II SA/Wa 1885/23

II SA/Wa 1885/23 - Wyrok WSA w Warszawie
Data orzeczenia
2024-04-24
orzeczenie nieprawomocne
Data wpływu
2023-09-26
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Wieczorek
Izabela Głowacka-Klimas /sprawozdawca/
Łukasz Krzycki /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2022 poz 2000
art. art. 7, 77 par. 1, 80
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego - t.j.
Dz.U.UE.L 2016 nr 119 poz 1 art. art. 4 pkt 2, 5 ust. 1 lit. a, 6 ust. 1, 10, 58 ust. 2, 83 ust. 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Łukasz Krzycki, Sędzia WSA Izabela Głowacka-Klimas (spr.), Sędzia WSA Andrzej Wieczorek, Protokolant st. sekr. sądowy Maryla Wiśniewska po rozpoznaniu na rozprawie w dniu 24 kwietnia 2024 r. sprawy ze skargi M. L. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lipca 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO, organ) decyzją z [...] lipca 2023 r. nr [...], na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2023 r. poz. 775 ze zm.; dalej "Kpa."), w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781), art. 5 ust. 1 lit. a), art. 6 ust. 1, art. 10 i art. 58 ust. 2 lit. b) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 119 z 4.05.2016, str. 1, Dz.Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz.Urz. UE L 74 z 4.03.2021, str. 35; dalej RODO), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana M. L. (dalej także skarżący), zam. w [...] przy ul. [...], na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Fundację "[...]" z siedzibą w [...] (dalej Fundacja), polegające na udostępnieniu jego danych osobowych na stronach internetowych, udzielił upomnienia Fundacji za naruszenie art. 5 ust. 1 lit. a oraz art. 6 ust. 1 w zw. z art. 10 RODO polegające na udostępnieniu danych osobowych Pana M. L. bez podstawy prawnej.
Wydaniu powyższej decyzji towarzyszył następujący stan sprawy.
Do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pana M. L. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Fundację, polegające na udostępnieniu jego danych osobowych na stronach internetowych:
[...], [...], [...], [...].
W skardze skarżący podniósł, że Fundacja publikuje obelżywe i nikczemne oskarżenia pod jego adresem, dane te naruszają jego prawa i wolności. Przetwarzanie przez Fundację jego danych osobowych odbywa się z naruszeniem jego dobrego imienia, poufności i stanowi dyskryminację.
W piśmie z [...] listopada 2018 r. skierowanym do organu skarżący doprecyzował, że zgłoszone naruszenie dotyczy danych osobowych takich jak, jego imię i nazwisko, data, miejsce urodzenia, imiona rodziców, nazwisko panieńskie jego matki, wykształcenie, informacja dotycząca wyroków w sprawach karnych oraz postępowań cywilnych, informacje dotyczące jego poglądów politycznych. Powyższe informacje znajdują na stronie internetowej [...], podstronie [...], oraz innych podstronach, na przykład [...], [...]. Skarżący wniósł o udzielenie upomnienia administratorowi lub podmiotowi przetwarzającemu na wskazanych w skardze portalach wobec naruszenia jego danych osobowych, nakazanie administratorowi lub podmiotowi przetwarzającemu zamieszczenia przeprosin w związku z naruszeniem danych osobowych, wprowadzanie całkowitego ograniczenia przetwarzania wszelkich danych osobowych, nakazanie na mocy art. 16, 17 i 18 RODO usunięcia jego danych osobowych z wyjątkiem danych zamieszczonych w przeprosinach, zastosowanie administracyjnej kary pieniężnej na mocy art. 83 RODO wobec administratora lub podmiotu przetwarzającego jego dane osobowe na wskazanych w skardze portalach.
Następnie w piśmie z [...] lutego 2019 r. skierowanym do organu skarżący podniósł, że pismem z [...] stycznia 2019 r., na podstawie art. 21 ust. 1 RODO, wezwał administratora danych osobowych Fundacji do usunięcia wszystkich wpisów zawierających jego dane osobowe. Mając na uwadze, że wezwanie pozostało bez jakiejkolwiek reakcji ze strony Fundacji, spełniona została w ocenie skarżącego przesłanka do zastosowania art. 58 ust. 2 RODO upoważniająca Prezesa UODO
do podjęcia stosownych działań w niniejszej sprawie.
Jak ustalił organ, w toku postępowania wywołanego powyższą skargą, celem działania Fundacji jest w szczególności upowszechnianie wiedzy o polskim systemie prawnym oraz ochrona wolności i praw człowieka oraz swobód obywatelskich,
a także działań wspomagających rozwój demokracji i podejmowanie inicjatyw edukacyjnych i badawczych w zakresie badania patologii w wymiarze sprawiedliwości oraz innych organach i instytucjach publicznych na obszarze Rzeczypospolitej Polskiej (tak: Informacja odpowiadająca odpisowi aktualnemu
z Rejestru stowarzyszeń, innych organizacji społecznych i zawodowych, fundacji oraz samodzielnych publicznych zakładów opieki zdrowotnej numer KRS: [...]).
Odnosząc się do zarzutu udostępnienia danych osobowych skarżącego
na ww. stronach internetowych Fundacji, Fundacja oświadczyła w toku postępowania, że nie przetwarza żadnych danych osobowych skarżącego, które wcześniej nie zostałyby przez inne podmioty przetworzone i upublicznione
w mediach, w tym również przez samego skarżącego (tak: pismo Fundacji
z [...] marca 2019 r. do UODO - w aktach sprawy).
Pismem z [...] stycznia 2019 r. skarżący wystąpił do Fundacji z wnioskiem
o niezwłoczne usunięcie danych osobowych w nieprzekraczalnym terminie siedmiu dni od dnia otrzymania pisma, tj. wszystkich wpisów zawierających jego dane osobowe zamieszczonych na stronie internetowej pod adresami: [...] oraz [...], a w szczególności wpisu zatytułowanego "[...]".
Odnosząc się do zarzutu pozostawienia przez Fundację bez odpowiedzi pisma skarżącego z [...] stycznia 2019 r. w przedmiocie żądania usunięcia wpisów zawierających jego dane osobowe, Fundacja oświadczyła w toku niniejszego postępowania, że pisma tego nie otrzymała.
Na stronie internetowej Fundacji pod adresem [...] został zamieszczony odpis wyroku Sądu Rejonowego w [...] [...] Wydział [...] dnia [...] czerwca 2006 r. (sygn. akt [...]) zawierający dane osobowe skarżącego w zakresie imienia, nazwiska, daty i miejsca urodzenia, imion rodziców oraz nazwiska panieńskiego matki oraz zarzucanego mu czynu i rozstrzygnięcia. Na stronie internetowej Fundacji pod adresem [...] został zamieszczony wizerunek skarżącego oraz artykuł prasowy dotyczący jego działalności zawodowej zawierający m.in. jego imię, nazwisko, pełnioną funkcję, informacje o prowadzonych wobec niego postępowaniach karnych (tak: notatka służbowa z [...] grudnia 2018 r. - w aktach sprawy).
Ponadto, na stronie internetowej Fundacji pod adresem [...] zamieszczony został odpis wyroku Sądu Rejonowego [...] w [...] Wydział [...] Karny z dnia [...] sierpnia 2013 r. (sygn. akt [...]) zawierający dane osobowe skarżącego w zakresie imienia, nazwiska, daty i miejsca urodzenia, imion rodziców oraz nazwiska panieńskiego matki oraz zarzucanego mu czynu i rozstrzygnięcia (tak: notatka służbowa z [...] grudnia 2018 r. - w aktach sprawy). Na stronie internetowej Fundacji pod adresem [...] zamieszczony został odpis wyroku Sądu Okręgowego w [...] [...]Wydział [...] z dnia [...] lutego 2007 r. (sygn. akt [...]) zawierający dane osobowe skarżącego w zakresie imienia, nazwiska, wyroku oraz zarzucanego mu czynu i rozstrzygnięcia.
Aktualnie podane strony internetowe wyświetlają komunikat o treści "Błąd 404 Nie znaleziono podstrony". Ponadto wyszukiwarka treści zamieszczona na ww. stronie nie zwróciła wyników na zapytanie "[...]" (tak: notatka służbowa
z [...] grudnia 2019 r. - w aktach sprawy). Fundacja obecnie korzysta ze strony internetowej [...].
W uzasadnieniu wymienionej na wstępie decyzji Prezes UODO wyjaśnił, że prowadzone postępowanie ma na celu ustalenie czy w sprawie doszło do naruszenia przepisów o ochronie danych osobowych, a w razie stwierdzenia tego naruszenia, skorzystanie z uprawnień naprawczych, o których mowa w art. 58 ust. 2 RODO. Skarżący w niniejszym postępowaniu kwestionował udostępnienie jego danych osobowych przez Fundację na ww. stronach internetowych.
Ocena legalności przetwarzania wspomnianych danych, rozumianego również jako udostępnienie, przeprowadzona powinna być w odniesieniu do przesłanek określonych w art. 6 ust. 1 RODO.
Zgodnie z przytoczonym przepisem, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek w nim wskazanych. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO, jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednej z nich.
W konsekwencji zgoda osoby, której dane dotyczą nie jest jedyną podstawą przetwarzania danych osobowych, bowiem proces przetwarzania danych będzie zgodny z RODO również wówczas, gdy administrator wykaże spełnienie innej
z wyżej wymienionych przesłanek. Podkreślenia wymaga, że niezależnie od zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO) przetwarzanie danych osobowych jest dopuszczalne między innymi wtedy, gdy jest to niezbędne dla wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO), a także gdy przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e RODO) oraz gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych,
w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (art. 6 ust. 1 lit. f RODO).
Z uwagi na to, jak podał organ, że na kwestionowanych stronach internetowych Fundacji udostępnione zostały wyroki karne zawierające dane osobowe skarżącego, wskazania wymaga, że zgodnie z art. 10 RODO przetwarzania danych osobowych dotyczących wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Wszelkie kompletne rejestry wyroków skazujących są prowadzone wyłącznie pod nadzorem władz publicznych. Ponadto zgodnie z art. 5 ust. 1 lit. a RODO, dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ("zgodność z prawem, rzetelność i przejrzystość").
W ocenie Prezesa UODO Fundacja nie legitymowała się przesłankami legalności przetwarzania danych osobowych zawartymi w art. 6 ust. 1 RODO
w zw. z art. 10 RODO do ich udostępnienia na stronie internetowej [...].
Jednocześnie organ nie zgodził się z twierdzeniami Fundacji, że nie upubliczniła ona żadnych danych osobowych skarżącego skoro dane te wcześniej były już upublicznione w mediach. Nawet jeżeli Fundacja pozyskała dane osobowe skarżącego z powszechnie dostępnych źródeł, nie ulega wątpliwości, że w ten sposób stała się ich nowym administratorem w rozumieniu art. 4 pkt 7 RODO, stosownie do którego "administrator" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych, zaś podejmując decyzję
o ich upublicznieniu na swojej stronie internetowej zadecydowała o celu i sposobie przetwarzania tych danych. Winna była zatem, po pierwsze spełnić obowiązek informacyjny wobec skarżącego, o którym mowa w art. 14 ust. 1 i 2 RODO, co jednak nie było przedmiotem zaskarżenia w niniejszej sprawie, a przede wszystkim winna legitymować się którąkolwiek z przesłanek z art. 6 ust. 1 RODO w związku z art. 10 RODO do ich przetwarzania. Natomiast z materiału dowodowego sprawy wynika, że Fundacja przesłanek tych nie spełniła. Niewątpliwie skarżący nie wyraził zgody
na udostępnienie jego danych osobowych w kwestionowany sposób przez Fundację (art. 6 ust. 1 lit. a RODO), zwłaszcza że pismem z [...] stycznia 2019 r. skierowanym do Fundacji domagał się ich usunięcia. Zgodnie z art. 4 pkt 11 RODO, "zgoda" osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome
i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. W świetle przedstawionych okoliczności sprawy i powołanej wyżej definicji zgody na przetwarzanie danych osobowych, nawet jeśli, jak twierdzi Fundacja, skarżący cyt.: "(...) kreuje się na osobę publiczną, publikował cotygodniowo przez wiele miesięcy artykuły w dzienniku >Trybuna<, udziela licznych wywiadów w Internecie i w telewizji internetowej, a także w dużych mediach ogólnopolskich i programach interwencyjnych (...)", nie można było w żadnym razie przyjąć, że skarżący zgodził się na publikację, jego danych osobowych na stronie Fundacji. Zgoda nie może być bowiem w szczególności domniemana, czy też dorozumiana, lecz wyraźna i odnosząca się do konkretnej operacji przetwarzania danych osobowych. W sprawie nie zachodziła zatem przesłanka legalności udostępnienia danych osobowych, o której mowa w art. 6
ust. 1 lit. a RODO. Nie można również uznać, by realizacja prawnie uzasadnionego interesu Fundacji w postaci informowania o zdarzeniach pozostających w związku
z przedmiotem działalności Fundacji, przeważała nad interesem skarżącego, który nie wyraził zgody na publikację jego danych (art. 6 ust. 1 lit. f RODO). Nie zachodzą w sprawie, z oczywistych względów, również pozostałe przesłanki wskazane w tym przepisie, tj. kwestionowane przetwarzanie nie było niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej (art. 6 ust. 1 lit d RODO), ani przetwarzanie nie było niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit e), ani też do wykonania umowy, której stroną jest osoba, której dane dotyczą (art. 6 ust. 1 lit. b RODO), czy też obowiązku prawnego (art. 6 ust. 1 lit. c RODO).
Wobec powyższego, w ocenie organu, konieczne stało się skorzystanie przez Prezesa UODO w niniejszej sprawie z uprawnień naprawczych określonych w art. 58 ust. 2 lit. b RODO i udzielenie Fundacji upomnienia wobec naruszenia przepisów RODO przez operacje przetwarzania. Aktualnie natomiast na wskazanych przez skarżącego stronach internetowych brak jest jego danych osobowych, gdyż strony te nie istnieją (pojawia się komunikat o treści cyt.: "Niestety, nie udało się odnaleźć tej strony"), stąd też nie jest możliwe sformułowanie nakazu ich usunięcia. Organ natomiast związany jest zakresem skargi, która wyznacza przedmiot postępowania przed organem.
Skarżący wywiódł do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na wskazaną na wstępie decyzję Prezesa UODO z [...] lipca 2023 r., zarzucając naruszenie następujących przepisów, a mianowicie:
1. art. 6, 7, 7a, 8, 9, 10, 11, 75, 77, 78, 80, 81a, 107 § 3 Kpa. poprzez m.in. brak dokonania dokładnego wyjaśnienia stanu faktycznego sprawy, zebrania wszechstronnego materiału dowodowego w sprawie, uzasadnienie decyzji z brakami umożliwiającymi jej prawną i merytoryczną kontrolę, naruszenie podstawowych zasad postępowania administracyjnego skutkujące osłabieniem zaufania obywateli do władzy publicznej;
2. art. 83 ust. 1 RODO poprzez jego niezastosowanie i uznanie przez organ
za wystarczające jedynie upomnienie, a nie wymierzenie kary skutecznej, proporcjonalnej i odstraszającej, w sytuacji, gdy udzielone upomnienie ma charakter znacząco niewspółmierny do charakteru licznych naruszeń ochrony danych osobowych;
3. art. 83 ust. 2 RODO poprzez jego niezastosowanie wskutek niewłaściwego ustalenia przez organ okoliczności, które mogłyby mieć wpływ na ostateczny wymiar kary, w sytuacji gdy w sprawie występowały okoliczności obciążające takie jak m.in. umyślny charakter naruszeń, charakter i waga naruszeń oraz niezadawalający i nie pełny stopień współpracy z organem nadzorczym w celu usunięcia naruszeń oraz złagodzenia jego ewentualnych negatywnych skutków, które dawały podstawy do uznania przez organ licznych okoliczności obciążających, a tym samym wymierzenia za liczne naruszenia ochrony danych osobowych kary, a nie jedynie upomnienia.
Wskazując na powyższe zarzuty skarżący wniósł o uchylenie zaskarżonej decyzji w całości, zaś w uzasadnieniu skargi poszerzył argumentację sformułowaną na rzecz postawionych w niej zarzutów.
W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując stanowisko zawarte w uzasadnieniu zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (t.j. Dz.U. z 2022 r. poz. 2492 ze zm.) oraz art. 3 § 1 ustawy
z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz.U. z 2023 r. poz. 1634 ze zm.; dalej "p.p.s.a."), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej. Kontrola ta polega na ocenie zgodności zaskarżonego aktu z przepisami postępowania administracyjnego, a także prawidłowości zastosowania i wykładni norm prawa materialnego.
W myśl zaś art. 134 § 1 i 2 p.p.s.a. sąd rozstrzyga w granicach danej sprawy nie będąc związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną,
z zastrzeżeniem art. 57a. Sąd nie może wydać orzeczenia na niekorzyść skarżącego, chyba że stwierdzi naruszenie prawa skutkujące stwierdzeniem nieważności zaskarżonego aktu lub czynności.
Skarga oceniana w świetle powyższych kryteriów nie zasługuje na uwzględnienie.
Zaskarżoną decyzją Prezes UODO skorzystał z uprawnienia naprawczego przewidzianego w art. 58 ust. 2 lit. b) rozporządzenia Parlamentu Europejskiego
i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO), który to przepis stanowi dla organu nadzorczego podstawę do udzielania upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów RODO poprzez operacje przetwarzania danych osobowych.
"Przetwarzanie", zgodnie z art. 4 pkt 2 RODO, oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych
w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Podnieść należy, że zgodnie z art. 5 ust. 1 lit. a) RODO dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.
Zgodność przetwarzania (w tym udostępniania) z prawem danych osobowych jest uwarunkowana wystąpieniem jednej z przesłanek legalizujących proces przetwarzania danych osobowych, o których mowa w art. 6 ust. 1 RODO. W świetle powołanego przepisu, przetwarzanie jest zgodne z prawem wyłącznie
w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden
z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów, b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Przepis art. 9 ust. 1 RODO stanowi, że zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych
w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. Zgodnie z art. 9 ust. 2 RODO powyższy zakaz nie ma zastosowania, między innymi, jeżeli osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych
w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1.
Z kolei zgodnie z art. 10 RODO przetwarzania danych osobowych dotyczących wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Wszelkie kompletne rejestry wyroków skazujących są prowadzone wyłącznie pod nadzorem władz publicznych.
Jak wynika z poczynionych w niniejszej sprawie ustaleń, Fundacja nie legitymowała się przesłankami legalności przetwarzania danych osobowych skarżącego – zawartych w upublicznionych przez nią w Internecie wyrokach sądów – wskazanymi w art. 6 ust. 1 w zw. z art. 10 RODO, legitymującymi ją do takiego ich udostępnienia. Jednocześnie Prezes UODO nie zgodził się z twierdzeniami Fundacji, że nie upubliczniła ona żadnych danych osobowych skarżącego, skoro dane te wcześniej były już upublicznione w mediach. Jak stwierdził Prezes UODO, nawet jeżeli Fundacja pozyskała dane osobowe skarżącego z powszechnie dostępnych źródeł, nie ulega wątpliwości, że w ten sposób stała się ich nowym administratorem
w rozumieniu art. 4 pkt 7 RODO, zaś podejmując decyzję o ich upublicznieniu
na swojej stronie internetowej zadecydowała o celu i sposobie przetwarzania tych danych. Winna była zatem, po pierwsze spełnić obowiązek informacyjny wobec skarżącego, o którym mowa w art. 14 ust. 1 i 2 RODO, co jednak pozostaje poza przedmiotem zaskarżenia, a przede wszystkim winna legitymować się którąkolwiek
z przesłanek z art. 6 ust. 1 RODO w związku z art. 10 RODO do ich przetwarzania. Natomiast Fundacja przesłanek tych nie spełniła. W konsekwencji uznano, że doszło do naruszenia przez Fundację art. 6 ust. 1 w zw. z art. 10 RODO polegającego
na udostępnieniu danych osobowych skarżącego na stronie internetowej (podstronach) bez postawy prawej.
Ustalenia faktyczne organu w powyższym zakresie oraz dokonana ocena prawna nie budzą wątpliwości w świetle zgromadzonego w sprawie materiału dowodowego. Fundacja nie negowała bowiem podnoszonego przez skarżącego udostępnienia jego danych osobowych, z kolei skarżący nie wyraził zgody
na udostępnienie jego danych osobowych w kwestionowany sposób przez Fundację (art. 6 ust. 1 lit. a RODO), zwłaszcza, że pismem z [...] stycznia 2019 r. skierowanym do Fundacji domagał się ich usunięcia.
Jak wynika z akt sprawy, w dacie wydawania decyzji na wskazanych przez skarżącego stronach internetowych brak jest jego danych osobowych, gdyż strony te nie istnieją (pojawia się komunikat o treści cyt.: "Niestety, nie udało się odnaleźć tej strony"), wobec czego nie było możliwe sformułowanie nakazu ich usunięcia.
Odnosząc się do zarzutów skarżącego w zakresie skorzystania przez organ
z uprawnienia naprawczego – upomnienia – wskazać należy, że Prezes UODO,
na podstawie art. 58 ust. 2 RODO, wyposażony jest w uprawnienia naprawcze
o charakterze władczym, kierowane do administratora lub podmiotu przetwarzającego, do których należy m.in. wydawanie ostrzeżeń; udzielanie upomnień; nakazanie spełnienia żądania osoby, której dane dotyczą; nakazanie dostosowania operacji przetwarzania do przepisów rozporządzenia; nakazanie zawiadomienia osoby, której dane dotyczą o naruszeniu danych osobowych; wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania danych,
w tym zakazu przetwarzania; nakazanie sprostowania lub usunięcia danych; zastosowanie oprócz lub zamiast środków, o których mowa w ust. 2, administracyjnej kary pieniężnej na mocy art. 83, zależnie od okoliczności sprawy.
Stosownie do art. 83 ust. 1 RODO, każdy organ nadzorczy zapewnia, by stosowane na mocy niniejszego rozporządzenia administracyjne kary pieniężne,
o których mowa w ust. 4, 5 i 6, były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków,
o których mowa w art. 58 ust. 2 lit. a) - h) oraz j) (ust. 2). Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na kryteria wymienione w ust. 3 powołanego artykułu.
Celem korzystania przez Prezesa UODO z ww. uprawnień naprawczych jest przywrócenie stanu zgodnego z prawem i zapewnienie egzekwowania przepisów
o ochronie danych osobowych. Zgodnie z 129 motywem RODO swoje uprawnienia organy nadzorcze powinny wykonywać zgodnie z odpowiednimi zabezpieczeniami proceduralnymi przewidzianymi w prawie Unii i prawie państwa członkowskiego, bezstronnie, sprawiedliwie i w rozsądnym terminie. W szczególności każdy środek powinien być odpowiedni, niezbędny i proporcjonalny, aby zapewnić przestrzeganie niniejszego rozporządzenia.
Uwzględniając powyższe Sąd nie podziela stanowiska skarżącego, że udzielenie Fundacji upomnienia było niewspółmierne do stopnia naruszenia przepisów o ochronie danych osobowych. Upomnienie, jako jedna z kompetencji naprawczych organu nadzorczego (art. 58 ust. 2 RODO), może być stosowane – jak wyjaśniono w motywie 148 preambuły RODO – w przypadku, gdy naruszenie przepisów rozporządzenia jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie. W związku
z powyższym eksponowane przez skarżącego wymogi skuteczności
i proporcjonalności stosowanego środka naprawczego należy odnosić nie tylko
do potencjalnej dolegliwości dla administratora (podmiotu przetwarzającego), ale
do całokształtu okoliczności konkretnej sprawy.
Z motywu 148 preambuły RODO wynika, że aby egzekwowanie przepisów RODO było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy RODO przez organ nadzorczy. Jeżeli naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie, można zamiast tego udzielić upomnienia. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące. Nakładanie sankcji, w tym administracyjnych kar pieniężnych, powinno podlegać odpowiednim zabezpieczeniom proceduralnym zgodnym z ogólnymi zasadami prawa Unii i z Kartą praw podstawowych, w tym skutecznej ochronie prawnej i prawu do rzetelnego procesu.
Uwzględniając powyższe zaznaczyć należy, że w niniejszej sprawie Fundacja dopuściła się naruszenia przepisów RODO poprzez przetwarzanie tzw. danych osobowych zwykłych oraz wrażliwych (danych dotyczących poglądów politycznych). Przetwarzanie to, jak prawidłowo ustalił organ, polegało na umieszczeniu na stronie (podstronach) Fundacji wyroków wydanych w sprawach karnych dotyczących skarżącego. W wyniku powyższego naruszenia poszkodowana została jedna osoba, tj. skarżący. Z akt sprawy nie wynika jednak, aby dane osobowe, będące przedmiotem zaskarżonej decyzji, zostały w jakikolwiek sposób wykorzystane, wbrew dobru skarżącego. Nie można zatem przyjąć, że skarżący poniósł konkretną szkodę w związku z przetwarzaniem jego danych osobowych. W świetle zgromadzonego materiału dowodowego nie można stwierdzić, że kiedykolwiek wcześniej (przed datą wydania zaskarżonej decyzji) Fundacja dopuściła się naruszenia przepisów
z zakresu ochrony danych osobowych, a w konsekwencji, że zastosowano wobec niej środki, o których mowa w art. 58 ust. 2 RODO.
Wobec powyższego, zastosowanie środka naprawczego w postaci upomnienia za stwierdzone naruszenie nie może być uznane za nieodpowiednie czy nieproporcjonalne.
Odnosząc się natomiast do przedstawionej przez skarżącego argumentacji mającej przemawiać, jego zdaniem, za spełnieniem w niniejszej sprawie kryteriów zastosowania innej niż upomnienie kary, Sąd stwierdza, że podziela stanowisko organu zawarte w odpowiedzi na skargę, zgodnie z którym korzystanie z uprawnień naprawczych jest autonomiczną decyzją organu. Dotyczy to również uprawnienia
do nałożenia administracyjnej kary pieniężnej. Kara ta nie jest nakładana na wniosek strony skarżącej, bowiem przepisy RODO nie dają osobom, których dane dotyczą, prawa do żądania dokonania takiej czynności.
Wobec powyższego Sąd stwierdza, że organ, stosując w niniejszej sprawie instrument o charakterze naprawczym przewidziany w art. 58 ust. 2 lit. b) RODO, nie naruszył prawa. Sąd podziela stanowisko organu, że udzielenie upomnienia jest adekwatne do wagi stwierdzonych przez Fundację naruszeń ochrony danych osobowych.
Sąd nie stwierdził, aby organ dopuścił się naruszenia przepisów postępowania administracyjnego, tj. art. 7, art. 77 § 1 i art. 80 Kpa., w stopniu mogącym mieć istotny wpływ na wynik sprawy, a tylko takie naruszenie, w myśl art. 145 § 1 pkt 1
lit. c) p.p.s.a., mogłoby skutkować uchyleniem zaskarżonej decyzji. Organ ustalił bowiem wszystkie okoliczności faktyczne kluczowe dla rozstrzygnięcia sprawy oraz dokonał prawidłowej subsumcji ustalonego stanu faktycznego do dyspozycji przepisów prawa materialnego. Swe stanowisko uzasadnił w sposób adekwatny
do wymogów z art. 107 § 3 Kpa..
W tym stanie rzeczy Wojewódzki Sąd Administracyjny w Warszawie, działając na podstawie art. 151 p.p.s.a., orzekł jak w sentencji wyroku.
-----------------------
4