II SA/Wa 2372/20

II SA/Wa 2372/20 - Wyrok WSA w Warszawie
Data orzeczenia
2021-05-06
orzeczenie nieprawomocne
Data wpływu
2020-12-02
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Agnieszka Góra-Błaszczykowska
Ewa Marcinkowska /przewodniczący/
Łukasz Krzycki /sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
III OSK 6135/21 - Wyrok NSA z 2025-01-16
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżoną decyzję
Powołane przepisy
Dz.U. 2018 poz 1000
art. 1 ust. 1, art. 1 ust. 2 pkt 4 i 5, art. 2 ust.1, art. 34 ust.2, art. 60
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
Dz.U.UE.L 2016 nr 119 poz 1 art. 2 i 3, art. 4 pkt 6, art. 58 ust.2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Marcinkowska, Sędzia WSA Agnieszka Góra-Błaszczykowska, Sędzia WSA Łukasz Krzycki (spr.), po rozpoznaniu w trybie uproszczonym w dniu 6 maja 2021 r. sprawy ze skargi Miasta i Gminy O. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] września 2020 r. nr [...] w przedmiocie udzielenia upomnienia 1. uchyla zaskarżoną decyzję; 2. umarza postępowanie prowadzone przez Prezesa Urzędu Ochrony danych Osobowych; 3. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz skarżącego Miasta i Gminy O. kwotę 200 zł (słownie: dwieście) złotych, tytułem zwrotu kosztów postępowania.
Uzasadnienie
Zaskarżonym aktem, wobec skargi p. R. S., zwanego dalej "Wnioskodawcą", na nieprawidłowości w przetwarzaniu jego danych osobowych przez Burmistrza Miasta i Gminy O., zwanego dalej "Burmistrzem" – przywołując art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2018 r. poz. 2096 ze zm.), zwanej dalej "K.p.a." oraz art. 58 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej, L 119 z 4 maja 2016), zwanego dalej "RODO" - udzielono Burmistrzowi upomnienia za nieprawidłowości w procesie przetwarzania danych osobowych, polegające na naruszeniu art. 5 ust. 1, art. 6 ust 1 i art. 9 ust. 2 RODO, poprzez bezpodstawne pozyskanie danych osobowych Wnioskodawcy, zawartych w korespondencji prowadzonej przez niego za pośrednictwem portalu społecznościowego [...] (pkt 1 orzeczenia). W pozostałym zakresie odmówiono uwzględnienia wniosków ze skargi (pkt 2 orzeczenia).
W uzasadnieniu rozstrzygnięcia przywołano następujące okoliczności faktyczne i prawne uwarunkowania sprawy:
- skarga Wnioskodawcy dotyczyła przetwarzania jego danych osobowych przez Burmistrza w zakresie danych logowania do portalu społecznościowego [...] oraz danych powiązanych z profilem skarżącego, założonym na tym portalu; w skardze zażądano usunięcia przez administratora danych osobowych Wnioskodawcy,
- w toku postępowania administracyjnego ustalono następujący stan faktyczny:
- Wnioskodawca był zatrudniony w Urzędzie Miasta i Gminy w O. (dalej jako "Urząd") na stanowisku [...];[...] grudnia 2018 r. rozwiązano z nim umowę o pracę z zachowaniem trzymiesięcznego okresu wypowiedzenia; do wykonywania obowiązków służbowych powierzono mu komputer; zobowiązano go do jego zdania do [...] stycznia 2019 r. (tak: skarga z [...] lipca 2019 r. oraz wyjaśnienia Burmistrza z [...] marca 2020 r.);
- do obowiązków służbowych Wnioskodawcy należało administrowanie stroną Urzędu na portalu [...]; wykorzystywał do tego swoje indywidualne konto na portalu; powiązane było ono z tą stroną (tak: skarga z [...] lipca 2019 r.; wyjaśnienia Burmistrza z [...] marca 2020 r.);
- Wnioskodawca nie usunął z komputera służbowego konta synchronizacji zakładek i haseł; pozostał również zalogowany na koncie indywidualnym na portalu [...] (tak: skarga z [...] lipca 2019 r.);
- w maju 2019 roku pracownik Urzędu (p. P. K.), zwany dalej "Pracownikiem", przygotowywał używany uprzednio przez Wnioskodawcę komputer do przekazania kolejnej osobie; po uruchomieniu przeglądarki internetowej na przedmiotowym komputerze, ukazały mu się dwie, prowadzone na portalu [...], rozmowy z innymi pracownikami Urzędu - p. A. G. oraz p. J. Z., zwaną dalej "Pracownikiem II"; dotyczyły one osoby p. A. P.; z uwagi na ich tematykę Pracownik wydrukował przedmiotowe rozmowy - z okresu od listopada 2018 roku do maja 2019 roku - i przekazał Burmistrzowi (tak: wyjaśnienia Burmistrza z [...] marca 2020 r.);
- z wyjaśnień Burmistrza wynika, że Pracownik - w celu uzyskania dostępu do indywidualnego konta Wnioskodawcy na portalu [...] - nie posłużył się jego danymi do logowania (tak: wyjaśnienia Burmistrza z [...] marca 2020 r.);
- pozyskane z korespondencji dane Burmistrz wykorzystał do wszczęcia postępowania dyscyplinarnego wobec Pracownika II oraz karnych – co do tej samej osoby oraz Wnioskodawcy (tak: wyjaśnienia Burmistrza z [...] marca 2020 r.);
- w Urzędzie nie prowadzono monitoringu pracowniczego (tak: wyjaśnienia Burmistrza z [...] marca 2020 r.),
- korespondencja Wnioskodawcy może stanowić jego dane osobowe; ustawodawca europejski przewidział szeroką definicję pojęcia danych osobowych (art. 4 ust. 1 RODO); w niniejszej sprawie zawarte w przedmiotowej korespondencji informacje pozwalały na identyfikację jej uczestników, w tym Wnioskodawcy; w rozumieniu przywołanego powyżej przepisu stanowiły zatem jego dane osobowe; tym samym do ich przetwarzania zastosowanie mają przepisy, regulujące legalność przetwarzania danych osobowych - określone w art. 6 oraz 9 RODO, a także zasady przetwarzania danych określone w art. 5 tego aktu,
- z załączonego materiału dowodowego wynika, że w pozyskanej przez pracownika Urzędu korespondencji były zawarte zwykłe dane (ich przetwarzanie reguluje art. 6 ust. 1 RODO) oraz szczególnych kategorii - np. informacje o wyznaniu Wnioskodawcy; ich przetwarzanie jest - co do zasady, zgodnie z art. 9 ust. 1 RODO - zabronione, chyba że występuje jedna z przesłanek, wymienionych w art. 9 ust. 2 danego rozporządzenia; ponadto - w art. 5 ust. 1 RODO – nałożono na administratora obowiązek zapewnienia przetwarzania danych zgodnego z prawem (art. 5 ust. 1 lit. a), czy zapewnienia ograniczenia celu przetwarzania, poprzez zbieranie danych w konkretnych i prawnie uzasadnionych celach (art. 5 ust. 1 lit. b); w przedmiotowej sprawie nie występowała żadna przesłanka dla pozyskania przez administratora danych osobowych Wnioskodawcy,
- co wynika z załączonego materiału dowodowego, w urzędzie nie jest stosowany monitoring poczty pracowniczej czy też monitoring sposobu korzystania pracowników z udostępnionych im narzędzi pracy; w momencie uzyskania dostępu do korespondencji Wnioskodawcy, nie był on już dodatkowo pracownikiem Urzędu; nie ma również dowodów, że przedmiotową korespondencję prowadzono w czasie pracy i przy wykorzystaniu sprzętu służbowego do celów prywatnych; z wyjaśnień Burmistrza wynika, że Pracownik uzyskał podgląd w czasie rzeczywistym do prywatnej korespondencji Wnioskodawcy i zdecydował o udostępnieniu jej treści na rzecz Burmistrza; tym samym nie było podstaw by uznać, że dane osobowe Wnioskodawcy administrator pozyskał zgodnie z przepisami o ochronie danych osobowych; z uwagi na to udzielono administratorowi danych upomnienia, za naruszenie przytoczonych powyżej przepisów,
- w zakresie żądania Wnioskodawcy usunięcia jego danych osobowych - pozyskanych z korespondencji, prowadzonej za pośrednictwem portalu [...] - wskazano natomiast, że z wyjaśnień złożonych przez Burmistrza wynika, że pozyskane przez Pracownika dane osobowe wykorzystano do wszczęcia dwóch odrębnych postępowań; obecnie są one przetwarzane w związku z toczącymi się postępowaniami, więc nie ma możliwości nakazania ich usunięcia,
- wskazano jednocześnie, że tajemnica korespondencji jest - zgodnie z art. 23 ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny (Dz. U. z 2019 r. poz. 1145 ze. zm.) - dobrem osobistym; z uwagi na to, dany organ nie jest kompetentny do orzekania w zakresie jego ewentualnego naruszenia; właściwym jest sąd powszechny,
- prowadzone przez organ postępowanie administracyjne służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych; jest ukierunkowane na wydanie decyzji administracyjnej w myśl art. 58 ust. 2 RODO; na jego podstawie organ nadzorczy może przywrócić stan zgodny z prawem; w przedmiotowej sprawie pozyskanie danych osobowych Wnioskodawcy nastąpiło z naruszeniem przepisów o ochronie danych osobowych; administratorowi udzielono więc upomnienia; nie ma natomiast podstaw do skorzystania z uprawnień naprawczych - w zakresie usunięcia przez administratora danych osobowych Wnioskodawcy; są one przetwarzane w związku z toczącymi się postępowaniami dyscyplinarnym i sądowym.
W skardze zarzucono naruszenie przepisów postępowania:
- art. 7, 77 § 1 oraz art. 80 K.p.a., w zw. z art. 6 ust. 1 lit. e i f RODO, poprzez niewszechstronne i niewyczerpujące rozpatrzenie całości materiału dowodowego; wskutek tego błędne przyjęto, że Burmistrz nie miał prawa do przetwarzania danych osobowych Wnioskodawcy, w ramach:
- wykonania zadania, realizowanego w interesie publicznym, lub
- sprawowania władzy publicznej, powierzonej administratorowi oraz
- do celów, wynikających z prawnie uzasadnionych interesów, realizowanych przez administratora;
naruszenie to miało istotny wpływ na wynik sprawy - doprowadziło do wydania decyzji o upomnieniu administratora,
- art. 107 § 1 pkt 4 K.p.a., poprzez brak wskazania w zaskarżonej decyzji, które konkretnie przepisy RODO Burmistrz naruszył; miało to istotny wpływ na treść zaskarżonej decyzji; powołano wyłącznie przepisy ogólne; uniemożliwia to podjęcie skutecznej polemiki z rozstrzygnięciem organu.
W szerokim uzasadnieniu skargi, rozwinięto powyższe zarzuty.
Wniesiono o uchylenie zaskarżonej decyzji w pkt 1.
W odpowiedzi na skargę organ administracji wniósł o jej oddalenie, podtrzymując dotychczasową argumentację.
Skargę rozpoznano w trybie uproszczonym, wobec treści art. 119 pkt 2 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2019 r., poz. 2325 ze zm.).
Sąd zważył, co następuje:
Skarga zasługuje na uwzględnienie, chociaż nie z przyczyn w niej podniesionych. Sąd - w związku z art. 134 § 1 ustawy - Prawo o postępowaniu przed sądami administracyjnymi - nie jest związany zarzutami i wnioskami skargi.
Trafne są zarzuty skargi, gdy zakwestionowano konstatację organu, jakoby w rozpoznawanym przypadku doszło do bezprawnego ujawnienia danych osobowych w rozumieniu RODO. Chybiona jest jednak argumentacja na potwierdzenie tej tezy.
Rozpoznając niniejszą sprawę Sąd miał na uwadze jej następujące uwarunkowania formalnoprawne.
W myśl art. 1 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781), dalej jako "ustawa o danych", jej przepisy stosuje się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w zakresie określonym w art. 2 i 3 RODO, zaś - w myśl art. 1 ust. 2 pkt 4 i 5 tej ustawy - określa ona m.in.: organ właściwy w sprawie ochrony danych osobowych i same reguły postępowania w sprawie naruszenia przepisów o ochronie danych osobowych.
Uzasadnia to wniosek, że ramy materialnoprawne, co do właściwości przedmiotowej wyspecjalizowanego organu - jest nim wedle art. 60 ustawy o danych Prezes Urzędu Ochrony Danych Osobowych - zakreślają wyczerpująco postanowienia RODO.
Już z treści preambuły do tego aktu wynika, że generalnie celem jego ustanowienia, jest przyczynienie sie do "tworzenia przestrzeni wolności, bezpieczeństwa i sprawiedliwości oraz unii gospodarczej, do postępu społeczno-gospodarczego, do wzmacniania i konwergencji gospodarek na rynku wewnętrznym, a także do pomyślności ludzi." (tak motyw 2 zd. 2). Z kolei, w motywie 3 preambuły - posłużono się tam jeszcze nomenklaturą, zaczerpniętą z dyrektywy zastępowanej przez RODO – wskazano, że celem regulacji jest "zharmonizowanie ochrony podstawowych praw i wolności osób fizycznych w związku z czynnościami przetwarzania oraz zapewnienie swobodnego przepływu danych osobowych między państwami członkowskimi". W motywie 6 przywołano natomiast wprost następujące przesłanki przyjęcia regulacji: "Szybki postęp techniczny i globalizacja przyniosły nowe wyzwania w dziedzinie ochrony danych osobowych. Skala zbierania i wymiany danych osobowych znacząco wzrosła. Dzięki technologii zarówno przedsiębiorstwa prywatne, jak i organy publiczne mogą na niespotykaną dotąd skalę wykorzystywać dane osobowe w swojej działalności. Osoby fizyczne coraz częściej udostępniają informacje osobowe publicznie i globalnie. Technologia zmieniła gospodarkę i życie społeczne i powinna nadal ułatwiać swobodny przepływ danych osobowych w Unii oraz ich przekazywanie do państw trzecich i organizacji międzynarodowych, równocześnie zaś powinna zapewniać wysoki stopień ochrony danych osobowych.".
Same sformułowane przez prawodawcę cele ustanowienia danej regulacji uzasadniają wprawdzie konkluzję, że generalnie RODO ma się przyczynić do lepszej ochrony danych osobowych obywateli państw członkowskich Unii Europejskiej. Rozporządzenie to nie stanowi jednakże aktu, służącemu pełnemu, ramowemu uregulowaniu ochrony praw w danym zakresie. Dotyczy jedynie komponentu danych, które podlegają automatycznemu przetworzeniu bądź mogą podlegać takiemu przetworzeniu, jako baza informacji o osobach.
Konkluzję taką potwierdza wprost treść normatywna przepisów wstępnych RODO. W myśl art. 2 ust. 1, akt ten znajduje zastosowanie wyłącznie "do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych". Z kolei - wobec art. 4 pkt 6 RODO - zbiór danych to "uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie".
Oznacza to, że przepisy RODO nie znajdują zastosowania do wszelkich przypadków przetwarzania danych osobowych (formą przetwarzania jest ich ujawnianie – tak art. 4 pkt 3 RODO), lecz tylko gdy chodzi o te, objęte zakresem danej regulacji. Dotyczy to danych przetwarzanych w sposób całkowicie lub częściowo zautomatyzowany, zaś pozostałych tylko, gdy stanowią zbiór lub mogą stanowić część zbioru danych. Z kolei potencjalny zbiór danych to jedynie ich zestaw dostępny według określonych kryteriów. Wskazanej oceny nie zmienia to, że przetwarzanie (w tym ujawnienie) może - w myśl art. 4 pkt 3 RODO - nastąpić automatycznie lub także w inny sposób. Brzmienie danej definicji nie prowadzi do poszerzenia zakresu danych podlegających regułom RODO wedle treści art. 2 ust. 1 - gdy chodzi o dane przetwarzane w sposób inny niż zautomatyzowany to tylko te, stanowiące część zbioru danych lub mające stanowić część zbioru danych, w rozumieniu art. 4 pkt 6 RODO.
Odmienne rozumienie przepisów RODO prowadziłoby do trudnych do przypisania racjonalnemu prawodawcy wniosków - jakoby danym rozporządzeniem uregulowano w sposób szczególny wszelkie zasady ochrony danych osobowych, w zakresie, gdzie może to prowadzić m.in. do naruszenia dóbr osobistych. Wobec przyznania w RODO kompetencji rozstrzygania spraw na tym gruncie wyspecjalizowanym organom administracji państw członkowskich (tak art. 58 ust. 2 RODO i odpowiednio art. 34 ust. 2 oraz art. 60 ustawy o danych), oznaczałoby to ukształtowanie alternatywnej drogi ochrony praw przez wszystkie osoby, których dobra osobiste naruszono - ujawniając jakkolwiek równocześnie ich dane osobowe w dowolny sposób.
Wobec przywołanych uwarunkowań uzasadniony jest wniosek, że - wobec wyartykułowanych celów przyjęcia RODO i treści jego regulacji wstępnych - akt ten dotyczy zdarzeń związanych z przetwarzaniem informacji (gromadzenie, transfer itp.) gdzie możliwe jest mechaniczne odnajdywanie informacji o osobach - ich danych osobowych – w szczególności w ramach systemów teleinformatycznych. Nie dotyczy ono zaś zdarzeń pozostających w związku z ujawnieniem (a więc przetworzeniem) danych osobowych w innych sytuacjach - np. pozyskania imienia i nazwiska określonej osoby, poprzez zapoznanie się z treścią określonego dokumentu, np. korespondencji także, gdy prowadzono ją drogą elektroniczną. Inna ocena dotyczyć mogłaby wprawdzie przypadku, gdy określone informacje o zidentyfikowanych osobach gromadziliby systemowo - bez wiedzy zainteresowanych - administratorzy platform, służących przepływowi korespondencji (tworząc zbiory danych). Sytuacja taka - co bezsporne - nie miała jednak w rozpatrywanej sprawie miejsca.
Przy przyjęciu odmiennego rozumienia regulacji RODO, także np. delikty w postaci bezprawnego pozyskania jakiejkolwiek informacji, dotyczącej wskazanej z imienia i nazwiska osoby, stanowiłoby przypadek podlegający rozpoznawaniu przez wyspecjalizowane organy administracji - w ramach procedur, przewidzianych danym rozporządzeniem. Nie sposób racjonalnemu prawodawcy przypisać intencji przeniesienia tego typu spraw do rozstrzygania na drodze administracyjnej. Prowadzi to do konkluzji, że generalnie w RODO uregulowano tylko zagadnienia pozostające w bezpośrednim związku z pozyskiwaniem informacji z konkretnych zbiorów danych bądź tworzeniem zbiorów, umożliwiających uzyskanie określonych informacji o osobach. Nie jest zaś kwestią kluczową (przesądzającą), czy sprawa dotyczy danych osobowych. RODO ingeruje bowiem w tą problematykę wyłącznie w kontekście określonych form przetwarzania danych osobowych. Mylna była więc konstatacja organu (w uzasadnieniu skarżonego aktu), jakoby wystarczającym było ustalenie, że sprawa dotyczyła pozyskania danych osobowych Wnioskodawcy, co organ utożsamił z ich przetworzeniem, w rozumieniu RODO.
W rozpoznawanej sprawie są poza sporem jej istotne okoliczności, w tym zakresie, że w skardze do wyspecjalizowanego organu przywołano zdarzenie w postaci pozyskania z systemu teleinformatycznego - z określonej platformy, którą nie zarządzał Burmistrz ([...]) - zapisu korespondencji, gdzie występowały dane osobowe m.in. Wnioskodawcy. Różnica stanowisk między stronami dotyczy natomiast tego, czy było to dopuszczalne.
Uzasadnione jest jednak stwierdzenie, że przedmiotowe zdarzenie nie pozostawało w żadnym związku z procesem mechanicznego przetwarzania danych bądź posługiwania się danymi mogącymi, stanowić wyodrębnioną bazę, jako zespół informacji, uporządkowanych wedle pewnych kryteriów w dniu zdarzenia.
Jeżeli - wedle twierdzeń Wnioskodawcy - wobec:
- dotarcia - przy użyciu określonej platformy internetowej - do prowadzonej przezeń prywatnej korespondencji,
- zapoznania się z jej treścią przez pracownika Urzędu,
- potem jej skopiowania i wykorzystania
doszło do bezprawnej ingerencji w prawo do prywatności zainteresowanego, w tym naruszenia tajemnicy korespondencji, poszkodowanemu przysługują stosowne roszczenia względem sprawcy naruszeń. Właściwymi do rozstrzygania spraw w danym zakresie są Sądy powszechne zaś to właśnie te kwestie są w istocie osią sporu między stronami. Wyspecjalizowany organ administracji nie ma natomiast kompetencji do rozstrzygania danej sprawy. Przetwarzanie danych w danym przypadku (ich ewentualne ujawnienie) nie jest objęte regułami RODO, determinującym ramy kompetencji do rozstrzygania spraw w trybie administracyjnym. Właściwości organu administracji nie można przy tym wykładać rozszerzająco, wobec treści art. 2 § 3 ustawy z dnia 17 listopada 1964 r. - Kodeks postępowania cywilnego (Dz.U. z 2020, poz. 1575 ze zm.). Wynika zeń, że właściwość organu administracji musi być wskazana wprost. W kwestii ochrony dóbr osobistych - w rozumieniu art. 23 i 24 ustawy – Kodeks cywilny, do których zaliczają się dane osobowe - właściwe są zaś sądy powszechne, co odnotowano zresztą w uzasadnieniu zaskarżonej decyzji.
Nie do zaakceptowania w państwie prawnym byłaby natomiast koncepcja, jakoby określoną kwestię - legalność pozyskania korespondencji Wnioskodawcy (w tym jego danych osobowych) - można byłoby oceniać równolegle w dwóch trybach - w postępowaniach prowadzonych przez wyspecjalizowany organ administracji i sąd powszechny. Umożliwiałoby to sformułowanie w ostatecznych orzeczeniach – znajdujących się równocześnie w obiegu prawnym - odmiennych ocen, w kontekście legalności działania organu gminy (w tym pracownika Urzędu). Wobec tego, hipotetyczna koncepcja przyznania wyspecjalizowanemu organowi administracji prawa oceny w rozpatrywanym przypadku, czy pozyskanie korespondencji (zawierającej dane osobowe) było legalne, musiałoby wyłączyć w danym zakresie kompetencję sądu powszechnego. Rozszerzająca wykładnia przepisów RODO, zakreślających w istocie kompetencje wyspecjalizowanego organu, nie jest wobec tego dopuszczalna. Zasadna jest zaś wykładnia wąska. W sprawach cywilnych istnieje bowiem przywołana wcześniej reguła domniemania właściwości sądów powszechnych, zaś ochrona praw osobistych stanowi generalnie domenę prawa cywilnego.
W tej sytuacji - wobec bezsporności faktów, istotnych w kontekście oceny, czy organ administracji jest kompetentny do zastosowania środków, przewidzianych w RODO, w świetle reguł ustawy o danych – brak było podstaw do orzekania w sprawie, co do meritum. Nie mógł więc także organ wykonać kompetencji, określonych art. 58 ust. 2 lit. b (patrz: zarzuty Burmistrza). Orzekając w sprawie organ naruszył więc dany przepis prawa materialnego, zakreślający jego kompetencje, poprzez bezpodstawne jego zastosowanie, wobec art. 2 ust. 1, w zw. z art. 4 pkt 6 ustawy o danych.
Wobec wskazanych uwarunkowań, pozostaje poza granicami sprawy (a więc także oceną Sądu), podnoszona w skardze kwestia, czy pozyskanie danych osobowych Wnioskodawcy było w myśl obowiązujących regulacji uprawnione - wynikało z uzasadnionych potrzeb pracodawcy, bądź wykonywania przezeń zadań publicznych.
Powyższe konstatacje prowadza do wniosku, że w sprawie wystąpiły przesłanki wydania orzeczenia o odmowie wszczęcia postępowania, a w razie jego wszczęcia – wobec określonych wątpliwości, czy sprawa pozostaje w kompetencjach wyspecjalizowanego organu - umorzenia postępowania, jako bezprzedmiotowego - Wobec treści skierowanej do organu skargi jego rolą było zbadanie wpierw, czy jest właściwy w sprawie - chodzi o przetwarzanie danych osobowych wnoszącego skargę podmiotu, w zakresie podlegającym - w myśl RODO - nadzorowi danego, wyspecjalizowanego organu administracji. Niewłaściwość organu (bądź oczywisty brak interesu prawnego danego Wnioskodawcy), stanowi przesłankę odmowy wszczęcia postępowania. O ile treść skargi wskazywałaby bezpośrednio właściwość sądu powszechnego, podanie winno by być zwrócone w formie postanowienia (art. 66 § 3 K.p.a.). W danej sprawie jednak – w kwestii skargi na przetwarzanie danych osobowych - właściwości takiej nie było. Nie jest z kolei zadaniem organu instruowanie stron, co do środków prawnych, jakie mogą wykorzystać dla ochrony swoich praw przed sądami powszechnymi.
Reasumując, w rozpatrywanej sprawie nie zachodziły przesłanki prowadzenia postępowania przed danym organem i winno być ono umorzone, co Sąd uwzględnił w orzeczeniu.
Z przytoczonych wyżej przyczyn - na podstawie art. 145 § 1 pkt 1 lit. a oraz §. 3 ustawy - Prawo o postępowaniu przed sądami administracyjnymi - orzeczono jak w pkt 1 i 2 sentencji. O zwrocie kosztów postępowania Sąd orzekł jak w pkt 3 sentencji, w myśl art. 200 powyższej ustawy. Koszty te stanowił wpis sądowy od skargi.