II SA/WA 1536/22

II SA/Wa 1536/22 - Wyrok WSA w Warszawie
Data orzeczenia
2022-12-09
orzeczenie nieprawomocne
Data wpływu
2022-09-01
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Arkadiusz Koziarski
Ewa Kwiecińska /przewodniczący sprawozdawca/
Joanna Kruszewska-Grońska
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżoną decyzję w części
Powołane przepisy
Dz.U. 2022 poz 329
art. 151, art. 145 par. 1 pkt 1 lit. c
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi  - t.j.
Dz.U.UE.L 2016 nr 119 poz 1 art. 151 ust. 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Kwiecińska (spr.), Sędzia WSA Joanna Kruszewska-Grońska, Asesor WSA Arkadiusz Koziarski, , Protokolant starszy sekretarz sądowy Agnieszka Wiechowicz, po rozpoznaniu na rozprawie w dniu 9 grudnia 2022 r. sprawy ze skargi K. N. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lipca 2022 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla punkt 1 zaskarżonej decyzji, 2. oddala skargę w pozostałym zakresie.
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych wydał w dniu [...] lipca 2022 r. decyzję nr [...], którą po przeprowadzeniu postępowania administracyjnego w sprawie skargi K. N. (dalej: "Skarżący") na przetwarzanie jego danych osobowych udzielił upomnienia [...] S.A. z siedzibą w W. (dalej: "Spółka"), za naruszenie art. 6 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), polegające na udostępnieniu w dniu [...] października 2021 r. Prokuratorze Rejonowej w K., danych osobowych Skarżącego w zakresie numeru IMEI urządzenia, wykazu połączeń oraz danych lokalizacyjnych BTS z okresu od 10 lipca 2021 r. do 16 lipca 2021 r. oraz z okresu od 22 lipca 2021 r. do 25 lipca 2021 r. bez podstawy prawnej, zaś w pozostałym zakresie umorzył postępowanie.
W uzasadnieniu przedmiotowej decyzji organ wyjaśnił, iż Skarżący w treści skargi wskazał, że Spółka bezprawnie udostępniła jego dane na rzecz Prokuratury Rejonowej w K. W toku toczącego się przeciwko Skarżącemu postępowania przygotowawczego o sygnaturze akt [...], prowadzonego przez Prokuratora Prokuratury Rejonowej w K., w dniu [...] czerwca 2021 r. wydano postanowienie w przedmiocie udostępnienia danych dotyczących abonenta (nazwiska, imienia, adresu zamieszkania, nazwy firmy, numeru PESEL), który użytkował numer [...] w okresie od 10 do 25 lipca 2021 r. oraz miejscu, czasie i sposobie weryfikacji podanych danych osobowych, a także udostępnienia wykazu połączeń wychodzących i przychodzących ze wskazanego numeru wraz ze wskazaniem miejsca stacji logowania się do sieci (BTS) w okresie od 17 do 21 lipca 2021 r. oraz podania numeru IMEI urządzeń współpracujących z ww. numerem. Postanowienie zwalniało również upoważnionego pracownika Spółki z obowiązku zachowania tajemnicy służbowej we wskazanym zakresie. Skarżący wskazał, że Spółka przekroczyła zakres ww. postanowienia, udostępniając wykaz połączeń wychodzących i przychodzących ze wskazanego numeru wraz ze wskazaniem miejsca stacji logowania się do sieci (BTS) za okres od dnia 10 lipca 2021 r. do dnia 25 lipca 2021 r. zamiast od dnia 17 lipca 2021 r. do dnia 21 lipca 2021 r.
Dalej wyjaśniono, że Skarżący korzystając ze swojego prawa, wskazał, że uzupełnia żądanie skargi z 31 stycznia 2022 r. cyt. "Nie mniej jednak w związku z treścią pouczenia w/w pisma od Urzędu uzupełniam moje żądanie skargi z dnia 31 stycznia 2022 roku, na podstawie art. 15 ust. 1 RODO, poprzez żądanie : "1. nakazać Administratorowi moich danych osobowych tj., spółce [...] spełnienie obowiązku informacyjnego, dotyczącego moich uprawnienia do uzyskania od administratora potwierdzenia, czy nadal przetwarzane są ? Lub będą ? moje dane osobowe przez organy ścigania, którym te dane nielegalnie zostały przekazane przez Administratora, 2. a jeżeli ma to miejsce, to żądam uzyskania dostępu do nich; oraz 3. informacji o celu przetwarzania tych danych ; oraz 4. gwarancji, że nie zostały one skopiowane przez prokuratora K. lub inny podmiot ? 5. jeżeli zaś zostały skopiowane lub mogą zostać skopiowane w przyszłości , to żądam uzyskania informacji przez jakie to podmioty - z szczegółowym podaniem ich nazw, adresów siedzib, celów przetwarzania - ?, oraz ich zamkniętego kręgu ? tj., czy są to tylko teoretyczne czy pewne zapewnienia co do kręgu tych podmiotów ? 6. nakazać w/w administratorowi przekazania mi kopii wszystkich danych / pism jakie zostały wytworzone w związku z prowadzonym postępowaniem przez administratora moich danych ([...]) pomiędzy nim a Prokuraturą Rejonową w K., w tym wszystkich tych informacji na temat podjęcia działań z w/w Prokuraturą o jakich mnie sam administrator zapewniał, a jakich odmówił mi wydania w związku z moim żądaniem z dnia 21 lutego 2022 roku, którego kopię i kopię odpowiedzi przesłałem ostatnio do PUODO (jako materiał dowodowy), a dotyczącym podania mi odpowiedzi: - z jakim rezultatem została załatwiona prośba Pracownik [...] skierowana do Prokuratury Rejonowej w K. o "trwałe usunięcie i nie wykorzystywanie otrzymanych danych" w sprawie karnej toczącej się przeciwko mnie ? - na jakiej podstawie prawnej Pracownik [...] wystosował takie żądanie do organu ścigania ? - jakiej treści zawiadomienie zostało przesłane w mojej sprawie do Prezesa UODO w sprawie związanej z naruszeniami moich danych osobowych ? (prosiłbym o jego kopię)."
Jak wynika z treści przedłożonego przez Skarżącego postanowienia Prokuratora Prokuratury Rejonowej w K. z dnia [...] czerwca 2021 r. prokurator żądał od Spółki wydania rzeczy mogących stanowić dowód w sprawie w postaci danych dotyczących abonenta telefonu komórkowego (nazwiska, imienia, adresu zamieszkania, ew. firma, nr PESEL), który użytkował numer: [...] w okresie od 10 do 25 lipca 2021 r. oraz miejscu, czasie i sposobie weryfikacji podanych danych osobowych, wykazu połączeń wychodzących i przychodzących ze wskazaniem numerów wraz ze wskazaniem miejsca stacji logowania się do sieci (BTS) w okresie od 17 do 21 lipca 2021 r, oraz podaniu numeru IMEI urządzeń współpracujących z ww. numerem.
Spółka wyjaśniła, że przetwarza dane osobowe Skarżącego w związku z zawarciem i realizacją umów o świadczenie usług telekomunikacyjnych dla następujących numerów: [...] – aktywny od 01.06.2020 r., [...] – aktywny od 22.07.2021 r. oraz [...]– aktywny od 05.10.2021 r. Spółka wskazała, że przetwarza dane osobowe Skarżącego w zakresie: imienia, nazwiska, adresu, adresu e-mail, numeru kontaktowego, wewnętrznego numeru identyfikacyjnego, numeru PESEL, serii i numeru dowodu osobistego. Dane Skarżącego przetwarza w następujących celach:
a) zawarcia i realizacji umowy, w tym zapewnienia poprawnej jakości usług (podstawa prawna: art. 6 ust. 1 lit. b RODO);
b) wystawiania i przechowywania faktur oraz dokumentów księgowych (podstawa prawna: art. 6 ust. 1 lit. c RODO w związku z art. 74 ustawy o rachunkowości z dnia 29 września 1994 r. ze zm. oraz w związku z art. 70 oraz art. 86 ustawy Ordynacja podatkowa z dnia 29 sierpnia 1997 r. ze zm.);
c) zapewnienia bezpieczeństwa sieci (podstawa prawna: art. 6 ust. 1 lit. c RODO w związku z art. 175 ustawy Prawo telekomunikacyjne z dnia 16 lipca 2004 r. ze zm.);
d) udzielania odpowiedzi na reklamacje (podstawa prawna: art. 6 ust. 1 lit. c RODO w związku z art. 106 ustawy Prawo telekomunikacyjne z dnia 16 lipca 2004 r. ze zm.);
e) udostępniania danych uprawnionym podmiotom (podstawa prawna: art. 6 ust. 1 lit. c RODO w związku z art. 180a ustawy Prawo telekomunikacyjne z dnia 16 lipca 2004 r. ze zm.);
f) dokonania rejestracji abonentów ofert na kartę (podstawa prawna: art. 6 ust. 1 lit. c RODO w związku z art. 60b ustawy Prawo telekomunikacyjne z dnia 16 lipca 2004 r. ze zm.);
g) wykrywania nadużyć i zapobiegania im (podstawa prawna: art. 6 ust. ł lit. b RODO, a także art. 6 ust. 1 lit. f RODO);
h) ustalania, obrony i dochodzenia roszczeń (podstawa prawna: art. 6 ust. 1 lit. f RODO w związku z art. 118 ustawy Kodeks Cywilny z dnia 23 kwietnia 1964 r. ze zm.);
i) marketingu bezpośredniego (podstawa prawna: art. 6 ust. 1 lit. f RODO);
j) tworzenia zestawień, analiz i statystyk (podstawa prawna: art. 6 ust. 1 lit. f RODO);
k) weryfikacji wiarygodności płatniczej (podstawa prawna: art. 6 ust. 1 lit. b RODO);
l) wsparcia obsługi (podstawa prawna: art. 6 ust. 1 lit. f RODO).
Prezes UODO wskazał na wyjaśnienia Spółka, z których wynikało, że dane osobowe Skarżącego będą przetwarzane przez czas trwania umów łączących Spółkę ze Skarżącym, a przez czas rozliczeń po jej zakończeniu oraz przez czas, w którym przepisy nakazują Spółce przechowywać dane Skarżącego. Podczas wykonywania postanowienia o żądaniu wydania rzeczy Prokuratora Prokuratury Rejonowej w K. z dnia [...] czerwca 2021 r. doszło do błędu. Pracownik Spółki zamiast przekazać dane billingowe z okresu 17-21 lipca 2021 r., przekazał dane z okresu 10-25 lipca 2021 r. O powyższej nieprawidłowości Spółka w dniu 28 stycznia 2022 r. powiadomiła Prezesa UODO oraz wysłała do Skarżącego zawiadomienie o naruszeniu ochrony danych osobowych. W zawiadomieniu wysłanym do Skarżącego Spółka wskazała, że doszło do udostępnienia Prokuraturze Rejonowego w K. danych osobowych Skarżącego w zakresie imienia, nazwiska, adresu, numeru PESEL, numeru IMEI urządzenia, wykazu połączeń oraz danych lokalizacyjnych z BTS za okres od 10 do 25 lipca 2021 r.
Spółka wskazała także, że Skarżący nie zwrócił się do Spółki z żądaniem realizacji jego praw na podstawie art. 15 ust. 1 RODO. Spółka wyjaśniła, że Skarżący skierował do niej pismo z 21 lutego 2022 r. w którym to zwracał się o udzielnie odpowiedzi na pytania:
a) "z jakim rezultatem została załatwiona prośba pracownika Spółki skierowana do Prokuratury Rejonowej w K. o "trwałe usunięcie i nie wykorzystanie otrzymanych danych: w sprawie karnej toczącej się przeciwko mnie?
b) na jakiej podstawie prawnej pracownik Spółki wystosował takie żądanie do ścigania?
c) jakiej treści zawiadomienie zostało przesłane w jego sprawie do Prezesa UODO w sprawie związanej z naruszeniami jego danych osobowych? (wskazał, że prosi o jego kopie)."
Spółka wskazała, że w dniu 8 marca 2022 r. udzieliła Skarżącemu odpowiedzi, wskazując, że jako strona postępowania jest uprawniony do przeglądania akt postępowania przygotowawczego, w związku z tym, jeśli Skarżący chce uzyskać informacje o toczącym się postępowaniu, powinien udać się do Prokuratury oraz że przesłane do Prezesa Urzędu Ochrony Danych Osobowych zgłoszenie dotyczące naruszenia ochrony danych osobowych i w samym zgłoszeniu nie są podawane dane konkretnych osób, których dotyczy naruszenie. Dlatego jego treść nie stanowi danych o osobie fizycznej objętych prawem dostępu.
Następnie Prezes UODO przywołał art. 6 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 oraz stwierdził, że katalog przesłanek wymienionych w nim jest zamknięty.
W ocenie Prezesa UODO zebrany w niniejszym postępowaniu materiał dowodowy wykazał, że Spółka w dniu 10 października 2021 r. udostępniła Prokuratorowi Prokuratury Rejonowej w K. dane osobowe Skarżącego dotyczące wykazu połączeń wychodzących i przychodzących ze wskazanego numeru wraz ze wskazaniem miejsca stacji logowania się do sieci (BTS) zarejestrowane od dnia 10 lipca 2021 r. do dnia 16 lipca 2021 r. oraz z okresu od dnia 22 lipca 2021 r. do dnia 25 lipca 2021 r.
Organ powołał się na art. 217 § 1 ustawy z dnia 6 czerwca 1997 r. Kodeks postępowania karnego (Dz. U. z 2021 r., poz. 534, dalej k.p.k.) oraz art. 180d ustawy z dnia 16 lipca 2004 r Prawo telekomunikacyjne (Dz.U. z 2021 poz. 576). Wyjaśnił przy tym, że istotnym w przedmiotowej sprawie jest jednak fakt, że zgodnie z treścią postanowienia Prokuratora Prokuratury Rejonowej w K. z [...] czerwca 2021 r. o sygnaturze [...] Spółka została zobowiązana do ujawnienia informacji o Skarżącym w zakresie danych dotyczących abonenta telefonu komórkowego (nazwiska, imienia, adresu zamieszkania, ew. firma Nr PESEL), który użytkował numer: [...] w okresie do 10 do 25 lipca 2021 r. oraz miejscu czasie, sposobie weryfikacji podanych danych osobowych, a ponadto do przesłania wykazu połączeń wychodzących i przychodzących ze wskazaniem numerów wraz ze wskazaniem miejsca stacji logowania się do sieci (BTS) w okresie od 17 do 21 lipca 2021 r. oraz podania numeru IMEI urządzeń współpracujących z ww. numerem. Na skutek błędu pracownika Spółki, wbrew treści ww. postanowienia, prokuratorowi udostępnione zostały informacje pozyskane w okresie szerszym niż wskazane w przedmiotowym postanowieniu, tj. dotyczące połączeń wykonywanych przez Skarżącego w okresie od dnia 10 lipca 2021 r. do dnia 16 lipca 2021 r. oraz od dnia 22 lipca 2021 r. do dnia 25 lipca 2021 r.
W ocenie organu doszło zatem do udostępnienia danych osobowych Skarżącego, które nie znajdowało oparcia w żadnej z przesłanek legalizujących proces przetwarzania danych osobowych, wyrażonych w art. 6 ust. 1 RODO. Powyższe naruszało także zasadę zgodności z prawem (art. 5 ust. 1 lit a RODO) oraz zasadę minimalizacji danych (art. 5 ust. 1 lit. c RODO). Udostępniając prokuratorowi powyższe dane osobowe Skarżącego, Spółka wyszła poza swój prawny obowiązek współdziałania z organami ścigania i przekazała organom dane nadmiarowe, wykraczające poza zakres prokuratorskiego postanowienia.
W zakresie skargi dotyczącej niewypełnienia obowiązku informacyjnego wobec Skarżącego przez Spółkę, PUODO wskazał, że uprawnienie wynikające z art. 15 RODO realizowane jest wyłącznie na wniosek osoby uprawnionej i brak takiego wniosku oznacza, że po stronie administratora nie powstaje skorelowany z nim obowiązek. Z zebranego w sprawie materiału dowodowego nie wynika, by Skarżący zwrócił się do Spółki z żądaniem realizacji prawa dostępu do jego danych i uzyskania informacji wynikającego z art. 15 RODO. Analiza wiadomości kierowanych do Spółki przez Skarżącego w dniu 21 lutego 2021 r. wskazuje, że Skarżący pytał o kwestie związane prowadzonym postępowaniem karnym oraz o kwestie związane ze zgłoszeniem dotyczącym naruszenia ochrony danych osobowych. Spółka nie zakwalifikowała tych pytań jako żądanie na podstawie art. 15 RODO. Tym samym w ocenie Prezesa UODO, wniesioną w niniejszej sprawie skargę w zakresie realizacji obowiązku wynikającego z art. 15 RODO, uznać należy za przedwczesną i bezprzedmiotową, gdyż Skarżący w pierwszej kolejności powinien złożyć wniosek dotyczący realizacji tego uprawnienia do administratora danych. Tym samym organ zdecydował o umorzeniu postępowania, które zapada w sytuacji, gdy wydanie rozstrzygnięcia w sprawie stało się zbędne lub gdy organ administracji stwierdzi oczywisty brak podstaw prawnych i faktycznych do merytorycznego rozpatrzenia sprawy.
Prezes UODO wyjaśnił także, że postępowanie przed nim – jako organem – służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej. Decyzje Prezesa Urzędu służą przywróceniu stanu zgodnego z prawem na podstawie art. 58 ust. 2 lit. b RODO między innymi poprzez udzielenie upomnienia administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operację przetwarzania. W ocenie Prezesa UODO, Spółka dopuściła się naruszenia przepisów RODO w procesie przetwarzania danych osobowych Skarżącego. Dlatego też za właściwe uznał zastosowanie wobec Spółki upomnienia.
K. N. wniósł do Wojewódzkiego Sądu Administracyjnego w Warszawie pismem z 5 sierpnia 2022 r. skargę na ww. decyzję w zakresie całości rozstrzygnięcia, w której wniósł o uchylenie zaskarżonej decyzji Prezesa UODO i przekazanie sprawy organowi do ponownego rozpoznania, zasądzenie kosztów postępowania, rozpoznanie sprawy na rozprawie, a także przeprowadzenie dowodu z pisma z 27 lipca 2022 r. do Spółki[...] – "wezwania". (przesłanego mailem na adres [...] – Spółki, wraz ze skanem żądania oraz listem poleconym doręczonym 29 lipca 2022 r.) na okoliczność ich treści, w tym wykazania ponownego wystosowania żądania do Spółki w zakresie jej obowiązku względem Skarżącego z art. 15 RODO. Spółka do chwili obecnej nie udzieliła odpowiedzi na to żądanie, jak podkreślił Skarżący.
Skarżący zarzucił organowi naruszenie:
- przepisów postępowania mające istotny wpływ na wynik sprawy (cyt.):
"art. 6 i art. 7 w zw. z art, 77 § 1 oraz art. 80 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2022 r. poz. 2000 ze zm.: dalej: k.p.a.) polegające na niewyczerpującym zebraniu i rozpatrzeniu całego materiału dowodowego i niepodjęciu wszelkich kroków niezbędnych do dokładnego wyjaśnienia stanu faktycznego i załatwienia sprawy; zaniechanie organu przeprowadzenia w sprawie wszechstronnej oceny dowodów, a w miejsce tego dokonanie wadliwej i sprzecznej z pozostałym materiałem dowodowym selektywnej, wybiórczej oceny dowodów oraz nie powiązanie wszystkich dowodów wzajemnie ze sobą, tak jak tego wymaga przepis z art. 80 KPA, co doprowadziło do wydania stronniczej na korzyść [...] S.A. wadliwej decyzji w sprawie pomijającej powoływane przeze mnie fakty, dowody i okoliczności, a mianowicie :
a) zupełne pominięcie dowodu z pkt. 3 żądania postanowienia prokuratora Prokuratury Rejonowej w K. z [...] czerwca 2021 r. tj., okoliczności podnoszonej w skardze i pismach procesowych, że "Spółka" zobowiązana była do wydania rzeczy (PRZYSZŁYCH DANYCH od 10 - 25 lipca 2021 roku 1 w terminie do 7 dni od dnia doręczenia przedmiotowego postanowienia, co też nastąpiło w dniu 18 czerwca 2021 r.; czyli do dnia 27 czerwca 2021 roku, KTÓRYMI NIE DYSPONOWAŁA I ZOBOWIĄZANA BYŁA DO ZWRÓCENIA ŻĄDANIA PROKURATOROWI, a czego nie uczyniła czym dopuściła się rażącego naruszenia art. 6 ust. 1 RODO, oraz art. 5 ust. 1 lit a-c, art. 5 ust. 1 lit. f RODO , co w konsekwencji doprowadziło do popełnienia występku z art. 107 ust. 1 ustawy z dnia 19 września 2019 roku o ochronie danych osobowych przez pracownika Spółki panią M. I.: co też WYKLUCZA POCZYNIONE USTALENIA FAKTYCZNE PRZEZ organ PUODO, że pracownik Spółki "popełnił błąd" kiedy w rzeczywistości było to celowe bezprawne działanie nie stosujące się do nakazu prokuratora wydania danych w terminie do 7 dni, co zaostrza odpowiedzialność Spółki;
b) zupełne pominięcie faktu z pisma organu z dnia 10 marca 2022 r., którym to wezwał Spółkę do złożenia wyjaśnień/dowodów je potwierdzających, że Spółka ta w odpowiedzi na moją skargę i wezwanie organu NIE PRZEDSTAWIŁA ŻADNYCH DOWODÓW na poparcie własnych twierdzeń (wyjaśnień) w piśmie z dnia 25 marca 2022 roku (k. 100 - 110 ), co doprowadziło, że organ dokonał stronniczych - dowolnych ustaleń faktycznych na korzyść Spółki, kierując się jej wyjaśnieniami, które były sprzeczne z materiałem dowodowym powołanym przez Skarżącego w swoim piśmie z dnia 16 maja 2022 roku, co do tych samych okoliczności, kiedy to na stronie postępowania administracyjnego ciąży obowiązek udowodnienia okoliczności, na podstawie których wywodzi korzystne dla siebie skutki prawne (tak wyrok NSA z 29 września 2020 r., II OSK 1452/20, LEX nr 3075574), czego Spółka nie wykazała (udowodniła) wobec bierności dowodowej;
c) zupełne pominięcie materiału dowodowego z bilingów (danych retencyjnych) i zarzutów skarżącego z tym związanych (skarga, notatki urzędowej z 27 października 2021 r. i pisma z 19 lipca 2022 r.) że Spółka dopuściła się nielegalnego wydania danych z dnia 9 lipca 2022 roku nie objętego żądaniem prokuratorskim , czym dodatkowo naruszyła przepisy art. 5 i 6 RODO oraz art. 107 ust. 1 ustawy z dnia 19 września 2019 r. o ochronie danych osobowych, co też nie zostało uwzględnione decyzją :
d) zupełne pominięcie zarzutów skargi, oraz materiału dowodowego z przekazanych przez Skarżącego danych retencyjnych (bilingów), że Spółka – w związku z pkt. 2 a) – dopuściła się nielegalnego przetwarzania (poprzez wydania Prokuraturze) danych osobowych: bilingów, numerów telefonów ... i kilkudziesięciu innych Abonentów, którzy nie zostali o tym poinformowani. zaś organ pominął ten istotny fakt przy ocenie bezprawności działań Spółki, czym naruszyła dodatkowo art. 4 ust.1 - 2 w zw. z art. 6 i art. 5 ust.1 i 2 RODO, co miało istotny wpływ na wydaną decyzje;
e) zupełne pominięcie wniosku dowodowego skarżącego z 16 maja 2022 r.;
e - 1). pisma Prokuratury Rejonowej w K. z [...] marca 2022 r. sygn. akt: [...]; na okoliczność stwierdzenia, że "w sprawie o czyn z art. 107 ust. 1 ustawy z dnia 19 września 2019 roku o ochronie danych osobowych ustalono, iż do nielegalnego przetwarzania moich danych osobowych doszło w siedzibie [...] S.A. w W";
e - 2). protokołu przesłuchania świadka K. N. w Prokuraturze Rejonowej [...] w G. z dnia [...] kwietnia 2022 roku sygn. akt: [...] ; na okoliczność wykazania przestępczego procederu przetwarzania moich danych osobowych przez [...] S.A. w W., w tym głównego specjalistę z 30-letnim stażem M. I.
e - 3). 1 z 26 stron danych retencyjnych wraz z notatką urzędową z dnia 27.10.2021 r. asp. T. P.: na okoliczność udowodnienia, że [...] S.A. dopuściła się nielegalnych działań na moich i innych Abonentów danych osobowych (retencyjnych), wydając dane od dnia 9 lipca 2021 r. (poza zakres postanowienia prokuratora) do dnia 25 lipca 2021 r., gdzie wprost zostały wydane dane osobowe Abonentów, którzy wraz ze mną nawiązywali połączenia telefoniczne tj. ich numery telefonów, BEZ NASZEJ WIEDZY I ZGODY, DO POSTĘPOWANIA KARNEGO, GDZIE DANE TE BĘDĄ WYKORZYSTYWANE W PROCESIE KARNYM, co też Spółka [...] przyznała w swoim piśmie ("Prokurator wskazał, że przekazane informacje zostaną wykorzystane w prowadzonym postępowaniu i dołączone do akt sprawy"). W związku z powyższym NIEPRAWDZIWE SA TWIERDZENIA SPÓŁKI w pkt. 6 w/w pisma, że ..przekazane dane dotyczyły WYŁĄCZNIE SKARŻĄCEGO A NIE INNYCH ABONETÓW";
4) płyty DVD wraz z 3 x nagrania stanowiące załącznik do skargi wraz ze skanem załączonych tam części dokumentów m.in., danych retencyjnych: wraz z transkrypcją tych dwóch nagrań, na okoliczność wykazania nielegalnych działań Spółki, w tym FAŁSZYWEGO ZAŚWIADCZENIA, ŻE opóźnienie wydania moich danych prokuraturze wynikło z powodu pandemii, kiedy specjalista Spółki zaświadczył, że wynikło z powodu zwolnienia przez Spółkę swoich pracowników; oraz że to Spółka zakazała myśleć swoim Pracownikom za prokuratorów i nakazała wykonywać bezprawne prokuratorskie żądania cyt. "kolejka wynikła z tego że w ostatnim roku zwolniono z naszego działu 4 osoby i pracę, którą wykonywała większa grupa osób, wykonuje w tej chwili, i od tamtej pory wykonuje bardzo, bardzo okrojono liczba osób (czas nagrania 08:30 ) (...) My nad takimi rzeczami nie możemy się zastanawiać. My nie możemy myśleć za prokuratorów. Taki mamy obowiązek przekazany przez przełożonych. (czas nagrania 12:11) My nie możemy myśleć jakby za prokuratora. (...) może mi pan wierzyć że, że że jest to po prostu że jest to praca jak na taśmie, bo my musimy zrobić bardzo dużo postanowień jednego dnia. Wykonać bardzo dużo odpowiedzi, bo takie są żądania naszych przełożonych.(...) Jeżeli jest presja, presja czasu i presja kolejki, zejścia z kolejki i pism które do tej pory mieliśmy 3500 pism w kolejce. Rozumie pan?";
f) bezzasadne uznanie organu, że " Z zebranego w sprawie materiału dowodowego nie wynika, by Skarżący zwrócił się do Spółki z żądaniem realizacji prawa dostępu do Jego danych i uzyskania informacji wynikającego z art. 15 RODO. Analiza wiadomości kierowanych do Spółki przez Skarżącego w dniu 21 lutego 2022 r. wskazuje, że Skarżący pytał o kwestie związane z prowadzonym postępowaniem karnym oraz o kwestie związane ze zgłoszeniem dotyczącym naruszenia ochrony danych osobowych. Spółka nie zakwalifikowała tych pytań jako żądanie na podstawie art. 15 RODO, kiedy z mojego pisma do Spółki z dnia 21 lutego 2022 r., nie wynikało moje zapytanie o kwestie związane z prowadzonym postępowaniem karnym (do akt którego jako strona miałem dostęp zgodnie z art. 156 k.p.k., co oczywiste), tylko wynikające z treści przepisów art. 13 -15 RODO (na które nie miałem obowiązku powoływania się) w zakresie cytuję "W nawiązaniu do otrzymanego pisma od [...] S.A., z dnia 28 stycznia 2022 roku oraz z dnia 1 lutego 2022 roku, w wyżej oznaczonej sprawie, jako pokrzywdzony bezprawnymi działaniami [...] S.A., zwracam się o udzielenie mi odpowiedzi na pytania:
1. z jakim rezultatem została załatwiona prośba Pracownika [...] skierowana do Prokuratury Rejonowej w K. o trwałe usunięcie i nie wykorzystywanie otrzymanych danych" w sprawie karnej toczącej się przeciwko mnie?
2. na jakiej podstawie prawnej Pracownik [...] wystosował takie żądanie do organu ścigania?
3. jakiej treści zawiadomienie zostało przesłane w mojej sprawie do Prezesa UODO w sprawie związanej z naruszeniami moich danych osobowych ? (prosiłbym o jego kopię);
g) zaniechanie organu stwierdzenia, że Spółkę jako administratora moich danych osobowych obciążał obowiązek wyjaśnienia ewentualnych "niejasności mojego pisemnego żądania z dnia 21 lutego 2022 roku'', (gdyby takie powzięła ?) co do kwestii moich praw z art. 15 RODO oraz bezzasadne uznanie organu, że Spółka nie została właściwie przeze mnie wezwana tym pismem do spełnienia swojego obowiązku informacyjnego wobec mnie;
h) bezzasadne odstąpienie od ustalenia czy Spółka wypełniła wobec mnie (Skarżącego) swój zwykły obowiązek informacyjny z art. 13 RODO podczas zawierania ze mną umów, oraz czy pouczyła mnie o przysługujących mi prawach związanych z przetwarzaniem moich danych osobowych?, oraz o tych, których naruszenie powinno skutkować złożeniem przeze mnie żądań do Spółki z art. 15 RODO oraz skargi do organu nadzorczego ???, albowiem taka okoliczność nie wynika ze złożonego przez Spółkę pisma z dnia 25 marca 2022 roku oraz z załączonych do niego umów ze mną zawartych (k. 100 - 110); na co też wskazywałem w piśmie z dnia 19 marca 2022 r. (k. 89 i do czego organ się nie odniósł w ogóle);
i) zupełne pominięcie oceny udzielonej mi odpowiedzi przez Spółkę pismem z dnia 8 marca 2022 r. (k. 139) i z dnia 28 stycznia 2022 roku (k. 57) do mojego pełnomocnika z 1 lutego 2022 r. (k. 135) oraz treści mojego pisma z 19 marca 2022 r.(k. 89 i 136 ) stanowiącego zarzuty wobec pisma Spółki. Przy czym istotnym jest fakt stwierdzenia przez Spółkę w piśmie z 28 stycznia 2022 r., że", w wyniku BŁĘDU zawartego w postanowieniu prokuratora" (k.571) doszło do udostępnienia moich danych. Organ nie ocenił, skąd Spółka w dacie 28 STYCZNIA 2022 ROKU posiadała informacje (dowód 1, że prokurator popełnił BŁĄD???
2. art. 7 Konstytucji RP w zw. z art. 2 w zw. z art. 6 w zw. z art. 9 i 10 § 1 i 3 kpa w zw. z art. 14 § 1a w zw. z art. 40 § 1 k.p.a. poprzez bezzasadne odstąpienie przez organ od oficjalności doręczania Spółce moich pism procesowych i zapewnienie jej czynnego udziału w postępowaniu, w tym tego z żądaniami z dnia 24 marca 2022 r. (k. 94 verte). którego to odpis organ zobowiązany był przesłać tej Spółce, żeby ta zajęła stanowisko w sprawie moich żądań dotyczących art. 15 RODO, co w konsekwencji doprowadziło, że Spółka ta mogła nie zapoznać się z jego treścią i w konsekwencji nie zajęła stanowiska co do tego żądania, które następnie organ oddalił (s. 9 decyzji) uznając, że "wniesioną w niniejszej sprawie skargę w zakresie realizacji obowiązku wynikającego z ort. 15 RODO, uznać należy za przedwczesną i bezprzedmiotową"; gdyż przepisy kompetencyjne podlegają wykładni ścisłej i w przypadku organów władzy publicznej nie działa zasada "to co nie jest zakazane jest dozwolone", albowiem stoi temu na przeszkodzie zasada legalizmu wysłowiona w treści art. 7 Konstytucji RP;
3. art. 7 Konstytucji RP w zw z art. 7 w zw z art. 78 § 1 k.p.a. poprzez naruszenie przez organ PUODO legalizmu działania i zupełne pominięcie zgłoszonych przeze Skarżącego pismem z dnia 19 lipca 2022 roku istotnych wniosków dowodowych o uzupełnienie postępowania przed wydaniem decyzji w sprawie, a w konsekwencji naruszenie prawa materialnego z art. 5 ust. 1 lit. f), art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, polegające na zaniechaniu wykazania niewdrożenia przez Spółkę [...] odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, skutkującym naruszeniem ich poufności, oraz na braku weryfikacji podmiotu przetwarzającego, czy zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą, tj., w związku z tym w/w pismem, WNOSŁEM o uzupełnienie postępowania dowodowego w celu pełnego i wyczerpującego wyjaśnienia okoliczności sprawy i w tym celu;
a. zwrócenia się do Spółki o wydanie kopii umowy zatrudnienia M. I. w celu ustalenia jej postanowień i obowiązków służbowych, terminowości wykonywanych wpływających zleceń, itd. oraz podstaw prawnych związanych z realizacją obowiązków służbowych, co ma istotne znaczenie dla ustalenia Jej (art. 107 ust.1 ustawy o ochronie danych osobowych ) i Spółki odpowiedzialności w sprawie nielegalnego przetwarzania moich i innych Abonentów danych osobowych (retencyjnych);
b. zwrócenia się do Spółki o wydanie kopii umowy zawartej pomiędzy Prokuraturą Krajową lub innymi jednostkami prokuratury ze Spółką [...] w celu ustalenia obowiązków M. I. i Spółki i odpowiedzialności za nielegalne i nieterminowe, wbrew żądaniu prokuratora wydania danych terminie do 7 dni o daty wpływu tj., od 18 czerwca 2021 r. do 25 czerwca 2021 r., wykonywanie obowiązków, co doprowadziło do nielegalnego przetwarzania przez Spółkę danych osobowych Abonentów, w tym Skarżącego;
c. zwrócenia się do Spółki o wydanie kopii wewnętrznego regulaminu Spółki, co do terminowości i sposobu wydawania żądanych danych retencyjnych dla organów ścigania /sądów m.in., w celu ustalenia obowiązków Spółki i .służbowych pracowników Spółki, w tym M. I., o jakich na nagraniu mówi M. I. związanych z wydawaniem danych osobowych (retencyjnych), terminu wykonywania żądań prokuratorskich i rygorów tam zawartych w celu faktycznego ustalenia procedur i obowiązków oraz odpowiedzialności Spółki lub Jej Pracowników związanej z naruszeniem tych procedur;
d. zwrócenia się do Spółki o wydanie kopii dokumentacji dotyczącej ilości zatrudnionych pracowników w dziale Bezpieczeństwa Regulacyjnego/Ustaleń Urzędowych odpowiedzialnym za realizację żądań organów wymiary sprawiedliwości, w tym prokuratur; i celu ustalenia faktów czy ilość osób zatrudniona przez Spółkę była wystarczająca do realizacji żądań organów państwa w wyznaczonym terminie 7 dni od daty wpływa żądań ? . czy Spółka faktycznie dokonała zwolnień swoich pracowników z tego działu (o czym na nagraniu opowiadała M. I.)? oraz czy ewentualne zwolnienia mogły negatywnie wpłynąć na wykonywane zobowiązania od organów państwa?; wszystko to posłuży ustaleniu skali odpowiedzialności Spółki za nienależyte i nielegalne wykonywanie swoich ustawowych obowiązków na rzecz organów państwa;
e. załączenia do akt sprawy kopii zawiadomienia wraz z załącznikiem do zgłoszenia naruszenia danych osobowych (bezpieczeństwa) z dnia 28 stycznia 2022 roku od Spółki do tut. Urzędu (sygn. [...]) na okoliczność ustalenia prawdziwego i pełnego stanu faktycznego sprawy niezbędnego do końcowego jej rozstrzygnięcia;
f. zwrócenia się do Spółki o wydanie kopii pisma z rozmowy z prokuratorem Prokuratury Rejonowej w K. w zakresie, o jakim Spółka pisze w pkt. 5, str. 4 pisma z dnia 25 marca 2022 r.; w celu ustalenia faktu, czy do takiej rozmowy i jej treści doszło, co też Spółka zobowiązana była udokumentować;
4. art. 107 § 3 k.p.a. poprzez zaniechanie odniesienia się przez organ w uzasadnieniu wydanej decyzji do pominiętych wniosków dowodowych Skarżącego z dnia 19 lipca 2022 r. oraz dowodów załączonych do skargi i treści pisma z 16 maja 2022 roku i powołanych w nim dowodów, oraz do kwestii spornych i nieudowodnionych podnoszonych przez strony w pismach procesowych i wyjaśnieniach; organ nie wypowiedział się także, dlaczego nie ocenił i pominął znaczną część dowodów przedłożonych przez Skarżącego, oraz co do zaniechania przedłożenia przez Spółkę dowodów na poparcie własnych nieudowodnionych twierdzeń, które były sprzeczne ze zgromadzonym materiałem dowodowym i wewnętrznie sprzeczne, na co uwagę zwracał Skarżący w w/w pismach; co w konsekwencji doprowadziło, że wydane uzasadnienie nie spełnia wymogów ustawodawcy i obecnie uniemożliwia zrozumienie toku rozumowania organu i właściwe skonstruowanie zarzutów skargi, wobec błędu braku, co winno skutkować uchyleniem tej decyzji;
5. art. 7 Konstytucji RP w zw. z art. 9 w zw. z art. 107 § 1 pkt. 9 k.p.a. poprzez zaniechanie przez organ pouczenia mnie w trakcie postępowania administracyjnego o moich uprawnieniach wynikających z RODO jak i k.p.a., co nastąpiło dopiero pismem organu z dnia 21 marca 2022 r., czym też się pokierowałem w piśmie z dnia 24 marca 2022 r., uzupełniając żądania skargi oraz w wydanej decyzji o przysługujących mi uprawnieniach co do możliwości wniesienia powództwa?, co uniemożliwiło mi właściwe korzystanie z przysługujących mi uprawnień, w tym zwłaszcza w stosunku do zarzutu organu w moją stronę rzekomo niewłaściwego czy zaniechania wezwania Spółki pismem z dnia 21 lutego 2022 r., zgodnie i/lub z powołaniem się na art. 15 RODO, na co wskazuje organ w wydanej decyzji; zaś ja sam pisałem do organu o ograniczeniu mojej wiedzy prawniczej ( pismo z dnia 14 marca 2022 r.), co powinno wymusić na organie podjęcie inicjatywy informacyjnej/pouczeniowej w moją stronę w sprawie ze Spółką [...]".
Skarżący podniósł także zarzut naruszenia prawa materialnego poprzez: (cyt.) "jego dowolną wykładnię oderwaną od realiów sprawy i materiału dowodowego – art. 83 ust. 1, art. 83 ust. 2 lit. a-d, g-h , art. 83 ust. 3 rozporządzenia 2016/679 poprzez bezzasadne i arbitralne odstąpienie od nałożenia kary finansowej na Spółkę telekomunikacyjną [...] za tak "poważne i przestępne naruszenia jakich się dopuściła na danych osobowych kilkudziesięciu Abonentów, w tym na Skarżącym – który poniesie w związku z tymi nielegalnymi działaniami Spółki poważne i niewymierne konsekwencje oraz który wraz z innymi Abonentami utracił prawo do decydowania o przetwarzaniu danych osobowych i ich losach, gdzie organ zaniechał oceny ilu faktycznie przepisów z RODO i innych przepisów - naruszenia dopuściła się Spółka, co w konsekwencji doprowadziło do nieuzasadnionego nałożenia na spółkę upomnienia, w sytuacji w jakiej organ UODO w podobnych sprawach dokonywał karania podmiotów naruszających."
W obszernym uzasadnieniu skargi K. N. przedstawił stan faktyczny sprawy oraz rozwinął poszczególne zarzuty skargi.
W odpowiedzi na skargę organ wniósł o jej oddalenie.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (t.j. Dz. U. z 2021 r., poz. 137), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.
W świetle powołanych powyżej przepisów Wojewódzki Sąd Administracyjny w Warszawie, w zakresie swojej właściwości, ocenia zaskarżoną decyzję administracyjną, postanowienie, czy też inny akt lub czynność z zakresu administracji publicznej dotyczącą uprawnień lub obowiązków wynikających z przepisów prawa, z punktu widzenia ich zgodności z prawem materialnym i przepisami postępowania administracyjnego, według stanu faktycznego i prawnego obowiązującego w dacie wydania tego aktu lub podjęcia spornej czynności. Chodzi więc o kontrolę aktów lub czynności z zakresu administracji publicznej dokonywaną pod względem ich zgodności z prawem materialnym i przepisami procesowymi, nie zaś według kryteriów słuszności.
Ponadto, co wymaga podkreślenia, Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną (vide art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi – Dz. U. z 2022 r. poz. 329 – dalej P.p.s.a.).
Należy jednocześnie wyraźnie zaznaczyć, że od dnia wejścia w życie Traktatu Akcesyjnego z dnia 16 kwietnia 2003 r. (Dz. U. z 2004 r. Nr 90, poz. 864), na mocy którego Polska stała się państwem członkowskim Unii Europejskiej, kontrola sądu administracyjnego obejmuje również zgodność rozstrzygnięć krajowych organów administracji publicznej z prawem europejskim (prawem Unii Europejskiej), rozumianym, jako całokształt dorobku prawnego Unii Europejskiej (acquis communautaire), w tym zasad ogólnych prawa europejskiego, interpretowanych oraz stosowanych w sposób jednolity na całym obszarze Unii Europejskiej.
Wyjaśnienia wymaga, że w dniu 25 maja 2018 r. weszła w życie ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781 ze zm.), ponadto od dnia 25 maja 2018 r. bezpośrednie zastosowanie w polskim porządku prawnym mają przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej "RODO"). Stosownie bowiem do przepisu art. 99 ust. 1 RODO, wchodzi ono w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej, która nastąpiła w dniu 4 maja 2016 r. (Dz.U.UE.L2016.119.1), natomiast zastosowanie w państwach członkowskich wspomniane rozporządzenie ma od dnia 25 maja 2018 r. (art. 99 ust. 2 RODO).
Zgodnie z art. 51 ust. 1 RODO, każde państwo członkowskie zapewnia, by za monitorowanie stosowania RODO odpowiadał co najmniej jeden niezależny organ publiczny w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych w Unii.
W związku z powyższym, na podstawie art. 34 ust. 1 ustawy o ochronie danych osobowych (2018 r.) organem właściwym w sprawie ochrony danych osobowych jest w Polsce obecnie Prezes Urzędu Ochrony Danych Osobowych.
Przechodząc na grunt rozpoznawanej sprawy, zasadnym jest przytoczenie treści niektórych przepisów z RODO, które miały w sprawie zastosowanie.
Zgodnie z art. 6 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 str. 2 ze zm.), przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
Natomiast art. 57 ust. 1 lit. f) rozporządzenia stanowi, że bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia każdy organ nadzorczy na swoim terytorium rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez podmiot, organizację lub zrzeszenie zgodnie z art. 80, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań, w szczególności jeżeli niezbędne jest dalsze prowadzenie postępowań lub koordynacja działań z innym organem nadzorczym.
Zgodnie za art. 4 pkt 1-3 RODO, "dane osobowe" oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. "Przetwarzanie" oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. "Ograniczenie przetwarzania" oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania.
W analizowanej sprawie nie została spełniona przez Spółkę żadna z przesłanek określonych w tym przepisie uzasadniająca kwestionowane działanie Spółki. Jest to zresztą rzecz niesporna, sama Spółka uznała bowiem, że podczas wykonywania postanowienia Prokuratora Prokuratury Rejonowej w K. z dnia [...] czerwca 2021 r. o żądaniu wydania rzeczy doszło do błędu. Pracownik Spółki zamiast przekazać dane billingowe Skarżącego za okres 17-21 lipca 2021 r., przekazał dane za okres od 10 do 25 lipca 2021 r., o czym Spółka w dniu 28 stycznia 2022 r. powiadomiła Prezesa UODO oraz skarżącego. Dane billingowe za okres od 10 do 16 lipca 2022 r. i od 22 lipca do 25 lipca 2021 r. zostały przekazane Prokuraturze bez podstawy prawnej. W tym też zakresie Sąd uznaje ocenę organu za trafną.
Odnosząc się jednocześnie do zarzutu skargi, iż brak było jakichkolwiek podstaw do przekazania danych retencyjnych Skarżącego, gdyż kwestionowane postanowienie Prokuratora Prokuratury Rejonowej w K. z dnia [...] czerwca 2021 r. było wadliwe prawnie, dotyczyło bowiem przyszłych (a nie już istniejących) danych retencyjnych, stwierdzić należy, iż rację ma Prezes UODO, iż nie posiada kompetencji do dokonywania oceny tego postanowienia. Zgodnie bowiem z art. 23 § 1 k.p.k. właściwym organem do oceny takiego postanowienia jest sąd rejonowy, w okręgu którego prowadzone jest postępowanie. Również Spółka nie była władna do oceny prawnej przedmiotowego postanowienia.
Za opisane naruszenie art. 6 ust. 1 RODO organ udzielił [...] S. A. z siedzibą w W. upomnienia. W związku z powyższym należy w tym miejscu poczynić uwagi dotyczące uprawnień naprawczych organu nadzorczego. Uprawnienia naprawcze organu nadzorczego wskazane w art. 58 ust. 2 RODO mają charakter władczy i przybierają postać: ostrzeżeń, upomnień, nakazów, zakazów i kar. Ich realizacja stanowi istotę oddziaływania nadzorczego, które nie ogranicza się jedynie do sprawowania kontroli, ale obejmuje również władcze oddziaływanie organu nadzorczego na podmioty, wobec których sprawuje on nadzór.
Wskazać należy, że środki przysługujące organowi w ramach uprawnień naprawczych określonych w art. 58 ust. 2 RODO są zróżnicowanie w zależności od tego, czy mamy do czynienia z przetwarzaniem danych przez administratora lub podmiot przetwarzający, czy też jest ono dopiero na etapie planowanych operacji przetwarzania. W tym drugim przypadku organ nadzorczy może wydać ostrzeżenie dotyczące możliwości naruszenia przepisów rozporządzenia. W sytuacji natomiast kiedy mamy do czynienia z operacjami przetwarzania danych, organowi przysługuje szereg środków naprawczych, w tym udzielenie upomnienia, wydawanie nakazów, wprowadzenie ograniczenia albo zakazu przetwarzania. Ponadto w odniesieniu do procedury certyfikacyjnej, organ nadzorczy posiada uprawnienia do cofnięcia certyfikacji, z uwzględnieniem krajowych uregulowań w tym zakresie. Szczególną kompetencją organu nadzorczego jest prawo do nakładania administracyjnych kar pieniężnych, zgodnie z art. 83 RODO, oprócz lub zamiast pozostałych kompetencji naprawczych przyznanych w komentowanym przepisie.
Jak już wyjaśniono, jednym ze środków naprawczych przewidzianych w przepisie art. 58 ust. 2 jest upomnienie, które udzielane jest w przypadku naruszenia przepisów RODO przez operacje przetwarzania danych. Zasadnicza wątpliwość, związana z korzystaniem z instytucji upomnienia, wiąże się z tym, kiedy organ nadzorczy powinien udzielić upomnienia, a kiedy skorzystać z możliwości nakazania lub zakazania określonego zachowania, czy też nałożenia administracyjnej kary pieniężnej (por. wyrok WSA w Warszawie z dnia 10 marca 2022 r., sygn. akt II SA/Wa 167/21, CBOSA).
Pewnych wskazówek udziela tutaj motyw 148 preambuły do RODO, zgodnie z którym "jeżeli naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie, można zamiast tego udzielić upomnienia. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące".
W tej sytuacji przyjmuje się więc, że z jednej strony nie powinno budzić wątpliwości, że skorzystanie z możliwości udzielenia upomnienia pozostawione zostało do uznania organu nadzorczego, z drugiej jednak strony pewną wskazówką, kiedy udzielenie upomnienia jest preferowaną formą załatwienia sprawy, jest wskazanie w przywołanym motywie preambuły dwóch sytuacji: gdy naruszenie zostało uznane za "niewielkie" lub gdy "grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie" (por. rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Komentarz /w:/ Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, pod red. dr Pawła Litwińskiego, Wydawnictwo C.H. Beck, Warszawa 2021, t. 12 komentarza do art. 58 RODO).
Warto zauważyć, że swoje wytyczne w tym zakresie wydała również Grupa Robocza Art. 29, które zostały potwierdzone przez Europejską Radę Ochrony Danych. Zgodnie z ich treścią "ocena kryteriów określonych w art. 83 ust. 2 RODO może jednak skłonić organ nadzorczy do uznania, że w konkretnych okolicznościach danego przypadku dane naruszenie na przykład nie stanowi poważnego zagrożenia dla praw osób, których dane dotyczą, oraz nie wpływa na istotę danego obowiązku. W takich przypadkach karę pieniężną można (choć nie zawsze) zastąpić upomnieniem" (vide: Wytyczne Grupy Roboczej Art. 29 w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia Nr 2016/679 (WP 253), https://uodo.gov.pl/pl/10/13, dostęp: 17.2.2021 r., s. 9).
Mając powyższe na względzie, uznać należy, ze punktem wyjścia do podjęcia przez organ nadzorczy decyzji o udzieleniu upomnienia powinna być więc ocena, czy doszło do niewielkiego naruszenia, które nie ingeruje w istotę praw i obowiązków wynikających z RODO.
W kontrolowanej decyzji Prezesa UODO ograniczył się natomiast do lakonicznego stwierdzenia, iż "(...) w realiach niniejszej sprawy z uwagi na charakter przedmiotowego udostępnienia, właściwe jest zastosowanie wobec Spółki upomnienia za stwierdzone naruszenie przepisów o ochronie danych osobowych, tj. art. 6 ust. 1 RODO" (str. 11 decyzji). W odpowiedzi na skargę organ podjął próbę wyjaśnienia podstaw rozstrzygnięcia o udzieleniu upomnienia (str. 22 i 23 odpowiedzi na skargę), jednakże wyjaśnienia te nie mogą sanować wad decyzji.
Oczywiście, rację ma organ, że kwestia wyboru pomiędzy karą administracyjną a upomnieniem jest kwestią uznania administracyjnego i nie jest uzależniona od wniosku strony wnoszącej skargę. Swoboda wyboru oparta na uznaniu administracyjnym jest jednakże poddana kontroli sądowoadministracyjnej właściwej dla kontroli uznania administracyjnego. W tym zakresie należy oprzeć się na bogatym dorobku judykatury, w którym konsekwentnie podkreśla się, iż uznanie administracyjne nie pozwala na dowolne działanie organu administracji publicznej, czy rozstrzyganie na podstawie przesłanek niemających obiektywnego uzasadnienia. Orzekający w sprawie organ jest zobowiązany do rzetelnej i wnikliwej analizy wszelkich okoliczności sprawy. Sąd kontrolując decyzję uznaniową, jest natomiast obowiązany zbadać, czy zaskarżona decyzja nie nosi cech dowolności. Naczelny Sąd Administracyjny w wyroku z 23 stycznia 2009 r., sygn. akt II OSK 1488/08 (publ. www.orzeczenia.nsa.gov.pl) stwierdził, że zakres badania decyzji posiadającej cechy uznania administracyjnego sprowadza się do oceny, czy wydanie decyzji zostało poprzedzone prawidłowo przeprowadzonym postępowaniem, z odpowiednim zachowaniem procedury administracyjnej. Natomiast wybór rozstrzygnięcia w ramach uznania administracyjnego, dokonywany na podstawie kryteriów słuszności i celowości, pozostaje poza kontrolą sądowoadministracyjną. Kontrola zaskarżonej decyzji przez sąd administracyjny sprowadza się zatem do oceny, czy zaskarżona decyzja nie nosi cech dowolności, czy organ wybrał prawnie dopuszczalny sposób rozstrzygnięcia i czy wyboru tego rozstrzygnięcia dokonał po ustaleniu i rozważeniu wszystkich istotnych dla sprawy okoliczności.
W orzecznictwie sądów administracyjnych konsekwentnie zwraca się też uwagę na znaczenie, jakie ma prawidłowe uzasadnienie decyzji uznaniowej. Wskazuje się, że wymogi, jakim powinna odpowiadać decyzja wydana w ramach uznania administracyjnego, są dalej idące niż ma to miejsce w odniesieniu do decyzji związanej. Uzasadnienie decyzji uznaniowej powinno zawierać wszechstronną analizę zgromadzonego materiału dowodowego i wyczerpująco uargumentowane stanowisko organu. Powinno z niego wynikać, że wszystkie okoliczności istotne dla sprawy zostały rozważone i ocenione (por. np. wyrok Naczelnego Sądu Administracyjnego z 17 marca 2010 r., sygn. akt II GSK 491/09, wyrok Naczelnego Sądu Administracyjnego z 20 lipca 2011 r., sygn. akt I OSK 2006/10, publ. www.orzeczenia.nsa.gov.pl).
Reasumując, skoro wybór pomiędzy karą administracyjną a upomnieniem jest dokonywany w ramach uznania administracyjnego, to winien być poprzedzony wszechstronną analizą materiału dowodowego, a stanowisko organu winno zostać wyczerpująco uargumentowane, czego w zaskarżonej decyzji brak.
Warto też w tym miejscu zwrócić uwagę, iż ochrona danych telekomunikacyjnych jest ściśle związana z obowiązywaniem zasady wolności komunikowania się. Przepis art. 49 Konstytucji RP stanowi o wolności komunikowania się i jednocześnie zapewnia prawną ochronę komunikowania się. Zgodnie z tym przepisem: "Zapewnia się wolność i ochronę tajemnicy komunikowania się. Ich ograniczenie może nastąpić jedynie w przypadkach określonych w ustawie i w sposób w niej ustalony". Według Trybunału Konstytucyjnego (TK) zakresem ochrony wolności komunikowania się objęte są nie tylko treści wiadomości, ale także wszystkie okoliczności procesu porozumiewania się, do których zaliczają się w szczególności dane osobowe uczestników tego procesu, informacje o wybieranych numerach telefonów, dane obrazujące czas i częstotliwość połączeń czy umożliwiające lokalizację geograficzną uczestników rozmowy, wreszcie dane o numerze IP czy numerze IMEI (wyrok TK z dnia 30 lipca 2014 r. , K 23/11 (TK-A 2014/7/80 cz. III pkt 1.4)
Trybunał Konstytucyjny przyjmuje więc szerokie rozumienie wolności komunikowania się, nie przeciwstawiając jej kategorycznie prawu do ochrony prywatności (wyrok TK z 30 lipca 2014 r., K 23/11, cz. III, pkt1.3). Według Trybunału "przejawem prawa do prywatności jest również wolność komunikowania się, która obejmuje nie tylko tajemnicę korespondencji, ale i wszelkiego rodzaju kontakty międzyosobowe" (wyrok TK z 20 czerwca 2005 r., K 4/04, OTK-A 2005/6, poz. 64).
Zdaniem Sądu powyższe kwestie powinny być wzięte pod rozwagę przy ocenie charakteru i wagi stwierdzonego naruszenia, czego w kontrolowanej decyzji brak.
Odnosząc się zaś do kwestii kontroli prawidłowości rozstrzygnięcia zawartego w pkt 2 zaskarżonej decyzji, podkreślić należy, iż – jak trafnie zauważa Prezes Urzędu Ochrony Danych Osobowych – uprawnienie wynikające z art. 15 RODO realizowane jest wyłącznie na wniosek osoby uprawnionej i brak takiego wniosku oznacza, że po stronie administratora nie powstaje skorelowany z nim obowiązek. Jak słusznie podnosi się w doktrynie: "Realizacja uprawnień określonych w art. 15, w odróżnieniu od prawa do informacji zagwarantowanego w art. 13 czy 14, wymaga inicjatywy podmiotu danych." (J. Łuczak [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. BieIak-Jomaa, D. Lubasz, Warszawa 2018, art.'15) oraz "Omawiane uprawnienie określić można mianem "czynnego prawa do uzyskania informacji", natomiast uprawnienie do poinformowania realizowane z inicjatywy administratora, to tzw. bierne uprawnienie informacyjne." (P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w. związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Warszawa, 2018, art. 15).
W art. 15 ust. 1 RODO został ściśle określony zakres danych, jakie osoba, której dane dotyczą, jest uprawniona do uzyskania. Może ona od administratora uzyskać potwierdzenie, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji: a) celu przetwarzania; b) kategorii odnośnych danych osobowych; c) informacji o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych; d) w miarę możliwości planowanym okresie przechowywania danych osobowych, a gdy nie jest to możliwe, kryteriach ustalania tego okresu; e) informacji o prawie do żądania od administratora sprostowania, usunięcia lub ograniczania przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania; i) informacji o prawie wniesienia skargi do organu nadzorczego; g) jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkich dostępnych informacjach o ich źródle; h) informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 , oraz – przynajmniej w tych przypadkach – istotnych informacjach o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
W ocenie Sądu organ nadzorczy zasadnie uznał, że pytania zadane Spółce przez Skarżącego w piśmie z dnia 21 lutego 2022 r. nie mieściły się w ww. zakresie, dlatego nie mogły być uznane za żądania wynikające z art. 15 ust. 1 RODO. Pytania zawarte w ww. piśmie dotyczyły bowiem sposobu załatwienia prośby pracownika Spółki skierowanej do Prokuratury Rejonowej w K. o trwałe usunięcie i niewykorzystywanie otrzymanych danych w sprawie karnej toczącej się przeciwko Skarżącemu, podstawy prawnej wspomnianego żądania pracownika Spółki oraz treści zawiadomienia przesłanego przez Spółkę do Prezesa UODO.
Niewątpliwie Skarżący wystąpił do Spółki z żądaniem wynikającym z art. 15 ust. 1 RODO w piśmie z dnia 27 lipca 2022 r. Pismo to skierowane zostało jednak do [...] S.A. już po wydaniu w dniu [...] lipca 2022 r. zaskarżonej decyzji.
W tej sytuacji Sąd uznał rozstrzygnięcie zawarte w pkt 2 zaskarżonej decyzji za zgodne z obowiązującym prawem i w tym zakresie skargę oddalił na podstawie art. 151 P.p.s.a. Rozstrzygnięcie zawarte w pkt 1 wyroku oparte zostało na przepisie art. 145 § 1 pkt 1 lit. c P.p.s.a.