II SA/Wa 153/22

II SA/Wa 153/22 - Wyrok WSA w Warszawie
Data orzeczenia
2022-10-12
orzeczenie prawomocne
Data wpływu
2022-01-25
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Agnieszka Góra-Błaszczykowska /przewodniczący/
Michał Sułkowski /sprawozdawca/
Sławomir Antoniuk
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2017 poz 1577
art. 201 par 1, art. 208 par 2
Ustawa z dnia 15 września 2000 r. Kodeks spółek handlowych - tekst jedn.
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Agnieszka Góra – Błaszczykowska, Sędzia WSA Sławomir Antoniuk, Asesor WSA Michał Sułkowski (spr.), Protokolant Beata Kowalska (ref staż.) po rozpoznaniu na rozprawie w dniu 12 października 2022 r. sprawy ze skargi B. D. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] sierpnia 2021 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę.
Uzasadnienie
B. D. w piśmie z 8 stycznia 2020 r. uzupełnionym w piśmie z 16 czerwca 2022 r. wniósł do Prezesa Urzędu Ochrony Danych Osobowych (dalej "PUODO") skargę na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] sp. z o.o. z siedzibą w [...] (dalej "[...]" lub "Spółka"), polegające na przetwarzaniu jego danych osobowych w celu blokowania jego adresu e-mail oraz numeru telefonu, przetwarzaniu jego danych osobowych w postaci wizerunku za pomocą monitoringu wizyjnego oraz niespełnieniu obowiązku informacyjnego realizowanego w przypadku pozyskiwania danych osobowych od osoby, której dane dotyczą, tj. o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej "RODO"), w zakresie kierowanej korespondencji e-mail.
W toku prowadzonego postępowania administracyjnego PUODO ustalił następujący stan sprawy.
1. Skarżący pozostaje w konflikcie z obecnym zarządem Spółki (dowód: wyjaśnienia Spółki z dnia [...] sierpnia 2020 r., pismo skarżącego z dnia 8 stycznia 2020 r.).
2. Wiadomości kierowane na adres poczty elektronicznej Spółki, dla wiadomości z [...] maja 2019 r. i z [...] września 2019 r., powracały do B. D. z komunikatem, cyt. "Wiadomość została zablokowana. Twoja wiadomość do [...] została zablokowana. Aby dowiedzieć się więcej, przeczytaj informacje techniczne poniżej. Odpowiedź otrzymana z serwera zdalnego: 550 5.7.1. blacklisted by WBL (6).". Jednocześnie z tego samego adresu skarżący otrzymał od Spółki wiadomość e-mail w dniu [...] listopada 2019 r. Z kolei w wiadomości e-mail z [...] września 2019 r. Spółka poinformowała Skarżącego, że Centrala Spółki nie prowadzi Biura Obsługi Interesanta zewnętrznego, a wszelkie ewentualne pisma do niej kierowane należy przesyłać drogą korespondencji pocztowej jako interesant zewnętrzny" (dowód: pismo skarżącego z 8 stycznia 2020 r. z wydrukami e-mail, pismo skarżącego z 16 czerwca 2020 r. z załącznikami).
3. Spółka zdecydowała o ustawieniu reguły na serwerze pocztowym polegającej na blokowaniu otrzymywania informacji przychodzących z adresu poczty elektronicznej skarżącego (adres e-mail skarżącego składa się z jego imienia i nazwiska oraz nazwy operatora poczty elektronicznej). Odnośnie do telefonów wyjaśniono, że z inicjatywy samych pracowników oraz przedstawicieli Spółki, numer telefonu skarżącego jest przez nich samych blokowany (dowód: wyjaśnienia Spółki z [...] sierpnia 2020 r.).
4. Jako powód powyższych blokad wskazano, że wiadomości e-mail B. D. kierowane na adresy Spółki miały charakter nękający, cyt.: "skarżący przesyłał po jego odwołaniu niezrozumiałe liczne wiadomości na skrzynki pocztowe pracowników i przedstawicieli Spółki - wiadomości godzące w dobre imię Spółki oraz domagających się podejmowania nieuzasadnionych ze strony Spółki działań (...). Wielokrotnie dopuszczał się wykonywania połączeń telefonicznych, wysyłania informacji SMS do pracowników i przedstawicieli Spółki, mających znamiona uporczywego nękania. (...) Takie działania, podjęte przez Spółkę i jej pracowników oraz przedstawicieli, znajdują tym większe uzasadnienie z uwagi na toczące się postępowania karne oraz cywilne (...)." Jak wskazała Spółka, zablokowanie adresu e-mail skarżącego było konieczne dla ochrony dobrego imienia pracowników i przedstawicieli Spółki oraz zapewnienia odpowiednich i właściwych warunków pracy oraz warunków organizacyjnych w Spółce (dowód: wyjaśnienia Spółki z [...] sierpnia 2020 r.).
5. Spółka wyjaśniła, że nie przetwarza danych osobowych w postaci wizerunku skarżącego. Przed drzwiami wejściowymi do pomieszczeń Spółki znajdujących się w byłej siedzibie Spółki przy ul. [...] zainstalowany był wideo-domofon, który przekazywał bieżący obraz na komputer znajdujący się w sekretariacie zarządu Spółki. Obraz nie był zapisywany, ani utrwalany, zatem nie dochodziło do przetwarzania danych osobowych skarżącego. Z tego również powodu Spółka wskazała, że nie spoczywał na niej obowiązek realizacji obowiązku informacyjnego, o którym mowa w art. 13 RODO (dowód: wyjaśnienia Spółki z dnia [...] sierpnia 2020 r.).
6. Przy pozyskiwaniu danych osobowych B. D. za pomocą poczty elektronicznej e-mail Spółka nie realizowała obowiązku informacyjnego, o którym mowa w art. 13 RODO. Spółka wskazała, że skarżący w okresie od [...] marca 2016 r. do [...] grudnia 2018 r. pełnił rolę [...] i [...] Spółki. W tym czasie był również odpowiedzialny m.in. za przygotowywanie i wdrożenie obowiązków wynikających z RODO. W ramach prac opracowano klauzule informacyjne określone w art. 13-14 RODO, w tym dla kontrahentów w związku z bieżącą komunikacją. Treść klauzul informacyjnych nie uległa zmianie. W związku z powyższym, zdaniem Spółki, skarżący posiada informacje na temat przetwarzania jego danych osobowych (dowód: wyjaśnienia Spółki z [...] sierpnia 2020 r.).
7. Spółka przetwarza dane osobowe skarżącego w związku z pełnieniem przez niego funkcji [...] Spółki i [...], tj. od [...] marca 2016 do [...] grudnia 2018 r., na podstawie umowy o pracę i kontraktu menadżerskiego. Spółka przetwarza dane osobowe skarżącego w celu realizacji obowiązków prawnych wynikających z prawa spółek handlowych, prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, a także w związku z faktem uczestnictwa przez Spółkę w postępowaniach karnych i cywilnych, których stroną jest B. D., jak również w celu obsługi kierowanej do Spółki przez skarżącego korespondencji (dowód: wyjaśnienia Spółki z [...] sierpnia 2020 r.).
PUODO, decyzją z [...] sierpnia 2021 r. nr [...], na podstawie art. 104 § 1 K.p.a. w zw. z art. 7 ust. 1 i ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych oraz w zw. z art. 6 ust. 1 lit. f i art. 13 ust. 1, ust. 2 i 4 RODO, odmówił uwzględnienia wniosku skarżącego.
Organ nadzorczy zauważył, że w świetle art. 6 ust. 1 RODO, niezależnie od zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO), przetwarzanie danych osobowych jest dopuszczalne między innymi również wtedy, gdy jest to niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem (art. 6 ust. 1 lit. f RODO).
Jak wywiódł PUODO, zgodnie z motywem 47 RODO, istnienie prawnie uzasadnionego interesu wymaga przeprowadzenia dokładnej oceny, w tym oceny tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu. Interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania.
Organ nadzorczy zaznaczył także, że monitoring wizyjny może być prowadzony z bieżącym podglądem (bez zapisywania obrazu na nośnikach danych), w formie zapisu na nośnikach danych w celu późniejszego odtworzenia, lub jako połączenie obu form. Monitoring w czasie rzeczywistym może wiązać się z większym stopniem inwazyjności w prywatność podmiotu danych niż przechowywanie i automatyczne usuwanie nagrań po upływie określonego czasu. Jak jednak zauważył PUODO, wideo-domofon nie jest typową formą monitoringu wizyjnego. Jego przeznaczeniem jest krótkotrwała komunikacja (również za pomocą podglądu wizyjnego) w celu identyfikacji, a następnie weryfikacji uprawnienia do wejścia na teren budynku lub lokalu. Kamera urządzenia nie służy zatem stałemu podglądowi i jego użyteczność w tym celu jest ograniczona. W ocenie PUODO, wideo-domofonu nie można zatem uznać za monitoring w standardowym znaczeniu, a za formę kontroli dostępu.
W związku z powyższym, w ocenie organu nadzorczego, przetwarzanie danych osobowych B. D. za pomocą wideo-domofonu w byłej siedzibie Spółki nie naruszało praw i wolności skarżącego i prowadzone było na podstawie art. 6 ust. 1 lit. f RODO, tj. z uwagi na prawnie uzasadniony interes realizowany przez administratora, polegający na kontroli dostępu.
Jak dalej wywiódł PUODO, na tej samej podstawie prawnej Spółka miała prawo do zablokowania adresu e-mail skarżącego, z którego wysyłał wiadomości e-mail destabilizujące prawidłową pracę Spółki. W ocenie organu nadzorczego, nie można przy tym uznać, że narusza to prawa i wolności B. D., gdyż Spółka wskazała na inne możliwości kontaktu ze Spółką, np. za pomocą poczty tradycyjnej.
Następnie PUODO wskazał, że zgodnie z art. 13 ust. 1 RODO, jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje: a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela; b) gdy ma to zastosowanie - dane kontaktowe inspektora ochrony danych; c) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania; d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) - prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią; e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją; f) gdy ma to zastosowanie - informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych. Zgodnie z art. 13 ust. 2 RODO, poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania: a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu; b) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych; c) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit, a) - informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem; d) informacje o prawie wniesienia skargi do organu nadzorczego; e) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych; f) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz
- przynajmniej w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
PUODO zwrócił dalej uwagę, że zgodnie jednak z art. 13 ust. 4 RODO, ust. 1, 2 i 3 nie mają zastosowania, gdy - i w zakresie, w jakim - osoba, której dane dotyczą, dysponuje już tymi informacjami.
Mając powyższe na względzie, organ nadzorczy uznał, że biorąc pod uwagę, iż B. D. pełnił rolę zarządzającą w Spółce, wdrażał w niej przepisy o ochronie danych osobowych w zakresie obowiązków informacyjnych, które nie zostały zmienione, a także inicjował i prowadził stałą z nią korespondencję, należało uznać, że skarżący dysponował informacjami na temat przetwarzania jego danych osobowych przez Spółkę w związku z kierowaną do niej korespondencją drogą elektroniczną. W ocenie PUODO, zachodzi zatem wyłączenie określone w art. 13 ust. 4 RODO zwalniające Spółkę z obowiązku realizacji obowiązku informacyjnego wskazanego w art. 13 ust. 1 i 2 RODO.
Niezależnie od powyższego organ nadzorczy zauważył, że zgodnie z art. 4 pkt 4 RODO "profilowanie" oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
W ocenie PUODO, użycie adresu e-mail w celu wpisania go na listę blokowanych adresów e-mail (czarna lista) nie oznacza profilowania danych osobowych w rozumieniu RODO. Tak samo nie stanowi profilowania podgląd rzeczywisty z kamery wideo umieszczonej w wideo-domofonie w celu identyfikacji i weryfikacji czy dana osoba jest uprawniona do wejścia na teren obiektu.
PUODO stwierdził ponadto, że nie potwierdziły się informacje skarżącego o ukrytym charakterze kamery. Kamera była umieszczona w urządzeniu typu wideo-domofon, które oczywiście standardowo jest wyposażone w kamerę. W świetle powyższego, w ocenie organ nadzorczego, nie było podstaw do skorzystania z uprawnień naprawczych, o których mowa w art. 58 ust. 2 RODO. Nie doszło bowiem do naruszenia przepisów o ochronie danych osobowych.
B. D. w piśmie z 28 października 2021 r. wniósł o uzupełnienie decyzji co do rozstrzygnięcia:
1. o informację, że Spółka jest państwową osobą prawną, zatem, cyt.: "(...) wszystkie jego składniki materialne i niematerialne - stanowią mienie państwowe, które jest zarazem mieniem publicznym. W związku z tym, każdy obywatel ma prawo do interesowania się sprawami państwowego podmiotu (...)";
2. poprzez określenie, czy PUODO powołuje się na wyjaśnienia Spółki ([...]) zawarte w piśmie z dnia 19 sierpnia 2020 r. nadanym [...] sierpnia 2020 r. czy piśmie z dnia 19 sierpnia 2020 r. nadanym [...] września 2020 r.;
3. o informację, że Spółka zmieniała obieg dokumentów, o czym poinformowała skarżącego w dniu [...] września 2019 r., że nie prowadzi Biura Obsługi interesanta zewnętrznego i obiegu dokumentów. Jak skarżący wskazał cyt.: "zatem PUODO sam ustalił, że klauzule informacyjne RODO uległy zmianie, gdyż kontakt ze spółką, jak również z administratorem danych osobowych wskazany, że jest możliwy przez adres e-mail został zablokowany. (...) Zatem uzupełnienia w decyzji wymagają te fakty, aby sąd nie miał wątpliwości, że brak obowiązku informacyjnego i dyskryminacje spółka uczyniła tylko w stosunku do mojej osoby";
4. o informację, że Spółka zamieściła na stronie internetowej zaproszenie do nabycia udziałów w spółce trzeciej, w którym wskazała, że zainteresowani mogą zapoznać się z dokumentacją w siedzibie Spółki, a korespondencję w tej sprawie można kierować na wskazany adres poczty elektronicznej e-mail Spółki, a ponadto, że w dniach [...] i [...] czerwca 2019 r., jako [...], zainteresowany zakupem udziałów, nie został wpuszczony do Spółki i w następstwie przetwarzano jego dane osobowe, aby uniemożliwić mu dokonanie czynności w tej sprawie;
5. o informację, że Spółka w wyjaśnieniach wskazała na liczne postępowania karne o przestępstwa, których skarżący miał się dopuścić wobec Spółki.
PUODO postanowieniem z [...] października 2021 r. PUODO odmówił uzupełnienia decyzji.
W piśmie z 15 grudnia 2021 r., uzupełnionym pismem z 16 grudnia 2021 r., B. D. wniósł do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na decyzję PUODO z [...] sierpnia 2021 r. i postanowienie PUODO z [...] października 2021 r., zarzucając naruszenie przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy, tj.:
1. art. 7 i art. 77 K.p.a. poprzez wybiórcze i niepełne zgromadzenie w sprawie materiału dowodowego oraz jego dowolną ocenę prowadzącą do poczynienia ustaleń sprzecznych ze stanem faktycznym sprawy;
2. art. 8 i art. 11 K.p.a. poprzez prowadzenie postępowania w sprawie w sposób niebudzący zaufania jej uczestników do władzy publicznej, w szczególności zaś poprzez brak wyjaśnienia uczestnikom postępowania przyczyn nieuwzględnienia wyjaśnień złożonych przez stronę postępowania;
3. art. 80 k.p.a. polegające na przekroczeniu zasad swobodnej oceny dowodów, a tym samym wydanie zaskarżonej decyzji bez uwzględnienia zasad prawidłowego rozumowania i doświadczenia życiowego, mimo że zgormadzony materiał dowodowy - oświadczenie świadka K. K., że w [...] sp. z o.o. nie było żadnego video-domofonu, notatka świadka - pracownika strony M. R. przetwarzaniu danych osobowych skarżącego przez nagrywanie za pomocą kamer przesyłowych zdarzeń z [...] i [...] czerwca 2019 r., aby mieć dowód, gdyby zachowanie skarżącego było niestosowne - nie zostały przez UODO zupełnie uwzględnione;
4. sporządzenie decyzji wewnętrznie sprzecznej, gdzie PUODO usiłuje przypisać najpierw walor wiarygodności wyjaśnieniom organu, a w drugim miejscu sam podważa ustalenia dokonane przez siebie, wymieniając zmiany zasad informowania o przetwarzaniu danych, że zmieniły się wskutek blokad etc. w 2019 r.
Podnosząc powyższe zarzuty, skarżący wniósł o:
1. uchylenie zaskarżonej decyzji;
2. zasądzenie zwrotu kosztów postępowania;
3. zawieszenie postępowania do czasu rozstrzygnięcia zagadnienia wstępnego – jak wywiódł, przed Sądem Okręgowym w [...] pod sygn. akt [...] toczy się postępowanie z jego powództwa o ukształtowanie prawa w związku z brakiem wykonania uchwały [...], jako jedynego właściciela [...] w sprawie zbycia udziałów w [...] sp. z o.o. przez wykluczenie skarżącego od ich nabycia. W ocenie B. D., decyzja PUODO może pozostawać w konflikcie z wyrokiem Sądu Okręgowego, ponieważ Spółka bezspornie uchyla się od wykonania uchwały [...]. Ponadto – jak stwierdził skarżący - Spółka, jako podmiot prowadzący zarejestrowaną działalność gospodarczą, dokonała jawnej dyskryminacji osoby skarżącego, jako [...], promując w nabyciu tych udziałów niemiecki kapitał i ostatecznie to z nim – dla zysku [...] tys. zł - zawarto umowę [...]. Dlatego zdaniem skarżącego zawieszenie postępowania jest tym bardziej uzasadnione.
PUODO wniósł o oddalenie skargi, podtrzymując w uzasadnieniu decyzji stanowisko zawarte w uzasadnieniu zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie postanowieniem z 15 kwietnia 2022 r. sygn. akt II SA/Wa 153/22 odmówił zawieszenia postępowania sądowoadministracyjnego.
Na rozprawie przed Wojewódzkim Sądem Administracyjnym w Warszawie w dniu 12 października 2022 r. skarżący ponownie wniósł o zawieszenie postępowania do czasu rozstrzygnięcia postępowania w sprawie toczącej się przed Sądem Okręgowym w [...] pod sygn. akt [...]. Sąd postanowieniem wydanym na rozprawie ponownie odmówił zawieszenia postępowania.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Skarga nie podlegała uwzględnieniu.
Postępowanie zakończone zaskarżoną decyzją przeprowadzono w związku ze skargą złożoną przez B. D. do Prezesa Urzędu Ochrony Danych Osobowych (dalej "PUODO") w piśmie z [...] stycznia 2020 r., którą skarżący uzupełnił w piśmie z [...] czerwca 2020 r., stanowiącym odpowiedź na wezwanie organu nadzorczego z [...] maja 2020 r.
Mając powyższe na uwadze, należy wskazać, że w świetle art. 57 ust. 1 lit. f rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 ze zm.; dalej powoływane jako "RODO"), bez uszczerbku dla innych zadań określonych na mocy (...) rozporządzenia każdy organ nadzorczy na swoim terytorium rozpatruje skargi wniesione przez osobę, której dane dotyczą, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (...). Zgodnie natomiast z art. 77 ust. 1 RODO, bez uszczerbku dla innych administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie.
Powołane przepisy stanowią realizacją założeń wynikających z motywu 141 RODO, który (zd. 1 i zd. 2) przewiduje, że każda osoba, której dane dotyczą, powinna mieć prawo wniesienia skargi do jednego organu nadzorczego oraz prawo do skutecznego środka ochrony prawnej przed sądem, zgodnie z art. 47 Karty praw podstawowych, (...) jeżeli uzna, że jej prawa wynikające z (...) rozporządzenia są naruszane (...). Postępowanie wyjaśniające na podstawie skargi powinno być prowadzone - z zastrzeżeniem kontroli sądowej - w zakresie odpowiadającym konkretnej sprawie.
Z przywołanych przepisów i motywu RODO wynikają dwa zasadnicze dla rozpoznania przedmiotowej sprawy wnioski. Po pierwsze, PUODO posiadał kompetencje wyłącznie do oceny zgodności z przepisami RODO przetwarzania danych osobowych B. D. przez [...]. Po drugie, oceny tej zobowiązany był dokonać w granicach skargi złożonej przez B. D. Poza właściwością organu nadzorczego rozstrzygającego o skardze złożonej w trybie art. 77 ust. 1 RODO we władczej formie decyzji administracyjnej, a w konsekwencji także poza właściwością sądu administracyjnego dokonującego kontroli tej decyzji, pozostały natomiast takie kwestie, jak zarzucana przez stronę dyskryminacja w postępowaniu w sprawie nabycia udziałów należących do Spółki, uniemożliwienie skarżącemu, jako byłemu [...] Spółki, udziału w posiedzeniach jej organów, czy ewentualne naruszenie jego dóbr osobistych poprzez rozpowszechnianie przez przedstawicieli Spółki nieprawdziwych informacji o postawie i zachowaniach B. D., bądź prowadzeniu z jego udziałem postępowań karnych lub cywilnych.
Organ nadzorczy - prawidłowo ustaliwszy na podstawie treści skargi z 8 stycznia 2020 r. uzupełnionej pismem z 16 czerwca 2020 r. zakres podnoszonego przez B. D. naruszenia - oceniał zatem wyłącznie (bo tylko do tego był uprawniony), czy [...] naruszyła przepisy RODO w procesach przetwarzania danych osobowych skarżącego w celu blokowania jego adresu e-mail i numeru telefonu oraz przetwarzania wizerunku skarżącego za pomocą monitoringu wizyjnego, a także poprzez niedopełnienie obowiązku informacyjnego realizowanego w przypadku pozyskiwania danych osobowych od osoby, której dane dotyczą, tj. o których mowa w art. 13 RODO, w zakresie kierowanej do skarżącego korespondencji e-mail.
Należy zatem zauważyć, że "przetwarzanie", zgodnie z art. 4 pkt 2 RODO, oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Warunki uznania przetwarzania danych osobowych za legalne określono z kolei w art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
Jak wynika z akt sprawy, w szczególności z dołączonych do skargi z 8 stycznia 2020 r. wydruków wiadomości e-mail wysyłanych przez skarżącego z adresu elektronicznego [...] na adres elektroniczny Spółki [...], B. D., kierując korespondencję elektroniczną na adres poczty elektronicznej Spółki sam udostępniał [...] swoje dane osobowe w postaci adresu elektronicznego składającego się z jego imienia i nazwiska oraz nazwy domeny serwera poczty. Ponadto, jak wynika z treści wiadomości z [...] grudnia 2019 r., skarżący oczekiwał od [...], że odpowiedź na wniosek zawarty w tej wiadomości zostanie przekazana właśnie na adres elektroniczny [...].
W ocenie Sądu, wysyłanie przez B. D. na adres elektroniczny Spółki wiadomości elektronicznych z adresu elektronicznego zawierającego jego imię i nazwisko – niezależnie od tego, czy wiadomości te były zwracane, jako niedostarczone, czy docierały do adresata - nie może być kwalifikowane, jako zbieranie przez Spółkę danych osobowych skarżącego. Wysyłając na publicznie dostępny adres poczty elektronicznej Spółki wiadomości e-mail skarżący formułował różnego rodzaju wnioski i żądania, czy uwagi. Zdaniem Sądu, w takich okolicznościach nie dochodziło do pozyskiwania przez Spółkę danych osobowych skarżącego, co jest warunkiem uznania określonego procesu przetwarzania danych za ich zbieranie.
Kwestionowany przez skarżącego proces przetwarzania jego danych osobowych zawartych we wskazanym wyżej adresie e-mail nie polegał zatem - bo nie mógł w okolicznościach przedmiotowej sprawy polegać – na ich zbieraniu, tylko na ich przetworzeniu poprzez przyporządkowanie do reguły serwera obsługującego pocztę elektroniczną Spółki w ten sposób, że kolejne wiadomości wysyłane na adres elektroniczny Spółki były blokowane – nie były dostarczane, a na adres nadawczy (adres poczty elektronicznej skarżącego) kierowano wiadomość zwrotną informująca o problemie podczas próby dostarczenia, z odesłaniem do szczegółów technicznych.
W ocenie Sądu, stanowisko organu nadzorczego, że opisane wyżej przetwarzanie danych osobowych B. D. znajdowało podstawę w art. 6 ust. 1 lit. f RODO, jest prawidłowe. Skoro Spółka uznała, że wysyłane przez skarżącego na adres jej poczty elektronicznej wiadomości e-mail utrudniały pracę jej pracownikom, negatywnie wpływały na warunki i organizację pracy w Spółce, ponieważ – jak twierdziła w wyjaśnieniach złożonych w piśmie z 19 sierpnia 2020 r. - miały nękający charakter, to w jej uzasadnionym interesie, polegającym na konieczności zapewnienia właściwych warunków i organizacji pracy, było uniemożliwienie dostarczenia do skrzynek odbiorczych pracowników wiadomości z adresu e-mail, z którego kierowano te wiadomości.
Akta sprawy, do których dołączono m.in. kopię postanowienia prokuratora Prokuratury Rejonowej [...] w [...] z [...] stycznia 2020 r. sygn. akt [...], przedstawione przez skarżącego kopie notatek służbowych z [...] czerwca 2019 r. i [...] lipca 2019 r., jak również pismo skarżącego z 26 stycznia 2021 r., potwierdzają zawarte w wyjaśnieniach Spółki stanowisko, że obecny zarząd [...] i B. D. pozostają w konflikcie, który eskaluje. PUODO nie miał więc podstaw, by nie uznać za wiarygodne wyjaśnienia, że przetwarzanie danych osobowych skarżącego polegające na ich wykorzystaniu w celu blokowania wiadomości e-mail, było usprawiedliwione interesem [...] przejawiającym się w konieczności zapewnienia jej pracownikom i przedstawicielom właściwych warunków i organizacji pracy oraz ochrony dobrego imienia pracowników i przedstawicieli Spółki.
Przetwarzanie danych osobowych skarżącego poprzez ich wykorzystanie do ustawienia reguły blokującej wiadomości przychodzące z używanego przez niego adresu e-mail nie godziło też w nadrzędne wobec uzasadnionego interesu Spółki, wymagającego zabezpieczenia jej pracownikom i przedstawicielom właściwych warunków i organizacji pracy, interesy lub podstawowe prawa i wolności skarżącego. Należy przy tym jeszcze raz podkreślić, że nie leżało w kompetencji PUODO rozstrzyganie o tym, czy skarżący faktycznie – jak twierdzi - był dyskryminowany w procesie nabycia udziałów należących Spółki, ani o tym, czy w pismach przedstawicieli [...] informujących o nękającym, czy godzącym w dobre imię Spółki charakterze wysyłanych przez B. D. wiadomości, naruszono dobra osobiste skarżącego. Akta sprawy z pewnością nie dają jednak podstaw, by stwierdzić, że zablokowanie adresu e-mail (przetworzenie danych osobowych skarżącego zawartych w tym adresie w celu ustawienia reguły blokującej na serwerze) naruszyło jakiekolwiek prawa i wolności, czy interesy skarżącego nadrzędne nad interesem Spółki w niezakłóconym funkcjonowaniu. Adres siedziby Spółki jest publicznie dostępny w rejestrze przedsiębiorców Krajowego Rejestru Sądowego i chociażby tą drogą skarżący może kierować do niej wszelkiego rodzaju pisma, wnioski i żądania. Należy przy tym nadmienić, że adres siedziby Spółki podano też w zaproszeniu do negocjacji w [...] do [...], którego wydruk skarżący dołączył do pisma z 26 stycznia 2021 r. W zaproszeniu wskazano ten sposób, tj. wysłanie korespondencji na adres siedziby, jako jeden z dwóch (obok drogi elektronicznej - na adres [...]) możliwych sposobów udzielenia odpowiedzi na zaproszenie.
Powyższą argumentację – wskazującą na uzasadniony interes Spółki w zablokowaniu adresu e-mail, z którego korzystał skarżący – trzeba odnieść także do procesu przetwarzania danych osobowych skarżącego w postaci jego numeru telefonu, z którego korzystał wykonując połączenia lub wysyłając wiadomości tekstowe (SMS) do pracowników i przedstawicieli Spółki. Niezależnie zatem od tego, że ze złożonych w toku postępowania wyjaśnień Spółki wynika, iż numer telefonu skarżącego był blokowany z inicjatywy samych pracowników i przedstawicieli Spółki, należy stwierdzić, że [...], w celu zapewnienia właściwych warunków i organizacji pracy swoich pracowników i przedstawicieli, miała prawo wykorzystać dane osobowe skarżącego w postaci numeru telefonu, z którego korzystał nawiązując połączenia telefoniczne lub wysyłając wiadomości tekstowe (SMS), w celu uniemożliwiania nawiązywania połączeń przychodzących lub dostarczenia wiadomości z tego numeru. Także zatem w tym zakresie przetwarzanie danych osobowych skarżącego znajdowało podstawę w art. 6 ust. 1 lit. f RODO.
Przypominając, że B. D. kierował wiadomości e-mail na adres elektroniczny spółki [...] (np. wiadomości, których wydruki dołączył do skargi z 8 stycznia 2020 r., czy wiadomość, której wydruk dołączono do wyjaśnień Spółki z [...] sierpnia 2020 r.) oraz - we wniosku z [...] grudnia 2019 r. - oczekiwał od Spółki odpowiedzi na używany przez siebie adres poczty elektronicznej, należy zauważyć, że w świetle akt sprawy skarżący pełnił w [...] funkcje [...] (od [...] marca 2016 r. do [...] października 2018 r.) oraz [...] (od [...] listopada 2018 r. do [...] grudnia 2018 r.).
Zgodnie z art. 201 § 1 ustawy z dnia 15 września 2000 r. Kodeks spółek handlowych (Dz. U. z 2017 r. poz. 1577 ze zm. – stan prawny na dzień zakończenia sprawowania przez skarżącego funkcji w [...]), zarząd prowadzi sprawy spółki i reprezentuje spółkę. Wedle zaś art. 208 § 2 powołanej ustawy, każdy członek zarządu ma prawo i obowiązek prowadzenia spraw spółki.
Okres sprawowania przez skarżącego funkcji [...] obejmował czas pomiędzy wejściem w życie RODO (24 maja 2016 r. – art. 99 ust. 1 RODO) a rozpoczęciem jego stosowania (25 maja 2018 r. – art. 99 ust. 2 RODO). Wynikający z art. 99 ust. 2 RODO dwuletni okres zawieszenia jego stosowania miał na celu w szczególności umożliwienie podmiotom zobowiązanym do jego stosowania, adresatom norm RODO, odpowiedniego przygotowania się od strony formalnej i organizacyjno-technicznej do wykonywania nałożonych na nich w przepisach RODO obowiązków. W tym też czasie, jak wynika z wyjaśnień Spółki, opracowano i wdrożono klauzule informacyjne będące realizacją obowiązków określonych w art. 13 i art. 14 RODO, w tym klauzule informacyjne dla kontrahentów zawierające opis zasad przetwarzania danych osobowych.
W okresie od [...] marca 2016 r. do [...] października 2018 r. B. D. pełnił zatem [...], był uprawniony i zobowiązany do prowadzenia jego spraw, zatem także tych wynikających z obowiązków wdrożenia przepisów RODO. Ponadto, jak już podnoszono, po zaprzestaniu pełnienia wymienionych wyżej funkcji, skarżący sam kierował do Spółki korespondencję elektroniczną z adresu elektronicznego [...], oczekując odpowiedzi na nią tą samą drogą.
Należy także zaznaczyć, że wiadomości e-mail wysłane z adresu elektronicznego [...] na adres elektroniczny skarżącego dotyczyły sposobu komunikacji ze Spółką oraz żądania skarżącego, jako byłego [...], dostępu do dokumentów Spółki (wiadomość z [...] września 2019 r.), braku możliwości udostępnienia mu w siedzibie Spółki dokumentów dotyczących działalności Spółki (wiadomość z [...] lutego 2020 r.) oraz dostarczenia – w związku z przekazaniem przez Dyrektora [...] pisma z 2 sierpnia 2019 r. – dokumentacji finansowej Spółki (wiadomość z [...] listopada 2019 r.).
Mając powyższe na względzie, w pierwszej kolejności należy przypomnieć, że w ocenie Sądu wysyłanie przez B. D. na adres elektroniczny Spółki wiadomości elektronicznych z adresu elektronicznego zawierającego jego imię i nazwisko – niezależnie od tego, czy wiadomości te były zwracane, jako niedostarczone, czy docierały do adresata - nie może być kwalifikowana, jako zbieranie przez Spółkę danych osobowych skarżącego. Przyjęcie, że w okolicznościach przedmiotowej miało miejsce zbieranie od skarżącego jego danych osobowych powodowałoby, że realizacja obowiązku przewidzianego w art. 13 ust. 1 RODO, która ma następować "podczas pozyskiwania" danych osobowych, byłaby w praktyce niewykonalna. Udzielenie informacji wymaganych w art. 13 ust. 1 i ust. 2 RODO musiałoby bowiem następować w momencie dotarcia wysłanej przez skarżącego wiadomości e-mail do serwera obsługującego pocztę elektroniczną Spółki.
Niezależnie natomiast od powyższego należy podzielić stanowisko PUODO, że skarżącemu znana była treść klauzul informacyjnych opracowanych w Spółce zgodnie z art. 13 i art. 14 RODO. W konsekwencji, w jego przypadku zachodziło wyłączenie przewidziane w art. 13 ust. 4 RODO, zgodnie z którym ust. 1, 2 i 3 nie mają zastosowania, gdy - i w zakresie, w jakim - osoba, której dane dotyczą, dysponuje już informacjami, o których mowa w tych przepisach.
Należy ponadto zaznaczyć, że organ nadzorczy trafnie podkreślił w odpowiedzi na skargę, iż B. D. w złożonej skardze (w piśmie uzupełniającym z 16 czerwca 2020 r.) odniósł niedopełnienie obowiązku wynikającego z art. 13 RODO wyłącznie do przetwarzania jego danych osobowych w zakresie wysyłanych wiadomości e-mail. Dane te były przetwarzane w związku z kierowaniem przez skarżącego wiadomości elektronicznych na adres elektroniczny Spółki.
W odniesieniu natomiast do przetwarzania danych osobowych skarżącego w postaci wizerunku za pomocą monitoringu wizyjnego, należy stwierdzić, że B. D. przed zakończeniem postępowania przez PUODO złożył do akt sprawy dokumenty podające w wątpliwość wyjaśniania Spółki w zakresie obejmującym wskazanie, że w byłej siedzibie Spółki przy ul. [...] zainstalowany był wideo-domofon wyposażony w kamerę, która przekazywała bieżący obraz na komputer znajdujący się w sekretariacie zarządu Spółki, który to obraz nie był zapisywany, ani utrwalany w inny sposób. Do pisma z [...] stycznia 2021 r. skarżący dołączył bowiem m.in. kopie notatek sporządzonych przez M. R. (Pełnomocnika Zarządu ds. Bezpieczeństwa [...]) z [...] lipca 2019 r. W notatkach tych opisano sytuacje mające miejsce [...] i [...] czerwca 2019 r., do których doszło w związku z próbami dostania się przez B. D. do siedziby Spółki przy ul. [...] w [...]. M. R. stwierdził w nich m.in., że "[...] Pan D. chcąc uniknąć nagrania przez kamerę stał ukryty (...) pod nią w rogu przyciśnięty do drzwi wejściowych (...)", oraz że "(...) cały czas nasza rozmowa odbywała się w zasięgu kamer przemysłowych [...]".
Brak wideo-domofonu w siedzibie Spółki przy ul. [...] potwierdził także K. K. (rzecznik prasowy [...] od [...] grudnia 2018 r. dej [...] sierpnia 2019 r.) w oświadczeniu z [...] sierpnia 2021 r., które skarżący przekazał do PUODO już po zakończeniu postępowania ([...] września 2021 r.).
Ustalenie, czy dane osobowe skarżącego w postaci jego wizerunku były przetwarzane za pomocą kamery wideo-domofonu, czy kamery przemysłowej skierowanej na wejście do siedziby Spółki (z notatki z [...] lipca 2019 r. dokumentującej sytuację z [...] czerwca 2019 r. wynika, że wizerunek skarżącego objęty był kamerą skierowaną na miejsce przed drzwiami wejściowymi do siedziby Spółki) nie mogło mieć jednak istotnego znaczenia dla rozstrzygnięcia sprawy, a tym samym nie mogło wpłynąć na prawidłowość konkluzji organu nadzorczego, że przetwarzanie danych osobowych skarżącego w postaci jego wizerunku znajdowało oparcie w art. 6 ust. 1 lit. f RODO. W prawnie uzasadnionym interesie Spółki było bowiem zapewnienie kontroli dostępu do jej pomieszczeń. Z akt sprawy nie wynika natomiast, by wizerunek skarżącego był przetwarzany za pomocą kamery w innym celu niż kontrola dostępu oraz w innym miejscu niż wejście do siedziby Spółki. Także ze skargi B. D. z 8 stycznia 2020 r. wynika, że kamera umieszona miała być na zewnątrz drzwi do siedziby Spółki, a za jej pomocą pracownicy monitorowali selekcyjnie petentów.
W tych okolicznościach, organ nadzorczy zasadnie nie stwierdził, że przetwarzaniu danych osobowych B. D. w postaci jego wizerunku sprzeciwiał się nadrzędny wobec interesu Spółki interes skarżącego lub jego podstawowe prawa i wolności. Wejście do siedziby Spółki jest miejscem, w którym rozsądne przesłanki pozwalają się spodziewać kontroli dostępu. Należy ponadto przypomnieć, że sytuacje odpisane w notatkach dołączonych przez skarżącego do pisma z [...] stycznia 2021 r. miały miejsce ponad dwa lata przed wydaniem zaskarżonej decyzji, natomiast w złożonych w toku postępowania w wyjaśnieniach z [...] sierpnia 2020 r. Spółka stwierdziła, że nie przetwarza obecnie danych osobowych skarżącego w postaci jego wizerunku.
PUOD nie miał zatem podstaw do skorzystania z żadnego z uprawnień naprawczych przewidzianych w art. 58 ust. 2 RODO.
Odnosząc się do podniesionej w skardze okoliczności nieprawidłowego podpisania pisma Spółki z [...] sierpnia 2020 r., należy stwierdzić, że PUODO prawidłowo – na podstawie art. 64 § 2 K.p.a. – wezwał stronę do uzupełnienia stwierdzonego braku formalnego, a Spóła wykonała wezwanie w wyznaczonym terminie.
Mając natomiast na uwadze, że B. D. w toku postępowania zarzucał też Spółce profilowanie jego danych osobowych (pismo z [...] czerwca 2020 r., pismo z [...] stycznia 2021 r.), należy zauważyć, że stosownie do treści art. 4 pkt 4 RODO, profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
W świetle przywołanej definicji, należy stwierdzić, że PUOD zasadnie podniósł w uzasadnieniu zaskarżonej decyzji, iż ani użycie adresu e-mail w celu dołączenia go do listy adresów blokowanych przez serwer obsługujący pocztę elektroniczną Spółki, ani podgląd przy użyciu kamery wizerunku osoby chcącej dostać się do pomieszczeń Spółki, w celu ustalenia, czy jest do tego uprawniona, nie stanowią profilowania.
Reasumując, kontrola decyzji PUODO z [...] sierpnia 2021 r. w granicach sprawy nie dała podstaw do stwierdzenia, że została ona wydana z naruszeniem przepisów prawa materialnego, natomiast niedostrzeżenie przez organ nadzorczy rozbieżności pomiędzy wyjaśnieniami Spółki z [...] stycznia 2021 r. a treścią notatek sporządzonych przez jej pracownika, których kopie skarżący dołączył do pisma z [...] stycznia 2021 r., nie mogło mieć wpływu na wynik sprawy, ponieważ przetwarzanie danych osobowych skarżącego w postaci jego wizerunku za pomocą monitoringu wizyjnego (niezależnie od tego, czy kamera stanowiła element wideo-domofonu) znajdowało oparcie w art. 6 ust. 1 lit. f RODO. Rozstrzygnięcie zawarte w zaskarżonej decyzji obejmuje całości skargi B. D. z 8 stycznia 2020 r. uzupełnionej pismem z [...] czerwca 2020 r., zatem PUODO zasadnie postanowieniem z [...] października 2021 r. odmówił uzupełnienia decyzji co do rozstrzygnięcia. Informacje, o które zdaniem skarżącego należało uzupełnić zaskarżoną decyzją, nie mogą być zawarte w jej rozstrzygnięciu. Uzasadnienie decyzji odpowiada prawu. Zawiera wskazanie faktów, które organ uznał za udowodnione, dowodów, na których się oparł, a także wyjaśnienie podstawy prawnej decyzji, z przytoczeniem przepisów prawa.
W tym stanie rzeczy, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2022 r. poz. 329 ze zm.), Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę.