II SA/Wa 1517/23

II SA/Wa 1517/23 - Wyrok WSA w Warszawie
Data orzeczenia
2024-04-03
orzeczenie prawomocne
Data wpływu
2023-08-02
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Wieczorek
Izabela Głowacka-Klimas /przewodniczący sprawozdawca/
Mateusz Rogala
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2022 poz 2000
art. 105 par. 1
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego - t.j.
Dz.U.UE.L 2016 nr 119 poz 1 art. art. 5 ust. 1 lit. a), 6 ust. 1, 58 ust. 1 lit. a) i e), 77 ust. 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Izabela Głowacka-Klimas (spr.), Sędzia WSA Andrzej Wieczorek, Asesor WSA Mateusz Rogala, Protokolant specjalista Monika Gieroń, po rozpoznaniu na rozprawie w dniu 3 kwietnia 2024 r. sprawy ze skargi C. S. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] maja 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO, organ) decyzją z [...] maja 2023 r. nr [...], na podstawie art. 104 § 1 oraz art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2023 r. poz. 775 ze zm.; dalej "Kpa."), w zw. z art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781), art. 6 ust. 1 i art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego
i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 119 z 4.05.2016, str. 1, Dz.Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz.Urz. UE L 74 z 4.03.2021, str. 35; dalej RODO), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana C.S. (dalej także skarżący), zam. w [...], na nieprawidłowości w procesie przetwarzania jego danych osobowych przez P. sp. z o.o. z siedzibą w [...] (dalej spółka), polegające na przetwarzaniu nieprawidłowych danych osobowych w związku
z umową o świadczenie usług telekomunikacyjnych dla numeru telefonu: [...] oraz udostępnieniu jego danych osobom nieuprawnionym, udzielił spółce upomnienia za naruszenie art. 6 ust. 1 RODO polegające na przetwarzaniu nieprawidłowych danych osobowych Pana C.S., w zakresie jego imienia, nazwiska i numeru PESEL, w związku z umową o świadczenie usług telekomunikacyjnych dla numeru telefonu: [...], w okresie od 25 maja
2018 r. do 28 marca 2022 r. bez podstawy prawnej oraz umorzył postępowanie
w pozostałym zakresie.
Wydaniu powyższej decyzji towarzyszył następujący stan sprawy.
Do Prezesa UODO wpłynęła skarga Pana C.S,
na nieprawidłowości w procesie przetwarzania jego danych osobowych przez spółkę, polegające na przetwarzaniu nieprawidłowych danych osobowych skarżącego
w związku z umową o świadczenie usług telekomunikacyjnych dla numeru telefonu: [...] oraz udostępnieniu tych danych osobom nieuprawnionym.
Jak wynika z treści skargi z 15 kwietnia 2022 r., spółka przypisała do konta skarżącego prowadzonego dla numeru telefonu [...], inną osobę jako drugiego użytkownika. W piśmie z 23 marca 2022 r. spółka przyznała, że na skutek błędu pracownika w miejsce danych skarżącego wprowadzone zostały dane innej osoby w zakresie jej imienia i nazwiska oraz nr PESEL. Skarżący wskazał,
że powyższe odkrył, gdy chciał przenieść swój numer telefonu do innego operatora. Wskazał ponadto, że jego numer telefonu jest przez niego użytkowany co najmniej od 2006 r. Spółka wyjaśniła mu, że w związku z przenoszeniem danych przez operatora doszło do nieprawidłowego wprowadzenia danych osobowych dotyczących użytkownika numeru telefonu [...]. Zdaniem skarżącego nieprawidłowe administrowanie danymi przez spółkę doprowadziło do przypisania danych nieodpowiadających stanowi rzeczy, bo dotyczących osoby obcej, do której przypisano jego numer telefonu.
W piśmie z 11 maja 2022 r. skarżący wskazał, że cyt. "(...) moje żądanie polega na sprostowaniu danych osobowych związanych z wykonywaniem umowy
o świadczenie usług telekomunikacyjnych przez P. Sp. Z o.o.
w [...] (nr klienta [...], nr abonenta [...]) przypisanych do mojej osoby, a do których obecnie w wyniku nieprawidłowego administrowania zasobami danych przetwarzanymi w związku z wykonywaniem umowy na moją rzecz, doszło do ujawnienia w związku z zawartą przeze mnie umową danych osoby trzeciej." W złożonych wyjaśnieniach spółka wskazała, że pozyskała dane osobowe
od skarżącego w związku z zawarciem umowy dotyczącej udziału w promocji [...] w dniu [...] listopada 2006 r., która była wielokrotnie aneksowana przez skarżącego. Podstawę prawną przetwarzania danych osobowych skarżącego stanowił w szczególności art. 23 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r.
o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922 ze zm.; zwanej dalej ustawą), a od 25 maja 2018 r. podstawę prawną przetwarzania danych osobowych skarżącego stanowi art. 6 ust. 1 lit. b RODO.
Spółka wskazała, że w dniu 17 lutego 2022 r. otrzymała wniosek skarżącego
o przeniesienie numeru telefonu w usłudze pre-paid do innego operatora, który zawierał dane skarżącego w zakresie: imię, nazwisko i PESEL. W związku
z niezgodnością danych rejestracyjnych, spółka odmówiła przeniesienia numeru.
W dniu 22 lutego 2022 r. wpłynął do spółki wniosek skarżącego o przeniesienie tego samego numeru telefonu w usłudze post-paid. Spółka w tym samym dniu odmówiła przeniesienia numeru telefonu do innego operatora, wskazując na niewłaściwy typ kontraktu u innego operatora podany przez skarżącego. W dniu 24 lutego 2022 r. wpłynął kolejny wniosek skarżącego o przeniesienie numeru telefonu w usłudze
pre-paid do innego operatora, po raz kolejny, w związku z niezgodnością danych rejestracyjnych spółka odmówiła przeniesienia przedmiotowego numeru telefonu do innego operatora. Spółka wyjaśniła, że w dniu 10 marca 2022 r. wpłynęło do niej pismo skarżącego dotyczące braku możliwości przeniesienia numeru telefonu
do innego operatora. Pismem z 23 marca 2022 r. spółka wskazała skarżącemu, że cyt. "(...) zgłoszony przez Pana problem wynikł z błędu popełnionego przez pracownika punktu sprzedaży w dniu 10 stycznia 2017 r., kiedy to dokonano zmiany danych rejestracyjnych Abonenta wskazanego przez Pana telefonu [...]
i w miejsce Pańskich danych wprowadzono imię i nazwisko innej osoby, której tożsamości nie mogę ujawnić przez wzgląd na konieczność zachowania poufności chronionych danych. Z uwagi na znaczny upływ czasu nie mamy niestety możliwości naświetlenia okoliczności powstania ewentualnego błędu." Spółka wskazała także, że w celu zarejestrowania numeru telefonu, w odpowiedzi z 23 marca 2022 r. poprosiła skarżącego o udanie się do najbliższego "Autoryzowanego Przedstawiciela Sprzedaży". Następnie spółka wyjaśniła, że w dniu 28 marca 2022 r. numer telefonu został interwencyjnie zarejestrowany na dane skarżącego, na podstawie jego wystąpienia. Spółka wskazała również, że pomimo rejestracji numeru telefonu skarżącego i możliwości przeniesienia tego numeru telefonu do innego operatora,
w dniach 11 kwietnia 2022 r. i 20 maja 2022 r. do spółki wpłynęły kolejne pisma skarżącego dotyczące braku możliwości przeniesienia numeru telefonu. Spółka wyjaśniła, że już po rejestracji w dniu 28 marca 2022 r. numeru telefonu skarżącego, miał on możliwość przeniesienia tego numeru, ale z tej możliwości nie skorzystał, (tak: wyjaśnienia spółki z 1 czerwca 2022 r. z załącznikami oraz wyjaśnienia
z 24 kwietnia 2023 r.).
W wyjaśnieniach z 20 października 2022 r. spółka podała, że dokonała weryfikacji zdarzenia zgłoszonego przez skarżącego, z której wynika, że numer telefonu skarżącego nie został "udostępniony przez Spółkę do celów przestępczych" osobie nieuprawnionej, na co wskazuje skarżący w złożonej skardze, ani nie stwierdzono naruszenia ochrony jego danych osobowych. Spółka wskazała, że do czasu rejestracji karty przez skarżącego, numer należał do innej osoby, zatem ani dane poprzedniego abonenta, ani dane skarżącego po rejestracji karty SIM, nie zostały udostępnione osobie nieupoważnionej.
W uzasadnieniu podanej na wstępie decyzji Prezes UODO wskazał, że RODO określa obowiązki administratora danych, do których należy przetwarzanie danych osobowych z zachowaniem przesłanek określonych w tym rozporządzeniu. Przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych jest art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Oznacza to, że przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. W konsekwencji zgoda osoby, której dane dotyczą nie jest jedyną podstawą przetwarzania danych osobowych, bowiem proces przetwarzania danych będzie zgodny z RODO również wówczas, gdy administrator danych wykaże spełnienie innej z wyżej wymienionych przesłanek. Niezależnie od zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO) przetwarzanie danych osobowych jest dopuszczalne między innymi wtedy, gdy przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą (art. 6 ust. 1 lit. b RODO), gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO) lub gdy jest to niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (art. 6 ust. 1 lit. f RODO).
Administrator zobowiązany jest przy tym, do przetwarzania danych zgodnie
z zasadami określonymi w art. 5 ust. 1 RODO. Zgodnie z zasadą zgodności
z prawem, rzetelności i przejrzystości, przetwarzanie danych powinno odbywać się zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (art. 5 ust. 1 lit. a RODO ), stosownie natomiast do zasady prawidłowości dane powinny być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane (art. 5 ust. 1 lit. d RODO).
Jak podał organ, z ustalonego w niniejszej sprawie stanu faktycznego wynika, że spółka, w wyniku błędu pracownika, przetwarzała od 10 stycznia 2017 r. nieprawidłowe dane osobowe skarżącego w związku z zawartą z nim umową
z [...] listopada 2006 r., dotyczącą numeru telefonu [...]. Błąd powyższy polegał na zarejestrowaniu przez pracownika punktu sprzedaży w dniu 10 stycznia 2017 r. w powiązaniu z ww. numerem telefonu, stanowiącym dane osobowe skarżącego, w miejsce prawidłowych danych skarżącego, danych nieprawidłowych. Zmienione zostały imię, nazwisko i numer PESEL skarżącego. Powyższe spowodowało, że w powiązaniu z numerem telefonu skarżącego przetwarzane były nieprawidłowe dane osobowe. W wyniku tego działania skarżący został pozbawiony możliwości przeniesienia przedmiotowego numeru telefonu do innego operatora. Ostatecznie błąd został przez spółkę zidentyfikowany w związku z pismem skarżącego z 10 marca 2022 r. i usunięty 28 marca 2022 r., poprzez zmianę omyłkowo zarejestrowanych nieprawidłowych danych osobowych przypisanych
do użytkowanego przez skarżącego numeru telefonu, na prawidłowe dane osobowe skarżącego.
Zdaniem organu ustalone powyżej okoliczności potwierdzają, że
w przedmiotowej sprawie doszło do naruszenia przez spółkę przepisu o ochronie danych osobowych polegającego na przetwarzaniu nieprawidłowych danych osobowych skarżącego w związku z zawartą z nim umową. Wskazany proces przetwarzania nie znajdował bowiem oparcia w żadnej z przesłanek wyrażonych
w art. 6 ust. 1 RODO i był niezgodny z zasadami przetwarzania, o których mowa
w art. 5 ust. 1 lit. a oraz c RODO.
Ocena dokonywana przez Prezesa UODO w każdym przypadku służy zbadaniu zasadności skierowania pod adresem określonego podmiotu nakazu, odpowiadającego dyspozycji art. 58 ust. 2 RODO służącego przywróceniu stanu zgodnego z prawem, w procesie przetwarzania danych - jest więc ona uzasadniona
i potrzebna tylko o tyle, o ile skarżony proces przetwarzania danych osobowych zaistniał. W ocenie organu aktualnie brak jest podstaw tak faktycznych, jak
i prawnych do wydania w sprawie nakazu, zgodnie z żądaniem skarżącego, bowiem spółka naprawiła błąd w procesie przetwarzania danych osobowych skarżącego
i aktualnie przetwarza w związku z umową zawartą ze skarżącym jego prawidłowe dane osobowe. Niemniej na podstawie art. 58 ust. 2 RODO Prezesowi UODO przysługują jednak uprawnienia naprawcze umożliwiające zareagowanie
na stwierdzone nieprawidłowości w procesie przetwarzania danych osobowych, które zostały już wyeliminowane. W przypadku naruszenia przepisów RODO przez operacje przetwarzania organ może udzielić upomnienia administratorowi lub podmiotowi przetwarzającemu (lit. b). W okresie od 10 stycznia 2017 r. do 28 marca 2022 r. spółka dopuściła się naruszenia polegającego na przetwarzaniu nieprawidłowych danych osobowych skarżącego.
W tym miejscu Prezes UODO wyjaśnił, że od daty rozpoczęcia obowiązywania przepisów RODO, organ ma możliwość nałożenia upomnienia za przetwarzanie danych niezgodnie z przepisami. Nałożenie upomnienia w oparciu o przepisy RODO w stosunku do zdarzenia, które miało miejsce przed ww. datą, byłoby sprzeczne
z przepisami. Niemniej jednak z uwagi na fakt, iż stwierdzone naruszenie art. 6 ust. 1 RODO, polegające na przetwarzaniu bez podstawy prawnej nieprawidłowych danych osobowych skarżącego miało miejsce również po rozpoczęciu obowiązywania RODO, tj. 25 maja 2018 r., zasadnym jest udzielenie upomnienia za przetwarzanie tych danych w terminie od 25 maja 2018 r., do czasu ich zmiany na prawidłowe,
tj. do 28 marca 2022 r.
Odnosząc się do zarzutu skarżącego w zakresie udostępnienia jego danych osobowych nieuprawnionej osobie trzeciej, organ wskazał, że Prezes UODO, jako organ administracji publicznej, przeprowadzając postępowanie w oparciu o przepisy Kpa., ocenia na podstawie całokształtu materiału dowodowego, czy dana okoliczność została udowodniona. Dowodami w postępowaniu mogą być w szczególności dokumenty, zeznania świadków, opinie biegłych oraz oględziny (art. 75 § 1 Kpa.).
Jak stwierdził Prezes UODO, zgromadzony w przedmiotowej sprawie materiał dowodowy nie potwierdza okoliczności, aby spółka udostępniła podmiotom trzecim dane osobowe skarżącego, w tym aby stwierdzone naruszenie spółki, polegające
na przetwarzaniu nieprawidłowych danych osobowych skarżącego, skutkowało udostępnieniem jego danych osobowych osobie trzeciej. Spółka powyższemu kategorycznie zaprzeczyła, zaś skarżący nie przedłożył dowodów potwierdzających te twierdzenia, a zatem należy uznać, zdaniem organu, że skarżący oparł je
na swoich przypuszczeniach. W konsekwencji brak jest dowodów potwierdzających zaistnienie kwestionowanego przez skarżącego procesu udostępnienia jego danych osobowych przez spółkę.
Podzielając powyższe rozważania oraz mając na względzie ustalone okoliczności sprawy, Prezes UODO stwierdził, że w sprawie brak jest niebudzących wątpliwości dowodów, które potwierdzałyby zarzuty skarżącego dotyczące udostępnienia jego danych podmiotom nieuprawnionym. Wobec powyższego nie można uznać, że kwestionowany przez skarżącego proces przetwarzania danych osobowych zaistniał.
W niniejszej sprawie, zdaniem organu, zaistniała przesłanka bezprzedmiotowości postępowania i umorzenia postępowania w oparciu o art. 105
§ 1 Kpa. w zakresie dotyczącym udostępnienia przez spółkę danych osobowych skarżącego podmiotom trzecim. Jak wynika ze zgromadzonego w sprawie materiału dowodowego, brak jest dowodów na potwierdzenie podnoszonych przez skarżącego zarzutów, tym samym nie można uznać, że kwestionowany przez niego proces przetwarzania danych osobowych zaistniał, wobec czego postępowanie to stało się bezprzedmiotowe.
Skarżący wywiódł do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na wskazaną na wstępie decyzję Prezesa UODO z [...] maja 2023 r. Skarżący podniósł w szczególności, że skarżona decyzja, mocą której Prezes UODO udzielił spółce upomnienia, jest nieadekwatna do popełnionego naruszenia przepisów RODO i oparta została na nieprawdziwych informacjach przekazanych przez spółkę, oraz że Prezes UODO nie wyjaśnił, skąd spółka posiadała dane osobowe osoby trzeciej, która dopisana została do umowy numeru telefonu użytkowanego przez skarżącego oraz nie wyegzekwował od spółki umów zawartych przez tę osobę trzecią. Skarżący wskazał również, że organ nie wyjaśnił do jakich celów zostało powzięte działanie "przenoszenia danych osobowych". Skarżący wskazał także, że na jego telefonie cyt. "(...) jest zameldowany obserwator, który miał dostęp
i możliwości utrudniania mi korzystania swobodnego z posiadanego nr tel. prowadzenia rozmów w kontaktach z rodziną, znajomymi i instytucjami (...). Na moim telefonie w czasie rozmów były zagłuszenia, trzaski, głuche telefony, namierzano miejsca gdzie się znajdowałem i różne inne niedogodności, przychodziły różne smsy o różnych treściach, sieciówki, rekalmówki, naciągacze na garki, pościele, AGD." Skarżący wskazał nadto, że w tym okresie dochodziło do różnych przestępstw
i wykroczeń, kradzieży, włamań, prób podpalenia, mających na celu odwrócenie jego działań wyjaśniających.
W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując stanowisko zawarte w uzasadnieniu zaskarżonej decyzji.
W piśmie z 20 września 2023 r. skarżący odniósł się argumentów organu zawartych w odpowiedzi na skargę.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (t.j. Dz. U. z 2022 r. poz. 2492 ze zm.), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną
(art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi - t.j. Dz. U. z 2023 r. poz. 1634 ze zm.; dalej p.p.s.a.).
W ocenie Sądu, analizowana pod tym kątem skarga C.S. nie zasługuje na uwzględnienie. Zaskarżona decyzja nie narusza ani przepisów prawa materialnego ani przepisów postępowania administracyjnegow stopniu, który miałby wpływ na wynik sprawy.
Zgodnie z art. 77 RODO bez uszczerbku dla innych administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie.
W motywie 141 preambuły do RODO wyjaśniono między innymi, że każda osoba, której dane dotyczą, powinna mieć prawo wniesienia skargi do jednego organu nadzorczego, w szczególności w państwie członkowskim, w którym ma miejsce zwykłego pobytu. Postępowanie wyjaśniające na podstawie skargi powinno być prowadzone w zakresie odpowiadającym konkretnej sprawie. Organ nadzorczy powinien w rozsądnym terminie poinformować osobę, której dane dotyczą,
o postępach i wynikach rozpatrywania skargi. Jeżeli dana sprawa wymaga dalszego postępowania wyjaśniającego lub koordynacji działań z innym organem nadzorczym, osoba, której dane dotyczą, powinna zostać o tym uprzednio poinformowana.
Jak wyżej wskazano, przepis ust. 1 art. 77 RODO przyznaje każdej osobie, która uważa, że przetwarzanie danych osobowych jej dotyczących narusza rozporządzenie, uprawnienie do wniesienia skargi do organu nadzorczego. Dla wniesienia skargi wystarczające jest więc subiektywne przekonanie podmiotu danych o tym, że przetwarzanie jego danych następuje z naruszeniem komentowanego rozporządzenia. Przedmiotem skargi mogą być w szczególności naruszenia przepisów dotyczących podstaw dopuszczalności przetwarzania danych (art. 6 RODO). Skarga może dotyczyć również naruszenia innych przepisów RODO
(np. niedopełnienia obowiązków administratora), jednak powinna mieć związek
z przetwarzaniem danych osoby, która wnosi skargę.
Prezes UODO powołany jest wyłącznie do wypełniania zadań wynikających
z RODO, a zatem m.in. rozstrzygania w kwestiach dotyczących legalności przetwarzania danych osobowych na skutek skarg wnoszonych przez osoby, których dane dotyczą. Co za tym idzie, wyłącznie kwestie dotyczące zgodności z prawem przetwarzania danych osobowych skarżącego mogły być jak wynika z treści zaskarżonej decyzji – przedmiotem oceny Prezesa UODO. Prezes UODO nie posiada natomiast instrumentów, za pomocą których mógłby ustalić, kto i dlaczego dopuścił się naruszenia, w sytuacji gdy administrator przyznaje, że doszło
do naruszenia, jednak z uwagi na upływ czasu, nie jest możliwe ustalenie, kto
z pracowników czy współpracowników odpowiada za powyższe naruszenie.
W rozpatrywanej sprawie organ, po przeprowadzeniu postępowania administracyjnego na skutek złożonej doń skargi, w punkcie pierwszym decyzji udzielił spółce upomnienia za naruszenie art. 6 ust. 1 RODO, polegające
na przetwarzaniu nieprawidłowych danych osobowych skarżącego, w zakresie jego imienia, nazwiska i numeru PESEL, w związku z umową o świadczenie usług telekomunikacyjnych dla numeru telefonu [...] w danym okresie bez podstawy prawnej, w punkcie drugim umorzył postępowanie w zakresie dotyczącym udostępnienia danych osobowych skarżącego podmiotom trzecim.
Co istotne, uprawnienie do określenia żądania kierowanego do Prezesa UODO, czy też do doprecyzowania tego żądania, posiada tylko strona. Organ nie może wyręczać strony i decydować za nią w jakiej sprawie toczyć się będzie postępowanie zainicjowane jej wnioskiem. Wobec tego Prezes UODO prowadził postępowanie w niniejszej sprawie w zakresie zgodnym z zarzutem wyrażonym przez skarżącego w jego skardze a dotyczącym przetwarzania nieprawidłowych danych osobowych skarżącego w związku z umową o świadczenie usług telekomunikacyjnych oraz udostępnienia tych danych osobom nieuprawnionym.
Jak wynika z poczynionych ustaleń, których przebieg odzwierciedlono
w części historycznej niniejszego uzasadnienia, Prezes UODO w celu zweryfikowania zarzutów skarżącego względem spółki, korzystając z instrumentów prawnych określonych w art. 58 ust. 1 lit. a i e RODO, wielokrotnie zwracał się
do spółki o złożenie pisemnych wyjaśnień w sprawie oraz potwierdzających
je dowodów.
W konsekwencji ustalił, że spółka, w wyniku błędu pracownika, przetwarzała od 10 stycznia 2017 r. nieprawidłowe dane osobowe skarżącego w związku
z zawartą z nim umową, dotyczącą numeru telefonu [...]. Błąd powyższy polegał na zarejestrowaniu przez pracownika punktu sprzedaży w dniu 10 stycznia 2017 r. w powiązaniu z ww. numerem telefonu, stanowiącym dane osobowe skarżącego, w miejsce prawidłowych danych skarżącego, danych innej osoby. Zmienione zostały imię, nazwisko i numer PESEL skarżącego. Powyższe spowodowało, że w powiązaniu z numerem telefonu skarżącego przetwarzane były nieprawidłowe dane osobowe. W wyniku tego działania skarżący został pozbawiony możliwości przeniesienia przedmiotowego numeru telefonu do innego operatora. Ostatecznie spółka zidentyfikowała powstały błąd i usunęła go 28 marca 2022 r., poprzez zmianę omyłkowo zarejestrowanych nieprawidłowych danych osobowych przypisanych do użytkowanego przez skarżącego numeru telefonu, na prawidłowe dane osobowe skarżącego.
Wobec powyższego organ zasadnie uznał, że spółka dopuściła się naruszenia art. 6 ust. 1 RODO polegającego na przetwarzaniu nieprawidłowych danych osobowych skarżącego w związku z umową o świadczenie usług telekomunikacyjnych dla jego numeru w okresie od 10 stycznia 2017 r. do 28 marca 2022 r. i za powyższe naruszenie udzielił spółce upomnienia. Wskazany powyżej proces przetwarzania nie znajdował bowiem oparcia w żadnej z przesłanek wyrażonych w danym przepisie i był niezgodny z zasadami przetwarzania, o których mowa w art. 5 ust. 1 lit. a RODO (dane osobowe muszą być przetwarzane zgodnie
z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą) oraz art. 5 ust. 1 lit. c RODO (dane osobowe muszą adekwatne, stosowne oraz ograniczone
do tego, co niezbędne do celów, w których są przetwarzane). Jednocześnie, z uwagi na brak możliwości udzielenia upomnienia za okres naruszenia mający miejsce przed datą rozpoczęcia obowiązywania RODO, organ udzielił upomnienia za okres
od 25 maja 2018 r. do 28 marca 2022 r.
Wymóg rzetelności odnosi się do przetwarzania danych w dobrej wierze, nacechowanego dokładnością i uczciwością. Zgodnie z zasadą rzetelności podczas procesu przetwarzania należy brać pod uwagę interesy osoby, której dane dotyczą
i wyważyć odpowiednio prawo do ochrony danych oraz interesy administratora. Zasada rzetelności jest nakierowana na wyeliminowanie przetwarzania bezzasadnie szkodliwego, dyskryminującego, nieoczekiwanego lub wprowadzającego w błąd względem osoby, której dane dotyczą. W przypadku procesu profilowania RODO
w motywie 71 wskazuje, że zapewnienie przestrzegania zasady rzetelności polega na wdrożeniu środków technicznych i organizacyjnych mających na celu między innymi korektę czynników powodujących nieprawidłowości w danych osobowych
i maksymalne zmniejszenie ryzyka błędów, zabezpieczenie danych osobowych
w sposób uwzględniający potencjalne ryzyko dla interesów i praw osoby, której dane dotyczą, oraz zapobieganie skutkom w postaci dyskryminacji osób fizycznych. (tak: Maciaszczyk Anna, Zasada zgodności z prawem i rzetelności oraz zasada przejrzystości w ochronie danych osobowych, komentarz praktyczny, LEX/el. 2023).
Trudno wobec powyższego stwierdzić, że spółka w procesie przetwarzania danych osobowych skarżącego miała na względzie wytyczne płynące z tak rozumianej reguły, skoro w miejsce jego danych wprowadzono imię i nazwisko innej osoby. Wprawdzie zaistniały błąd wyeliminowano, jednak nie zmienia to faktu, że interes skarżącego – klienta spółki – został naruszony.
Na podstawie zebranego w sprawie materiału dowodowego nie stwierdzono, aby dane osobowe skarżącego zostały udostępnione innym nieuprawnionym osobom lub podmiotom. Z faktu powiązania danych osobowych osoby trzeciej
z numerem telefonu skarżącego, nie wynika, że osobie tej zostały udostępnione dane osobowe skarżącego lub by miała ona możliwość w jakikolwiek sposób dysponowania tym numerem telefonu. Spółka powyższemu zaprzeczyła, zaś skarżący nie przedłożył dowodów potwierdzających wyrażane przez siebie twierdzenia. W konsekwencji Prezes UODO prawidłowo przyjął, że brak jest dowodów potwierdzających zaistnienie procesu udostępnienia danych osobowych skarżącego przez spółką. W prowadzonym w niniejszej sprawie postępowaniu stwierdził wyłącznie, że doszło do naruszenia przez spółkę przepisów o ochronie danych osobowych polegającego na przetwarzaniu nieprawidłowych danych osobowych skarżącego w związku z zawartą umową i za to naruszenie udzielił spółce upomnienia. Nie był władny natomiast, w ramach przysługujących mu instrumentów określonych przepisami RODO, rozstrzygać kto, w jaki sposób
i w jakim celu miał możliwość dysponowania tym numerem telefonu, w tym podsłuchiwania rozmów skarżącego, śledzenia go lub ustalania jego położenia.
Sąd wyjaśnia, że Prezes UODO może podejmować tylko te czynności, które znajdują się w zakresie jego uprawnień oraz tylko w tych sprawach, które należą
do jego właściwości. Uprawnienia te i właściwość wynikają z RODO, ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, ale także z szeregu regulacji szczegółowych, które wskazują na ograniczenia kompetencji Prezesa UODO
w odniesieniu do przetwarzania danych przez określone podmioty bądź
w określonych okolicznościach. Podkreślić należy, że ściganie przestępstw, określonych przepisami prawa karnego, czy prowadzenie postępowań mających
na celu wykrycie sprawców tych przestępstw, leży poza kompetencjami Prezesa UODO. W powyższych sprawach właściwymi są organy ścigania, takie jak policja czy prokuratura.
Jedynie ubocznie Sąd wskazuje, że w badanej sprawie nie dopatrzono się
żadnego przestępstwa. Z pism składanych przez skarżącego wynika nadto, że zgłaszał on na policję i do prokuratury zawiadomienia o możliwości popełnienia przestępstwa, a zatem powiadomił odpowiednie organy ścigania, których działania nie podlegają ocenie Prezesa UODO.
W konsekwencji stwierdzić należy, że wobec faktu braku udostępnienia przez spółkę danych osobowych skarżącego podmiotom trzecim, zasadnym okazało się umorzenie postępowania w danym zakresie. Zaistniała bowiem bezprzedmiotowość postępowania z uwagi na potwierdzony w zgromadzonym materiale dowodowym brak takiego udostępnienia.
Zgodnie z poglądem wyrażanym w doktrynie, bezprzedmiotowość postępowania administracyjnego, o której stanowi art. 105 § 1 Kpa., oznacza, że brak jest któregoś z elementów materialnego stosunku prawnego, a wobec tego nie można wydać decyzji załatwiającej sprawę przez rozstrzygnięcie jej co do istoty. Przesłanka umorzenia postępowania może istnieć jeszcze przed wszczęciem postępowania, co zostanie ujawnione dopiero w toczącym się postępowaniu, a może ona powstać także w czasie trwania postępowania, a więc
w sprawie już zawisłej przed organem administracyjnym. (B. Adamiak, J. Borkowski, Kodeks postępowania administracyjnego. Komentarz, C.H.Beck, Warszawa 2006,
s. 489). Ustalenie przez organ publiczny zaistnienia przesłanki, o której mowa
w art. 105 § 1 Kpa., zobowiązuje go do umorzenia postępowania, nie ma bowiem
w sytuacji zaistnienia tej przesłanki podstaw do rozstrzygnięcia sprawy co do istoty,
a dalsze prowadzenie postępowania w takim przypadku stanowiłoby o jego wadliwości, mającej istotny wpływ na wynik sprawy. Bezprzedmiotowość postępowania może być także wynikiem zmiany stanu faktycznego sprawy. Zgodnie bowiem z brzmieniem art. 105 § 1 Kpa., gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości albo w części, organ administracji publicznej wydaje decyzję o umorzeniu postępowania odpowiednio w całości albo w części. Jak wskazał Wojewódzki Sąd Administracyjny w Warszawie, cyt.: "bezprzedmiotowość postępowania administracyjnego to brak przedmiotu postępowania. Tym przedmiotem jest zaś konkretna sprawa, w której organ administracji państwowej jest władny i jednocześnie zobowiązany rozstrzygnąć na podstawie przepisów prawa materialnego o uprawnieniach lub obowiązkach indywidualnego podmiotu"
(tak: wyrok z dnia 5 października 2017 r. sygn. akt VI SA/Wa 1093/17).
Biorąc powyższe pod rozwagę, działając na podstawie art. 151 p.p.s.a., Sąd skargę oddalił.
-----------------------
4