II SA/Wa 1143/23

II SA/Wa 1143/23 - Wyrok WSA w Warszawie
Data orzeczenia
2024-03-14
orzeczenie nieprawomocne
Data wpływu
2023-06-06
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Karolina Kisielewicz
Mateusz Rogala
Sławomir Antoniuk /przewodniczący sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U.UE.L 2016 nr 119 poz 1 art. 5 ust. 1 lit. a-c, art. 6 ust. 1 lit. f, art. 58 ust. 2 lit. b
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Dz.U. 2023 poz 1634
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - t.j.
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Sławomir Antoniuk (spr.), Sędzia WSA Karolina Kisielewicz, Asesor WSA Mateusz Rogala, , Protokolant starszy sekretarz sądowy Maryla Wiśniewska, po rozpoznaniu na rozprawie w dniu 14 marca 2024 r. sprawy ze skargi Z. Sp. z o.o. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] marca 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO) decyzją z [...] marca 2023 r. nr [...], na podstawie art. 104 i art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2022 r. poz. 2000, z późn. zm.); zwanej dalej K.p.a. w zw. z art. 7 ust. 1 ustawy z dnia i 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), art. 5 ust. 1 i art. 6 ust. 1 oraz art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35); zwanego dalej RODO, po przeprowadzeniu postępowania administracyjnego w sprawie skargi P. W.; zwanego dalej skarżącym lub uczestnikiem na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Z. Sp. z o.o. z siedzibą w W.; zwaną dalej Spółką, polegające na przetwarzaniu jego danych osobowych w zakresie imienia, nazwiska i miejsca wykonywania pracy za pośrednictwem strony internetowej [...].
1. udzielił Z. Sp. z o.o. z siedzibą w W. upomnienia za naruszenie art. 5 ust. 1 i art. 6 ust. 1 RODO polegające na publikowaniu danych osobowych P. W. w zakresie imienia, nazwiska i miejsca wykonywania pracy na stronie internetowej [...],
2. umorzył postępowanie w zakresie żądania P. W. o nakazanie Z. Sp. z o.o. z siedzibą w W. usunięcia jego danych osobowych ze strony internetowej [...].
W toku postępowania organ ustalił następujący stan faktyczny.
Do Prezesa UODO wpłynęła skarga P. W. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Z. Sp. z o.o. z siedzibą w W., polegające na przetwarzaniu jego danych osobowych w zakresie imienia, nazwiska i miejsca wykonywania pracy za pośrednictwem strony internetowej [...] Skarżący wniósł o ich usunięcie.
W odpowiedzi na powyższą skargę Spółka wskazała, że przetwarza dane osobowe P. W. na podstawie art. 6 ust. 1 lit. f RODO, tj. w celu realizacji prawnie uzasadnionych interesów realizowanych przez Spółkę jako administratora danych osobowych. Celem przetwarzania danych osobowych było: 1) informowanie użytkowników serwisu o działalności zawodowej skarżącego jako osoby wykonującej zawód zaufania publicznego, 2) umożliwienie dokonywania pacjentom oceny zaangażowania i jakości usług skarżącego jako profesjonalisty ochrony zdrowia, 3) realizacja misji Spółki prowadzonej pod hasłem: [...], 4) prowadzenie działalności gospodarczej przez Spółkę. Spółka poinformowała, że dokonała wyważenia interesów osób, których dane dotyczą i których dane osobowe są przez Spółkę przetwarzane na podstawie art. 6 ust. 1 lit. f RODO z interesami Spółki. Spółka wyjaśniła, że wszystkim osobom, których dane osobowe przetwarza zapewnia realizację praw określonych w przepisach artykułów 12-22 RODO m.in. poprzez: 1) umożliwienie kontaktowania się w sprawie ww. praw z Inspektorem Ochrony Danych, 2) współpracę IOD z działem moderacji i opieki klienta, które to działy realizują pod kątem technicznym prawa osób, których dane dotyczą (np. poprzez usuwanie ich danych osobowych, jeżeli osoba zażąda usunięcia danych osobowych zgodnie z art. 17 RODO lub wniesie sprzeciw, o którym mowa w art. 21 RODO), 3) bieżące i regularne szkolenia z zakresu danych osobowych dla pracowników, w szczególności pracowników działu obsługi klienta, 4) koordynowanie działań w zakresie ochrony danych osobowych wyspecjalizowane komórki Spółki lub jej spółek powiązanych.
W dniu [...] listopada 2020 r. P. W. zwrócił się do Spółki z żądaniem usunięcia jego danych osobowych z portalu [...].
Spółka wyjaśniła, że ww. dane osobowe skarżącego zostały usunięte niezwłocznie z portalu [...] (tj. [...] grudnia 2020 r.), zgodnie z żądaniem skarżącego, o czym został on poinformowany przez Spółkę wiadomością e-mail [...] grudnia 2020 r.
Jak wynika z akt sprawy Spółka przetwarzała dane osobowe skarżącego w celu realizacji przez nią prawnie uzasadnionych interesów, tj.: 1) informowanie użytkowników serwisu działalności zawodowej Skarżącego jako osoby wykonującej zawód zaufania publicznego, 2) umożliwienie dokonywania pacjentom oceny zaangażowania i jakości usług Skarżącego jako profesjonalisty ochrony zdrowia, 3) realizacja misji Spółki prowadzonej pod hasłem: [...] 4) prowadzenie działalności gospodarczej przez Spółkę. Jednak zaniechała wykazania niezbędności przetwarzania danych skarżącego do realizacji wskazanych interesów Spółki.
Z tych względów należało również zwrócić uwagę, że okoliczność istnienia prawnie uzasadnionego interesu nie jest wystarczająca dla możliwości zastosowania tego przepisu, niezbędne jest bowiem również wyważenie dwóch dóbr chronionych prawem, tj. prawnie uzasadnionego interesu administratora lub strony trzeciej z jednej strony i interesów, podstawowych praw oraz wolności podmiotu danych z drugiej. Należy ocenić, czy realizacja celu wynikającego z prawnie uzasadnionego interesu administratora lub strony trzeciej może naruszać interesy, podstawowe prawa lub wolności podmiotu danych, które wymagają ochrony danych osobowych. Interesy podmiotu danych są kategorią subiektywną dotyczącą konkretnego człowieka. Natomiast, podstawowych praw i wolności należy poszukiwać w Konstytucji RP, Karcie Praw Podstawowych Unii Europejskiej oraz Europejskiej Konwencji Praw Człowieka. Takim prawem będzie w szczególności prawo do dobrego imienia, godności czy reputacji.
W przedmiotowej sprawie dane osobowe skarżącego udostępniane były na stronie internetowej [...] m.in. w celu realizacji interesu Spółki jakim jest umożliwienie dokonywania pacjentom oceny zaangażowania i jakości usług skarżącego jako profesjonalisty ochrony zdrowia. Nie może jednak ujść uwadze, iż cel ten realizowany jest faworyzująco, a nawet jedynie jednostronnie. Spółka zapewnia bowiem zalogowanym użytkownikom w zasadzie swobodne i niczym nieograniczone dodawanie komentarzy pod utworzonym przez Spółkę profilu skarżącego. Jednocześnie skarżący nie miał żadnego realnego (realizowanego na tych samych zasadach co osoba zamieszczająca komentarz) wpływu na przypisywane jego osobie oceny i opinii. Przedmiotowa dysproporcja sił wprost stwarza realne zagrożenie naruszenia interesów, podstawowych praw lub wolności skarżącego. W takim stanie faktycznym interes skarżącego znacznie przewyższa interesy Spółki i niezbędne jest zapewnienie ochrony jego danych osobowych.
Wobec powyższego, w ocenie Prezesa UODO, Spółka nie spełniła przesłanek wskazanych w art. 6 ust. 1 lit f RODO uprawniających ją do przetwarzania danych skarżącego. Prezes wyjaśnił, że Spółka nie wykazała, a organ nie stwierdził także zaistnienia innej z przesłanek wymienionych w art. 6 ust. 1 RODO, w oparciu o którą Spółka mogłaby w sposób zgodny z obowiązującymi przepisami przetwarzać dane osobowe skarżącego w zakresie imienia, nazwiska i miejsca wykonywania pracy za pośrednictwem strony internetowej [...].
Organ zaznaczył, że wszelkie formy przetwarzania danych osobowych muszą odbywać się zgodnie z zasadami wymienionymi w art. 5 ust. 1 RODO. Dane osobowe powinny być przetwarzane zgodnie z prawem, w jasno określonym celu, adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane ("minimalizacja danych"). W tym zakresie Prezes podzielił stanowisko, zgodnie z którym nawet wówczas, gdy określone dane odpowiadają celowi, dla którego są zbierane i są dla tego celu adekwatne, to nie wynika z tego, iż mogą być one przetwarzane, w tym też udostępniane innym podmiotom.
Ocena dokonywana przez Prezesa UODO w każdym przypadku służy zbadaniu zasadności skierowania pod adresem określonego podmiotu nakazu odpowiadającego art. 58 ust. 2 RODO służącego przywróceniu stanu zgodnego z prawem w procesie przetwarzania danych - jest więc ona uzasadniona i potrzebna tylko o tyle, o ile nieprawidłowości w procesie przetwarzania danych osobowych istnieją. W przedmiotowej sprawie udostępnienie danych osobowych skarżącego nie miało oparcia w przesłankach określonych w art. 6 ust. 1 RODO oraz nie było zgodne z zasadami określonymi w art. 5 ust. 1 RODO, co stanowi naruszenie tych przepisów o ochronie danych osobowych.
Odnosząc się do wniosku skarżącego dotyczącego nakazania Spółce usunięcia jego danych osobowych ze strony internetowej [...]. podał, że Prezes UODO działając na podstawie i w granicach kompetencji przyznanych mu przepisami RODO, wydając decyzję bada stan faktyczny i prawny na dzień wydania decyzji. Przedmiotowy wniosek dotyczy przetwarzania danych osobowych skarżącego przez Spółkę, za pośrednictwem strony internetowej [...]. Z uwagi na to, że dane osobowe skarżącego nie są obecnie przetwarzane przez Spółkę w ww. sposób stwierdził, że dalsze prowadzenie postępowania w tym zakresie jest bezprzedmiotowe na podstawie art. 105 § 1 K.p.a.
Skoro zatem postępowanie administracyjne prowadzone przez Prezesa UODO służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej na podstawie art. 58 RODO, na mocy którego organ nadzorczy może przywrócić stan zgodny z prawem, a dane skarżącego aktualnie nie są przetwarzane przez Spółkę, to Prezes Urzędu nie ma możliwości przywrócenia stanu zgodnego z prawem.
Pismem z [...] kwietnia 2023 r. Z. Sp. z o.o. z siedzibą w W., zastępowany przez profesjonalnego pełnomocnika, złożył do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na decyzję Prezesa UODO z [...] marca 2023 r. w części dotyczącej pkt 1, w którym organ udzielił upomnienia.
Zaskarżonemu rozstrzygnięciu zarzucił naruszenie:
1. przepisów prawa materialnego, tj.:
a) art. 6 ust. 1 lit. f RODO, poprzez błędną wykładnię podstawy prawnej przetwarzania, jaką jest niezbędność do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, pomijającą szereg czynników, które zgodnie z Opinią Grupy Roboczej Art. 29 nr 06/2014 w sprawie pojęcia uzasadnionych interesów administratora danych zawartego w art. 7 dyrektywy 95/46/WE4 (dalej "Opinia") należy brać pod uwagę przy przeprowadzaniu tzw. testu równowagi, a mianowicie: i) zbieżności prawnie uzasadnionego interesu administratora z interesem szerszej społeczności, ii) charakteru danych osobowych - ich związku z życiem zawodowym lub prywatnym osoby, której te dane dotyczą, oraz ich (częściowej) jawności, iii) konsekwencji dla osoby, której dane dotyczą - zarówno pozytywnych, jak i negatywnych, iv) statusu osoby, której dane dotyczą, w tym wykonywania przez nią zawodu zaufania publicznego, v) uzasadnionych oczekiwań osoby, której dane dotyczą, vi) dodatkowych zabezpieczeń chroniących osobę, której dane dotyczą, przed negatywnymi konsekwencjami,
b) art. 5 ust. 1 RODO, przez błędne zastosowanie polegające na przyjęciu, że udostępnianie danych osobowych P. W. za pośrednictwem strony internetowej [...] narusza niewskazane bliżej przez organ zasady dotyczące przetwarzania danych osobowych.
2. przepisów postępowania, tj.:
a) art. 11 i art. 107 § 1 pkt 6 i § 3 K.p.a. polegające na wydaniu decyzji, której uzasadnienie jest niespójne z rozstrzygnięciem przez to, że te elementy składowe decyzji odnoszą się do odmiennych zakresów danych osobowych - rozstrzygnięcie do imienia, nazwiska i miejsca wykonywania pracy przez uczestnika, a uzasadnienie do ocen i opinii o działalności zawodowej P. W.,
b) art. 8 § 2, art. 76 § 1 i art. 77 § 4 K.p.a., przez pominięcie wniosków wynikających z wcześniejszej decyzji Generalnego Inspektora Ochrony Danych Osobowych wydanej w sprawie z udziałem skarżącego [...]), w tym: i) adekwatności i niezbędności zakresu danych przetwarzanych za pośrednictwem strony internetowej [...], ii) braku naruszenia prawa do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym w wyniku przetwarzania danych osobowych za pośrednictwem strony internetowej [...], iii) istnieniu interesu ogólnego pacjentów w sprawowaniu społecznej kontroli wykonywania zawodu lekarza oraz przez odstąpienie bez uzasadnionej przyczyny od utrwalonej praktyki rozstrzygania przez organ spraw w takim samym stanie faktycznym i prawnym wyznaczonej decyzjami [...] , [...], [...],
c) art. 7, art. 77 § 1, art. 80 i art. 107 § 3 K.p.a., przez niewywiązanie się przez organ z obowiązku dokładnego wyjaśnienia stanu faktycznego sprawy, czyli:
• zaniechanie rozpatrzenia całości materiału dowodowego przez pominięcie przedłożonego przez stronę dokumentu "Ocena skutków dla ochrony danych w spółce Z. z siedzibą w W." oraz - jeżeli organ nie uznał za wystarczające wyjaśnień zawartych w tym dokumencie - zaniechanie uzupełnienia materiału dowodowego o dostępny publicznie dokument "Regulamin świadczenia usług drogą elektroniczną przez Z.";
• dokonanie dowolnego i niemającego oparcia w materiale dowodowym ustalenia, że: i) imię, nazwisko i miejsce pracy uczestnika nie są niezbędne do osiągnięcia założonego celu przetwarzania, ii) mechanizm oceny zaangażowania i jakości usług profesjonalistów cechuje nierównowaga sił stwarzająca "realne zagrożenie naruszenia interesów, podstawowych praw lub wolności" uczestnika oraz iii) interes uczestnika "znacznie przewyższa" interesy strony skarżącej.
d) art. 10 i art. 81 K.p.a., przez uniemożliwienie stronie skarżącej wypowiedzenia się i skorygowania dokonanych przez organ samodzielnie ustaleń dotyczących mechanizmu oceny zaangażowania i jakości usług profesjonalistów na stronie [...],
e) art. 11, art. 107 § 1 pkt 4 i § 3 K.p.a. polegające na niedokładnym oznaczeniu jednostki redakcyjnej, z której wynika norma prawa materialnego, którą organ uznał za naruszoną (art. 5 ust. 1 RODO), co utrudnia weryfikację prawidłowości dokonanej przez organ subsumcji,
f) art. 11 i art. 107 § 1 pkt 6 i § 3 K.p.a., przez sporządzenie uzasadnienia faktycznego, z którego nie wynika jasno, jakie fakty organ uznał za udowodnione i na jakich dowodach się oparł, oraz uzasadnienia prawnego, z którego - w odniesieniu do rzekomego naruszenia przez skarżącego art. 5 ust. 1 RODO - nie wynika jasno, która spośród kilku zawartych w tym przepisie norm prawnych została naruszona i które fakty stanowią o jej naruszeniu.
W związku z powyższym strona skarżąca wniosła o stwierdzenie nieważności decyzji, ewentualnie jej uchylenie w części pkt 1 i umorzenie postępowania, zasądzenie kosztów postępowania, w tym kosztów zastępstwa procesowego według norm przepisanych oraz przeprowadzenie dowodów uzupełniających z dokumentów:
a) decyzji organu oraz Generalnego Inspektora Ochrony Danych Osobowych, załączonych do skargi jako załączniki 3-6 - na okoliczności wskazane w uzasadnieniu skargi, a zwłaszcza na okoliczność: i) istnienia utrwalonej praktyki rozstrzygania spraw w stanie faktycznym i prawnym jednakowym jak w obecnej sprawie; ii) adekwatności i niezbędności zakresu danych przetwarzanych za pośrednictwem strony internetowej [...], iii) braku naruszenia prawa do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym w wyniku przetwarzania danych osobowych za pośrednictwem strony internetowej [...]) istnienia interesu ogólnego pacjentów w sprawowaniu społecznej kontroli wykonywania zawodu lekarza,
b) regulaminu świadczenia usług drogą elektroniczną przez Z., załączonego do skargi jako załącznik 7 - na okoliczności wskazane w uzasadnieniu skargi, a zwłaszcza na okoliczność: i) mechanizmu oceny zaangażowania i jakości usług profesjonalistów na stronie internetowej [...] oraz ii) stosowania przez administratora dodatkowych środków w celu ograniczenia wpływu przetwarzania danych osobowych na osoby, których dane dotyczą.
W obszernym uzasadnieniu skargi strona skarżąca przedstawiła argumentację na poparcie postawionych zarzutów.
W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując argumentację wyrażoną w zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
W świetle art. 1 § 1 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (t.j. Dz. U. z 2022 r. poz. 2492), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym stosownie do § 2 art. 1 powołanej ustawy kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.
Skarga, kwestionująca pkt 1 decyzji Prezesa UODO z [...] marca 2023 r. (w części obejmującej udzielenie Spółce Z. upomnienia), nie zasługuje na uwzględnienie.
Zaskarżona decyzja Prezesa UODO nie narusza wskazanych w skardze przepisów postępowania. Organ w sposób wyczerpujący i wystarczający dla rozstrzygnięcia niniejszej sprawy zebrał niezbędny materiał dowodowy. Dokonana przez organ ocena tego materiału dowodowego nie była dowolna. Także uzasadnienie zaskarżonej decyzji spełnia wymogi art. 107 § 3 K.p.a. i nie pozostawia wątpliwości dlaczego organ rozstrzygnął sprawę w sposób w nim określony. Sąd nie podpatrzył w tej sprawie również naruszenia przepisu art. 6 ust. 1 lit. f RODO, który to przepis organ prawidłowo zastosował, zasadnie kwalifikując udostępnienie danych osobowych P. W. w serwisie [...] bez podstawy prawnej i stwierdzając podstawę do udzielenia upomnienia.
Podkreślić należy, że aby można było mówić o zgodnym z prawem przetwarzaniu danych osobowych, w tym ich udostępnieniu (ujawnieniu), konieczne jest istnienie jednej z przesłanek legalizujących proces przetwarzania danych osobowych, o których mowa w art. 6 ust. 1 RODO. W świetle powołanego przepisu, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
W niniejszej sprawie bezsprzecznie uczestnik postępowa – P. W. nie wyraził zgody na przetwarzanie przez Z. Sp. z o.o. z siedzibą w W. swoich danych osobowych w zakresie imienia, nazwiska i miejsca wykonywania pracy w serwisie [...]. Strona skarżąca upatruje zaś przesłanki legalizującej przetwarzania tych danych w art. 6 ust. 1 lit. f RODO powołując się na cel pozwalający jej realizować prawnie uzasadnione interesy polegające na: 1) informowaniu użytkowników serwisu działalności zawodowej uczestnika postępowania jako osoby wykonującej zawód zaufania publicznego, 2) umożliwieniu dokonywania pacjentom oceny zaangażowania i jakości usług uczestnika postępowania jako profesjonalisty ochrony zdrowia, 3) realizacji misji Spółki prowadzonej pod hasłem: [...], 4) prowadzeniu działalności gospodarczej przez Spółkę.
Wskazana powyżej przesłanka stanowi przejaw uznania przez prawodawcę unijnego, że mogą zdarzyć się przypadki, gdy administrator nie może powołać się na zgodę, przepis ani realizację umowy, a mimo to powinien on mieć możliwość przetwarzania danych, ponieważ za dopuszczalnością przetwarzania przemawia "prawnie uzasadniony interes". Przyjmuje się, że prawnie uzasadniony interes to interes wynikający (choćby pośrednio) z przepisów prawa, w sytuacji, gdy przepisy te nie regulują dopuszczalności przetwarzania danych, a jedynie wskazują jakiś interes (np. uprawnienie), do realizacji którego przetwarzanie danych jest potrzebne. W motywie 47 preambuły wyjaśniono, że "prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki, by spodziewać się, że może nastąpić przetwarzanie danych w tym celu". Przykładem tego rodzaju prawnie uzasadnionego interesu jest – wskazany w motywie 47 in fine preambuły – cel w postaci marketingu bezpośredniego. Natomiast w motywie 48 preambuły wskazano, że "administratorzy, którzy są częścią grupy przedsiębiorstw lub instytucji powiązanych z podmiotem centralnym, mogą mieć prawnie uzasadniony interes w przesyłaniu danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych, co dotyczy też przetwarzania danych osobowych klientów lub pracowników".
Podkreślenia wymaga, że wskazana podstawa dopuszczalności przetwarzania danych osobowych nie ma charakteru bezwarunkowego, jest skonstruowana jako mechanizm ważenia interesów. Na jednej szali nakazuje umieścić prawnie uzasadniony interes administratora danych (lub strony trzeciej), a na drugiej – wymagające ochrony podstawowe prawa i wolności osoby, której dane dotyczą. Jeżeli wynik tego ważenia interesów będzie wskazywał, że za przeważające należy uznać wymagające ochrony prawa podmiotu danych, to administrator nie powinien opierać przetwarzania danych na omawianej tu podstawie prawnej.
W analizowanym przypadku strona skarżąca w postępowaniu prowadzonym przez Prezesa UODO nie wykazała, aby wyważyła uzasadniony interes administratora danych oraz wymagające ochrony podstawowe prawa i wolności osoby, której dane osobowe przetwarzała. Przeciwnie, skupiła się na realizacji własnych celów związanych z prowadzoną działalnością gospodarczą przyjmując, iż jest legitymowana do przetwarzania danych osoby wykonującej zawód zaufania publicznego. Słusznie zatem organ nadzoru nad przestrzeganiem przepisów ochrony danych osobowych zwrócił uwagę na konieczność uwzględnienia interesu osób, których dane dotyczą, i wyważenia go z należytym uwzględnieniem wymogów wynikających z zasad dotyczących przetwarzania danych osobowych, zwłaszcza zasady proporcjonalności, a w szczególności wymogów wynikających z zasady minimalizacji danych, o której mowa w art. 5 ust. 1 lit. c RODO.
Wykonywanie zawodu publicznego nie pozbawia takiej osoby ochrony jej praw obywatelskich. Zgodnie z art. 47 Konstytucji RP każdy ma prawo do ochrony życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. Podstawowe znaczenie w tym zakresie mają właśnie przepisy o ochronie danych osobowych, gdyż dotyczą one sfery ochrony prywatności określonej osoby w zakresie przetwarzania informacji o niej (por. wyroki NSA z 18 listopada 2009 r. sygn. akt I OSK 667/09, z 28 stycznia 2008 r. sygn. akt I OSK1365/06). Celem ustawy z 10 maja 2018 r. o ochronie danych osobowych oraz RODO jest ochrona prywatności w rozumieniu art. 47 Konstytucji RP (wyrok NSA z 30 marca 2006 r. sygn. akt I OSK 628/05, LEX nr 198299; uchwała w składzie 7 sędziów z 6 czerwca 2005 r. sygn. akt I OPS 2/05).
W realiach niniejszej sprawy ważny jest kontekst celu przetwarzania danych osobowych osoby wykonującej zawód zaufania publicznego. Skarżąca nie wykorzystywała danych osobowych uczestnika podstępowania jedynie w celu informowania użytkowników serwisu internetowego o osobie lekarza w zakresie informacji ogólnodostępnych w rejestrach (każdy lekarz posiadający prawo wykonywania zawodu podlega wpisowi do rejestru prowadzonego przez właściwą okręgowa radę lekarską – art. 8 ust. 1 ustawy o zawodach lejkarza i lekarza dentysty), lecz w głównej mierze w celu wyrażania przez użytkowników opinii o lekarzu, dokonania oceny jakości świadczonej usługi, zaangażowania, profesjonalności, itp. Tym samym stworzony został swoistego rodzaju ranking lekarzy, którym użytkownicy wystawiają opinie i na ich podstawie przyznawane są oceny (liczby gwiazdek).
Z załączonego do skargi "Regulaminu świadczenia usług drogą elektroniczną przez [...]" stosowanego od dnia 8 maja 2023 r. (dane osobowe uczestnika postępowania były przetwarzane do 1 grudnia 2020 r.) wynika, iż "Profesionalista" (m.in. lekarz) może, ale nie musi dokonać rejestracji (zd. drugie § 1 ust. 1 lit. e). Rejestracją zaś jest proces utworzenia konta Użytkownika lub Konta Profesionalisty (§ 1 ust.1 lit i). W świetle § 2 ust. 2 lit d., Z. dla Profesionalistów, którzy dokonali Rejestracji, ale nie zawarli ze Z. umowy o odpłatne usługi, świadczy m.in. następujące usługi: możliwość odpowiadania na opinie wystawione przez Użytkowników. Zgodnie z § 4 ust. 2, dodanie opinii jest możliwe tylko dla Użytkownika. Natomiast w świetle § 5 ust. 1, utworzenie Profilu podstawowego nowego Profesionalisty wymaga utworzenia Konta Profesionalisty i podania podstawowych informacji o nim. Regulamin zastrzega, iż Usługodawca nie ponosi odpowiedzialności za treści i formę materiałów i informacji w Serwisie przez Użytkownika. Użytkownik, Placówka lub Profesionalista ponoszą pełną odpowiedzialność za złamanie prawa bądź szkodę wywołaną ich działaniem w serwisie (§ 8 ust. 2 i 3).
Z powyższych regulacji wynika, że osoba zgłaszająca akces uczestnictwa w serwisie, dokonuje rejestracji lub zawiera umowę ze Spółką, akceptuje warunki regulaminu i będąc świadomą zasad wynikających z jego postanowień godzi się na ocenę własnej pracy dokonywaną przez użytkowników serwisu. Rejestracja w serwisie daje też możliwość wypowiadania się w określonym temacie, prostowania podanych informacji, precyzowania nieścisłości. Jednakże, co wymaga podkreślenia, taką możliwość mają tylko Profesionaliści zarejestrowani.
W odmiennej sytuacji znajduje się jednak osoba nieświadoma faktu, iż jej dane osobowe związane z wykonywanym zawodem i miejscem pracy są wykorzystywane w celu formułowania subiektywnych ocen i ich rozpowszechniania w szerokim gronie użytkowników serwisu. Nie ma "rozsądnych przesłanek, by spodziewać się, że może nastąpić przetwarzanie" jej danych osobowych. Nie każda bowiem osoba, ze względu na cechy osobowości, predyspozycje, wiek, umiejętności posługiwania się nowymi technologiami komunikacji, itp., chce korzystać z możliwości promocji i budowania dobrego wizerunku specjalisty w serwisie internetowym. O fakcie posługiwania się danymi osobowymi przez określony podmiot, ocenach i opiniach pozytywnych, bądź negatywnych zainteresowany lekarz może nie mieć wiedzy lub powziąć wiedzę w dłuższej perspektywie czasowej. Wówczas takie dobra osobiste jak: cześć, wizerunek (art. 23 Kodeksu cywilnego) pojmowane powszechnie jako dobre imię, reputacja lekarza są narażone na utratę, zaś osoba zainteresowana nie ma realnej możliwości ich prawnej ochrony.
W związku z powyższym całkowicie uprawnione jest stanowisko Prezesa UODO wskazujące, że w zaistniałej sytuacji występuje znacząca asymetria pomiędzy interesem gospodarczym Spółki Z., a dobrami uczestnika postępowania, ze wskazaniem na faworyzowanie jednej ze stron – Spółki. To ona bowiem jednostronnie decyduje o sposobie przetwarzania danych osobowych uczestnika postępowania, choć nie wytworzyła istotnego i odpowiedniego rodzaju powiązania między osobą, której dane dotyczą, a administratorem danych (patrz motyw 47 preambuły).
Trybunał Sprawiedliwości w wyroku z 4 lipa 2023 r., C-252/21 (publik. www.eur-lex.europa.eu) zwrócił uwagę, iż: "Art. 6 ust. 1 akapit pierwszy lit. f ogólnego rozporządzenia o ochronie danych (2016/679) należy interpretować w ten sposób, że dokonywane przez operatora internetowej sieci społecznościowej przetwarzanie danych osobowych polegające na zbieraniu danych użytkowników takiej sieci pochodzących z innych usług grupy, do której należy ten operator, lub pochodzących z przeglądania przez tych użytkowników stron internetowych lub aplikacji osób trzecich, łączeniu tych danych z kontem sieci społecznościowej tych użytkowników i wykorzystywaniu tych danych może zostać uznane za niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią w rozumieniu tego przepisu jedynie pod warunkiem, że operator ten wskazał użytkownikom, od których dane zostały pozyskane, prawnie uzasadniony interes, do którego realizacji służy przetwarzanie tych danych, że przetwarzanie to odbywa się w granicach tego, co jest absolutnie niezbędne do realizacji tego prawnie uzasadnionego interesu, oraz że z wyważenia przeciwstawnych interesów w świetle wszystkich istotnych okoliczności wynika, że interesy lub podstawowe prawa i wolności tych użytkowników nie mają pierwszeństwa przed tym prawnie uzasadnionym interesem administratora lub osoby trzeciej.
W analizowanym przypadku strona skarżąca nie wykazała prymatu prawnie uzasadnionego interesu administratora danych nad podstawowymi prawami i wolnościami uczestnika postępowania, co oznacza, że nie legitymowała się przesłanką legalizującą przetwarzanie danych z art. 6 ust. 1 lit. f RODO. Zaś przetwarzając dane osobowe uczestnika postępowania w portalu Z. do 1 grudnia 2020 r. (do czasu ich usunięcia na wniosek zainteresowanego) naruszyła zasady określone w art. 5 ust. 1 RODO: a) zgodności z prawem, rzetelności i przejrzystości, b) ograniczania celu przetwarzania, c) minimalizacji danych.
Powyższe ustalenia uprawniały Prezesa RODO do wdrożenia środka naprawczego z art. 58 ust. 2 lit. b RODO. W świetle tego przepisu, organ nadzoru udziela upomnienia administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania.
Wbrew zarzutom skargi, zaprzestanie przetwarzania danych osobowych przez stronę postępowania nadzorczego przed jego zakończeniem nie czyni tego postępowania bezprzedmiotowym i nie stanowi przeszkody w stosowaniu środków naprawczych. Te bowiem mają wieloraki charakter. Ostrzeżenia są środkami prewencyjnymi i powinny być wykorzystywane w sytuacji, gdy organ nadzorczy dostrzega możliwość naruszenia przepisów rozporządzenia poprzez planowane operacje przetwarzania. Mają zapobiegać naruszaniu ochrony danych w przyszłości. Natomiast upomnienie może być stosowane – jak wyjaśniono w motywie 148 preambuły – w przypadku, gdy naruszenie przepisów rozporządzenia jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie. Podkreślono, iż: "Aby egzekwowanie przepisów niniejszego rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy". Oznacza to, iż samo stwierdzenie przez organ nadzorczy naruszenia przepisów RODO, choćby stan naruszający prawo został usunięty, rodzi określone skutki w postaci kary pieniężnej (sankcji dotkliwej) za naruszenia większej wagi lub upomnienia (sankcji łagodnej – o charakterze w istocie prewencyjnym, zmierzającym do wytknięcia nieprawidłowości w celu zapobieżenia podobnym naruszeniom w przyszłości) w przypadku naruszeń o niewielkim znaczeniu. Natomiast typowymi środkami nadzorczymi, w jakie został wyposażony organ właściwy w sprawach ochrony danych, są nakazy i zakazy. Stanowią one władcze rozstrzygnięcia organu mające na celu przywrócenie naruszonego porządku prawnego, a ich realizacja zabezpieczona jest sankcją administracyjną.
Z tych wszystkich względów Sąd nie podzielił zarzutów skargi wskazujących na naruszenie przepisów prawa materialnego.
Nie zasługuje też na uwzględnienia zarzut naruszenia prawa procesowego, tj. art. 11 i art. 107 § 1 pkt 6 i 7 K.p.a., poprzez uzasadnienie decyzji w sposób niespójny z rozstrzygnięciem. Otóż, jak już wcześniej wspomniano, badając przesłankę legalizującą przetwarzanie danych osobowych uczestnika postępowania z art. 6 ust. 1 lit f RODO Prezes UODO był obowiązany ocenić prawidłowość działania administratora danych osobowych przez pryzmat wskazanego przezeń celu i ustalić, czy ten cel jest prawnie uzasadniony i dopuszcza przetwarzanie danych osobowych bez zgody osoby, której dane dotyczą. Dane osobowe uczestnika postępowania wskazane w pkt 1 decyzji (imię, nazwisko i miejsce wykonywania pracy) nie są podane abstrakcyjnie (jako dane występujące w ogólnodostępnym rejestrze) w oderwaniu od przedmiotu sprawy, co zdaje się sugerować strona skarżąca doszukując się podstawy do ich przetwarzania. Dane te odnoszą się wprost do celów realizowanych przez stronę skarżącą, które z powodów wskazanych w uzasadnieniu zaskarżonej decyzji nie mogą być uznane za uzasadnione. Te cele zostały przez organ ustalone w toku postępowania i wskazane w uzasadnieniu zaskarżonej decyzji. Ustalenia organu wynikają zarówno z wyjaśnień Spółki złożonych w toku postępowania, jak i załączonej do akt "Oceny skutków dla ochrony danych w spółce Z. z siedzibą w W." (karta 19 akt administracyjnych).
Z tego też względu nie sposób podzielić zarzutów naruszenia art. 7, art. 77 § 1, art. 80 i art. 107 § 3 K.p.a., polegających na zaniechaniu rozpatrzenia całego materiału dowodowego. Trudno też czynić organowi zarzut, iż w toku postępowania nie zapoznał się z treścią "Regulaminu świadczeń usług drogą elektroniczną przez Z." skoro z taką inicjatywą dowodową nie wystąpiła strona tego postępowania. Natomiast załączony do skargi "Regulamin świadczenia usług drogą elektroniczną przez Z.", jako stosowany od 8 maja 2023 r., nie miał zastosowania w czasie, gdy dane osobowe uczestnika postępowania były przez Spółkę przetwarzane. Choć jak podniesiono powyżej, jego postanowienia nie respektują podstawowych praw i wolności osób niekorzystających z przedmiotowego serwisu internetowego, a których dane bez ich wiedzy są przetwarzane.
Wskazać należy, iż pismem z 3 marca 2022 r. (karta 34 akt administracyjnych) Prezes UODO zawiadomił stronę postępowania, iż w sprawie został zgromadzony materiał dowodowy wystarczający do wydania decyzji oraz pouczył o treści art. 10 § 1 i art. 73 § 1 i 1a K.p.a., co czyni zarzut uniemożliwienia stronie wypowiedzenia się przed wydaniem decyzji bezzasadnym.
Nie stanowi także istotnej wady procesowej niepowołanie w decyzji konkretnych jednostek redakcyjnych art. 5 ust. 1 RODO. Przepis ten niewątpliwie miał w sprawie zastosowanie, zaś organ w uzasadnieniu decyzji wykazał, iż zasady przetwarzania danych osobowych określone w tym przypisie nie zostały zachowane. Wada w postaci braku przywołania konkretnych przesłanek wymienionych w art. 5 ust. 1 lit. a-c RODO, nie może być kwalifikowana jako ta, która mogła mieć istotny wpływ na końcowy wynik sprawy. W orzecznictwie zgodnie się podkreśla, iż decyzja określająca błędnie podstawę prawną nie jest wydana bez podstawy prawnej, o ile ta podstawa prawna rzeczywiście istnieje, lecz dotknięta jest jedynie wadą procesową z racji naruszenia art. 107 § 1 K.p.a., która to zaś wada pozostaje bez istotnego wpływu na wynik sprawy – patrz wyrok NSA z 8 listopada 2016 r. sygn. akt I OSK 723/16 (publik. LEX nr 2169833). NSA w wyroku z 8 lutego 1983 r. sygn. akt I SA 1294/82 (publik. ONSA 1983/1, poz. 5) podkreślił, że: "Fakt powołania się przez organy administracji w decyzji na przepisy niewłaściwe w sprawie, jakkolwiek wskazuje na wadliwość działania tych organów, nie stanowi jednak przesłanki do uznania przez sąd, że nastąpiło naruszenie prawa w stopniu istotnym dla rozstrzygnięcia, jeżeli z okoliczności sprawy wynika, że organy administracji mogły wydać zaskarżone decyzje, mając do tego podstawę w innym przepisie tej samej ustawy".
Strona skarżąca zarzuciła także Prezesowi UODO odstąpienie od utrwalonej praktyki orzeczniczej, powołując się na szereg załączonych do skargi decyzji (kopii) Generalnego Inspektora Ochrony Danych Osobowych oraz Prezesa Urzędu Ochrony Danych Osobowych wydanych w latach 2016 - 2022. Przedmiotowymi decyzjami organ ochrony danych osobowych umarzał postępowania na skutek stwierdzenia, że w dacie orzekania administrator zaprzestał przetwarzania danych osobowych objętych przedmiotem tego postępowania. Zarzut naruszenia art. 8 § 2 K.p.a. nie może zostać uwzględniony, bowiem wskazane przez stronę skarżącą decyzje zostały wydane na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 9322 ze zm.). Niniejsza sprawa została rozstrzygnięta na podstawie przepisów ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych oraz przepisów RODO, a wiec w odmiennym stanie prawnym, niż obowiązywał w czasie wydania wskazanych decyzji. Aktualnie Prezes UODO dysponuje uprawnieniami naprawczymi z art. 58 ust. 2 lit. a – j RODO, których to instytucji prawnych nie przewidywała powołana ustawa z 1997 r.
Mając na względzie powyższe, Wojewódzki Sąd Administracyjny w Warszawie na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t.j. DZ. U. z 2023 r. poz. 1634, z późn. zm.) orzekł jak w sentencji wyroku.