II SA/Wa 2273/23

II SA/Wa 2273/23 - Wyrok WSA w Warszawie
Data orzeczenia
2024-08-14
orzeczenie prawomocne
Data wpływu
2023-12-04
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Dorota Kozub-Marciniak
Karolina Kisielewicz-Sierakowska
Sławomir Antoniuk /przewodniczący sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2023 poz 775
art. 61a par. 1
Ustawa z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (t. j.)
Dz.U. 2019 poz 1781
art. 7 ust. 1 i 2
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (t. j.)
Dz.U. 2024 poz 935
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Sławomir Antoniuk (spr.), Sędzia WSA Karolina Kisielewicz-Sierakowska, Asesor WSA Dorota Kozub-Marciniak, po rozpoznaniu w trybie uproszczonym w dniu 14 sierpnia 2024 r. sprawy ze skargi M. M. na postanowienie Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] października 2023 r. nr [...] w przedmiocie odmowy wszczęcia postępowania oddala skargę
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO) postanowieniem z [...] października 2023 r. nr [...], na podstawie art. 61a § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2023 r. poz. 775 z późn. zm.) w związku z art. 7 ust. 1 i ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), odmówił wszczęcia postępowania administracyjnego w sprawie ze skargi M. M. na nieprawidłowości w procesie przetwarzania danych osobowych przez Zakład Ubezpieczeń Społecznych z siedzibą w [...] polegające na udostępnieniu mu dokumentów z danymi osobowymi bez weryfikacji jego tożsamości.
W uzasadnieniu rozstrzygnięcia organ podał, że [...] lutego 2023 r. do Prezesa UODO wpłynęła skarga M. M. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Zakład Ubezpieczeń Społecznych Oddział [...] polegające na udostępnieniu mu dokumentów z danymi osobowymi bez weryfikacji jego tożsamości.
W skardze M. M. wskazał, że: "W dniu [...] stycznia 2023 stawiłem się z kamerą. Ochroniarzowi powiedziałem, że wezwał mnie M. M.. (...) ani ochrona ani P. D. nie chcieli ode mnie okazania żadnego dokumentu potwierdzającego, że ja to ja. (...) M. M. dał mi dwie teczki zawierające dane osobowe i dane wrażliwe i poufne. Były to odpisy listów wysyłanych przez ZUS we wrześniu 2020 oraz listopadzie 2021. Ani przed wydaniem mi tych teczek przez M. M., J. B. i P. D., żadne z tej trójki pracowników administratora danych nie chciało ode mnie (...) Naczelnik nie poddał mnie żadnemu procesowi weryfikacji mojej tożsamości przed okazaniem dokumentów, ani później okazania dowodu tożsamości, aby się upewnić, czy osoba której wydają dane osobowe i dane wrażliwe i dane poufne to w rzeczywistości właściwa osoba. Doszło zatem w moim przekonaniu do złamania zasad bezpieczeństwa przetwarzania danych osobowych przez administratora danych jakim jest ZUS. (...) Naczelnik nie poddał mnie żadnemu procesowi weryfikacji mojej tożsamości przed okazaniem dokumentów, ani później. (...) mojej ocenie doszło zatem do złamania RODO przez administratora danych, który w sposób nienależyty i sprzeczny z zasadami bezpieczeństwa przetwarzania danych moje dane przetwarzał: 1. Nie zweryfikowano mojej tożsamości poprzez okazanie dowodu osobistego przez: naczelnika ZUS M. M., pracownika ZUS P. D. oraz pracownicy ZUS J. B. 2. Wydano mi dokumenty zawierające dane osobowe i dane wrażliwe bez wcześniejszej weryfikacji moich danych osobowych czyli administrator nie upewnił się, że udostępnia dane osobowe właściwej osobie.". W związku z ww. zarzutami, skarżący wskazał, że wnosi o: "(...) zobowiązanie administratora danych przez UODO do udzielenia szczegółowych i popartych dokumentami potwierdzających prawdziwość twierdzeń organu rentowego (...):
1. Zobowiązanie administratora danych do przesłania odpisu procedury weryfikacji tożsamości osób fizycznych, które stawiają się w ZUS po wezwaniu na termin do realizacji ich prawa wynikającego z art. 73 K.p.a.. Chodzi o dokument, który istniał i był wprowadzony do użytku przed [...] stycznia 2023 r. obowiązywał w dniu [...] stycznia 2023 r.
2. Ustalenie u administratora danych osobowych dlaczego w dniu [...] stycznia 2023 r. przed wydaniem dokumentów zawierających dane osobowe i dane wrażliwe M. M. nie zweryfikował np. po okazaniu dowodu osobistego, osoby podającej się za M. M., której wydał dane osobowe z pism z września 2020 r. i listopada 2021 r.
3. Ustalenie u administratora danych osobowych dlaczego w dniu [...] stycznia 2023 r. przed wydaniem dokumentów zawierających dane osobowe i dane wrażliwe P. D. nie zweryfikował np. po okazaniu dowodu osobistego, osoby podającej się za M. M., której wydał dane osobowe z pism z września 2020 r. i listopada 2021 r.
4. Ustalenie u administratora danych osobowych dlaczego w dniu [...] stycznia 2023 r. strona 1 z 7 przed wydaniem dokumentów zawierających dane osobowe i dane wrażliwe J. B. nie zweryfikowała np. po okazaniu dowodu osobistego osoby podającej się za M. M., której wydał dane osobowe z pism z września 2020 r. i listopada 2021 r.
5. Ustalenie u administratora danych w jaki sposób ZUS oddział [...] weryfikuje tożsamość osoby, której wydaje dokumenty w następstwie realizacji art. 73 K.p.a.
6. Ustalenie u administratora czy jest prawdą twierdzenie Naczelnika ZUS M. M. z [...] luty 2023 r., że pracownicy ZUS mają obowiązek przed okazaniem dokumentów z ramach realizacji tego konkretnego przepisu czyli art 73 K.p.a. spisywać numer dowodu osobistego wnioskodawcy oraz numer PESELwnioskodawcy.
7. Jeśli odpowiedź na pytanie 6 jest potwierdzająca to ustalenie dlaczego M. M., P. D. oraz J. B. złamali zasady bezpieczeństwa przetwarzania danych osobowych [...] stycznia 2023 r. i nie tylko nie zażądali okazania dowodu osobistego, ale nie spisali z nich żadnych danych.
8. Ustalenie u administratora danych, jeśli odpowiedź na pytanie 6 jest twierdząca, w jaki sposób spisane dane osobowe w postaci numeru dowodu osobistego i numeru PESEL są potem archiwizowane, gromadzone i przetwarzane, a przede wszystkim gdzie są przechowywane i kto ma do nich i w jakich okolicznościach dostęp.
9. Jeśli odpowiedź na pytanie 6 jest negatywna to ustalić z administratorem danych dlaczego Naczelnik ZUS i jego pracownicy kłamią i wprowadzają w błąd osobę, której dane osobowe przetwarzają co do istniejących procedur u administratora danych osobowych."
Ponadto skarżący wskazał, że: "Od UODO oczekuję by:
1. Zobowiązał administratora danych do udzielania odpowiedzi w dwóch odpisach na każdy z wyżej wskazanych punktów wraz z załączeniem na potwierdzenie prawdziwości swoich twierdzeń dokumentów poświadczonych za zgodność z oryginałem. Organ rentowy często kłamie i oszukuje w pismach urzędowych, a także kłamie Prezes UODO co do rzeczywistych okoliczności przetwarzania danych przywołując gołosłowne i nic nie warte frazesy "wszystko robimy zgodnie z prawem".
2. Przysłał skarżącemu jeden odpis udzielonej odpowiedzi na powyższe zobowiązanie.
3. Zweryfikował, czy praktyki Naczelnika ZUS Oddział [...] z [...] stycznia 2023 r. są zgodne z ustawą o RODO, a jeśli Prezes UODO uzna, że wydawanie danych osobowych i dokumentów poufnych, zawierających dane osobowe i dane wrażliwe, przez urzędników ZUS bez wcześniejszej weryfikacji tożsamości osoby, które te dane osobowe są wydawane, to by Urząd nałożył na organ rentowy maksymalną przewidzianą w ustawię karę finansową czyli 100 tysięcy złotych, oraz by wymierzył kary finansowe bezpośrednim winnym złamania RODO czyli pracownikom ZUS: M. M., P. D. i J. B..
4. Zweryfikował staż pracy w organie rentowym M. M., P. D. oraz J. B. by ocenić, czy ci pracownicy administratora danych osobowych są pracownikami bez doświadczenia, bez wykształcenia, bez wiedzy i bez praktyki zawodowej, która mogłaby usprawiedliwiać wydanie danych osobowych osobie bez wcześniejszej weryfikacji tożsamości tej osoby.
5. Zweryfikowanie poprzez wysłanie urzędników do oddziałów ZUS w całej Polsce w celu zażądania wydania im procedury weryfikacji tożsamości osób, którym strona 2 z 7 administrator danych wydaje dane osobowe i dane poufne i wrażliwe w związku z realizacją art. 73 K.p.a.".
Prezes UODO wskazał, że zgodnie z art. 61 § 1 K.p.a. postępowanie administracyjne wszczyna się na żądanie strony lub z urzędu. Natomiast stosownie do art. 61a § 1 K.p.a., gdy żądanie, o którym mowa w art. 61, zostało wniesione przez osobę niebędącą stroną lub z innych uzasadnionych przyczyn nie może być wszczęte, organ administracji publicznej wydaje postanowienie o odmowie wszczęcia postępowania. Odmowa wszczęcia postępowania na podstawie art. 61a § 1 K.p.a. "z innych uzasadnionych przyczyn" może mieć miejsce w sytuacjach oczywistych, niewymagających analizy sprawy i przeprowadzenia dowodów, tj. gdy "na pierwszy rzut oka" można stwierdzić, że jest brak podstaw do prowadzenia postępowania. Organ administracji publicznej rozpatrując wniosek o wszczęcie postępowania administracyjnego ma obowiązek zbadać, czy nie zachodzi żadna z przesłanek wykluczających wszczęcie takiego postępowania, o których mowa w art. 61a § 1 K.p.a.
Zaznaczył, że skarżący w skardze jako zarzut podniósł złamanie zasad bezpieczeństwa przetwarzania danych osobowych przez Zakład Ubezpieczeń Społecznych, poprzez stosowanie nieprawidłowych w jego ocenie ogólnych procedur w zakresie weryfikacji tożsamości osób fizycznych podczas realizacji ich prawa wynikającego z art. 73 K.p.a. Skarżący wskazał przy powyższym na niewłaściwe, w jego ocenie, sposoby zabezpieczenia danych osobowych przez naczelnika ZUS i obawę, że osoby nieuprawnione mogłyby mieć do nich dostęp. Mając na uwadze tak sformułowany zarzut Prezes wyjaśnił, że realizacja kompetencji przysługujących organowi nadzorczemu na mocy art. 58 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35); zwanej dalej RODO ma na celu przywrócenie stanu zgodnego z prawem, w sytuacjach w których jest to możliwe. Prowadząc postępowanie administracyjne zainicjowane skargą w sprawie indywidualnej, organ nadzorczy może dokonać oceny stosowanych metod zabezpieczania danych osobowych w przypadku, gdy w toku wszczętego postępowania administracyjnego stwierdzone zostanie, że w procesie przetwarzania doszło do naruszenia prawa skarżącego w zakresie ochrony danych osobowych. Wówczas, jeśli naruszenie takie bezpośrednio związane jest ze stosowanymi metodami zabezpieczania danych osobowych lub ich brakiem, Prezes UODO dokonuje ich oceny w postępowaniu wszczętym z inicjatywy osoby, której dane dotyczą. Same zaś metody zabezpieczenia danych osobowych, w sytuacji niewystąpienia naruszenia praw osoby wnoszącej skargę w zakresie ochrony danych osobowych, nie mogą stanowić przedmiotu skargi rozpatrywanej w toku postępowania przez Prezesa UODO. Stanowisko organu w powyższym zakresie zostało potwierdzone w wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 7 stycznia 2016 r. sygn. akt II Sa/Wa 1238/15, w którym stwierdzono, że: "(...) sprawy dotyczące zabezpieczenia danych osobowych oraz obowiązek rejestracji zbiorów, mogą być jedynie przedmiotem postępowania wszczętego z urzędu przez Generalnego Inspektora (...)". Powyższe stanowisko sądu pozostaje aktualne także w obecnym stanie prawnym.
Do kompetencji Prezesa UODO, zgodnie z art. 58 ust. 2 RODO, należy realizacja uprawnień naprawczych dotyczących nieprawidłowości, mających miejsce w procesie operacji przetwarzania danych osobowych. Operacje przetwarzania odbywają się na danych osobowych, tymczasem w niniejszej sprawie nie doszło do przekazania danych osobowych osobie nieuprawnionej. Skarżący skorzystał z prawa wglądu w akta postępowania na podstawie art. 73 K.p.a. Przepis art. 73 § 1 i § 1 a K.p.a. zapewnia stronie postępowania prawo do zapoznania się z treścią dokumentów znajdujących się w aktach sprawy. Zgodnie z art. 73 § 1 K.p.a. strona ma prawo wglądu w akta sprawy, sporządzania z nich notatek, kopii lub odpisów. Prawo to przysługuje również po zakończeniu postępowania. Czynności określone w § 1 są dokonywane w lokalu organu administracji publicznej w obecności pracownika tego organu (art. 73 § 1a K.p.a.). Natomiast w myśl art. 10 § 1 K.p.a., organy administracji publicznej obowiązane są zapewnić stronom czynny udział w każdym stadium postępowania, a przed wydaniem decyzji umożliwić im wypowiedzenie się co do zebranych dowodów i materiałów oraz zgłoszonych żądań. Ustawodawca, przyznając stronie prawo do przeglądania akt sprawy, jednocześnie precyzyjnie ustalił, poprzez jakie działania może ona realizować to prawo, tj. poprzez umożliwienie zapoznania się z treścią znajdujących się w aktach dokumentów, jak również utrwalenia na własny użytek zawartych w nich wiadomości. Również w literaturze podnosi się, że strona zapoznaje się z aktami sprawy w siedzibie organu.
Z treści skargi wprost wynika, że ZUS umożliwił skarżącemu realizację tych uprawnień poprzez udostępnienie mu do wglądu dokumentów, o które wnioskował. Nie doszło zatem do udostępnienia jego danych osobowych osobom trzecim, a w niniejszej sprawie skarżący zakwestionował ogólne procedury weryfikacji tożsamości osób fizycznych obowiązujące w ZUS oraz kwalifikacje pracowników ZUS. Skarżący nie wskazał na naruszenie żadnego z praw przysługujących mu na mocy przepisów RODO, spośród wskazanych w rozdziale III RODO, w tym prawa dostępu, przysługującego osobie, której dane dotyczą określonego w art. 15 RODO, prawa do sprostowania danych określonego w art. 16 RODO, prawa do usunięcia danych określonego w art. 17 RODO, prawa do ograniczenia przetwarzania określonego w art. 18 RODO, prawa do przenoszenia danych, o którym mowa w art. 20 RODO, prawa do sprzeciwu, o którym mowa w art. 21 RODO, czy też prawa do niepodlegania decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec osoby, której dane dotyczą skutki prawne lub w podobny sposób istotnie na nią wpływa, o którym mowa w art. 22 RODO.
Organ podkreślił, że czynności w sprawie ogólnych praktyk stosowanych przez administratorów danych nie są podejmowane na wniosek osoby zainteresowanej. Powyższa kwestia może być przedmiotem postępowania administracyjnego prowadzonego przez organ właściwy do spraw ochrony danych osobowych z urzędu. Podjęte przez organ do spraw ochrony danych osobowych postępowanie z urzędu toczy się wówczas pomiędzy administratorem danych, a Prezesem UODO. Kwestie ogólnych praktyk dotyczących przetwarzania danych osobowych dotyczą bowiem danych osobowych nie tylko skarżącego, ale także innych osób, których dane są przetwarzane. Tym samym nie może on być wówczas informowany o podejmowanych czynnościach, nie przysługuje mu bowiem status strony postępowania. W przypadku prowadzenia postępowania przez Prezesa UODO w zakresie ogólnych praktyk dotyczących przetwarzania danych osobowych skarżący nie ma interesu prawnego w wydawanym rozstrzygnięciu. Ponadto przedmiotem postępowania zainicjowanego indywidualną skargą osoby, której dane dotyczą może być zaistniały, nie zaś hipotetyczny proces przetwarzania danych osobowych.
Prezes UODO może podejmować tylko te czynności, które znajdują się w zakresie jego uprawnień, oraz tylko w tych sprawach, które należą do jego właściwości. Uprawnienia te i właściwość wynikają z RODO, u.o.d.o. z 2018 r., ale także z wielu regulacji szczegółowych, które wskazują na ograniczenia kompetencji Prezesa UODO w odniesieniu do przetwarzania danych przez określone podmioty lub w określonych okolicznościach. W szczególności, do uprawnień Prezesa UODO nie należy ocena kwalifikacji pracowników podmiotów przetwarzających dane osobowe. Także nakładanie administracyjnych kar pieniężnych nie następuje na wniosek strony postępowania, gdyż należy do autonomicznych kompetencji Prezesa UODO.
W ocenie organu skarżący nie zakwestionował w niniejszej sprawie naruszenia żadnego z praw przysługujących mu na mocy przepisów RODO, lecz ogólne praktyki, stosowane przez ZUS przy przetwarzaniu danych osobowych, których badanie może nastąpić wyłącznie w postępowaniu prowadzonym przez organ nadzorczy z urzędu. Ponadto Prezes UODO nie jest organem właściwym do oceny kwalifikacji pracowników podmiotów przetwarzających dane osobowe. Oznacza to, że zasadnym stało się wydanie postanowienia o odmowie wszczęcia postępowania, z uwagi na zaistnienie przesłanek bezprzedmiotowości, o których mowa w art. 61 a § 1 K.p.a.
W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie na powyższe postanowienie M. M. wniósł o jego uchylenie i zobowiązanie organu do przeprowadzenia postępowania, w tym do wypełnienia wniosków "dowodowych" wskazanych w treści skargi i kolejnych pismach, a także zwrotu kosztów postępowania.
Skarżący wskazał, że Prezes UODO myli się w swoim ustaleniu, że [...] stycznia 2023 r. ZUS Oddział [...] udostępnił mu wnioskowane dokumenty. Jest to nieprawda, bowiem zgodnie z treścią skargi wnioskował o dokumenty za okres od [...] września 2019 r. do [...] luty 2020 r., a okazano mu dokumenty z późniejszego okresu.
Ponadto podał, że weryfikacja tożsamości chociażby po okazaniu dowodu osobistego jest absolutnym minimum jeśli chodzi o udostępnienie osobie fizycznej dostępu do danych osobowych danego organu administracji państwowej. Jeśli organ administracji państwowej nie wypełnia tych minimalnych wymogów bezpieczeństwa przetwarzania danych i udostępniania danych osobowych i danych wrażliwych osobom fizycznym to dochodzi do złamania RODO, które wymaga przynajmniej zweryfikowania sytuacji w administratora danych osobowych w tym przypadku w ZUS Oddział [...] oraz ZUS w [...].
Zdaniem skarżącego na podstawie przepisów K.p.a. stronie przysługuje czynny udział w postępowaniu administracyjnym. Osoba ta może więc np. zapoznać się z aktami postępowania na każdym etapie sprawy w siedzibie urzędu. Zaznaczył, że ma nadzieję, że Wojewódzki Sąd Administracyjny w Warszawie przyzna mu rację, że urzędy często udostępniając stronom akta postępowań stosują praktykę polegającą na okazaniu dowodu osobistego albo przyjęciu oświadczenia o skorzystaniu z prawa wglądu w akta swojej sprawy, na takim oświadczeniu wskazuje się imię, nazwisko osoby przeglądającej akta oraz wyłącznie typ okazanego dokumentu np. dowód osobisty albo prawo jazdy lub paszport, na podstawie którego stwierdzona została tożsamość korzystającego z prawa wglądu w akta bez spisywania jego danych.
W jego ocenie ZUS w sposób nienależyty podchodzi do bezpieczeństwa przetwarzania danych osobowych i danych wrażliwych udostępniając akta bez weryfikacji tożsamości osoby, którym te dane są przez urzędników udostępniane.
W związku z powyższym powinny zostać podjęte czynności weryfikujące jego zarzuty, a ponadto należy ustalić, czy jest to zdarzenie incydentalne czy agresywna polityka rynkowa oddziałów ZUS w Polsce, którzy :
a) ZUS Oddział [...], gdzie czynu dopuścił się Naczelnik M. M., Zastępca Naczelnika J. B. oraz Zastępca P. D.,
b) ZUS z siedzibą w [...], który jest administratorem danych i odpowiada za bezpieczeństwo przetwarzania i udostępniania osobom trzecim danych osobowych i danych wrażliwych przez ZUS Oddział [...].
Zasadnym jest, aby UODO wprowadziło restrykcję, która wyeliminuje takie łamanie RODO w ZUS w przyszłości. Tłumaczenie się, że "nic się nie stało bo tym razem się okazało, że wydano dane osobowe i dane wrażliwe właściwej osobie" nie jest przetwarzaniem danych, do których UODO powinno przechodzić do porządku dziennego - tym bardziej, że z doniesień portalu prawo.pl wynika, że ZUS systemowo łamie RODO, czy udostępnia dane osobowe osobom trzecim w wyniku omyłek "systemowych"(... )" oraz "by UODO przeprowadziło postępowanie u ww. podmiotów, a jeśli okaże się, że ZUS wydaje dane osobowe i dane wrażliwe bez weryfikacji tożsamości osób, którym je przekazuje to by Urząd zobowiązał ZUS do wprowadzenia zasad, które wyeliminują tę patologię z przyszłości. UODO jednak odstąpiło od zweryfikowania tych poważnych zarzutów co w ocenie skarżącego jawi się jako decyzja błędna i pochopna na tym etapie. Gdyby Urząd po otrzymaniu wyjaśnień ZUS uznał, że wydanie danych wrażliwych i danych osobowych bez weryfikacji tożsamości jest działaniem zgodnym z oczekiwaniami Urzędu Ochrony Danych Osobowych to na podstawie zebranego materiału dowodowego z pewnością tej skargi by pewnie nie było, ale ponieważ z treści uzasadnienia wprost wynika, że Urząd nic nie weryfikował w ZUS to właściwym jest złożenie tej skargi, aby Sąd zobowiązał Urząd Ochrony Danych Osobowych do przeprowadzenia kontroli w ZUS, aby móc wydać decyzję merytoryczną i ocenić rzeczywiste praktyki organu rentowego.
W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując argumentację zawartą w zaskarżonym rozstrzygnięciu.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. z 2024 r., poz. 1267) oraz art. 3 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2024 r., poz. 935), dalej: "P.p.s.a.", sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej. Kontrola ta polega na ocenie zgodności zaskarżonego aktu z przepisami postępowania administracyjnego, a także prawidłowości zastosowania i wykładni norm prawa materialnego. Kontrola ta jest dokonywana według stanu faktycznego i prawnego obowiązującego w dacie wydania zaskarżonego aktu.
Skarga oceniana w świetle powyższych kryteriów nie zasługuje na uwzględnienie, bowiem zaskarżone postanowienie nie narusza prawa.
Podstawę prawną zaskarżonego postanowienia stanowi art. 61a § 1 K.p.a., zgodnie z którym, gdy żądanie wszczęcia postępowania administracyjnego w danej sprawie zostało wniesione przez osobę niebędącą stroną lub z innych uzasadnionych przyczyn postępowanie nie może być wszczęte, organ administracji publicznej wydaje postanowienie o odmowie wszczęcia postępowania.
Ustawodawca w art. 61a § 1 K.p.a. wprowadził dwie samodzielne i niezależne przesłanki wydania postanowienia o odmowie wszczęcia postępowania. Pierwszą z nich jest wniesienie podania przez osobę, która nie jest stroną, a drugą zaistnienie innych uzasadnionych przyczyn uniemożliwiających wszczęcie postępowania. Przyczyn tych ustawa nie konkretyzuje, natomiast należy przez nie rozumieć sytuacje, które w sposób oczywisty, przy pierwszym zestawieniu zakresu żądania wniosku z obowiązującym stanem prawnym, stanowią przeszkodę do wszczęcia postępowania. Taki przypadek zachodzi w szczególności gdy: żądanie dotyczy sprawy, która nie podlega załatwieniu w formie decyzji administracyjnej, brak jest podstawy materialnoprawnej do rozpatrzenia żądania w trybie administracyjnym (por. wyroki Naczelnego Sądu Administracyjnego: z dnia 7 lutego 2014 r., sygn. akt I OSK 2159/12; z dnia 22 lipca 2014 r., sygn. akt I OSK 1635/14; publik. CBOSA).
W orzecznictwie sądów administracyjnych zgodnie podkreśla się przy tym, że odmowa wszczęcia postępowania na podstawie art. 61a § 1 K.p.a. "z innych uzasadnionych przyczyn" może mieć miejsce w sytuacjach oczywistych, tj. gdy "na pierwszy rzut oka" można stwierdzić, że brak jest podstaw do prowadzenia postępowania (por. wyroki NSA: z dnia 26 lutego 2020 r., sygn. akt I OSK 2205/17; z dnia 20 listopada 2017 r., sygn. akt II GSK 1706/17; publik. j.w.).
Z powyższego wynika, że istnienie "przeszkody" uniemożliwiającej wszczęcie i prowadzenie postępowania musi być oczywiste, a więc takie, której ustalenie i wskazanie nie wymaga prowadzenia postępowania wyjaśniającego przez organ (por. np. wyrok WSA z dnia 15 maja 2019 r., sygn. akt II SA/Gd 45/19; publik. LEX nr 2676387). Postanowienie o odmowie wszczęcia postępowania jest bowiem orzeczeniem formalnym, a nie merytorycznym (nie rozstrzyga sprawy co do jej istoty), co prowadzi do wniosku, że w postanowieniu wydanym w trybie art. 61a § 1 K.p.a. organ nie może formułować wniosków i ocen dotyczących meritum żądania (por. wyroki NSA: z dnia 8 marca 2017 r., sygn. akt II OSK 2600/16, z dnia 28 kwietnia 2020 r. sygn. akt I OSK 135/19; publik. CBOSA).
Z powyższą regulacją procesową koresponduje art. 57 ust. 4 RODO, z którego treści wynika, iż jeżeli żądanie jest w sposób oczywisty nieuzasadnione organ nadzorczy może odmówić podjęcia żądanych działań, zaś obowiązek wykazania, że żądanie jest w sposób oczywisty nieuzasadnione spoczywa na organie.
W niniejszej sprawie organ zasadnie odmówił wszczęcia postępowania z powołaniem się na ww. przepis. Brak było bowiem podstaw do wszczęcia i prowadzenia postępowania administracyjnego w sytuacji, gdy żądanie zawarte w skardze z [...] lutego 2023 r. nie mogło być zrealizowane, zarówno na przedmiot żądania jak i kompetencje Prezesa UODO załatwienia sprawy wnioskowanej przez skarżącego.
Podkreślić należy, że Prezes UODO może podejmować czynności, które znajdują się w zakresie jego uprawnień oraz tylko w sprawach, które należą do jego właściwości rzeczowej. Uprawnienia te i zakres właściwości określone są w RODO, ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych oraz przepisach szczególnych, które przewidują ograniczenia kompetencji Prezesa UODO w odniesieniu do przetwarzania danych osobowych przez określone podmioty bądź w określonych okolicznościach.
Przepis art. 58 ust. 2 RODO zawiera katalog uprawnień naprawczych organu nadzorczego, który ma charakter wiążący w zakresie postępowania dotyczącego określonego naruszenia przepisów ochrony danych osobowych, tj.: a) wydawanie ostrzeżeń administratorowi lub podmiotowi przetwarzającemu dotyczących możliwości naruszenia przepisów niniejszego rozporządzenia poprzez planowane operacje przetwarzania; b) udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania; c) nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia; d) nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu; e) nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych; f) wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania; g) nakazanie na mocy art. 16, 17 i 18 sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazanie na mocy art. 17 ust. 2 i art. 19 powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono; h) cofnięcie certyfikacji lub nakazanie podmiotowi certyfikującemu cofnięcia certyfikacji udzielonej na mocy ar lutego 2023 r. t. 42 lub 43, lub nakazanie podmiotowi certyfikującemu nieudzielania certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane; i) zastosowanie, oprócz lub zamiast środków, o których mowa w niniejszym ustępie, administracyjnej kary pieniężnej na mocy art. 83, zależnie od okoliczności konkretnej sprawy; j) nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej.
Żądanie skarżącego skierowane do Prezesa UODO sygnalizowało nieprawidłowości w procedurze weryfikacji przez pracowników ZUS Oddział we [...] tożsamości osoby będącej stroną postępowania, która korzystała z przysługujących jej praw procesowych do przeglądania akt sprawy na podstawie art. 73 K.p.a. Nie ma w sprawie wątpliwości, iż obowiązek ten został wobec skarżącego zrealizowany, choć zakres jego realizacji został przez zainteresowanego zakwestionowany. Dane osobowe skarżącego nie zostały ujawnione podmiotowi do tego nieuprawnionemu, co wynika wprost z zawiadomienia skarżącego z [...] lutego 2023 r. Natomiast postulat skarżącego o przedstawienie mu obowiązujących w ZUS w [...] i innych oddziałach ZUS procedur weryfikacji tożsamości osób przeglądających akta własnej sprawy prowadzonej przez organ ZUS i oceny ich zgodności z prawem, nie może zostać zrealizowany w ramach zastosowania określonego uprawnienia naprawczego z art. 58 ust. 2 RODO. Uprawnia naprawcze są stosowane w przypadku stwierdzenia naruszenia przez administratora przepisów ochrony danych osobowych. W niniejszej sprawie skarga z dnia [...] lutego 2023 r. w istocie sprowadza się do kwestionowania stosowanych przez pracowników ZUS reguł postępowania realizujących prawo strony do przeglądania akt sprawy i wskazania powszechnie, a także wewnętrznie obowiązujących przepisów prawnych określających te reguły oraz oceny tych procedur według norm określających ochronę danych osobowych. Nie jest to zatem skarga osoby, której dane dotyczą (względem której naruszono przepisy RODO), a która mogłaby zostać rozpoznana w oparciu o art. 57 ust. 1 lit. f RODO.
Mając powyższe na uwadze należy stwierdzić, że skarga M. M. z [...] lutego 2023 r. jest oczywiście nieuzasadniona w rozumieniu art. 57 ust. 4 RODO. Wstępna ocena wniosków i zarzutów w niej zawartych wskazuje jednoznacznie, bez potrzeby prowadzenia postępowania wyjaśniającego, że należy uznać żądanie strony za bezsprzecznie niezasadne. W przedmiotowej skardze zainteresowany kwestionuje, iż nie zweryfikowano jego danych przez udostępnienie dokumentów z akt sprawy, której jest stroną. Sygnalizuje naruszenie nieznanych mu procedur w zakresie weryfikacji danych osób realizujących uprawnienie a art. 73 K.p.a. W przedstawionych w skardze zarzutach i argumentacji nie sposób w działaniu administratora danych osobowych skarżącego dostrzec konkretnego naruszenia przepisów RODO. Sygnalizacja skarżącego, co do stosowanych praktyk, procedur i zabezpieczeń danych osobowych może posłużyć do podjęcia przez organ ochrony danych osobowych z urzędu czynności kontrolnych. Podkreślenia wymaga, że w sprawie będącej przedmiotem rozpoznania przez Prezesa RODO (skargi z [...] lutego 2023 r.) nie są powyższe kwestie. Innym postępowaniem jest postępowanie w ramach którego dokonywana jest ocena prawidłowości stosowania przepisów sekcji 1 (Obowiązki ogólne) czy sekcji 2 (Bezpieczeństwo danych osobowych) rozdziału IV RODO, czego w tej sprawie organ nie dokonywał, a innym rozpatrywanie przez organ indywidualnej skargi wniesionej przez osobę, której dane dotyczą w zakresie zgodności przetwarzania jej danych z przepisami RODO.
W świetle powyższych uwag Sąd podziela pogląd Prezesa UODO, że żądanie skarżącego jest w sposób oczywisty nieuzasadnione. Tym samym w pełni uprawniona stała się odmowa wszczęcia postępowania w sprawie ww. skargi na podstawie art. 61a § 1 K.p.a. w zw. z art. 57 ust. 4 RODO. Wyczerpujące uzasadnienie zaskarżonego postanowienia spełnia postulat obowiązku wykazania przez organ nadzorczy oczywistości nieuzasadnionego żądania.
Konkludując, stwierdzić należy, iż zaskarżone postanowienie odpowiada prawu.
Mając na względzie powyższe, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 P.p.s.a. orzekł jak w sentencji.