II SA/Wa 1174/22

II SA/Wa 1174/22 - Wyrok WSA w Warszawie
Data orzeczenia
2022-10-17
orzeczenie prawomocne
Data wpływu
2022-07-11
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Arkadiusz Koziarski /sprawozdawca/
Izabela Głowacka-Klimas
Tomasz Szmydt /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2022 poz 2000
art. 61a par. 1
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego - t.j.
Dz.U.UE.L 2016 nr 119 poz 1  art. 57 art. 58
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Tomasz Szmydt, Sędzia WSA Izabela Głowacka–Klimas, Asesor WSA Arkadiusz Koziarski (spr.), po rozpoznaniu w trybie uproszczonym w dniu 17 października 2022 r. sprawy ze skargi R. sp. z o. o. z siedzibą w [...] na postanowienie Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] kwietnia 2022 r. nr [...] w przedmiocie odmowy wszczęcia postępowania oddala skargę
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych, dalej "PUODO", postanowieniem z dnia [...] kwietnia 2022 r. nr [...], wydanym na podstawie art. 61a § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2021 r. poz. 735, z późn. zm.), dalej "k.p.a.", odmówił wszczęcia postępowania w sprawie skargi [...] sp. z o.o. z siedzibą w [...], dalej "Spółka" lub "strona skarżąca", na odmowę udostępnienia przez [...] Sp. z o.o. danych osobowych w zakresie imion, nazwisk oraz adresów IP autorów komentarzy opublikowanych [...] lutego 2022 r. przez osobę działającą pod pseudonimem "[...]" i
[...] marca 2022 r. przez osobę działającą pod pseudonimem "L. S.", zamieszczonych na portalu [...]
W uzasadnieniu organ wyjaśnił, że Spółka wystąpiła ze skargą na odmowę udostępnienia przez [...] Sp. z o.o. danych osobowych w zakresie imion, nazwisk oraz adresów IP autorów komentarzy opublikowanych [...] lutego 2022 r. przez osobę działającą pod pseudonimem "[...]" i [...] marca 2022 r. przez osobę działająca pod pseudonimem "L. S.", zamieszczonych na portalu [...]. W treści skargi Spółka wskazała, że dane te są niezbędne dla zainicjowania postępowań sądowych o ochronę dóbr osobistych, z uwagi na ich naruszenie. W ocenie Spółki kwestionowane komentarze zawierają nieprawdziwe informacje i przedstawiają Spółkę jako podmiot naruszający prawa pracownicze, które to naruszenia nigdy nie miały miejsca, co stanowi pomówienia godzące w dobre imię i renomę Spółki. Spółka podniosła, że zindywidualizowanie autorów kwestionowanych komentarzy stanowi niezbędny warunek dochodzenia roszczenia związanego z zarzucaną bezprawną ingerencją w sferę dóbr osobistych Spółki, natomiast procedura cywilna wymaga, by każde pismo procesowe zawierało m.in. oznaczenie imienia i nazwiska lub nazwę stron oraz oznaczenia miejsca ich zamieszkania lub siedziby oraz wskazanie ich przedstawicieli, co wynika z art. 126 § 1 i 2 ustawy z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego (Dz. U. z 2021 poz. 1805 z późn. zm.).
PUODO dalej wyjaśnił, że od [...] maja 2018 r. bezpośrednie zastosowanie w polskim porządku prawnym mają przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej "RODO". Ponadto w dniu [...] maja 2018 r. weszła wżycie ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), dalej: "u.o.d.o.'2018". Ustawę tę stosuje się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w zakresie określonym w art. 2 i art. 3 RODO (art. 1 ust. 1 u.o.d.o.'2018).
Organ podał, że przepisy art. 58 ust. 1, ust. 2 i ust. 3 RODO określają uprawnienia przysługujące każdemu organowi nadzorczemu, a są to uprawnienia do prowadzenia postępowań, uprawnienia naprawcze i do nakładania kar, uprawnienia do udzielania zezwoleń i uprawnienia doradcze oraz uprawnienia do zgłaszania naruszeń organom wymiaru sprawiedliwości oraz do udziału w postępowaniu sądowym. Wśród ww. uprawnień organu nadzorczego, jakim jest PUODO, brak jest uprawnienia do nakazania administratorowi lub podmiotowi przetwarzającemu ujawnienia danych osobowych osobie trzeciej.
Ponadto PUODO wskazał, że artykuł 58 ust. 6 RODO stanowi, że każde państwo członkowskie może przewidzieć w swoich przepisach możliwość przyznania jego organowi nadzorczemu poza uprawnieniami określonymi w ust. 1, ust. 2 i ust. 3 także inne uprawnienia czy kompetencje. Wykonywanie tych uprawnień nie może utrudniać skutecznego stosowania przepisów rozdziału VII RODO. Organ podniósł, że dla przedmiotowej sprawy organ nadzorczy nie znajduje takich przepisów - nie zostały one przewidziane w obecnym stanie prawnym.
Zgodnie natomiast z art. 58 ust. 2 lit. c RODO, PUODO przysługuje uprawnienie naprawcze w postaci prawa do nakazania administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia. Tym żądaniem może być prawo dostępu do danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do przenoszenia danych oraz prawo do sprzeciwu i niepodlegania decyzjom opartym na zautomatyzowanym przetwarzaniu. Powyższe przepisy ujmują prawa osób, których dane dotyczą, w sposób wyczerpujący. Żądanie udostępnienia danych osobowych osoby trzeciej nie zostało ujęte także wśród praw osób, których dane dotyczą.
Ponadto PUODO wyjaśnił, że przed [...] maja 2018 r. polski organ nadzorczy uznawał się za kompetentny do wydawania ww. nakazów na podstawie art. 18 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922, ze zm.). Artykuł ten wskazywał, że polski organ ochrony danych w przypadku stwierdzenia naruszenia przepisów o ochronie danych osobowych "w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem", w tym mógł nakazać "uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych". Obecnie u.o.d.o.'2018 nie zawiera podobnych przepisów.
PUODO podniósł, że w sprawie skargi Spółki postępowanie nie może być wszczęte. Żądanie Spółki dotyczące nakazania administratorowi, którym jest [...] udostępnienia danych osobowych w zakresie imion, nazwisk oraz adresów IP autorów komentarzy zamieszczonych na portalu [...] przez osoby posługujące się pseudonimami "[...]" i "L. S.", wykracza poza zakres kompetencji PUODO, wobec czego w sprawie tej nie zachodzą podstawy do wszczęcia postępowania administracyjnego.
Na powyższe postanowienie Spółka wniosła skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie.
Zaskarżanemu postanowieniu zarzuciła:
I. mające wpływ na wynik sprawy naruszenie przepisów postępowania tj.: art. 7 oraz art. 77 k.p.a., poprzez zaniechanie przez organ postępowania wszechstronnego wyjaśnienia sprawy oraz wyczerpującego zebrania i rozpatrzenia całego materiału dowodowego, , co skutkowało odmową wszczęcia postępowania w niniejszej sprawie.
II. naruszenie przepisów prawa materialnego, tj.:
- art. 78 ust. 1 u.o.d.o.'2018 (w związku z art. 57 ust. 1 litera a) i v) RODO, poprzez ich niezastosowanie;
- art. 18 ust. 6 ustawy z dnia 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną w związku z art. 6 ust. 1 litera f) RODO przez jego niezastosowanie.
W oparciu o powyższe zarzuty Spółka wniosła o uchylenie zaskarżanego postanowienia oraz o zasądzenie na jej rzecz kosztów postępowania sądowoadministarcyjengo.
W uzasadnieniu strona skarżąca podniosła, że PUODO na podstawie przepisów RODO uprawniony jest do podejmowania wszelkich działań, których celem jest zapewnienie skutecznej ochrony danych osobowych oraz zgodności z prawem ich przetwarzania przez administratorów danych. Jak wskazuje art. 4 punkt 2 RODO przez przetwarzanie należy rozumieć operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
W zakresie kompetencji organu administracji mieszczą się również wszelkie działania administratorów danych związane z udostępnianiem zgromadzonych danych osobowych, jak również z odmową ich udostępnienia podmiotom, które posiadają interes prawny w uzyskaniu tych danych.
Strona skarżąca zwróciła uwagę, że stosownie do brzmienia przepisu art. 18 ust. 6 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U.
z 2019 r. poz. 123), usługodawca udziela informacji o danych, o których mowa w ust. 1-5, organom państwa na potrzeby prowadzonych przez nie postępowań. W ocenie Spółki powyższy przepis kształtuje po stronie usługodawcy świadczącego usługi drogą elektroniczną obowiązek udostępnienia organom państwa danych osobowych osób korzystających z tych usług, na potrzeby prowadzonych przez nie postępowań. Z tego też względu art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną stanowi przepis prawa nakładający wprost na określone podmioty określone prawa i obowiązki w zakresie przetwarzania danych osobowych usługobiorców usług świadczonych drogą elektroniczną. Organy państwa powołujące się na potrzeby prowadzonych postępowań, są zatem uprawnione do pozyskania niezbędnych dla tych celów danych osobowych osób korzystających z usług świadczonych drogą elektroniczną, a przetwarzanych przez podmioty świadczące te usługi.
Spółka wskazała również, że udostępnianie danych osobowych jest jedną
z operacji wykonywanych na danych osobowych w ramach ich przetwarzania. W świetle obowiązujących regulacji prawnych, uprawnienie do domagania się ujawnienia danych zgromadzanych przez administratora serwisu internetowego można upatrywać w treści art. 6 ust. i litera f) RODO. Zgodnie z jego brzmieniem przetwarzanie jest zgodne z prawem w sytuacji gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Zdaniem Spółki w omawianej sytuacji warunkiem udostępnienia danych osobowych jest istnienie prawnie uzasadnionego interesu. W przypadku odmowy udostępnienia danych przez podmiot, będący ich administratorem, organ administracji winien rozważyć jej zasadność.
W odpowiedzi na skargę organ wniósł o jej oddalenie podtrzymując argumentację wyrażoną w zaskarżonym postanowieniu.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Na wstępie należy wyjaśnić, że sprawa została rozpoznana na posiedzeniu niejawnym w trybie uproszczonym. Warunki rozpoznania sprawy w postępowaniu uproszczonym ustawodawca określił w art. 119 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2022 r. poz. 329), dalej "p.p.s.a." Zgodnie z art. 119 pkt 3 p.p.s.a., sprawa może być rozpoznana w trybie uproszczonym, jeżeli przedmiotem skargi jest postanowienie wydane w postępowaniu administracyjnym, na które służy zażalenie albo kończące postępowanie, a także postanowienie rozstrzygające sprawę co do istoty oraz postanowienia wydane w postępowaniu egzekucyjnym i zabezpieczającym, na które służy zażalenie.
Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. z 2021 r. poz. 137), sądy administracyjne sprawują wymiar sprawiedliwości m. in. przez kontrolę działalności administracji publicznej, a kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.
Skarga oceniana w świetle powyższych kryteriów nie zasługuje na uwzględnienie, albowiem zaskarżone postanowienie PUODO nie narusza prawa. Wszystkie zarzuty skargi są niezasadne. Organ prawidłowo zastosował przepis art. 61a k.p.a. i trafnie odmówił wszczęcia postępowania w sprawie ze skargi Spółki.
Zaskarżone postanowienie zostało wydane na podstawie art. 61a § 1 k.p.a. , który stanowi w sytuacji gdy żądanie, o którym mowa w art. 61, zostało wniesione przez osobę niebędącą stroną lub z innych uzasadnionych przyczyn postępowanie nie może być wszczęte, organ administracji publicznej wydaje postanowienie o odmowie wszczęcia postępowania.
Przepis ten ustanawia dwie podstawy do odmowy wszczęcia postępowania: podmiotową – wniesienie podania przez osobę niebędącą stroną i przedmiotową - z innych uzasadnionych przyczyn postępowanie nie może być wszczęte. Obie te przyczyny uniemożliwiają w ogóle procedowanie w sprawie i załatwienie wniosku w formie decyzji administracyjnej. Przyczyny te muszą być znane organowi w chwili złożenia wniosku i być oczywiste. Na tym etapie postępowania organ bada jedynie kwestie formalne, tj., czy istnieją podstawy do wszczęcia postępowania w przedmiocie wniosku, nie podejmując analizy zasadności wniosku.
Prawidłowo organ przyjął w tej sprawie, że brak jest podstaw do wszczęcia postępowania administracyjnego dotyczącego nakazania [...] Sp. z o.o. udostępnienia na rzecz Spółki danych osobowych w zakresie imion, nazwisk oraz adresów IP autorów komentarzy opublikowanych [...] lutego 2022 r. przez osobę działającą pod pseudonimem "[...]" i [...] marca 2022 r. przez osobę działającą pod pseudonimem "L. S.", zamieszczonych na portalu [...] Zasadnie PUODO wskazał, że w myśl art. 58 ust. 2 lit. c RODO przysługuje mu uprawnienie naprawcze w postaci prawa nakazania administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia. Prawa te, określone w rozdziale III RODO, to prawo dostępu do danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do przenoszenia danych, prawo do sprzeciwu i prawo do niepodlegania decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu. Powyższe przepisy, jak podał organ, określają prawa osób, których dane dotyczą, w sposób wyczerpujący. Zasadnie PUODO wskazał, że nie zostało wśród nich przewidziane prawo do żądania udostępnienia danych osobowych osoby trzeciej.
RODO określa zadania organu nadzorczego (PUODO) w art. 57 RODO. Zgodnie z art. 57 ust. 1 lit. f RODO, bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia każdy organ nadzorczy na swoim terytorium, rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez podmiot, organizację lub zrzeszenie zgodnie z art. 80, w odpowiednim zakresie prowadzi postępowanie w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań, w szczególności jeżeli niezbędne jest dalsze prowadzenie postępowań lub koordynacja działań z innym organem nadzorczym. Przepis art. 80 RODO statuuje prawo umocowania przez osobę, której dane dotyczą podmiotu, organizacji lub zrzeszenia, o których mowa w przepisie, do wniesienia w jej imieniu skargi oraz wykonywania w jej imieniu praw, o których mowa w art. 77, 78, 79, jeżeli uznają, że w wyniku przetwarzania naruszone zostały prawa osoby, której dane dotyczą, wynikające z niniejszego rozporządzenia.
Przepisy art. 57 i art. 58 RODO nie dają podstaw PUODO do prowadzenia postępowania w sprawie udostępnienia danych osobowych przez administratora osobie trzeciej, a tym bardziej do wystosowania nakazu udostępnienia przez administratora tych danych.
Zasadniczą rolą organu ochrony danych osobowych jakim jest PUODO, jest egzekwowanie stosowania RODO. Oznacza to podejmowanie wszelkich działań określonych w RODO, które służyć mają zapewnieniu właściwego poziomu ochrony danych osobowych.
Z tego względu prowadzenie postępowania z wniosku Spółki o nakazanie w istocie udostępnienia danych osobowych przez [...] Sp. z o.o., naruszałoby w sposób rażący art. 58 ust. 2 lit. d RODO. Przepis ten stanowi, że organowi nadzorczemu przysługuje uprawnienie nakazania administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu.
Wszystkie uprawnienia naprawcze, jakie zostały przewidziane dla organu nadzorczego w art. 58 ust. 2 RODO, jasno wskazują na potrzebę realizacji celu RODO, jakim jest zapewnienie właściwego poziomu ochrony danych osobowych. Ochrona praw i wolności osób, których dane dotyczą jest podstawowym zadaniem PUODO.
Ustawodawca unijny w motywie 129 RODO wskazał m.in., że aby zapewnić spójne monitorowanie i egzekwowanie niniejszego rozporządzenia w całej Unii, organy nadzorcze powinny mieć w każdym państwie członkowskim te same zadania i faktyczne uprawnienia, w tym uprawnienia do prowadzenia postępowań wyjaśniających, naprawcze, uprawnienia do nakładania kar oraz do udzielania zezwoleń i doradcze, w szczególności w przypadku skarg osób fizycznych, i - bez uszczerbku dla uprawnień organów prokuratorskich na mocy prawa państwa członkowskiego - uprawnienia do zgłaszania naruszeń niniejszego rozporządzenia organom wymiaru sprawiedliwości oraz do udziału w postępowaniu sądowym. Wśród tych uprawnień powinno być także uprawnienie do wprowadzania czasowego lub definitywnego ograniczenia przetwarzania, w tym zakazania przetwarzania. Państwa członkowskie mogą określić także inne zadania związane z ochroną danych osobowych na mocy niniejszego rozporządzenia. Swoje uprawnienia organy nadzorcze powinny wykonywać zgodnie
z odpowiednimi zabezpieczeniami proceduralnymi przewidzianymi w prawie Unii i prawie państwa członkowskiego, bezstronnie, sprawiedliwie i w rozsądnym terminie.
W szczególności każdy środek powinien być odpowiedni, niezbędny i proporcjonalny, aby zapewnić przestrzeganie niniejszego rozporządzenia - z uwzględnieniem okoliczności danej sprawy, z poszanowaniem prawa do wysłuchania danej osoby przed zastosowaniem indywidualnego środka, który miałby niekorzystnie na nią wpłynąć, i bez nadmiernych kosztów i niedogodności dla danej osoby. (...).
W motywie tym wskazano m.in. na uprawnienie do wprowadzania czasowego lub definitywnego ograniczenia przetwarzania, w tym zakazania przetwarzania. Uprawnienie takie, jako służące ochronie praw i wolności osoby, której dane dotyczą, zostało ujęte jako jeden ze środków naprawczych (art. 58 ust. 2 lit. f RODO). Nie jest natomiast dopuszczalne prowadzenie postępowania w sprawie udostępnienia danych osobowych na żądanie podmiotu trzeciego.
Strona skarżąca w skardze zarzuciła naruszenie art. 18 ust. 6 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2020 r. poz. 344), poprzez jego niezastosowanie. Przepis ten stanowi, że usługodawca nieodpłatnie udostępnia dane, o których mowa w ust. 1-5, organom państwa uprawnionym na podstawie odrębnych przepisów na potrzeby prowadzonych przez nie postępowań.
Spółka podnosiła, że przepis ten nakłada wprost na określone podmioty określone prawa o obowiązki w zakresie przetwarzania danych osobowych usługobiorców usług świadczonych drogą elektroniczną. Wskazywała też, że organy Państwa powołujące się na potrzeby prowadzonych postępowań są uprawnione do pozyskania niezbędnych dla tych celów danych osobowych osób korzystających z usług świadczonych drogą elektroniczną, a przetwarzanych przez podmioty świadczące te usługi.
Regulacja ta nie ma jednak żadnego znaczenia w niniejszej sprawie. Należy bowiem zwrócić uwagę, że aby PUODO mógł prowadzić postepowanie administracyjne, na potrzeby którego miałby uzyskać od usługodawcy dane w oparciu o art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną, to musiałby mieć do tego podstawy materialnoprawne. Tak jak zaś już podniesiono wyżej PUODO nie ma uprawnień do rozstrzygania sprawy dotyczącej nakazania udostępnienia danych osobowych na żądanie podmiotu trzeciego.
W sytuacji, gdy w rezultacie wstępnego badania zawartości żądania organ administracji ustalił wystąpienie przeszkody przedmiotowej czyniącej jego rozpoznanie niedopuszczalnym, powinien wydać postanowienie o odmowie wszczęcia postępowania (art. 61a k.p.a.), co zasadnie nastąpiło w tej sprawie.
Mając powyższe na uwadze, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 w zw. z art. 119 pkt 3 p.p.s.a. orzekł jak w wyroku.