II SA/Wa 1569/23

II SA/Wa 1569/23 - Wyrok WSA w Warszawie
Data orzeczenia
2024-03-19
orzeczenie nieprawomocne
Data wpływu
2023-08-10
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Iwona Maciejuk /przewodniczący sprawozdawca/
Izabela Głowacka-Klimas
Joanna Kruszewska-Grońska
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2023 poz 1634
art. 151 w zw. z art. 119 pkt 2 i art. 120
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - t.j.
Dz.U. 2020 poz 1359
art. 92 par. 1, art. 97 par. 1
Ustawa z dnia 25 lutego 1964 r. Kodeks rodzinny i opiekuńczy (t.j. Dz. U. z 2020 r. poz. 1359).
Dz.U.UE.L 2016 nr 119 poz 1 art. 4 pkt 11, art. 5, art. 6 ust. 1, art. 9 ust. 2, art. 13, art. 14, art. 58 ust. 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Iwona Maciejuk (spr.), Sędzia WSA Joanna Kruszewska-Grońska, Sędzia WSA Izabela Głowacka-Klimas, , po rozpoznaniu w trybie uproszczonym w dniu 19 marca 2024 r. sprawy ze skargi D. K. prowadzącego działalność gospodarczą pod nazwą C. "T." z siedzibą w K. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] maja 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę.
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych decyzją z dnia [...] maja 2023 r. nr [...], na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2023 r. poz. 775) – zwana dalej k.p.a., oraz art. 6 ust. 1, art. 5 ust. 1 oraz art. 13, 14 i art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35) – zwane dalej RODO, po przeprowadzeniu postępowania administracyjnego w sprawie skargi E.Z.– zwana dalej wnioskodawczynią, na nieprawidłowości w procesie przetwarzania jej danych osobowych oraz danych osobowych jej córki Z.Z. przez D.K., prowadzącego działalność gospodarczą pod firmą D. w K. – zwany dalej skarżącym, przedsiębiorcą, polegające na pozyskaniu i przetwarzaniu ich danych osobowych oraz niewypełnieniu wobec E.Z. obowiązku informacyjnego z art. 14 RODO Prezes UODO udzielił skarżącemu upomnienia za naruszenie:
1. art. 6 ust. 1 oraz art. 5 ust. 1 RODO polegające na pozyskaniu [...] października 2021 r. i dalszym przetwarzaniu danych osobowych bez podstawy prawnej E.Z. w zakresie jej numeru telefonu oraz danych osobowych jej córki Z.Z. w zakresie imienia, nazwiska, numeru telefonu oraz informacji o szkole oraz klasie, do której uczęszczała;
2. art. 14 ust. 1 i 2 RODO polegające na nierzetelnym wypełnieniu obowiązku informacyjnego wobec E.Z. w zakresie podstaw przetwarzania i kategorii przetwarzanych danych osobowych (art. 14 ust. 1 lit. c i d) oraz art. 14 ust. 2 w zakresie okresu, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu; jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f – prawnie uzasadnionych interesach realizowanych przez administratora lub przez stronę trzecią; informacjach o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych; jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a lub art. 9 ust. 2 lit. a - informacji o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem; informacje o prawie wniesienia skargi do organu nadzorczego; źródle pochodzenia danych osobowych, a gdy ma to zastosowanie - czy pochodzą one ze źródeł publicznie dostępnych; informacjach o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz - przynajmniej w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą;
3. art. 13 RODO polegające na niewypełnieniu wobec Z.Z. obowiązku informacyjnego w związku z pozyskaniem i dalszym przetwarzaniem danych osobowych.
Prezes UODO w uzasadnieniu wskazał, że E.Z. złożyła skargę na nieprawidłowości w procesie przetwarzania jej danych osobowych oraz danych osobowych jej córki Z.Z. przez D.K., prowadzącego działalność gospodarczą pod firmą D. w K., reprezentowanego przez adwokata, polegające na pozyskaniu i przetwarzaniu ich danych osobowych oraz niewypełnieniu wobec E.Z. obowiązku informacyjnego z art. 14 RODO.
Prezes UODO ustalił, że córka wnioskodawczyni była uczennicą [...] w S.. [...] października 2021 r. podczas lekcji otrzymała formularz sporządzony przez przedsiębiorcę, z wydrukowaną na niej adnotacją "[...]", zawierający prośbę o przekazanie pełnej, bezpłatnej informacji o organizowanych przez niego kursach językowych. Córka wnioskodawczyni wypełniła ten formularz, w którym podała swoje imię i nazwisko, numer telefonu, klasę do której ówcześnie chodziła oraz numer telefonu swojej mamy (dowód: pismo wnioskodawczyni z [...] grudnia 2022 r. z załącznikami, pisma przedsiębiorcy z [...] stycznia 2023 r. i [...] lutego 2023 r. z załącznikami). Wnioskodawczyni wyjaśniła, że [...] grudnia 2021 r. zadzwonił do niej przedstawiciel przedsiębiorcy w celu przedstawienia oferty zajęć językowych. Wnioskodawczyni nie znała firmy przedsiębiorcy, w związku z czym poprosiła o podanie podstaw, celów przetwarzania oraz źródła danych osobowych. Konsultant telefoniczny wyjaśnił jej, że za zgodą dyrektora szkoły w trakcie zajęć lekcyjnych dzieci otrzymały do wypełnienia formularz obejmujący dane osobowe dziecka i rodzica oraz podpisały zgodę na przetwarzanie danych osobowych. Wnioskodawczyni w korespondencji z przedsiębiorcą zakwestionowała podstawy prawne przetwarzania danych osobowych jej oraz jej córki oraz podniosła niewypełnienie wobec niej obowiązku informacyjnego z art. 14 RODO (dowód: pismo wnioskodawczyni z [...] grudnia 2022 r.). Przedsiębiorca wyjaśnił, że przetwarzał dane osobowe w zakresie imienia córki wnioskodawczyni, numeru telefonu jej matki oraz klasy, do której uczęszczało dziecko w oparciu o udzieloną przez nią zgodę. Powyższe dane przetwarzał w celu ustalenia, czy przedstawiciel ustawowy dziecka wyraża chęć nauki przez nie języka obcego (dowód: pismo Przedsiębiorcy z [...] stycznia 2023 r.). Przedsiębiorca wyjaśnił, że wypełnił wobec wnioskodawczyni obowiązek informacyjny poprzez przekazanie za pośrednictwem jej córki [...] października 2021 r. części formularza zawierającego informacje o przetwarzaniu danych osobowych. Ponadto adekwatna informacja została przekazana wnioskodawczyni listem poleconym, który otrzymała [...] stycznia 2022 r. (dowód: pismo przedsiębiorcy z [...] lutego 2023 r.).
Prezes UODO po zapoznaniu się z całością materiału dowodowego wskazał, że przedmiotem niniejszego postępowania jest ocena procesu pozyskania i dalszego przetwarzania przez przedsiębiorcę danych osobowych E.Z. w zakresie jej numeru telefonu oraz danych osobowych jej córki w zakresie jej imienia i nazwiska, numeru telefonu oraz klasy, do której uczęszczała oraz ocena realizacji obowiązku informacyjnego wobec niej i jej córki w związku z przetwarzaniem ich danych osobowych.
Prezes UODO zaznaczył, że zgodnie z art. 6 ust. 1 RODO przetwarzanie danych osobowych osób fizycznych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Oznacza to, że przesłanki te, co do zasady, są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. Prezes UODO wskazał, że RODO nakłada na administratora obowiązek przetwarzania danych z zachowaniem zasad przetwarzania wymienionych w art. 5 ust. 1 RODO. Zgodnie z zasadą zgodności z prawem, rzetelności i przejrzystości dane muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (art. 5 ust. 1 lit. a RODO). Prezes UODO wyjaśnił, że z zebranego materiału dowodowego wynika, iż [...] października 2021 r. podczas lekcji córka wnioskodawczyni otrzymała formularz sporządzony przez przedsiębiorcę. Jego wypełnienie miało na celu pozyskanie przez przedsiębiorcę informacji o osobach i ich danych do kontaktu telefonicznego, którym można było w późniejszym terminie przedstawić ofertę kursów językowych. Z kopii formularza załączonej do akt sprawy wynika, że znajdowała się na nim wydrukowana adnotacja o treści "[...]", wskazująca szkołę, dla której jest przeznaczony a ponadto zawierał on rubryki do wypełnienia przez ucznia, poprzez podanie imienia, klasy, numeru telefonu ucznia i numeru telefonu do rodzica. Córka wnioskodawczyni po otrzymaniu od nauczyciela formularza podała ww. dane oraz dodatkowo wpisała swoje nazwisko. W treści formularza zawarte zostało również oświadczenie: "wyrażam zgodę na przetwarzanie danych osobowych w celu przekazywania mi informacji o kursach "[...]" zgodnie z art. 6 oraz art. 9 RODO", które zostało podpisane przez córkę wnioskodawczyni. W złożonych przez przedsiębiorcę wyjaśnieniach z [...] stycznia 2023 r. jego pełnomocnik wskazał, że przedsiębiorca przetwarzał dane w zakresie imienia córki wnioskodawczyni, numeru telefonu jej matki, klasy, do której chodziła, natomiast jako podstawę przetwarzania wskazał art. 6 ust. 1 lit. a i f RODO w zw. z art. 8 RODO. Jako cel pozyskania danych przedsiębiorca w wyjaśnieniach podał potrzebę "ustalenia, czy przedstawiciel ustawowy dziecka wyrażającego wolę nauki języka obcego, które ukończyło 13 lat a nie ukończyło 16 wyraża zgodę na przedstawienie oferty kursu językowego".
Prezes UODO zaznaczył, że zakres danych wskazany przez przedsiębiorcę, jako te, które przetwarzał, a rzeczywisty zakres przetwarzanych danych jest różny. Przedsiębiorca w wyjaśnieniach wymienił jedynie, że przetwarzał imię córki wnioskodawczyni, numer telefonu jej matki oraz klasę, kiedy faktycznie pozyskał również dane w zakresie informacji o szkole, do której chodzi córka wnioskodawczyni ([...]), jej nazwiska oraz numeru telefonu. Zgodnie z art. 6 ust. 1 lit. a RODO, przetwarzanie jest zgodne z prawem jeżeli osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów. Organ przytoczył definicję zgody. Przywołał też art. 8 RODO, na który również powołał się przedsiębiorca, zgodnie z którym, jeżeli zastosowanie ma art. 6 ust. 1 lit. a RODO, w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku, zgodne z prawem jest przetwarzanie danych osobowych dziecka, które ukończyło 16 lat. Jeżeli dziecko nie ukończyło 16 lat, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała ją osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody. Państwa członkowskie mogą przewidzieć w swoim prawie niższą granicę wiekową, która musi wynosić co najmniej 13 lat. Organ wskazał, powołując się na załączony do akt sprawy odpis skrócony aktu urodzenia córki wnioskodawczyni, że w chwili wyrażenia zgody na przetwarzanie danych, tj. [...] października 2021 r. dziewczynka nie miała ukończonych 16 lat, a więc nie została spełniona przesłanka kryterium wieku określonego w przywołanym przepisie. Oznacza to, że nie mogła samodzielnie wyrazić zgody na przetwarzanie swoich danych osobowych, a tym bardziej nie mogła wyrazić zgody na przetwarzanie danych osobowych swojego rodzica. Organ stwierdził, że przedsiębiorca pozyskał dane osobowe wnioskodawczyni oraz jej córki w sposób niezgodny z prawem. Zdaniem Prezesa UODO co do ogólnej zasady można uznać za słuszne stanowisko przedsiębiorcy, zgodnie z którym świadczenie nauki języka obcego za pośrednictwem platformy e-learningowej mogłoby być usługą społeczeństwa informacyjnego w rozumieniu art. 1 ust. 1 lit. b dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/1535 jednak organ nie podzielił twierdzenia przedsiębiorcy, zgodnie z którym pozyskanie danych osobowych w celu przedłożenia oferty kursów językowych było usługą społeczeństwa informacyjnego w rozumieniu ww. przepisu, w związku z czym niewłaściwe jest powołanie się na przepis art. 8 RODO. Wyrażonemu w wyjaśnieniach przedsiębiorcy stanowisku przeczy również treść klauzuli informacyjnej, zamieszczonej w części formularza przeznaczonego do wiadomości rodziców, z której wynika, że dane osobowe przetwarzane są przez przedsiębiorcę w celach marketingowych, w tym marketingu bezpośredniego, w związku z czym w żaden sposób nie można w tym przypadku mówić o przetwarzaniu w celu świadczenia usług społeczeństwa informacyjnego. W ocenie Prezesa UODO, w przedmiotowej sprawie nie zaszła również przesłanka oferowania usług społeczeństwa informacyjnego bezpośrednio dziecku (art. 8 ust. 1 RODO), bowiem oferta kursów językowych, miała być przedstawiona rodzicowi. Przepisy RODO nie przewidują (poza okolicznościami uwzględnionymi w art. 8 RODO), aby zgodę na przetwarzanie danych osobowych mogła wyrazić osoba niepełnoletnia. W przypadku osób niepełnoletnich zgodę na przetwarzanie jej danych osobowych wyraża rodzic lub opiekun prawny (por. art. 92 § 1, art. 97 § 1 ustawy z dnia 25 lutego 1964 r. Kodeks rodzinny i opiekuńczy, Dz. U. z 2020 r., poz. 1359). Prezes UODO stwierdził, że wobec powyższego przedsiębiorca przetwarzał dane osobowe wnioskodawczyni oraz jej córki z naruszeniem przepisu art. 6 ust. 1 lit. a RODO.
Prezes UODO zwrócił uwagę, że zgodnie z art. 15 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 2022 r., poz. 1360, dalej k.c.) ograniczoną zdolność do czynności prawnych mają małoletni, którzy ukończyli lat trzynaście, oraz osoby ubezwłasnowolnione częściowo. Zgodnie z art. 20 k.c. osoba ograniczona w zdolności do czynności prawnych może bez zgody przedstawiciela ustawowego zawierać umowy należące do umów powszechnie zawieranych w drobnych bieżących sprawach życia codziennego. Natomiast, co wynika z art. 17 k.c. z zastrzeżeniem wyjątków w ustawie przewidzianych, do ważności czynności prawnej, przez którą osoba ograniczona w zdolności do czynności prawnych zaciąga zobowiązanie lub rozporządza swoim prawem, potrzebna jest zgoda jej przedstawiciela ustawowego. Powyższe oznacza, że ewentualne wyrażenie zgody przez córkę wnioskodawczyni na przetwarzanie jej danych osobowych wymagało potwierdzenia tej zgody przez rodzica. Niemniej, przedstawienie oferty kursów językowych przez przedsiębiorcę nie wymagało pozyskania danych osobowych dziecka wnioskodawczyni, w związku z czym ich pozyskanie i dalsze przetwarzanie odbywało się bez podstawy prawnej z naruszeniem art. 6 ust. 1 RODO.
W ocenie Prezesa UODO działania przedsiębiorcy naruszyły ogólne zasady przetwarzania danych, w szczególności wyrażane w art. 5 ust. 1 lit. a oraz c RODO. Przedsiębiorca pozyskał dane osobowej od małoletniego dziecka niezgodnie z prawem i nierzetelnie. Dodatkowo przetwarzał dane nadmiarowe, zdaniem organu nieuzasadnione było zebranie danych w zakresie nazwiska, numeru telefonu oraz klasy, do której uczęszczała córka wnioskodawczyni w sytuacji chęci przedstawienia jej matce oferty kursów językowych dla jej dziecka. Prezes UODO wskazał, że w przedmiotowej sprawie administrator w sposób niezgodny z prawem pozyskał jakiekolwiek dane wnioskodawczyni i jej córki, wobec czego nie można uznać za zgodne z prawem dalszego przetwarzania danych w oparciu o prawnie uzasadniony interes administratora, a tym samym przetwarzanie danych, które nastąpiło [...] grudnia 2021 r. poprzez skontaktowanie się z wnioskodawczynią przedstawiciela przedsiębiorcy w celu zaprezentowania oferty kursów językowych było niezgodne z prawem i stanowiło naruszenie przepisu art. 6 ust. 1 lit. f RODO.
Prezes UODO stwierdził naruszenie obowiązku informacyjnego wynikającego z art. 14 RODO wobec wnioskodawczyni, jak również stwierdził naruszenie obowiązków informacyjnych wobec córki wnioskodawczyni, zarówno w zakresie art. 13 jak i art. 14 RODO. Przedsiębiorca wyjaśnił, że formularz, który wypełniła Z.Z. składał się z dwóch części i ta część, która zawierała klauzulę informacyjną 29 października 2021 r. została jej wręczona i następnie miała zostać przez dziecko przekazana rodzicowi, a tym samym w ten sposób miał zostać spełniony obowiązek informacyjny. Prezes UODO stoi na stanowisku, że powyższe działanie administratora stanowi niedopuszczalny sposób spełnienia obowiązku informacyjnego, to administrator musi być w stanie wykazać, że przetwarza dane osobowe zgodnie z prawem (art. 5 ust. 2 RODO).
Prezes UODO podniósł, że treść klauzuli informacyjnej odbiega od minimalnych wymogów wynikających z art. 14 ust. 1 RODO. W treści klauzuli zawarte zostały punkty dotyczące danych administratora, nierzetelnych podstaw prawnych oraz celu przetwarzania, odbiorców, czasu przetwarzania danych pozyskanych w oparciu o zgodę (do momentu wycofania zgody) oraz praw osoby, której dane dotyczą do sprostowania, usunięcia, ograniczenia, wniesienia sprzeciwu lub cofnięcia zgody na przetwarzanie oraz możliwości wniesienia skargi do organu nadzorczego. Jako cele przetwarzania danych przedsiębiorca wskazał w treści klauzuli cele marketingowe, w tym marketing bezpośredni, natomiast podstawy przetwarzania to art. 6 i art. 9 RODO. Prezes UODO zwrócił uwagę, że art. 9 RODO może być podstawą przetwarzania wyłącznie szczególnych kategorii danych osobowych, do których zalicza się pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby, które to z kolei dane administrator może przetwarzać wyłącznie w określonych w art. 9 ust. 2 przypadkach. Stwierdził, że cele marketingowe nie są w żadnym wypadku przesłanką wymienioną w przywołanym przepisie, co dowodzi nierzetelności przedsiębiorcy w przygotowaniu klauzuli informacyjnej, wprowadzającej osoby, których dane dotyczą, w błąd co do podstawy przetwarzania ich danych. Organ podniósł, że również brak dokładności we wskazaniu przez administratora konkretnej przesłanki z art. 6 ust. 1 RODO przesądza o negatywnej ocenie realizacji obowiązku informacyjnego przez Przedsiębiorcę. To do obowiązków administratora należy, by podmiot przetwarzania nie miał żadnych wątpliwości jakie jego dane, w jakim celu i na jakiej podstawie prawnej administrator przetwarza, natomiast przyjęta przez przedsiębiorcę konstrukcja klauzuli informacyjnej nie informuje precyzyjnie o podstawie przetwarzania danych, tj. które konkretnie okoliczności z art. 6 RODO zaszły, w oparciu o które przedsiębiorca dane przetwarza. Osoba, której dane dotyczą nie powinna znaleźć się w sytuacji, w której musiałaby się domyślać, na jakiej podstawie prawnej administrator przetwarza jej dane osobowe w określonej sytuacji, a w przedmiotowej sprawie do tego doszło. Dodatkowo przedsiębiorca zaniechał poinformowania w zakresie punktów wymienionych w art. 14 ust. 2 RODO. Ze względu na powyższe okoliczności, pomimo doręczenia przez przedsiębiorcę klauzuli informacyjnej [...] stycznia 2021 r., organ stwierdził, że obowiązek informacyjny nie został przez administratora zrealizowany, a tym samym doszło do naruszenia art. 14 RODO. Analogicznie doszło do naruszenia przez przedsiębiorcę obowiązków informacyjnych z art. 13 RODO na rzecz córki wnioskodawczyni, nie sposób ocenić czy zapoznała się ona z treścią klauzuli informacyjnej, którą miała przekazać rodzicowi, a nadto ze względu na wyżej opisane wady klauzuli organ nie mógł uznać, że obowiązek informacyjny wobec córki wnioskodawczyni został spełniony w sposób prawidłowy. Zgodnie z art. 12 ust. 1 RODO (zdanie pierwsze) administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka - udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14, oraz prowadzić z nią wszelką komunikację na mocy art. 15-22 i 34 w sprawie przetwarzania. Tym samy przedsiębiorca naruszył art. 13 ust. 1 RODO.
Prezes UODO stosownie do dyspozycji art. 58 ust. 2 RODO służącego przywróceniu stanu zgodnego z prawem w procesie przetwarzania danych, uznał, że w realiach niniejszej sprawy wystarczającym jest zastosowanie wobec przedsiębiorcy upomnień za stwierdzone naruszenie przepisów o ochronie danych osobowych, tj. art. 6 ust. 1 i art. 5 ust. 1 i 2 RODO, polegające na pozyskaniu i przetwarzaniu danych osobowych wnioskodawczyni oraz jej córki bez podstawy prawnej oraz naruszeń obowiązków informacyjnych z art. 14 RODO wobec wnioskodawczyni i z art. 13 RODO wobec jej córki.
D.K., prowadzący działalność gospodarczą pod firmą D. z siedzibą w K., reprezentowany przez adwokata, w skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie na decyzję Prezesa UODO z dnia [...] maja 2023 r. nr [...], wniósł o uchylenie zaskarżonej decyzji w całości i zasądzenie na rzecz skarżącego kosztów postępowania. Pełnomocnik zarzucił:
- naruszenie art. 7 k.p.a. (niepodjęcie niezbędnych czynności w celu wyjaśnienia stanu faktycznego, zgodnego z zasadą prawdy obiektywnej) oraz art. 75 i 77 k.p.a. (zgromadzenie materiału dowodowego i jego rozpatrzenie w niepełnym zakresie, w sytuacji, gdy przepisy nakazują poczynienie ich w sposób wyczerpujący) w tym w szczególności
- wadliwe uznanie, iż dane osobowe w rozumieniu art. 4 ust. 1 RODO stanowi numer telefonu opiekuna prawnego uzyskany w celu ustalenia czy wyraża on zgodę na przedstawienie nieodpłatnej informacji dziecku online o kursach zlecającego oraz przeprowadzanie przykładowej próbnej lekcji,
- wadliwe uznanie, iż skarżący nie oferował bezpośrednio dziecku usług społeczeństwa informacyjnego, podczas gdy usługi społeczeństwa informacyjnego oferowane przez przedsiębiorcę bezpośrednio dziecku polegają na nauce języka obcego za pośrednictwem sieci Internet (interaktywnej platformy e-learningowej), w tym na przeprowadzeniu próbnej lekcji demonstracyjnej poprzez stronę internetową [...]. Przedmiotowa usługa stanowi usługę społeczeństwa informacyjnego w rozumieniu art. 1 ust. 1 lit. b dyrektywy Parlamentu Europejskiego i Rady UE 2015/153,
- błędne uznanie, iż skarżący wręczył córce wnioskodawczyni formularz kontaktowy z nadrukowaną nazwą szkoły, podczas gdy małoletnia wypełniała pusty formularz zawierający jedynie imię, numer telefonu rodzica oraz klasę (w celu weryfikacji wieku a nie identyfikacji osoby). Nazwa szkoły została naniesiona na skan formularza po zgłoszeniu skargi i przekazaniu informacji o szkole przez przedstawiciela ustawowego,
- wadliwe uznanie przez organ, iż skarżący przetwarzał dane nadmiarowe, podczas gdy konstrukcja samego formularza wymaga podania imienia i numeru telefonu przedstawiciela ustawowego oraz klasy w celu weryfikacji kryterium wieku. Nazwa szkoły została wskazana w dalszej korespondencji przez przedstawiciela ustawowego a nazwisko zostało nadmiarowo wskazane przez samą małoletnią i nie było przez skarżącego przetwarzane,
- wadliwe uznanie przez organ, iż obowiązek informacyjny, nie został spełniony poprzez przekazanie małoletniej klauzuli informacyjnej na piśmie, podczas gdy skarżący nie przetwarzał danych osobowych opiekuna prawnego (jedynie telefon kontaktowy) i nie miał możliwości technicznych przekazania klauzuli w innej formie, poza telefoniczną, która stanowiła podstawę skargi,
- wadliwe uznanie, iż klauzula informacyjna nie została sformułowana w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem, podczas gdy klauzula informacyjna zawierała wymagane prawem informacje przedstawione komunikatywnym językiem, a cel został wyraźnie określony, jako przedstawienie bezpłatnej informacji o kursach [...],
- niewskazanie w treści decyzji w jakim zakresie doszło do naruszenia przez skarżącego art.13 RODO w stosunku do dziecka,
- błędne uznanie, iż skarżący naruszył treść art. 14 RODO (obowiązek informacyjny w przypadku uzyskania danych osobowych w sposób inny niż od osoby, której dotyczą), podczas gdy skarżący od dziecka nie pozyskał żadnych danych osobowych a jedynie numer telefonu opiekuna prawnego uzyskany w celu ustalenia czy wyraża on zgodę na przedstawienie nieodpłatnej informacji dziecku online o kursach zlecającego oraz przeprowadzanie przykładowej próbnej lekcji,
- naruszenie art. 17 k.c. poprzez błędną jego wykładnię i uznanie, iż zgoda przedstawiciela ustawowego jest wymagana w zakresie przetwarzania danych osobowych osób o ograniczonej zdolności do czynności prawnych.
Skarżący w uzasadnieniu stwierdził, że Prezes UODO błędnie uznaje sam numer telefonu za dane osobowe w rozumieniu art.4 ust. 1 RODO. Przedmiotowa informacja (dane kontaktowe) została uzyskana nie w celu identyfikacji osoby, a na podstawie art. 6 ust. 1 a i f RODO w zw. z art.8 RODO, w celu ustalenia czy przedstawiciel ustawowy dziecka wyrażającego wolę nauki języka obcego online, które ukończyło 13 lat a nie ukończyło 16 lat wyraża zgodę na przedstawienie nieodpłatnej informacji dziecku online o kursach zlecającego oraz przeprowadzanie przykładowej próbnej lekcji. W przedmiotowym przypadku znajduje zastosowanie art. 9 ust. 2 pkt e RODO, bowiem przedmiotowe dane zostały w sposób oczywisty upublicznione przez opiekuna prawnego dziecka.
Skarżący powołując się na poglądy prezentowane w doktrynie (dr adw. Paweł Litwiński, r.pr. Paweł Barta i dr adw. Maciej Kawecki w Komentarzu do Rozporządzenia UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych - Wydawnictwo C.H.Beck Warszawa 2018) wskazał, że "Nie można zgodzić się ze stanowiskiem zajętym przez GIODO w uzasadnieniu decyzji z 22.01.2008 r. (DIS-DEC0150-42/1511, 1515, 1520/08/08 niepubl.), w którym uznając za dane osobowe m.in. numer telefonu odniósł pojęcie możliwości zidentyfikowania do bezpośredniego kontaktu z osobą fizyczną (w wykorzystaniem numeru telefonu). Uzasadnienie tego stanowiska przez GIODO budzi poważne wątpliwości, gdyż stwierdza on w decyzji, że choć dane te (numer telefonu i imię) nie określają bezpośrednio tożsamości osób fizycznych, to umożliwiają one określenie tożsamości przez bezpośredni kontakt z tą osobą. Zdaniem autorów, powyższe założenia nie znajdują oparcia w treści (...) komentowanego przepisu. (...) Możliwość identyfikowania osoby fizycznej - jak już wskazano - należy, zdaniem autorów, odnosić do określenia tożsamości konkretnej osoby fizycznej na podstawie posiadanych lub ewentualnie możliwych do uzyskania informacji. Nie można natomiast odnosić tego pojęcia do podejmowania działań zmierzających dopiero do ustalenia (uzyskania) informacji, które mogą stanowić dane osobowe (identyfikować konkretną osobę fizyczną).
Skarżący wyjaśnił, że usługi społeczeństwa informacyjnego oferowane przez przedsiębiorcę bezpośrednio dziecku polegają na nauce języka obcego za pośrednictwem sieci Internet (interaktywnej platformy elearningowej), w tym na przeprowadzeniu próbnej lekcji demonstracyjnej poprzez stronę internetową [...]. Przedmiotowa usługa stanowi usługę społeczeństwa informacyjnego w rozumieniu art. 1 ust.1 lit. b dyrektywy Parlamentu Europejskiego i Rady UE 2015/153. Zgodnie z treścią formularza dziecko wyraża wolę przedstawienia mu nieodpłatnej informacji o kursach językowych. Przedmiotowa informacja udzielana jest online i obejmuje również przeprowadzenie przykładowej nieodpłatnej próbnej lekcji, w której udział bierze dziecko, a nie jego opiekun prawny.
Skarżący odwołując się do poglądów prezentowanych w doktruynie (tak: dr adw. Paweł Litwiński, r.pr. Paweł Barta i dr adw. Maciej Kawecki w Komentarzu do Rozporządzenia UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przejawem takich danych - Wydawnictwo C.H.Beck Warszawa 2018) podniósł, że zdaniem autorów "usługi społeczeństwa informacyjnego" oznacza usługę w rozumieniu art. 1 ust. 1 lit. B dyrektywy Parlamentu Europejskiego i Rady UE 2015/1535. Chodzi więc o każdą usługę, normalnie świadczoną za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług. Zatem przedstawienie nieodpłatnej informacji o kursach i przeprowadzenie próbnej lekcji dziecka online stanowi usługę społeczeństwa informacyjnego i wymaga uzyskania zgody przedstawiciela ustawowego.
Skarżący wyjaśnił, że do akt sprawy dołączony został zarówno oryginalny wzór formularza zawierający klauzulę informacyjną, jak i skan formularza wypełnionego przez małoletnią, na który po zgłoszeniu sprzeciwu i żądaniu jego przesłania naniesiono oznaczenie skrótowe szkoły, gdzie został pozyskany. Małoletnia wypełniła pusty formularz zawierający jedynie imię, numer telefonu rodzica oraz klasę (w celu weryfikacji wieku a nie identyfikacji osoby). Nazwa szkoły została naniesiona na skan formularza po zgłoszeniu skargi i przekazaniu informacji o szkole przez przedstawiciela ustawowego. Wobec powyższego oraz wskazania nazwiska przez samą małoletnią, nie można uznać, że danych w takim zakresie za nadmiarowe. Ponadto skarżący nie przetwarzał danych osobowych opiekuna prawnego (jedynie telefon kontaktowy) uzyskany zgodnie z procedurą wskazaną w treści art. 8 RODO. Odwołując się do treści art. 8 ust. 2 RODO skarżący wskazał, że rozsądne działania w tym zakresie polegają na podjęciu kontaktu z przedstawicielem ustawowym dziecka i ustaleniu czy wyraża zgodę na przedstawienie dziecku informacji o kursach i przeprowadzeniu lekcji próbnej za pośrednictwem sieci Internet. Skarżący podniósł, że wobec braku przetwarzania danych osobowych opiekuna prawnego, art. 14 RODO nie znajduje zastosowania w niniejszej sprawie. Skarżący dodał, że nie miał możliwości technicznych przekazania klauzuli informacyjnej dziecku na nośniku papierowym a przedstawicielowi ustawowemu wyłącznie telefonicznie. W zakresie przekazanych informacji telefonicznie przedstawiciel ustawowy zgłosił sprzeciw dotyczący przetwarzania w/w danych.
Skarżący mając na względzie art. 12, 15 i 17 k.c. wskazał, że reguła podstawowa, wynikająca z art. 17 k.c., dotyczy jedynie czynności, przez które osoba ograniczona w zdolności do czynności prawnych zaciąga zobowiązanie lub rozporządza swoim prawem. Inne czynności nic wymagają zgody przedstawiciela ustawowego i mogą być dokonywane samodzielnie (por. uchw. SN z 13.12.1994 r., III CZP 159/94, OSNC 1995, Nr 3, poz. 53). Dane osobowe stanowią dobra osobiste człowieka, które podlegają ochronie zgodnie z art. 23 k.c. Dobra osobiste człowieka, jak w szczególności zdrowie, wolność, cześć, swoboda sumienia, nazwisko lub pseudonim, wizerunek, tajemnica korespondencji, nietykalność mieszkania, twórczość naukowa, artystyczna, wynalazcza i racjonalizatorska, pozostają pod ochroną prawa cywilnego niezależnie od ochrony przewidzianej w innych przepisach. Ponieważ dane osobowe jako dobra osobiste są ściśle związane z osobą, decyzje ich dotyczące podejmowane winny być przez osobę ograniczoną w zdolności do czynności prawnych samodzielnie. Skarżący wymienił przykładowe czynności, które nie mieszczą się w hipotezie art. 17 k.c.
Prezes UODO w odpowiedzi na skargę wniósł o jej oddalenie podtrzymując dotychczasowe stanowisko. W uzasadnieniu odniósł się do poszczególnych zarzutów skargi wskazując na ich niezasadność. Dodał m.in., że z oświadczenia z [...].10.2021 r. P.B. - pracownika przedsiębiorcy, wynika, że już w dniu zbierania formularzy z danymi kontaktowymi przedsiębiorca wiedział od dzieci, z której szkoły formularze te pochodzą cyt.: "wszystkie osoby z klasy [...] w [...] w S., które wypełniły w dniu [...].10.2021 r. formularze (prośby o pełną bezpłatną informację o kursach) (..)". W ocenie organu dla przedstawienia oferty kursu językowego przedsiębiorca nie musiał wiedzieć do jakiej szkoły uczęszcza dziecko. Istotne było określenie klasy ze względu na przypisanie kategorii wiekowej kursu, natomiast nazwa szkoły była w tym zakresie zbędna. Prezes UODO zaznaczył również, że w przypadku osób niepełnoletnich zgodę na przetwarzanie jej danych osobowych wyraża rodzic lub opiekun prawny (art. 92 § 1, art. 97 § 1 ustawy z dnia 25 lutego 1964 r. Kodeks rodzinny i opiekuńczy (Dz. U. z 2020 r., poz. 1359)). Organ wniósł o rozpoznanie sprawy w trybie uproszczonym na posiedzeniu niejawnym na podstawie art. 119 pkt 2 ustawy – Prawo o postępowaniu przed sądami administracyjnymi.
Pełnomocnik skarżącego w piśmie z dnia [...] października 2023 r. wniósł o rozpoznanie sprawy w trybie uproszczonym na posiedzeniu niejawnym.
Uczestnik postępowania E.Z. działająca w imieniu własnym i jako przedstawiciel ustawowy nie zażądała przeprowadzenia rozprawy (odpowiedź na skargę wraz z wnioskiem o ustosunkowanie się do żądania organu skierowania sprawy do rozpoznania w trybie uproszczonym) doręczono [...] listopada 2023 r.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (t.j. Dz. U. z 2022 r., poz. 2492), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.
W świetle powołanych przepisów, Wojewódzki Sąd Administracyjny w Warszawie, w zakresie swojej właściwości, ocenia zaskarżoną decyzję administracyjną, postanowienie, czy też inny akt lub czynność z zakresu administracji publicznej dotyczącą uprawnień lub obowiązków wynikających z przepisów prawa, z punktu widzenia ich zgodności z prawem materialnym i przepisami postępowania administracyjnego, według stanu faktycznego i prawnego obowiązującego w dacie wydania tego aktu lub podjęcia spornej czynności. Chodzi więc o kontrolę aktów lub czynności z zakresu administracji publicznej dokonywaną wyłącznie pod względem ich zgodności z prawem materialnym i przepisami procesowymi, nie zaś według kryteriów słuszności, czy też zgodności z zasadami współżycia społecznego.
Sprawa rozpoznana została w trybie uproszczonym. Zgodnie z art. 119 pkt 2 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi Dz. U. z 2023 r., poz. 1634 ze zm.), zwanej dalej p.p.s.a., sprawa może być rozpoznana w trybie uproszczonym, jeżeli strona zgłosi wniosek o skierowanie sprawy do rozpoznania w trybie uproszczonym, a żadna z pozostałych stron w terminie czternastu dni od zawiadomienia o złożeniu wniosku nie zażąda przeprowadzenia rozprawy.
Stosownie do treści art. 134 § 1 p.p.s.a., sąd rozstrzyga w granicach danej sprawy nie będąc związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną. Sąd nie może wydać orzeczenia na niekorzyść skarżącego, chyba że stwierdzi naruszenie prawa skutkujące stwierdzeniem nieważności zaskarżonego aktu lub czynności (§ 2).
Skarga oceniana w świetle powyższych kryteriów nie podlegała uwzględnieniu.
W sprawie tej Sąd dokonując oceny legalności zaskarżonej decyzji Prezesa UODO, zobowiązany był – co do zasady – zbadać jej zgodność przede wszystkim z przepisami prawa europejskiego, w tym w szczególności z regulacjami RODO.
W ocenie Sądu, analizowana pod tym kątem skarga nie zasługuje na uwzględnienie, albowiem zaskarżona decyzja Prezesa UODO z dnia [...] maja 2023 r. – nie narusza obowiązujących przepisów prawa. Sąd uznał, że Prezes UODO, wydając zaskarżoną decyzję nie dopuścił się naruszenia zarówno wiążących Polskę przepisów prawa europejskiego, jak i regulacji prawa krajowego, w tym k.p.a., w stopniu mającym istotny wpływ na końcowy wynik sprawy zakończonej wydaniem zaskarżonej decyzji.
Prezes Urzędu Ochrony Danych Osobowych jest organem właściwym w sprawie ochrony danych osobowych (art. 34 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych) i jednocześnie organem nadzorczym, w rozumieniu RODO (art. 34 ust. 2 u.o.d.o.).
Jak stanowi art. 57 ust. 1 lit. a i lit. f RODO, bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia, a także rozpatruje skargi wniesione przez osobę, której dane dotyczą.
W wyniku przeprowadzonej analizy stanowiska Prezesa UODO przedstawionego w uzasadnieniu zaskarżonej decyzji, Sąd stwierdził, że - wbrew zarzutom skargi – organ ochrony danych osobowych, wydając zaskarżoną decyzję, nie dopuścił się - mogącego mieć wpływ na wynik sprawy - naruszenia przepisów procedury administracyjnej, a w szczególności art. 7 k.p.a., art. 75 k.p.a., art. 77 § 1 k.p.a., których naruszenie skarżący zarzuca, ale także innych przepisów procedury administracyjnej, w tym. art. 80 k.p.a., czy art. 107 § 3 k.p.a., albowiem organ wyjaśnił wszystkie okoliczności istotne dla prawidłowego i pełnego rozstrzygnięcia niniejszej sprawy, w granicach prowadzonego postępowania, wyznaczonych skargą uczestniczki niniejszego postępowania. Prezes UODO dokonał także zdaniem Sądu właściwej oceny zebranego w sprawie materiału dowodowego, dokonując tej oceny w kontekście prawidłowo zastosowanych przepisów RODO.
W działaniach Prezesa Urzędu Ochrony Danych Osobowych, jako organu administracji publicznej, w tej sprawie Sąd nie stwierdził jakichkolwiek istotnych nieprawidłowości, zarówno w zakresie dokonanych ustaleń stanu faktycznego, jak i zastosowania do jego oceny przepisów prawa materialnego. Uzasadnienie zaskarżonej decyzji odpowiada wymogom art. 107 § 3 k.p.a., Prezes UODO wyjaśnił klarownie motywy podjętego rozstrzygnięcia i powody, jakie legły u jego podstaw. Argumentacja organu jest w tym zakresie wyczerpująca i wyjaśnia dlaczego zapadło takie a nie inne rozstrzygnięcie.
Zarówno RODO, jak i ustawa o ochronie danych osobowych nie regulują kwestii postępowania dowodowego i powinności organu nadzorczego związanych z czynieniem ustaleń faktycznych. W związku z tym zastosowanie w tym zakresie znajdują reguły i zasady określone w k.p.a. Dowodami w postępowaniu mogą być w szczególności dokumenty oraz zeznania świadków, ale także opinie biegłych, czy też oględziny (art. 75 § 1 k.p.a.). Podkreślenia w świetle powyższego wymaga, że celem postępowania administracyjnego jest rozstrzygnięcie sprawy administracyjnej dotyczącej konkretnej osoby (podmiotu danych). Jednym ze stadiów postępowania jest stadium wyjaśniające - pozwalające ustalić dokładny stan faktyczny w danej sprawie. W wyniku postępowania wyjaśniającego organ administracji publicznej ma dojść do wskazanej w art. 7 k.p.a. prawdy obiektywnej, co czyni za pomocą środków dowodowych. W ocenie Sądu zastosowane przez Prezesa UODO w tej sprawie postępowanie wyjaśniające było wystarczającym środkiem do dokonania niezbędnych ustaleń faktycznych. Prezes UODO, przeprowadzając postępowanie wyjaśniające, uzyskał stosowne wyjaśnienia od skarżącego oraz wnioskującej do Prezesa UODO o podjęcie działań w sprawie ochrony jej danych osobowych i danych osobowych dziecka wnioskodawczyni.
W ocenie Sądu materiał dowodowy potwierdza, że [...] października 2021 r. podczas lekcji córka wnioskodawczyni otrzymała formularz sporządzony przez skarżącego. Wypełnienie tego formularza miało na celu pozyskanie przez skarżącego informacji o osobach i ich danych do kontaktu telefonicznego, którym można było w późniejszym terminie przedstawić ofertę kursów językowych. Z kopii formularza załączonej do akt sprawy wynika, że znajdowała się na nim adnotacja o treści "[...]", wskazująca szkołę, dla której jest przeznaczony. Formularz zawierał rubryki do wypełnienia przez ucznia, poprzez podanie imienia, klasy, numeru telefonu ucznia i numeru telefonu do rodzica. W sprawie jest bezsporne, że córka wnioskodawczyni po otrzymaniu od nauczyciela formularza podała ww. dane oraz dodatkowo wpisała swoje nazwisko. W treści formularza zawarte zostało również oświadczenie: "wyrażam zgodę na przetwarzanie danych osobowych w celu przekazywania mi informacji o kursach "[...]" zgodnie z art. 6 oraz art. 9 RODO", które zostało podpisane przez ucznia – córkę wnioskodawczyni.
Skarżący w toku postępowania przed organem wyjaśnił (wyjaśnienia z dnia [...] stycznia 2023 r.), że przetwarzał dane w zakresie imienia córki wnioskodawczyni, numeru telefonu wnioskodawczyni, klasy, do której córka wnioskodawczyni chodziła. Skarżący jako podstawę przetwarzania wskazał art. 6 ust. 1 lit. a i f RODO w zw. z art. 8 RODO. Jako cel pozyskania danych skarżący wskazał organowi potrzebę ustalenia, czy przedstawiciel ustawowy dziecka wyrażającego wolę nauki języka obcego, które ukończyło 13 lat a nie ukończyło 16 wyraża zgodę na przedstawienie oferty kursu językowego.
Zatem, choć skarżący nie wskazuje, że przetwarzał nazwisko córki wnioskodawczyni, w sprawie jest bezsporne, że i ta dana osobowa była przez skarżącego przetwarzana. Nie ma znaczenia, że formularz nie zawierał rubryki do wypełnienia nazwiska. Nazwisko to zostało przez córkę skarżącej wpisane do formularza, na którym pozyskano dane osobowe. Organ prawidłowo ustalił zatem w toku postępowania, że skarżący przetwarzał dane w zakresie imienia i nazwiska córki wnioskodawczyni, numeru telefonu wnioskodawczyni, klasy, do której córka wnioskodawczyni chodziła i szkoły. Okoliczność, że nazwa szkoły została naniesiona na formularz przez skarżącego po zgłoszeniu sprzeciwu przez wnioskodawczynię nie zmienia tego, że była przetwarzana w rozumieniu RODO. W sprawie jest bezsporne, że dziecko wnioskodawczyni podpisało zgodę na przetwarzanie danych osobowych. Jest też bezsporne, że [...] grudnia 2021 r. do wnioskodawczyni zadzwonił przedstawiciel skarżącego w celu przedstawienia oferty zajęć językowych. Wnioskodawczyni zakwestionowała podstawy prawne przetwarzania danych osobowych jej oraz jej córki oraz podniosła niewypełnienie wobec niej obowiązku informacyjnego z art. 14 RODO (pismo wnioskodawczyni [...] grudnia 2022 r.). Skarżący podniósł w toku postępowania, że po zgłoszeniu sprzeciwu przez wnioskodawczynię zaprzestał przetwarzania danych osobowych, zachowując kopię zgłoszenia dziecka w oparciu o art. 9 ust. 2 pkt f RODO (w związku ze zgłoszeniem przez wnioskodawczynię roszczenia o wypłatę zadośćuczynienia).
Skarżący w toku postępowania wyjaśnił, że wypełnił wobec wnioskodawczyni obowiązek informacyjny poprzez przekazanie za pośrednictwem jej córki [...] października 2021 r. część formularza zawierającego informacje o przetwarzaniu danych osobowych (informacja wręczona dziecku przez pracownika skarżącego). Jak wskazał, informacja ta została przekazana wnioskodawczyni także listem poleconym (pismo skarżącego z [...] lutego 2023 r.).
W ocenie Sądu wszystkie dokonane w decyzji ustalenia faktyczne były prawidłowe, organ przeprowadził wyczerpujące i wystarczające do dokonania niezbędnych ustaleń postepowanie wyjaśniające, ustalił w sposób jednoznaczny stan faktyczny sprawy (art. 7 k.p.a.). Jak wskazano już wyżej, okoliczność, że formularz, który wypełniła córka wnioskodawczyni nie zawierał pierwotnie nazwy szkoły nie zmienia tego, że nazwa szkoły została naniesiona, a zatem skarżący dysponował ta daną.
Na gruncie dokonanych ustaleń faktycznych prawidłowo Prezes UODO stwierdził, że dane osobowe, o których mowa w punkcie 1 rozstrzygnięcia decyzji przetwarzane były bez podstawy prawnej. Na wstępie wyjaśnić jednak należy – odnosząc się do zarzutów skargi – że zgodnie z art. 4 pkt 1 RODO, dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Z motywu 26 RODO wynika, że zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Pseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej. Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. [...] Rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych.
W sprawie nie ma zdaniem Sądu wątpliwości, że wszystkie dane, które przetwarzał skarżący stanowią dane osobowe i nie tylko pozwalały na zidentyfikowanie osoby fizycznej, ale wprost dotyczyły zidentyfikowanej osoby fizycznej. Pamiętać należy bowiem, że dziecko wnioskodawczyni przekazało skarżącemu na formularzu, poza swoim imieniem, także nazwisko. Dysponowanie wszystkimi danymi, które skarżący pozyskał od dziecka wnioskodawczyni pozwalało bezspornie na bezpośrednie zidentyfikowanie osoby fizycznej.
Podkreślenia wymaga przy tym, że zidentyfikowanie osoby fizycznej nie musi polegać na określeniu jej imienia i nazwiska, a wystarczające jest oznaczenie danej osoby w sposób umożliwiający wywieranie na nią określonego wpływu (zob. Opinia Grupy Roboczej z 20 czerwca 2007 r. nr 4/2007; str. 14; zob. też D. Lubasz [w:] Ochrona Danych Osobowych [red.] D. Lubasz, Warszawa 2020 r., str. 81). Nie chodzi zatem o możliwość odniesienia konkretnej informacji do konkretnej osoby, lecz o możliwość wskazania danej osoby, rozumianego jako faktyczne wyodrębnienie jej spośród innych osób (zob. P. Litwiński [w:] Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, Komentarz [red.] P. Litwiński, Warszawa 2018 r., str. 181). Numer telefonu osoby fizycznej stanowi zatem punkt kontaktowy, ponieważ umożliwia osobie trzeciej podjęcie inicjatywy kontaktu z osobą fizyczną, a w konsekwencji wywierania na nią określonego wpływu. Numer telefonu osoby fizycznej stanowi niepowtarzalną kombinację cyfr, która jest do tej osoby przypisana i odróżnia ją, po pierwsze od osób niekorzystających z usługi telekomunikacyjnej (połączeń telefonicznych), a po drugie, korzystających z innych numerów telefonów (v. wyrok WSA w Warszawie z dnia 30 grudnia 2022 r. sygn. akt II SA/Wa 884/22).
Taką możliwość daje numer telefonu osoby fizycznej, także wtedy gdy podmiot, który jest w jego posiadaniu, nie dysponuje innymi danymi identyfikującymi tę osobę lub rozsądnie prawdopodobnym do wykorzystania sposobem uzyskania takich danych.
Zatem, w ocenie Sądu rozpoznającego niniejszą sprawę, także sam numer telefonu (tj. jako pojedyncza dana, informacja) stanowi daną osobową w rozumieniu RODO, albowiem pozwala zidentyfikować osobę fizyczną bezpośrednio lub pośrednio. W świetle powyższego, za nietrafny Sąd uznał zarzut skargi dotyczący wadliwego uznania, że numer telefonu wnioskodawczyni (uzyskany od jej córki, w tym przypadku w powiązaniu z innymi danymi osobowymi, którymi dysponował skarżący, tj. imieniem i nazwiskiem córki wnioskodawczyni, informacją o klasie i szkole) pozyskany, jak wskazywał skarżący w celu ustalenia, czy przedstawiciel ustawowy wyraża zgodę na przedstawienie nieodpłatnej informacji dziecku online o kursach, stanowi daną osobową.
Stosownie do art. 4 pkt 2 RODO, przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Prawidłowo, w stanie faktycznym tej sprawy Prezes UODO stwierdził, że dane , o których mowa w punkcie 1 rozstrzygnięcia decyzji przetwarzane były bez podstawy prawnej, co naruszało art. 6 i art. 5 RODO.
Zgodnie z art. 6 ust. 1 RODO, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
Bezsporne jest, że w sprawie nie została spełniona w szczególności przesłanka z art. 6 ust. 1 lit. a RODO. Definicja zgody zawarta została w art. 4 pkt. 11 RODO i oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Z art. 8 RODO, na który również powołał się skarżący, wynika, że jeżeli zastosowanie ma art. 6 ust. 1 lit. a RODO, w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku, zgodne z prawem jest przetwarzanie danych osobowych dziecka, które ukończyło 16 lat. Jeżeli dziecko nie ukończyło 16 lat, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała ją osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody. Państwa członkowskie mogą przewidzieć w swoim prawie niższą granicę wiekową, która musi wynosić co najmniej 13 lat.
Prezes UODO prawidłowo ustalił, że córka wnioskodawczyni w chwili wyrażenia zgody na przetwarzanie danych, tj. [...] października 2021 r. nie miała ukończonych 16 lat, i trafnie w związku z tym stwierdził, że nie została spełniona przesłanka kryterium wieku określonego w przywołanym przepisie. Oznacza to, że dziecko (córka wnioskodawczyni) nie mogło samodzielnie wyrazić zgody na przetwarzanie swoich danych osobowych, a tym bardziej nie mogło wyrazić zgody na przetwarzanie danych osobowych swojego rodzica. Sąd w pełni podziela ustalenie, że skarżący pozyskał dane osobowe wnioskodawczyni i jej dziecka niezgodnie z RODO. Nie jest zrozumiały zarzut naruszenia art. 17 k.c. poprzez uznanie, ze "zgoda przedstawiciela ustawowego jest wymagana w zakresie przetwarzania danych osobowych osób o ograniczonej zdolności do czynności prawnych". Zgodnie z art. 17 k.c., z zastrzeżeniem wyjątków w ustawie przewidzianych, do ważności czynności prawnej, przez którą osoba ograniczona w zdolności do czynności prawnych zaciąga zobowiązanie lub rozporządza swoim prawem, potrzebna jest zgoda jej przedstawiciela ustawowego. Skarżący nie wskazał jakie zobowiązanie, czy rozporządzanie prawem ma na myśli. W sprawie ustalone zostało jednoznacznie, że skarżący dążył do przedstawienia wnioskodawczyni oferty kursu językowego, a zatem chodziło o marketing bezpośredni (wynika to nawet z wyjaśnień samego skarżącego z [...] stycznia 2023 r. złożonych w postępowaniu przed organem).
Przedmiotem oceny organu do spraw ochrony danych osobowych jest zgodność z prawem przetwarzania danych osobowych wnioskodawczyni i jej dziecka. Podkreślenia wymaga, że na gruncie RODO – poza przypadkiem określonym w art. 8, który w tej sprawie nie zachodzi, co wykazano już wyżej – nie ma możliwości, aby osoba niepełnoletnia mogła wyrazić zgodę na przetwarzanie danych osobowych swoich, czy rodzica.
W przypadku osób niepełnoletnich zgodę na przetwarzanie jej danych osobowych wyraża rodzic lub opiekun prawny (art. 92 § 1, art. 97 § 1 ustawy z dnia 25 lutego 1964 r. Kodeks rodzinny i opiekuńczy (Dz. U. z 2020 r., poz. 1359)). Zgodą taką skarżący nie dysponował. Sąd podziela też twierdzenie organu, że świadczenie nauki języka obcego za pośrednictwem platformy e-learningowej może być ujmowane jako usługa społeczeństwa informacyjnego w rozumieniu art. 1 ust. 1 lit. b dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/1535, jednakże takiej usługi nie stanowi pozyskanie danych osobowych w celu przedłożenia oferty kursów językowych. Nadto, nie może być mowy o usłudze społeczeństwa informacyjnego gdy mowa o działaniu w celu marketingowym (v. treść klauzuli informacyjnej, zamieszczonej w części formularza przeznaczonego do wiadomości rodziców, z której wynika, że dane osobowe przetwarzane są w celach marketingowych, w tym marketingu bezpośredniego). W sprawie bezsporne jest nadto, że dziecko wnioskodawczyni nie miało ukończonych 16 lat, a zatem nie może być mowy o naruszeniu przez organ art. 8 RODO. Nadto, w celu przedstawienia oferty kursów, na co w postępowaniu powoływał się skarżący, nie było potrzeby przetwarzania danych dziecka.
W świetle powyższego, stwierdzić należy, że dane wnioskodawczyni i jej dziecka pozyskane zostały niezgodnie z prawem, co wykazano już wyżej (przesłanka zgody nie została spełniona). Nie mogło być tym samym podstaw do dalszego przetwarzania na podstawie powoływanego przez skarżącego art. 6 ust. 1 lit. f RODO. Zgodnie z tym przepisem, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków: przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Skoro dane pozyskano niezgodnie z prawem, to nie było możliwości podjęcia kontaktu z wnioskodawczynią w celu zaprezentowania oferty kursów. Przesłanka z art. 6 ust. 1 lit f RODO nie została spełniona. W sprawie nie może być mowy o prawnie uzasadnionym interesie skarżącego w sytuacji naruszenia praw osoby fizycznej. Prawidłowo w świetle powyższego Prezes UODO powiązał zarzut naruszenia art. 6 ust. 1 RODO z art. 5 ust. 1 RODO, który określa zasady przetwarzania danych osobowych. Zgodnie z drugim z powołanych przepisów, dane osobowe muszą być m.in. : a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ("zgodność z prawem, rzetelność i przejrzystość") i c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane ("minimalizacja danych"). Bezspornie dla przedstawienia oferty kursów językowych nie było niezbędne zbieranie nazwiska, numeru telefonu, czy klasy, do której uczęszczała córka wnioskodawczyni. Sąd podziela stwierdzenie Prezesa UODO, że dla realizacji takiego celu można było wręczyć ulotkę informacyjną z danymi podmiotu oferującego kursy, co umożliwiłoby zainteresowanym rodzicom podjęcie kontaktu z oferującym naukę języka.
Odnosząc się do wypełnienia obowiązku informacyjnego wskazania wymaga na wstępie, że skoro źródłem pozyskania danych osobowych było małoletnie dziecko, córka wnioskodawczyni, która ze względu na wiek nie mogła dysponować samodzielnie – ze względu na wiek – ani swoimi danymi osobowymi, ani tym bardziej udostępnić danych osobowych rodzica, to jednoznacznie stwierdzić należy, że nie można uznać za prawidłowe wypełnienie obowiązku informacyjnego wykorzystanie dziecka w roli pośrednika doręczającego klauzulę informacyjną rodzicowi. Sąd w pełni podziela ustalenia Prezesa UODO również we wskazanym zakresie. Nie jest dopuszczalne realizowanie obowiązków administratora poprzez przerzucenie ich na małoletniego. Podkreślenia wymaga przy tym, że zgodnie z motywem 38 RODO, szczególnej ochrony danych osobowych wymagają dzieci, gdyż mogą one być mniej świadome ryzyka, konsekwencji, zabezpieczeń i praw przysługujących im w związku z przetwarzaniem danych osobowych. Taka szczególna ochrona powinna mieć zastosowanie przede wszystkim do wykorzystywania danych osobowych dzieci do celów marketingowych lub do tworzenia profili osobowych lub profili użytkownika oraz do zbierania danych osobowych dotyczących dzieci, gdy korzystają one z usług skierowanych bezpośrednio do nich. Zgoda osoby sprawującej władzę rodzicielską lub opiekę nie powinna być konieczna w przypadku usług profilaktycznych lub doradczych oferowanych bezpośrednio dziecku. Tym bardziej nie jest zrozumiałe i dopuszczalne uczynienie z dziecka pośrednika w wypełnieniu jednego z obowiązków administratora.
Nie jest zasadny zarzut naruszenia przez organ art. 13 i art. 14 RODO, a zatem wypełnienia obowiązku informacyjnego. Trafnie organ stwierdził, że pomimo dostarczenia przez skarżącego wnioskodawczyni w dniu [...] stycznia 2021 r. treści klauzuli informacyjnej, nie można przyjąć, że obowiązek został prawidłowo wypełniony.
Zgodnie z art. 14 ust. 1 lit. c RODO, jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator podaje osobie, której dane dotyczą, następujące informacje: m.in. podstawę prawną przetwarzania, lit. d) kategorie odnośnych danych osobowych. Stosownie zaś do art. 14 ust. 2 RODO, poza informacjami, o których mowa w ust. 1, administrator podaje osobie, której dane dotyczą, następujące informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania wobec osoby, której dane dotyczą: a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu; b) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) - prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią; c) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych; d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) - informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem; e) informacje o prawie wniesienia skargi do organu nadzorczego; f) źródło pochodzenia danych osobowych, a gdy ma to zastosowanie - czy pochodzą one ze źródeł publicznie dostępnych; g) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz - przynajmniej w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Za trafne Sąd uznał ustalenia organu, że treść klauzuli informacyjnej nie spełnia minimalnych wymogów z art. 14 ust. 1 RODO. W treści klauzuli zawarte zostały punkty dotyczące danych administratora, nierzetelnych podstaw prawnych oraz celu przetwarzania, odbiorców, czasu przetwarzania danych pozyskanych w oparciu o zgodę (do momentu wycofania zgody) oraz praw osoby, której dane dotyczą do sprostowania, usunięcia, ograniczenia, wniesienia sprzeciwu lub cofnięcia zgody na przewarzanie oraz możliwości wniesienia skargi do organu nadzorczego. Jako cele przetwarzania danych wskazano cele marketingowe, w tym marketing bezpośredni, natomiast wskazane podstawy przetwarzania to art. 6 i art. 9 RODO.
Podkreślenia wymaga, że art. 9 RODO nie dotyczy przetwarzania danych osobowych zwykłych, z którymi mamy do czynienia w niniejszej sprawie. Przepis ten odnosi się do szczególnych kategorii danych (w tym np. danych o stanie zdrowia, danych genetycznych, biometrycznych). Powołanie się na art. 9 RODO jako przesłankę legalności przetwarzania stanowi wprowadzenie w błąd w zakresie podstaw przetwarzania danych, świadczy o nierzetelności informacji. Dodatkowo jedynie, odnosząc się do wyjaśnień skarżącego w toku postępowania administracyjnego (z dnia 30 stycznia 2023 r.), w których wskazano, że zastosowanie znajduje art. 9 ust. 2 lit. e RODO, bowiem dane zostały w sposób oczywisty upublicznione przez wnioskodawczynię, jak podał skarżący, podkreślić należy, że tego rodzaju argumentacja wskazuje na niezrozumienie kwestii zasad przetwarzania danych osobowych. Przepis ten w ogóle nie ma zastosowania do danych osobowych, o których mowa w sprawie, na co wskazano już wyżej. Nadto, argumentacja skarżącego tylko potwierdza, że przetwarzał dane osobowe zidentyfikowanej osoby (v. wyjaśnienia skarżącego z dnia [...] stycznia 2023 r. wraz z załącznikiem, tj. zrzut ze stron internetowych).
Raz jeszcze podkreślenia wymaga, że kwestia udzielenia rzetelnej informacji o konkretnej podstawie prawnej przetwarzania danych danej osoby, tzn. konkretnej przesłanki z art. 6 ust. 1 RODO, ma podstawowe znaczenie dla podmiotu danych, aby mógł on zweryfikować legalność przetwarzania swoich danych osobowych i realizować wszystkie inne uprawnienia wynikające z RODO. W istocie w sprawie tej jest tak, że przyjęta konstrukcja klauzuli informacyjnej nie zawiera informacji o podstawie przetwarzania danych, tj. nie wskazuje, które konkretnie przesłanki z art. 6 ust. 1 RODO zaszły, w oparciu o które skarżący dane przetwarza, jak i o kategoriach przetwarzanych danych. Osoba, której dane dotyczą nie może się domyślać, na jakiej podstawie prawnej administrator przetwarza jej dane osobowe w danej sytuacji, a w przedmiotowej sprawie do tego doszło. Bezspornie nie poinformowano też wnioskodawczyni w zakresie wymienionym w ust. 2 art. 14 RODO. Kwestionowanie w skardze naruszenia art. 14 RODO poprzez uznanie, że numer telefonu stanowi daną osobową, nie jest trafne. Jest bowiem bezsporne w sprawie, że numer telefonu pozwalał na zidentyfikowanie wnioskodawczyni, tym bardziej, że dziecko podało na formularzu z danymi swoje nazwisko.
Jeśli zaś chodzi o zarzut naruszenia art. 13 RODO poprzez niewskazanie w decyzji, w jakim zakresie doszło do naruszenia przez skarżącego tego przepisu, to wskazać należy, że istotnie organ nie przywołał w punkcie 3 rozstrzygnięcia żadnych konkretnych ustępów, czy punktów, jednakże w okolicznościach stanu faktycznego nie stanowi to uchybienia mającego wpływ na wynik sprawy. Zgodnie z art. 13 ust. 1 RODO, jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje: a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela; b) gdy ma to zastosowanie - dane kontaktowe inspektora ochrony danych; c) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania; d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) - prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią; e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją; f) gdy ma to zastosowanie - informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia. Zgodnie z ust. 2 poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania: a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu; b) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych; c) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) - informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem; d) informacje o prawie wniesienia skargi do organu nadzorczego; e) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych; f) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz - przynajmniej w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2 (ust. 3). Zgodnie z ust. 4, ust. 1, 2 i 3 nie mają zastosowania, gdy - i w zakresie, w jakim - osoba, której dane dotyczą, dysponuje już tymi informacjami.
Na gruncie okoliczności faktycznych tej sprawy zasadnie Prezes UODO stwierdził, że nie jest w stanie ocenić, czy córka wnioskodawczyni zapoznała się z treścią klauzuli informacyjnej, którą miała przekazać rodzicowi. Z uwagi nadto na przedstawione już wyżej uchybienia w zakresie klauzuli informacyjnej, nie może uznać, że obowiązek informacyjny wobec dziecka został spełniony w sposób prawidłowy. Zgodnie z art. 12 ust. 1 RODO (zdanie pierwsze) administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka - udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14, oraz prowadzić z nią wszelką komunikację na mocy art. 15-22 i 34 w sprawie przetwarzania. Sąd podziela ustalenie organu, że skarżący nie wypełnił w sposób prawidłowy obowiązku informacyjnego wobec córki wnioskodawczyni, czym naruszył art. 13 ust. 1 RODO.
Podkreślenia przy tym wymaga, że w sytuacji, gdy mamy do czynienia z dzieckiem, wypełnienie tego rodzaju obowiązku w ogóle nie powinno wzbudzać wątpliwości. Uczynienie zadość obowiązkowi nałożonemu w art. 13 RODO winno być jednoznaczne. Podkreślenia wymaga, że zasada przejrzystości wymaga, by wszelkie informacje kierowane do ogółu społeczeństwa lub osoby, której dane dotyczą, były zwięzłe, łatwo dostępne i zrozumiałe, by były formułowane jasnym i prostym językiem, a w stosownych przypadkach, dodatkowo wizualizowane. W motywie 58 RODO wskazuje się nadto, że dzieci zasługują na szczególną ochronę, stąd też wszelkie informacje i komunikaty - gdy przetwarzanie dotyczy dziecka- powinny być sformułowane tak jasnym i prostym językiem, by dziecko mogło je bez trudu zrozumieć. Skarżący nie wykazał dopełnienia spoczywającego na nim obowiązku.
We wszystkich ustalonych okolicznościach faktycznych Prezes UODO zasadnie zastosował upomnienie za naruszenia wykazane w punkcie 1, 2 i 3 rozstrzygnięcia decyzji. Zgodnie bowiem z art. 58 ust. 2 lit. b RODO, każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia naprawcze: udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania.
Zdaniem Sądu zastosowany środek jest adekwatny do stwierdzonego w decyzji naruszenia RODO. Waga stwierdzonego naruszenia i jego charakter dawały podstawę do zastosowania upomnienia.
Mając powyższe na uwadze Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 w zw. z art. 119 pkt 2 i art. 120 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2023 r., poz. 1634 ze zm.), orzekł jak w wyroku.