II SA/Wa 121/25
Podsumowanie
Przejdź do pełnego tekstuSprawa dotyczyła skargi Burmistrza Miasta i Gminy [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych (PUODO) z dnia [...] września 2020 r., w której udzielono Burmistrzowi upomnienia za nieprawidłowości w przetwarzaniu danych osobowych byłego pracownika. Nieprawidłowości polegały na pozyskaniu danych logowania do portalu Facebook oraz korespondencji prowadzonej przez pracownika, co naruszało art. 5, 6 i 9 RODO. Burmistrz argumentował, że dane te zostały pozyskane w ramach wykonywania zadań w interesie publicznym lub sprawowania władzy publicznej. Wojewódzki Sąd Administracyjny w Warszawie pierwotnie uchylił decyzję PUODO, uznając, że sprawa dotyczy naruszenia prywatności i tajemnicy korespondencji, co leży w gestii sądów powszechnych, a nie organu ochrony danych. Naczelny Sąd Administracyjny (NSA) uchylił ten wyrok, wskazując, że WSA nie ocenił właściwie, czy doszło do przetwarzania danych osobowych w rozumieniu RODO, w tym poprzez zautomatyzowane przetwarzanie danych logowania i dostęp do profilu Facebook. NSA podkreślił, że definicja danych osobowych i przetwarzania w RODO jest szeroka i obejmuje również takie działania. Po ponownym rozpoznaniu sprawy, WSA w Warszawie, związany wykładnią NSA, oddalił skargę Burmistrza. Sąd uznał, że Burmistrz pozyskał i przetwarzał dane osobowe uczestnika (dane logowania i zawartość korespondencji), co podlegało jurysdykcji PUODO. Sąd stwierdził, że przetwarzanie danych odbyło się z naruszeniem przepisów RODO, a nałożone upomnienie było właściwe jako najłagodniejszy środek nadzoru. Sąd podkreślił, że RODO ma zastosowanie do przetwarzania danych w sposób zautomatyzowany lub niezautomatyzowany, jeśli dane stanowią część zbioru danych. W tym przypadku, dostęp do danych poprzez zalogowanie na komputerze służbowym i późniejsze wydrukowanie korespondencji spełniało te kryteria. Sąd uznał, że PUODO prawidłowo ustalił stan faktyczny i zastosował prawo.
Przeanalizuj tę sprawę w pełnym kontekście orzecznictwa.
Analiza orzecznictwa · odpowiedzi na pytania · badanie przepisów · drafting pism.
Wartość praktyczna
Siła precedensu: WysokaUstalenie jurysdykcji organu ochrony danych w sprawach dostępu do danych osobowych z urządzeń służbowych, interpretacja pojęcia 'przetwarzania danych' i 'zbioru danych' w RODO, oraz zasad legalności przetwarzania danych.
Orzeczenie dotyczy specyficznego stanu faktycznego, gdzie dane zostały pozyskane z komputera służbowego po rozwiązaniu umowy o pracę. Interpretacja RODO może ewoluować.
Zagadnienia prawne (3)
Czy pozyskanie danych logowania do portalu społecznościowego i korespondencji pracownika z komputera służbowego po rozwiązaniu umowy o pracę stanowi przetwarzanie danych osobowych podlegające jurysdykcji organu ochrony danych?Ratio decidendi
Odpowiedź sądu
Tak, pozyskanie i przetwarzanie danych osobowych w opisany sposób podlega jurysdykcji organu ochrony danych (Prezesa UODO) i musi być zgodne z RODO.
Uzasadnienie
NSA wskazał, że definicja przetwarzania danych w RODO jest szeroka i obejmuje działania takie jak zbieranie, przeglądanie, wykorzystywanie danych, nawet jeśli odbywa się to w sposób inny niż zautomatyzowany, o ile dane stanowią część zbioru danych lub są dostępne poprzez systemy teleinformatyczne. Dostęp do danych logowania i korespondencji z komputera służbowego, nawet po rozwiązaniu umowy, stanowi przetwarzanie danych osobowych.
Czy Burmistrz miał podstawy prawne do pozyskania i przetwarzania danych osobowych pracownika z portalu społecznościowego?Ratio decidendi
Odpowiedź sądu
Nie, w okolicznościach sprawy Burmistrz nie wykazał istnienia przesłanek legalizujących przetwarzanie danych osobowych zgodnie z art. 6 i 9 RODO.
Uzasadnienie
Sąd uznał, że Burmistrz nie wykazał, iż przetwarzanie danych było niezbędne do wykonania zadania w interesie publicznym, sprawowania władzy publicznej, ani że istniały inne przesłanki z art. 6 RODO. Pozyskanie danych logowania i korespondencji z komputera służbowego po rozwiązaniu umowy o pracę, bez wyraźnej podstawy prawnej, stanowiło naruszenie.
Jaka jest właściwość organu w przypadku naruszenia ochrony danych osobowych polegającego na nieuprawnionym dostępie do korespondencji w mediach społecznościowych?Ratio decidendi
Odpowiedź sądu
Właściwym organem do rozpatrzenia sprawy jest Prezes Urzędu Ochrony Danych Osobowych.
Uzasadnienie
NSA skorygował wcześniejszą błędną wykładnię WSA, wskazując, że RODO i ustawa o ochronie danych osobowych regulują kwestie przetwarzania danych, a nie wyłącznie naruszenia dóbr osobistych czy tajemnicy korespondencji. Organ ochrony danych ma kompetencje do oceny legalności przetwarzania danych, nawet jeśli sprawa ma również wymiar cywilnoprawny.
Przepisy (20)
Główne
P.p.s.a. art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
u.o.d.o. art. 1 § 1
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
u.o.d.o. art. 60
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
RODO art. 5 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 6 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 9 § 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 58 § 2 lit. b
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 2 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 4 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 4 § 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 4 § 6
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Pomocnicze
P.p.s.a. art. 145 § 1 pkt 1 lit. a
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
P.p.s.a. art. 200
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
K.p.a. art. 7
Kodeks postępowania administracyjnego
K.p.a. art. 77 § 1
Kodeks postępowania administracyjnego
K.p.a. art. 80
Kodeks postępowania administracyjnego
K.p.a. art. 107 § 1 pkt 4
Kodeks postępowania administracyjnego
K.p.a. art. 107 § 3
Kodeks postępowania administracyjnego
k.c. art. 23
Kodeks cywilny
k.c. art. 24
Kodeks cywilny
Argumenty
Skuteczne argumenty
Pozyskanie danych logowania i korespondencji z komputera służbowego po rozwiązaniu umowy o pracę stanowi przetwarzanie danych osobowych podlegające RODO. • Prezes UODO był właściwy do rozpatrzenia sprawy dotyczącej naruszenia przepisów o ochronie danych osobowych. • Upomnienie jako środek nadzoru było właściwe w sytuacji naruszenia przepisów RODO.
Odrzucone argumenty
Sprawa dotyczy naruszenia prywatności i tajemnicy korespondencji, co leży w gestii sądów powszechnych. • Burmistrz miał prawo przetwarzać dane osobowe pracownika w ramach wykonywania zadań w interesie publicznym lub sprawowania władzy publicznej.
Godne uwagi sformułowania
Sąd związany jest wykładnią prawa dokonaną w tej sprawie przez NSA. • RODO ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych. • Dane logowania pozwalały na wejście do profilu konkretnej osoby fizycznej (identyfikując ją) i umożliwiały przeglądanie, zbieranie, pobieranie i wykorzystywanie nie tylko jej danych, ale również danych innych osób.
Skład orzekający
Dorota Kozub-Marciniak
sprawozdawca
Izabela Głowacka-Klimas
członek
Sławomir Fularski
przewodniczący
Informacje dodatkowe
Wartość precedensowa
Siła: Wysoka
Powoływalne dla: "Ustalenie jurysdykcji organu ochrony danych w sprawach dostępu do danych osobowych z urządzeń służbowych, interpretacja pojęcia 'przetwarzania danych' i 'zbioru danych' w RODO, oraz zasad legalności przetwarzania danych."
Ograniczenia: Orzeczenie dotyczy specyficznego stanu faktycznego, gdzie dane zostały pozyskane z komputera służbowego po rozwiązaniu umowy o pracę. Interpretacja RODO może ewoluować.
Wartość merytoryczna
Ocena: 7/10
Sprawa pokazuje, jak szeroko RODO jest interpretowane i jak ważne jest prawidłowe ustalenie jurysdykcji organów. Dotyczy powszechnie używanych platform (Facebook) i problemów związanych z danymi osobowymi w miejscu pracy.
“Czy dostęp do Facebooka pracownika po jego odejściu to naruszenie RODO? Sąd wyjaśnia.”
Twój asystent do analizy prawnej.
Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka 1,4 mln orzeczeń i aktualne akty prawne.
- Analiza orzecznictwa i przepisów
- Drafting pism i dokumentów
- Odpowiedzi na pytania prawne
- Pogłębiona analiza z doktryny
Pełny tekst orzeczenia
Oryginalna treść postanowienia (niezmieniona). Otwiera się jako osobna strona.