II SA/WA 1173/23

II SA/Wa 1173/23 - Wyrok WSA w Warszawie
Data orzeczenia
2024-03-06
orzeczenie prawomocne
Data wpływu
2023-06-12
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Iwona Maciejuk /sprawozdawca/
Joanna Kube /przewodniczący/
Sławomir Antoniuk
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
III OZ 573/24 - Postanowienie NSA z 2025-01-15
III OZ 447/24 - Postanowienie NSA z 2024-11-13
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2023 poz 1634
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - t.j.
Dz.U. 2018 poz 1000
art. 78 ust. 1
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
Dz.U.UE.L 2016 nr 119 poz 1 art. 4 pkt 1 -2, art. 5 ust. 1 lit. f w zw. z art. 5 ust. 2 w zw. z art. 24 ust. 1, art. 6 ust. 1, art. 17 ust. 1 pkt d i ust. 2, art. 28 ust. 1, art. 30, art. 57 ust. 1 lit. a i lit. f, art. 58 ust. 2 lit. b, art. 79 ust. 2, art. 82
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Joanna Kube, Sędzia WSA Iwona Maciejuk (spr.), Sędzia WSA Sławomir Antoniuk, Protokolant starszy sekretarz sądowy Marcin Rusinowicz-Borkowski po rozpoznaniu na rozprawie w dniu 6 marca 2024 r. sprawy ze skargi A. R. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] marca 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę.
Uzasadnienie
A. R., zwana dalej także skarżącą, w dniu [...] listopada 2021 r. złożyła do Prezesa Urzędu Ochrony Danych Osobowych skargę na niezgodne z przepisami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, oraz z przepisami ustawy o ochronie danych osobowych z dnia 10 maja 2018 r., przetwarzanie jej danych osobowych przez [...] Urząd Celno-Skarbowy, polegające na przekazaniu jej danych osobowych oraz informacji o prowadzonym wobec niej postępowaniu kontroli podatkowej Okręgowej Radzie Adwokackiej w K. oraz osobom trzecim, pracującym w ORA, przetwarzaniu jej danych osobowych z naruszeniem obowiązku zachowania tajemnicy skarbowej oraz wbrew przepisom obowiązującego prawa. Wniosła o zobowiązanie Urzędu Celno-Skarbowego do ograniczenia przetwarzania jej danych osobowych wraz z informacją o prowadzonym postępowaniu; nałożenie na Urząd Celno-Skarbowy w W. kary administracyjnej w wysokości 1000 000 zł (jeden milion złotych); zobowiązanie organu do podania do publicznej wiadomości na swojej stronie internetowej, stronie podmiotowej z Biuletynie Informacji Publicznej informacji o działaniach podjętych w celu wykonania decyzji stwierdzającej naruszenie przepisów prawa o ochronie danych osobowych; wszczęcie postępowania kontrolnego przestrzegania przepisów o ochronie danych osobowych przez [...] Urząd Celno-Skarbowy; wszczęcie postępowania i wydanie decyzji stwierdzającej naruszenie przez Urząd Celno-Skarbowy w W. przepisów o ochronie danych osobowych i niezgodnym z prawem przetwarzaniu danych osobowych skarżącej; zobowiązanie Urzędu Celno-Skarbowego w W. do zapłaty na rzecz skarżącej kwoty 200 000 (dwieście tysięcy złotych) wraz z ustawowymi odsetkami za opóźnienie od dnia wniesienia skargi do dnia zapłaty tytułem poniesienia przez skarżącą poważnej szkody niemajątkowej; nakazanie Urzędowi Celno-Skarbowemu w W. usunięcia wszelkich danych osobowych skarżącej z uwagi na fakt, iż dane te były przetwarzane niezgodnie z prawem. Skarżąca wniosła również o przeprowadzenie dowodów z: adnotacji urzędu z dnia [...] czerwca 2021 r. przesłanej do ORA w K.; pisemnej notatki Urzędu przesłanej do ORA w K. z podpisem Zastępcy Naczelnika Urzędu, eksperta skarbowego Urzędu Celno-Skarbowego w W. i kierownika działu Urzędu Celno-Skarbowego w W.; pisma z dnia [...] czerwca 2021 r. przesłanego przez Urząd do ORA w K.; pisma Rzecznika Dyscyplinarnego w K. z dnia [...] lipca 2021 r.; wszystkie pisma na okoliczność niezgodnego z prawem przetwarzania danych osobowych skarżącej przez Urząd Celno-Skarbowy w W., informowania nieznanych, obcych osób pracujących w ORA, jak również sprawujących funkcje o prowadzonym postępowaniu wobec skarżącej oraz udostępnianiu jej danych osobowych; pisma skarżącej skierowanego do Dyrektora Izby Administracji Skarbowej w W. z dnia [...] sierpnia 2021 r. na okoliczność zwrócenia się do Dyrektora Izby o niezgodnym z prawem przetwarzaniu danych osobowych; pisma DIAS w W. z dnia [...] października 2021 r. z informacją, iż zdarzenie z dnia [...] czerwca 2021 r. dotyczące przekazania danych do ORA w K. zostało zakwalifikowane jako naruszenie ochrony danych osobowych, na okoliczność, iż do chwili obecnej nie zostały podjęte żadne działania mające na celu załatwienie niniejszej sprawy; pisemnych zeznań wymienionych w piśmie osób na okoliczność zdarzenia z dnia [...] czerwca 2021 r., na fakt braku kompetencji urzędników Urzędu Celno-Skarbowego do wykonywania obowiązków związanych z przeprowadzaniem kontroli skarbowych, na fakt celowego, złośliwego, zaplanowanego działania mającego na celu ośmieszenie skarżącej i naruszenie jej prywatności poprzez udostępnianie i przetwarzanie jej danych osobowych i udostępnianie informacji o prowadzonym postępowaniu; jeżeli Prezes uzna to za zasadne to świadkowie wymienieni przez skarżącą deklarują złożenie zeznań do protokołu odnośnie zdarzenia z dnia [...] czerwca 2021r. Skarżąca w uzasadnieniu wyjaśniła, że wielokrotnie informowała DIAS o niekompetencji urzędników Urzędu Celno-Skarbowego w W., o podejmowanych przez nich celowych i złośliwych działań. Działając z up. Naczelnika [...] Urzędu Celno-Skarbowego w W. Zastępca Naczelnika skierowała do ORA w K. pismo z dnia [...] czerwca 2021 r. stanowiące informację dotyczącą adwokata E. R.. Do przedmiotowego pisma załączono (częściowo wydrukowaną komputerowo, a częściowo napisaną ręcznie) "Adnotację" z [...] czerwca 2021 r. podpisaną odpowiednio przez eksperta skarbowego i kierownika działu. W załączniku "Adnotacji" trzykrotnie wskazano, że prowadzona jest wobec skarżącej kontrola skarbowa, oraz podano jej PESEL.
Prezes UODO w piśmie z dnia [...] grudnia 2021 r. zwrócił się do DIAS w W. o złożenie wyjaśnień. DIAS w W. w odpowiedzi z dnia [...] grudnia 2021 r. poinformował, że IAS w W. przetwarza dane osobowe skarżącej w zakresie imienia, nazwiska, numeru PESEL oraz informacji o prowadzonej kontroli celno-skarbowej na podstawie art. 6 ust. 1 lit. c RODO oraz art. 47b ustawy z dnia 16 listopada 2016 r. o Krajowej Administracji Skarbowej (Dz.U. 2021 poz. 422). Przetwarzanie danych osobowych odbywa się w szczególności w celach określonych w art. 2 ustawy o KAS. Ponadto poinformował, że dane osobowe skarżącej zostały udostępnione ORA przy piśmie z dnia [...] czerwca 2021 r. w sposób nieuprawniony. Dyrektor IAS wskazał, że [...].10.2021 r., po przeprowadzeniu postępowania wyjaśniającego administrator danych stwierdził naruszenie ochrony danych osobowych w rozumieniu RODO oraz pismem nr [...] (zgłoszenie wstępne) powiadomił Prezesa UODO. W dniu [...].10.2021 r. zostało wysłane zawiadomienie do skarżącej o naruszeniu jej danych osobowych. W tym samym dniu Prezes UODO pismem nr [...] zwrócił się do DIAS w W. o wyjaśnienia w przedmiotowej sprawie dotyczące przeszkolenia pracowników komórki organizacyjnej, w której doszło do naruszenia oraz terminu zawiadomienia osoby, której dane dotyczą. Wyjaśnienia zostały udzielone w dniu [...].10.2021 r. pismem nr [...]. Tego samego dnia do Prezesa UODO zostało wysłane zgłoszenie uzupełniające. W dniu [...].10.2021 r. do lAS w W. wpłynęło pismo Prezesa UODO z [...].10.2021 r. informujące o prawidłowości działań podjętych przez Dyrektora Izby. Nadmiarowe dane Skarżącej zostały przesłane do jednostki samorządu zawodowego, od którego administrator mógł oczekiwać, że nie podejmie on żadnych dalszych działań w kwestii tych danych oraz że niezwłocznie zwróci dane do administratora i będzie współpracować przy ich odzyskaniu. Powyższe podejście ORA mogłoby zostać uwzględnione w procesie oceny skutków naruszenia jako czynnik je minimalizujący. Jednakże w przedmiotowej sytuacji Okręgowa Rada Adwokacka nie tylko nie zwróciła nadmiarowych danych i nie poinformowała administratora o ich otrzymaniu, lecz także przekazała je skarżącej. Sama informacja o prowadzeniu kontroli celno-skarbowej wobec skarżącej nie świadczy o tym, że osoba wobec której toczy się kontrola nie stosuje się do przepisów obowiązującego prawa. Taka informacja pokazuje jedynie, że działania skarżącej związane z rozliczeniami podatkowymi są przedmiotem sprawdzenia i w żaden sposób nie przesądza o tym, że skarżąca dopuściła się nieprawidłowości w tych rozliczeniach, w związku z czym nie może być postrzegana jako celowe poniżenie i ośmieszenie skarżącej.
Prezes UODO decyzją nr [...] z dnia [...] marca2023 r., na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2022 r. poz. 2000 ze zm.) w zw. z art. 7 ust. 1 i ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 6 ust. 1 oraz art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej RODO, po przeprowadzeniu postępowania administracyjnego w sprawie skargi A. R., na nieprawidłowości w procesie przetwarzania jej danych osobowych, polegające na udostępnieniu przez Naczelnika [...] Urzędu Celno-Skarbowego w W. danych osobowych skarżącej w postaci imienia, nazwiska, numeru PESEL oraz informacji o prowadzonej przeciwko niej kontroli celno-skarbowej na rzecz Okręgowej Rady Adwokackiej w K. udzielił upomnienia Dyrektorowi Izby Administracji Skarbowej w W. z siedzibą w W. za naruszenie art. 6 ust. 1 RODO polegające na udostępnieniu przez Naczelnika [...] Urzędu Celno-Skarbowego w W. danych osobowych skarżącej w postaci imienia, nazwiska, numeru PESEL oraz informacji o prowadzonej przeciwko niej kontroli celno-skarbowej na rzecz Okręgowej Rady Adwokackiej w K., bez podstawy prawnej.
Prezes UODO w wyniku przeprowadzonego postępowania administracyjnego ustalił następujący stan faktyczny: 1. Dyrektor lAS przetwarza dane osobowe skarżącej w postaci imienia, nazwiska, numeru PESEL oraz informacji o prowadzonej kontroli celno-skarbowej w związku z prowadzoną przez [...] Urząd Celno-Skarbowy kontrolą celno-skarbową wobec skarżącej. Organ realizuje w ten sposób zadania wskazane w art. 2 ustawy z dnia 16 listopada 2016 r. o Krajowej Administracji Skarbowej (Dz. U. z 2021 r. poz. 422 ze zm.) (dowód: wyjaśnienia Dyrektora lAS z dnia [...] grudnia 2021 r. - karta nr 40 akt sprawy). 2. W piśmie z dnia [...] czerwca 2021 r. o numerze [...], skierowanym przez [...] Urząd Celno-Skarbowy do Okręgowej Rady Adwokackiej w K., Naczelnik [...] Urzędu Celno-Skarbowego złożył zawiadomienie dotyczące naruszenia przez siostrę skarżącej adwokat E. R. zasad etyki adwokackiej w stosunku do pracowników [...] Urzędu Celno-Skarbowego. Do ww. pisma załączono również adnotację z dnia [...] czerwca 2021 r. sporządzoną przez A. Z.- eksperta skarbowego w związku z kontrolą celno-skarbową nr [...], która zawierała w swej treści dane osobowe skarżącej w postaci imienia, nazwiska, numeru PESEL oraz informacji o prowadzonej przeciwko niej kontroli celno-skarbowej (dowód: pismo [...] Urzędu Celno-Skarbowego - karta 12-14 akt sprawy). 3. Dyrektor lAS wskazał, że do udostępnienia ww. danych osobowych skarżącej doszło w sposób nieuprawniony, zaś o samym naruszeniu poinformował Prezesa UODO pismem z dnia [...] października 2021 r. oraz skarżącą pismem z dnia [...] października 2021 r. (dowód: wyjaśnienia Dyrektora lAS z dnia [...] grudnia 2021 r. - karta nr 40 akt sprawy).
Prezes UODO po przeanalizowaniu materiału dowodowego stwierdził, że w przedmiotowej sprawie administratorem danych osobowych skarżącej (jej imienia, nazwiska, numeru PESEL oraz informacji o prowadzonej kontroli celnoskarbowej przez Naczelnika [...] Urzędu Celno-Skarbowego na rzecz ORA) przetwarzanych w związku z prowadzoną wobec niej kontrolą celno-skarbową jest Dyrektor lAS. Wynika to z treści art. 232 ustawy z dnia 16 listopada 2016 r. Przepisy wprowadzające ustawę o Krajowej Administracji Skarbowej (Dz. U. z 2016 r. poz. 1948), stanowiącego, że dyrektor izby administracji skarbowej staje się administratorem danych osobowych, których administratorem był dyrektor izby skarbowej, naczelnik urzędu skarbowego, dyrektor izby celnej, naczelnik urzędu celnego lub dyrektor urzędu kontroli skarbowej. Administrator jest uprawniony do przetwarzania danych osobowych w przypadku, gdy m.in. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO). W świetle art. 5 ust. 1 lit. a RODO, dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ("zgodność z prawem, rzetelność i przejrzystość"). Zgodnie z art. 47b ustawy z dnia 16 listopada 2016 r. o Krajowej Administracji Skarbowej (Dz. U. z 2022 r. poz. 813 ze zm.), organy KAS przetwarzają dane osobowe, w tym w CRDP, w celach realizacji zadań lub obowiązków określonych w ustawie, przez okres niezbędny do osiągnięcia tych celów. Stosownie zaś do art. 2 ustawy o KAS, do zadań KAS należy m.in. rozpoznawanie, wykrywanie i zwalczanie przestępstw skarbowych i wykroczeń skarbowych, zapobieganie tym przestępstwom i wykroczeniom oraz ściganie ich sprawców.
Prezes UODO mając na uwadze całokształt okoliczności faktycznych i prawnych niniejszej sprawy stwierdził, że udostępnienie przez [...] Urząd Celno-Skarbowy w W. danych osobowych skarżącej w postaci imienia, nazwiska, numeru PESEL oraz informacji o prowadzonej przeciwko niej kontroli celno-skarbowej na rzecz ORA w K. nie znajdowało oparcia w żadnej z przesłanek wymienionych w art. 6 ust. 1 RODO i tym samym nastąpiło bez podstawy prawnej.
Postępowanie administracyjne prowadzone przez Prezesa UODO służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej na podstawie art. 58 ust. 2 RODO. Prezes UODO w sytuacji stwierdzenia naruszenia przepisów o ochronie danych osobowych podejmuje działania odpowiednio do wagi konkretnego naruszenia, korzystając z uprawnień, jakie mu przysługują na podstawie RODO. Organ podkreślił, że udostępnienie danych jest procesem nieodwracalnym, dlatego - mimo stwierdzenia, że udostępnienie nastąpiło bez podstawy prawnej - nie jest możliwe przywrócenie w tej sprawie stanu zgodnego z prawem sprzed tego udostępnienia. Kwestionowane udostępnienie danych skarżącej Okręgowej Radzie Adwokackiej w K. miało charakter jednorazowy.
Mając na względzie całokształt okoliczności faktycznych i prawnych niniejszej sprawy w tym przede wszystkim wagę stwierdzonego naruszenia, jak i jego charakter, Prezes UODO skorzystał z instrumentu o charakterze naprawczym, o którym mowa w art. 58 ust. 2 lit. b RODO i udzielił Dyrektorowi lAS upomnienia w związku z zaistniałą sytuacją. W ocenie Prezesa UODO zastosowanie w niniejszej sprawie tego instrumentu prawnego było adekwatne do stwierdzonego naruszenia.
Prezes UODO wskazał ponadto w odniesieniu do pozostałych żądań skarżącej, że decyzja o nałożeniu administracyjnej kary pieniężnej należy wyłącznie do kompetencji Prezesa UODO i nie jest podejmowana na wniosek, w zakresie kompetencji Prezesa UODO mieści się przeprowadzanie kontroli przestrzegania przepisów o ochronie danych osobowych (art. 78 ust. 1 u.o.d.o.), jednak organ nie podejmuje tego rodzaju działań na wniosek osoby składającej skargę. W razie zaś wszczęcia takiego postępowania osobie zawiadamiającej o potencjalnych naruszeniach nie przysługuje status strony postępowania; Prezes UODO nie ma kompetencji do orzekania w sprawach z zakresu ochrony dóbr osobistych (np. ochrony dobrego imienia jako dobra osobistego). Roszczenia z tytułu naruszenia dóbr osobistych mają charakter cywilny, zatem można ich dochodzić w drodze powództwa cywilnego przed właściwym miejscowo sądem powszechnym.
Skarżąca w skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie na decyzję Prezesa UODO z dnia [...] marca2023 r. nr [...] zarzuciła naruszenie przepisów RODO poprzez:
- brak zastosowania przepisu art. 5 ust. 1 lit. f oraz art. 5 ust. 2 w zw. z art. 24 ust. 1 RODO czego skutkiem jest całkowite pominięcie przez Prezesa UODO, iż dane osobowe skarżącej oraz informacje na jej temat pozwalające na jej identyfikację są niewłaściwie zabezpieczone, czego skutkiem jest dowolne ich rozpowszechnianie, przetwarzanie bez jej zgody do osób trzecich, które nie są uprawnione do ich posiadania, w sytuacji, gdy organ jako administrator danych osobowych jest zobowiązany do dołożenia wszelkich starań, by zapewnić odpowiednie bezpieczeństwo przetwarzanych przez niego danych osobowych, w taki sposób, aby te dane nie były przetwarzane wbrew przepisom RODO, ustawy ordynacja podatkowa oraz ustawy o KAS. Wskazała, że skutkiem jest dalsze niezgodne z prawem przetwarzanie danych osobowych skarżącej i ich rozpowszechniane na terenie całej Polski przez organ. Zarzuciła zaniechanie przeprowadzenia przez Prezesa czynności kontrolnych, których celem byłby przeprowadzenie zabezpieczenia danych osobowych skarżącej i procedury naprawczej;
- brak zastosowania art. 17 ust. 1 pkt d oraz ust. 2 RODO i tym samym zaniechanie nakazania usunięcia danych osobowych skarżącej oraz usunięcia udostępnionych danych osobowych skarżącej, które zostały przetworzone niezgodnie z prawem, usunięcia wszelkich pism skierowanych przez organ do ORA, usunięcia danych przez ORA i kopii tych danych. Zarzuciła, że brak podjęcia stosownych działań przez Prezesa UODO i nakazania usunięci danych skutkuje tym, iż dane te zostały rozpowszechnione;
- art. 28 ust. 1 RODO poprzez brak zastosowania. Wskazała, że gdy przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą i zaniechanie kontroli zabezpieczenia danych;
- art. 30 poprzez brak zastosowania, podczas, gdy administrator ma obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, za które odpowiada;
- art. 33 poprzez brak zastosowania, podczas, gdy administrator jest zobowiązany do poinformowania bez zbędnej zwłoki organ nadzorczy o naruszeniu danych osobowych, podczas, gdy administrator zaniechał niezwłocznego poinformowania o naruszeniu przepisów RODO, skutkujących naruszeniem praw i wolności obywatelskich oraz administrator nie poinformował organ nadzorczy o dalszych naruszeniach przepisów RODO, a w szczególności o rozpowszechnianiu danych przez organ w prasie na terenie Polski;
- art. 82 poprzez brak zastosowania, podczas, gdy z przepisu tego wynika, iż każdy ma prawo do uzyskania odszkodowania za szkodę majątkową i niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. W przedmiotowym przepisie brak wskazania, iż pokrzywdzony działaniem organu może domagać się zasądzenia zadośćuczynienia wyłącznie na drodze postępowania cywilnego. Przepisy wyraźnie wskazują, iż w takiej sytuacji stosuje się odpowiednio przepisy kodeksu cywilnego, ale nie wskazują, iż zadośćuczynienie może przyznać jedynie Sąd w postępowaniu cywilnym;
- art. 83 poprzez brak zastosowania, podczas, gdy z tego przepisu wyraźnie wynika, iż należy stosować kary pieniężne tak, aby były one skuteczne, proporcjonalne i odstraszające. Prezes zaniechał nałożenia na organ kary pieniężnej uznając, iż upomnienie jest na tyle odstraszające dla organu, iż zaniecha naruszania przepisów RODO, co skutkuje tym, iż organ zignorował decyzję Prezesa jako mało odstraszającą i mało skuteczną i następnie rozpowszechnił dane i informacje prasie na terenie całej Polski;
- art. 78 ustawy o ochronie danych osobowych poprzez niewłaściwą interpretację i zaniechanie przeprowadzenia z urzędu kontroli przestrzegania przepisów RODO przez organ, co skutkuje tym, iż organ nadal narusza przepisy RODO i danych osobowych nie zabezpiecza;
- naruszenie przepisów k.p.a. przez Prezesa poprzez brak wyczerpującego zebrania materiału dowodowego istniejącego w niniejszej sprawie, a w szczególności poprzez zaniechanie przesłuchania świadków.
Skarżąca wniosła o zmianę zaskarżonej decyzji poprzez: nałożenie na Urząd Celno-Skarbowy w W. kary administracyjnej w wysokości 1000 000 zł (jeden milion złotych); nałożenie na Naczelnika [...] Urzędu Celno-Skarbowego w W. kary administracyjnej w wysokości 1000 000 zł (jeden milion złotych); zobowiązanie organu tj. [...] Urzędu Celno-Skarbowego w W., Naczelnika Urzędu Celno-Skarbowego w W., wymienionych w skardze pracowników urzędu celno-skarbowego w W. do podania do publicznej wiadomości na swojej stronie internetowej, stronie podmiotowej w Biuletynie Informacji Publicznej informacji o działaniach podjętych w celu wykonania decyzji stwierdzającej naruszenie przepisów prawa o ochronie danych osobowych; wszczęcie postępowania kontrolnego przestrzegania przepisów o ochronie danych osobowych przez [...] Urząd Celno-Skarbowy, Naczelnika Urzędu Celno-Skarbowego w W., pracowników Urzędu Celno-Skarbowego w W. i wydanie decyzji stwierdzającej naruszenie przez Urząd Celno-Skarbowy w W., Naczelnika Urzędu Celno-Skarbowego w W., pracowników Urzędu Celno-Skarbowego w W. przepisów o ochronie danych osobowych i niezgodnym z prawem przetwarzaniu danych osobowych skarżącej; zobowiązanie Urzędu Celno-Skarbowego w W., Naczelnika Urzędu Celno-Skarbowego w W. do zapłaty na rzecz skarżącej kwoty 1000000 (jeden milion złotych) wraz z ustawowymi odsetkami za opóźnienie od dnia wniesienia skargi do dnia zapłaty tytułem poniesienia przez skarżącą poważnej szkody niemajątkowej w postaci naruszenia prawa do prywatności i nieinformowania nieznanych jej osób o prowadzonych wobec niej postępowaniach, sprawach; uzyskanie danych osobowych skarżącej oraz danych prowadzonego postępowania przez osoby trzecie, pozbawienie możliwości decydowania o sobie i poprzez udostępnienie danych zmuszenie skarżącej do występowania przed ORA i ujawniania informacji o sobie wbrew jej woli, poniżenie skarżącej w opinii publicznej poprzez wskazywanie, iż prowadzone są wobec niej postępowania, a tym samym sugerowanie, że ma jakieś problemy podatkowe, mimo, iż skarżąca zawsze postępuje zgodnie z przepisami obowiązującego prawa, podważanie zaufania do członków rodziny skarżącej i naruszanie dobrego imienia siostry skarżącej, naruszanie dobrego imienia skarżącej. Wniosła o nakazanie Urzędowi Celno-Skarbowemu w W., Naczelnikowi Urzędu Celno-Skarbowego w W., pracownikom Urzędu Celno-Skarbowego w W. usunięcia wszelkich danych osobowych skarżącej z uwagi na fakt, iż dane te były przetwarzane niezgodnie z prawem oraz wszelkich informacji o prowadzonych sprawach, których charakter jest fikcyjny ewentualnie o uchylenie zaskarżonej decyzji w całości i przekazanie sprawy do ponownego rozpoznania oraz zasądzenie kosztów, w tym kosztów zastępstwa adwokackiego, według norm prawem przepisanych na rzecz skarżącej.
W uzasadnieniu skarżąca podniosła m.in., że działanie organu nie jest działaniem jednorazowym, albowiem organ od trzech lat w sposób niezgodny z prawem przetwarza dane osobowe skarżącej. Gdyby Prezes UODO przeprowadził postępowanie dowodowe oraz stosowną kontrolę wówczas z pewnością zauważyłby sposób działania organu. Wskazała, że działanie podjęte przez Prezesa UODO jest nieadekwatne do stopnia dokonanego naruszenia. Skarżąca wskazała, że Prezes stwierdzając naruszenie przez organ art. 6 ust. 1 RODO, zaniechał wskazania, iż w niniejszej spawie doszło także do naruszenia art. 5, art. 5 ust. 1 lit. f i ust. 2 RODO i art. 24 ust. 1 RODO, co powinno być podstawą do zastosowania przepisu art. 58 RODO. Prezes nie ustalił w jaki sposób zostały zabezpieczone dane osobowe skarżącej.
Prezes UODO w odpowiedzi na skargę wniósł o jej oddalenie podtrzymując dotychczasowe stanowisko, odniósł się do zarzutów skargi. Wskazał m.in., że przepisy art. 5 ust. 1 lit. f oraz art. 5 ust. 2 w zw. z art. 24 ust. 1 oraz art. 30 RODO dotyczą środków technicznych i organizacyjnych stosowanych w celu zabezpieczenia danych osobowych. Kwestie zabezpieczeń i ogólnych praktyk administratora danych związanych ze stosowaniem tych zabezpieczeń, a także adekwatność i skuteczność tych zabezpieczeń mogą być wyłącznie przedmiotem postępowania prowadzonego przez Prezesa UODO z urzędu. Zaznaczył, że przedmiotem postępowania nie była kwestia dopuszczalności przechowywania przez Dyrektora lAS i Okręgową Radę Adwokacką w K. danych osobowych skarżącej w treści korespondencji prowadzonej pomiędzy tymi podmiotami. Postępowanie nie dotyczyło również przekazania danych osobowych podmiotowi przetwarzającemu w rozumieniu art. 4 pkt 8 RODO. Prezes UODO podniósł, że skarżąca wniosła do Prezesa UODO również inne skargi dotyczące bezpodstawnego udostępnienia jej danych osobowych, ale w ich sprawie prowadzone są odrębne postępowania administracyjne.
Skarżąca w piśmie z dnia 23 sierpnia 2023 r. wniosła o przeprowadzenie dowodu z zeznań D. R. złożonych we wskazanej w piśmie sprawie na okoliczność, że "Urząd żadnych przepisów nie przestrzega (...)", "jednej kartki od Prokuratora, w których przedstawia zeznania R., na fakt, iż R. zeznaje, że wie co przed organem twierdzi skarżąca", wskazała, że w załączeniu kolejne skargi na fakt "iż w urzędzie nie przestrzega się przepisów o RODO", wniosła też o przeprowadzenie dowodów ze wskazanych w tym piśmie stron internetowych na fakt, że pracownicy Urzędu rozpowszechniają "wszelkie informacje co się w tym Urzędzie dzieje", na "okoliczność niezgodnego z prawem przetwarzania informacji z akt postępowania, umożliwiających identyfikację skarżącej, przetwarzania jej danych osobowych", skarżąca powołała się na zeznania D. R..
Reprezentujący skarżącą adwokat, na rozprawie przed Wojewódzkim Sądem Administracyjnym w Warszawie, wniósł nadto o przeprowadzenie dowodu z akt sprawy [...], zawisłej w Sądzie Rejonowym dla [...] [...] Wydział Karny, w tym z pisma D. R. - wpłynęło do Sądu Rejonowego dla [...] dnia [...] stycznia 2024 r. (zostało doręczone skarżącej w lutym bieżącego roku) na okoliczność, że Naczelnik [...] Urzędu Celno-Skarbowego udostępnia dane skarżącej osobom trzecim (Pani D. R. oraz Pani M. D.) oraz udziela informacji o tym co znajduje się w aktach prowadzonej sprawy i czego ona dotyczy oraz na okoliczność, że zastosowana kara upomnienia przez Prezesa UODO nie odniosła żadnego pożądanego skutku, bowiem dane osobowe po udzieleniu upomnienia są nadal przetwarzane, co potwierdza zasadność podważenia kary i zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie na rozprawie w dniu 6 marca 2024 r. na podstawie art. 106 § 3 ustawy – Prawo o postępowaniu przed sądami administracyjnymi nie uwzględnił wniosków o przeprowadzenie dowodów uzupełniających w sprawie. Zgodnie z powołanym przepisem, sąd może z urzędu lub na wniosek stron przeprowadzić dowody uzupełniające z dokumentów, jeżeli jest to niezbędne do wyjaśnienia istotnych wątpliwości i nie spowoduje nadmiernego przedłużenia postępowania w sprawie. Sąd administracyjny nie ma w świetle powyższego podstaw do przeprowadzenia dowodów uzupełniających z zeznań świadków, czy adresów stron internetowych. W sprawie nie było też konieczności przeprowadzania żadnych innych dowodów wnioskowanych przez skarżącą i pełnomocnika. W sprawie tej nie zaistniały bowiem istotne wątpliwości, których wyjaśnienie wymagałoby przeprowadzenia dowodu uzupełniającego.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (t.j. Dz. U. z 2022 r., poz. 2492), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.
W świetle powołanych przepisów, Wojewódzki Sąd Administracyjny w Warszawie, w zakresie swojej właściwości, ocenia zaskarżoną decyzję administracyjną, postanowienie, czy też inny akt lub czynność z zakresu administracji publicznej dotyczącą uprawnień lub obowiązków wynikających z przepisów prawa, z punktu widzenia ich zgodności z prawem materialnym i przepisami postępowania administracyjnego, według stanu faktycznego i prawnego obowiązującego w dacie wydania tego aktu lub podjęcia spornej czynności. Chodzi więc o kontrolę aktów lub czynności z zakresu administracji publicznej dokonywaną wyłącznie pod względem ich zgodności z prawem materialnym i przepisami procesowymi, nie zaś według kryteriów słuszności, czy też zgodności z zasadami współżycia społecznego.
Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną (art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi Dz. U. z 2023 r., poz. 1634 ze zm.), zwanej dalej P.p.s.a.
W sprawie tej Sąd dokonując oceny legalności zaskarżonej decyzji Prezesa UODO, zobowiązany był – co do zasady – zbadać jej zgodność przede wszystkim z przepisami prawa europejskiego, w tym w szczególności z regulacjami RODO.
W ocenie Sądu, analizowana pod tym kątem skarga nie zasługuje na uwzględnienie, albowiem zaskarżona decyzja Prezesa UODO z dnia [...] marca2023 r. – nie narusza obowiązujących przepisów prawa. Sąd uznał, że Prezes UODO, wydając zaskarżoną decyzję nie dopuścił się naruszenia zarówno wiążących Polskę przepisów prawa europejskiego, jak i regulacji prawa krajowego, w tym k.p.a., w stopniu mającym istotny wpływ na końcowy wynik sprawy zakończonej wydaniem zaskarżonej decyzji.
Prezes Urzędu Ochrony Danych Osobowych jest organem właściwym w sprawie ochrony danych osobowych (art. 34 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych) i jednocześnie organem nadzorczym, w rozumieniu RODO (art. 34 ust. 2 u.o.d.o.).
Jak stanowi art. 57 ust. 1 lit. a i lit. f RODO, bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia, a także rozpatruje skargi wniesione przez osobę, której dane dotyczą.
W wyniku przeprowadzonej analizy stanowiska Prezesa UODO przedstawionego w uzasadnieniu zaskarżonej decyzji, Sąd stwierdził, że - wbrew zarzutom skargi – organ ochrony danych osobowych, wydając zaskarżoną decyzję, nie dopuścił się - mogącego mieć wpływ na wynik sprawy - naruszenia przepisów procedury administracyjnej, a w szczególności art. 7 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a., a także art. 107 § 3 k.p.a., albowiem wyjaśnił wszystkie okoliczności istotne dla prawidłowego i pełnego rozstrzygnięcia niniejszej sprawy, w granicach prowadzonego postępowania, wyznaczonych skargą skarżącej. Prezes UODO dokonał także zdaniem Sądu właściwej oceny zebranego w sprawie materiału dowodowego, dokonując tej oceny w kontekście prawidłowo zastosowanych przepisów RODO.
W działaniach Prezesa Urzędu Ochrony Danych Osobowych, jako organu administracji publicznej, w tej sprawie Sąd nie stwierdził jakichkolwiek istotnych nieprawidłowości, zarówno w zakresie dokonanych ustaleń stanu faktycznego, jak i zastosowania do jego oceny przepisów prawa materialnego. Uzasadnienie zaskarżonej decyzji odpowiada wymogom art. 107 § 3 k.p.a., Prezes UODO wyjaśnił klarownie motywy podjętego rozstrzygnięcia i powody, jakie legły u jego podstaw. Argumentacja organu jest w tym zakresie wyczerpująca i wyjaśnia stronie dlaczego nie było podstaw do podjęcia innych działań. Zarówno RODO, jak i ustawa o ochronie danych osobowych nie regulują kwestii postępowania dowodowego i powinności organu nadzorczego związanych z czynieniem ustaleń faktycznych. W związku z tym zastosowanie w tym zakresie znajdują reguły i zasady określone w k.p.a. Dowodami w postępowaniu mogą być w szczególności dokumenty oraz zeznania świadków, ale także opinie biegłych, czy też oględziny (art. 75 § 1 k.p.a.). Podkreślenia w świetle powyższego wymaga, że celem postępowania administracyjnego jest rozstrzygnięcie sprawy administracyjnej dotyczącej konkretnej osoby (podmiotu danych). Jednym ze stadiów postępowania jest stadium wyjaśniające - pozwalające ustalić dokładny stan faktyczny w danej sprawie. W wyniku postępowania wyjaśniającego organ administracji publicznej ma dojść do wskazanej w art. 7 k.p.a. prawdy obiektywnej, co czyni za pomocą środków dowodowych. W ocenie Sądu zastosowane przez Prezesa UODO w tej sprawie postępowanie wyjaśniające było wystarczającym środkiem do dokonania niezbędnych ustaleń faktycznych. Prezes UODO, przeprowadzając postępowanie wyjaśniające, uzyskał stosowne wyjaśnienia od Dyrektora IAS, które potwierdziły, że nastąpiło nieuprawnione udostępnienie danych osobowych skarżącej (wyjaśnienia Dyrektora IAS w W. z dnia [...] grudnia 2021 r., karta 40 akt administracyjnych). Nie było w związku z tym konieczności przeprowadzania w postępowaniu administracyjnym dodatkowych dowodów wnioskowanych przez skarżącą w skardze do Prezesa UODO, w tym przesłuchiwania świadków.
Podkreślenia wymaga, że istotą skargi skierowanej przez skarżącą do Prezesa UODO [...] listopada 2021 r. była kwestia oceny zgodności z prawem przekazania danych osobowych skarżącej Okręgowej Radzie Adwokackiej w K.. Żadne inne kwestie nie były przedmiotem oceny i rozstrzygania w niniejszej sprawie przez organ powołany do spraw ochrony danych osobowych. Podnoszone w skardze do Sądu kwestie rozpowszechniania danych skarżącej "na terenie całej Polski", na którą to okoliczność skarżąca żądała przeprowadzenia m.in. dowodów ze stron internetowych, wykraczają poza granice niniejszej sprawy.
Prezes UODO w niniejszym postępowaniu, dotyczącym oceny zgodności z prawem udostępnienia danych osobowych skarżącej przez Naczelnika [...] Urzędu Celno-Skarbowego na rzecz ORA w K., przeprowadził wyczerpujące i wystarczające do dokonania niezbędnych ustaleń postepowanie wyjaśniające, ustalił w sposób jednoznaczny stan faktyczny sprawy (art. 7 k.p.a.). W sprawie jest bezsporne, że Dyrektor Izby Administracji Skarbowej jako administrator przetwarza dane osobowe skarżącej w postaci imienia, nazwiska, numeru PESEL oraz informacji o prowadzonej kontroli celno-skarbowej w związku z prowadzoną przez [...] Urząd Celno-Skarbowy kontrolą celno-skarbową wobec skarżącej. Organ realizuje w ten sposób zadania określone w art. 2 ustawy z dnia 16 listopada 2016 r. o Krajowej Administracji Skarbowej (Dz. U. z 2021 r. poz. 422 ze zm.). W sprawie nie ma wątpliwości i zostało to jednoznacznie ustalone przez Prezesa UODO w toku postępowania, że nastąpiło udostępnienie przez [...] Urząd Celno-Skarbowy w W. (przy piśmie z dnia [...] czerwca 2021 r.) danych osobowych skarżącej w postaci imienia, nazwiska, numeru PESEL oraz informacji o prowadzonej przeciwko niej kontroli celno-skarbowej na rzecz ORA w K. (karta 12-14 akt administracyjnych). Udostępnienie to nastąpiło w związku ze skierowanym przez Naczelnika do ORA w K. zawiadomieniem dotyczącym naruszenia przez siostrę skarżącej zasad etyki zawodowej (do pisma załączona była "adnotacja" zawierająca wymienione wyżej dane osobowe skarżącej). W sprawie nie ma przy tym wątpliwości, że Dyrektor IAS realizujący zadania wskazane w ustawie o KAS, w związku z prowadzoną kontrolą celno-skarbową, jest administratorem danych osobowych skarżącej. Zgodnie z art. 4 pkt 1 RODO, dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Nie ma zatem wątpliwości, że gdy mowa o udostępnieniu na rzecz ORA imienia, nazwiska, numeru PESEL i informacji o prowadzonej kontroli celno-skarbowej wobec skarżącej, mamy do czynienia z przetwarzaniem danych osobowych skarżącej. Jednocześnie wskazania wymaga, że zgodnie z art. 4 pkt 2 RODO, przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Zatem, ujawnienie danych osobowych skarżącej ORA w K., które było kwestionowane przez skarżącą w postępowaniu przed Prezesem UODO i wyznaczało tym samym granice sprawy, stanowi przetwarzanie danych osobowych w rozumieniu RODO. Zdaniem Sądu, organ nadzorczy nie dopuścił się w niniejszej sprawie naruszenia przepisów prawa materialnego.
Istota niniejszej sprawy sprowadzała się do oceny organu, czy zgodne z prawem było udostępnienie ORA w K. danych osobowych skarżacej w zakresie imienia, nazwiska, numeru PESEL oraz informacji o prowadzonej przeciwko niej kontroli celno-skarbowej. Dyrektor IAS przyznał w wyjaśnieniach do Prezesa UODO, że – biorąc pod uwagę cele określone w art. 2 ustawy o KAS – udostępnienie tych danych skarżącej nastąpiło w sposób nieuprawniony. Takie też stanowisko w sprawie zajął Prezes UODO. Jednoznacznie stwierdził bowiem w uzasadnieniu decyzji, że Dyrektor IAS nie wskazał ani celu ani podstawy prawnej udostępnienia danych osobowych skarżącej na rzecz ORA w K.. Prezes UODO wprost wskazał, że udostępnienie to nie znajdowało oparcia w żadnej z przesłanek wymienionych w art. 6 ust. 1 RODO i tym samym nastąpiło bez podstawy prawnej. To ustalenie Prezesa UODO jest zdaniem Sądu prawidłowe i zasadnie stanowiło – w okolicznościach stanu faktycznego tej sprawy – podstawę do udzielenia upomnienia Dyrektorowi IAS w W.. Sąd podziela ustalenie, że w sprawie – dla dokonanego udostępnienia – nie została spełniona żadna z przesłanek legalności przetwarzania danych osobowych wymieniona w art. 6 ust. 1 RODO.
Zgodnie z art. 6 ust. 1 RODO, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
Bezsporne jest, że w sprawie nie została spełniona w szczególności przesłanka z art. 6 ust. 1 lit. e RODO, a zatem przetwarzanie, o którym mowa w sprawie, nie było niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Zgodnie z art. 47b ustawy o KAS organy KAS przetwarzają dane osobowe, w tym w CRDP, w celach realizacji zadań lub obowiązków określonych w ustawie, przez okres niezbędny do osiągnięcia tych celów. Stosownie zaś do art. 2 ustawy o KAS, do zadań KAS należy m.in. rozpoznawanie, wykrywanie i zwalczanie przestępstw skarbowych i wykroczeń skarbowych, zapobieganie tym przestępstwom i wykroczeniom oraz ściganie ich sprawców. Zatem, udostępnienie danych osobowych skarżącej w zakresie wskazanym w decyzji na rzecz ORA w K. bezspornie wykracza poza przewidziane prawem zadania realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (w związku z prowadzoną kontrolą celno-skarbową). Prezes UODO zasadnie w uzasadnieniu podniósł przy tym, że także art. 5 ust. 1 lit.a RODO wskazuje, że dane osobowe muszą być przetwarzane m.in. zgodnie z prawem, a zatem nie mogą być udostępniane, gdy brak jest spełnienia przesłanki z art. 6 ust. 1 RODO. Udostępnienie danych osobowych skarżącej przez organ KAS na rzecz ORA w K. nie pozostawało w związku z realizacją zadań określonych w ustawie o KAS, a zatem naruszało art. 6 ust. 1 RODO. Prawidłowo Prezes UODO stwierdził powyższe w zaskarżonej decyzji.
Skarżąca zarzuca w skardze naruszenie art. 5 ust. 1 lit. f RODO w zw. z art. 5 ust. 2 w zw. z art. 24 ust. 1 RODO poprzez brak zastosowania ich w sprawie. Zgodnie z art. 5 ust. 1 lit.f RODO, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność"). Art.. 5 ust. 2 RODO stanowi, że administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie ("rozliczalność"). Stosownie do art. 24 ust. 1 RODO, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
Zarzuty te na gruncie tej sprawy nie mogły odnieść zamierzonego skutku, albowiem przedmiotem sprawy nie była kwestia oceny stosowanych przez organ KAS środków technicznych lub organizacyjnych. Trafnie wskazał przy tym Prezes UODO, że w tym zakresie postępowanie prowadzi wyłącznie z urzędu. Zarzut skargi dotyczy obowiązków ogólnych administratora ujętych w sekcji 1 rozdziału IV "Administrator i podmiot przetwarzający". Sprawy dotyczące zabezpieczenia danych osobowych mogą być przedmiotem postępowania prowadzonego z urzędu (v. wyrok WSA w Warszawie z dnia 7 stycznia 2016 r. sygn. akt II SA/Wa 1238/15).
Podnoszone w skardze zarzuty dotyczące całościowego sposobu działania organu KAS, czy pracowników organu KAS, nie były przedmiotem niniejszej sprawy. W prawidłowo ustalonym i bezspornym stanie faktycznym tej sprawy nie są zasadne wskazane wyżej zarzuty skargi, jak też zarzuty naruszenia pozostałych wskazanych w skardze przepisów RODO, w tym art. 17 ust. 1 pkt d i ust. 2 RODO poprzez zaniechanie nakazania usunięcia udostępnionych danych osobowych skarżącej, nakazanie usunięcia wszelkich pism skierowanych do ORA.
Raz jeszcze podkreślenia wymaga, że przedmiotem sprawy przed Prezesem UODO była kwestia oceny zgodności z prawem udostępnienia danych osobowych skarżącej na rzecz ORA w K.. Zarzut skargi do PUODO dotyczył niezgodnego z prawem przetwarzania (udostępnienia) danych osobowych wskazanemu podmiotowi w związku z zawiadomieniem dotyczącym naruszenia przez siostrę skarżącej zasad etyki zawodowej. Dokonując oceny przestrzegania RODO przez organ KAS w tym zakresie Prezes UODO nie mógł wykroczyć poza sprawę i zastosować środki, jakich domaga się skarżąca generalnie wobec wszelkich działań organów KAS i pracowników.
Podkreślenia wymaga nadto, w związku z podnoszonymi zarzutami, że ze skargi do Prezesa UODO nie wynikało, aby skarżąca kwestionował przetwarzanie danych osobowych przez ORA w K. i żądała podjęcia wobec ORA w K. określonych działań. Natomiast w odniesieniu do organu KAS Prezes UODO rozpatrując sprawę co do istoty udzielił Dyrektorowi IAS w W. upomnienia za niezgodne z prawem udostępnienie danych osobowych skarżącej na rzecz ORA w K..
Prezes UODO zasadnie stwierdził w zaskarżonej decyzji, że udostępnienie danych, które kwestionowała skarżąca, jest procesem nieodwracalnym i mimo stwierdzenia, że nastąpiło bez podstawy prawnej, nie jest możliwe przywrócenie stanu zgodnego z prawem, a zatem sprzed tego udostępnienia.
Prezes UODO prawidłowo stwierdził też, że udostępnienie danych osobowych skarżącej na rzecz ORA w K. miało charakter jednorazowy. Wynika to z całości akt sprawy. Twierdzenie skarżącej w skardze, że działanie nie jest jednorazowe, a jest działaniem stałym, albowiem organ KAS "od trzech lat w sposób niezgodny z prawem przetwarza dane osobowe" skarżącej, nie daje podstaw do podważenia ustalenia organu o jednorazowym charakterze udostępnienia danych w niniejszej sprawie.
Okoliczność, że skarżąca co do zasady kwestionuje działania organu KAS, w tym w zakresie przetwarzania jej danych osobowych na potrzeby prowadzonego postępowania celno-skarbowego, nie podważa trafności ustaleń Prezesa UODO w niniejszej sprawie.
W każdej sprawie prowadzonej przez Prezesa UODO ze skargi indywidualnej ocenia on konkretne przetwarzanie danych kwestionowane przez skarżącego, konkretne udostępnienie, a zatem konkretną "operację" prowadzoną przez administratora na danych osobowych. Prawidłowo, w okolicznościach stanu faktycznego tej sprawy, Prezes UODO zastosował upomnienie.
Zgodnie z art. 58 ust. 2 lit. b RODO, każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia naprawcze: udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania.
Zdaniem Sądu zastosowany środek jest adekwatny do stwierdzonego w decyzji naruszenia RODO.
Waga stwierdzonego naruszenia i jego charakter dawały podstawę do zastosowania upomnienia. Zastosowany środek jest adekwatny do uchybienia, organ KAS nie kwestionował, że do naruszenia RODO doszło, sam wskazywał, że udostępnienie danych osobowych skarżącej było nieuprawnione. Z wyjaśnień Dyrektora IAS w W. z dnia [...] grudnia 2021 r. wynika też, że organ KAS zawiadomił skarżącą o naruszeniu RODO w związku z przetwarzaniem jej danych.
Odnosząc się do zarzutu naruszenia art. 83 RODO wskazania wymaga, że nie jest on zasadny. Organ zastosował – w stanie faktycznym tej sprawy - adekwatny środek. Nadto, decyzja o nałożeniu administracyjnej kary pieniężnej należy do organu, nie jest podejmowana na wniosek. Nie jest też zrozumiały zarzut naruszenia art. 28 ust. 1 RODO, albowiem przepis ten dotyczy podmiotu przetwarzającego. Przepis ten nie znajdował zastosowania w niniejszej sprawie. Sprawa nie dotyczyła przekazania danych osobowych podmiotowi przetwarzającemu. Także kwestia prowadzenia rejestru czynności przetwarzania danych osobowych (art. 30 RODO) nie była przedmiotem tej sprawy. Skarżąca zarzuciła też brak zastosowania art. 33 RODO. Z wyjaśnień Dyrektora IAS z dnia [...] grudnia 2021 r. (karta 40 akt administracyjnych) wynika, że w dniu 1.10.2021 r. administrator stwierdził naruszenie ochrony danych i pismem nr [...] powiadomił Prezesa UODO, a w dniu 4.10.2021 wysłał zawiadomienie do skarżącej. Podnoszona w skardze w aspekcie naruszenia tego przepisu okoliczność, że organ KAS nie poinformował organu nadzorczego "o dalszych naruszeniach przepisów RODO, a w szczególności o rozpowszechnianiu danych przez organ w prasie na terenie całej Polski", nie znajduje odniesienia do niniejszej sprawy. Sprawa dotyczyła bowiem udostępnienia ściśle określonych danych skarżącej na rzecz ORA w K..
Prawidło Prezes UODO wyjaśnił też skarżącej w uzasadnieniu zaskarżonej decyzji w odniesieniu do żądania przeprowadzenia kontroli w organie KAS, że w zakresie kompetencji Prezesa UODO mieści się przeprowadzanie kontroli przestrzegania przepisów o ochronie danych osobowych (art. 78 ust. 1 u.o.d.o.), jednak organ nie podejmuje tego rodzaju działań na wniosek osoby składającej skargę. Zarzut naruszenia powołanego przepisu nie jest zasadny. Organ nie jest związany żądaniem przeprowadzenia kontroli, a nadto, w sprawie niniejszej, dla dokonania istotnych ustaleń faktycznych, powyższe nie było niezbędne. Ustalenia faktyczne były bezsporne, wynikały jednoznacznie z twierdzeń skarżącej i wyjaśnień organu KAS. Nadto, trafnie Prezes UODO wyjaśnił skarżącej w decyzji, że w przypadku przeprowadzania kontroli z urzędu, osobie zawiadamiającej o potencjalnych naruszeniach nie przysługuje status strony postępowania.
Nie jest zrozumiały zarzut naruszenia przez Prezesa UODO art. 82 RODO poprzez brak jego zastosowania. Przepis art. 82 ust. 1 RODO stanowi, że każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Stosownie do art. 82 ust. 6 RODO, postępowanie sądowe dotyczące odszkodowania jest wszczynane przed sądem właściwym na mocy prawa państwa członkowskiego, o którym mowa w art. 79 ust. 2. Zgodnie z art. 79 ust. 2 RODO,
postępowanie przeciwko administratorowi lub podmiotowi przetwarzającemu wszczyna się przed sądem państwa członkowskiego, w którym administrator lub podmiot przetwarzający posiadają jednostkę organizacyjną. Ewentualnie postępowanie takie może zostać wszczęte przed sądem państwa członkowskiego, w którym osoba, której dane dotyczą, ma miejsce zwykłego pobytu, chyba że administrator lub podmiot przetwarzający są organami publicznymi państwa członkowskiego wykonującymi swoje uprawnienia publiczne.
Prawidłowo w świetle powyższego Prezes UODO wskazał skarżącej, że nie ma kompetencji do rozstrzygania w sprawach z zakresu ochrony dóbr osobistych, a roszczenia z tytułu naruszenia dóbr osobistych mogą być dochodzone w drodze powództwa cywilnego przed właściwym miejscowo sądem powszechnym.
Sąd stwierdził, że w uzasadnieniu zaskarżonej decyzji Prezesa UODO wyjaśnione zostały w sposób dostatecznie jasny motywy jej podjęcia, zaś przytoczona argumentacja jest wyczerpująca i w pełni odnosi się do kwestionowanego w postępowaniu administracyjnym procesu przetwarzania danych osobowych.
Raz jeszcze odnosząc się do zarzutów skargi Sąd podkreśla, że sprawa zakończona zaskarżoną decyzją dotyczy ściśle określonej "operacji" przetwarzania danych kwestionowanej przez podmiot danych, tj. udostępnienia danych osobowych na rzecz ORA, a nie jakiegokolwiek innego ewentualnego przetwarzania danych osobowych skarżącej. Wszystkie zatem kwestie wykraczające poza to udostępnienie danych, o którym mowa w zaskarżonej decyzji, podnoszone obecnie w skardze do Sądu, nie mogą mieć wpływu na wynik sprawy.
Mając powyższe na uwadze Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2023 r., poz. 1634 ze zm.), orzekł jak w wyroku.