą, której te dane dotyczą. Z kolei prawnie uzasadniony interes administratora należy rozumieć jako interes prawnie dopuszczony, niesprzeczny z porządkiem prawnym.
W tym zakresie NSA podkreślił, że do prawnie uzasadnionych interesów administratora danych osobowych prawodawca unijny odwołał się w motywie 47 preambuły RODO, w którym stwierdził, że "taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu." Treść motywu 47 preambuły RODO nie wskazuje więc konkretnie, matrycowo, jakie warunki powinny zostać spełnione, aby można było stwierdzić, że administrator przetwarza dane osobowe zgodnie ze swoimi prawnie uzasadnionymi interesami. Podano jedynie przykładowo, iż może chodzić o szczególnego rodzaju relację pomiędzy administratorem a osobą, której dane są przetwarzane. W każdym, konkretnym układzie należy rozstrzygnąć, czy treść i charakter tej relacji w sposób rozsądny uzasadnia takie przetwarzanie w określonym zakresie i czasie.
W motywie 47 RODO w ogóle nie powiązano "prawnie uzasadnionych interesów" administratora z porządkiem prawnym. Akcent położony został natomiast na charakter relacji łączącej administratora z osobą, której dane są przetwarzane, jej kontekstowość oraz wynikającą z jej indywidualnych uwarunkowań racjonalnie uzasadnioną potrzebę tego przetwarzania. Motyw 47 preambuły RODO w kontekście rekonstrukcji zakresu stosowania art. 6 ust. 1 lit f RODO przesądza, że dopuszczalność przetwarzania danych osobowych na tej podstawie powinna być oceniana kauzalnie, z uwzględnieniem, że zasadnicze znaczenie w tym przedmiocie, powinny mieć uwarunkowania konkretnej relacji pomiędzy administratorem, a osobą której dotyczą przetwarzane dane. Porządek prawny - w tej przestrzeni formułowania ocen - należy traktować jako granicę dopuszczalności prawnie uzasadnionego interesu administratora, na którym opiera przetwarzanie danych osobowych. Porządek prawny może więc być przeszkodą do przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO, jeżeli interesu administratora nie da się z nim pogodzić - interes administratora będzie sprzeczny z porządkiem prawnym, a więc nie będzie prawnie uzasadniony. Porządek prawny nie stanowi ścisłej podstawy uzasadnionego interesu administratora do przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO, wyznacza natomiast granicę tego przetwarzania.
Naczelny Sąd Administracyjny podkreślił, że kwantyfikatorem rozstrzygającym o dopuszczalności przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO jest charakter relacji istniejącej pomiędzy administratorem danych osobowych, a osobą, której dane podlegają przetwarzaniu. Jeżeli z charakteru tej relacji da się racjonalnie wywieść, że przetwarzanie danych osobowych jest niezbędne do zrealizowania przez administratora celu wynikającego z tej relacji i jest to cel przez prawo dopuszczony, to zastosowanie art. 6 ust. 1 lit f RODO będzie uzasadnione, chyba że interesy lub podstawowe prawa i wolności osoby, której przetwarzane dane dotyczą będą nadrzędne wobec interesu administratora.
Odnosząc się do kwestii relacji łączącej administratora danych oraz osobę, której dane dotyczą, NSA zwrócił uwagę na brzmienie motywu 50 RODO oraz przepisu art. 6 ust. 4 RODO, który określa, kiedy istnieje możliwość zmiany celu przewarzania danych osobowych względem celu, w którym zostały pierwotnie zebrane.
Zgodnie z motywem 50 RODO przetwarzanie danych osobowych do celów innych niż cele, w których dane te zostały pierwotnie zebrane, jest dozwolone wyłącznie w przypadkach, gdy jest zgodne z celami, w których dane osobowe zostały pierwotnie zebrane. Ustalenie, czy pomiędzy pierwotnym celem przetwarzania, a wtórnym celem przetwarzania zachodzi zgodność, wymaga uwzględnienia między innymi: wszelkich powiązań pomiędzy tymi celami; kontekstu, w którym dane osobowe zostały zebrane, obejmującego w szczególności rozsądne przesłanki pozwalające osobom, których dane dotyczą, oczekiwać dalszego wykorzystania danych, oparte na rodzaju ich powiązania z administratorem; charakteru danych osobowych; konsekwencji zamierzonego dalszego przetwarzania dla osób, których dane dotyczą; oraz istnienia odpowiednich zabezpieczeń zarówno podczas pierwotnej, jak i zamierzonej operacji dalszego przetwarzania.
Z kolei przepis art. 6 ust. 4 stanowi, że w przypadku, gdy przetwarzanie w celu innym niż cel, w którym dane osobowe zostały zebrane, nie odbywa się na podstawie zgody osoby, której dane dotyczą, ani prawa Unii lub prawa państwa członkowskiego stanowiących w demokratycznym społeczeństwie niezbędny i proporcjonalny środek służący zagwarantowaniu celów, o których mowa w art. 23 ust. 1, administrator - aby ustalić, czy przetwarzanie w innym celu jest zgodne z celem, w którym dane osobowe zostały pierwotnie zebrane - bierze pod uwagę między innymi: a) wszelkie związki między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania; b) kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane dotyczą, a administratorem; c) charakter danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych osobowych zgodnie z art. 9 lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych zgodnie z art. 10; d) ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą; e) istnienie odpowiednich zabezpieczeń, w tym ewentualnie szyfrowania lub pseudonimizacji.
Uwzględniając powyższe NSA wskazał na potrzebę dokonywania przez organ każdorazowej oceny charakteru relacji łączącej administratora danych oraz osobę, której dane dotyczą, w kontekście możliwości dalszego przetwarzania pozyskanych danych celem zabezpieczenia uzasadnionych prawnych interesów administratora oraz tej osoby na wypadek ewentualnego sporu sądowego.
Warto zwrócić uwagę, że NSA podkreślił jednocześnie, iż nie podziela stanowiska organu, że dane osobowe nie mogą być przetwarzane "na zapas", "na przyszłość". Rozważanie zakresu stosowania art. 6 ust. 1 lit. f RODO w przyjętym kontekście jest nieuzasadnione treścią tego przepisu i choć bywa wyrażane w orzecznictwie, nie może być ocenione jako precyzyjne i tym samym prawidłowe. Wyłączenie stosowania art. 6 ust. 1 lit f RODO, gdy administrator przetwarza dane osobowe na wypadek ewentualnego sporu sądowego, wyłącznie z uwagi na jego potencjalność jest nieuzasadnione. Taka interpretacja art. 6 ust. 1 lit. f RODO byłaby zbyt formalistyczna i nieznajdująca potwierdzenia w przyjętym sposobie jego rozumienia. Jak już wyżej zaznaczono, przetwarzanie danych osobowych na podstawie art. 6 ust. 1 lit. f RODO powinno być niezbędne dla realizacji celu wynikającego z prawnie uzasadnionych interesów administratora, a te należy ustalać z uwzględnieniem charakteru i kontekstu relacji łączącej administratora z osobą, której dane osobowe są przetwarzane. Jeżeli łącząca te dwa podmioty relacja zawiera w sobie prawnie dopuszczalne roszczenie, które może być dochodzone na drodze sądowej, to nie można z góry wyłączyć dopuszczalności przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO, wyłącznie z uwagi na potencjalność realizacji tego roszczenia. Należy zauważyć, że relacja łącząca administratora z osobą, której dane za jej zgodą są przetwarzane może ulec zmianie, przekształceniu, wygaśnięciu, co może się wiązać z powstaniem innej, (nowej) relacji, w ramach której uprzednio wyrażona zgoda na przetwarzanie nie będzie już adekwatna. Istotą tej "nowej" relacji może być potencjalny i zarazem prawnie dopuszczalny spór sądowy wynikający z niewłaściwej realizacji praw i obowiązków będących przedmiotem relacji "starej". Nie można w takim układzie wykluczyć, że przetwarzanie danych osobowych przez administratora do czasu wystąpienia przez którąkolwiek ze stron z roszczeniem na drogę sądową, lub do czasu przedawnienia tego roszczenia, będzie zgodne z art. 6 ust. 1 lit. f RODO. Celem administratora wynikającym z jego prawnie uzasadnionych interesów będzie zabezpieczenie się na wypadek konieczności wejścia w spór sądowy.
Kwestia ta jednak, jak wynika z wywodów NSA, wymaga sformułowania ocen prawnych z uwzględnieniem uwarunkowań cechujących konkretną relację łączącą administratora i osobę, której dane dotyczą.
Podobnie wypowiedział się Naczelny Sąd Administracyjny w wyroku z dnia 5 lutego 2025 r. sygn. akt III OSK 6553/21.
W świetle powyższego, odnosząc się do rozpoznawanej sprawy, raz jeszcze wskazania wymaga, że przetwarzanie danych osobowych na podstawie art. 6 ust. 1 lit. f RODO powinno być niezbędne dla realizacji celu wynikającego z prawnie uzasadnionych interesów administratora, a te należy ustalać z uwzględnieniem charakter i kontekstu relacji łączącej administratora z osobą, której dane osobowe są przetwarzane. Jeżeli łącząca te dwa podmioty relacja zawiera w sobie prawnie dopuszczalne roszczenie, które może być dochodzone na drodze sądowej, to nie można z góry wyłączyć dopuszczalności przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO, wyłącznie z uwagi na potencjalność realizacji tego roszczenia. Jeśli zaś układ okoliczności faktycznych wskazuje na brak roszczeń stron względem siebie, to należy przyjąć, iż nie dojdzie do nawiązania "nowej relacji" między nimi (np. postępowania sądowego) i nie jest w takiej sytuacji dopuszczalne dalsze przetwarzanie danych osobowych na tej podstawie.
Ustaleń takich w niniejszej sprawie nie dokonano. Organ nie ocenił, czy w okolicznościach faktycznych niniejszej sprawy Spółka ma podstawę przetwarzania danych osobowych uczestnika w art. 6 ust. 1 lit. f RODO, wynikającą z zabezpieczenia się przed potencjalnymi roszczeniami. Organ nie dokonał oceny, czy sytuacja, w jakiej znalazła się Spółka w związku z wcześniejszym przetwarzaniem danych osobowych uczestnika postępowania, może skutkować roszczeniami, czy też w sytuacji faktycznej zaistniałej w tej sprawie, nie ma mowy o istnieniu nawet potencjalnych roszczeń. W zaskarżonej decyzji brak jest stanowiska i rozważań organu w tym zakresie.
Spółka powoływała się w toku postępowania m.in. na fakt, że uczestnik w wiadomościach kierowanych do Spółki w formie e - mail wskazywał, że żąda naprawienia szkody w postaci usunięcia danych osobowych z baz przekazanych innym podmiotom (e - mail uczestnika z dnia [...] maja 2022 r.). Zdaniem Spółki kierowane przez uczestnika żądanie wskazuje na ewentualne roszczenia. Organ nie odniósł się do powyższego i nie wyjaśnił dlaczego uważa, że ewentualne roszczenia uczestnika (o których mowa w nakazie), w okolicznościach faktycznych tej sprawy, nie dają podstawy do przetwarzania jego danych w art. 6 ust. 1 lit. f RODO. Organ nie wyjaśnił dlaczego odmawia uznania stanowiska Spółki, że roszczenia, które mogą być kierowane przez uczestnika wobec Spółki są realne i znajdują uzasadnienie w okolicznościach faktycznych. W decyzji brak jest jakichkolwiek rozważań organu w tym zakresie.
Wobec braku wyczerpującej oceny we wskazanym zakresie Sąd stwierdził, że decyzja w części dotyczącej punktu 1 wydana została z naruszeniem art. 80 oraz art. 107 § 3 k.p.a. w związku z art. 6 ust. 1 lit. f oraz art. 58 ust. 2 RODO.
Rozpatrując sprawę ponownie organ uwzględni przedstawioną wyżej ocenę prawną. Organ podda analizie i oceni, czy przetwarzanie przez Spółkę danych osobowych uczestnika postępowania – w okolicznościach faktycznych tej sprawy – w celu ochrony przed ewentualnymi roszczeniami znajduje podstawę prawną w art. 6 ust. 1 lit. f RODO, czy też nie.
Raz jeszcze odwołując się do przedstawionych już wyżej poglądów Naczelnego Sądu Administracyjnego wskazać należy, że kwantyfikatorem rozstrzygającym o dopuszczalności przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO jest charakter relacji istniejącej pomiędzy administratorem danych osobowych, a osobą, której dane podlegają przetwarzaniu. Jeżeli z charakteru tej relacji da się racjonalnie wywieść, że przetwarzanie danych osobowych jest niezbędne do zrealizowania przez administratora celu wynikającego z tej relacji i jest to cel przez prawo dopuszczony, to zastosowanie art. 6 ust. 1 lit. f RODO będzie uzasadnione, chyba że interesy lub podstawowe prawa i wolności osoby, której przetwarzane dane dotyczą będą nadrzędne wobec interesu administratora. Jak stwierdzono w motywie 47 preambuły RODO: "Interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania.". Decyzja winna zawierać rozważania i ocenę w tym zakresie.
Zależnie od dokonanych ustaleń organ podejmie stosowną decyzję i uzasadni ją wyczerpująco, z uwzględnieniem wymogów art. 107 § 3 k.p.a..
Mając powyższe na uwadze Wojewódzki Sąd Administracyjny w Warszawie,
na podstawie art. 145 § 1 pkt 1 lit. c ustawy - Prawo o postępowaniu przed sądami administracyjnymi, orzekł jak w punkcie 1 wyroku. O zwrocie kosztów postępowania, jak w punkcie 2 wyroku Sąd orzekł na podstawie art. 200 w zw. z art. 205 powołanej ustawy. Do kosztów tych Sąd zaliczył uiszczony wpis od skargi (200 zł), wynagrodzenie pełnomocnika reprezentującego skarżącego (480 zł) i opłatę skarbową uiszczoną od dokumentu pełnomocnictwa (17 zł).