II SA/Wa 1382/22

II SA/Wa 1382/22 - Wyrok WSA w Warszawie
Data orzeczenia
2023-01-25
orzeczenie nieprawomocne
Data wpływu
2022-08-09
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Agnieszka Góra-Błaszczykowska /sprawozdawca/
Iwona Maciejuk /przewodniczący/
Karolina Kisielewicz
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Sygn. powiązane
III OSK 1068/23 - Wyrok NSA z 2026-03-11
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Iwona Maciejuk, Sędzia WSA Agnieszka Góra-Błaszczykowska (spr.), Sędzia WSA Karolina Kisielewicz, Protokolant referent stażysta Kinga Krysik po rozpoznaniu na rozprawie w dniu 25 stycznia 2023 r. sprawy ze skargi [...] Towarzystwa Ubezpieczeń [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] czerwca 2022 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Przedmiotem rozpoznania w niniejszej sprawie była skarga [...] Towarzystwa Ubezpieczeń [...] Spółka Akcyjna z siedzibą w S. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] czerwca 2022 r. w przedmiocie przetwarzania danych osobowych.
Skarga została złożona w następującym stanie faktycznym sprawy:
Komendant Straży Miejskiej w B. (zwany dalej: KSM, wnioskodawca), wniósł do Prezesa Urzędu Ochrony Danych Osobowych (zwany dalej: PUODO, organ), skargę na nieudostępnienie przez S. Towarzystwo Ubezpieczeń [...]S.A. z siedzibą w S. (zwana dalej: skarżąca, spółka) danych osobowych podmiotu, który ubezpieczył polisą nr [...] pojazd marki [...]o numerze rejestracyjnym [...].
Uzasadniając złożoną skargę wnioskodawca podał, że spółka odmówiła mu udostępnienia danych osobowych podmiotu, który ubezpieczył polisą ww. pojazd, mimo wykonywania przez straż miejską zadania w zakresie ochrony porządku publicznego. Wobec tego zażądał nakazania spółce udostępnienia ww. danych osobowych.
Decyzją z dnia [...] czerwca 2022 r. PUODO, działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735 ze zm., zwana dalej: k.p.a.) oraz art. 5 ust. 1 pkt 8, art. 8 ust. 2 pkt 2 w zw. z art. 12 i art. 13 ust. 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125, zwana dalej:. u.o.d.o.p.z.z.p.), nakazał skarżącemu udostępnienie KSM danych osobowych w zakresie imienia, nazwiska i adresu zamieszkania podmiotu, który ubezpieczył w.w. polisą pojazd marki [...].
W uzasadnieniu podjętej decyzji organ wskazał, że działa w oparciu o przepisy ustawy z dnia 29 sierpnia 1997 r. o strażach gminnych (Dz. U. z 2021 r. poz. 1763, zwana dalej: u.s.g.), której art. 10a, art. 11 i art. 12 zobowiązują straż miejską do podejmowania działań w celu ochrony porządku publicznego, jednocześnie upoważniając ją do pozyskiwania danych niezbędnych do realizacji tychże obowiązków. Dnia [...] stycznia 2019 r. funkcjonariusze Straży Miejskiej w B. (zwana dalej: Straż Miejska) ujawnili pojazd marki [...]o numerze rejestracyjnym [...], zaparkowany w B. przy ul. K. w obrębie skrzyżowania. Podjęli czynności wyjaśniające w celu ustalenia sprawcy wykroczenia, polegającego na zaparkowaniu pojazdu w rejonie skrzyżowania, tj. wykroczenia określonego w art. 97 ustawy z dnia 20 maja 1971 r. Kodeks wykroczeń (Dz. U. z 2021 r. poz. 2008) w zw. z art. 49 ust. 1 pkt 1 ustawy z dnia 20 czerwca 1997 r. Prawo o ruchu drogowym (Dz. U. z 2021 r. poz. 450). Prowadzone czynności wyjaśniające, w tym uzyskanie danych z CEPiK, nie pozwoliły na ustalenie sprawcy wykroczenia, ustalono natomiast numer polisy ubezpieczeniowej, którą objęty był ww. pojazd.
Pismem z dnia [...] marca 2019 r. Straż Miejska zwróciła się do spółki o udostępnienie danych podmiotu, który dokonał ubezpieczenia ww. pojazdu polisą nr [...]. Pismem z dnia [...] kwietnia 2019 r. spółka odmówiła udostępnienia żądanych informacji wskazując, że przepis art. 35 ust. 2 ustawy z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej (Dz. U. z 2021 r. poz. 1130, zwana dalej: u.d.u.r.) umożliwia udzielenie żądanych informacji tylko podmiotom wymienionym w tym przepisie.
Według wnioskodawcy, w przedmiotowej sprawie Straż Miejska wykonuje zadania w zakresie ochrony porządku publicznego, a w tym celu niezbędne jest ustalenie sprawcy wykroczenia, a następnie skierowania do sądu wniosku o ukaranie. W związku z prowadzeniem w niezbędnym zakresie postępowania służącego ustaleniu tożsamości osoby, która dopuściła się wykroczenia, dobro publiczne ma pierwszeństwo przed prawem jednostki do decydowania o sposobie przetwarzania jej danych osobowych, także w kontekście obowiązku ochrony danych abonenta na gruncie przepisów ustawy o działalności ubezpieczeniowej i reasekuracyjnej.
Odnosząc powyższe ustalenia do obowiązujących w tym zakresie przepisów art. 13 i art. 14 u.o.d.o.p.z.z.p., art. 10 ust. 1, art. 10a i art. 12 ust. 1 pkt 5 u.s.g., art. 17, art. 54 ustawy z dnia 24 sierpnia 2001 r. Kodeks postępowania w sprawach o wykroczenia (Dz. U. z 2021 r. poz. 457, zwana dalej: k.p.s.w.), art. 35 ust. 1 i 2, u.d.u.r., organ stwierdził, że realizacja przez Straż Miejską zadań nałożonych na nią ustawowo wymaga wykorzystania informacji o osobach, których działania te dotyczą. Przepisy ustawy o strażach gminnych wprost stanowią o prawie Straży Miejskiej do przetwarzania danych osobowych w związku z realizacją określonych prawem zadań, bez konieczności uzyskania na to zgody osoby, której dane dotyczą. Oznacza to, że KSM na mocy stosownych przepisów ma prawo zwrócić się do zakładu ubezpieczeń o udostępnienie niezbędnych danych osobowych, zaś zakład ten powinien - mając na względzie obowiązek czuwania przez Straż Miejską nad przestrzeganiem prawa przez obywateli - udostępnić informacje we wnioskowanym zakresie. W takiej sytuacji dochodzi bowiem do realizacji dyspozycji art. 35 ust. 2 pkt 27 u.d.u.r. Organ uznał zatem, że wnioskodawca posiada legitymację prawną do pozyskania danych osobowych na mocy ww. przepisów prawa, tj. art. 35 ust. 2 pkt 27 u.d.u.r. W przedmiotowej sprawie Straż Miejska wykonuje zadania z zakresu porządku publicznego. Do wypełnienia zadania realizowanego dla dobra publicznego niezbędne jest ustalenie sprawcy wykroczenia, a następnie skierowanie do sądu wniosku o ukaranie. Tym samym przepis art. 35 ust. 2 u.d.u.r. nie stoi na przeszkodzie udostępnieniu danych osobowych podmiotu, który ubezpieczył polisą pojazd marki [...]. Podkreślił jednocześnie, że zgodnie z art. 57 § 2 pkt 1 k.p.w.s.w., wniosek o ukaranie powinien zawierać m. in. imię i nazwisko oraz adres obwinionego, a także inne dane niezbędne do ustalenia jego tożsamości.
PUODO ocenił, iż spółka bezpodstawnie odmówiła wnioskodawcy udostępnienia żądanych danych, które pozwoliłyby Straży Miejskiej na skuteczne zainicjowanie postępowania sądowego przeciwko podmiotowi, dopuszczającemu się wykroczenia. W konsekwencji organ za zasadne uznał skorzystanie w niniejszej sprawie z instrumentu o charakterze naprawczym, przewidzianego w art. 8 ust. 2 pkt 2 u.o.d.o.p.z.z.p. i nakazał skarżącej udostępnienie KSM danych osobowych w zakresie imienia, nazwiska i adresu zamieszkania podmiotu, który ubezpieczył polisą pojazd marki [...].
W skardze złożonej na powołane rozstrzygnięcie do sądu administracyjnego skarżąca, reprezentowana przez profesjonalnych pełnomocników, wniosła o stwierdzenie nieważności zaskarżonej decyzji w całości, ewentualnie - w razie nie uwzględnienia zarzutu braku podstawy prawnej do wydania decyzji - uchylenie zaskarżonej decyzji w całości oraz zasądzenie zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego według norm przypisanych i kosztów opłaty skarbowej od pełnomocnictwa. Wydanej decyzji skarżąca zarzuciła naruszenie przepisów prawa materialnego, które miało wpływ na wynik sprawy, tj.:
1. art. 8 ust. 2 pkt 2 u.o.d.o.p.z.z.p. poprzez jego błędną wykładnię, polegającą na pominięciu wymogu wystąpienia naruszenia przepisów o ochronie danych osobowych zbieranych w celach, o których mowa w art. 1 pkt 1 tej ustawy, a w konsekwencji wadliwe zastosowanie art. 5 ust. 1 pkt 8 i art. 8 ust. 2 pkt 2 u.o.d.o.p.z.z.p. w stanie faktycznym, w którym takiego naruszenia nie stwierdzono - co skutkowało wydaniem decyzji bez podstawy prawnej;
2. art. 35 ust. 2 pkt 27 u.d.u.r. w zw. z art. 13 ust. 1 u.o.d.o.p.z.z.p., poprzez błędną wykładnię art. 13 u.o.d.o.p.z.z.p. polegającą na przyjęciu, że z przepisu tego wynika uprawnienie KSM do żądania informacji objętych tajemnicą ubezpieczeniową, a w konsekwencji niewłaściwe zastosowanie art. 35 ust. 2 pkt 27 u.d.u.r. jako przepisu uzasadniającego nakazanie udostępnienia danych objętych tajemnicą ubezpieczeniową - co skutkowało wydaniem decyzji z rażącym naruszeniem prawa.
Uzasadniając złożoną skargę skarżąca szczegółowo uzasadniła ww. zarzuty.
W odpowiedzi na skargę organ wniósł o jej oddalenie, podnosząc argumentację tożsamą z zaprezentowaną w zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie, zważył co następuje:
Stosownie do treści art. 3 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2022 r. poz. 329, zwana dalej: p.p.s.a.), sądy administracyjne sprawują kontrolę działalności administracji publicznej i stosują środki określone w ustawie. Oznacza to, iż sąd rozpoznając skargę ocenia, czy zaskarżona decyzja nie narusza przepisów prawa materialnego bądź przepisów postępowania administracyjnego. Zgodnie z art. 134 p.p.s.a. Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną w niej podstawą prawną. Zgodnie z art. 135 p.p.s.a. orzekanie następuje w granicach sprawy, w której wydano zaskarżoną decyzję i odbywa się z uwzględnieniem wówczas obowiązujących przepisów prawa.
Istota sprawy w niniejszym postępowaniu sprowadzała się do oceny prawidłowości nakazania udostępnienia przez skarżącą danych, wnioskowanych przez KSM.
Odnosząc się do zarzutu naruszenia przez Prezesa UODO art. 35 ust. 2 pkt 27 ustawy o działalności ubezpieczeniowej i reasekuracyjnej poprzez błędną jego wykładnię w zw. z art. 13 ust. 1 ustawy o ochronie danych polegającą na przyjęciu, że z przepisu tego wynika uprawnienie Komendanta Straży Miejskiej do żądania informacji objętych tajemnicą ubezpieczeniową, należy wskazać, że zgodnie z art. 35 ust. 1 ustawy o działalności ubezpieczeniowej i reasekuracyjnej zakład ubezpieczeń i osoby w nim zatrudnione, a także osoby i podmioty, za pomocą których zakład ubezpieczeń wykonuje czynności ubezpieczeniowe, są obowiązane do zachowania tajemnicy, dotyczącej poszczególnych umów ubezpieczenia. Jednocześnie art. 35 ust. 2 pkt 1-27 ww. ustawy wskazuje podmioty, wobec których zakład ubezpieczeń i osoby w nim zatrudnione nie mają obowiązku zachowania tajemnicy. Zgodnie z jego punktem 27, obowiązek zachowania tajemnicy, o którym mowa w ust. 1, nie dotyczy informacji udzielanych na wniosek innego podmiotu, którego uprawnienie do żądania informacji wynika z przepisów odrębnej ustawy. Powołane przepisy prawa wskazują zatem na możliwość udostępnienia danych objętych tajemnicą dotyczącą poszczególnych umów ubezpieczenia, gdy stanowią tak przepisy odrębne.
W myśl art. 13 ust. 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, właściwe organy przetwarzają dane osobowe wyłącznie w zakresie niezbędnym dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Zgodnie zaś z art. 10 ust. 1 ustawy o strażach gminnych, straż wykonuje zadania w zakresie ochrony porządku publicznego, wynikające z ustaw i aktów prawa miejscowego. Stosownie natomiast do art. 10a ust. 1 ww. ustawy, straż w celu realizacji ustawowych zadań może przetwarzać dane osobowe, z wyłączeniem danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, bez wiedzy i zgody osoby, której dane te dotyczą. Dane te mogą być uzyskane w wyniku wykonywania czynności podejmowanych w postępowaniu w sprawach o wykroczenia lub z rejestrów, ewidencji i zbiorów, do których straż posiada dostęp na podstawie odrębnych przepisów.
Stosownie do art. 12 ust. 1 pkt 5 ww. ustawy strażnik wykonując zadania, o których mowa w art. 10 i 11, ma prawo m. in. do dokonywania czynności wyjaśniających, kierowania wniosków o ukaranie do sądu, oskarżania przed sądem i wnoszenia środków odwoławczych - w trybie i zakresie określonych w Kodeksie postępowania w sprawach o wykroczenia. Straże gminne (miejskie) są jednym z oskarżycieli publicznych w myśl art. 17 § 3 ustawy z dnia 24 sierpnia 2001 r. Kodeks postępowania w sprawach o wykroczenia (Dz.U. z 2021 r. poz. 457, dalej jako k.k.w.), któremu przysługuje prawo do przeprowadzenia czynności wyjaśniających w celu ustalenia, czy istnieją podstawy do wystąpienia z wnioskiem o ukaranie oraz zebrania danych niezbędnych do sporządzenia wniosku o ukaranie (art. 54 - 56 k.k.w.).
Zgodnie z treścią art. 57 § 2 pkt 1 k.k.w., wniosek o ukaranie powinien zawierać imię, nazwisko oraz adres obwinionego, a także inne dane niezbędne do ustalenia jego tożsamości.
Zdaniem Sądu, realizacja przez Straż Miejską jej ustawowych zadań, wymaga wykorzystania informacji o osobach, których działania te dotyczą. Przepisy ustawy o strażach gminnych wprost stanowią o prawie Straży Miejskiej do przetwarzania danych osobowych w związku z realizacją określonych prawem zadań, bez konieczności uzyskania na to zgody osoby, której dane dotyczą (art. 10a ust. 1).
Komendant na mocy stosownych przepisów miał prawo zwrócić się do zakładu ubezpieczeń o udostępnienie niezbędnych danych osobowych, zaś zakład ubezpieczeń powinien - mając na względzie fakt realizacji obowiązku czuwania przez Straż Miejską nad przestrzeganiem prawa przez obywateli – udostępnić informacje w zakresie wnioskowanym przez Straż Miejską. W takiej sytuacji dochodzi bowiem do realizacji dyspozycji przepisu art. 35 ust. 2 pkt 27 ustawy o działalności ubezpieczeniowej i reasekuracyjnej.
Nieprawidłowa była odmowa przez spółkę udostępnienia żądanych danych osobowych podmiotu, który ubezpieczył polisą pojazd marki [...]. Spółka nie rozważyła zasadności wniosku Straży Miejskiej w kontekście art. 35 ust. 2 pkt 27 ustawy o działalności ubezpieczeniowej i reasekuracyjnej, z którego wynika legitymacja prawna do pozyskania danych osobowych na mocy powołanego przepisu prawa.
Działając w przedmiotowej sprawie, Straż Miejska wykonywała zadania z zakresu porządku publicznego, do czego niezbędne jest ustalenie sprawcy wykroczenia, a następnie skierowanie do sądu wniosku o ukaranie (vide wyrok Naczelnego Sądu Administracyjnego z dnia 5 lutego 2008 r. w sprawie o sygnaturze I OSK 37/07). Zatem art. 35 ust. 2 ustawy o działalności ubezpieczeniowej i reasekuracyjnej nie stoi na przeszkodzie udostępnieniu danych osobowych podmiotu, który ubezpieczył polisą pojazd marki [...].
Zgodnie z art. 57 § 2 pkt 1 k.k.w., wniosek o ukaranie powinien zawierać m. in. imię i nazwisko oraz adres obwinionego, a także inne dane niezbędne do ustalenia jego tożsamości. Komendant na mocy powołanych wyżej przepisów ma prawo zwrócić się do zakładu ubezpieczeń o udostępnienie niezbędnych danych osobowych, zaś zakład ubezpieczeń powinien - mając na względzie fakt realizacji obowiązku czuwania przez Straż Miejską nad przestrzeganiem prawa przez obywateli – udostępnić informacje w zakresie wnioskowanym przez Straż Miejską. W takiej sytuacji dochodzi bowiem do realizacji dyspozycji przepisu art. 35 ust. 2 pkt 27 ustawy o działalności ubezpieczeniowej i reasekuracyjnej.
Mając na względzie całokształt okoliczności faktycznych i prawnych niniejszej sprawy, należy stwierdzić, że spółka bezpodstawnie odmówiła Komendantowi udostępnienia danych, które pozwoliłyby Straży Miejskiej na skuteczne zainicjowanie przeciwko ww. podmiotowi postępowania sądowego.
W tej sytuacji całkowicie bezzasadny jest zarzut skargi co do naruszenia art. 8 ust. 2 pkt 2 ustawy z dnia 14 grudnia 2018 r. o ochronie danych, gdyż ochrona danych osobowych nie została stworzona celem ochrony sprawców przestępstw i wykroczeń przed ujawnieniem ich danych osobowych, co pozwalałoby im unikać odpowiedzialności za czyny niezgodne z prawem. Stąd w ustawie znalazły się przepisy, uprawniające m.in. Straż Miejską do pozyskiwania danych osobowych celem realizacji zadań z zakresu ochrony porządku publicznego.
Wykroczenie jest czynem zabronionym, zawinionym i społecznie szkodliwym. Staż gminna (miejska) jest powołana przez samorząd gminny (miejski) w celach takich, jak m.in.: ochrona spokoju i porządku w miejscach publicznych a także ochrona obiektów komunalnych i urządzeń użyteczności publicznej (art. 11 ustawy o strażach gminnych). W celu realizacji tych zadań, straż posiada szereg szczegółowo uregulowanych uprawnień, które oczywiście nie odnoszą się wprost do prawa żądania ujawnienia przez określone podmioty danych osobowych abonenta, który jest potencjalnym sprawcą wykroczenia (patrz na ten temat wyrok WSA w Warszawie w sprawie II SA/Wa 109/21). Straż miejska jest podmiotem mającym - z mocy ustawy - prawo do uzyskiwania informacji, wkraczających w wolności i prywatność osób, a więc praw chronionych konstytucyjnie. Wyższość dobra publicznego w określonych sytuacjach wymaga bowiem podporządkowania praw przysługujących jednostce.
Realizacja przez Straż Miejską zadań oraz obowiązków, wymaga wykorzystywania informacji o osobach, których działania te dotyczą. Rację ma więc PUODO, że przepisy ustawy o strażach gminnych stanowią o prawie Straży Miejskiej do przetwarzania danych w związku z realizacją określonych prawem zadań, bez konieczności uzyskiwania na to zgody osoby, której dane te dotyczą.
Podkreślenia w szczególności w tym miejscu także wymaga, że zgodnie z art. 10a ustawy o strażach gminnych, straż w celu realizacji ustawowych zadań może przetwarzać dane osobowe, z wyłączeniem danych szczegółowo w tym przepisie wymienionych. Problematyka zakresu uprawnień straży miejskich do przetwarzania danych osobowych i żądania ich od innych podmiotów była już niejednokrotnie przedmiotem orzeczeń sądów administracyjnych.
Naczelny Sąd Administracyjny m.in. w wyroku z dnia 5 lutego 2008 r., wydanym w sprawie sygn. akt I OSK 37/07 uznał, że przepisy ustawy o strażach gminnych nie tylko uprawniają, ale wręcz zobowiązują Straż Miejską do pozyskiwania wszelkich niezbędnych danych w celu ustalenia sprawcy wykroczenia, a następnie skierowania do sądu stosownego wniosku o ukaranie podmiotu w pełni zidentyfikowanego. Zagwarantowana w art. 49 Konstytucji RP wolność i ochrona tajemnicy komunikowania się nie ma charakteru bezwzględnego. Pogląd ten zbieżny jest ze stanowiskiem zajętym przez Naczelny Sąd Administracyjny w wyrokach z dnia 21 lutego 2014 r., sygn. akt I OSK 2324/12, oraz z dnia 6 marca 2019 r., sygn. akt I OSK 2677/16.
Konkludując, Sąd orzekający w sprawie niniejszej uważa, że Komendant Straży Miejskiej na mocy stosownych przepisów rangi ustawowej, miał prawo zwrócić się do skarżącej spółki o udostępnienie danych osobowych, zaś spółka powinna, z uwagi na zadania i obowiązki Straży Miejskiej w zakresie przestrzegania prawa przez obywateli - udostępnić informacje niezbędne Straży Miejskiej do realizacji jej zadań.
Orzekający w sprawie organ prawidłowo powołał podstawy prawne udostępnienia informacji o właścicielu polisy ubezpieczeniowej w treści decyzji. Stanowią one uzasadnioną podstawę udostępnienia KSM danych osobowych w zakresie imienia, nazwiska i adresu zamieszkania podmiotu, który ubezpieczył polisą nieprawidłowo zaparkowany pojazd.
Ponieważ zarzuty skargi okazały się całkowicie bezzasadne, Sąd orzekł jak w sentencji, na podstawie art.151 p.p.s.a.