II SA/Wa 1318/24

II SA/Wa 1318/24 - Wyrok WSA w Warszawie
Data orzeczenia
2025-04-03
orzeczenie prawomocne
Data wpływu
2024-08-13
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Joanna Kruszewska-Grońska
Mateusz Rogala
Sławomir Antoniuk /przewodniczący sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U.UE.L 2016 nr 119 poz 1 art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. d, art. 16, art. 58 ust. 2 lit. b
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Dz.U. 2024 poz 935
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Sławomir Antoniuk (spr.), Sędzia WSA Joanna Kruszewska-Grońska, Asesor WSA Mateusz Rogala, , Protokolant starszy specjalista Ewa Kielak-Niedźwiedzka po rozpoznaniu na rozprawie w dniu 3 kwietnia 2025 r. sprawy ze skargi Powszechnego Zakładu Ubezpieczeń S.A. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] czerwca 2024 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO) decyzją z [...] czerwca 2024 r. nr [...], na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572, z późn. zm.); zwanej dalej K.p.a. w zw. z art. 6 ust. 1, art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35); zwanego dalej RODO, udzielił [...] S.A. z siedzibą w [...] przy ul. [...] zwanej dalej "Spółką", "[...] SA" upomnienia za naruszenie:
1. art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. d RODO polegające na przetwarzaniu nieprawidłowych danych osobowych J.P. w zakresie adresu do korespondencji, tj. ul. [...], [...],
2. art. 16 RODO polegające na nieuwzględnieniu w sposób niezwłoczny wniosku J.P. o sprostowanie nieprawidłowych danych.
W toku postępowania organ ustalił następujący stan faktyczny.
Do UODO wpłynęła skarga J.P.; zwanym dalej "skarżącym" lub "uczestnikiem" na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] S.A. z siedzibą w [...] na nieprawidłowości w procesie przetwarzania jego danych osobowych.
Skarżący zażądał od Spółki używania jego poprawnego adresu do korespondencji, tj. w sprawach, w których występuje jako konsument: J.P., [...], [...] , zaś w sprawach związanych z prowadzoną działalnością gospodarczą J.P., przedsiębiorca prowadzący działalność gospodarczą pod firmą j., [...], [...]. Podniósł, że adres ul. [...], [...] jest adresem, z którego nigdy nie korzystał.
W odpowiedzi z 19 stycznia 2021 r. Spółka wskazała, że adres: ul. [...], [...] został [...] lutego 2017 r. przypisany do skarżącego w produktowym systemie informatycznym Spółki jako jego adres: prywatny, tj. adres właściwy w sprawach, w których występuje w charakterze konsumenta oraz firmowy, tj. adres właściwy w sprawach związanych z prowadzoną przez niego działalnością gospodarczą. Przypisanie do skarżącego wymienionego adresu w produktowym systemie informatycznym jako jego adresu prywatnego oraz adresu firmowego nastąpiło w wyniku błędu współpracownika Spółki. W konsekwencji, korespondencja przeznaczona dla skarżącego (zarówno w sprawach, w których występował w charakterze konsumenta, jak i w sprawach związanych z prowadzoną przez niego działalnością gospodarczą) kierowana była na powyższy adres korespondencyjny. Spółka wskazała, że pomyłka ta miała charakter incydentalny i stanowiła niezamierzony błąd współpracownika. Spółka wyjaśniła, że korespondencję skierowaną na adres ul. [...], [...] stanowiły w szczególności pisma: dotyczące szkody o nr [...], tj. pismo z [...] lutego 2018 r. oraz z [...] marca 2018 r., skierowane przez Spółkę do skarżącego, w których zawarte były następujące dane/informacje dot. skarżącego: imię i nazwisko, data zdarzenia, nr szkody, nazwa ubezpieczenia, nr rej. samochodu; pismo dotyczące szkody o nr. [...] z [...] czerwca 2018 r. skierowane przez Spółkę do skarżącego, w którym zawarte były następujące dane/informacje dot. skarżącego: imię i nazwisko, data zdarzenia, nr szkody, nazwa ubezpieczenia, nr rej. samochodu - pismo to zostało zwrócone przez pocztę do Spółki; pismo dotyczące szkody o nr. [...] z [...] kwietnia 2019 r. skierowane przez Spółkę do skarżącego, w którym zawarte były następujące dane/informacje dotyczące skarżącego: imię i nazwisko, nr szkody, nazwa ubezpieczenia, nr rej. samochodu; pisma dotyczące szkody o nr. [...], tj. pismo z [...] sierpnia 2019 r. oraz z [...] września 2019 r., skierowane przez Spółkę do skarżącego, w których zawarte były następujące dane/informacje dotyczące skarżącego: imię i nazwisko, data zdarzenia, nr szkody, nazwa ubezpieczenia, pismo z [...] października 2019 r. skierowane przez Spółkę do skarżącego, w którym zawarte były następujące dane/informacje dotyczące skarżącego: imię i nazwisko, nr szkody, wysokość odszkodowania, nr rachunku bankowego - pisma dotyczące szkody o nr. [...] zostały zwrócone przez pocztę do Spółki; pisma dotyczące umów ubezpieczenia komunikacyjnego, tj. pismo z [...] sierpnia 2017 r. skierowane przez Spółkę do skarżącego, w którym zawarte były następujące dane/informacje dotyczące skarżącego: imię i nazwisko, nr rej. samochodu, nazwa ubezpieczenia - pismo to zostało zwrócone przez pocztę do Spółki, pismo z [...] lipca 2018 r. skierowane przez Spółkę do skarżącego, w którym zawarte były następujące dane/informacje dotyczące skarżącego: imię i nazwisko, nazwa ubezpieczenia, nr polisy, okres ubezpieczenia - pismo to zostało zwrócone przez pocztę do Spółki, pismo z [...] sierpnia 2018 r. skierowane przez Spółkę do skarżącego, w którym zawarte były następujące dane/informacje dotyczące skarżącego: imię i nazwisko, nazwa ubezpieczenia, nr polisy, nr rej. samochodu, pismo z [...] marca 2020 r. skierowane przez Spółkę do skarżącego, w którym zawarte były następujące dane/informacje dotyczące skarżącego: imię i nazwisko, nazwa ubezpieczenia, nr polisy, nr rej. samochodu.
Ponadto wskazała, że w związku z zaznaczeniem w produktowym systemie informatycznym Spółki w odniesieniu do skarżącego adresu: ul. [...], [...] adres ten został także przypisany do danych adresowych skarżącego w aktach spraw szkodowych dotyczących skarżącego, m.in. w: aktach szkody o nr [...], aktach szkody o nr [...], aktach szkody o nr [...], aktach szkody o nr [...], aktach szkody o nr [...].
Spółka podała, że pismem z [...] lipca 2018 r., błędnie oznaczonym przez skarżącego w treści skargi datą [...] sierpnia 2018 r., J.P. poinformował Spółkę, że jego prawidłowym adresem korespondencyjnym w sprawach dotyczących prowadzonej przez niego działalności gospodarczej jest wyłącznie adres: ul. [...], [...]. W piśmie tym nie kwestionował prawidłowości adresu: ul. [...], [...] jako adresu korespondencyjnego przypisanego do spraw o charakterze konsumenckim (tj. spraw niezwiązanych z prowadzoną działalnością gospodarczą). Wymienione pismo skarżącego odnosiło się wyłącznie do jego adresu korespondencyjnego w związku z prowadzoną przez niego działalnością gospodarczą. W związku z ww. pismem skarżącego w dniu [...] lipca 2018 r. pracownik Spółki oznaczył w produktowym systemie informatycznym Spółki adres: ul. [...], [...], jako firmowy adres korespondencyjny skarżącego, tj. adres właściwy do korespondencji w sprawach związanych z prowadzoną działalnością gospodarczą. O dokonanych zmianach skarżący został poinformowany przez Spółkę pismem z [...] lipca 2018 r.
Spółka wyjaśniła, że po [...] lipca 2018 r., w sprawach, w których skarżący występował jako konsument, Spółka przesyłała przeznaczoną dla niego korespondencję (pocztą tradycyjną w formie listownej) na adres: ul. [...], [...], ponieważ dokonana w systemie [...] lipca 2018 r. zmiana adresu korespondencyjnego skarżącego dotyczyła wyłącznie spraw związanych z prowadzoną przez niego działalnością gospodarczą. Korespondencję stanowiły pisma dotyczące szkody o nr. [...], tj. pismo z [...] sierpnia 2019 r. oraz z [...] września 2019 r., skierowane przez Spółkę do skarżącego, w których zawarte były następujące dane/informacje dotyczące skarżącego: imię i nazwisko, data zdarzenia, nr szkody, nazwa ubezpieczenia; pismo z [...] października 2019 r. skierowane przez Spółkę do skarżącego, w którym zawarte były następujące dane/informacje dotyczące skarżącego: imię i nazwisko, nr szkody, wysokość odszkodowania, nr rachunku bankowego. Ww. korespondencja została zwrócona przez pocztę do Spółki.
Spółka wyjaśniła także, że po [...] lipca 2018 r., na skutek pomyłki pracownika Spółki, wskazana poniżej korespondencja związana z prowadzoną przez skarżącego działalnością gospodarczą została przesłana (pocztą tradycyjną w formie listownej) na adres: ul. [...], [...]: pismo dotyczące szkody o nr. [...] z [...] kwietnia 2019 r. skierowane przez Spółkę do skarżącego, w którym zawarte były następujące dane/informacje dotyczące skarżącego: imię i nazwisko, nr szkody, nazwa ubezpieczenia, nr rej. samochodu, pisma dotyczące umów ubezpieczenia komunikacyjnego, tj. pismo z [...] lipca 2018 r. skierowane przez Spółkę do skarżącego, w którym zawarte były następujące dane/informacje dotyczące skarżącego: imię i nazwisko, nazwa ubezpieczenia, nr polisy, okres ubezpieczenia - pismo to zostało zwrócone do Spółki; pismo z [...] sierpnia 2018 r. skierowane przez Spółkę do skarżącego, w którym zawarte były następujące dane/informacje dotyczące skarżącego: imię i nazwisko, nazwa ubezpieczenia, nr polisy, nr rej. samochodu, pismo z [...] marca 2020 r. skierowane przez Spółkę do skarżącego, w którym zawarte były następujące dane/informacje dotyczące skarżącego: imię i nazwisko, nazwa ubezpieczenia, nr polisy, nr rej. samochodu.
Spółka wskazała, że skarżący [...] marca 2020 r. przesłał do Spółki wiadomość e-mail, w której zażądał właściwego oznaczania jego danych adresowych. Do tej wiadomości e-mail załączył ponownie pismo z [...] lipca 2018 r. W związku z kolejną korespondencją dotyczącą jego danych adresowych, pracownik Spółki [...] kwietnia 2020 r., w produktowym systemie informatycznym Spółki: w odniesieniu do spraw, w których skarżący występował w charakterze konsumenta - w danych kontaktowych oznaczył jako jego prywatny adres korespondencyjny adres: ul. [...], [...]. Oznacza to, że od [...] kwietnia 2020 r. adres: ul. [...], [...], nie był przypisany do korespondencyjnych danych adresowych skarżącego również w sprawach, w których występował jako konsument. Po [...] kwietnia 2020 r. adres, tj. ul. [...], [...] figurował w ww. systemie Spółki jedynie jako adres zameldowania i zamieszkania skarżącego, natomiast nie był on wykorzystywany przez Spółkę do kierowania korespondencji przeznaczonej dla skarżącego w sprawach, w których występował w charakterze konsumenta; w odniesieniu do spraw związanych z prowadzoną przez skarżącego działalnością gospodarczą - w danych kontaktowych oznaczył jako adres siedziby wykonywanej przez skarżącego działalności gospodarczej adres: ul. [...], [...]. Adres ten od 11 lipca 2018 r. przypisany jest w ww. systemie Spółki jako firmowy adres korespondencyjny skarżącego. W odpowiedzi na wiadomość e-mail skarżącego z 13 marca 2020 r., Spółka pismem z [...] kwietnia 2020 r. poinformowała go o skorygowaniu jego danych adresowych.
Spółka podała również, że skarżący w piśmie z [...] września 2020 r. zwrócił się po raz kolejny do Spółki z żądaniem używania jego prawidłowych adresów do kierowania korespondencji przeznaczonej dla niego. Spółka wskazała, że dopiero w tym piśmie, skarżący jednoznacznie określił, że: w sprawach, w których występuje jako konsument, korespondencja powinna być kierowana na adres: ul. [...], [...], w sprawach związanych z prowadzoną przez niego działalnością gospodarczą, korespondencja powinna być kierowana na adres: ul. [...], [...]. Dopiero z w tym piśmie skarżący po raz pierwszy poinformował Spółę, że adres: ul. [...], [...] nie jest jego prawidłowym adresem oraz, że nigdy takim adresem się nie posługiwał. Mając na uwadze ww. pismo skarżącego, pracownik Spółki 6 października 2020 r. dokonał zmiany w produktowym systemie informatycznym Spółki w ten sposób, że adres: ul. [...], [...] został oznaczony jako nieprawidłowy w odniesieniu do danych adresowych skarżącego, 6 listopada 2020 r. dokonał zmiany w produktowym systemie informatycznym Spółki w ten sposób, że w odniesieniu do spraw, w których skarżący występuje w charakterze, konsumenta - w danych kontaktowych, jako jego prywatny adres korespondencyjny, zamieszkania i zameldowania został oznaczony adres: ul. [...], [...].
Spółka wyjaśniła ponadto, że skarżący w dniu 10 października 2019 r. samodzielnie zarejestrował konto w serwisie elektronicznym nazwie "[...]", serwisie mającym na celu świadczenie określonych usług drogą elektroniczną przez wskazane poniżej spółki z Grupy [...], które są administratorami danych osobowych użytkowników konta we wskazanym serwisie. Administratorami danych osobowych użytkowników konta w serwisie "[...]" są następujące spółki z Grupy [...]: [...] SA, [...] , [...] Spółka Akcyjna, [...] Spółka Akcyjna, [...] Spółka Akcyjna oraz [...] Spółka Akcyjna. Usługi wykonywane są w ten sposób, że każda ze spółek z Grupy [...] (będąca administratorem danych) ma dostęp tylko do tych danych, do których posiadania jest uprawniona w zakresie wynikającym z zawartej z użytkownikiem serwisu umowy ubezpieczenia, posiadanych przez niego produktów lub świadczonych jemu usług. Na potrzeby założenia konta w ww. serwisie, skarżący podał następujące kategorie danych osobowych: dane identyfikacyjne, dane adresowe, dane kontaktowe, które jako dane służące wyłącznie identyfikacji skarżącego widoczne są dla wszystkich wymienionych powyżej spółek z Grupy [...].
Odnosząc się do zarzutów skarżącego Spółka poinformowała, że adres: ul. [...], [...] w ww. serwisie "[...]" przypisany został do skarżącego jako jego dane adresowe w wyniku błędu ludzkiego polegającego na dokonaniu przez współpracownika Spółki niepoprawnej aktualizacji, a następnie braku weryfikacji danych adresowych skarżącego przez kolejnego pracownika Spółki w procesie likwidacji szkody, w rezultacie czego doszło do zaktualizowania tych danych adresowych w serwisie [...]. Wobec tego adres ten był widoczny dla wszystkich wymienionych powyżej spółek z Grupy PZU (będących współadministratorami serwisu "[...]"). Po zidentyfikowaniu wskazanej pomyłki Spółka podjęła działania naprawcze polegające na tym, że w ww. serwisie zostały prawidłowo oznaczone dane adresowe skarżącego.
Spółka wyjaśniła, że aktualnie, zarówno w sprawach, w których skarżący występuje jako konsument, jak i w sprawach związanych z prowadzoną przez niego działalnością gospodarczą, w produktowym systemie informatycznym Spółki, w aktach spraw szkodowych dotyczących skarżącego, a także w serwisie elektronicznym "[...]", adres: ul. [...], [...] nie widnieje jako dane adresowe skarżącego. Oznacza to, że pod adres: [...], [...] Spółka nie będzie już kierowała żadnej korespondencji przeznaczonej dla skarżącego. Adres: ul. [...], [...] jest aktualnie przetwarzany przez Spółkę wyłącznie w celach archiwalnych, tj. na potrzeby wykazania dokonywanych zmian danych adresowych skarżącego w produktowym systemie informatycznym Spółki, na koncie skarżącego w serwisie "[...]" (którego [...] SA jest jednym ze współadministratorów) oraz w aktach szkodowych dotyczących skarżącego.
W ocenie Spółki spełniła ona w całości żądania skarżącego zawarte w skardze wniesionej do PUODO. Podkreśliła, że skarżący w tym samy dniu, tj. w dniu 30 września 2020 r. wniósł zarówno skargę do PUODO, jak i pismo do Spółki, w którym poinformował o jego prawidłowym adresie korespondencyjnym w sprawach, w których występuje w charakterze konsumenta, co oznacza, że pozbawił Spółkę realnych możliwości uwzględnienia jego żądań przed wniesieniem skargi.
Prezes UODO wskazał, że ze zgromadzonego w aktach sprawy materiału dowodowego wynika, że adres korespondencyjny, tj. ul. [...], [...] został 13 lutego 2017 r. przypisany do skarżącego w produktowym systemie informatycznym Spółki jako jego adres prywatny oraz firmowy. Powyższe nastąpiło w wyniku błędu współpracownika Spółki. W konsekwencji, korespondencja przeznaczona dla skarżącego, zarówno w sprawach, w których występował w charakterze konsumenta, jak i w sprawach związanych z prowadzoną przez niego działalnością gospodarczą, kierowana była na powyższy adres korespondencyjny, który Spółka przetwarzała jako dane osobowe skarżącego. Spółka wskazała wprawdzie, że pomyłka ta miała charakter incydentalny i stanowiła niezamierzony błąd współpracownika. Nie można jednak pominąć faktu, że skutkiem tego błędu było przetwarzanie ww. adresu jako danych osobowych skarżącego i wielokrotne kierowanie do niego korespondencji na ww. nieprawidłowy adres.
Spółka z jednej strony przyznała się do błędu, z drugiej jednak zaprzeczyła, aby doszło do nieprawidłowości w procesie przetwarzania danych osobowych skarżącego i uznała, że do momentu wskazania przez niego prawidłowego adresu do korespondencji, kierowanie korespondencji na adres skarżącego błędnie wprowadzony do systemu informatycznego Spółki, było prawidłowe. W ocenie organu, wbrew twierdzeniom Spółki, takie działanie było niedopuszczalne i stanowiło naruszenie zarówno art. 6 ust. 1 RODO, gdyż Spółka nie legitymowała się żadną podstawą prawną przetwarzania ww. adresu jako danych osobowych skarżącego, jak i zasady prawidłowości, o której mowa w art. 5 ust. 1 lit. d RODO, w myśl której Spółka jako administrator odpowiadała za to, by przetwarzać prawidłowe dane osobowe skarżącego.
Organ podkreślił, że obowiązkiem Spółki było pozyskanie i wprowadzenie do systemu Spółki, a następnie przetwarzanie prawidłowego, podanego przez skarżącego, będącego jej klientem adresu, w tym kierowanie korespondencji na prawidłowy adres.
Jak wynika z materiału dowodowego skarżący po raz pierwszy zakwestionował kierowanie do niego korespondencji na adres ul. [...], [...] pismem z 2 lipca 2018 r. Poinformował wówczas Spółkę, że jego prawidłowym adresem korespondencyjnym w sprawach dotyczących prowadzonej przez niego działalności gospodarczej jest wyłącznie adres: ul. [...], [...]. Spółka wskazała, że skarżący nie kwestionował w tym piśmie prawidłowości adresu przypisanego do spraw o charakterze konsumenckim. Zauważył, że z treści ww. pisma, dołączonego przez Spółkę do wyjaśnień w niniejszej sprawie wynika, że skarżący wskazał, iż adresu ul. [...],[...] nie zna i nigdy nie miał z nim do czynienia, zaś kierowanie korespondencji na ten adres spowodowało dla niego szereg negatywnych skutków. Powyższe powinno zostać przez Spółkę uwzględnione również w kontaktach Spółki ze skarżącym w sprawach konsumenckich. Spółka poinformowała skarżącego pismem z 11 lipca 2018 r. o skorygowaniu błędu wskazując, że adres korespondencyjny na koncie skarżącego to: ul. [...]. Kolejne pismo skarżącego, informujące o nieprawidłowościach związanych z kierowaniem do niego korespondencji, wpłynęło do Spółki drogą mailową 13 marca 2020 r. Pismo zawierało załącznik w postaci pisma z [...] lipca 2018 r. Na powyższe Spółka odpowiedziała 8 kwietnia 2020 r. informując, że skorygowała nieprawidłowości i adresem korespondencyjnym na koncie skarżącego jest adres ul. [...]. Spółka wskazała także, że dopiero w piśmie skarżącego z [...] września 2020 r. otrzymała jednoznaczną informację o prawidłowych adresach do korespondencji skarżącego w sprawach prywatnych i firmowych. Nie miała jednak szansy dostosować procesów przetwarzania danych osobowych skarżącego do tego wniosku przed wszczęciem postępowania w niniejszej sprawie, gdyż tego samego dnia złożył skargę do organu. Spółka przyznała jednak, że po 2 lipca 2018 r. na skutek błędu pracownika nadal kierowała korespondencję do skarżącego w sprawach dotyczących prowadzonej przez niego działalności gospodarczej na adres ul. [...], [...].
Zdaniem organu wyjaśnienia Spółki nie mogły stanowić usprawiedliwienia dla zaistniałych nieprawidłowości w procesie przetwarzania danych osobowych skarżącego. Nawet po uzyskaniu informacji o nieprawidłowym adresie, Spółka konsekwentnie nadal przetwarzała ww. nieprawidłowy adres skarżącego i kierowała na ten adres do niego korespondencję. Nie można także zgodzić się ze Spółką, że dopiero 30 września 2020 r. Spółka uzyskała informację, że adres ul. [...], [...] jest nieprawidłowym adresem do korespondencji również w sprawach, w których występuje jako konsument. Spółka posiadała wiedzę w tym zakresie dużo wcześniej, ponieważ już pismem z [...] lipca 2018 r. skarżący wskazując swój prawidłowy adres poinformował ją, że adresu ul. [...] nie zna i nigdy nie miał z nim do czynienia.
Ocena dokonywana przez Prezesa UODO w każdym przypadku służy zbadaniu zasadności skierowania pod adresem określonego podmiotu nakazu, odpowiadającego dyspozycji art. 58 ust. 2 RODO, służącego przywróceniu stanu zgodnego z prawem, w procesie przetwarzania danych - jest więc ona uzasadniona i potrzebna tylko o tyle, o ile nieprawidłowości w procesie przetwarzania danych osobowych istnieją. W związku z naruszeniem art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. d RODO, poprzez przetwarzanie nieprawidłowego adresu do korespondencji skarżącego, wprowadzonego do systemu informatycznego Spółki w wyniku błędu jej pracownika, w tym poprzez kierowanie na ww. nieprawidłowy adres korespondencji, a także w związku z naruszeniem art. 16 RODO, poprzez nieuwzględnienie w sposób niezwłoczny wniosku skarżącego o sprostowanie nieprawidłowych danych, organ zgodnie z art. 58 ust. 2 lit. b RODO udzielił Spółce upomnienień.
W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie [...] S.A. z siedzibą w [...] zakwestionowała decyzję Prezesa UODO z [...] czerwca 2024 r. nr [...] i wniosła o jej uchylenie oraz umorzenie postępowania, ewentualnie przekazanie sprawy do ponownego rozpoznania oraz zasądzenie kosztów postępowania, w tym kosztów zastępstwa procesowego według norm przepisanych.
Zaskarżonemu rozstrzygnięciu Spółka zarzuciła naruszenie:
1. art. 105 § 1 K.p.a. w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, poprzez jego niezastosowanie, w sytuacji istnienia podstaw do umorzenia postępowania w wyniku którego została ona wydana, tj. wobec oświadczenia złożonego przez R.J. Inspektora Ochrony Danych Osobowych w [...] S.A. zawartego w piśmie z [...] stycznia 2021 r. zawierającym stanowisko w sprawie, o spełnieniu przez [...] S.A. całości żądań J.P. zawartych w skardze, co z kolei skutkowało bezprzedmiotowością przedmiotowego postępowania administracyjnego,
2. art. 58 ust. 2 lit. b RODO, poprzez jego nieuzasadnione i błędne zastosowanie, tj. wobec braku podstaw do udzielania upomnień z pkt 1 i 2, w sytuacji gdy zachodziły przesłanki do obligatoryjnego umorzenia postępowania administracyjnego,
3. art. 107 § 1 pkt 6 K.p.a. w zw. art. 7 K.p.a., art. 11 K.p.a. w zw. z art. 7 ust. 1 ustawy o ochronie danych osobowych, poprzez dowolną i pobieżną ocenę zebranego materiału dowodowego, a w szczególności brak odniesienia się do podniesionego przez [...] S.A. zarzutu bezprzedmiotowości postępowania, motywów jakimi kierował się organ udzielając obu upomnień oraz odniesienia się w sposób zupełny i jasny do stanowiska [...] S.A. zajętego w sprawie (pismo z [...] stycznia 2021 r.), w tym zawartej tam argumentacji dotyczącej podstaw prawnych do przetwarzania przez [...] S.A. danych osobowych J.P., w tym danych adresowych kwestionowanych w jego skardze skierowanej do organu, a także poprzez pozorne wyjaśnienie w prowadzonym postępowaniu okoliczności związanych z treścią oświadczeń J.P. dotyczących danych adresowych związanych z jego statusem jako przedsiębiorcy,
4. art. 58 ust. 2 lit. b RODO, poprzez udzielenie upomnień wyłącznie jako sankcji, o represyjnym charakterze, tj. bez uwzględnienia celu prewencyjnego tego działania naprawczego, wobec czasu trwania postępowania administracyjnego, jak też nie zawierając w skarżonej decyzji wskazań prewencyjnych (pożądanych z punktu widzenia organu reguł postępowania [...] S.A. w zakresie przetwarzania danych osobowych, w sytuacjach występujących w sprawie),
5. art. 16 RODO, poprzez zaniechanie wykazania przez organ na czym polegał zarzut "nieuwzględnienia w sposób niezwłoczny wniosku" J.P., tj. na czym poległa zwłoka [...] S.A. zakresie tej okoliczności,
6. art. 58 ust. 2 lit. b RODO i art. 11 K.p.a. w zw. z art. 7 ust. 1 ustawy o ochronie danych osobowych poprzez niesprecyzowanie w udzielonych upomnieniach oraz w uzasadnieniu decyzji:
a) z pkt 1) decyzji – okresu, w którym miało miejsce zarzucone przetwarzanie nieprawidłowych danych osobowych J.P. w zakresie adresu do korespondencji,
b) z pkt 2) decyzji - skonkretyzowania wniosku J.P. o sprostowanie danych, który wg zarzutu nie został niezwłocznie rozpatrzony przez [...] S.A.
Strona skarżąca wskazała, że w piśmie z [...] stycznia 2024 r. podpisanym przez R.J. – Inspektora Ochrony Danych Osobowych podniesiono zarzut bezprzedmiotowości prowadzonego przez Prezesa UODO postępowania administracyjnego. Zawarto tam też oświadczenie o spełnieniu przez Spółkę całości żądań J.P. zawartych w skardze wniesionej do organu.
Jeżeli zatem w toku postepowania przed Prezesem UODO zostało złożone oświadczenie o zaspokojeniu przez Spółkę żądań J.P. to w konsekwencji oznaczało, iż ustał stan nieprawidłowości w przetwarzaniu danych osobowych. Zatem w dacie późniejszej decyzji administracyjnej (wydanej ponad 3 lata później) nieprawidłowość w przetwarzaniu danych adresowych uczestnika już nie występowała. W związku z tym postępowanie zainicjowane jego skargą stało się bezprzedmiotowe i powinno być umorzone, czego organ nie uczynił.
Spółka zaznaczyła, że organ w uzasadnieniu zaskarżonej decyzji sam wskazał na potrzebę występowania (istnienia) nieprawidłowości w procesie przetwarzania danych osobowych (str. 9). Jeżeli więc organ nie uwzględnił zarzutu strony skarżącej w zakresie bezprzedmiotowości postępowania, to powinien się do tego odnieść się, czego również nie uczynił.
W ocenie Spółki miała ona prawo oczekiwać od organu rzetelnego i zupełnego zbadania okoliczności faktycznych sprawy związanych z niejednoznacznością postawy J.P., w zakresie treści i celu oświadczeń kierowanych do Spółki co do jego danych adresowych (korespondencyjnych), postawy i działań podejmowanych przez [...] S.A. w związku z wystąpieniami skarżącego, przyczyn występujących nieprawidłowości (błąd pracownika), epizodycznego charakteru przypadków nieprawidłowego przetwarzania danych adresowych skarżącego, rodzaju danych osobowych zawartych w korespondencji przesyłanej na niewłaściwy adres, faktów zwrotu przesyłek (bez ich otwierania), czasu trwania. Nie bez znaczenia była także pełna współpraca [...] S.A. z organem w trakcie postępowania, w tym związana z przekazaniem wyczerpujących wyjaśnień i informacji.
Uwadze organu umknął także prewencyjny charakter środka z art. 58 ust. 2 lit b RODO, a przez to konieczność wyjaśnienia, czy w [...] S.A. podjęto we własnym zakresie jakieś działania naprawcze i innowacyjne, tak aby wyeliminować, bądź znacznie zredukować niepożądane skutki związane z podobnymi przyszłymi sytuacjami. Nie bez znaczenia jest tutaj znaczny odstęp czasowy pomiędzy przekazaniem przez [...] SA stanowiska w sprawie (styczeń 2021 r.) i datą wydania zaskarżonej decyzji (czerwiec 2024 r.). Trudno znaleźć argumenty przemawiające, za tym iż nadal aktualnym jest cel prewencyjny, a może bardziej profilaktyczny zastosowanego upomnienia jeżeli od czasu zebrania materiału dowodowego do wydania decyzji upłynął tak znaczny okres czasu. Organ przed udzieleniem upomnień jeżeli faktycznie zamierzał zastosować środek prewencyjny, a nie ukrytą sankcję (quasi karę) powinien zwrócić się do Spółki z zapytaniem aktualizacyjnym o podjęte w międzyczasie działania zaradcze czy profilaktyczne. Postęp gospodarczy i innowacje wymuszone czasami przez okres COVID-24 mogły spowodować chociażby znaczne zredukowanie korespondencji pisemnej wysyłanej tradycyjną pocztą.
Strona skarżąca podkreśliła także, że Prezes UODO nie ma prawnego obowiązku w każdym przypadku stosowania środków z art. 58 ust. 2 RODO. Jeżeli jednak zdecydował się na zastosowanie upomnień, to powinien podejmować je z poszanowaniem ogólnych zasad postępowania administracyjnego, wynikających z art. 11 K.p.a. Adresat upomnienia ma prawo oczekiwać określoności środka naprawczego, nawet jeżeli ma on głównie prewencyjny charakter. W zaskarżonej decyzji w upomnieniu z pkt 1 zarówno w sentencji, jak i uzasadnieniu nie wskazano okresu czasu, w którym miało miejsce zarzucone [...] SA przetwarzanie nieprawidłowych danych osobowych J.P. w zakresie adresu do korespondencji. Tym samym adresat tego upomnienia nie wie z jakiego okresu jego postępowanie zostało negatywnie ocenione przez organ. Poza tym również J.P. nie otrzymuje jasnej informacji, a nawet może błędnie odczytać taką decyzję, jako sugerującą nadal trwające nieprawidłowości w przetwarzaniu jego danych osobowych. Z kolei w przypadku upomnienia z pkt 2 [...] S.A. nie otrzymała żadnej informacji czym kierował się organ stwierdzając, iż nastąpiła zwłoka w reakcji Spółki na wystąpienie J.P., a niezależnie od tego adresat upomnienia nadal nie wie, które z wystąpień skarżącego zostało wzięte tutaj pod uwagę przez organ.
W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując argumentację wyrażoną w zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
W świetle art. 1 § 1 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (t.j. Dz. U. z 2024 r. poz. 1267), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym stosownie do § 2 art. 1 powołanej ustawy kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.
Rozpoznając sprawę w świetle powołanych powyżej kryteriów, należy stwierdzić, że skarga nie zasługuje na uwzględnienie.
Zaskarżona decyzja Prezesa UODO nie narusza przepisów postępowania, w tym powołanych w skardze przepisów art. 7, art. 11, art. 107 § 1 pkt 6 K.p.a., jak również art. 105 § 1 K.p.a. Organ w sposób wyczerpujący i wystarczający dla rozstrzygnięcia niniejszej sprawy zebrał niezbędny materiał dowodowy. Dokonana przez organ ocena tego materiału dowodowego nie była dowolna. Także uzasadnienie zaskarżonej decyzji spełnia wymogi art. 107 § 3 K.p.a. i nie pozostawia wątpliwości dlaczego organ rozstrzygnął sprawę w sposób w nim określony. Sąd nie stwierdził w tej sprawie również naruszenia przepisu art. 58 ust. 2 lit. b RODO, który to przepis organ prawidłowo zastosował. Zasadnie bowiem zakwalifikował stwierdzone w toku postępowania nieprawidłowości w przetwarzaniu danych osobowych J.P., na których sygnalizację przez wymienionego administrator danych osobowych w sposób wymagany obowiązującymi przepisami prawa nie zareagował, jako dające podstawę do udzielenia upomnienia.
Kontrolowaną decyzją Prezes UODO udzielił upomnienia Spółce za nieprawidłowe przetwarzanie danych osobowych J.P. w zakresie adresu do doręczeń korespondencji oraz nieuwzględnienie niezwłocznie wniosku wymienionego o sprostowanie nieprawidłowych danych osobowych.
Ustalony w niniejszej sprawie, m.in. w oparciu o obszerne wyjaśnienia Spółki, stan faktyczny nie budzi wątpliwości. Pismem z [...] lipca 2018 r. J.P. poinformował Spółkę o kierowaniu do niego korespondencji, w ramach prowadzonej działalności, na niewłaściwy adres do doręczeń. Spółka 11 lipca 2018 r. wystosowała do zainteresowanego pismo informujące o zmianie danych adresowych firmy J.P. w systemie informatycznym. Spółka przy tym nie kwestionuje, iż na skutek błędu jej pracownika po 11 lipca 2018 r. korespondencja kierowana do J.P. w ramach prowadzonej działalności była nadal adresowana do wymienionego na zakwestionowany uprzednio adres do doręczeń. Korespondencję do wymienionego jako konsumenta (osoby fizycznej) do 8 kwietnia 2020 r. także kierowano na adres ul. [...], [...]. Czyniono tak pomimo, co [...] S.A. w swych wyjaśnieniach przyznała, iż "Skarżący oznaczył jako jego prywatny adres korespondencyjny następujący adres: ul. [...], [...]". Spółka nieprawidłowość w powyższym zakresie tłumaczyła faktem, że zainteresowany w swym piśmie z [...] lipca 2018 r. nie zawarł analogicznego zastrzeżenia jak do adresu swojej firmy. Dopiero na skutek ponaglającego pisma J.P. z [...] marca 2020 r., od 8 kwietnia 2020 r. administrator danych osobowych wymienionego zaprzestał przetwarzania nieprawidłowego adresu do korespondencji.
Z powyższych ustaleń wynika, iż Spółka przetwarzała dane osobowe J. P. w zakresie adresu do doręczeń w sposób nieprawidłowy posługując się błędnymi danymi, jak sama przyznała, na skutek nieprawidłowego określenia przedmiotowych danych w systemie informatycznym przez współpracownika spółki. Następnie przez niemal 2 lata od sygnalizacji zainteresowanego, na skutek błędu pracownika, nadal przetwarzała dane adresowe wymienionego w sposób nieprawidłowy. Zatem organ nadzoru nad ochroną danych osobowych był uprawniony przyjąć, iż o ile pierwsze ze stwierdzonych uchybień, jako błąd niedostrzeżony można oceniać w kategoriach okoliczności niepociągających skutków prawnonadzorczych, to już stwierdzenie posiadania przez administratora wiedzy o nieprawidłowościach w zakresie przetwarzania danych osobowych i niepodjęcie przezeń skutecznych środków mających na celu wyeliminowanie stwierdzonych nieprawidłowości legitymuje potrzebę zastosowania środków dyscyplinujących. Nie zmienia tej oceny stanowisko Spółki, że była ona uprawniona do posługiwania się adresem ul. [...], [...] kierując korespondencję do J.P. jako konsumenta, skoro w piśmie z [...] lipca 2018 r. nie zastrzegł on wyraźnie, iż niewłaściwy dres do doręczeń dotyczy również korespondencji kierowanej do osoby fizycznej. Nie jest to pogląd słuszny skoro wymieniony zawierając umowy na świadczenia usług ubezpieczeniowych jako konsument wyraźnie podał inny adres do doręczeń, a ponadto w przedmiotowym piśmie zastrzegł, że adresu do doręczeń, który się Spółka posługuje nie zna i z niego nie korzysta. Jeżeli nawet Spółka dysponowała sprzecznymi danymi adresowymi, to powinna podjąć czynności zmierzające do ustalenia rzeczywistego adresu do doręczeń osoby, której dane osobowe przetwarza. Tymczasem sprzeciwu J.P. z [...] lipca 2018 r. nie uwzględniła do 8 kwietnia 2020 r. w odniesie do adresu jego firmy i do 30 września 2020 r. w odniesieniu do adresu konsumenckiego. W analizowanym przypadku nie może zatem budzić wątpliwości, że prawo wymienionego do sprostowania jego nieprawidłowych danych osobowych nie nastąpiło niezwłocznie w rozumieniu art. 16 RODO.
W realiach tej sprawy, w ocenie składu orzekającego, Prezes UODO prawidłowo stwierdził, że przetwarzanie danych osobowych J.P. w zakresie nieprawidłowego adresu do korespondencji odbyło się z naruszeniem art. 5 ust. 1 lit d RODO oraz nie znajdowało oparcia w żadnej z przesłanek wymienionych w art. 6 ust. 1 RODO i tym samym nastąpiło bez podstawy prawnej. To ustalenie Prezesa UODO jest zdaniem Sądu prawidłowe i zasadnie stanowiło – w okolicznościach stanu faktycznego tej sprawy – dostateczną podstawę do udzielenia [...] S.A. upomnienia.
Zgodnie z art. 5 ust. 1 lit d RODO, dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane ("prawidłowość"). Stosownie do art. 6 ust. 1 RODO, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z warunków podanych w lit. a) – f). Nie ulega wątpliwości, że posługiwanie się przez Spółkę adresem do doręczeń nieakceptowanym przez stronę, na rzecz której usługi świadczy [...] S.A., nie jest legitymowane żadnym ze wskazanym w art. 6 ust. 1 RODO przypadków. Stąd też brak przywołania w zaskarżonej decyzji konkretnej jednostki redakcyjnej powołanego przepisu (lit. a – f) nie stanowi o wadliwości decyzji.
W świetle art. 16 RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia. Jak wynika z powyższych ustaleń prawo J.P. do sprostowania własnych danych nie zostało zrealizowane niezwłocznie, bowiem na pisemną sygnalizację w tym przedmiocie z 2 lipca 2018 r. Spółka zareagowało skutecznie dopiero po kolejnych pismach upominawczych z 13 marca i 30 września 2020 r.
Prawidłowo zatem organ uznał, że [...] S.A. dopuścił się naruszenia wskazanych powyżej przepisów RODO. W związku z powyższym Prezes UODO korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. b RODO był legitymowany do udzielenia Spółce kwestionowanych przez nią upomnień.
Wskazać przy tym należy, że jest to jeden z najłagodniejszych środków stosowanych przez Prezesa UODO. Zdaniem Sądu zastosowany środek jest adekwatny do stwierdzonych w decyzji naruszeń przepisów RODO. Waga stwierdzonych naruszeń i ich charakter dawały podstawy do zastosowania środka naprawczego z art. 58 ust. 2 lit. b RODO. W świetle tego przepisu, organ nadzoru udziela upomnienia administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania.
Wbrew zarzutom skargi, zaprzestanie przetwarzania danych osobowych przez stronę postępowania nadzorczego przed jego zakończeniem nie czyni tego postępowania bezprzedmiotowym i nie stanowi przeszkody w stosowaniu środków naprawczych. Te bowiem mają wieloraki charakter. Ostrzeżenia są środkami prewencyjnymi i powinny być wykorzystywane w sytuacji, gdy organ nadzorczy dostrzega możliwość naruszenia przepisów rozporządzenia poprzez planowane operacje przetwarzania. Mają zapobiegać naruszaniu ochrony danych w przyszłości. Natomiast upomnienie może być stosowane – jak wyjaśniono w motywie 148 preambuły – w przypadku, gdy naruszenie przepisów rozporządzenia jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie. Podkreślono, iż: "Aby egzekwowanie przepisów niniejszego rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy". Oznacza to, iż samo stwierdzenie przez organ nadzorczy naruszenia przepisów RODO, choćby stan naruszający prawo został usunięty, rodzi określone skutki w postaci kary pieniężnej (sankcji dotkliwej) za naruszenia większej wagi lub upomnienia (sankcji łagodnej – o charakterze w istocie prewencyjnym, zmierzającym do wytknięcia nieprawidłowości w celu zapobieżenia podobnym naruszeniom w przyszłości) w przypadku naruszeń o niewielkim znaczeniu. Natomiast typowymi środkami nadzorczymi, w jakie został wyposażony organ właściwy w sprawach ochrony danych, są nakazy i zakazy, które mają na celu w przywrócić stwierdzony w toku postępowania naruszony stan prawny.
Odnosząc się do zarzutu naruszenia art. 105 § 1 K.p.a. należy wskazać, iż organy administracji publicznej mają obowiązek umorzyć postępowanie w każdym przypadku, gdy stało się ono bezprzedmiotowe. Bezprzedmiotowość, o której mowa w art. 105 § 1 k.p.a., oznacza brak podstaw prawnych do merytorycznego rozpoznania danej sprawy. Wiąże się to z brakiem któregoś z elementów stosunku materialnoprawnego, co skutkuje tym, że nie można załatwić sprawy przez jej rozstrzygniecie co do istoty. Tak więc bezprzedmiotowość zachodzi w sytuacjach, gdy w świetle prawa materialnego i ustalonego stanu faktycznego nie mamy do czynienia ze sprawą administracyjną mogącą być przedmiotem postępowania. Bezprzedmiotowość może mieć charakter podmiotowy, jak i przedmiotowy. W przypadku przyczyny o charakterze przedmiotowym, brak jest przedmiotu faktycznego do rozpoznania. Organ uprawniony jest więc do umorzenia postępowania w sytuacji, gdy brak jest podstaw prawnych lub faktycznych do prowadzenia postępowania administracyjnego i do merytorycznego rozstrzygnięcia sprawy. Taka sytuacja w analizowanym przypadku nie zachodzi bowiem stosowanie środka naprawczego w postaci upomnienia nie zostało obwarowane cenzurą czasową, czy też zastrzeżone dodatkowymi warunkami, tj. występowaniem nieprawidłowości w dacie wydania decyzji administracyjnej, co postuluje skarżąca Spółka. Prowadzenie postępowania w sposób przewlekły jest niewątpliwie naganne i narusza przepisy procesowe zakreślające terminy załatwienia sprawy, lecz jest to naruszenie, które nie wpływa na prawidłowość samego rozstrzygnięcia oraz nie uzasadnia umorzenia prowadzonego postępowania.
Sąd nie podziela także zarzutu sporządzenia w sposób wadliwy sentencji decyzji. Nieprzywołanie w sentencji decyzji okresu w jakim doszło do naruszenia przez spółkę przepisów RODO nie stanowi naruszenia prawa, bowiem przepisy RODO regulujące kwestię stosowania uprawnień naprawczych nie przewidują takiego elementu konstrukcji rozstrzygnięcia. W przeciwieństwie do nakładania kar pieniężnych (art. 58 RODO), prawodawca nie wprowadził nawet formalnych warunków stosowania przedmiotowego środka naprawczego. Natomiast art. 107 § 1 pkt K.p.a., do którego zastosowania w tym zakresie odsyła art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) stanowi, iż decyzja zawiera rozstrzygniecie. Rozstrzygnięcie (osnowa decyzji) musi być sformułowane w taki sposób, aby nie było wątpliwości, czego ono dotyczy, jakie uprawnienia zostały przyznane lub jakie obowiązki zostały nałożone na stronę. Wszystkie niezbędne elementy osnowy decyzji kwestionowana decyzja zawiera. Ustala bowiem w dostatecznym stopniu na jaki podmiot, za jakie naruszenie, z przywołaniem naruszonych przepisów prawa, nakłada określony obowiązek.
Reasumując, zaskarżona decyzja Prezesa UODO nie narusza norm prawa materialnego czy procesowego, w stopniu który miałby wpływ na wynik sprawy. Organ prawidło ustalił stan faktyczny sprawy, w wystarczający sposób zebrał i ocenił materiał dowodowy, a następnie w przekonywujący sposób uzasadnił swoje rozstrzygnięcie. Postępowanie administracyjne zostało przeprowadzone zgodnie z zasadami ogólnymi K.p.a., a w szczególności art. 7, art. 8, art. 11 K.p.a., a także innymi normami, zwłaszcza art. 77 i art. 80 K.p.a., a zaskarżone rozstrzygnięcie zostało oparte na prawidłowej interpretacji norm prawa materialnego.
Z tych względów, uznając że zaskarżona decyzja nie narusza prawa, zaś zarzuty podniesione w skardze nie zasługują na uwzględnienie, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 P.p.s.a., orzekł jak w sentencji wyroku.