II SA/Wa 121/25

II SA/Wa 121/25 - Wyrok WSA w Warszawie
Data orzeczenia
2025-08-27
orzeczenie nieprawomocne
Data wpływu
2025-01-24
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Dorota Kozub-Marciniak /sprawozdawca/
Izabela Głowacka-Klimas
Sławomir Fularski /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2024 poz 935
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Dz.U.UE.L 2016 nr 119 poz 1 art. 5, art. 6, art. 9, art. 58 ust. 2, art. 4,
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Sławomir Fularski, Sędzia WSA Izabela Głowacka-Klimas, Asesor WSA Dorota Kozub-Marciniak (spr.), , po rozpoznaniu w trybie uproszczonym w dniu 27 sierpnia 2025 r. sprawy ze skargi Miasta i Gminy [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] września 2020 r. nr [...] w przedmiocie udzielenia upomnienia oddala skargę
Uzasadnienie
Burmistrz Miasta i Gminy [...] (dalej, jako: Burmistrz) wniósł skargę na pkt 1 decyzji Prezesa Urzędu Ochrony Danych Osobowych (dalej, jako: organ lub PUODO) z dnia [...] września 2020 r. w przedmiocie udzielenia upomnienia.
Zaskarżona decyzja została wydana po przeprowadzeniu postępowania administracyjnego w sprawie skargi R. S. (dalej jako: uczestnik) na przetwarzanie jego danych osobowych przez Burmistrza w zakresie danych logowania do portalu społecznościowego Facebook oraz danych powiązanych z profilem uczestnika założonym na tym portalu. Na mocy ww. decyzji, organ, działając w oparciu o art. 58 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej, L 119 z 4 maja 2016), zwanego dalej: RODO, udzielił Burmistrzowi upomnienia za nieprawidłowości w procesie przetwarzania danych osobowych, polegające na naruszeniu art. 5 ust. 1, art. 6 ust. 1 i art. 9 ust. 2 RODO, przez bezpodstawne pozyskanie danych osobowych uczestnika, zawartych w korespondencji prowadzonej przez niego za pośrednictwem portalu społecznościowego Facebook (pkt 1 decyzji). W pozostałym zakresie odmówił uwzględnienia wniosków ze skargi (pkt 2 decyzji).
W przeprowadzonym postępowaniu administracyjnym ustalono, że:
- uczestnik był zatrudniony w Urzędzie Miasta i Gminy w [...] (dalej jako Urząd) na stanowisku informatyka, w dniu [...] grudnia 2018 r. rozwiązano z nim umowę o pracę z zachowaniem trzymiesięcznego okresu wypowiedzenia, do wykonywania obowiązków służbowych powierzono mu komputer, zobowiązano go do jego zdania do 3 stycznia 2019 r.,
- uczestnik nie usunął z komputera służbowego konta synchronizacji zakładek i haseł, pozostał również zalogowany na koncie indywidualnym na portalu Facebook (tak: skarga z 3 lipca 2019 r.),
- w maju 2019 r. inny pracownik Urzędu, zwany dalej: pracownikiem, przygotowywał używany uprzednio przez uczestnika komputer do przekazania kolejnej osobie; po uruchomieniu przeglądarki internetowej na przedmiotowym komputerze, ukazały mu się dwie, prowadzone na portalu Facebook, rozmowy z innymi pracownikami Urzędu tj. A. G. oraz J. Z., zwaną dalej: Pracownikiem II; dotyczyły one osoby A. P. – piastującej Urząd Burmistrza; z uwagi na ich tematykę Pracownik wydrukował przedmiotowe rozmowy - z okresu od listopada 2018 r. do maja 2019 r. - i przekazał Burmistrzowi (tak: wyjaśnienia Burmistrza z dnia 26 marca 2020 r.),
- pozyskane z korespondencji dane Burmistrz wykorzystała do wszczęcia postępowania dyscyplinarnego wobec Pracownika II oraz karnych – co do tej samej osoby oraz uczestnika (tak: wyjaśnienia Burmistrza z 26 marca 2020 r.);
- w Urzędzie nie prowadzono monitoringu pracowniczego (tak: wyjaśnienia Burmistrza z 26 marca 2020 r.).
Organ stwierdził, że korespondencja uczestnika może stanowić jego dane osobowe. Ustawodawca europejski przewidział szeroką definicję pojęcia danych osobowych (art. 4 ust. 1 RODO). W niniejszej sprawie zawarte w przedmiotowej korespondencji informacje pozwalały na identyfikację jej uczestników, w tym składającego skargę do PUODO. Oznacza to, że w rozumieniu przywołanego powyżej przepisu stanowiły zatem jego dane osobowe. Tym samym do ich przetwarzania zastosowanie mają przepisy, regulujące legalność przetwarzania danych osobowych - określone w art. 6 oraz 9 RODO, a także zasady przetwarzania danych określone w art. 5 tego aktu. Organ uznał, że były tam zawarte zwykłe dane (ich przetwarzanie reguluje art. 6 ust. 1 RODO) oraz szczególne kategorie danych - np. informacje o wyznaniu uczestnika, a ich przetwarzanie jest - co do zasady, zgodnie z art. 9 ust. 1 RODO - zabronione, chyba że występuje jedna z przesłanek, wymienionych w art. 9 ust. 2 danego rozporządzenia. Ponadto - w art. 5 ust. 1 RODO – nałożono na administratora obowiązek zapewnienia przetwarzania danych zgodnego z prawem (art. 5 ust. 1 lit. a), czy zapewnienia ograniczenia celu przetwarzania, przez zbieranie danych w konkretnych i prawnie uzasadnionych celach (art. 5 ust. 1 lit. b). W ocenie organu, w przedmiotowej sprawie nie występowała żadna przesłanka dla pozyskania przez administratora danych osobowych uczestnika.
W konsekwencji organ stwierdził, że pozyskanie danych osobowych uczestnika nastąpiło z naruszeniem przepisów o ochronie danych osobowych i z tego powodu administratorowi udzielono upomnienia. Organ nie znalazł natomiast podstaw do skorzystania z uprawnień naprawczych - w zakresie usunięcia przez administratora danych osobowych uczestnika, ponieważ są one przetwarzane w związku z toczącymi się postępowaniami dyscyplinarnym i sądowym.
Skargę na ww. decyzję wniosło Miasto i Gmina [...], reprezentowana przez Burmistrza, wnosząc o uchylenie zaskarżonej decyzji w jej pkt 1.
W skardze zarzucono naruszenie przepisów postępowania:
- art. 7, 77 § 1 oraz art. 80 K.p.a., w zw. z art. 6 ust. 1 lit. e i f RODO, poprzez niewszechstronne i niewyczerpujące rozpatrzenie całości materiału dowodowego; wskutek tego błędne przyjęto, że Burmistrz nie miał prawa do przetwarzania danych osobowych uczestnika, w ramach:
- wykonania zadania, realizowanego w interesie publicznym, lub
- sprawowania władzy publicznej, powierzonej administratorowi oraz
- do celów, wynikających z prawnie uzasadnionych interesów, realizowanych przez administratora;
naruszenie to miało istotny wpływ na wynik sprawy - doprowadziło do wydania decyzji o upomnieniu administratora,
- art. 107 § 1 pkt 4 K.p.a., poprzez brak wskazania w zaskarżonej decyzji, które konkretnie przepisy RODO Burmistrz naruszył; miało to istotny wpływ na treść zaskarżonej decyzji; powołano wyłącznie przepisy ogólne; uniemożliwia to podjęcie skutecznej polemiki z rozstrzygnięciem organu.
W szerokim uzasadnieniu skargi, rozwinięto powyższe zarzuty.
W odpowiedzi na skargę organ administracji wniósł o jej oddalenie, podtrzymując dotychczasową argumentację.
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 6 maja 2021 r., sygn. akt II SA/Wa 2372/20, działając na podstawie art. 145 § 1 pkt 1 lit. a oraz § 3 oraz art. 200 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r. poz. 2325 ze zm., dalej: P.p.s.a.), w pkt 1 sentencji wyroku uchylił zaskarżoną decyzję, w pkt 2 sentencji wyroku umorzył postępowanie prowadzone przez PUODO, a w pkt 3 sentencji wyroku zasądził od PUODO na rzecz skarżącego zwrot kosztów postępowania.
Sąd, przywołując treść przepisu art. 1 ust. 1 i art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781), a także art. 2 ust. 1, art. 4 pkt 3 i 6 RODO, wyprowadził wniosek, że RODO dotyczy zdarzeń związanych z przetwarzaniem informacji (gromadzenie, transfer itp.) gdzie możliwe jest mechaniczne odnajdywanie informacji o osobach - ich danych osobowych – w szczególności w ramach systemów teleinformatycznych. Nie dotyczy zaś, jak wyjaśnił dalej, zdarzeń pozostających w związku z ujawnieniem (a więc przetworzeniem) danych osobowych w innych sytuacjach - np. pozyskania imienia i nazwiska określonej osoby, przez zapoznanie się z treścią określonego dokumentu, np. korespondencji także, gdy prowadzono ją drogą elektroniczną. WSA w Warszawie poczynił przy tym uwagę, że inna ocena dotyczyć mogłaby wprawdzie przypadku, gdy określone informacje o zidentyfikowanych osobach gromadziliby systemowo - bez wiedzy zainteresowanych - administratorzy platform, służących przepływowi korespondencji (tworząc zbiory danych), ale uznał, że sytuacja taka nie miała jednak w rozpatrywanej sprawie miejsca.
Tym samym, zdaniem Sądu I instancji co do zasady w RODO uregulowano tylko zagadnienia pozostające w bezpośrednim związku z pozyskiwaniem informacji z konkretnych zbiorów danych bądź tworzeniem zbiorów, umożliwiających uzyskanie określonych informacji o osobach. W ocenie Sądu, nie jest zaś kwestią kluczową (przesądzającą), czy sprawa dotyczy danych osobowych. RODO ingeruje bowiem w tą problematykę wyłącznie w kontekście określonych form przetwarzania danych osobowych. Z tego powodu jako mylną Sąd uznał konstatację organu (w uzasadnieniu zaskarżonego aktu), jakoby wystarczającym było ustalenie, że sprawa dotyczyła pozyskania danych osobowych uczestnika, co organ utożsamił z ich przetworzeniem w rozumieniu RODO. W ocenie Sądu oznacza to, że zdarzenie w postaci pozyskania z systemu teleinformatycznego - z określonej platformy, którą nie zarządzał Burmistrz (Facebook) - zapisu korespondencji, gdzie występowały dane osobowe, nie pozostawało w żadnym związku z procesem mechanicznego przetwarzania danych bądź posługiwania się danymi mogącymi, stanowić wyodrębnioną bazę, jako zespół informacji, uporządkowanych wedle pewnych kryteriów w dniu zdarzenia.
Skoro zatem, wg uczestnika doszło do bezprawnej ingerencji w prawo do prywatności zainteresowanego, w tym naruszenia tajemnicy korespondencji, poszkodowanemu przysługują stosowne roszczenia względem sprawcy naruszeń. Właściwymi do rozstrzygania spraw w danym zakresie są Sądy powszechne zaś to właśnie te kwestie są w istocie osią sporu między stronami. Wyspecjalizowany organ administracji nie ma natomiast kompetencji do rozstrzygania danej sprawy. Zatem brak było podstaw do orzekania w sprawie, co do meritum. Organ nie mógł wykonać kompetencji, określonych art. 58 ust. 2 lit. b RODO. Orzekając w sprawie organ naruszył dany przepis prawa materialnego, zakreślający jego kompetencje, przez bezpodstawne jego zastosowanie, wobec art. 2 ust. 1 RODO, w zw. z art. 4 pkt 6 ustawy o danych.
Sąd dodał również, że w kwestii ochrony dóbr osobistych - w rozumieniu art. 23 i 24 ustawy – Kodeks cywilny, do których zaliczają się dane osobowe - właściwe są sądy powszechne, co, jak zauważył, odnotowano w uzasadnieniu zaskarżonej decyzji.
Wyrokiem z dnia 16 stycznia 2025 r. sygn. akt III OSK 6135/21 Naczelny Sąd Administracyjny, po rozpoznaniu skargi kasacyjnej PUODO, uchylił ww. wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 6 maja 2021 r., sygn. akt II SA/Wa 2372/20 i przekazał sprawę do ponownego rozpoznania Sądowi I instancji.
W uzasadnieniu NSA wskazał, że według art. 2 ust. 1 RODO, rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych. Z kolei, zgodnie z definicją legalną zamieszczoną w art. 4 pkt 2 RODO, "przetwarzanie'' oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. W myśl art. 4 pkt 6 RODO, "zbiór danych'' oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.
Sąd I instancji uznał, że skoro dotarcie - przy użyciu określonej platformy Internetowej - do prowadzonej przez uczestnika prywatnej korespondencji - zapoznanie się z jej treścią przez pracownika Urzędu, a potem jej skopiowanie i wykorzystanie nastąpiło, w jego ocenie, w wyniku bezprawnej ingerencji w prawo do prywatności zainteresowanego, w tym naruszenia tajemnicy korespondencji, poszkodowanemu przysługują stosowne roszczenia względem sprawcy naruszeń, których nie może rozstrzygać organ administracji.
W ocenie NSA, WSA w Warszawie uchylił się jednak od oceny, czy doszło do zebrania danych osobowych uczestnika w postaci tak danych logowania, jak i innych danych, do których Burmistrz miał dostęp już po zalogowaniu.
Z poczynionych przez organ ustaleń w sprawie, a przyjętych przez Sąd I instancji wynika, że posłużono się danymi logowania uczestnika, które zostały zapisane w przeglądarce internetowej na pozostawionym przez niego komputerze i w ten sposób otworzył się dostęp do pozostałych danych na jego profilu, które co najmniej w części organ również zebrał (pozyskał).
Sąd I instancji pominął przy tym, że w RODO, jego przepisie art. 4 pkt 1 zawarto szeroką definicję danych osobowych łącząc ją z wszelkimi informacjami (a nie tylko z danymi) o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą''); przy czym możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Dane logowania pozwalały zatem na wejście do profilu konkretnej osoby fizycznej (identyfikując ją) i umożliwiały przeglądanie, zbieranie, pobieranie i wykorzystywanie nie tylko jej danych, ale również danych innych osób, zważywszy, że zalogowanie pozwalało na przeglądanie całej treści utrwalonych rozmów (w tym danych osobowych) w aplikacji powiązanej z kontem na Facebooku, czyli w aplikacji/komunikatorze Messenger. WSA w Warszawie nie dokonał w tym zakresie żadnej oceny. Przyjął, że przedmiotem decyzji była kwestia naruszenia prywatności - tajemnicy korespondencji – która podlega ochronie sądowej jako dobro osobiste i nie zwrócił tym samym uwagi, że sprawa dotyczyła węższego przedmiotu, tj. samego przetwarzania danych osobowych, które tylko częściowo mieszczą się w pojęciu tajemnicy korespondencji i jako taki - węższy - przedmiot zostały przypisane do właściwości PUODO.
Zdaniem NSA, Sąd I instancji pominął także istotną dla rozpoznania sprawy okoliczność - z punktu widzenia jej przedmiotu w rozumieniu art. 2 ust. 1 RODO, a mianowicie moment pierwszego przetwarzania danych (jego wykorzystania), tzn. moment logowania do serwisu Facebook. Innymi słowy - moment wykorzystania danych uczestnika, który pozwolił na dalsze przetwarzanie jego danych osobowych i danych innych osób.
Niewłaściwie również Sąd I instancji wyłożył przepis art. 4 pkt 6 RODO. Także i w tej części przedwcześnie uznał, że w sprawie nie występuje ani zbiór danych osobowych, ani nie doszło do "zdarzeń związanych z przetwarzaniem informacji (gromadzenie, transfer itp.) gdzie możliwe jest mechaniczne odnajdywanie informacji o osobach - ich danych osobowych – w szczególności w ramach systemów teleinformatycznych". Nie ocenił, czy organ właściwie ustalił, czy rzeczywiście w sprawie nie zachodzi co najmniej częściowe zautomatyzowanie przetwarzania danych osobowych choćby z tego powodu, że przetwarzanie na koncie Facebook i powiązanym komunikatorze Messenger odbywa się za pomocą urządzeń elektronicznych (w tym przypadku komputera), a zarówno na koncie, jak i w komunikatorze następuje informatyczny zapis danych (np. kontaktów, lokalizacji, danych osobowych zawartych w treści rozmów), również z możliwością ich późniejszego wyszukiwania (por. https://www.messenger.com/help, https://www.facebook.com/help?locale=pl_PL i zamieszczone na tych stronach przez operatora szczegółowe informacje dotyczące sposobu przetwarzania danych wraz z opisem poszczególnych funkcji konta i komunikatora).
NSA wskazał również, że z uzasadnienia zaskarżonego wyroku nie wynika, aby Sąd I instancji ocenił znaczenie dokonanych wydruków z konta Facebook w świetle uprzedniego przetwarzania danych osobowych w formie elektronicznej i zautomatyzowanej (tzn. przetwarzania od momentu użycia danych logowania do konta Facebook). Nie ustalił, czy dalsze utrwalenie tych danych w formie papierowej miało jakikolwiek wpływ na użycie danych osobowych uczestnika, które dopiero następczo dało taką możliwość (nie ustalił czy następcze przetwarzanie danych osobowych w sposób inny niż zautomatyzowany wyłączało sprawę spod zakresu przedmiotowego RODO wymienionego w art. 2 ust. 1 in pricipio - przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany – i czy ustalenie istnienia zbioru danych było w rezultacie w ogóle konieczne).
W tej sytuacji, bez powyższych ustaleń wymaganych hipotezą normy wynikającej z art. 2 ust. 1 RODO i w ramach oceny legalności zaskarżonej decyzji, WSA w Warszawie nie mógł uznać, że sprawa nie podlegała właściwości organu, o której mowa w art. 58 ust. 2 lit. b RODO, a w dalszej konsekwencji także i w art. 1 ust. 1 i art. 60 ustawy o ochronie danych osobowych, z tą uwagą, że adekwatność zastosowanego przez organ nadzoru środka tego nadzoru podlega ocenie na etapie późniejszym, po ustaleniu jego właściwości w sprawie.
NSA zauważył także, że tak pobieżna ocena właściwości organu mogłaby wyłączyć możliwość dokonywania kontroli przez organy ochrony danych sensytywnych, o którym mowa w art. 9 ust. 1 RODO, a jak wynika z akt sprawy i treści zaskarżonego do Sądu I instancji aktu administracyjnego również i takie dane mogły być w sprawie zebrane. Dlatego każdorazowo kontrolując zakażoną decyzję dotyczącą przetwarzania danych osobowych należy w sposób niebudzący wątpliwości ustalić, czy sprawa podpada pod zakres przedmiotowy określony w art. 2 ust. 1 RODO (art. 1 ust. 1 ustawy o ochronie danych osobowych), przy czym należy jednocześnie stosować wszystkie przepisy powiązane z treścią ww. przepisu, w szczególności przepisy zawierające definicje legalne art. 4 pkt 1, pkt 2 i pkt 6 RODO uwzględniając ich prawidłowe zastosowanie w konkretnym stanie faktycznym sprawy (prawidłową subsumpcję). Toteż, w niniejszej sprawie, przy istniejącym związaniu zarzutami skargi kasacyjnej, Sąd I instancji błędnie zastosował tak przepis art. 2 ust. 1, jak i przepis art. 4 pkt 6 RODO, co prowadziło także do naruszenia postawionych w zarzutach skargi kasacyjnej pozostałych przepisów – w tym przepisów ustawy o ochronie danych osobowych.
Wojewódzki Sąd Administracyjny w Warszawie ponownie rozpoznając sprawę zważył, co następuje:
Na wstępie należy wskazać, iż istotne znaczenie dla rozpoznania niniejszej sprawy ma fakt, że sprawa była przedmiotem oceny przez Naczelny Sąd Administracyjny, który wyrokiem z dnia 16 stycznia 2025 r. sygn. akt III OSK 6135/21 uchylił wyrok Wojewódzkiego Sądu Administracyjnego z dnia 6 maja 2021 r. sygn. akt II SA/Wa 2372/20. Tym samym ramy kognicji Sądu rozpoznającego obecnie skargę zostały ograniczone rozstrzygnięciem NSA. Zgodnie bowiem z art. 190 P.p.s.a. Sąd, któremu sprawa została przekazana, związany jest wykładnią prawa dokonaną w tej sprawie przez NSA. Ocena prawna i wskazania, co do dalszego postępowania wyrażone w orzeczeniu sądu wiążą w sprawie ten sąd oraz organ, którego działanie, bezczynność lub przewlekłe prowadzenie postępowania było przedmiotem zaskarżenia. Oznacza to, że ilekroć dana sprawa będzie przedmiotem rozpoznania przez sąd, tylekroć będzie on związany oceną prawną wyrażoną w tym orzeczeniu. Ocena ta wiąże tylko o tyle, o ile odnosi się do tych samych okoliczności faktycznych i prawnych (por. wyrok NSA z dnia 28 marca 2012 r. sygn. akt I OSK 670/11). Czyli tylko zmiana stanu faktycznego, czy prawnego pozwala na odstąpienie od oceny i wskazań zawartych w wyroku NSA. W ocenie Sądu w niniejszej sprawie taka sytuacja jednak nie zaistniała, a zatem Sąd był związany wytycznymi NSA przy rozpoznawaniu sprawy.
Zgodnie z art. 1 ust. 1 ustawy o ochronie danych osobowych, ustawę stosuje się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w zakresie określonym w art. 2 i art. 3 RODO. Oznacza to, że ta ustawa jako akt normatywny uzupełnia regulację RODO, a w zakresie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych wprost odsyła do zakresu przedmiotowego RODO.
Zgodnie z art. 2 ust. 1 RODO, rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych. Przywołany art. 2 ust. 1 RODO przez użyte w jego treści pojęcie "zbiór danych" ściśle łączy się z przepisem art. 4 pkt 6 RODO, w którym prawodawca europejski zamieścił definicję legalną tego właśnie pojęcia. W myśl art. 4 pkt 6 RODO, "zbiór danych'' oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.
Z kolei, zgodnie z definicją legalną zamieszczoną w art. 4 pkt 2 RODO, "przetwarzanie'' oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
W ocenie Sądu, zgromadzony materiał dowodowy potwierdza, iż w sprawie doszło do zebrania danych osobowych uczestnika w postaci tak danych logowania, jak i innych danych, do których Burmistrz miał dostęp po zalogowaniu. Burmistrz posłużył się bowiem danymi logowania uczestnika, które zostały zapisane w przeglądarce internetowej na pozostawionym przez niego komputerze i w ten sposób otworzył się dostęp do pozostałych danych na jego profilu, które co najmniej w części organ zebrał (pozyskał). Dane logowania pozwalały na wejście do profilu konkretnej osoby fizycznej (identyfikując ją) i umożliwiały przeglądanie, zbieranie, pobieranie i wykorzystywanie nie tylko jej danych, ale również danych innych osób, zważywszy, że zalogowanie pozwalało na przeglądanie całej treści utrwalonych rozmów (w tym danych osobowych) w aplikacji powiązanej z kontem na Facebooku, czyli w aplikacji/komunikatorze Messenger.
Jak wskazał NSA w tej sprawie w art. 4 pkt 1 RODO zawarto szeroką definicję danych osobowych. Zgodnie bowiem z art. 4 pkt 1 RODO "dane osobowe" oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową społeczną tożsamość osoby fizycznej.
Co więcej w sprawie możliwe było co najmniej częściowe zautomatyzowanie przetwarzania danych osobowych gdyż przetwarzanie na koncie Facebook i powiązanym komunikatorze Messenger odbywa się za pomocą urządzeń elektronicznych (w tym przypadku komputera), a zarówno na koncie, jak i w komunikatorze następuje informatyczny zapis danych (np. kontaktów, lokalizacji, danych osobowych zawartych w treści rozmów), również z możliwością ich późniejszego wyszukiwania (por. https://www.messenger.com/help, https://www.facebook.com/help?locale=pl_PL i zamieszczone na tych stronach przez operatora szczegółowe informacje dotyczące sposobu przetwarzania danych wraz z opisem poszczególnych funkcji konta i komunikatora).
Nie może ujść uwadze fakt, że w sprawie doszło do dalszego utrwalenia tych danych w formie papierowej. Burmistrz dokonał bowiem wydruków rozmów z konta Facebook – portalu Messenger pomiędzy uczestnikiem, a innymi pracownikami Urzędu. Zdaniem Sądu w świetle wskazanej wyżej definicji "zbioru danych'', nie może również budzić wątpliwości, iż doszło do zebrania w taki sposób danych osobowych uczestnika i przetwarzania tych danych, zawartych w korespondencji z innymi pracownikami Urzędu na portalu społecznościowym, stanowiących zbiór danych. Bez wątpienia są to informacje o zidentyfikowanej osobie fizycznej w rozumieniu art. 4 pkt 1 RODO. Są to również informacje uporządkowane i dostępne według określonych kryteriów, a więc podzielone i przyporządkowane takim identyfikatorom jak: nazwy użytkowników profilu, informacje zawarte w rozmowach użytkowników, daty.
Należy pamiętać, iż w świetle art. 2 ust. 1 RODO, rozporządzenie ma zastosowanie nie tylko do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany ale także do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.
Ustalenie jednak, iż w sprawie mamy do czynienia z przetwarzaniem danych osobowych w sposób częściowo zautomatyzowany wykluczało w rezultacie konieczność ustalenia istnienia zbioru danych.
Na tle tej sprawy istotne również jest i to, że Burmistrz pozyskał dane osobowe uczestnika zapisane w przeglądarce internetowej na pozostawionym przez niego komputerze w momencie gdy ten nie był już pracownikiem Urzędu.
Zdaniem Sądu, skoro Burmistrz pozyskał i przetwarzał dane osobowe uczestnika to bezsporne jest, iż właściwy w tej sprawie pozostaje Prezes Urzędu Ochrony Danych Osobowych. Nie może ujść uwadze, że ustawodawca unijny w art. 77 oraz w art. 79 RODO przewidział dwie drogi ochrony prawnej w przypadku naruszenia ochrony danych, tj. prawo wniesienia skargi do organu nadzorczego oraz prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu.
Każdy proces przetwarzania danych osobowych musi być zgodny z prawem. Oznacza to, że administrator, przetwarzając dane osobowe zwykłe musi legitymować się przynajmniej jedną z przesłanek określonych w art. 6 ust. 1 RODO, a w przypadku przetwarzania danych szczególnej kategorii jedną z przesłanek określonych w art. 9 ust. 2 RODO.
Katalog przesłanek wymienionych w art. 6 ust. 1 RODO, jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. W konsekwencji zgoda osoby, której dane dotyczą nie jest jedyną podstawą przetwarzania danych osobowych, bowiem proces przetwarzania danych będzie zgodny z RODO, również wówczas, gdy administrator danych wykaże spełnienie innej z wyżej wymienionych przesłanek.
A więc przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
Z przepisu art. 9 ust. 2 RODO wynika z kolei, że zakaz przetwarzania danych osobowych wrażliwych określony w ust. 1 nie ma zastosowania, jeżeli spełniony jest jeden z następujących warunków: a) osoba której dane dotyczą, wyraziła zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1; b) przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą; c) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody; d) przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą; e) przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą; f) przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy; g) przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą; h) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3; i) przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową; j) przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.
Do przetwarzania danych osobowych znajdują zastosowanie art. 6 i art. 9 RODO zawierające podstawy legalizujące przetwarzanie danych osobowych, a także art. 5 RODO, który nakłada na administratora obowiązek zapewnienia ograniczenia celu przetwarzania poprzez zbieranie danych w konkretnych i prawnie uzasadnionych celach (art. 5 ust. 1 lit. b) oraz obowiązek zapewnienia przetwarzania danych zgodnie z prawem (art. 5. ust. 1 lit. b).
W ocenie Sądu, w świetle powyższych rozważań, prawidłowa jest ocena PUODO, że brak jest podstaw by uznać, że dane osobowe uczestnika zostały pozyskane przez administratora w sposób zgodny z przepisami o ochronie danych osobowych. Właściwe zatem było nałożenie na Burmistrza kary upomnienia na podstawie art. 58 ust. 2 lit. b RODO, która jest karą najłagodniejszą.
Mając powyższe na uwadze Sąd doszedł do przekonania, że zaskarżona decyzja PUODO odpowiada prawu. Sąd nie dopatrzył się żadnego naruszenia przepisów prawa materialnego w stopniu mającym wpływ na wynik sprawy, bądź przepisu postępowania w stopniu mogącym mieć istotny wpływ na rozstrzygnięcie, albo też przepisu prawa dającego podstawę do wznowienia postępowania lub stwierdzenia nieważności. Organ prawidło ustalił stan faktyczny sprawy, w wystarczający sposób zebrał i ocenił materiał dowodowy, a następnie w przekonywujący sposób uzasadnił swoje rozstrzygnięcie. Postępowanie administracyjne zostało przeprowadzone zgodnie z zasadami ogólnymi K.p.a., a w szczególności art. 7, art. 77 § 1, art. 80 oraz art. 107 § 3 K.p.a., a zaskarżone rozstrzygnięcie zostało oparte na prawidłowej interpretacji norm prawa materialnego.
W tym stanie sprawy, nie podzielając argumentów zawartych w złożonej skardze, oraz uznając iż organ w sposób prawidłowy zebrał i ocenił materiał dowodowy, oraz iż przy wykonywaniu tych czynności nie naruszył przepisów prawa, Wojewódzki Sąd Administracyjny w Warszawie orzekł jak w sentencji wyroku na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2024 r., poz. 935 ze zm., dalej, jako: P.p.s.a.).