II SA/Wa 1320/24

II SA/Wa 1320/24 - Wyrok WSA w Warszawie
Data orzeczenia
2025-01-30
orzeczenie nieprawomocne
Data wpływu
2024-08-13
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Góraj /sprawozdawca/
Andrzej Kołodziej /przewodniczący/
Sławomir Fularski
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżoną decyzję
Powołane przepisy
Dz.U. 2024 poz 935
art. 145 § 1 pkt 1c
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Kołodziej, Sędzia WSA Sławomir Fularski, Sędzia WSA Andrzej Góraj (spr.), , po rozpoznaniu w trybie uproszczonym w dniu 30 stycznia 2025 r. sprawy ze skargi [...] z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] czerwca 2024 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz strony skarżącej [...] z siedzibą w [...] kwotę 697 (sześćset dziewięćdziesiąt siedem) złotych, tytułem zwrotu kosztów postępowania.
Uzasadnienie
Postępowanie w sprawie zainicjowała skarga J. B. skierowana do Prezesa Urzędu Ochrony Danych Osobowych na nieprawidłowości w procesie przetwarzania jej danych osobowych przez [...] S.A. z siedzibą w [...] (dalej jako: Bank) , polegające na przetwarzaniu danych osobowych Skarżącej bez podstawy prawnej.
Decyzją z dnia [...] czerwca 2024r. Prezes Urzędu Ochrony Danych Osobowych udzielił upomnienia [...] S.A. z siedzibą w [...] za naruszenie art. 6 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), polegające na przetwarzaniu danych osobowych J. B., w zakresie jej numeru telefonu w dniu [...] czerwca 2022 r. bez podstawy prawnej.
W uzasadnieniu wskazano, że na numer telefonu skarżącej zadzwonił pracownik Banku, który chciał zaktualizować dane jej dowodu osobistego. Skarżąca podała, że nie jest klientką Banku i że nigdy nie przekazywała Bankowi swoich danych osobowych. Pracownik stwierdził, że doszło do pomyłki. Bank wskazał, że nie przetwarzał danych osobowych Skarżącej przed wszczęciem postępowania przez Prezesa UODO . Bank wskazał, że dopiero z przekazanej przez Prezesa UODO skargi dowiedział się, że rozmowa prowadzona była ze Skarżącą. Bank przed otrzymaniem pisma Prezesa UODO nie posiadał żadnych danych Skarżącej. Podczas rozmowy Skarżąca została poinformowana o prawdopodobnym zaistnieniu pomyłki dotyczącej błędnie zapisanego numeru telefonu.
Dodano też, iż jak wynika z wyjaśnień Banku, połączenie powinno zostać wykonane na inny numer telefonu, jednakże zostało wykonane na podawany w skardze i piśmie Prezesa UODO numer telefonu omyłkowo, z powodu błędu Konsultanta, który przyjmując zgłoszenie od klienta Banku z prośbą o jednorazowy skuteczny kontakt zwrotny, pomylił w numerze telefonu jedną cyfrę.
W części merytorycznej wskazano, że numery telefonu stanowią dane osobowe
w rozumieniu przepisów RODO.
Podkreślono że na administratorze danych osobowych, którym w rozumieniu
art. 4 pkt 7 RODO jest Bank, ciąży obowiązek prawny przetwarzania danych osobowych zgodnie z obowiązującymi przepisami, a w szczególności obowiązek zapewnienia, by przetwarzanie odbywało się na podstawie co najmniej jednej
z enumeratywnie wymienionych przesłanek art. 6 ust. 1 RODO.
W związku z powyższym uznano, że w dniu [...] czerwca 2022 r. doszło do nieprawidłowości polegających na przetwarzaniu przez Bank danych osobowych Skarżącej w postaci numeru telefonu, które nie znajdowało oparcia w żadnej
z przesłanek wymienionych w art. 6 ust. 1 RODO. Mając na względzie powyższe, stwierdzono, że Bank naruszył zasadę zgodności z prawem i prawidłowości
(art. 5 ust. 1 lit. a RODO) a to na Banku będącym administratorem danych spoczywa obowiązek podjęcia odpowiednich działań i wdrożenia mechanizmów identyfikacji, które zagwarantują prawidłowość przetwarzanych danych.
Od powyższego rozstrzygnięcia [...] S.A. w [...] wywiódł skargę do tut. Sądu zarzucając organowi naruszenie :
1- art. 2 ust 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony danych osób fizycznych w związku z przetwarzaniem danych oraz uchylenia Dyrektywy 95/46/WE ("RODO") poprzez jego zastosowanie w niniejszej sprawie i błędne uznanie,
iż przepisy RODO mają zastosowanie w stanie faktycznym niniejszej sprawy,
w którym to nie doszło do przetwarzania danych osobowych Uczestniczki ani w sposób całkowicie lub częściowo zautomatyzowany ani też nie doszło do przetwarzania w sposób inny niż zautomatyzowany danych osobowych Uczestniczki stanowiących część zbioru danych lub mających stanowić część zbioru danych
2- art. 4 pkt. 1 RODO poprzez błędną wykładnię pojęcia "dane osobowe" zdefiniowanego w art. 4 ust. 1 RODO, polegającą na błędnym uznaniu,
że sam numer telefonu osoby fizycznej jest wystarczający do identyfikacji konkretnej osoby, a tym samym stanowi "dane osobowe" w rozumieniu RODO, umożliwiające zidentyfikowanie osoby fizycznej, tymczasem sam numer telefonu nie jest informacją o charakterze osobowym, w zakres której wchodzą dane o cechach identyfikujących daną osobę - w sytuacji,
gdy zgodnie z utrwalonym poglądem judykatury i doktryny przedmiotu, dane takie jak m.in. numer telefonu, dopiero w ich powiązaniu z innym zbiorem informacji o osobie, mogą stanowić "dane osobowe" w rozumieniu RODO i w konsekwencji doszło do błędnego uznania przez Organ, mającego wpływ na treść Decyzji, że sam numer telefonu jest wystarczający do identyfikacji danej osoby, co wystarcza do przyjęcia, że jest "danymi osobowymi" w rozumieniu RODO;
3- art. 4 pkt. 7 i 8 RODO - poprzez nieprawidłową wykładnię polegającą na błędnym przyjęciu, że Skarżący pełnił rolę administratora danych osobowych w stosunku do danych osobowych Uczestniczki, w sytuacji, gdy z ustalonego w sprawie stanu faktycznego, jednoznacznie wynika, że Skarżący, ani samodzielnie, ani wspólnie z innymi, w ramach prowadzonej działalności gospodarczej, nie decydował o celach ani środkach przetwarzania danych osobowych Uczestniczki, co miało wpływ na treść Decyzji; skoro zaś Skarżący nie przetwarzał danych osobowych, nie znajdą do Skarżącego zastosowania wymagania określone w RODO;
4- art. 4 ust. 1 pkt. 2) RODO w zw. z art. 6 ust. 1 RODO oraz art. 5 ust. 1 pkt a) RODO poprzez ich zastosowanie w niniejszej sprawie i błędne uznanie, że doszło do przetwarzania przez Skarżącego, bez podstawy prawnej, danych osobowych Uczestniczki - tj. numeru telefonu i w efekcie uznanie, że Skarżący naruszył zasadę zgodności z prawem i rzetelności przetwarzania danych osobowych, w sytuacji, gdy z ustalonych w sprawie faktów wynika,
że zatrudniony przez Skarżącego konsultant ("Konsultant") - na skutek oczywistego błędu - "użył" numeru telefonu Uczestniczki, wykonując,
na skutek omyłki, jednorazowy kontakt z Uczestniczką, jak również,
że Skarżący przed tym zdarzeniem, nie posiadał w bazie danych jakichkolwiek danych osobowych Uczestniczki, w tym numeru telefonu, a zatem nie przetwarzał żadnych danych osobowych Uczestniczki, a więc nie mógł ich przetwarzać sprzecznie z RODO czy z naruszeniem zasad wynikających
z RODO, co miało wpływ na treść Decyzji;
5- art. 58 ust. 2 lit. b RODO - poprzez jego zastosowanie w stanie faktycznym niniejszej sprawy i błędne uznanie, że Skarżący pełnił rolę administratora danych lub podmiotu przetwarzającego w stosunku do danych osobowych Uczestniczki - w sytuacji, gdy przywołany przepis przyznaje uprawnienie Organowi do udzielenia upomnień lub nakazanie spełnienia żądania osoby, której dane dotyczą wyłącznie administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów RODO przez operacje przetwarzania;
6- art. 8 i 11 k.p.a. poprzez prowadzenie postępowania z naruszeniem zasady przekonywania i pogłębiania zaufania do organów administracji publicznej, przejawiające się w zaniechaniu pełnego i rzetelnego uzasadnienia Decyzji
i lakonicznym ustosunkowaniu się w uzasadnieniu Decyzji do istotnych
w sprawie faktów, jak również w manipulacji stanowiskiem judykatury, które Organ wziął za podstawę przyjętej wykładni ww. przepisów prawa materialnego, która to manipulacja polegała na przytoczeniu w uzasadnieniu Decyzji stanowiska Organu i wskazaniu, że jest to stanowisko Wojewódzkiego Sądu Administracyjnego w celu przekonania Skarżącego o rzekomo słusznej wykładni przepisów prawa przyjętej przez Organ oraz powołania na poparcie swojego stanowiska nieaktualnego wyroku Wojewódzkiego Sądu Administracyjnego, wydanego na gruncie nieobowiązujących przepisów ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 roku
i jednocześnie pominięcie aktualnego orzecznictwa, w tym wskazywanego przez Skarżącego;
7- art. 105 ust. 1 k.p.a. poprzez jego niezastosowanie mimo, iż Organ powinien zastosować ten przepis obligatoryjnie i umorzyć postępowanie, z uwagi na to że materiał dowodowy, którym w toku postępowania dysponował Organ, bezsprzecznie świadczył o całkowitej i oczywistej bezprzedmiotowości skargi Uczestniczki, co nie uprawniało Organu do wydania merytorycznego rozstrzygnięcia w przedmiocie skargi Uczestniczki.
W oparciu o powyższe zarzuty wniesiono o uchylenie skarżonego aktu.
W odpowiedzi na skargę organ wniósł o jej oddalenie.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
zgodnie z treścią przepisu art.1 par. 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (t.j. Dz. U. z 2024 r. poz. 1267).
Sąd Administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem skarżonej decyzji administracyjnej. Jest więc to kontrola legalności rozstrzygnięcia zapadłego w postępowaniu administracyjnym,
z punktu widzenia jego zgodności z prawem materialnym i procesowym. Oceniając przedmiotową decyzję według powyższych kryteriów, uznać należy, iż powinna zostać wyeliminowana z obrotu prawnego jako wadliwa.
Istota sprawy w niniejszym postępowaniu sprowadzała się do oceny tego,
czy numer telefonu należy do kategorii danych osobowych i czy Bankowi można przypisać przymiot administratora danych osobowych uczestniczki w postaci numeru jej telefonu.
Co się tyczy pierwszego z powyższych zagadnień to w ocenie tut. Sądu numer telefonu osoby fizycznej jest jej daną osobową. Co do zasady jest bowiem możliwe, by w powiązaniu z innymi danymi, zidentyfikować przy pomocy numeru telefonu konkretną osobę fizyczną. Skoro zaś taka możliwość istnieje, to niezależnie od tego, czy wiązałoby się to z dużym czy małym nakładem pracy, sił i środków, numer telefonu osoby fizycznej jej daną osobową. Dla tej konkluzji decydujące znaczenie ma bowiem sama możliwość identyfikacji osoby fizycznej przy użyciu numeru telefonu a nie ewentualna pracochłonność przy dokonywaniu owej identyfikacji.
Kolejną kwestią wymagającą wyjaśnienia było ustalenie tego, czy Bankowi można przypisać przymiot administratora danych osobowych uczestniczki w postaci numeru jej telefonu.
W ocenie składu orzekającego na wyżej postawione pytanie należało udzielić negatywnej odpowiedzi. Przede wszystkim podkreślenia wymaga to,
że administrowanie danymi osobowymi może mieć wyłącznie charakter świadomy. Administrator musi wyrażać wolę posiadania w swoim zasobie konkretnej danej osobowej, aby mógł zostać skutecznie uznany za jej administratora.
Nadto, aby móc administrować konkretną daną osobową, należy w ogóle posiadać ją w swym zasobie (bazie danych). Oczywistym przecież jest, że nie jest możliwe dokonywanie jakichkolwiek czynności z danymi, których się nie posiada. Biorąc pod uwagę powyższe, w sytuacji gdy w sprawie niespornym jest, że numer telefonu uczestniczki nie znajdował się w dniu [...] czerwca 2022r. w żadnej bazie danych
Banku, nie sposób uznać, by Bank owego dnia był ich administratorem. Numer telefonu uczestniczki został przecież tylko jednorazowo użyty wskutek błędnego odnotowania przez pracownika Banku numeru telefonu innej osoby ( nie błędnego odnotowania numeru telefonu uczestniczki). Skoro więc numer telefonu uczestniczki feralnego dnia nie miał być użyty przez Bank i nie był umieszczony w żadnej bazie danych Banku, to tym samym nie sposób skutecznie uznać Banku za administratora danych faktycznie nieposiadanych.
Nadto w realiach faktycznych niniejszej sprawy brak jest możliwości przyjęcia, że Bank w dniu [...] czerwca 2022r. przetwarzał dane osobowe uczestniczki. Przetwarzanie danych, czyli wykonywanie czynności, których przedmiotem są konkretne dane osobowe, również może mieć tylko charakter świadomy i celowy. Aby móc skutecznie przyjąć, że podmiot przetwarza konkretne dane, po stronie owego podmiotu musi występować wola dokonania jakichkolwiek czynności z tymi właśnie danymi. Z materiału dowodowego zgromadzonego w sprawie wynika zaś,
że Bank nie miał zamiaru używania numeru telefonu należącego do uczestniczki i nie chciał nawiązywać z nią kontaktu. W świetle powyższego, nawet hipotetycznie przyjmując, że Bank feralnego dnia stał się omyłkowo i wpadkowo administratorem danych uczestniczki, to nie sposób logicznie wywieść, ze przetwarzał jej dane osobowe skoro organ ustalił brak takiej woli po stronie Banku. Czyniąc powyższe rozważania nie sposób przecież abstrahować od tego, ze z oświadczeń Banku, których nie zakwestionował ani organ ani uczestniczka wynikało, ze nie chciał kontaktować się z uczestniczką ani używać jej numeru telefonicznego, a do jego użycia doszło wyłącznie wskutek błędnego odnotowania numeru telefonicznego innej osoby.
W związku z powyższym, uznając że skarżona decyzja narusza prawo, Wojewódzki Sad Administracyjny w Warszawie orzekł jak w pkt. 1 wyroku na podstawie art.145 par.1 pkt.1c ustawy z dnia 30 sierpnia 2002r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2024r. poz.935).
O kosztach orzeczono stosownie do dyspozycji art.200 ustawy z dnia 30 sierpnia 2002r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2024r. poz.935).
Ponownie rozpoznając sprawę organ będzie zobligowany zastosować się do wykładni zaprezentowanej przez Sąd w niniejszym uzasadnieniu.