II SA/WA 1873/21

II SA/Wa 1873/21 - Wyrok WSA w Warszawie
Data orzeczenia
2022-10-05
orzeczenie prawomocne
Data wpływu
2021-05-14
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Agnieszka Góra-Błaszczykowska /przewodniczący sprawozdawca/
Andrzej Góraj
Arkadiusz Koziarski.
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Sygn. powiązane
III OSK 1066/23 - Wyrok NSA z 2024-12-18
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Agnieszka Góra-Błaszczykowska (spr.), Sędzia WSA Andrzej Góraj, Asesor WSA Arkadiusz Koziarski, , po rozpoznaniu w trybie uproszczonym w dniu 5 października 2022 r. sprawy ze skargi K. N., R. N. na postanowienie Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lutego 2021 r. nr [....] w przedmiocie odmowy wszczęcia postępowania oddala skargę
Uzasadnienie
Przedmiotem rozpoznania w niniejszej sprawie była skarga K. N. i R. N. na postanowienie Prezesa Urzędu Ochrony Danych Osobowych znak [...] z dnia [...] lutego 2021 r. w przedmiocie odmowy wszczęcia postępowania.
Skarga została złożona w następującym stanie faktycznym sprawy:
W dniu [...] stycznia 2020 r. (data wpływu do organu) K. N., R. N. i J. L. (zwani dalej: wnioskodawcy, skarżący), wnieśli do Prezesa Urzędu Ochrony Danych Osobowych (zwany dalej: PUODO, organ), skargę na nieprawidłowości w procesie przetwarzania ich danych osobowych przez [...] sp. z o. o. z siedzibą w [...] (zwany dalej: [...]), [...] z siedzibą w [...] (zwanej dalej: [...]) oraz przez J. M., polegające na nieusunięciu postanowienia Prokuratury Rejonowej [...] w [...] z dnia [...] czerwca 2018 r., opublikowanego pod adresem internetowym: [...] oraz wpisu P. P. z dnia [...] lipca 2018 r., godz. [...], opublikowanego pod adresem internetowym: [...], zawierających dane osobowe skarżących w zakresie imion, nazwisk, oraz adresów zamieszkania.
Ponadto skarżący wnieśli o udostępnienie danych osobowych osób wypowiadających się na forum dostępnym pod adresem [...], tj. P. P., D. M., M. S., J. G., A. K., S. K., J. K., D. B., W. S., K. H., P. S., A. P., K. H., P. K., N. P., M. T., B. K., D. W., A. D., J. M., M. P., J. D., M. P., A. Z., S. J., D. S., I. P., M. J. i L. S., w tym udostępnienia i wydania tych danych na nośniku.
Postanowieniem znak [...] z dnia [...] lutego 2021 r., działając na podstawie art. 61a § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256, zwana dalej: k.p.a.) w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781, zwana dalej: u.o.d.o.), PUODO orzekł o odmowie wszczęcia postępowania w sprawie skargi skarżących w zakresie żądania udostępnienia przez [...], [...] oraz przez J. M. - administratora grupy "[...]" danych osobowych osób wypowiadających się na forum dostępnym pod adresem [...], tj. P. P., D. M., M. S., J. G., A. K. , S. K., J. K., D. B., W. S., K. H., P. S., A. P., K. H., P. K., N. P., M. T., B. K., D. W., A. D., J. M., M. P., J. D., M. P., A. Z., S. J., D. S., I. P., M. J. i L. S..
Podstawę negatywnego dla skarżących rozstrzygnięcia (dotyczącego tylko udostępnienia danych osobowych osób wypowiadających się na forum) stanowiło ustalenie organu, że PUODO nie ma kompetencji umożliwiających nakazanie administratorowi udostępnienia danych osobowych osób trzecich. Katalog uprawnień naprawczych organu nadzorczego został ściśle określony w art. 58 ust. 2 rozporządzenia 2016/679 i jest on dla organu wiążący w zakresie prowadzonego przez niego postępowania, dotyczącego określonego naruszenia ochrony danych osobowych. Przepisy art. 58 ust. 1, ust. 2 i ust. 3 rozporządzenia 2016/679 określają uprawnienia przysługujące każdemu organowi nadzorczemu - uprawnienia do prowadzenia postępowań, uprawnienia naprawcze i do nakładania kar, uprawnienia do udzielania zezwoleń i uprawnienia doradcze oraz uprawnienia do zgłaszania naruszeń organom wymiaru sprawiedliwości oraz do udziału w postępowaniu sądowym. Wśród ww. uprawnień organu nadzorczego (jakim jest PUODO) brak jest uprawnienia do nakazania administratorowi udostępnienie danych osobowych osób trzecich. Spełniona została więc określona w art. 61a § 1 k.p.a., przesłanka uniemożliwiającą wszczęcie postępowania w niniejszej sprawie.
W skardze złożonej na powołane rozstrzygnięcie do sądu administracyjnego skarżący wnieśli o uchylenie zaskarżonego postanowienia w całości. Wydanemu postanowieniu skarżący zarzucili naruszenie art. 7 i art. 77 § 1 oraz art. 107 § 3 k.p.a., które to naruszenia te mogły mieć istotny wpływ na wynik sprawy.
Skarżący wskazali, że rozpoznając ich sprawę i wydając zaskarżone postanowienie organ posłużył się ogólnikami, bez przedstawienia całego stanu faktycznego sprawy, żądań skargi i toku rozumowania organu, z przełożeniem tego na zastosowane prawo, oraz celowo pominął pozostałych kilka punktów ich żądań. Tymczasem kwestie te powinny być wyjaśnione w uzasadnieniu, nie tylko w sposób szczegółowy, ale oparty na konkretnych, racjonalnych i weryfikowalnych argumentach.
W odpowiedzi na skargę organ wniósł o jej oddalenie, podnosząc argumentację tożsamą z zaprezentowaną w zaskarżonym postanowieniu. Organ podkreślił, że odmowa wszczęcia postępowania dotyczy tylko i wyłącznie wniosku o udostępnienie danych osób trzecich, w pozostałym zakresie wniosku nadal prowadzone jest postępowanie.
Postanowieniem z dnia [...] lipca 2022 r. sygn.. akt II SA/Wa [...] Wojewódzki Sąd Administracyjny w Warszawie, orzekł o odrzuceniu skargi J. L., z uwagi na nieuzupełnienie braku fiskalnego skargi.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Stosownie do treści art. 3 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2022 r., poz. 329, zwana dalej: p.p.s.a), sądy administracyjne sprawują kontrolę działalności administracji publicznej i stosują środki określone w ustawie. Oznacza to, iż sąd rozpoznając skargę ocenia, czy zaskarżona decyzja nie narusza przepisów prawa materialnego bądź przepisów postępowania administracyjnego. Zgodnie z art. 134 p.p.s.a. Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną w niej podstawą prawną. Uwzględnienie skargi następuje w przypadku stwierdzenia naruszenia przez Sąd przepisów prawa, wskazanego w art. 145 § 1 pkt 1 p.p.s.a. Zgodnie z art. 135 p.p.s.a. orzekanie następuje w granicach sprawy, w której wydano zaskarżoną decyzję i odbywa się z uwzględnieniem wówczas obowiązujących przepisów prawa.
Podstawę (działania) rozstrzygnięcia organu stanowił art. 61a § 1 k.p.a., zgodnie z którym, gdy żądanie wszczęcia postępowania zostało wniesione przez osobę niebędącą stroną lub z innych uzasadnionych przyczyn postępowanie nie może być wszczęte, organ administracji publicznej wydaje postanowienie o odmowie wszczęcia postępowania. W przytoczonym przepisie ustawodawca rozróżnił więc dwie sytuacje, w których nie będzie możliwe wszczęcie postępowania. Pierwsza z nich dotyczy przymiotu strony i oznacza, że inicjatorem postępowania może być jedynie podmiot, któremu przysługiwać będzie w danym postępowaniu przymiot strony (zgodnie z regulacją art. 28 k.p.a.). Druga z przesłanek, określonych w art. 61a § 1 k.p.a., odnosi się do "innych uzasadnionych przyczyn", z powodu których postępowanie nie może być wszczęte.
Wymaga podkreślenia, iż na skutek odmowy wszczęcia postępowania organ nie prowadzi postępowania administracyjnego i nie rozstrzyga sprawy co do jej istoty. W tej sytuacji należy przyjąć, że w postanowieniu wydanym w trybie art. 61a § 1 k.p.a. organ nie może formułować wniosków i ocen dotyczących meritum żądania. Instytucja odmowy wszczęcia postępowania kończy się aktem formalnym, a nie merytorycznym (por. wyrok Naczelnego Sądu Administracyjnego z dnia 18 grudnia 2015 r., sygn. akt II OSK 999/14, publ. LEX nr 1989306).
W rozpoznawanej sprawie jako przesłankę zastosowania art. 61a § 1 k.p.a. organ powołał brak ustawowych kompetencji, a więc w istocie brak przesłanki materialnoprawnej do rozpatrzenia żądania skarżących o nakazanie [...], [...] oraz J. M. udostępnienia, na podstawie art. 15 rozporządzenia 2016/679, danych osobowych osób wypowiadających się pod adresem [...].
Jak prawidłowo wskazał organ, zastosowanie w niniejszej sprawie ma art. 58 rozporządzenia 2016/679, określający katalog uprawnień naprawczych organu – PUODO i jest on dla organu wiążący w zakresie prowadzonego przez niego postępowania, dotyczącego określonego naruszenia ochrony danych osobowych. Zgodnie z tym przepisem (ust. 1) każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia w zakresie prowadzonych postępowań:
a) nakazanie administratorowi i podmiotowi przetwarzającemu, a w stosownym przypadku przedstawicielowi administratora lub podmiotu przetwarzającego, dostarczenia wszelkich informacji potrzebnych organowi nadzorczemu do realizacji swoich zadań; b) prowadzenie postępowań w formie audytów ochrony danych;
c) dokonywanie przeglądu udzielonych certyfikacji na mocy art. 42 ust. 7;
d) zawiadamianie administratora lub podmiotu przetwarzającego o podejrzeniu naruszenia niniejszego rozporządzenia; e) uzyskiwanie od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych organowi nadzorczemu do realizacji swoich zadań; f) uzyskiwanie dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych, zgodnie z procedurami określonymi w prawie unijnym lub w prawie państwa członkowskiego.
W myśl ust. 2, każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia naprawcze: a) wydawanie ostrzeżeń administratorowi lub podmiotowi przetwarzającemu dotyczących możliwości naruszenia przepisów niniejszego rozporządzenia poprzez planowane operacje przetwarzania; b) udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania; c) nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia; d) nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu; e) nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych; f) wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania; g) nakazanie na mocy art. 16, 17 i 18 sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazanie na mocy art. 17 ust. 2 i art. 19 powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono; h) cofnięcie certyfikacji lub nakazanie podmiotowi certyfikującemu cofnięcia certyfikacji udzielonej na mocy art. 42 lub 43, lub nakazanie podmiotowi certyfikującemu nieudzielania certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane; i) zastosowanie, oprócz lub zamiast środków, o których mowa w niniejszym ustępie, administracyjnej kary pieniężnej na mocy art. 83, zależnie od okoliczności konkretnej sprawy; j) nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej.
Ponadto, według ust. 3, każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia w zakresie wydawania zezwoleń i uprawnienia doradcze: a) udzielanie porad administratorowi zgodnie z procedurą uprzednich konsultacji, o której mowa w art. 36; b) wydawanie, z własnej inicjatywy lub na wniosek, opinii przeznaczonych dla parlamentu narodowego, rządu państwa członkowskiego lub - zgodnie z prawem państwa członkowskiego - innych instytucji i organów oraz ogółu społeczeństwa we wszelkich sprawach związanych z ochroną danych osobowych; c) zezwalanie na przetwarzanie zgodnie z art. 36 ust. 5, jeżeli prawo państwa członkowskiego wymaga takiego uprzedniego zezwolenia; d) opiniowanie i zatwierdzanie projektów kodeksów postępowania zgodnie z art. 40 ust. 5; e) akredytowanie na mocy art. 43 podmiotów certyfikujących; f) udzielanie certyfikacji i zatwierdzanie kryteriów certyfikacji zgodnie z art. 42 ust. 5; g) przyjmowanie standardowych klauzul ochrony danych, o których mowa w art. 28 ust. 8 i art. 46 ust. 2 lit. d); h) zezwalanie na klauzule umowne, o których mowa w art. 46 ust. 3 lit. a); i) zezwalanie na uzgodnienia administracyjne, o których mowa w art. 46 ust. 3 lit. b); j) zatwierdzanie wiążących reguł korporacyjnych na mocy art. 47. (ust. 4) Wykonywanie uprawnień powierzonych organowi nadzorczemu na mocy niniejszego artykułu podlega odpowiednim zabezpieczeniom - w tym prawu do skutecznego środka ochrony prawnej przed sądem i rzetelnego procesu, określonym w prawie Unii i prawie państwa członkowskiego zgodnie z Kartą praw podstawowych. (ust. 5) Każde państwo członkowskie przewiduje w swoich przepisach, że jego organ nadzorczy jest uprawniony do wniesienia do organów wymiaru sprawiedliwości sprawy dotyczącej naruszenia niniejszego rozporządzenia oraz w stosownych przypadkach do wszczęcia lub do uczestniczenia w inny sposób w postępowaniu sądowym w celu wyegzekwowania stosowania przepisów niniejszego rozporządzenia. (ust. 6) Każde państwo członkowskie może przewidzieć w swoich przepisach, że jego organowi nadzorczemu przysługują poza uprawnieniami określonymi w ust. 1, 2 i 3 także inne uprawnienia. Wykonywanie tych uprawnień nie może utrudniać skutecznego stosowania przepisów rozdziału VII.
Jak z powyższego wynika, przepisy art. 58 ust. 1, ust. 2 i ust. 3 rozporządzenia 2016/679 określają uprawnienia przysługujące każdemu organowi nadzorczemu - uprawnienia do prowadzenia postępowań, uprawnienia naprawcze i do nakładania kar, uprawnienia do udzielania zezwoleń i uprawnienia doradcze oraz uprawnienia do zgłaszania naruszeń organom wymiaru sprawiedliwości oraz do udziału w postępowaniu sądowym.
Wśród uprawnień PUODO brak jest uprawnień umożliwiających nakazanie administratorowi udostępnienia danych osobowych osób trzecich. Ponadto z przytoczonej wyżej regulacji art. 58 ust. 6 rozporządzenia 2016/679 wynika, że każde państwo członkowskie może przewidzieć w swoich przepisach, że jego organowi nadzorczemu przysługują poza uprawnieniami określonymi w ust. 1, ust. 2 i ust. 3 także inne uprawnienia, których wykonywanie nie może utrudniać skutecznego stosowania przepisów rozdziału VII rozporządzenia 2016/679. W obowiązującym aktualnie stanie prawym – w ustawie o ochronie danych osobowych, brak jednakże takich przepisów.
Wymaga w tym miejscu podkreślenia, że zgodnie z zasadą jednolitości prawa Unii Europejskiej oraz motywem 129 rozporządzenia 2016/679, aby zapewnić spójne monitorowanie i egzekwowanie niniejszego rozporządzenia w całej Unii, organy nadzorcze powinny mieć w każdym państwie członkowskim te same zadania i faktyczne uprawnienia, w tym uprawnienia do prowadzenia postępowań wyjaśniających, naprawcze, uprawnienia do nakładania kar oraz do udzielania zezwoleń i doradcze, w szczególności w przypadku skarg osób fizycznych, i - bez uszczerbku dla uprawnień organów prokuratorskich na mocy prawa państwa członkowskiego - uprawnienia do zgłaszania naruszeń niniejszego rozporządzenia organom wymiaru sprawiedliwości oraz do udziału w postępowaniu sądowym. Zasada jednolitości oznacza, że prawo unijne jest w całości i jednakowo stosowane we wszystkich państwach członkowskich. Jednolitość zapewnia taki sam sposób stosowania prawa unijnego na terenie całej Unii Europejskiej i stanowi realizację wymogu spójnego porządku prawnego. W oparciu o ww. zasadę organy nadzorcze innych państw Unii Europejskiej (hiszpański, rumuński, francuski, bułgarski, estoński, włoski i szwedzki) zgodnie uznały brak możliwości wydawania rozstrzygnięć nakazujących udostępnienie danych osobowych osób trzecich w oparciu o przepisy rozporządzenia 2016/679.
Zauważyć w tym miejscu trzeba, że w uprzednio obowiązującym stanie prawnym, tj. przed 25 maja 2018 r. – dniem wejścia w życie aktualnie obowiązującej ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), Generalny Inspektor Ochrony Danych Osobowych (poprzednik PUODO) uznawał się za kompetentny do wydawania ww. nakazów na podstawie art. 18 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.). Przepis ten określał, że w przypadku stwierdzenia naruszenia przepisów o ochronie danych osobowych, organ w drodze decyzji administracyjnej nakazał przywrócenie stanu zgodnego z prawem, w tym mógł nakazać uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych.
Obecnie obowiązująca ustawa nie zawiera podobnych przepisów. PUODO został pozbawiony uprawnienia do nakazania administratorowi udostępnienia skarżącym wnioskowanych przez nich danych osobowych osób trzecich.
W konsekwencji powyższych rozważań Sąd stwierdza prawidłowość ustaleń organu w zakresie braku podstaw prawnych do wszczęcia postępowania i procedowania przez PUODO, w zakresie udostępnienia danych osób fizycznych. W tym zakresie spełniona została bowiem określona w art. 61 § 1 k.p.a. przesłanka umożliwiając prowadzenie zgodnego z żądaniem skarżącego postępowania. Organ prowadzi oddzielne postępowanie w zakresie pozostałych żądań skargi skarżących, które pozostaje poza zakresem kontroli Sądu w sprawie niniejszej.
Sąd stwierdza jednocześnie, że wydając sporne postanowienie, organ nie dopuścił się naruszenia przepisów postępowania administracyjnego, prawidłowo zastosował art. 61a k.p.a. Uzasadnienie zaskarżonego postanowienia odpowiada dyspozycji art. 107 § 3 k.p.a.
Mając na uwadze powołane okoliczności, Sąd działając na podstawie art. 151 p.p.s.a., orzekł jak w sentencji wyroku.