II SA/Wa 1906/22

II SA/Wa 1906/22 - Wyrok WSA w Warszawie
Data orzeczenia
2023-03-22
orzeczenie nieprawomocne
Data wpływu
2022-10-25
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Joanna Kube /przewodniczący sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżoną decyzję
Powołane przepisy
Dz.U. 2023 poz 259
art.145 par.1 pkt.1 lit. a i c
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - t.j.
Dz.U. 2019 poz 125
art.8 ust.2 pkt.2
Ustawa z 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Marcinkowska, Sędzia WSA Joanna Kube (spr.), Sędzia WSA Danuta Kania, Protokolant specjalista Joanna Głowala po rozpoznaniu na rozprawie w dniu 9 marca 2023 r. sprawy ze skargi [...] z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] sierpnia 2022 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję, 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz skarżącej [...] z siedzibą w W. kwotę 697 zł (słownie: sześćset dziewięćdziesiąt siedem złotych), tytułem zwrotu kosztów postępowania.
Uzasadnienie
Do Prezesa Urzędu Ochrony Danych Osobowych (dalej: "Prezes UODO", "organ") wpłynęła skarga Komendanta Straży Miejskiej w [...] (dalej: "Komendant") na nieudostępnienie przez [...] Sp. z o.o. z siedzibą
w [...] (dalej: Spółka) danych osobowych abonenta numeru (...) w zakresie imienia, nazwiska i adresu zamieszkania.
Na podstawie ustaleń organu w toku postępowania administracyjnego stan sprawy przedstawia się następująco:
Komendant w oparciu o art. 54 § 1 oraz z art. 56 § 2 ustawy z dnia 24 sierpnia 2001 r. Kodeks postępowania w sprawach o wykroczenia (Dz. U. z 2021 r. poz. 457) (dalej: k.p.w.) oraz na podstawie art. 10a ust. 1 pkt 1 oraz art. 12 ust. 1 pkt 5 ustawy
z dnia 29 sierpnia 1997 r. o strażach gminnych (Dz. U. z 2021 r. poz. 1763) prowadził czynności wyjaśniające w związku z podejrzeniem popełnienia wykroczenia z art. 90
i art. 97 ustawy z dnia 20 maja 1971 r. Kodeks wykroczeń (Dz. U. z 2021 r. poz. 2008) (dalej: k.w.).
Komendant wnioskiem z dnia [...] października 2021 r. zwrócił się do Spółki
o udostępnienie danych osobowych abonenta telefonu nr (...), informując
o prowadzonych czynnościach oraz powołując się na art. 161 ust. 1 pkt 1 ustawy
z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2021 r. poz. 576 ze zm.)
w zw. z art. 10a ust. 1 pkt 1 oraz art. 12 ust. 1 pkt 5 ustawy o strażach gminnych.
Odpowiadając na ww. wniosek, Spółka pismem z dnia [...] listopada 2021 r. odmówiła udzielenia ww. informacji, podnosząc brak wykazania jednoznacznej podstawy prawnej umożliwiającej udostępnienie danych osobowych objętych tajemnicą telekomunikacyjną zgodnie z art. 159 ust. 1 pkt 1 ustawy Prawo telekomunikacyjne.
Komendant ponownie wnioskiem z dnia [...] grudnia 2021 r. zwrócił się do Spółki
o udostępnienie danych osobowych abonenta telefonu numeru (...) (imię, nazwisko, adres zamieszkania/zameldowania), informując Spółkę o prowadzonych czynnościach oraz powołując się na art. 161 ust. 1 pkt 1 i art. 159 ust. 2 pkt 4 ustawy Prawo telekomunikacyjne art. 10a ust. 1 pkt 1 oraz art. 12 ust. 1 pkt 5 ustawy
o strażach gminnych, art. 54 § 1 oraz art. 56 § 2 k.p.w., art. 23 ust. 1 pkt 2 i 4 ustawy o ochronie danych osobowych.
Odpowiadając na ww. wniosek Spółka pismem z dnia [...] grudnia 2021 r. ponownie odmówiła udzielenia ww. informacji, powtarzając wcześniejszą argumentację.
Prezes UODO decyzją z dnia [...] sierpnia 2022 r. nr [...], na podstawie art. 104 § 1 Kodeksu postępowania administracyjnego (Dz. U.
z 2021 r. poz. 735 ze zm.), dalej: "k.p.a.", oraz art. 5 ust. 1 pkt 8, art. 8 ust. 2 pkt 2
w zw. z art. 12 i art. 13 ust. 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125) oraz art. 161 ust. 2 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2021 r. poz. 576), nakazał Spółce udostępnienie Komendantowi danych osobowych abonenta numeru (...)
w zakresie imienia, nazwiska i adresu zamieszkania.
Uzasadniając decyzję organ wskazał na art. 159 ust. 2 pkt 4 ustawy Prawo telekomunikacyjne, zgodnie z którym zakazane jest zapoznawanie się, utrwalanie, przechowywanie, przekazywanie lub inne wykorzystywanie treści lub danych objętych tajemnicą telekomunikacyjną przez osoby inne niż nadawca i odbiorca komunikatu, chyba że będzie to konieczne z innych powodów przewidzianych ustawą lub przepisami odrębnymi. Art. 159 ust. 4 ustawy Prawo telekomunikacyjne stanowi, iż przepisów ust. 2 i 3 nie stosuje się do komunikatów i danych ze swojej istoty jawnych, z przeznaczenia publicznych lub ujawnionych postanowieniem sądu wydanym w postępowaniu karnym, postanowieniem prokuratora lub na podstawie odrębnych przepisów.
W myśl zaś art. 161 ust. 1 ustawy Prawo telekomunikacyjne z zastrzeżeniem ust. 2, treści lub dane objęte tajemnicą telekomunikacyjną mogą być zbierane, utrwalane, przechowywane, opracowywane, zmieniane, usuwane lub udostępniane tylko wówczas, gdy czynności te, zwane dalej "przetwarzaniem", dotyczą usługi świadczonej użytkownikowi albo są niezbędne do jej wykonania. Przetwarzanie
w innych celach jest dopuszczalne jedynie na podstawie przepisów ustawowych.
Zatem, zdaniem Prezesa UODO, powyższe przepisy prawa wskazują na możliwość udostępnienia danych objętych tajemnicą telekomunikacyjną, gdy stanowią tak przepisy odrębne.
Zgodnie z art. 161 ust. 2 ustawy Prawo telekomunikacyjne przetwarzanie danych osobowych użytkownika będącego osobą fizyczną innych niż wskazane
w art. 159 ust. 1 pkt 2-5 - odbywa się na podstawie przepisów o ochronie danych osobowych.
W myśl art. 13 ust. 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych
o osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125) właściwe organy przetwarzają dane osobowe wyłącznie w zakresie niezbędnym dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.
Zgodnie z art. 10 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o strażach gminnych straż wykonuje zadania w zakresie ochrony porządku publicznego wynikające
z ustaw i aktów prawa miejscowego. Zgodnie z art. 10a ust. 1 tej ustawy straż w celu realizacji ustawowych zadań może przetwarzać dane osobowe, z wyłączeniem danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, bez wiedzy i zgody osoby, której dane te dotyczą. Dane te mogą być uzyskane w wyniku wykonywania czynności podejmowanych w postępowaniu
w sprawach o wykroczenia lub z rejestrów, ewidencji i zbiorów, do których straż posiada dostęp na podstawie odrębnych przepisów.
Stosownie do art. 12 ust. 1 pkt 5 ustawy strażnik wykonując zadania, o których mowa w art. 10 i art. 11, ma prawo m. in. do dokonywania czynności wyjaśniających, kierowania wniosków o ukaranie do sądu, oskarżania przed sądem i wnoszenia środków odwoławczych - w trybie i zakresie określonych w Kodeksie postępowania
w sprawach o wykroczenia.
W myśl art. 17 k.p.w., straż gminna (miejska) jest jednym z oskarżycieli publicznych, któremu przysługuje prawo do przeprowadzenia czynności wyjaśniających w celu ustalenia, czy istnieją podstawy do wystąpienia z wnioskiem
o ukaranie, oraz zebrania danych niezbędnych do sporządzenia wniosku o ukaranie (art. 54-56 ustawy). Zgodnie z art. 57 § 2 pkt 1 k.p.w. wniosek o ukaranie powinien zawierać imię, nazwisko oraz adres obwinionego, a także inne dane niezbędne do ustalenia jego tożsamości.
Realizacja przez straż miejską zadań nałożonych na nią ustawowo wymaga wykorzystania informacji o osobach, których działania te dotyczą. Przepisy ustawy
o strażach gminnych wprost stanowią o prawie straży miejskiej do przetwarzania danych osobowych w związku z realizacją określonych prawem zadań, bez konieczności uzyskania na to zgody osoby, której dane dotyczą (art. 10a ust. 1). Oznacza to, że Komendant, na mocy stosownych przepisów, ma prawo zwrócić się do operatora telekomunikacyjnego o udostępnienie niezbędnych danych osobowych, zaś operator ten powinien — mając na względzie fakt realizacji obowiązku czuwania przez straż miejską nad przestrzeganiem prawa przez obywateli — udostępnić informacje w zakresie wnioskowanym. W takiej sytuacji dochodzi bowiem do realizacji dyspozycji z art. 161 ust. 1 in fine ustawy Prawo telekomunikacyjne.
Prezes UODO stwierdził, iż w przedmiotowej sprawie Straż Miejska w [...] wykonuje zadania w zakresie ochrony porządku publicznego. Do wypełnienia tych zadań niezbędne jest ustalenie sprawcy wykroczenia, a następnie skierowanie do sądu wniosku o ukaranie. Istnienie po stronie Straży Miejskiej obowiązku wynikającego z przepisów prawa jest czynnikiem, który Spółka powinna wziąć pod uwagę w kontekście realizacji obowiązku ochrony danych abonenta na gruncie przepisów ustawy Prawo telekomunikacyjne.
Jednocześnie Prezes UODO podkreślił, że nie stoją na przeszkodzie udostępnieniu danych osobowych abonenta przepisy art. 159 ust. 2 i 4 ustawy Prawo telekomunikacyjne. Taki pogląd przedstawił również Naczelny Sąd Administracyjny
w wyroku z dnia 14 marca 2019 r., sygn. akt I OSK 1429/17, wskazując, że podziela stanowisko, iż "(...) przetworzenie (...) danych osobowych objętych tajemnicą telekomunikacyjną w celu przekazania ich Straży Miejskiej na potrzeby prowadzonego postępowania nie jest zakazane w świetle art. 159 ust. 1-4 ustawy Prawo telekomunikacyjne".
Istotne dla niniejszej sprawy jest również stanowisko, które zaprezentował Naczelny Sąd Administracyjny w wyroku z dnia 6 marca 2019 r., sygn. akt I OSK 2677/16, stwierdzając, iż "[w] związku z powyższym należy wyjaśnić, że wprawdzie przepisy ustawy o ochronie danych osobowych, Prawa telekomunikacyjnego, ustawy o strażach gminnych czy Kodeksu postępowania w sprawach o wykroczenia nie stanowią wprost o uprawnieniu straży gminnej do żądania, w przypadku prowadzenia postępowania w sprawie popełnienia wykroczenia, od operatora sieci danych osobowych jej abonenta, takich jak: imię, nazwisko i adres zamieszkania, który jest potencjalnym sprawcą czynu, tym niemniej — w ocenie składu orzekającego - nie ulega wątpliwości, iż takie uprawnienie straż gminna/miejska jednak posiada. Wykładnia przepisów, regulujących omawianą materię, nie może bowiem prowadzić do paraliżu organu, mającego ustawowe kompetencje do m. in. ścigania sprawców wykroczeń".
Prezes UODO stwierdził zatem, że Komendant legitymuje się podstawą prawną do pozyskania danych osobowych abonenta numeru (...) w zakresie jego imienia, nazwiska i adresu zamieszkania na mocy art. 161 ust. 2 ustawy Prawo telekomunikacyjne oraz art. 13 ust. 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Wobec powyższego uznał, że Spółka bezpodstawnie odmówiła Komendantowi udostępnienia ww. danych.
Mając na uwadze powyższe, Prezes UODO uznał za zasadne skorzystanie
w niniejszej sprawie z instrumentu o charakterze naprawczym przewidzianego w art. 8 ust. 2 pkt 2 ustawy o ochronie danych osobowych przetwarzanych w związku
z zapobieganiem i zwalczaniem przestępczości i nakazał Spółce udostępnienie Komendantowi danych osobowych abonenta numeru (...) w zakresie jego imienia, nazwiska i adresu zamieszkania.
Spółka pismem z dnia 4 października 2022 r. skierowała do Wojewódzkiego Sądu Administracyjnego w Warszawie za pośrednictwem Prezesa UODO skargę na decyzję Prezesa UODO z dnia [...] sierpnia 2022 r. nr [...].
W treści skargi Spółka zarzuciła zaskarżonej decyzji naruszenie:
1) art. 8 ust. 2 pkt 2 w zw. z art. 4 pkt 1 w zw. z art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych przetwarzanych w związku z zapobieganiem
i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125 ze zm.) poprzez jego błędną wykładnię polegającą na wadliwym przyjęciu, że zachodzi przypadek "naruszenia przepisów o ochronie danych osobowych", oraz że Spółka ma status "administratora"
w rozumieniu art. 4 pkt 1 tej ustawy, a w wyniku powyższego - nieprawidłowe uznanie, iż art. 8 ust. 2 pkt 2 ww. ustawy stanowi podstawę prawną dla wydania wobec Spółki nakazu udostępnienia Komendantowi danych osobowych abonenta Spółki,
2) art. 159 ust. 3 i 4 oraz art. 160 ust. 1 i art. 161 ust. 1 i 2 w zw. z art. 159 ust. 1 pkt 1 ustawy z dnia 20 lipca 2004 r. Prawo telekomunikacyjne poprzez błędną wykładnię, polegającą na wadliwym przyjęciu, iż przepisy te nie stoją na przeszkodzie udostępnieniu Komendantowi przez Spółkę danych osobowych abonenta, objętych tajemnicą telekomunikacyjną,
3) przepisów postępowania, które miało wpływ na wynik sprawy, tj. naruszenie art. 107 § 1 pkt 6 i § 2 k.p.a. poprzez niewyjaśnienie podstawy prawnej nakazu zawartego w decyzji.
Spółka wniosła o uchylenie zaskarżonej decyzji w całości, orzeczenie
o kosztach postępowania sądowoadministracyjnego, w tym kosztach zastępstwa procesowego, według właściwych przepisów prawa.
W odpowiedzi na skargę Prezes UODO wniósł o jej oddalenie, podtrzymując dotychczasową argumentację.
W piśmie procesowym z dnia 28 lutego 2023 r. Spółka podtrzymała argumentację zawartą w skardze i z ostrożności procesowej, na podstawie art. 267 Traktatu o Funkcjonowaniu Unii Europejskiej, zwróciła się z wnioskiem
o skierowanie przez tutejszy Sąd do Trybunału Sprawiedliwości Unii Europejskiej
z następującymi pytaniami prejudycjalnymi dotyczącymi tej wykładni:
1) Czy art. 3 pkt 8) dyrektywy Parlamentu Europejskiego i Rady (UE) 2076/680
z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiW (dalej "dyrektywa 2016/680") w zw. z 7 ust. 1 dyrektywy 2076/680 oraz art. 2 ust. 7 dyrektywy 2076/680 należy interpretować w ten sposób, że "administratorem" w rozumieniu tej dyrektywy jest wyłącznie właściwy organ, który przetwarza dane osobowe do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych
i wykonywania kar, a w szczególności, że "administratorem" na gruncie tego aktu nie jest przedsiębiorca telekomunikacyjny, który nie gromadzi i nie przetwarza danych osobowych w tych celach?
2) Czy art. 47 ust. 2 dyrektywy 2076/680 w zw. z art. 3 pkt 8 dyrektywy 2076/680, art. 3 pkt 77) dyrektywy 2076/680, art. 7 ust. 1 dyrektywy 2016/680 oraz art. 2 ust. 1 dyrektywy 2076/680 należy interpretować w ten sposób, że organ nadzorczy może wykonywać uprawnienia naprawcze, o których mowa w art. 47 ust. 2 tej dyrektywy, wyłącznie wobec właściwych organów przetwarzających dane osobowe do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar (względnie wobec podmiotów przetwarzających dane w imieniu takich organów) oraz jedynie
w związku z ewentualnym naruszeniem ochrony danych osobowych przetwarzanych w tych celach, a w szczególności, że na podstawie powyższych przepisów organ nadzorczy nie może wykonywać uprawnień naprawczych wobec przedsiębiorcy telekomunikacyjnego, który nie gromadzi i nie przetwarza danych osobowych w tych celach?
3) Czy art. 2 ust. 2 lit. d) Rozporządzenia Parlamentu Europejskiego i Rady 7 (UE) 2076/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej: "RODO" w zw. z art. 2 ust. 7 dyrektywy 2016/680 oraz art. 7 ust. 1 dyrektywy 2076/680 należy interpretować w ten sposób, że dyrektywa 2076/680 znajduje zastosowanie wyłącznie do przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, natomiast do przetwarzania danych osobowych przez inne podmioty i w innych celach (w tym do przetwarzania danych osobowych przez przedsiębiorców telekomunikacyjnych), dyrektywa 2076/680 nie znajduje zastosowania?
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (tekst jednolity Dz. U. z 2022 r., poz. 2492), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.
W świetle powołanych przepisów cyt. ustawy, Wojewódzki Sąd Administracyjny w Warszawie, w zakresie swojej właściwości, ocenia zaskarżoną decyzję administracyjną, postanowienie, czy też inny akt lub czynność z zakresu administracji publicznej dotyczącą uprawnień lub obowiązków wynikających
z przepisów prawa, z punktu widzenia ich zgodności z prawem materialnym
i przepisami postępowania administracyjnego, według stanu faktycznego i prawnego obowiązującego w dacie wydania tego aktu lub podjęcia spornej czynności. Chodzi więc o kontrolę aktów lub czynności z zakresu administracji publicznej, dokonywaną wyłącznie pod względem ich zgodności z prawem materialnym i przepisami procesowymi, nie zaś według kryteriów słuszności, czy też zgodności z zasadami współżycia społecznego.
Ponadto, Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną (vide: art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi - tekst jednolity Dz. U. z 2023 r., poz. 259 - dalej: "p.p.s.a.").
Skarga okazała się zasadna.
Zaskarżona decyzja jest wadliwa, ponieważ Prezes UODO, nakazując [...] sp. z o.o. z siedzibą w [...] udostępnienie Komendantowi Straży Miejskiej w [...] danych osobowych abonenta numeru (...)
w zakresie imienia, nazwiska i adresu zamieszkania, naruszył w stopniu mającym wpływ na wynik sprawy art. 8 ust. 2 pkt 2 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości poprzez błędne zastosowanie, gdyż w przedmiotowej sprawie nie zostały spełnione elementy hipotezy i dyspozycji normy zawartej w tym przepisie.
Przepis ten przewiduje, że w przypadku naruszenia przepisów o ochronie danych osobowych zbieranych w celach, o których mowa w art. 7 pkt 7, Prezes Urzędu, w drodze decyzji administracyjnej, nakazuje administratorowi lub podmiotowi przetwarzającemu przywrócenie stanu zgodnego z prawem.
Odmowa przez Spółkę udostępnienia Komendantowi Straży Miejskiej
w [...] danych osobowych abonenta, nie jest sytuacją "naruszenia przepisów
o ochronie danych osobowych". Prezes UODO nie wskazał w decyzji, jaką normę prawną - w przedmiocie ochrony danych osobowych naruszyła Spółka, nie powołał żadnego przepisu, który nakazywałby Spółce (statuował obowiązek prawny) udostępnienie danych osobowych abonenta.
Dane osobowe klienta (abonenta) Spółki nie zostały zebrane przez Spółkę
w celach opisanych w art. 1 pkt 1 ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, tj. rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, w tym zagrożeń dla bezpieczeństwa i porządku publicznego, a także wykonywania tymczasowego aresztowania, kar, kar porządkowych i środków przymusu skutkujących pozbawieniem wolności.
Przepisy ustawy o ochronie danych osobowych przetwarzanych w związku
z zapobieganiem i zwalczaniem przestępczości nie mają zastosowania do podmiotu takiego jak Spółka. W szczególności nie jest ona administratorem, o którym mowa
w art. 4 pkt 1 ustawy o ochronie danych osobowych przetwarzanych w związku
z zapobieganiem i zwalczaniem przestępczości, a decyzja Prezesa UODO oparta na jej art. 8 ust. 2 pkt 2 może zostać wydana jedynie wobec tego organu lub podmiotu, który jest "administratorem" w rozumieniu art. 4 pkt 1 tej ustawy.
Na gruncie przedmiotowej ustawy wprowadzono swoistą definicję legalną "administratora", odmienną od definicji "administratora" w rozumieniu art. 7 pkt 7 RODO.
W art. 3 pkt 4 dyrektywy 2016/680 (wdrożoną ustawą z dnia 14 grudnia
2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem
i zwalczaniem przestępczości - art. 4 pkt 1 ) zawarta została definicja "administratora" (odmienna od definicji "administratora" z RODO) tj.: "administrator" oznacza właściwy organ, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Jeżeli cele i sposoby przetwarzania są określone prawem Unii lub prawem państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.
Pojęcie "administratora" w dyrektywie 1016/680, a w ślad za tym w ustawie
z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku
z zapobieganiem i zwalczaniem przestępczości, zostało zastrzeżone dla właściwych organów państwa powołanych do zapobiegania i zwalczania przestępczości, a także dla innych podmiotów wyznaczonych w prawie Unii lub w prawie krajowym, jeżeli
z przepisów tego prawa wynika "wyznaczenie" takiego podmiotu do działania w celu zabiegania i zwalczania przestępczości.
Jest niewątpliwym, że ustawa z dnia 29 sierpnia 1997 r. o strażach gminnych powołuje ten organ do działania w wyżej opisanym celu - jednak nie powoduje to automatycznie podstawy dla stosowania przepisów ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem
i zwalczaniem przestępczości, wobec Spółki, do której ma zastosowanie RODO oraz przepisy ustawy Prawo telekomunikacyjne. Przepisy ustawy o strażach gminnych statuują jedynie podstawę prawną dla przetwarzania danych przez straż gminną, nie mogą zaś być źródłem obowiązku prawnego ciążącego na innym podmiocie,
a zwłaszcza w sytuacji, w której na podmiocie tym jedocześnie ciąży szczególny - wykraczający nawet poza przepisy RODO - prawny obowiązek strzeżenia tajemnicy
o charakterze ustawowym.
Należy zatem przyjąć, że przepisy ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, nie mają zastosowania do podmiotu takiego jak Spółka.
W szczególności nie jest ona administratorem, o którym mowa w art. 4 pkt 1 tej ustawy, a decyzja Prezesa UODO oparta na jej art. 8 ust. 2 pkt 2 może zostać wydana jedynie wobec tego organu lub podmiotu, który jest "administratorem"
w rozumieniu art. 4 pkt 1 tej ustawy.
Już samo zakwestionowanie podstawy prawnej decyzji administracyjnej przesądza o jej wadliwości i potrzebie usunięcia z obrotu prawnego.
Niezalenie od tego zasadne okazały się również zarzuty względem dokonanej przez Prezesa UODO wykładni przepisów ustawy Prawo telekomunikacyjne. Brak jest bowiem przepisu rangi ustawowej, który zobowiązywałby przedsiębiorcę telekomunikacyjnego do udostępnienia straży miejskiej danych osobowych abonenta i tym samym zwalniał go z obowiązku zachowania tajemnicy telekomunikacyjnej. Żaden z powołanych przez Prezesa UODO w decyzji przepisów ustawy o strażach gminnych lub innego aktu prawnego – nie reguluje zasad udostępniania komendantowi straży miejskiej przez przedsiębiorcę telekomunikacyjnego danych abonenta objętych tajemnicą telekomunikacyjną.
Samo odwołanie się Prezesa UODO do "stosownych przepisów" nie wystarczy do wywiedzenia obowiązku Spółki udostępnienia danych osobowych klienta Komendantowi Straży Miejskiej w [...].
W tym miejscu należy stwierdzić, że brak dostatecznego wyjaśnienia przez Prezesa UODO w uzasadnieniu zaskarżonej decyzji podstawy prawnej nakazu w niej zawartego naruszył także art. 107 § 1 pkt 6 i § 2 k.p.a.
Tym samym, nie było w stanie faktycznym niniejszej sprawy podstaw do skorzystania przez Prezesa UODO z uprawnienia określonego w art. 8 ust. 2 pkt 2 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych
w związku z zapobieganiem i zwalczaniem przestępczości w postaci nakazania Spółce udostępnienia Komendantowi danych osobowych abonenta numeru (...)
w zakresie imienia, nazwiska i adresu zamieszkania.
Odnośnie zaś powołanych przez Prezesa UODO, na poparcie stanowiska zajętego w zaskarżonej decyzji, wyroków Naczelnego Sądu Administracyjnego
w sprawach sygn. akt I OSK 1429/19 i sygn. akt I OSK 2677/16, to należy zwrócić uwagę, że zapadły one w wyniku skarg na decyzje Generalnego Inspektora Ochrony Danych Osobowych, wydanych w innym porządku prawnym, kiedy nie obowiązywała ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych
w związku z zapobieganiem i zwalczaniem przestępczości ani RODO.
Sąd w składzie orzekającym w niniejszej sprawie nie podzielił stanowiska przyjętego przez Wojewódzki Sąd Administracyjny w Warszawie w prawomocnym wyroku z dnia 9 czerwca 2021 r. wydanym w analogicznej sprawie o sygn. II SA/Wa 109/21.
Wskazać również należy, że nie zasługuje na uwzględnienie wniosek
o zadanie pytania prejudycjalnego, ponieważ nie zostały spełnione przesłanki z art. 267 TFUE. Wniosek o skierowanie pytania prejudycjalnego do Trybunału Sprawiedliwości Unii Europejskiej, na podstawie art. 267 Traktatu o Funkcjonowaniu Unii Europejskiej, o zaproponowanej przez skarżącą Spółkę treści, nie wiąże Wojewódzkiego Sądu Administracyjnego w Warszawie, gdyż w ocenie składu orzekającego i uwzględniając przedmiot skargi, kierowanie powyższego pytania nie znajduje uzasadnienia w tym, że podniesiona kwestia nie jest niezbędna do wydania wyroku.
Mając na względzie powyższe, Wojewódzki Sąd Administracyjny
w Warszawie, na podstawie art. 145 § 1 pkt 1 lit. a i c p.p.s.a., orzekł jak w pkt 1 sentencji wyroku.
O zwrocie kosztów postępowania, w łącznej kwocie 697 zł (na którą składają się wpis sądowy od skargi – 200 zł, koszty zastępstwa procesowego – 480 zł, oraz opłata skarbowa od pełnomocnictwa), Sąd orzekł w punkcie 2 sentencji wyroku na mocy art. 200 i art. 205 § 2 p.p.s.a. w związku z § 14 ust. 1 pkt 1 lit. c) rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 r. w sprawie opłat za czynności radców prawnych (Dz. U. z 2018 r., poz. 265).
[pic]