II SA/WA 1792/24

II SA/Wa 1792/24 - Wyrok WSA w Warszawie
Data orzeczenia
2025-06-05
orzeczenie nieprawomocne
Data wpływu
2024-11-07
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Góraj /przewodniczący/
Dorota Kozub-Marciniak /sprawozdawca/
Sławomir Antoniuk
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono decyzję w całości i umorzono postępowanie - art. 145 §3 ustawy PoPPSA
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Góraj, Sędzia WSA Sławomir Antoniuk, Asesor WSA Dorota Kozub-Marciniak (spr.), Protokolant starszy sekretarz sądowy Marcin Rusinowicz-Borkowski po rozpoznaniu na rozprawie w dniu 5 czerwca 2025 r. sprawy ze skargi Prokuratora Krajowego na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] września 2024 r. nr [...] w przedmiocie naruszenia ochrony danych osobowych 1. uchyla zaskarżoną decyzję; 2. umarza postępowanie administracyjne.
Uzasadnienie
Prokurator Krajowy (dalej, także jako: skarżący) wniósł skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie na decyzję Prezesa Urzędu Ochrony Danych Osobowych (dalej, jako: organ lub PUODO) z dnia [...] września 2024 r. w przedmiocie przetwarzania danych osobowych.
Zaskarżoną decyzją organ stwierdzając naruszenie przez skarżącego przepisów art. 6 ust. 1 i art. 9 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej, jako RODO, polegające na ujawnieniu w dniu [...] sierpnia 2023 r., bez podstawy prawnej, podczas konferencji prasowej, przez Prokuraturę Krajową, danych osobowych osoby pokrzywdzonej, zawartych w wyroku Sądu Rejonowego [...] w [...] z [...] sierpnia 2021 r., o sygn. akt [...], co skutkowało naruszeniem art. 5 ust. 1 lit. a RODO, tj. "zasady zgodności z prawem" oraz art. 33 ust. 1 RODO, polegające na niezgłoszeniu PUODO naruszenia ochrony danych osobowych mającego miejsce [...] sierpnia 2023 r. podczas konferencji prasowej Prokuratury krajowej bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, a także art. 34 ust. 1 i ust. 2 RODO, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki, osoby, której dane zostały ujawnione przez Prokuraturę Krajową podczas konferencji prasowej [...] sierpnia 2023 r.:
1. nałożył na Prokuraturę Krajową administracyjna karę pieniężną w wysokości 85.000 zł (słownie: osiemdziesiąt pięć tysięcy złotych);
2. nakazał Prokuraturze Krajowej zawiadomienie, w terminie 3 dni od dnia otrzymania decyzji, osoby, której dane osobowe zostały podczas konferencji prasowej [...] sierpnia 2023 r. ujawnione bez podstawy prawnej, o naruszeniu ochrony jej danych osobowych w celu przekazania informacji wymaganych zgodnie z art. 34 ust. 2 RODO, tj.:
a. opisu charakteru naruszenia ochrony danych osobowych;
b. imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;
c. opisu możliwych konsekwencji naruszenia ochrony danych osobowych z uwzględnieniem kategorii osób i zakresu danych objętych naruszeniem;
d. opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu - w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków z uwzględnieniem kategorii osób i zakresu danych objętych naruszeniem.
W uzasadnieniu decyzji wskazano, że PUODO ustalił, że w dniu [...] sierpnia 2023 r. odbyła się konferencja prasowa Prokuratury Krajowej, w której udział wziął przedstawiciel Prokuratury Krajowej (Dyrektor Biura Prezydialnego Prokuratury Krajowej - prokurator T. S.) oraz Prokurator Generalny (Minister Sprawiedliwości - Zbigniew Ziobro). Konferencja ta została poświęcona decyzjom personalnym, jakie miały miejsce w Prokuraturze Rejonowej [...] w związku ze sprawą napaści na uczestniczkę demonstracji LGBT, której próbowano wyrwać torbę. W trakcie konferencji prasowej Prokuratura Krajowa ujawniła dane osobowe osoby posiadającej w postępowaniu karnym status osoby pokrzywdzonej oraz informacje dotyczące stanu faktycznego sprawy zawarte w wyroku Sądu Rejonowego [...] w [...] z dnia [...] sierpnia 2021 r., o sygn. akt [...]. Wśród ujawnionych danych znalazły się jej imię i nazwisko oraz informacje o tym, że jest ofiarą napaści, w czasie której chciano wyrwać jej torbę, oraz fakt, że miała przyznany status osoby pokrzywdzonej. Zostały ujawnione także informacje na temat stanu jej zdrowia, bowiem doznała ona uszczerbku na zdrowiu - uszkodzenia ciała oraz kontuzji dłoni. Ponadto, przed ww. wystąpieniem prokuratora Prokuratury Krajowej, który ujawnił ww. informacje, Prokurator Generalny - Minister Sprawiedliwości wskazał, że napastnicy chcieli zniszczyć torbę ofiary z uwagi na symbolikę LGBT, która na niej się znajdowała (tęcza). Tym samym podczas konferencji prasowej doszło do ujawnienia także, że status osoby pokrzywdzonej otrzymała w sprawie karnej uczestniczka manifestacji, której celem była ochrona praw osób LGBT, a zatem ujawniono jej światopogląd. Nagranie powyższej konferencji dostępne jest na YouTube ([...]).
PUODO podał, że Prokuratura Krajowa jest administratorem danych ujawnionych podczas konferencji, o której mowa w pkt 1, w rozumieniu art. 4 pkt 7 RODO. Ujawnione dane osobowe osoby pokrzywdzonej w powołanej sprawie pochodziły z akt sprawy i były przetwarzane przez Prokuraturę Krajową w związku z analizą poprzedzającą decyzję w przedmiocie skierowania przez Prokuratora Generalnego skargi nadzwyczajnej od zapadłego orzeczenia. Nadto Prokuratura Krajowa nie dokonała zgłoszenia naruszenia ochrony danych osobowych PUODO, ani nie zawiadomiła osoby fizycznej, której dane dotyczą, o tym naruszeniu.
Skarżący w pismach z dnia [...] października 2023 r., z dnia [...] marca 2024 r. i [...] maja 2024 r. złożył stosowne wyjaśnienia na wezwanie organu.
Rozstrzygając sprawę PUODO wskazał, że podczas konferencji prasowej prokurator Prokuratury Krajowej odczytał fragment wyroku sądowego (wydanego przez sąd karny, postępowanie prawomocnie zakończone), udostępniając tym samym dane osobowe pokrzywdzonej. Akta uprzednio były analizowane przez Prokuratora Generalnego w celu dokonania oceny zasadności skorzystania z nadzwyczajnego środka zaskarżenia, tj. skargi nadzwyczajnej do Sądu Najwyższego. Osobą uprawnioną do złożenia takiej skargi jest m.in. Prokurator Generalny, stosownie do art. 89 § 2 ustawy z 8 grudnia 2017 r. o Sądzie Najwyższym (Dz. U. z 2024 r. poz. 622). Prokuratura Krajowa zapewnia obsługę Prokuratorowi Generalnemu i Prokuratorowi Krajowemu (art. 17 § 1 ustawy z dnia 28 stycznia 206 r. - Prawo o prokuraturze, Dz. U. z 2024 r. poz. 390). Zgodnie zaś z art. 13 § 6 Prawa o prokuraturze, powszechne jednostki organizacyjne prokuratury są administratorami danych przetwarzanych w ramach realizowanych zadań, z wyłączeniem danych o których mowa w § 5. W myśl zaś art. 16 Prawa o prokuraturze, powszechnymi jednostkami organizacyjnymi prokuratury są: prokuratura krajowa, prokuratury regionalne, prokuratury okręgowe i prokuratury rejonowe. Tym samym Prokuraturę Krajową należy uznać za administratora danych ujawnionych podczas ww. konferencji.
Organ podał, że z uwagi na sam proces przetwarzania danych, sposób i okoliczności, w jakich te dane zostały ujawnienie (konferencja prasowa przedstawicieli prokuratury), etap sprawy, z której pochodziły ujawnione informacje (zakończone postępowanie sądowe w sprawie karnej), jak również status osoby w postępowaniu (osoby pokrzywdzonej), której dane zostały ujawnione, powoduje, iż w tym przypadku Prezes UODO zachowuje swoje kompetencje jako organ nadzorczy, jak również będą miały zastosowanie przepisy RODO.
PUODO podał dalej, że [...] sierpnia 2023 r. odbyła się konferencja prasowa Prokuratury Krajowej poświęcona decyzjom personalnym, jakie zostały podjęte w Prokuraturze Rejonowej [...] w związku ze sprawą napaści na demonstrującą kobietę. Napaść miała miejsce podczas manifestacji osób LGBT w [...] , gdzie jednej z uczestniczek demonstracji próbowano wyrwać jej tęczową torbę, z uwagi na kojarzoną z tęczą symbolikę osób LGBT. Sąd Rejonowy [...] w [...] skazał osobę odpowiedzialną za ww. atak na trzy lata więzienia za usiłowanie rozboju. Osoba, która dopuściła się napaści, w związku z działaniami podjętymi przez Prokuratora Generalnego - Ministra Sprawiedliwości wyszła na wolność. Podczas konferencji prokurator Prokuratury Krajowej opisując, jakie w jego ocenie miały miejsce nieprawidłowości w zamkniętym już postępowaniu (przed sądem) przytoczył fragmenty akt, podając m.in. imię i nazwisko poszkodowanej w napaści młodej kobiety oraz sam opis przebiegu napaści, informację o tym, że pokrzywdzona doznała uszczerbku na zdrowiu, a moment wcześniej Prokurator Generalny - Minister Sprawiedliwości podał informację, że wyrywana ofierze torba miała symbolikę LGBT (i był to powód napaści i motyw działania sprawców napaści). Celem konferencji prasowej, przy okazji której ujawniono dane osobowe osoby pokrzywdzonej, było poinformowanie opinii publicznej o powodach podjętych już decyzji personalnych w ww. prokuraturze, wynikających z oceny pracy prokuratora podległego w ścieżce służbowej Prokuratorowi Generalnemu. Nie jest to zatem zadanie związane ze ściganiem przestępstw oraz staniem na straży praworządności, w rozumieniu art. 2 lub art. 3 ustawy Prawo o prokuraturze, a tym samym będą miały zastosowanie przepisy RODO, a nie przepisy ustawy z dnia 14 grudnia 2028 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2023 r. poz. 1206, dalej, jako: uodo z 2018 r.). Jednocześnie, ze względu na specyficzne usytuowanie prokuratury w strukturze władzy państwowej (podlega ona ministrowi - tj. organowi władzy wykonawczej, a nie sądowniczej; zob. art. 1 § 2 Prawa o prokuraturze) nie jest ona objęta wyłączeniem, o którym mowa w art. 55 ust. 3 RODO.
Organ wskazał, że ujawnienie danych osobowych osoby pokrzywdzonej, obejmującym także dane szczególnej kategorii, powinno być oparte o podstawę prawną. Oznacza to, że analizując przesłanki powyższego ujawnienia (rozumianego zgodnie z art. 4 pkt 2 RODO jako forma przetwarzania danych osobowych) należy mieć na uwadze treść art. 6 ust. 1 RODO w odniesieniu do tzw. danych zwykłych (jak imię, nazwisko, informacje zawarte w treści wyroku) oraz art. 9 ust. 1 i 2 RODO w odniesieniu do szczególnych kategorii danych (jak informacje o światopoglądzie tej osoby, informacje o stanie zdrowia, informacja o uszczerbku na zdrowiu). Ponadto, przesłanki przetwarzania danych powinny również korelować z zasadami określonymi w art. 5 ust. 1 RODO, a w szczególności z zasadą zgodności z prawem, rzetelności i przejrzystości wyrażonej w art. 5 ust. 1 lit. a) RODO, a administrator powinien móc wykazać ich przestrzeganie (art. 5 ust. 2 RODO).
W toku postepowania skarżący powołał się na art. 12 § 2 Prawa o prokuraturze jako podstawę przetwarzania danych osobowych pokrzywdzonej. PUODO uznał jednak, że informacje ujawnione podczas konferencji prasowej w dniu [...] sierpnia 2023 r. pochodziły z zakończonego postępowania, rozstrzygniętego przez sąd powszechny (został wydany prawomocny wyrok sądowy), zatem nie było to postępowanie przygotowawcze, o którym mowa w ww. przepisie Prawa o prokuraturze. Nadto ujawnienie danych osobowych pokrzywdzonej, które nastąpiło [...] sierpnia 2023 r., nie można uznać za informacje dotyczące działalności prokuratury w rozumieniu art. 2 lub art. 3 Prawa o prokuraturze. Realizacja tych zadań nie wymaga bowiem od Administratora publicznego ujawniania (np. podczas konferencji prasowych) danych osobowych stron postępowań zakończonych prawomocnym wyrokiem sądu powszechnego, w tym osób pokrzywdzonych. Co więcej, osoby, którym przyznany został status pokrzywdzonego, powinny być szczególnie chronione przez jednostki prokuratury.
Ponadto ww. przepis określa również kto może dokonać ujawnienia w tym trybie informacji. PUODO – jak podał – trzykrotnie zwracał się do administratora o wskazanie, w jakiej roli i z czyjego upoważnienia prokurator T. S. występował podczas przedmiotowej konferencji prasowej. Z otrzymanych przez organ odpowiedzi wynika, że informację w tym zakresie posiada "prokurator D. B., były Prokurator Generalny (...) oraz były dyrektor Biura Prezydialnego Prokuratury Krajowej pan prokurator T. S. Biuro Prezydialne w chwili obecnej nie może uzyskać informacji od żadnej z wyżej wymienionych osób" (pismo z [...] marca 2024 r.) lub "ustalenie kto udzielił upoważnienia prokuratorowi przekazującemu mediom informacje dotyczące sprawy sygn. akt: [...] Sądu Rejonowego [...] będzie ewentualnie możliwe nie wcześniej niż w drugiej połowie kwietnia br. (...)" (pismo z [...] kwietnia 2024 r.). W piśmie z [...] maja 2024 r. administrator, powołując się na brak kompetencji PUODO w zakresie nadzoru nad prokuraturą, odmówił udzielenia odpowiedzi w tym zakresie. PUODO zwrócił uwagę na treść art. 12 § 5 Prawa o prokuraturze i konsekwencje wypływające z tego przepisu.
W ocenie organu, art. 12 § 2 Prawa o prokuraturze nie może zostać uznany za podstawę prawną ujawnienia danych osobowych, tym bardziej, że Administrator na żadnym etapie postępowania prowadzonego przed PUODO nie wykazał ważnego interesu publicznego, który by uzasadniał ujawnienie danych osobowych osoby pokrzywdzonej. Ujawnienie danych osoby pokrzywdzonej nie miało żadnej wartości dodanej, było zbędne w kontekście celu, w jakim konferencja prasowa w dniu [...] sierpnia 2023 r. została zwołana, co dodatkowo potwierdza, że odbyło się to bez podstawy prawnej, a efektem jest naruszenie praw lub wolności osoby, której dane dotyczą. Prokuratura Krajowa jako organ publiczny, organ ścigania, mający egzekwować przestrzeganie prawa, powinna w sposób niebudzący wątpliwości sama go przestrzegać, a zatem chronić też informacje na temat osoby fizycznej, której przyznano status osoby pokrzywdzonej w danej sprawie. Kobieta uzyskała w postępowaniu karnym status osoby pokrzywdzonej w rozumieniu art. 49 § 1 ustawy z dnia 6 czerwca 1997 r. Kodeks postępowania karnego (Dz. U. z 2024 r. poz. 37 ze zm.), tj. stwierdzone zostało bezpośrednio naruszenie lub zagrożenie przez przestępstwo jej dobra prawnego.
Dalej organ wyjaśnił, że rozważył także czy ujawnione dane nie stanowiły informacji publicznej. Pokrzywdzona nie była jednak osobą pełniącą funkcję publiczną, lecz ofiarą przestępstwa (stwierdzonego prawomocnym wyrokiem sądowym).
Organ nie podzielił stanowiska skarżącego, że PUODO nie jest organem nadzorczym właściwym do dokonania oceny przedmiotowego zdarzenia w kontekście naruszenia ochrony danych osobowych oraz przepisów o ochronie danych osobowych. Organ wskazał, że kwestionowane ujawnienie danych nie jest związane ze zwalczaniem i zapobieganiem przestępczości, tak jak to miało miejsce w sprawach, w których wydane zostały powołane przez skarżącego decyzje i wyrok, i oceniane jest, w oparciu o przepisy RODO, a nie uodo z 2018 r., a zatem nie może być mowy o braku kompetencji PUODO jako organu nadzorczego w tym zakresie.
Odnosząc się z kolei do argumentacji skarżącego zawartej w piśmie z dnia [...] maja 2024 r. organ wyjaśnił, że sprawy przekazane przez PUODO na podstawie art. 191a § 1 Prawa o prokuraturze, dotyczyły naruszeń ochrony danych osobowych w jednostkach organizacyjnych prokuratury, podlegających zgłoszeniu i ocenie na podstawie przepisów uodo z 2018 r. W związku ze zmianą przepisów Prawa o prokuraturze, od dnia 14 grudnia 2023 r. PUODO nie jest właściwym organem nadzorczym w przypadkach określonych w art. 191a Prawa o prokuraturze. Przedmiotowa sprawa nie dotyczy jednak naruszenia przepisów uodo z 2018 r., lecz przepisów RODO. Oznacza to, że PUODO zachowuje pełnię swoich kompetencji oceniając przedmiotową sprawę.
Organ dodał, że jawność danych nie oznacza ich powszechnej dostępności. Jawność danych w określonym momencie (np. w czasie rozprawy, w czasie ogłaszania wyroku) dla określonego kręgu osób nie oznacza, że dane te mogą być ujawnione nieograniczonemu kręgowi osób, jak miało to miejsce podczas transmitowanej w telewizji i Internecie konferencji w dniu [...] sierpnia 2023 r. Upublicznienie lub utrwalenie rozprawy (ogłoszenia wyroku) np. w formie nagrania rozprawy sądowej wymaga zgody sądu (por. art. 357 i art. 358 Kpk), a tym samym nie może być dobrowolności przedstawiciela organów ścigania w tym zakresie.
Mając powyższe na uwadze organ uznał, że ujawnienie danych osobowych osoby pokrzywdzonej podczas konferencji prasowej z dnia [...] sierpnia 2023 r. nastąpiło bez podstawy prawnej, a tym samym z naruszeniem art. 6 ust. 1 oraz art. 9 ust. 1 RODO. W konsekwencji doszło do naruszenia zasady zgodności z prawem, rzetelności i przejrzystości (art. 5 ust. 1 lit. a RODO).
Następnie PUODO wywiódł, że przedmiotowe zdarzenie (dane osobowe osoby pokrzywdzonej, w tym szczególne kategorie jej danych osobowych, zostały ujawnione na forum publicznym podczas konferencji, w tym w telewizji i Internecie, a więc nieokreślonej dużej liczbie osób) stanowi naruszenie ochrony danych osobowych, powodujące powstanie wysokiego ryzyka naruszenia praw lub wolności osoby nim objętej. A to powoduje po stronie administratora obowiązek realizacji dyspozycji art. 33 ust. 1 oraz 34 ust. 1 RODO. Prokuratura Krajowa swoim działaniem naraziła bowiem osobę fizyczną, której dane zostały objęte naruszeniem ochrony danych osobowych, na naruszenie jej dóbr osobistych, a w konsekwencji na wtórną jej wiktymizację. Ujawnione informacje na temat pokrzywdzonej powodują łatwość identyfikacji tej osoby. Imię i nazwisko oraz informacje dotyczące sprawy sądowej (napaść na nią podczas demonstracji LGBT, próba wyrwania tęczowej torby), dają nieograniczonemu kręgowi osób dostęp do jej danych osobowych dzięki temu, że konferencja ta była transmitowana w telewizji i ujawniona. A to powoduje, że osoby dysponujące dostępem do tych informacji oraz do Internetu mogą pozyskać znacznie szerszy zakres informacji o tej osobie. Zwiększa to prawdopodobieństwo jednoznacznego zidentyfikowania tej osoby, ale również zwiększa poziom możliwych do wystąpienia dla tej osoby konsekwencji (szkód majątkowych i niemajątkowych), a więc i wzrasta ryzyko zwiększenia wagi konsekwencji dla tej osoby. Organ przywołał artykuł prasowy wskazujący na to, że mogło już dojść do zmaterializowania się ryzyka naruszenia praw lub wolności tej osoby. Wynika z niego, że poszkodowana stała się ofiarą "hejtu" internetowego, co prawdopodobnie spowodowało zablokowanie przez nią jej kont w portalach społecznościowych. Jak wskazują doniesienia prasowe, artykuł prasowy pt. »"Absolutny skandal" Prokurator (...) ujawnił dane poszkodowanej przez M.. Odpowie za to?«, mogło zatem dojść do zmaterializowania się ryzyka, ale nie jest też wykluczone w przyszłości, że forma dalszego materializowania się tego ryzyka nie będzie jeszcze inna.
Organ wskazał, że uzyskane od skarżącego wyjaśnienia wskazują, że administrator nie dokonał żadnej analizy przedmiotowego ujawnienia danych pod kątem konieczności realizacji swoich obowiązków wynikających z art. 33 ust. 1 i art. 34 ust. 1 RODO. Administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w wykonaniu obowiązku z art. 33 ust. 1 RODO oraz nie zawiadomił bez zbędnej zwłoki osoby, której dane dotyczą, o naruszeniu ochrony jej danych, zgodnie z art. 34 ust. 1 RODO, co oznacza naruszenie przez Administratora tych przepisów.
Biorąc powyższe pod uwagę PUODO, korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. i) RODO, zgodnie z którym każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a)-h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 ust. 4 lit. a) i ust. 5 lit. a) RODO, mając na względzie okoliczności ustalone w przedmiotowym postępowaniu stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na administratora administracyjnej kary pieniężnej.
Organ uzasadniając nałożoną karę rozważył dalej charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczbę poszkodowanych osób, których dane dotyczą, oraz rozmiar poniesionej przez nie szkody, umyślny charakter naruszenia, działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą, stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków, kategorie danych osobowych, których dotyczyło naruszenie. Z kolei inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 RODO, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez PUODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej (stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32, stosowne wcześniejsze naruszenia przepisów RODO ze strony administratora, sposób w jaki organ nadzorczy dowiedział się o naruszeniu, przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 RODO, stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 RODO lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 RODO, osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty, inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy).
Uwzględniając wszystkie omówione wyżej okoliczności, PUODO, uznał, że nałożenie administracyjnej kary pieniężnej na Prokuraturę Krajową jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanych administratorowi naruszeń przepisów RODO. Zastosowanie wobec administratora jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 RODO, w szczególności zaś poprzestanie na upomnieniu, nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że administrator w przyszłości nie dopuści się kolejnych zaniedbań.
Odnosząc się do wysokości wymierzonej administracyjnej kary pieniężnej, organ wskazał, że - wobec faktu, iż administrator jest jednostką sektora finansów publicznych, o której mowa w art. 9 pkt 1 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2023 r., poz. 1270 ze zm.) - zastosowanie znajdzie art. 102 ust. 1 pkt 1 ustawy o ochronie danych osobowych, z którego wynika ograniczenie wysokości (do 100.000 zł) administracyjnej kary pieniężnej, jaka może zostać nałożona na jednostkę sektora finansów publicznych.
Uzasadniając fakt nałożenia na administratora administracyjnej kary pieniężnej w wysokości 85 000 zł, PUODO wyjaśnił, że kara w niższej wysokości nie spełniłaby swojej funkcji odstraszającej, o której m.in. wprost jest mowa w art. 83 ust. 1 RODO; nie zdyscyplinowałaby też administratora do prawidłowej współpracy z PUODO w przyszłości (a jak wskazano niżej kara nałożona w tej konkretnej sprawie ma też charakter dyscyplinujący i prewencyjny).
W ocenie PUODO, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 RODO, tzn. będzie w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.
Z tym rozstrzygnięciem Prokurator Krajowy nie zgodził się i wywiódł skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie, wnosząc o stwierdzenie nieważności zaskarżonej decyzji na podstawie art. 145 § 1 pkt 2 i § 3 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2024 r. poz. 935 ze zm., dalej, jako: P.p.s.a.) w zw. z art. 156 § 1 pkt 1 K.p.a. jako wydanej z naruszeniem przepisów o właściwości organu i umorzenie postępowania, a w wypadku, gdyby Sąd nie uwzględnił tego zarzutu o uchylenie zaskarżonej decyzji w oparciu o art. 145 § 1 pkt 1 lit. a i c P.p.s.a.
Zaskarżonej decyzji zarzucono:
1. naruszenie przepisów art. 6 K.p.a., art. 19 K.p.a., art. 57 ust. 1 lit h RODO oraz art. 191a ustawy Prawo o prokuraturze, polegające na niezasadnym przyjęciu, że PUODO jest właściwym organem nadzoru nad przetwarzaniem danych osobowych, do którego doszło podczas udzielania mediom przez Prokuraturę Krajową informacji o ocenie prawnej czynu wyczerpującego znamiona przestępstwa - podczas gdy właściwym organem nadzoru jest w takiej sytuacji organ wskazany w art. 191a ustawy Prawo o prokuraturze;
2. naruszenie art. 7 K.p.a. w związku z art. 75 § 1 K.p.a. i art. 77 § 1 K.p.a., polegające na niewyczerpującym zebraniu i rozpatrzeniu materiału dowodowego, zaniechaniu podjęcia wszelkich kroków niezbędnych do dokładnego wyjaśnienia stanu faktycznego oraz dokonaniu dowolnej oceny dowodów w zakresie tematyki konferencji prasowej przeprowadzonej w dniu [...] sierpnia 2023 r. - a przez to również właściwości PUODO do sprawowania nadzoru nad przetwarzaniem danych osobowych w toku tej konferencji - a także umyślności ujawnienia danych osobowych, rodzaju ujawnionych danych i skutków ujawnienia dla pokrzywdzonej - w wyniku czego zaskarżona decyzja została w tym zakresie oparta na ustaleniach niezgodnych ze stanem faktycznym albo przyjętych dowolnie i w żaden sposób nie zweryfikowanych, co wywarło istotny wpływ na jej treść;
3. naruszenie art. 107 § 1 pkt 6 i § 3 K.p.a., polegające na tym, że w uzasadnieniu faktycznym i prawnym zaskarżonej decyzji nie wskazano:
na jakich dowodach oparł się PUODO dokonując ustaleń faktycznych dotyczących przedmiotu konferencji prasowej, ujawnienia światopoglądu pokrzywdzonej i umyślności działania administratora,
w oparciu o jakie ustalenia PUODO przyjął, że ujawnione ustnie dane osobowe stanowią lub mają stanowić część zbioru danych,
na jakiej podstawie prawnej PUODO uznał, że administrator ponosi odpowiedzialność za wypowiedź Prokuratora Generalnego, będącego odrębnym niż administrator organem publicznym;
4. naruszenie art. 34 ust. 1 RODO w zw. z art. 57 ust. 1 lit a RODO oraz art. 61 § 2 pkt 1 P.p.s.a., polegające na tym, że w punkcie 2 zaskarżonej decyzji PUODO, błędnie uznając, że jest organem do tego właściwym, nałożył na Prokuraturę Krajową obowiązek zawiadomienia pokrzywdzonej o naruszeniu jej danych osobowych w terminie 3 dni od dnia otrzymania decyzji, co - z uwagi na czas potrzebny do sporządzenia skargi - uniemożliwiło Prokuraturze Krajowej skorzystanie z uprawnienia określonego w art. 61 § 2 pkt 1 P.p.s.a. i wystąpienie o wstrzymanie wykonania decyzji w tej części;
5. naruszenie art. 33 ust. 1 RODO poprzez jego bezpodstawne zastosowanie, polegające na przyjęciu, że PUODO stanowi organ nadzorczy w rozumieniu tego przepisu, toteż Prokuratura Krajowa była obowiązana zgłosić mu naruszenie danych osobowych,
6. naruszenie art. 83 ust. 1 i ust. 2 RODO poprzez:
wymierzenie administracyjnej kary pieniężnej za naruszenie art. 6 ust. 1 i art. 9 ust. 1 RODO podczas konferencji prasowej, a także za naruszenie art. 33 ust. 1 i art. 34 ust. 1 i ust. 2 RODO, mimo że w przedmiotowej sprawie PUODO nie jest organem nadzorczym uprawnionym do stwierdzania naruszeń i nakładania kar, a stosowanie art. 6 ust. 1 i art. 9 ust. 1 RODO do konferencji prasowej jest wyłączone z mocy art. 2 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych,
oparcie zaskarżonej decyzji w zakresie wymiaru kary na okolicznościach obciążających, przy ustalaniu których nie zgromadzono należycie materiału dowodowego i które w sposób nieuzasadniony przypisano Prokuraturze Krajowej, w tym poprzez uznanie, że Prokuratura Krajowa ujawniła dane o zdrowiu i ewentualnym światopoglądzie pokrzywdzonej, mimo że informacje te były już uprzednio upublicznione, a także przypisanie Prokuraturze Krajowej odpowiedzialności za wypowiedź innego organu, przyjęcie, że odmienna ocena prawna, dokonana przez Prokuraturę Krajową, jest tożsama z brakiem współpracy z organem nadzorczym w celu usunięcia naruszenia oraz przyjęcie, że okoliczność obciążającą w zakresie czasu trwania naruszenia stanowi de facto długotrwałe prowadzenie postępowania przez PUODO
co spowodowało wymierzenie administracyjnej kary pieniężnej bez podstawy prawnej i w rażąco niewspółmiernej wysokości.
W obszernym uzasadnieniu skargi przedstawiono szeroką argumentację na poparcie stawianych zarzutów.
W odpowiedzi na skargę organ wniósł o jej oddalenie i podtrzymał swoje dotychczasowe stanowisko. PUODO odniósł się do stawianych w skardze zarzutów, uznając je za pozbawione racji.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Skarga jest zasadna.
W pierwszej kolejności należy przypomnieć, że celem ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz przepisów RODO jest ochrona prywatności w rozumieniu art. 47 Konstytucji RP (por. wyrok NSA z dnia 30 marca 2006 r., I OSK 628/05, LEX nr 198299; wyrok NSA w składzie 7 sędziów z dnia 6 czerwca 2005 r., I OPS 2/05).
W doktrynie, na gruncie art. 47 Konstytucji RP, prawo do prywatności oznacza "przymioty, wewnętrzne przeżycia osobiste (jednostkowe) człowieka i ich oceny, refleksje dotyczące wydarzeń zewnętrznych i jego wrażenia zmysłowe, a także stan zdrowia. Nie są one w założeniu przeznaczone do upowszechniania i sam zainteresowany decyduje o kręgu osób, z którymi zechce się nimi podzielić. Składową prawa do prywatności jest życie prywatne, które odnosi się generalnie do życia: osobistego, towarzyskiego, nienaruszalności mieszkania, tajemnicy korespondencji i ochrony informacji dotyczących danej osoby. Można je opisać jako "prawo do pozostawienia w spokoju" czy "prawo jednostki do bycia pozostawioną samej sobie" (B. Banaszak, Konstytucja RP,. Komentarz, Warszawa 2012, tekst za Legalis). Uprawnienie to oznacza, że ochronie podlegają te informacje o osobie fizycznej, które dotyczą jej najbliższej sfery życia, wyznaczonej przez nią samą, o której decydować powinna tylko ona lub ewentualnie osoby jej najbliższe. Sfera ta w istocie stanowi o tożsamości tej osoby i określa jej godność statuującą ją jako człowieka.
Zgodnie z art. 4 pkt 1 RODO dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Natomiast "dane dotyczące zdrowia" oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia (art. 4 pkt 15 RODO).
W interesie osób fizycznych leży udostępnianie tych danych o tyle, o ile taka jest ich wola, chyba że ustawodawca realizując inne jeszcze wartości przesądza o udostępnianiu tych danych niezależnie od woli tych osób stanowiąc tym samym w konkretnym przypadku o pierwszeństwie wartości związanych z interesem publicznym nad wartościami powiązanymi z interesami indywidualnymi.
Dopuszczalność przetwarzania danych osobowych określają przesłanki wymienione w art. 6 ust. 1 i art. 9 ust. 2 RODO w zależności od tego, czy przetwarzaniu mają być poddane dane zwykłe, czy też dane wrażliwe. Katalog przesłanek wymienionych w art. 6 ust. 1 i art. 9 ust. 2 RODO jest zamknięty. Przesłanki te mają charakter autonomiczny co oznacza, że dla uznania procesu przetwarzania danych osobowych za zgodny z prawem, niezbędne jest spełnienie przez administratora danych choćby jednej z tych przesłanek.
Przepis art. 6 ust. 1 RODO stanowi, że przetwarzanie jest zgodne z prawem wyłącznie w przypadkach i w takim zakresie, w jakim spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Akapit pierwszy lit. f nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
Z przepisu art. 9 ust. 2 RODO wynika, że zakaz przetwarzania danych osobowych wrażliwych określony w ust. 1 nie ma zastosowania, jeżeli spełniony jest jeden z następujących warunków: a) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1; b) przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą; c) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody; d) przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą; e) przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą; f) przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy; g) przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą; h) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3; i) przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową; j) przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.
Zgodnie z art. 33 ust. 1 RODO, w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Zgłoszenie, o którym mowa w ust. 1, musi co najmniej: a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Z kolei art. 34 ust. 1 RODO wskazuje, że w sytuacji, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o takim naruszeniu.
Na powyższe przepisy wskazał PUODO wydając zaskarżoną decyzję. Należy jednak w pierwszej kolejności rozważyć czy Prezes Urzędu Ochrony Danych Osobowych w ogóle posiadał kognicję do merytorycznego rozpoznania tej sprawy.
Dokonując oceny w ww. zakresie koniecznym było odniesienie się do przepisu art. 191a § 1 ustawy z dnia 28 stycznia 2016 r. Prawo o prokuraturze (Dz.U. z 2024 r. poz. 390 ze zm.), zgodnie z którym nadzór nad przetwarzaniem danych osobowych w ramach realizacji zadań określonych w art. 2 których administratorami są powszechne jednostki organizacyjne prokuratury, zgodnie z art. 13 § 6, wykonują w zakresie działalności prokuratury:
1) rejonowej - prokurator okręgowy;
2) okręgowej - prokurator regionalny;
3) regionalnej i Prokuratury Krajowej - Prokurator Krajowy.
W myśl art. 191a § 2 powołanej ustawy, w zakresie danych osobowych przetwarzanych przez powszechne jednostki organizacyjne prokuratury w ramach realizacji zadań określonych w art. 2, obowiązki, uprawnienia i zadania organu nadzorczego przewidziane w art. 5 ust. 1 pkt 1 i 5-8, art. 6, art. 7, art. 8 ust. 1 i 2, art. 10, art. 11, art. 35 ust. 6, art. 36 ust. 6 i art. 50 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości są wykonywane przez organy nadzoru, o których mowa w § 1, zaś obowiązki, uprawnienia i zadania, przewidziane w art. 38 ust. 1 i 3-5, art. 44 ust. 1 i 8, art. 45 ust. 5 oraz art. 47 ust. 1 pkt 6 tej ustawy - przez organ nadzoru, o którym mowa w § 1 pkt 3. Zamiast decyzji administracyjnej, o której mowa w art. 8 ust. 2 ustawy powołanej w zdaniu pierwszym, organ nadzoru, o którym mowa w § 1, wydaje polecenie służbowe.
Z przywołanej regulacji w sposób nie budzący wątpliwości wynika, iż nadzór nad przetwarzaniem danych osobowych w ramach realizacji zadań określonych w art. 2 których administratorami są powszechne jednostki organizacyjne prokuratury, został wyłączony spod kognicji Prezesa Urzędu Ochrony Danych Osobowych.
Zgodnie natomiast z art. 2 ustawy Prawo o prokuraturze, prokuratura wykonuje zadania w zakresie ścigania przestępstw oraz stoi na straży praworządności.
W myśl art. 3 tej ustawy, obowiązki określone w art. 2 Prokurator Generalny, Prokurator Krajowy i pozostali zastępcy Prokuratora Generalnego oraz podlegli im prokuratorzy wykonują przez:
1) prowadzenie lub nadzorowanie postępowania przygotowawczego w sprawach karnych oraz sprawowanie funkcji oskarżyciela publicznego przed sądami;
2) wytaczanie powództw w sprawach cywilnych oraz składanie wniosków i udział w postępowaniu sądowym w sprawach cywilnych, z zakresu prawa pracy i ubezpieczeń społecznych, jeżeli tego wymaga ochrona praworządności, interesu społecznego, własności lub praw obywateli;
3) podejmowanie środków przewidzianych prawem, zmierzających do prawidłowego i jednolitego stosowania prawa w postępowaniu sądowym, administracyjnym, w sprawach o wykroczenia oraz w innych postępowaniach przewidzianych przez ustawę;
4) sprawowanie nadzoru nad wykonywaniem postanowień o tymczasowym aresztowaniu oraz innych decyzji o pozbawieniu wolności;
5) prowadzenie badań w zakresie problematyki przestępczości oraz jej zwalczania i zapobiegania oraz współpracę z podmiotami, o których mowa w art. 7 ust. 1 pkt 1, 2 i 4-8 ustawy z dnia 20 lipca 2018 r. - Prawo o szkolnictwie wyższym i nauce (Dz. U. z 2023 r. poz. 742, z późn. zm.), w zakresie prowadzenia badań dotyczących problematyki przestępczości, jej zwalczania i zapobiegania oraz kontroli;
6) gromadzenie, przetwarzanie i analizowanie w systemach informatycznych danych, w tym danych osobowych, pochodzących z prowadzonych lub nadzorowanych na podstawie ustawy postępowań oraz z udziału w postępowaniu sądowym, administracyjnym, w sprawach o wykroczenia lub innych postępowaniach przewidzianych przez ustawę, przekazywanie danych i wyników analiz właściwym organom, w tym organom innego państwa, jeżeli przewiduje to ustawa lub umowa międzynarodowa ratyfikowana przez Rzeczpospolitą Polską;
7) zaskarżanie do sądu niezgodnych z prawem decyzji administracyjnych oraz udział w postępowaniu sądowym w sprawach zgodności z prawem takich decyzji;
8) koordynowanie działalności w zakresie ścigania przestępstw lub przestępstw skarbowych, prowadzonej przez inne organy państwowe;
9) współdziałanie z organami państwowymi, państwowymi jednostkami organizacyjnymi i organizacjami społecznymi w zapobieganiu przestępczości i innym naruszeniom prawa;
10) współpracę z Szefem Krajowego Centrum Informacji Kryminalnych w zakresie niezbędnym do realizacji jego zadań ustawowych;
11) współpracę i udział w działaniach podejmowanych przez organizacje międzynarodowe lub ponadnarodowe oraz zespoły międzynarodowe, działające na podstawie umów międzynarodowych, w tym umów konstytuujących organizacje międzynarodowe, ratyfikowanych przez Rzeczpospolitą Polską;
12) opiniowanie projektów aktów normatywnych;
13) współpracę z organizacjami zrzeszającymi prokuratorów lub pracowników prokuratury, w tym współfinansowanie wspólnych projektów badawczych lub szkoleniowych;
14) podejmowanie innych czynności określonych w ustawach.
Z kolei stosownie do art. 12 § 2 ustawy Prawo o prokuraturze, Prokurator Generalny oraz kierownicy jednostek organizacyjnych prokuratury mogą przekazać mediom osobiście, lub upoważnić w tym celu innego prokuratora, informacje z toczącego się postępowania przygotowawczego lub dotyczące działalności prokuratury, z wyłączeniem informacji niejawnych, mając na uwadze ważny interes publiczny.
W realiach niniejszej sprawy koniecznym do wyjaśnienia było zatem czy przekazanie mediom na konferencji prasowej w dniu [...] sierpnia 2023 r. określonych informacji, w tym danych danych osobowych osoby pokrzywdzonej zawartych w wyroku Sądu Rejonowego [...] w [...] z dnia [...] sierpnia 2021 r. sygn. akt [...], mieści się w pojęciu działalności prokuratury, określonej w art. 12 § 2 ustawy Prawo o prokuraturze.
W ocenie Sądu należy mieć w tej sprawie na uwadze, że tematyka ww. konferencji prasowej nie dotyczyła jedynie decyzji personalnych jak wskazuje organ w zaskarżonej decyzji. Konferencja prasowa z dnia [...] sierpnia 2023 r. dotyczyła również kwestii opracowywania projektu skargi nadzwyczajnej od wyroku Sądu Rejonowego [...] w [...] z dnia [...] sierpnia 2021 r. sygn. akt [...] . Stąd informacje ujawnione podczas konferencji prasowej przez Prokuraturę Krajową przetwarzane były w związku z analizą orzecznictwa poprzedzającą decyzję w przedmiocie wskazane nadzwyczajnego środka odwoławczego. Z resztą na tę okoliczność również wskazuje PUODO podając w uzasadnieniu zaskarżonej decyzji, że Prokuratura Krajowa jest administratorem danych ujawnionych podczas konferencji prasowej, a ujawnione dane osobowe osoby pokrzywdzonej w powołanej sprawie pochodziły z akt sprawy i były przetwarzane przez Prokuraturę Krajową w związku z analizą poprzedzającą decyzję w przedmiocie skierowania przez Prokuratora Generalnego skargi nadzwyczajnej od zapadłego orzeczenia.
Zdaniem Sądu powyższe ustalenia są kluczowe dla wskazania braku kognicji PUODO w tej sprawie. Nie może bowiem ujść uwadze, iż na działalność prokuratury niewątpliwie składa się również podejmowanie środków przewidzianych prawem, zmierzających do prawidłowego i jednolitego stosowania prawa w postępowaniu sądowym, administracyjnym, w sprawach o wykroczenia oraz w innych postępowaniach przewidzianych przez ustawę (art. 3 § 1 pkt 3 ustawy Prawo o prokuraturze). Tymczasem zgodnie z art. 89 § 2 ustawy z dnia 8 grudnia 2017 r. o Sądzie Najwyższym (Dz. U. z 2024 poz. 622) Prokurator Generalny jest uprawniony do złożenia skargi nadzwyczajnej do Sądu Najwyższego, a Prokuratura Krajowa zapewnia obsługę Prokuratora Generalnego (art. 17 § 1 ustawy Prawo o prokuraturze). Skargę nadzwyczajną można wnieść, jeżeli jest to konieczne dla zapewnienia zgodności z zasadą demokratycznego państwa prawnego urzeczywistniającego zasady sprawiedliwości społecznej, od prawomocnego orzeczenia sądu powszechnego lub sądu wojskowego kończącego postępowanie w sprawie, o ile:
1) orzeczenie narusza zasady lub wolności i prawa człowieka i obywatela określone w Konstytucji lub
2) orzeczenie w sposób rażący narusza prawo przez błędną jego wykładnię lub niewłaściwe zastosowanie, lub
3) zachodzi oczywista sprzeczność istotnych ustaleń sądu z treścią zebranego w sprawie materiału dowodowego
- a orzeczenie nie może być uchylone lub zmienione w trybie innych nadzwyczajnych środków zaskarżenia (art. 89 § 1 ustawy o Sądzie Najwyższym).
Myli się zatem PUODO podnosząc, iż fakt, iż postępowanie zakończyło się prawomocnym wyrokiem Sądu Rejonowego [...] w [...] z dnia [...] sierpnia 2021 r. sygn. akt [...] wyklucza podjęcie przez prokuraturę "działalności", o której mowa w art. 12 § 2 ustawy Prawo o prokuraturze. Skargę nadzwyczajną można bowiem wywieść jedynie od prawomocnego orzeczenia sądu. Natomiast prawidłowe jest ustalenia organu, że realizacja zadań prokuratury w omawianym zakresie nie wymagała od administratora danych ujawnienia danych osobowych pokrzywdzonej. Ujawnienie takie nie miało żadnej wartości dodanej, było zbędne w kontekście celu, w jakim konferencja prasowa w dniu [...] sierpnia 2023 r. została zwołana. Z tym, że aby to takiego wniosku dość i w konsekwencji zastosować RODO pierwotnie należy mieć do tego kognicję wynikającą z przepisów prawa, których PUODO w tej sprawie nie posiada. Tu należy dodatkowo wskazać, że skarżący zgodził się z tym twierdzeniem organu dlatego podjął czynności w ramach przysługujących mu uprawnień z art. 191a ustawy Prawo o prokuraturze.
W konsekwencji powyższego nieuprawnionymi byłyby wszelkie merytoryczne czynności podejmowane przez Prezesa Urzędu Ochrony Danych Osobowych w ramach nadzoru nad przetwarzaniem danych osobowych przez powszechne jednostki prokuratury, przy realizacji przez nie zadań określonych w art. 2 ustawy Prawo o prokuraturze. Dlatego też zaskarżoną decyzję należało wyeliminować z obrotu prawnego poprzez jej uchylenie. W tym miejscu należy wyjaśnić, że Sąd nie znalazł podstaw do stwierdzenia nieważności zaskarżonej decyzji jak wnioskował skarżący. Zaskarżona decyzja nie była bowiem rezultatem przypisania sobie przez PUODO właściwości wbrew przepisom powszechnie obowiązującego prawa, a wynikiem wadliwej oceny sprawy in meriti i w konsekwencji tego przyjęcie swojej właściwości.
Mając powyższe na względzie, Wojewódzki Sąd Administracyjny w Warszawie, działając na podstawie art. 145 § 1 pkt 1 lit. c w związku z art. 145 § 3 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2024 r. poz. 935 ze zm.) uchylił zaskarżoną decyzję PUODO z dnia [...] września 2024 r. i umorzył postępowanie administracyjne.