II SA/Wa 1083/24

II SA/Wa 1083/24 - Wyrok WSA w Warszawie
Data orzeczenia
2025-01-15
orzeczenie nieprawomocne
Data wpływu
2024-07-04
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Arkadiusz Koziarski /sprawozdawca/
Ewa Radziszewska-Krupa
Joanna Kube /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżoną decyzję
Powołane przepisy
Dz.U. 2022 poz 2000
art. 7, art. 77 par 1, art. 80, art. 107 par 1 pkt 6 i par 3, art. 107 par 3
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego - t.j.
Dz.U. 2023 poz 1465
art 120 par 1,
Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy ( t. j.)
Dz.U.UE.L 2016 nr 119 poz 1 art.art. 57, art. 58, art. 5 ust 1 lit f, art. 24 ust 1, art. 32 ust 1 i 2, art. 32 ust 2.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Joanna Kube, Sędzia WSA Ewa Radziszewska-Krupa, Asesor WSA Arkadiusz Koziarski (spr.), , po rozpoznaniu w trybie uproszczonym w dniu 15 stycznia 2025 r. sprawy ze skargi [...] Sp. z o. o. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [..] kwietnia 2024 r. nr [...]. w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję, 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz [...] Sp. z o. o. z siedzibą w [...] kwotę 697 (słownie: sześćset dziewięćdziesiąt siedem) złotych tytułem zwrotu kosztów postępowania.
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych, dalej "PUODO", decyzją z dnia [...] kwietnia 2024 r. nr [...], wydaną na podstawie art. 104 § 1 oraz 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2023 r. poz. 775 ze zm.), dalej "k.p.a.", w zw. z art. 6 ust. 1, art. 5 ust. 1 lit. a i lit. b oraz art. 58 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej "RODO", po przeprowadzeniu postępowania administracyjnego w sprawie skargi R.W. (dalej także jako "uczestnik postępowania), na nieprawidłowości w procesie przetwarzania jego danych osobowych przez R. Sp. z o.o. (dalej także jako "Spółka" lub "skarżąca"), polegające na wykorzystaniu [...] września 2023 r. przez pracownika Spółki J.P. (dalej także jako "Pracownik") w celach prywatnych, danych osobowych uczestnika postępowania znajdujących się w dokumentach kwalifikowanego pracownika [...] oraz danych dotyczących pozwolenia na broń, do których ww. pracownik miał dostęp w związku z wykonywaniem obowiązków służbowych w Spółce,
1. udziela R. Sp. z o.o. upomnienia za naruszenie art. 5 ust 1 lit. a i lit. b oraz art. 6 ust. 1 RODO, dotyczące wykorzystania [...] września 2023 r. przez pracownika Spółki J.P. w celach prywatnych, danych osobowych R.W. dotyczących pozwolenia na broń, obejmujących numer pozwolenia na broń, tj. [...], do których ww. pracownik miał dostęp w związku z wykonywaniem obowiązków służbowych w Spółce;
2. w pozostałym zakresie umarzył postępowanie.
W uzasadnieniu organ wyjaśnił, że do Urzędu wpłynęła skarga uczestnika postępowania, na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Spółkę, polegające na wykorzystaniu [...] września 2023 r. przez pracownika Spółki J.P. w celach prywatnych, danych osobowych uczestnika postępowania znajdujących się w dokumentach kwalifikowanego pracownika ochrony oraz danych dotyczących pozwolenia na broń, do których ww. Pracownik miał dostęp w związku z wykonywaniem obowiązków służbowych w Spółce.
W treści skargi uczestnika postępowania wskazał, że Pracownik, działając
w prywatnym interesie, wykorzystał pełnione stanowisko i dostęp do danych osobowych uczestnika postępowania i ujawnił pozyskane dane na rzecz Komendy Policji w R., celem wszczęcia postępowania sądowego o czyn z art. 190 Kodeksu karnego.
Organ podał dalej, że w toku prowadzonego w tej sprawie postępowania administracyjnego uzyskał wyjaśnienia odnośnie okoliczności sprawy oraz ustalił następujący stan faktyczny:
1. uczestnik postępowania był pracownikiem Spółki zatrudnionym na stanowisku [...]. W związku z tym faktem Spółka przetwarza jego dane jako związane z zatrudnieniem i prowadzeniem dokumentacji pracowniczej. Podstawą prawną przetwarzania tych danych jest art. 6 ust 1 lit. b RODO w związku z art. 22(1) § 1-3 Kodeksu pracy, a także art. 6 ust. 1 lit. c RODO w związku z art. 94 A pkt 9a Kodeksu pracy oraz przepisami rozporządzenia Ministra Rodziny, Pracy i w Polityki społecznej z dnia 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej. W zakres danych przetwarzanych przez Spółkę wchodzą też dane ww. związane z jego uprawnieniami kwalifikowanego pracownika ochrony oraz dane o posiadanym przez niego pozwoleniu na broń. Podstawą prawną przetwarzania tych danych jest art. 6 ust. 1 lit. c RODO w związku z art. 19 ust. 1 pkt 2 lit. a ustawy z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (Dz. U. 2021 poz. 1995).
2. [...] września 2023 r. Pracownik złożył zawiadomienie do Komendy Policji w R. o możliwości popełnienia przestępstwa przez uczestnika postępowania.
W treści tego zawiadomienia Pracownik wskazał, że uczestnik postępowania ma pozwolenie na broń o numerze [...] wydane przez KWP [...]. W treści zawiadomienia z [...] września 2023 r. brak jest informacji o ujawnieniu przez Pracownika dokumentów kwalifikowanego pracownika ochrony dotyczących uczestnika postępowania.
3. Spółka w wyjaśnieniach z [...] lutego 2024 r. wskazała, że nie udostępniała danych osobowych uczestnika postępowania na rzecz Komisariatu Policji w R.. Spółka podkreśliła, że Pracownik nie występował w przedmiotowej sprawie jako przedstawiciel Spółki i nie był on uprawniony do jej reprezentacji, w tym do składania
w imieniu Spółki zawiadomień o możliwości popełnienia przestępstwa. Spółka w ramach wewnętrznego postępowania ustaliła, że Pracownik złożył zawiadomienie o możliwości popełnienia przestępstwa przez uczestnika postępowania, jednakże czynił to we własnym imieniu czując się pokrzywdzonym działaniami tej osoby. W ocenie Spółki, działania Pracownika miały uzasadnienie w przepisach Kodeksu postępowania karnego, bowiem jako osoba mająca informację o możliwości popełnienia przestępstwa, na podstawie art. 304 § 1 k.p.k. był on zobowiązany do zawiadomienia o tym organów ścigania .
4. Pracownik jest zatrudniony w Spółce na stanowisku Koordynatora [...] i jest upoważniony do przetwarzania danych osobowych znajdujących się m.in. w rejestrze pracowników ochrony, wykazie pracowników posiadających uprawnienia na broń, rejestrze wydanej broni.
Następnie organ wskazał, że przepisy RODO określają obowiązki administratora, do których należy przetwarzanie danych osobowych z zachowaniem przesłanek określonych w tym rozporządzeniu. Przepisem uprawniającym administratorów do przetwarzania danych osób fizycznych jest art. 6 ust. 1 RODO, zgodnie z którym przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna
z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Oznacza to, że przesłanki te, co do zasady, są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi
o zgodnym z prawem przetwarzaniu danych osobowych. Ponadto, art. 5 ust. 1 RODO nakłada na administratora danych obowiązek przetwarzania danych osobowych zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (art. 5 ust. 1 lit. a RODO). Natomiast zgodnie art. 5 ust. 1 lit b RODO, dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami ("ograniczenie celu").
Organ podał, że zgodnie z definicją zawartą w art. 4 pkt 7 RODO, administrator ustala cele i sposoby przetwarzania danych i w tym zakresie ponosi odpowiedzialność. Natomiast pracownicy, których administrator dopuszcza do przetwarzania danych osobowych, działają w imieniu tego administratora i stąd też, nie mogą oni samodzielnie decydować o celach i sposobach przetwarzania danych, gdyż są w tym zakresie podporządkowani administratorowi. Osoby takie mogą przetwarzać dane wyłącznie zgodnie z instrukcjami (na polecenie) administratora.
PUODO stwierdził, że przedmiotem niniejszej sprawy jest wykorzystanie danych osobowych uczestnika postępowania przez Pracownika Spółki w celach prywatnych, to wskazać należy, że z ustalonego stanu faktycznego wynika, że Pracownik na podstawie upoważnienia - wydanego przez Spółkę - do przetwarzania danych osobowych z [...] marca 2023 r. numer [...], miał z uwagi na zajmowane
w Spółce stanowisko (Koordynatora [...]), dostęp do danych osobowych uczestnika postępowania, w tym do danych zawartych w rejestrach Spółki obejmujących pracowników ochrony, wykazie pracowników posiadających uprawnienia na broń, rejestrze wydanej broni. W ocenie organu okoliczność ta jednak nie sprawia, że Pracownik może w nieograniczony sposób dysponować danymi, do których dostępu jest upoważniony w ramach stosunku pracy i wykonywanych obowiązków służbowych. Dostęp ten jest ograniczony niezbędnością danych do wykonywania zdań i obowiązków pozostających w bezpośrednim związku ze stosunkiem służbowym.
Zdaniem PUODO Pracownik mający dostęp do danych osobowych innego pracownika (tutaj uczestnika postępowania) wynikający ze stosunku pracy, nie może bez legitymowania się podstawą prawa swobodnie rozporządzać tymi danymi należącymi do pracownika, w szczególności wykorzystywać tych danych w celach prywatnych, bez względu na okoliczności jakie towarzyszą potrzebie dostępu do danych. Organ podkreślił, że wydane przez administratora danych osobowych upoważnienie do przetwarzania danych osobowych, realizowane jest w konkretnym zakresie określonym w treści tego upoważnienia, celem właściwego urzeczywistnienia ochrony danych podmiotu, którego te dane dotyczą przed nieuprawnionym wykorzystaniem.
Za nietrafiony organ uznał należy argument Spółki, że zawiadomienie o możliwości popełnienia przestępstwa dokonane przez Pracownika i związane z tym zawiadomieniem, ujawnienie danych osobowych uczestnika postępowania (dotyczące numeru pozwolenia na broń) na rzecz Komedy Policji w R., miały uzasadnienie
w przepisach Kodeksu postępowania karnego, tj. w art. 304 § 1.
Organ wyjaśnił, że zgodnie z dyspozycją art. 304 § 1 ustawy z dnia 6 czerwca 1997 r. Kodeks postępowania karnego (Dz.U. z 2024 r. poz. 37), dalej "k.p.k.", każdy, dowiedziawszy się o popełnieniu przestępstwa ściganego z urzędu, ma społeczny obowiązek zawiadomić o tym prokuratora lub Policję. Przepisy art. 148a oraz art. 156a stosuje się odpowiednio. Jak wynika z treści tego przepisu obowiązek zawiadamiania policji lub prokuratora występuje wyłącznie w odniesieniu do przestępstw ściganych
z urzędu. Ze zgromadzonego natomiast w niniejszej sprawie materiału dowodowego wynika wyraźnie, że Pracownik złożył zawiadomienie o możliwości popełnienia przez uczestnika postępowania czynu zabronionego (groźby karalnej) uregulowanego w art. 190 ustawy z dnia 6 czerwca 1997 r. Kodeks karny (Dz.U. z 2024 r. poz. 17), dalej "k.k.". W art. 190 § 2 k.k. ustawodawca precyzyjnie wskazał, że ściganie przestępstwa groźby karalnej następuje na wniosek pokrzywdzonego. Powyższe jednoznacznie wskazuje, że Pracownik nie był zobowiązany do zawiadomienia o przestępstwie, w tym do przedłożenia danych dotyczących uczestnika postępowania (tutaj numer pozwolenia na broń), a tylko uprawniony do złożenia takiego zawiadomienia.
PUODO wskazał, że powyższe sprawia, iż Pracownik Spółki nie legitymował się obowiązkiem określonym w art. 6 ust. 1 lit. c RODO do przetwarzania (wykorzystania) danych osobowych uczestnika postępowania znajdujących się w rejestrach Spółki celem złożenia zawiadomienia o popełnieniu przestępstwa groźby karalnej. Organ zauważył, że powinnością Pracownika było (celem złożenia zawiadomienia w prywatnej sprawie) wystąpienie do administratora danych uczestnika postępowania (tutaj Spółka)
o udostępnienie danych wraz z podaniem zakresu danych i celu ich pozyskania przez Pracownika. Z materiału dowodowego nie wynika natomiast, by Pracownik wystąpił o ww. udostępnienie danych dotyczących uczestnika postępowania do Spółki.
Organ podkreślił, że nie kwestionuje potencjalnej możliwości pozyskania przez podmiot trzeci danych osobowych koniecznych do dochodzenia praw przed sądem. Pamiętać jednak należy o tym, że administrator ponosi odpowiedzialność za zapewnienie właściwej ochrony danych i odpowiada za zaistniałe naruszenie, nawet jeżeli osoba upoważniona do dostępu do danych działała w interesie prywatnym. Administrator
w sytuacji braku legitymowania się podstawą do dokonania czynności przetwarzania danych osobowych przez pracownika lub przekroczenia zakresu takiego upoważnienia, będzie miał możliwość dochodzenia roszczeń od osoby, która dokonała świadomie, takiego naruszenia.
Dalej organ przypomniał, że zgodnie z treścią art. 29 RODO, podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego. Obowiązek natomiast przetwarzania danych osobowych zgodnie z prawem ciąży na administratorze. Tym samym ponosi on odpowiedzialność za działania osób upoważnionych do przetwarzania danych w jego imieniu. PUODO podkreślił, że to Spółka upoważniła Pracownika do przetwarzania danych zawartych w jej rejestrach, do których Pracownik miał dostęp na podstawie upoważnienia z [...] marca 2023 r. numer [...]. Tym samym to na Spółce ciąży obowiązek przetwarzania danych osobowych uczestnika postępowania zgodnie z prawem, także w ramach działań podejmowanych przez Pracownika i to Spółka ponosi odpowiedzialność za uchybienia w tym zakresie.
PUODO stwierdził, że przeprowadzone postępowanie administracyjne wykazało, że doszło do ujawnienia danych osobowych uczestnika postępowania w zakresie jego numeru pozwolenia na broń przez Pracownika na rzecz Komendy Policji w R. bez legitymowania się w tym zakresie którąkolwiek z przesłanek określonych w art. 6 ust. 1 RODO. Ujawnienie ww. danych osobowych uczestnika postępowania nastąpiło ponadto niezgodnie z celem, dla którego dane te zostały pozyskane przez Spółkę. Dane te były bowiem przetwarzane przez Spółkę w związku z łączącym Spółkę i uczestnika postępowania stosunkiem pracy, zostały natomiast wykorzystane przez Pracownika na potrzeby prywatnej sprawy. Stąd też w zaistniałym stanie prawnym i faktycznym uznać należy, że działania Spółki dotyczące przetwarzania danych osobowych uczestnika postępowania (numer pozwolenia na broń) naruszyły przepisy art. 5 ust. 1 lit a i b oraz art. 6 ust. 1 RODO.
Odnosząc się natomiast do kwestii ujawnienia przez Pracownika danych osobowych uczestnika postępowania, w tym zawartych w dokumentach kwalifikowanego pracownika ochrony, organ wskazał, że przeprowadzone postępowanie nie wykazało, aby takie ujawnienie na rzecz Komendy Policji w R. miało miejsce. Nie wskazują na to żadne dokumenty ani inne materiały, które obejmuje niniejsze postępowanie, w tym informacje przekazane przez Skarżącego. PUODO w związku z tym uznał, że postępowanie w powyższej części jest bezprzedmiotowe i podlega umorzeniu. Zgodnie bowiem z art. 105 § 1 k.p.a., gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości lub części, organ administracji wydaje decyzję o umorzeniu postępowania.
Na powyższą decyzję Spółka wniosła skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie, zaznaczając, że zaskarża pkt 1 tej decyzji.
Zaskarżonej decyzji zarzuciła:
1. naruszenie przepisów prawa materialnego, które miało istotny wpływ na wynik sprawy, w postaci:
a) art. 5 ust. 1 lit. a i lit. b oraz art. 6 ust. 1 RODO poprzez niczym nieuzasadnione przyjęcie, że Spółka dokonał naruszenia tych przepisów za pośrednictwem swojego Pracownika, który w celach prywatnych dokonał wykorzystania w dniu [...] września 2023 r. danych osobowych uczestnika postępowania, dotyczących pozwolenia na broń;
b) art. 2 ust. 2 lit. c) RODO poprzez jego błędną wykładnię i w rezultacie niezastosowanie, wyrażające się w uznaniu, iż w przedmiotowym stanie faktycznym zastosowanie mają przepisy wskazanego rozporządzenia, podczas gdy RODO nie ma zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze, co ma miejsce w niniejszym stanie faktycznym,
2. naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, w postaci:
a) art. 7 i art. 8 k.p.a., poprzez niewyjaśnienie wszystkich istotnych dla sprawy okoliczności, pominięcie słusznego interesu strony i prowadzenie postępowania
w sposób sprzeczny z zasadą pogłębiania zaufania obywateli do organów państwa;
b) art. 11 w zw. z art. 80 i art. 81 a k.p.a., poprzez nieustalenie stanu faktycznego sprawy, stawianie nieprawdziwych i niepopartych żadnymi dowodami zarzutów wobec skarżącej oraz poprzez błędne i pozostające w sprzeczności z zebranym materiałem dowodowym ustalenia faktyczne;
c) art. 77 w zw. z art. 80 k.p.a. poprzez przekroczenie granic swobodnej oceny znajdującego się w aktach materiału dowodowego.
W oparciu o powyższe zarzuty Spółka wniosła o:
1. o uchylenie pkt 1 zaskarżonej decyzji;
2. skierowanie sprawy do rozpoznania w trybie uproszczonym;
3. zasądzenie zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego według norm przepisanych.
W uzasadnieniu skargi Spółka podniosła, że organ nie wykazał, na czym konkretnie miało polegać naruszenie przepisów RODO przez administratora danych, czyli przez skarżącą. W uzasadnieniu decyzji organ referuje stan faktyczny zaistniały
w sprawie, wskazując cały czas, że dane osobowe były przetwarzane przez Pracownika w celach prywatnych i zauważając, że podejmowane przez niego działania nie miały związku z wykonywaniem przez niego pracy na rzecz Spółki. Zdaniem skarżącej
w związku z powyższym, odpowiednie zastosowanie w przedmiotowym stanie faktycznym sprawy powinien mieć art. 2 ust. 2 lit. c) RODO, czyli rozporządzenie nie ma zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze. Złożenie bowiem przez Pracownika zawiadomienia o popełnionym przestępstwie wraz z wnioskiem o ściganie na Komisariacie Policji w R., miało wyłącznie osobisty charakter, niezwiązany ze skarżącą.
Spółka zarzuciła, że organ z bliżej niedoprecyzowanych przyczyn doszedł do wniosku, iż z racji tego, że Pracownik uzyskał dostęp do przetwarzanych przez siebie
w celu prywatnym, danych osobowych podczas wykonywanej pracy, administratorem tych danych, które dalej przetwarzane są przez niego prywatnie, pozostaje nadal Spółka. Zdaniem skarżącej stanowisko takie nie jest zasadne i nie znajduje prawnego uzasadnienia. Administratorem danych osobowych jest osoba, która ustala cele
i sposoby przetwarzania danych (art. 4 pkt. 7 RODO). W przedmiotowym przypadku, Spółka przetwarzała dane osobowe uczestnika postępowania wyłącznie w związku z jego zatrudnieniem. W tym zakresie ustalała też cele i sposoby przetwarzania tych danych. Pracownik w imieniu Spółki przetwarzał te dane w celu realizacji obowiązków służbowych do czego uzyskał odpowiednie upoważnienie. Pracownik był też zobowiązany do zachowania poufności tych danych, co oznacza ich ochronę przed niedozwolonym lub niezgodnym z prawem ujawnieniem. W momencie, w którym Pracownik postanowił przekazać dane osobowe w zakresie numeru pozwolenia na broń uczestnika postępowania, Komendzie Policji w R., nie działał w imieniu administratora
i w zakresie wyznaczonych przez niego celów i sposobów przetwarzania danych osobowych. Zdaniem Spółki nie można utożsamiać tego działania Pracownika
z działaniami Spółki, a w konsekwencji uznać, że Spółka powinna legitymować się podstawą prawną do przetwarzania tych danych na podstawie art. 6 ust 1 RODO. Zdaniem Spółki takie stanowisko razi irracjonalnością i prowadziłoby do tego, że pracodawca odpowiada - jako administrator danych - za wszelkie przetwarzanie danych osobowych, którego pracownicy dopuszczają się po godzinach swojej pracy, jeżeli tylko u jego źródeł leżą dane, z którymi zapoznali się oni przy pracy. Zdaniem Spółki należy pamiętać, że osoby mające styczność z danymi osobowymi kształtują sobie na ich podstawie wiedzę. Nad jej wykorzystaniem pracodawca (administrator), nie ma nieograniczonej kontroli. Przejawem wiedzy ukształtowanej w oparciu o dane, z którymi Pracownik miał styczność w toku wykonywanej pracy, było posiadanie przez uczestnika postępowania pozwolenia na broń.
Ponadto Spółka zarzuciła, że organ oparł się wyłącznie na domniemaniu, uznając iż Pracownik uzyskał dane w zakresie numeru pozwolenia na broń od Skarżącej.
W aktach postępowania administracyjnego, prowadzonego przez organ, brak jest kluczowej informacji, skąd Pracownik uzyskał dane osobowe w zakresie pozwolenia na broń, gdyż Skarżąca nie posiada wyjaśnień w zakresie przyznania przez Pracownika, iż dane osobowe w zakresie pozwolenia na broń, uzyskał wykonując obowiązki służbowe u skarżącej. Ponadto organ przekroczył granice swobodnej oceny dowodów. Organ, uznał iż dane osobowe w zakresie numeru pozwolenia na broń, były przetwarzane przez Spółkę w związku z łączącym Spółkę oraz uczestnika postępowania stosunkiem pracy i zostały wykorzystane przez Pracownika na potrzeby prywatnej sprawy. Organ nie wziął pod uwagę okoliczności, iż Pracownik, mógł uzyskać numer pozwolenia na broń uczestnika postępowania, bądź z innych źródeł, niezwiązanych ze skarżącą. Organ nie uzasadnił też, w jaki sposób Spółka miała dopuścić się naruszenia art. 5 ust. 1 lit. a-b RODO. Organ błędnie założył, że przetwarzanie danych osobowych w celu złożenia zawiadomienia
o możliwości popełnienia przestępstwa było celem realizowanym przez Spółkę, podczas gdy w istocie był to cel niezależny od Spółki - własny, ustalony samodzielnie przez Pracownika. Należało zatem przyjąć, że to pracownik wykorzystujący dane staje się ich administratorem - ustala cel i sposób przetwarzania danych.
W odpowiedzi na skargę organ wniósł o oddalenie skargi podtrzymując stanowisko wyrażone w zaskarżonej decyzji.
Dodatkowo organ wskazał, że zgodnie z definicją zawartą w art. 4 pkt 7 RODO, administrator ustala cele i sposoby przetwarzania danych i w tym zakresie ponosi odpowiedzialność. Natomiast pracownicy, których administrator dopuszcza do przetwarzania danych osobowych, działają w imieniu tego administratora i stąd też, nie mogą oni samodzielnie decydować o celach i sposobach przetwarzania danych, gdyż są w tym zakresie podporządkowani administratorowi. Osoby takie mogą przetwarzać dane wyłącznie zgodnie z instrukcjami (na polecenie) administratora. Zatem to Spółka,
w świetle tak ustalonego stanu faktycznego, była administratorem danych osobowych Skarżącego w zakresie danych dotyczących numeru pozwolenia na broń zgodnie z art. 4 pkt 7 RODO.
Odnosząc się do zarzutu naruszenie art. 2 ust. 2 lit. c RODO organ wskazał, że istotą wykluczenia stosowania przepisów RODO, którą reguluje ten przepis jest by przetwarzanie realizowane było przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze. Zgodnie z motywem 18 RODO jego przepisy nie mają zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach działalności czysto osobistej lub domowej, czyli bez związku z działalnością zawodową bądź handlową. Natomiast działalność osobista lub domowa może m.in. polegać na korespondencji i przechowywaniu adresów, podtrzymywaniu więzi społecznych oraz działalności internetowej podejmowanej w ramach takiej działalności. RODO ma jednak zastosowanie do administratorów lub podmiotów przetwarzających, którzy udostępniają środki przetwarzania danych osobowych na potrzeby takiej działalności osobistej bądź domowej. Postępowanie administracyjne w niniejszej sprawie wyraźnie wykazało, że, działania Pracownika nie nosiły znamion czynności o czysto osobistym lub domowym charakterze, bowiem dane uczestnika postępowania pozyskane przez Spółkę w ramach wykonywania przez niego obowiązków pracowniczych, nadzorowanych przez Pracownika były wprawdzie przez Pracownika finalnie wykorzystane w celu prywatnym (złożenie zawiadomienia o popełnienia przestępstwa groźby karalnej), ale wykorzystanie to związane było z faktem wykonywania pracy przez uczestnika postępowania pod nadzorem Pracownika w ramach podejmowanych obowiązków związanych
z działalnością Spółki. Stąd też, z uwagi na brak aspektu przetwarzania danych w ramach czynności o czysto osobistym lub domowym charakterze, zarzut naruszenia art. 2 ust. 2 lit c RODO, w ocenie organu, uznać należy za bezzasadny.
Dalej organ podniósł, że przytoczone przez pełnomocnika Spółki domniemania jakoby Pracownik mógł pozyskać dane dotyczące numeru pozwolenia na broń uczestnika postępowania z innych źródeł aniżeli zasobu Spółki, stanowią nieskuteczną próbę zakwestionowania niebudzących wątpliwości okoliczności faktycznych sprawy i są sprzeczne z zasadami logiki przyczynowo-skutkowej. Należałoby w takim wypadku bowiem uznać, że posiadanie wiedzy o numerze pozwolenia na broń jest powszechne
i łatwe do uzyskania przez przeciętnego człowieka. Ponadto pełnomocnik przytaczając powyższy zarzut nie poparł go jakimkolwiek dowodem świadczącym o pozyskaniu przez Pracownika dziewięcioznakowego numeru pozwolenia na broń uczestnika postępowania z innych źródeł niż zbiór danych Spółki.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Na wstępie należy wyjaśnić, że złożona w niniejszej sprawie skarga została rozpoznana na posiedzeniu niejawnym w trybie uproszczonym, stosownie do art. 119 pkt 2 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2024 r. poz. 935, z późn. zm.), dalej "p.p.s.a." Zgodnie z powołaną regulacją, sprawa może być rozpoznana w trybie uproszczonym, jeżeli strona zgłosi wniosek o skierowanie sprawy do rozpoznania w trybie uproszczonym, a żadna z pozostałych stron w terminie czternastu dni od zawiadomienia o złożeniu wniosku nie zażąda przeprowadzenia rozprawy.
W skardze Spółka wniosła o rozpoznanie sprawy w trybie uproszczonym, zaś pozostałe strony postępowania nie zażądały przeprowadzenia rozprawy.
Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. z 2022 r. poz. 2492, z późn. zm.), sądy administracyjne sprawują wymiar sprawiedliwości m. in. przez kontrolę działalności administracji publicznej, a kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.
Skarga oceniana w świetle powyższych kryteriów zasługuje na uwzględnienie, albowiem organ wydając zaskarżoną decyzję naruszył przepisy postępowania w stopniu mogącym mieć istotny wpływ na wynik sprawy.
Decyzja w zaskarżonej części rozstrzyga o udzieleniu Spółce upomnienia za naruszenie art. art. 5 ust. 1 lit a i lit b oraz art. 6 ust. 1 RODO poprzez wykorzystanie przez Pracownika w celach prywatnych danych osobowych uczestnika postępowania dotyczących pozwolenia na broń.
Wyjaśnić należy, że zgodnie z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), w sprawach nieuregulowanych
w ustawie do postępowań administracyjnych przed Prezesem Urzędu Ochrony Danych Osobowych, o których mowa w rozdziałach 4-7 i 11, stosuje się ustawę z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego. Postępowaniami, o których mowa w rozdziale 7 ustawy są postępowania w sprawie naruszenia przepisów o ochronie danych osobowych, do których zalicza się postępowania prowadzone w ramach realizacji przez PUODO zadań i uprawnień organu nadzorczego określonych w art. 57 i art. 58 RODO.
Obowiązek stosowania przepisów k.p.a. oznacza, że organ nadzorczy
w postępowaniu poprzedzającym wydanie decyzji administracyjnej zobowiązany jest kierować się, określonymi w k.p.a., ogólnymi zasadami postępowania oraz przepisami określającymi jego obowiązki w postępowaniu dowodowym. Stosownie do treści art. 7 k.p.a. w toku postępowania organy administracji publicznej stoją na straży praworządności, z urzędu lub na wniosek stron podejmują wszelkie czynności niezbędne do dokładnego wyjaśnienia stanu faktycznego oraz do załatwienia sprawy, mając na względzie interes społeczny i słuszny interes obywateli. Przepis art. 77 § 1 k.p.a. obliguje zaś do wyczerpującego zebrania i rozpatrzenia całego materiału dowodowego. Na podstawie art. 80 k.p.a. organ administracji publicznej ocenia na podstawie całokształtu materiału dowodowego, czy dana okoliczność została udowodniona. Z kolei art. 11 oraz art. 107 § 1 pkt 6 i § 3 k.p.a. nakazują należycie umotywować podjęte rozstrzygnięcie.
Uzasadnienie faktyczne decyzji powinno w szczególności zawierać wskazanie faktów, które organ uznał za udowodnione, dowodów, na których się oparł, oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej, zaś uzasadnienie prawne - wyjaśnienie podstawy prawnej decyzji, z przytoczeniem przepisów prawa. Wynikającą z art. 107 § 3 k.p.a. rolą uzasadnienia jest objaśnienie toku myślenia, który doprowadził organ administracji do zastosowania lub niezastosowania przepisu prawa w konkretnej sprawie (zob. J. Borkowski [w:] Kodeks postępowania administracyjnego, Komentarz, B. Adamiak, J. Borkowski, Warszawa 2012 r., str. 441). W sferze faktów (uzasadnienia faktycznego) chodzi tu o wyjaśnienie okoliczności wskazujących na potrzebę lub konieczność wydania decyzji w danej sprawie i wobec określonych podmiotów oraz wpływu tych okoliczności na treść rozstrzygnięcia. W sferze prawa (uzasadnienia prawnego) chodzi zaś o wskazanie obowiązującej normy i jej znaczenia ustalonego w drodze wykładni (zob. J. Zimmermann, Motywy decyzji administracyjnej i jej uzasadnienie, Warszawa 1981 r., str. 118 – 122). Jak przyjmuje się w orzecznictwie Naczelnego Sądu Administracyjnego (zob. np. wyroki z 6 października 2020 r. sygn. akt I OSK 3235/18, z 24 kwietnia 2018 r. sygn. akt I OSK 1351/16 – niepublikowane; dostępne: https://orzeczenia.nsa.gov.pl), do naruszenia art. 107 § 3 k.p.a. dochodzi wtedy, gdy uzasadnienie decyzji nie zawiera wszystkich elementów wymienionych w tym przepisie, albo gdy mimo formalnej poprawności jego treść nie pozwala na skontrolowanie poprawności rozstrzygnięcia sprawy, a tym samym czyni w stopniu istotnym wątpliwym poprawność przeprowadzenia postępowania wyjaśniającego w sprawie.
Odnosząc powyższe rozważania do niniejszej sprawy odnotować należy, że ustalonym przez organ w toku postępowania faktem jest, iż Pracownik na podstawie wydanego przez Spółkę upoważnienia do przetwarzania danych osobowych z [...] marca 2023 r. miał, z uwagi na zajmowane w Spółce stanowisko (Koordynatora [...]), dostęp do danych osobowych uczestnika postępowania, w tym do danych zawartych w rejestrach Spółki obejmujących pracowników ochrony, wykazie pracowników posiadających uprawnienia na broń, rejestrze wydanej broni. Kolejnym faktem jest to, że Pracownik w dniu [...] września 2023 r. złożył zawiadomienie do Komendy Policji w R. o możliwości popełnienia przestępstwa przez uczestnika postępowania. W treści tego zawiadomienia Pracownik wskazał, że uczestnik postępowania ma pozwolenie na broń o numerze [...] wydane przez KWP [...]. Powyższe fakty wynikają z dowodów zgromadzonych przez organ.
Aby jednak organ mógł uznać, że Pracownik składając powyższe zawiadomienie posłużył się danymi osobowymi uczestnika postępowania, pochodzącymi ze zbioru danych przetwarzanych przez Spółkę, winien on dokonać ustaleń tym zakresie. Takich czynności organ nie podjął. Z żadnego dowodu zgromadzonego w sprawie nie wynika aby taka okoliczność miała miejsce. Organ oparł się w tym zakresie wyłącznie na domniemaniu. Sąd nie podziela oceny organu wyrażonej w odpowiedzi na skargę, że jest to "niebudząca wątpliwości okoliczność faktyczna sprawy" oraz że przeciwne stanowisko jest "sprzeczne z zasadami logiki przyczynowo-skutkowej". Nie można bowiem z całą pewnością wykluczyć, że Pracownik posiadał dane dotyczące pozwolenia na broń uczestnika postępowania z innego źródła. W toku postępowania organ nie odebrał od Pracownika żadnych wyjaśnień. Nie zwracał się też do Spółki o zajęcie stanowiska co do tej okoliczności. Nie można wobec tego uznać, że stan faktyczny sprawy został przez organ wyczerpująco ustalony.
W związku z tym należy stwierdzić, że zaskarżona decyzja została wydana
z naruszeniem art. 7, art. 77 § 1 i art. 80 k.p.a., a jej uzasadnienie nie odpowiada wymogom określonym w art. 107 § 3 k.p.a. Naruszenie ww. przepisów mogło mieć istotny wpływ na wynik sprawy. Nie wszystkie okoliczności istotne dla rozstrzygnięcia niniejszej sprawy zostały bowiem przez organ prawidłowo ustalone i ocenione.
Dalej zauważyć należy, że organ udzielając Spółce upomnienia wskazał, iż jest to następstwem naruszenia przez Spółkę art. 5 ust. 1 lit. a i lit b oraz art. 6 ust. 1 RODO. Zdaniem organu przepisy te Spółka naruszyła w ten sposób, że Pracownik posłużył się danymi osobowymi uczestnika postępowania w postaci numeru pozwolenia na broń składając w dniu [...] września 2023 r. zawiadomienie do Komendy Policji w R.
o możliwości popełnienia przestępstwa przez uczestnika postępowania. Zgodnie jednak ze stanowiskiem Spółki Pracownik składając powyższe zawiadomienie nie działał w jej imieniu, ale uczynił to w imieniu własnym. Zdaniem Spółki nie można w tej sytuacji przypisać jej naruszenia wskazanych wyżej przepisów.
Podstawowym problemem, jaki należało rozstrzygnąć w sprawie był więc zakres odpowiedzialności Spółki za naruszenie przepisów RODO, w sytuacji, gdy do tego naruszenia doprowadził jej pracownik.
Nie ulega wątpliwości, że gdy dochodzi do ujawnienia danych osobowych przetwarzanych przez pracodawcę w wyniku działań jego pracownika, wykonywanych
w ramach obowiązków służbowych tego pracownika, odpowiedzialność za tego rodzaju naruszenie ponosi pracodawca. Taki zakres odpowiedzialności pracodawcy za działania pracownika na gruncie RODO jest wówczas w istocie tożsamy z zakresem odpowiedzialności pracodawcy za szkody wyrządzenie przez pracownika na gruncie przepisów ustawy z dnia z dnia 26 czerwca 1974 r. Kodeks pracy (Dz. U. z 2023 r. 1465, z późn. zm.), dalej "k.p.". Zgodnie bowiem z art. 120 § 1 k.p. w razie wyrządzenia przez pracownika przy wykonywaniu przez niego obowiązków pracowniczych szkody osobie trzeciej, zobowiązany do naprawienia szkody jest wyłącznie pracodawca.
Analizując tę kwestię zauważyć też należy, że w niniejszej sprawie organ nie oceniał, czy dane osobowe pracowników Spółki w zakresie numerów posiadanych przez nich pozwoleń na broń przetwarzane są przez Spółkę w zgodzie z art. 5 ust. 1 lit. f, art. 24 ust. 1 oraz art. 32 ust. 1 i 2 RODO. Zgodnie z art. 5 ust. 1 lit. f RODO dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność"). Art. 24 ust. 1 RODO stanowi zaś, że uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Zgodnie natomiast z art. 32 ust. 1 RODO uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
a) pseudonimizację i szyfrowanie danych osobowych;
b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności
i odporności systemów i usług przetwarzania;
c) zdolność do szybkiego przywrócenia dostępności danych osobowych
i dostępu do nich w razie incydentu fizycznego lub technicznego;
d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się
w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (art. 32 ust. 2 RODO).
PUODO w niniejszej sprawie nie podnosił, że ujawnienie danych osobowych uczestnika postępowania w zakresie numeru pozwolenia na broń jest wynikiem naruszenia przez Spółkę cytowanych powyżej przepisów. Organ nie dokonywał oceny w tym zakresie. W skierowanym do organu piśmie z dnia [...] grudnia 2023 r. Spółka wskazywała zaś, że po jej stronie nie doszło do naruszenia bezpieczeństwa, które prowadziłoby do przypadkowego lub niezgodnego z prawem ujawnienia przetwarzanych przez nią danych osobowych.
Gdyby z ustaleń organu wynikało, że Spółka dopuściła się naruszenia tych przepisów i w efekcie tego naruszenia Pracownik powziął informację o danych osobowych uczestnika postępowania i następnie wykorzystał je w celach prywatnych poprzez ujawnienie w dokonywanym zawiadomieniu o popełnieniu przestępstwa, należałoby uznać, że również w takiej sytuacji Spółka jako pracodawca Pracownika ponosi odpowiedzialność na gruncie RODO za jego działania. Ujawnienie wówczas danych osobowych uczestnika postępowania przez pracownika, choć nie następowałby przy okazji wykonywania jego obowiązków służbowych, to byłoby wynikiem zaniedbań Spółki.
Niemniej jednak w niniejszej sprawie z ustaleń organu nie wynika aby pracownik składając przedmiotowe zawiadomienie o popełnieniu przestępstwa działał w imieniu Spółki, ani też, że uzyskał on dane osobowe uczestnika postępowania w wyniku naruszenia przez Spółkę art. 5 ust. 1 lit f, art. 24 ust. 1, czy też art. 32 ust. 1 i ust. 2 RODO. Zdaniem Sądu w uzasadnieniu zaskarżonej decyzji organ nie poddał wystarczającej analizie problemu dotyczącego tego, w jakiej sytuacji pracodawca ponosi odpowiedzialność za naruszenie przepisów RODO, do którego to naruszenia dochodzi
w wyniku działania jego pracownika. Przypisanie przez organ takiej odpowiedzialności Spółce nastąpiło w niniejszej sprawie niejako w sposób automatyczny bez głębszej analizy tego zagadnienia, tym bardziej, że w sprawie nie ustalono ponad wszelką wątpliwość, że Pracownik uzyskał dane o numerze pozwolenia na broń uczestnika postępowania ze zbioru danych przetwarzanych przez Spółkę. Ta sytuacja również świadczy o naruszeniu przez organ art. 7, art. 77 § 1 i art. 80 k.p.a., oraz art. 107 § 3 k.p.a. w stopniu mogącym mieć istotny wpływ na wynika sprawy. W konsekwencji tego PUODO co najmniej przedwcześnie uznał, że Spółka dopuściła się naruszenia art. 5 ust. 1 lit. a i lit. b oraz art. 6 ust. 1 RODO i w efekcie tego udzielił Spółce upomnienia w oparciu o art. 58 ust. 2 lit. b RODO.
Z tych przyczyn zaskarżona decyzja podlegała uchyleniu w części, w jakiej objęta została skargą.
Ponowne rozpoznanie sprawy winno nastąpić z uwzględnieniem powyższych uwag. Organ przede wszystkim dokona ustaleń co do tego, z jakiego źródła Pracownik uzyskał dane osobowe uczestnika postepowania w postaci numeru pozwolenia na broń, które to dane wykorzystał następnie składając w dniu [...] września 2023 r. zawiadomienie o możliwości popełnienia przestępstwa. Mając na uwadze wynik tych ustaleń organ organ ponownie oceni, czy Spółka ponosi odpowiedzialność za ujawnienie danych osobowych uczestnika postępowania, uwzględniając, że odpowiedzialność ta istnieje także w sytuacji naruszenia przez Spółkę bezpieczeństwa danych.
Mając powyższe na uwadze Sąd, na podstawie art. 145 § 1 pkt 1 lit. c p.p.s.a., uchylił zaskarżoną decyzję. O kosztach postępowania w pkt 2 sentencji wyroku, na które złożyło się wynagrodzenie pełnomocnika (480 zł), wpis od skargi (200 zł) oraz opłata od pełnomocnictwa (17 zł), Sąd orzekł w myśl art. 200 w zw. z art. 205 § 2 p.p.s.a. w zw.
z § 14 ust. 1 pkt 1 lit. c rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 r. w sprawie opłat za czynności radców prawnych (Dz. U. 2023 r., poz. 1935, z późn. zm.).