II SA/Wa 2080/24

II SA/Wa 2080/24 - Wyrok WSA w Warszawie
Data orzeczenia
2025-06-04
orzeczenie nieprawomocne
Data wpływu
2024-12-23
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Anna Pośpiech-Kłak
Joanna Kube /sprawozdawca/
Łukasz Krzycki /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U.UE.C 2010 nr 83 poz 389 art. 8 ust. 1 i ust. 3
KARTA PRAW PODSTAWOWYCH UNII EUROPEJSKIEJ
Dz.U.UE.L 2016 nr 119 poz 1 art. 6 ust. 1, art. 9 ust. 2, art. 58 ust. 2, art. 83
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Dz.U. 2024 poz 935
art. 119 pkt 2, art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Łukasz Krzycki, Sędzia WSA Joanna Kube (spr.), Asesor WSA Anna Pośpiech-Kłak, , po rozpoznaniu w trybie uproszczonym w dniu 4 czerwca 2025 r. sprawy ze skargi [...] i Partnerzy Sp. p. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] października 2024 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych, dalej: "Prezes UODO", "organ", decyzją z dnia [...] października 2024 r. nr [...]., na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t.j. Dz.U. z 2024 r. poz. 572) w zw. z art. 7 ust. 1 ustawy
o ochronie danych osobowych z dnia 10 maja 2018 r. (t.j. Dz.U. z 2019 r. poz. 1781), art. 6 ust. 1, art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4 maja 2016 r., str. 1, Dz. Urz. UE L 127 z 23 maja 2018 r., str. 2 oraz Dz. Urz. UE L 74 z 4 marca 2021 r., str. 35), dalej: "RODO", po przeprowadzeniu postępowania administracyjnego w sprawie skargi M. M. z dnia [...] lutego 2023 r. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] Sp.p. z siedzibą w [...] polegające na udostępnieniu jego danych osobowych osobom nieuprawnionym, na podstawie art. 58 ust. 2 lit. b RODO, upomniał [...] Sp.p. z siedzibą w [...], dalej: "Spółka", za naruszenie art. 6 ust. 1 RODO polegające na przetwarzaniu bez podstawy prawnej danych osobowych M. M., tj. sygnatury sprawy prowadzonej przeciwko niemu oraz informacji dotyczącej skazania go nieprawomocnym wyrokiem przez Sąd Rejonowy w [...].
W skardze z dnia [...] lutego 2023 r. skierowanej do Prezesa UODO M. M. (dalej: "skarżący") wskazał, że adwokat K. P., za pośrednictwem poczty elektronicznej, przekazał do wiadomości osób trzecich informacje stanowiące jego dane osobowe, tj. sygnaturę sprawy prowadzonej przeciwko niemu oraz informację dotyczącą skazania go nieprawomocnym wyrokiem przez Sąd Rejonowy w [...].
Skarżący podał, że ww. dane adwokat uzyskał w ramach prowadzenia sprawy o sygn. [...], w której reprezentował A. B.
Adwokat K. P. 10 lutego 2023 r. - posługując się adresem e-mail: [...] - skierował korespondencję na adresy e-mail pracowników Kancelarii KPGZ oraz na adres e-mail klienta kancelarii, tj. firmy [...], w której udostępnił dane osobowe skarżącego. W ww. korespondencji adwokat podpisywał się "K. P. Adwokat", wskazując przy tym nazwę Spółki i formę prawną, jej adres, a także adres strony internetowej i numer NIP.
Skarżący podał w uzupełnieniu skargi, że naruszenie zostało dokonane przez adwokata K. P., którego adresu nie zna. Do naruszenia doszło
w związku z wykonywaniem zawodu adwokata w Kancelarii [...] Sp.p. ul. [...] lok. [...], [...], tel. +48 [...].
Wobec braku wskazania adresu adwokata K. P., organ poinformował skarżącego pismem z dnia [...] października 2023 r., o pozostawieniu jego podania bez rozpoznania w tym zakresie.
Spółka, odpowiadając na wezwanie Prezesa UODO, poinformowała, że ustosunkowanie się do treści skargi i złożenie wyjaśnień w zakresie żądanym przez organ nadzorczy stanowiłoby naruszenie tajemnicy prawnie chronionej, jaką jest tajemnica zawodowa. Spółka wskazała, że adwokat K. P. nie jest i nie był jej pracownikiem, nie wykonuje i nie wykonywał zawodu w ramach Spółki. Spółka potwierdziła, że logo, dane i adres e-mail widniejące w wiadomości e-mail z [...] lutego 2023 r. (której kopię skarżący załączył do skargi), należą do Spółki. Potwierdziła również, że posługuje się adresami e-mail z końcówką [...] oraz że adres [...] należy do Spółki.
Organ ustalił, że w Krajowym Rejestrze Sądowym, w okresie objętym skargą, K. P. nie widniał jako Partner uprawniony do wykonywania zawodu
w ramach Spółki.
Prezes UODO, uzasadniając wydane w sprawie rozstrzygnięcie stwierdził, że ze zgromadzonego materiału dowodowego wynika, że wiadomość e-mail zawierająca dane osobowe skarżącego, tj. sygnaturę sprawy prowadzonej przeciwko niemu oraz informację dotyczącą skazania go nieprawomocnym wyrokiem przez Sąd Rejonowy w [...], została wysłana z adresu e-mail: [...]. Nadawca ww. wiadomości posłużył się logiem i danymi Spółki oraz podpisał się jako "Adwokat K. P.". W toku postępowania Spółka wskazywała, że adwokat K. P. nie jest i nie był pracownikiem oraz nie wykonywał ani nie wykonuje zawodu w ramach Spółki. Jednocześnie Spółka potwierdziła, że logo, dane i adres e-mail widniejące w wiadomości e-mail z dnia [...] lutego 2023 r. należą do Spółki oraz że Spółka posługuje się adresami e-mail z końcówką [...]",
a adres [...] należy do Spółki.
Organ przyjął, że Spółka udostępniła dane osobowe skarżącego bez podstawy prawnej. Spółka nie zaprzeczyła, że wskazana w skardze wiadomość
z dnia [...] lutego 2023 r. została wysłana z należącej do niej skrzynki pocztowej [...]. W toku całego postępowania Spółka nie odniosła się do zarzutu przetwarzania danych osobowych skarżącego, powołując się na tajemnicę zawodową. Nie wykazała więc podstaw do zastosowania przepisów prawa dotyczących tajemnicy zawodowej. Spółka, nie odnosząc się do zarzutu skarżącego popartego dowodami w postaci korespondencji e-mail, nie wykazała podstawy prawnej takiego przetwarzania, czym naruszyła art. 6 ust. 1 RODO.
W ocenie organu, Spółka w przedmiotowym przypadku niezasadnie powołuje się na tajemnicę zawodową z tego względu, że po pierwsze nie wskazała adwokata albo radcy prawnego, który świadczył pomoc prawną, będąc z nią powiązanym i miał związek z niniejszą sprawą. Zgodnie z wyjaśnieniami Spółki, adwokat K. P. nie jest i nie był pracownikiem Spółki oraz nie wykonywał ani nie wykonuje zawodu w ramach Spółki; po drugie Spółka nie wskazała dlaczego odmawia złożenia wyjaśnień - nie powołała się na okoliczność faktów (przytaczając konkretne fakty),
o których adwokat albo radca prawny dowiedział się udzielając pomocy prawnej lub prowadząc sprawę (zob. art. 6 ust. 3 ustawy z dnia 26 maja 1982 r. Prawo
o adwokaturze, Dz.U. z 2022 r. poz. 1184 z późn. zm., dalej: "p.o.a.") oraz art. 3 ust. 5 ustawy z dnia 6 lipca 1982 r. o radcach prawnych (t.j. Dz.U. z 2024 r. poz. 499 dalej: "u.r.p."). Dowody przedłożone przez skarżącego jednoznacznie wskazują, że doszło do udostępnienia jego danych osobowych za pomocą adresu e-mail: [...] należącego do Spółki, czemu Spółka nie zaprzecza.
Dlatego też Prezes UODO uznał za słuszne udzielenie Spółce upomnienia za naruszenie art. 6 ust. 1 RODO. Mocą bowiem art. 58 ust. 2 lit. b RODO każdemu organowi nadzorczemu przysługuje uprawnienie udzielania upomnienia administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania.
Pismem z dnia [...] listopada 2024 r. [...] Sp.p. z siedzibą
w [...] skierowała do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia
[...] października 2024 r. nr [...].
Spółka zarzuciła zaskarżonej decyzji:
I. naruszenie przepisów postępowania mających istotny wpływ na wynik sprawy, tj.:
1. art. 7 k.p.a. w zw. z art. 77 § 1 k.p.a. w zw. z art. 107 § 3 k.p.a. poprzez brak rozpatrzenia całokształtu materiału dowodowego oraz brak wskazania
w uzasadnieniu prawnym decyzji konkretnej podstawy prawnej rzekomego naruszenia dokonanego przez Spółkę, co w konsekwencji doprowadziło do pozbawienia Spółki możliwości poznania stanowiska organu nadzorczego w zakresie podstawy naruszenia. Co jednocześnie uniemożliwia Spółce odniesienie się do zarzucanego jej naruszenia;
2. art. 7 k.p.a. w zw. z art. 77 § 1 k.p.a. poprzez brak rozpatrzenia całokształtu materiału dowodowego oraz dokonanie dowolnej i wybiorczej oceny materiału dowodowego w zakresie, w jakim organ nadzorczy uznał, że Spółka udostępniła dane osobowe M. M. bez podstawy prawnej, podczas gdy w toku postępowania wykazano, że Spółka nie udostępniła danych osobowych będących przedmiotem niniejszego postępowania, co doprowadziło do niezasadnego nałożenia na Spółkę kary upomnienia;
3. art. 7 k.p.a. w zw. z art. 77 § 1 k.p.a. poprzez dokonanie dowolnej i wybiorczej oceny materiału dowodowego i błędne uznanie, że Spółka nie podniosła, iż zarzut M. M. w stosunku do Spółki jest bezpodstawny, podczas gdy skarżąca negowała zasadność ww. zarzutu, co spowodowało niezasadne wymierzenie Spółce kary upomnienia;
4. art. 7 k.p.a. w zw. z art. 77 § 1 k.p.a. poprzez brak rozpatrzenia całokształtu materiału dowodowego oraz dokonanie dowolnej i wybiorczej oceny materiału dowodowego w zakresie, w jakim organ nadzorczy uznał, że Spółka nie wykazała podstaw do zastosowania przepisów prawa dotyczących tajemnicy zawodowej oraz, że Spółka niezasadnie powołuje się na tajemnicę zawodową, podczas gdy bezsprzecznie dane żądane przez organ nadzorczy są objęte tajemnicą zawodową, a zatem Spółka nie mogła ich ujawnić nie naruszając podstawowych zasad wykonywania zawodu zaufania publicznego, jakim jest zawód radcy prawnego oraz adwokata, co doprowadziło do niezasadnego przyjęcia przez organ nadzorczy, że Spółka bezpodstawnie przetwarzała dane osobowe M. M. i tym samym wymierzenie Spółce kary upomnienia;
5. art. 7 k.p.a. w zw. z art. 77 § 1 k.p.a. poprzez brak rozpatrzenia całokształtu materiału dowodowego oraz dokonanie dowolnej i wybiorczej oceny materiału dowodowego poprzez błędne uznanie, że Spółka nie wskazała dlaczego odmawia złożenia wyjaśnień, w tym nie powołała się na okoliczność faktów o których adwokat albo radca prawny dowiedział się udzielając pomocy prawnej lub prowadząc sprawę, podczas gdy Spółka w powyższym zakresie była związana obowiązkiem zachowania tajemnicy zawodowej, co doprowadziło do niezasadnego uznania przez organ nadzorczy, iż Spółka dopuściła się zarzucanego jej naruszenia i tym samym wymierzenie Spółce kary upomnienia.
II. naruszenie prawa materialnego mające wpływ na wynik sprawy, tj.:
1. art. 64 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych w zw. z art. 5b u.r.p. w zw. z art. 16b p.o.a. poprzez ich niezastosowanie i brak wzięcia pod rozwagę, że informacje żądane przez organ nadzorczy podlegają tajemnicy zawodowej i nie mogą zostać ujawnione, gdyż tajemnice zawodów prawniczych mają prymat przed ujawnieniem organowi nadzorczemu dostępu do informacji, tym samym
brak było podstaw do uznania jakiejkolwiek odpowiedzialności Spółki i wymierzenia kary upomnienia;
2. art. 58 ust. 2 lit. b RODO poprzez niewłaściwe zastosowanie i wymierzenie Spółce kary upomnienia, podczas gdy brak było podstaw do wymierzenia Spółce jakiejkolwiek kary.
Spółka wniosła o:
1. uchylenie w całości zaskarżonej decyzji i przekazanie sprawy do ponownego rozpoznania;
2. rozpoznanie sprawy w trybie uproszczonym;
3. zwrot kosztów postępowania, w tym kosztów zastępstwa prawnego według norm prawem przepisanych, niezbędnych do celowego dochodzenia praw.
Argumentując podniosła, że art. 6 ust. 1 RODO zawiera również litery od a) do f), które obejmują warunki wskazujące na zakres dokonanego naruszenia. Aby dany podmiot dokonał naruszenia, musi być spełniony co najmniej jeden z enumeratywnie wymienionych warunków. W niniejszym postępowaniu organ zaniechał wskazania, który z warunków został spełniony, powołując się na ogólnikowe stwierdzenie, że "naruszenie art. 6 ust. 1 RODO polegające na przetwarzaniu bez podstawy prawnej danych osobowych".
W związku z powyższym ww. stwierdzenie organu nie zawiera w swojej treści żadnego z warunków enumeratywnie wskazanych w art. 6 ust. 1 lit. a)-f) RODO.
Spółka nie dopuściła się przetwarzania danych osobowych dotyczących M. M. z naruszeniem jakichkolwiek przepisów prawa.
Spółka nie neguje, że logo, dane i adres e-mail widniejące w wiadomości
z dnia [...] lutego 2023 r. do niej należą, co zostało wskazane na etapie postępowania przed organem. Spółka nie mogła dopuścić się zarzucanego naruszenia ujawnienia danych osobowych skoro adwokat K. P., któremu M. M. zarzuca ujawnienie tajemnicy zawodowej, nie był i nie jest ani pracownikiem Spółki, ani nie wykonuje i nie wykonywał zawodu w ramach Spółki.
Spółka nie udostępniła danych osobowych M. M., jak i negowała zasadność zgłoszonego zarzutu, zatem stanowisko organu nie znajduje odzwierciedlenia w zgromadzonym w aktach postępowania materiale dowodowym.
Organ zupełnie pominął, że Spółka w toku postępowania wskazywała przepisy prawa zobowiązujące ją do zachowania tajemnicy zawodowej. W szczególności wskazywała na aktualnie obowiązujący art. 5b u.r.p. zobowiązujący radców prawnych do zachowania tajemnicy zawodowej nawet w przypadku żądania informacji przez Prezesa Urzędu Danych Osobowych oraz art. 16b p.o.a. zobowiązujący adwokatów do zachowania ww. tajemnicy.
Tak więc, udzielając odpowiedzi na kierowane przez organ pytania, osoby uprawnione do reprezentacji Spółki naruszyłyby tajemnicę zawodową, co nie mogło
i nie może się wydarzyć z uwagi na wykonywanego zawodu zaufania publicznego. Obowiązujące przepisy prawa zakazują Spółce powoływanie się na jakiekolwiek okoliczności oraz udzielanie jakichkolwiek informacji objętych tajemnicą zawodową.
Zarówno art. 5b u.r.p. jak i art. 16b p.o.a. zakazują udzielania informacji objętych tajemnicą zawodową Prezesowi Urzędu Danych Osobowych. A ponieważ
w przepisach szczególnych nie został przewidziany żaden tryb zwolnienia adwokata lub radcy prawnego z obowiązku zachowania tajemnicy na okoliczność żądania skierowanego przez Prezesa UODO, tajemnica adwokacja i radcowska nie może być uchylona ani w żaden sposób ograniczona na żądanie organu nadzorczego (Litwiński Paweł, Zmiany w przepisach dotyczących przetwarzania danych osobowych przez adwokatów i radców prawnych (dodatek MoP 22/2019), MOP rok 2019 numer 22, str. 47).
W kontekście powyższego Spółka stwierdziła, że brak jest podstaw by przedkładać uprawnienia kontrolne organu nadzorczego nad prawo osób fizycznych lub prawnych korzystających z usług przedstawicieli ww. zawodów. Tajemnica zawodowa chroni prawo tych osób w szerokim zakresie, a nadto, chroni ich dane osobowe.
Dane żądane przez organ objęte były tajemnicą zawodową, a co za tym idzie nie mogły być udostępnione. Dlatego też brak było podstaw do stwierdzenia, iż Spółka dopuściła się naruszenia art. 6 ust. 1 RODO.
W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując dotychczasową argumentację.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Przypomnieć należy, że prawo do ochrony danych osobowych jest prawem gwarantowanym zarówno w krajowym, jak i unijnym porządku prawnym. Na płaszczyźnie krajowej regulacji prawo do ochrony danych osobowych znajduje oparcie w przepisie art. 51 Konstytucji RP. Przepis ten określa podstawowe uprawnienia składające się na prawo do ochrony danych osobowych, w kwestiach szczegółowych odsyłając do regulacji ustawowej.
W piśmiennictwie przedmiotu przyjmuje się, że prawo do ochrony danych osobowych stanowi refleks ogólnej zasady autonomii informacyjnej człowieka
i swego rodzaju emanację ogólnego prawa do prywatności, gwarantowanego w art. 47 Konstytucji RP, ze względu na to, że dane osobowe są częścią życia prywatnego bądź posługiwanie się danymi dotyczącymi innej osoby wkracza w przyznaną jej kompetencję do decydowania o swoim życiu osobistym (por. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Warszawa 2015, s. 260–261).
W porządku prawnym UE prawo do ochrony danych osobowych jest jednym
z praw podstawowych, które zostało zagwarantowane w art. 8 ust. 1 Karty praw podstawowych UE oraz art. 16 ust. 1 TFUE, o czym przypomina motyw 1 preambuły. W myśl wskazanych powyżej przepisów każda osoba ma prawo do ochrony danych osobowych jej dotyczących. Zgodnie z art. 8 ust. 2 Karty praw podstawowych UE, dane osobowe powinny być przetwarzane rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej ustawą; każdy ma prawo dostępu do zebranych danych, które go dotyczą, i prawo do dokonania ich sprostowania, natomiast ust. 3 wskazanego tu artykułu stanowi, iż przestrzeganie tych zasad podlega kontroli niezależnego organu.
Przepis art. 16 ust. 2 TFUE uprawnia Parlament Europejski i Radę UE do tego, aby stanowiąc zgodnie ze zwykłą procedurą ustawodawczą, określiły zasady dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii oraz przez państwa członkowskie w wykonywaniu działań wchodzących w zakres zastosowania prawa Unii, a także zasady dotyczące swobodnego przepływu takich danych. W odniesieniu do unijnych instytucji i organów zasady zostały określone w rozporządzeniu Parlamentu Europejskiego i Rady 2018/1725 z 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz. Urz. UE L 295, s. 39 i n.), natomiast zasady ochrony danych przez państwa członkowskie regulowane są przepisami RODO.
Podkreślić należy, że dane osobowe są elementem konstytucyjnego prawa do prywatności. Zatem przepis art. 6 ust. 1 RODO należy postrzegać w kategoriach regulacji prawnej wprowadzającej ograniczenia w zakresie prawa do prywatności, co pociąga za sobą dwie konsekwencje. Pierwszą odnoszoną do stanowienia prawa, drugą do stosowania prawa. W zakresie stanowienia prawa, ramy dalszego ograniczania prawa przez ustawodawcę zwykłego, poza przypadkami wskazanymi
w przepisach art. 6 ust. 1 RODO, nakłada przepis art. 31 ust. 3 Konstytucji RP. Dopuszcza on możliwość ograniczania praw uregulowanych w Konstytucji, pod warunkiem, że ograniczenia w zakresie korzystania z konstytucyjnych wolności
i praw ustanawiane są w ustawach i tylko wtedy, gdy są konieczne
w demokratycznym państwie dla jego bezpieczeństwa lub porządku publicznego, bądź dla ochrony środowiska, zdrowia i moralności publicznej, albo wolności i praw innych osób. Poza wymogami formalnymi i materialnymi, ograniczenia te nie mogą naruszać istoty wolności i praw.
Z punktu widzenia procesów stosowania prawa przepis art. 6 ust. 1 RODO, jako wprowadzający ograniczenia w zakresie konstytucyjnego prawa do prywatności, należy interpretować wyłącznie w ramach tzw. wykładni literalnej, tj. wykładni ścisłej, takiej, której rezultat pokrywa się z wynikiem wykładni językowej (zob. szerzej na ten temat TK w orzeczeniu z 28 czerwca 2000 r., K 25/99, OTK 2000, nr 5, poz. 141). Wymóg zastosowania technik tej wykładni wynika z charakteru przepisów art. 6 ust. 1 RODO, które mają charakter ograniczający prawa lub wolności jednostki.
Dopuszczalność przetwarzania danych osobowych określają przesłanki wymienione w art. 6 ust. 1 i art. 9 ust. 2 RODO w zależności od tego, czy przetwarzaniu mają być poddane dane zwykłe, czy też dane wrażliwe. Katalog przesłanek wymienionych w art. 6 ust. 1 i art. 9 ust. 2 RODO jest zamknięty. Przesłanki te mają charakter autonomiczny, co oznacza, że dla uznania procesu przetwarzania danych osobowych za zgodny z prawem, niezbędne jest spełnienie przez administratora danych choćby jednej z tych przesłanek.
W myśl art. 6 ust. 1 RODO, przetwarzanie jest zgodne z prawem wyłącznie
w przypadkach, gdy - i w takim zakresie, w jakim spełniony jest co najmniej jeden
z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego
w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
Mając powyższe na uwadze należy stwierdzić, że Prezes UODO prawidłowo przyjął w przedmiotowej sprawie, że Spółka naruszyła art. 6 ust. 1 RODO, ponieważ przetwarzała, w tym udostępniła dane osobowe skarżącego, tj. sygnaturę sprawy prowadzonej przeciwko niemu oraz informację dotyczącą skazania go nieprawomocnym wyrokiem przez Sąd Rejonowy w [...], chociaż nie legitymowała się którąkolwiek z wymienionych w tym przepisie przesłanek stanowiących
o legalności przetwarzania jego danych osobowych.
Skoro Spółka nie legitymowała się żadną z wymienionych w art. 6 ust. 1 RODO przesłanek legitymujących do przetwarzania danych osobowych skarżącego, to tym samym nie jest zasadny zarzut braku wskazania przez organ naruszenia konkretnej przesłanki z tego przepisu.
Zdaniem Sądu, nie ma dostatecznych podstaw, aby przyjąć, że informacje, których oczekiwał organ od Spółki w toku prowadzenia postępowania administracyjnego w przedmiotowej sprawie objęte były tajemnicą zawodową. Zasadnie organ nadzorczy wskazał, że przepisy o tajemnicy zawodowej nie odnoszą się do przedmiotu działalności lecz podmiotu (osoby fizycznej mającej tytuł zawodowy adwokata albo radcy prawnego) i faktów, o których ten podmiot powziął informację w związku z udzielaniem pomocy prawnej lub prowadzeniem sprawy. Spółka nie wykazała jednak, że żądane od niej przez organ informacje dotyczą adwokata albo radcy prawnego i zostały pozyskane w związku ze świadczoną przez niego pomocą prawną lub prowadzoną sprawą. Spółka wskazywała jedynie, że adwokat, którego imię i nazwisko wraz z danymi i logiem Spółki widniało na końcu wiadomości e-mail, zawierającej dane osobowe M. M., nigdy nie był zatrudniony w Spółce, nie wykonywał zawodu w ramach Spółki oraz aktualnie nie jest zatrudniony i nie wykonuje zawodu w ramach Spółki. Jednak co istotne, Spółka potwierdziła, że adres e-mail należy do niej i używany jest w ramach jej struktury. Spółka nie zaprzeczyła, że udostępniła dane osobowe skarżącego, że ww. wiadomość e-mail została wysłana z adresu e-mail należącego do Spółki, w tym zawierała jej dane i logo.
W kwestii podjętego rozstrzygnięcia wskazać należy, że Prezes UODO - na mocy art. 58 ust. 2 RODO - wyposażony jest w uprawnienia naprawcze
o charakterze władczym, kierowane do administratora lub podmiotu przetwarzającego, do których należy m.in. wydawanie ostrzeżeń, udzielanie upomnień, nakazanie spełnienia żądania osoby, której dane dotyczą (art. 58 ust. 2 RODO), czy zastosowanie administracyjnej kary pieniężnej, na mocy art. 83 RODO. Celem korzystania przez organ z ww. uprawnień naprawczych jest przywrócenie stanu zgodnego z prawem i zapewnienie egzekwowania przepisów o ochronie danych osobowych. Zgodnie z 129 motywem RODO, swoje uprawnienia organy nadzorcze powinny wykonywać zgodnie z odpowiednimi zabezpieczeniami proceduralnymi przewidzianymi w prawie Unii i prawie państwa członkowskiego, bezstronnie, sprawiedliwie i w rozsądnym terminie. W szczególności, każdy środek powinien być odpowiedni, niezbędny i proporcjonalny, aby zapewnić przestrzeganie niniejszego rozporządzenia. Podkreślenia wymaga, że korzystanie z uprawnień naprawczych jest autonomiczną decyzją organu.
Upomnienie może być stosowane - jak wyjaśniono w motywie 148 preambuły do RODO - w przypadku, gdy naruszenie przepisów rozporządzenia jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie, przy czym w każdym przypadku organ bierze pod uwagę okoliczności indywidualnej sprawy.
Uwzględniając powyższe Sąd stwierdza, że organ, udzielając upomnienia za wykazane uchybienia, nie naruszył prawa, a zastosowany instrument prawny jest adekwatny do wagi stwierdzonych naruszeń. Motywy podjęcia decyzji zostały wyjaśnione w sposób dostatecznie jasny i przekonywujący, a przytoczona w tym zakresie argumentacja jest wyczerpująca i w pełni odnosi się do stanowisk tak Spółki, jak i skarżącego.
W tym stanie sprawy, nie podzielając argumentów zawartych w złożonej skardze, oraz uznając iż organ w sposób prawidłowy zebrał i ocenił materiał dowodowy, a przy wykonywaniu tych czynności nie naruszył przepisów prawa, Wojewódzki Sąd Administracyjny w Warszawie orzekł, jak w sentencji wyroku, na podstawie art. 151 p.p.s.a.
Sąd rozpoznał sprawę na posiedzeniu niejawnym w trybie uproszczonym, na podstawie art. 119 pkt 2 p.p.s.a.