II SA/Wa 1378/23

II SA/Wa 1378/23 - Wyrok WSA w Warszawie
Data orzeczenia
2024-03-27
orzeczenie nieprawomocne
Data wpływu
2023-07-10
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Dorota Kozub-Marciniak /sprawozdawca/
Tomasz Szmydt
Waldemar Śledzik /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Waldemar Śledzik, Sędzia WSA Tomasz Szmydt, Asesor WSA Dorota Kozub-Marciniak (spr.), po rozpoznaniu w trybie uproszczonym w dniu 27 marca 2024 r. sprawy ze skargi S.W. prowadzącego działalność gospodarczą pod firmą I. z siedzibą w C. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] kwietnia 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
S.W. prowadzący działalność gospodarczą pod nazwą I. z siedzibą w C. (dalej, jako: skarżący lub Przedsiębiorca), działając przez pełnomocnika, wniósł do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na decyzję Prezesa Urzędu Ochrony Danych Osobowych (dalej także, jako: Prezes UODO) z dnia [...] kwietnia 2023 r. w przedmiocie przetwarzania danych osobowych.
W uzasadnieniu zaskarżonej decyzji wskazano, że do Urzędu Ochrony Danych Osobowych wpłynęła skarga J.N. (dalej, jako: uczestniczka), na nieprawidłowości w procesie przetwarzania jej danych osobowych przez Przedsiębiorcę, polegające na niespełnieniu żądania usunięcia numeru telefonu uczestniczki ze strony internetowej Przedsiębiorcy po ustaniu stosunku pracy.
W toku prowadzonego postępowania organ ustalił, że uczestniczka była zatrudniona u Przedsiębiorcy jako menager [...] P. w miejscowości Z.. Uczestniczka w trakcie trwania zatrudnienia wyraziła zgodę na udostępnienie jej prywatnego numeru telefonu na potrzeby prowadzenia [...] i kontaktu z klientami, który widniał na stronie internetowej [...] i [...] P. [...]. Z chwilą ustania zatrudnienia tj. w sierpniu 2019 r., uczestniczka cofnęła zgodę na przetwarzanie jej numeru telefonu tj. [...]. Pismem z dnia [...] grudnia 2019 r. oraz [...] grudnia 2019 r. uczestniczka zwróciła się do Przedsiębiorcy o usunięcie jej numeru telefonu ze wszystkich baz, rejestrów, a w szczególności z portali społecznościowych oraz innych stron internetowych. Podniosła, że na skutek dalszego przetwarzania jej numeru telefonu na stronie internetowej, otrzymuje połączenia, które dotyczą prowadzonej przez Przedsiębiorcę działalności.
Przedsiębiorca wyjaśnił, że uczestniczka za pośrednictwem swojego prywatnego numeru telefonu kontaktowała się z klientami [...]. Odbywało się to za jej zgodą do momentu zakończenia współpracy. Przedsiębiorca podniósł, że strona internetowa [...], na której znajduje się numer telefonu uczestniczki została założona przez jego brata M.W. i to on nią zarządza. Przedsiębiorca wskazał, że uprzedzał uczestniczkę, że nie odpowiada za działania jego brata, który podszywa się pod jego działalność. Wyjaśnił też, że niezwłocznie reagował na żądania uczestniczki dotyczącej usunięcia jej numeru telefonu, mimo, iż nie miał faktycznych możliwości, aby ten numer usunąć. Przedsiębiorca zwracał się zarówno do swojego brata, który dysponował dostępem do strony internetowej [...] o usunięcie tych danych, jak również do właściciela domeny strony internetowej, na której widnieją dane, lecz jego działania nie odniosły żadnego skutku, w związku z tym numer telefonu uczestniczki dalej jest przetwarzany na stronie internetowej [...].
Przedsiębiorca wyjaśnił, że wytworzenie strony internetowej [...] P. nigdy nie zostało zlecone przez niego. Wyłącznym dysponentem decyzji w tym zakresie był M.W. - jego brat, z którym jest skonfliktowany, a który zlecił wykonanie strony internetowej podmiotowi zewnętrznemu bez wiedzy i zgody Przedsiębiorcy. W związku z pełnionymi obowiązkami posiadał on do wyłącznej dyspozycji laptopa służbowego, który w chwili zdania na rzecz pracodawcy po ustaniu stosunku pracy nie posiadał już zapisanych żadnych haseł ani danych mogących pozwolić na uzyskanie uprawnień administratora. Co więcej po utworzeniu strony internetowej Przedsiębiorca nigdy nie otrzymał danych dostępowych, a według jego wiedzy dysponentem tych informacji jest M.W..
W kwestii przetwarzania numeru telefonu uczestniczki na portalu społecznościowym, Przedsiębiorca dokonał zmiany hasła uzyskując w ten sposób możliwość dostępu do tego portalu oraz niezwłocznie usunął numer telefonu uczestniczki, co miało miejsce jeszcze w 2019 r. i obecnie żadne dane nie znajdują są na tym portalu społecznościowym.
Brat Przedsiębiorcy – M.W. wyjaśnił, że był współtwórcą projektu strony internetowej [...] P.. Oświadczył, że jego udział ograniczał się do znalezienia portalu [...], gdzie można było bezpłatnie zaprojektować stronę internetową i wskazaniu jej bratu oraz sugestii co do treści jakie mają się pojawić na stronie oraz szaty graficznej. Nigdy nie zawierał ze swoim bratem żadnej umowy na wykonanie albo administrowanie ww. stroną internetową albo innymi nośnikami informacji internetowych. M.W. oświadczył, że strona była stworzona przez Przedsiębiorcę na darmowym portalu [...]. Wskazał, że nigdy nie był administratorem konta. Dane potrzebne do logowania do strony internetowej są w posiadaniu Przedsiębiorcy.
Organ ustalił, że na stronie internetowej domu weselnego pod adresem [...] aktualnie przetwarzany jest numer telefonu uczestniczki.
Po zapoznaniu się z całością zgromadzonego materiału dowodowego, Prezes UODO zaskarżoną decyzją nakazał skarżącemu usunięcie danych osobowych J.N. w zakresie numeru telefonu tj. [...] przetwarzanego na stronie internetowej [...] bez podstawy prawnej.
Uzasadniając swoje rozstrzygnięcie organ przytoczył treść art. 4 pkt 1 i 2, art. 5 ust. 1 lit. a i art. 17 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE ((Dz. Urz. UE L 119 z dnia 4 maja 2016, str. 1, Dz. Urz. UE L 127 z dnia 23 maja 2018, str. 2 oraz Dz. Urz. UE L 74 z dnia 4 marca 2021, str. 35 dalej: RODO) i podał, że Przedsiębiorca przetwarzał dane osobowe uczestniczki w zakresie jej prywatnego numeru telefonu w oparciu o wcześniej wyrażoną zgodę. Uczestniczka po zakończeniu współpracy cofnęła zgodę na przetwarzanie jej numeru telefonu przez Przedsiębiorcę.
Prezes UODO na podstawie zebranego materiału dowodowego ustalił, że strona [...] została utworzona na dane S.W.. W treści maila z dnia [...] grudnia 2019 r. skierowanego przez Przedsiębiorcę do właściciela domeny [...], stwierdza, że jest on właścicielem ww. strony internetowej, lecz z powodu zmiany haseł dostępu, nie może dostać się na stronę, aby zrealizować żądanie uczestniczki. Przedsiębiorca w ramach prowadzonej działalności gospodarczej prowadzi [...] P., którego pracownikiem była uczestniczka. Powyższe wskazuje, że to Przedsiębiorca jest administratorem danych osobowych uczestniczki. Tym samym to na nim ciąży obowiązek przetwarzania jej danych osobowych zgodnie z prawem i ponosi odpowiedzialność za uchybienia w tym zakresie. Strona internetowa, na której widnieje numer telefonu uczestniczki jest powiązana z prowadzoną przez Przedsiębiorcę działalnością gospodarczą zatem to Przedsiębiorca odpowiada za informacje (dane osobowe) jakie są przetwarzane na tej stronie. Mając na względzie, że dane uczestniczki w zakresie jej numeru telefonu w dalszym ciągu widnieją na stronie internetowej pomimo wycofania przez nią zgody na przetwarzanie jej numeru telefonu przez Przedsiębiorcę, zobowiązany jest on do jego niezwłocznego usunięcia.
Organ wyjaśnił dalej, że postępowanie administracyjne prowadzone przez Prezesa UODO służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej przywracającej stan zgodny z prawem na podstawie art. 58 ust. 2 RODO służącego przywróceniu stanu zgodnego z prawem w procesie przetwarzania danych - jest więc ona uzasadniona i potrzebna o tyle, o ile nieprawidłowości w procesie przetwarzania danych osobowych istnieją. Wobec powyższego, korzystając z uprawnienia przewidzianego w art. 58 ust. 2 lit. c RODO Prezes UODO nakazał usunięcie danych osobowych uczestniczki w zakresie numeru telefonu przetwarzanego na ww. stronie internetowej.
Z tym rozstrzygnięciem Przedsiębiorca nie zgodził się i wywiódł skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie, wnosząc o uchylenie zaskarżonej decyzji oraz o zasądzenie od organu na jego rzecz kosztów postępowania.
Zaskarżonej decyzji zarzucono:
1. naruszenie przepisów prawa materialnego, które mogło mieć istotny wpływ na wynik sprawy (art. 145 § 1 pkt 1 lit. a ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi – Dz. U. z 2023 r. poz. 1634 ze zm., dalej, jako: P.p.s.a.), a to art. 4 pkt 1 RODO poprzez przyjęcie, iż numer telefonu zamieszczony samodzielnie stanowi dane osobowe,
2. naruszenie przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy (art. 145 § 1 pkt 1 lit. c P.p.s.a.), a to art. 7 K.p.a. w zw. z art. 77 K.p.a. i art. 80 K.p.a. poprzez brak wszechstronnego i dokładnego wyjaśnienia stanu faktycznego sprawy, a co za tym idzie naruszenie art. 8 K.p.a. poprzez prowadzenie postępowania w sposób niebudzący zaufania.
W uzasadnieniu skargi Przedsiębiorca wskazał przede wszystkim, że w przypadku, gdy numer telefonu będzie przypisany do konkretnego imienia i nazwiska nie mamy wątpliwości, że połączenie tych danych stanowi dane osobowe albowiem jesteśmy w stanie bezpośrednio lub pośrednio zidentyfikować kim jest ta osoba. Jednak w sytuacji kiedy na stronie internetowej jest podany numer telefonu bez imienia i nazwiska osoby, a nawet bez stanowiska jakie zajmuje w przedsiębiorstwie nie da się osoby zidentyfikować. Doktryna przychyla się do tego stanowiska, iż numer telefonu będzie można zaliczyć do kategorii danych osobowych dopiero po połączeniu go z innymi informacjami (np. imię i nazwisko, nr PESEL).
Dalej podniesiono, że pomimo szczegółowo przekazywanych przez skarżącego informacji, iż nie jest on administratorem strony, nie posiada do niej dostępu ani możliwości dokonywania jakichkolwiek modyfikacji organ nie wziął tych faktów i argumentów pod uwagę, opierając swoje ustalenia jedynie na informacjach podanych przez J.N.. W konsekwencji doprowadziło to do poczynienia zupełnie błędnych i nieadekwatnych do rzeczywistej sytuacji ustaleń, a w konsekwencji wydania błędnej decyzji, a przede wszystkim decyzji, która mimo starań skarżącego nie jest wykonalna.
Jak wielokrotnie wyjaśniał skarżący, strona internetowa identyfikowana z jego przedsiębiorstwem została utworzona na dane osobowe skarżącego, jednak bez jego wiedzy i woli dane dostępowe zostały zmienione. Został pozbawiony jakiejkolwiek możliwości ingerowania w dane zawarte na stronie. Fakt, iż na stronie internetowej widnieją dane identyfikujące przedsiębiorcę nie oznacza niezaprzeczalnie, iż jest on właścicielem tej strony i faktycznie nią włada.
Podczas kontaktu z właścicielem domeny internetowej potwierdzono, że właścicielem witryny jest inna osoba. Skarżący nie może uzyskać dostępu do witryny internetowej albowiem nie jest jej właścicielem. Te fakty skarżący przytaczał podczas postępowania prowadzonego przez organ, co jednak zostało pominięte i nie uwzględnione w wydanej decyzji.
Wobec ustaleń organu, skarżący po raz kolejny podjął starania aby uzyskać dostęp do strony internetowej prowadzonej pod adresem witryny: [...]. W tym celu nawiązał odpłatną współpracę ze specjalistą z branży IT, który w imieniu skarżącego w pierwszej kolejności podjął starania zmierzające do zresetowania hasła i ustanowienia nowych danych dostępu, które pozostawałyby we władaniu skarżącego i umożliwiałyby dokonywanie zmian na stronie internetowej przypisanej do przedsiębiorstwa skarżącego. Podanie adresu mailowego posiadanego w związku z prowadzoną działalnością gospodarczą skarżącego nie przyniosło rezultatu albowiem dla tego adresu mailowego nie została utworzona żadna strona internetowa.
W związku z ta informacją podjęto kolejną już próbę uzyskania dostępu do witryny na podstawie danych osobowych skarżącego. Właściciel portalu uznał jednak, iż skarżący nie jest właścicielem witryny zatem nie może mieć do niej dostępu.
Zdaniem skarżącego witryna internetowa, która jest przedmiotem sporu, a w treści której zamieszczono numer telefonu J.N. pozostaje pod nadzorem osób trzecich i prawdopodobnie została przez te osoby stworzona lub prawo własności do witryny zostało bezprawnie na te osoby przeniesione.
Skarżący zwrócił uwagę, że właściwy do oceny kto jest właścicielem strony internetowej należy uznać podmiot zarządzający domeną, a nie organ, który pomimo posiadania wiedzy, że to nie skarżący jest właścicielem strony internetowej [...] P. nie poczynił najmniejszych nawet starań dla ustalenia stanu faktycznego. Organ nie dochował nie tyle należytej staranności, co nawet najmniejszej staranności w celu potwierdzenia okoliczności i faktów podawanych przez skarżącego, a co za tym idzie nie przeprowadził postępowania w sposób rzetelny i obiektywny.
W odpowiedzi na skargę organ wniósł o jej oddalenie i podtrzymał swoje dotychczasowe stanowisko. Organ ustosunkował się do zarzutów skargi uznając je za bezzasadne.
W piśmie procesowym z dnia [...] lipca 2023 r. skarżący poinformował, że organy ścigania prowadziły i prowadzą postępowanie przygotowawcze z zawiadomienia skarżącego dotyczącego bezprawnego pozbawienia go możliwości zapoznania się z danymi dostępu do administrowania strona internetową i zarządzania zamieszczonymi na niej danymi oraz, że w sposób bezprawny posłużono się jego danymi osobowymi w celu zmiany haseł dostępu do administrowania stroną internetową.
W piśmie procesowym z dnia [...] sierpnia 2023 r. uczestniczka postępowania opisał zaistniałą sytuację, wskazała, że skarżący mija się z prawdą i przedstawiła swoje stanowisko w sprawie, żądając usunięcia jej numeru telefony ze strony internetowej Przedsiębiorcy, byłego pracodawcy.
W piśmie procesowym z dnia [...] sierpnia 2023 r. stanowiącym replikę na odpowiedź na skargę, skarżący powtórzył dotychczas prezentowane stanowisko, uznając wyjaśnienia organu za pozbawione racji.
W piśmie procesowym z dnia [...] sierpnia 2023 r. skarżący – w nawiązaniu do stanowiska przedstawionego w piśmie z dnia [...] lipca 2023 r. – wniósł o dopuszczeniu dowodu z dokumentu tj. postanowienia Prokuratury Rejonowej w K. o podjęciu na nowo umorzonego dochodzenia z dnia [...] sierpnia 2023 r. sygn. akt [...] na okoliczność wykazania faktu, iż Prokuratura podjęła do dalszego prowadzenia postępowanie w sprawie popełnienia przestępstwa z art. 268 § 1 Kodeksu karnego.
W kolejnym piśmie procesowym z dnia [...] października 2023 r. skarżący sformułował wniosek o załączenie przez Sąd do akt niniejszej sprawy, akt postępowania przygotowawczego prowadzonego przez Prokuraturę Rejonową w K. pod sygn. akt [...].
W piśmie procesowym z dnia [...] listopada 2023 r. skarżący w sprawie bezpośrednio związanej z niniejszym postępowaniem toczą się równolegle dwa postępowania karne, a to:
1. w sprawie o przestępstwo z art. 268 § 1 kk, tj. udaremnienia osobie uprawnionej (S.W.) w okresie od [...] grudnia 2019 roku do [...] czerwca 2020 r. w nieustalonym miejscu poprzez zmianę hasła i loginu dostępu do strony internetowej [...] "P.", sygn. akt: Prokuratury Rejonowej w K. [...];
2. w sprawie o czyn z art. 190 a § 2 kk, tj. w sprawie podszywani się w okresie od [...] sierpnia 2018 roku do [...] czerwca 2023 roku w nieustalonym miejscu, ze skutkiem w C., woj. [...] pod osobę S.W. poprzez wykorzystanie danych, za pomocą których jest on publicznie identyfikowany, w celu wyrządzenia mu szkody majątkowej lub osobistej,
Powyższe okoliczności w sposób wyraźny potwierdzają konsekwentnie prezentowane w niniejszej sprawie stanowisko skarżącego w przedmiocie niemożności uczynienia zadość żądaniu uczestniczki z przyczyn, które pozostają od niego niezależne, co potwierdza brak winy skarżącego w nieusunięciu numeru telefonu ze strony internetowej [...] P. oraz wykazuje szereg czynności jakie od dłuższego czasu podejmował skarżący aby móc uczynić zadość żądaniom uczestniczki.
W piśmie procesowym z dnia [...] marca 2024 r. skarżący wniósł o zawieszenie postępowania sądowego na podstawie art. 125 § 1 pkt 2 P.p.s.a. z uwagi na prowadzone przez Prokuraturę Rejonową w K. postępowanie ([...]) w sprawie o przestępstwo z art. 268 § 1 kk, tj. udaremnienia osobie uprawnionej (S.W.) w okresie od [...] grudnia 2019 roku do [...] czerwca 2020 r. w nieustalonym miejscu poprzez zmianę hasła i loginu dostępu do strony internetowej [...] "P.".
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z art. 1 ustawy z dnia 25 lipca 2002 r. Prawo o ustroju sądów administracyjnych (Dz. U. z 2022 r. poz. 2492) sądy administracyjne są właściwe do badania zgodności z prawem zaskarżonych aktów administracyjnych, przy czym sąd nie może opierać tej kontroli na kryterium słuszności lub sprawiedliwości społecznej. Kontrolowane rozstrzygnięcie jest zgodne z prawem, jeżeli jest zgodne z powszechnie obowiązującymi przepisami prawa materialnego i przepisami prawa procesowego. Uchylenie decyzji, względnie stwierdzenie jej nieważności przez sąd następuje tylko w przypadku stwierdzenia istnienia istotnych wad w postępowaniu lub naruszenia przepisów prawa materialnego, mającego wpływ na wynik sprawy, o czym przesadza art. 145 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r. poz. 1634 ze zm., dalej, jako: P.p.s.a.). Zakres kontroli Sądu wyznacza art. 134 P.p.s.a. stanowiący, iż sąd orzeka w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną.
Dokonując kontroli legalności zaskarżonej decyzji w granicach kompetencji przysługujących sądowi administracyjnemu, na podstawie wymienionych ustaw, Sąd uznał zasadność zastosowania art. 151 P.p.s.a.
W pierwszej kolejności należy przypomnieć, że celem ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych oraz Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), jest ochrona prywatności w rozumieniu art. 47 Konstytucji RP (por. wyrok NSA z dnia 30 marca 2006 r., I OSK 628/05, LEX nr 198299; wyrok NSA w składzie 7 sędziów z dnia 6 czerwca 2005 r., I OPS 2/05).
W doktrynie, na gruncie art. 47 Konstytucji RP, prawo do prywatności oznacza "przymioty, wewnętrzne przeżycia osobiste (jednostkowe) człowieka i ich oceny, refleksje dotyczące wydarzeń zewnętrznych i jego wrażenia zmysłowe, a także stan zdrowia. Nie są one w założeniu przeznaczone do upowszechniania i sam zainteresowany decyduje o kręgu osób, z którymi zechce się nimi podzielić. Składową prawa do prywatności jest życie prywatne, które odnosi się generalnie do życia: osobistego, towarzyskiego, nienaruszalności mieszkania, tajemnicy korespondencji i ochrony informacji dotyczących danej osoby. Można je opisać jako "prawo do pozostawienia w spokoju" czy "prawo jednostki do bycia pozostawioną samej sobie" (B. Banaszak, Konstytucja RP,. Komentarz, Warszawa 2012, tekst za Legalis). Uprawnienie to oznacza, że ochronie podlegają te informacje o osobie fizycznej, które dotyczą jej najbliższej sfery życia, wyznaczonej przez nią samą, o której decydować powinna tylko ona lub ewentualnie osoby jej najbliższe. Sfera ta w istocie stanowi o tożsamości tej osoby i określa jej godność statuującą ją jako człowieka.
Zgodnie z art. 4 pkt 1 RODO dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Jednocześnie, zgodnie z wyjaśnieniami zawartymi w motywie 26 RODO zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej. Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Niniejsze rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych.
W interesie osób fizycznych leży udostępnianie tych danych o tyle, o ile taka jest ich wola, chyba że ustawodawca realizując inne jeszcze wartości przesądza o udostępnianiu tych danych niezależnie od woli tych osób stanowiąc tym samym w konkretnym przypadku o pierwszeństwie wartości związanych z interesem publicznym nad wartościami powiązanymi z interesami indywidualnymi. Na gruncie obowiązującego prawa podstawą tą jest art. 6 ust. 1 RODO, w którym określono warunki uznania przetwarzania danych osobowych za zgodne z prawem. A więc przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
Nie może też ujść uwadze, że RODO wiąże przetwarzanie danych z przestrzeganiem zasad określonych w art. 5 RODO, które mają charakter podstawowy w odniesieniu do całej regulacji. Zgodnie z art. 5 ust. 1 lit. a RODO, dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ("zgodność z prawem, rzetelność i przejrzystość"). Stosownie z kolei do treści art. 5 ust. 1 lit. b RODO, dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami ("ograniczenie celu"). Jednocześnie, na administratorze spoczywa obowiązek poszanowania wyrażonej w art. 5 ust. 1 lit c RODO zasady minimalizacji danych, obligującej go do ograniczenia zakresu przetwarzanych danych do niezbędnego, adekwatnego do realizowanego celu minimum.
Zasadniczą dla rozstrzygnięcia przedmiotowej sprawy kwestią było w pierwszej kolejności rozważenie, czy Prezes UODO prawidłowo stwierdził, że numer telefonu komórkowego uczestniczki stanowi daną osobową. O ile bowiem okazałoby się, że ustalenia organu w tym zakresie są błędne, niedopuszczalna byłaby ocena przetwarzania przez skarżącego tej informacji pod względem zgodności z przepisami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 ze zm.).
W ocenie Sądu, nie budzi wątpliwości, że zidentyfikowanie osoby fizycznej nie musi polegać na określeniu jej imienia i nazwiska, a wystarczające jest oznaczenie danej osoby w sposób umożliwiający wywieranie na nią określonego wpływu (zob. Opinia Grupy Roboczej z 20 czerwca 2007 r. nr 4/2007; str. 14; zob. też D. Lubasz [w:] Ochrona Danych Osobowych [red.] D. Lubasz, Warszawa 2020 r., str. 81). Nie chodzi zatem o możliwość odniesienia konkretnej informacji do konkretnej osoby, lecz o możliwość wskazania danej osoby, rozumianego jako faktyczne wyodrębnienie jej spośród innych osób (zob. P. Litwiński [w:] Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, Komentarz [red.] P. Litwiński, Warszawa 2018 r., str. 181). Taką możliwość daje numer telefonu osoby fizycznej, także wtedy gdy podmiot, który jest w jego posiadaniu, nie dysponuje innymi danymi identyfikującymi tę osobę lub rozsądnie prawdopodobnym do wykorzystania sposobem uzyskania takich danych.
W ocenie Sądu, numer telefonu osoby fizycznej stanowi tzw. "punkt kontaktowy", ponieważ umożliwia osobie trzeciej podjęcie inicjatywy kontaktu z osobą fizyczną, a w konsekwencji wywierania na nią określonego wpływu. Numer telefonu osoby fizycznej stanowi niepowtarzalną kombinację cyfr, która jest do tej osoby przypisana i odróżnia ją, po pierwsze od osób niekorzystających z usługi telekomunikacyjnej (połączeń telefonicznych), a po drugie, korzystających z innych numerów telefonów. Jest informacją na temat tej osoby, która umożliwia podmiotowi, który wejdzie w posiadanie numeru telefonu, kontakt z nią i skierowanie do niej określonej informacji (zarówno ustanej, jak i tekstowej).
W realiach rozpoznanej sprawy nie budzi wątpliwości, że numer telefonu [...] jest numerem telefonu komórkowego uczestniczki, z którego korzystała ona dla potrzeb wykonywania pracy w [...] P., pełniąc funkcję menagera. Numer telefonu komórkowego uczestniczki stanowi zatem daną osobową.
W rozpatrywanej sprawie właściwa była ocena organu, że strona [...] została utworzona na dane S.W. i dotyczy prowadzonej przez niego działalności gospodarczej tj. [...] P.. Nie budzi też wątpliwości, iż to skarżący jako pracodawca zamieścił na tej stronie numer telefonu uczestniczki gdyż niezbędne to było do wykonywania przez nią pracy menagera [...] P.. Powyższe wskazuje, że to Przedsiębiorca był (i jest) administratorem danych osobowych uczestniczki. To na nim zatem ciąży obowiązek przetwarzania jej danych osobowych zgodnie z prawem i ponosi odpowiedzialność za uchybienia w tym zakresie.
Uczestniczka postępowania była pracownikiem skarżącego – menagerem [...] i udzieliła zgody na udostępnienie jej prywatnego numeru telefonu na ww. stronie internetowej. Następnie uczestniczka po rozwiązaniu stosunku pracy, cofnęła zgodę na udostępnienie jej danych osobowych na stronie internetowej [...] P. (numeru telefonu), natomiast do dnia wydania zaskarżonej decyzji jej numer telefon nadal widoczny jest na tej stronie.
Słusznie zatem, Prezes UODO zaskarżoną decyzją nakazał skarżącemu usunięcie danych osobowych J.N. w zakresie numeru telefonu tj. [...] przetwarzanego na stronie internetowej [...] bez podstawy prawnej. Wyjaśnić przy tym należy, iż wszelkie kwestie związane z opisywanym konfliktem skarżącego z jego bratem, problemy techniczne – także w zakresie dostępu do ww. strony internetowej pozostać muszą poza oceną organu i Sądu. Istotne dla rozstrzygnięcia sprawy okoliczności zostały prawidłowo przez organ ustalone. Podkreślić należy, iż niniejsza sprawy dotyczy przetwarzania danych osobowych i zakończona została decyzją Prezesa UODO. Nie jest to organ uprawniony do rozstrzygania kwestii właściwych dla innych organów, chociażby takich jak prokuratura. Prezes UODO poczynił w tej sprawie ustalenia niezbędne do rozstrzygnięcia sprawy w zakresie przetwarzania danych osobowych. Ustalenia ta znajdują potwierdzenie w zgromadzonym materiale dowodowym. Nawet jeżeli skarżący aktualnie nie posiada (bez względu na przyczynę) technicznych możliwości wykonania decyzji tj. usunięcia danych osobowych uczestniczki, to nie czyni to samej decyzji niewykonalnej. Skarżący błędnie rozumie kwestię "niewykonalności decyzji".
Sąd uznając, że relewantne dla sprawy ustalenia zostały prawidłowo poczynione przez organ - oddalił wnioski dowodowe skarżącego, jak i wniosek o zawieszenie postępowania sądowego. Jeszcze raz należy podkreślić, że sprawa niniejsza dotyczy przetwarzania danych osobowych uczestniczki, a kwestie związane prowadzonymi przez prokuraturę postępowaniami pozostają poza granicami tej sprawy. Prezes UODO prawidłowo ustalił, że strona [...] została utworzona na dane S.W. i dotyczy prowadzonej przez niego działalności gospodarczej tj. [...] P.. Nie budzi też wątpliwości, iż to skarżący jako pracodawca zamieścił na tej stronie numer telefonu uczestniczki gdyż niezbędne to było do wykonywania przez nią pracy menagera [...] P.. Te ustalenia potwierdzają twierdzenia skarżącego, że to z jego zawiadomienia prokuratura wszczęła dochodzenie w sprawie bezprawnego pozbawienia go możliwości zapoznania się z danymi dostępu do administrowania strona internetową i zarządzania zamieszczonymi na niej danymi oraz, że w sposób bezprawny posłużono się jego danymi osobowymi w celu zmiany haseł dostępu do administrowania stroną internetową. Należy również zwrócić uwagę, że Prokuratura prowadzi postępowanie w sprawie o przestępstwo z art. 268 § 1 kk, tj. udaremnienia osobie uprawnionej (S.W.) w okresie od [...] grudnia 2019 roku do [...] czerwca 2020 r. w nieustalonym miejscu poprzez zmianę hasła i loginu dostępu do strony internetowej [...] "P.". Oznacza to, że skarżący jest de facto osobą uprawnioną do administrowania stroną internetową [...] "P.". Sam z resztą podnosił, że został pozbawiony jakiejkolwiek możliwości ingerowania w dane zawarte na stronie, co oznacza, że takie możliwości miał jako osoba uprawniona czyli właściciel strony i administrator danych osobowych.
Z tych wszystkich względów Sąd uznał, że zaskarżona decyzja odpowiada prawu. Sąd nie dopatrzył się żadnego naruszenia przepisów prawa materialnego w stopniu mającym wpływ na wynik sprawy, bądź przepisu postępowania w stopniu mogącym mieć istotny wpływ na rozstrzygnięcie, albo też przepisu prawa dającego podstawę do wznowienia postępowania lub stwierdzenia nieważności.
Mając powyższe na uwadze, Wojewódzki Sąd Administracyjny w Warszawie, działając na podstawie art. 151 ustawy z 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r., poz. 1634) orzekł jak w sentencji.