II SA/Wa 2471/21

II SA/Wa 2471/21 - Wyrok WSA w Warszawie
Data orzeczenia
2022-02-28
orzeczenie prawomocne
Data wpływu
2021-07-06
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Wieczorek
Ewa Radziszewska-Krupa /przewodniczący/
Izabela Głowacka-Klimas /sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2016 poz 922
art. 25
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - tekst jedn.
Dz.U.UE.L 2016 nr 119 poz 1 art. art. 4, 5 ust. 1 lit. c), 6 ust. 1 lit. f), 14 ust. 5, 58 ust. 2 lit. c)
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Radziszewska - Krupa, Sędzia WSA Izabela Głowacka - Klimas (spr.), Sędzia WSA Andrzej Wieczorek, po rozpoznaniu w trybie uproszczonym w dniu 28 lutego 2022 r. sprawy ze skargi D. S. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] kwietnia 2021 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych (dalej: organ, Prezes UODO) decyzją z [...] kwietnia 2021 r., znak [...],
działając na podstawie art. 104 i art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2020 r. poz. 256; dalej Kpa.), art. 6 ust. 1 oraz art. 58 ust. 2 lit. c) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej, L 119, z 4 maja 2016 r.; dalej RODO), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani D.S. (Skarżąca), na nieprawidłowości w procesie przetwarzania jej danych osobowych przez A. Niestandaryzowany Sekurytyzacyjny Fundusz Inwestycyjny Zamknięty Wierzytelności z siedzibą w W., przy ul. P. [...] (Fundusz), reprezentowany przez R. Towarzystwo Funduszy Inwestycyjnych S.A. z siedzibą w W., przy ul. M. [...] (poprzednio A. Towarzystwo Funduszy Inwestycyjnych S.A. z siedzibą w W., przy ul. P. [...]. polegające na bezprawnym przetwarzaniu jej danych osobowych, udostępnieniu jej danych osobowych osobom nieuprawnionym oraz niespełnieniu w stosunku do niej obowiązku informacyjnego:
1) nakazał A. Niestandaryzowany Sekurytyzacyjny Fundusz Inwestycyjny Zamknięty Wierzytelności z siedzibą w W., przy ul. P. [...], reprezentowanemu przez R. Towarzystwo Funduszy Inwestycyjnych S.A.
z siedzibą w W., przy ul. M. [...], usunięcie danych osobowych zawartych w kopii dowodu osobistego Pani D.S., zamieszkałej
w G., przy ul. L. [...], w zakresie: obywatelstwa, nazwiska rodowego, imion rodziców, daty i miejsca urodzenia, płci, wzrostu w centymetrach, koloru oczu, nazwy organu wydającego dowód osobisty, daty wydania i terminu ważności dowodu osobistego, oraz wizerunku twarzy i wzoru podpisu, a także danych w zakresie numeru i serii dowodu osobistego;
2) umorzył postępowanie w zakresie udostępnienia przez Fundusz danych osobowych Skarżącej osobom nieuprawnionym;
3) w pozostałym zakresie odmówił uwzględnienia wniosku.
Do wydania powyższej decyzji doszło w następującym stanie sprawy.
Do Urzędu Ochrony Danych Osobowych wpłynęła skarga Skarżącej
na nieprawidłowości w procesie przetwarzania jej danych osobowych przez Fundusz, reprezentowany przez R. Towarzystwo Funduszy Inwestycyjnych S.A.
z siedzibą w W., przy ul. M. [...] (poprzednio A. Towarzystwo Funduszy Inwestycyjnych S.A. z siedzibą w W., przy
ul. P. [...]) polegające na bezprawnym przetwarzaniu jej danych osobowych, udostępnieniu jej danych osobowych osobom nieuprawnionym oraz niespełnieniu
w stosunku do niej obowiązku informacyjnego. Skarżąca w swojej skardze wskazała, że Fundusz przetwarza jej dane osobowe bez podstawy prawnej z naruszeniem obowiązków informacyjnych, o których mowa w ustawie z 1997 r. Ponadto zarzuciła, że Fundusz udostępnił jej dane osobowe osobie nieuprawnionej, ponieważ sama otrzymała dane osobowe osoby trzeciej. Wobec powyższego wniosła o usunięcie jej danych osobowych przetwarzanych przez Fundusz.
Jak wynika z wyjaśnień Funduszu z [...] listopada 2018 r., reprezentowany był przez A. Towarzystwo Funduszy Inwestycyjnych S.A. z siedzibą w W., przy ul. P. [...], a obecnie przez R. Towarzystwo Funduszy Inwestycyjnych S.A. z siedzibą w W., przy ul. M. [...]. W wyniku umowy cesji wierzytelności z [...] czerwca 2015 r. nabył wierzytelności przysługujące P. sp. z o.o. dotyczące Skarżącej z tytułu umowy o świadczenie usług telekomunikacyjnych dla osób indywidualnych o numerze [...] z [...] czerwca 2011 r., zmienionej poprzez aneks [...] z [...] grudnia 2012 r.
Fundusz pozyskał i przetwarza dane osobowe Skarżącej w zakresie: imienia, nazwiska, numeru PESEL, numeru dowodu tożsamości, adresu zameldowania, numeru telefonu kontaktowego, danych dotyczących wierzytelności oraz danych znajdujące się na kopii dowodu osobistego (tj. imienia, nazwiska, nazwiska rodowego, imion rodziców, wzoru podpisu, daty i miejsca urodzenia, płci, wizerunku twarzy, numeru i serii dowodu osobistego, adresu zameldowania, wzrostu
w centymetrach, koloru oczu, nazwy organu wydającego dowód osobisty i numeru PESEL w celu dochodzenia roszczeń wobec Skarżącej wynikających z powyższej dokumentacji).
Zgodnie z wyjaśnieniami Funduszu nie doszło do udostępniania danych osobowych Skarżącej osobie nieuprawnionej o zbieżnym imieniu i nazwisku (ale innym numerze PESEL), a twierdzenia Skarżącej w tym zakresie nie znajdują uzasadnienia.
Jak oświadczył Fundusz, wypełnił on wobec Skarżącej dnia [...] lipca 2016 r. obowiązek informacyjny wynikających z art. 25 ustawy z 1997 r. bezpośrednio
po zawarciu umowy cesji. Wobec Skarżącej nie został wypełniony obowiązek informacyjny z przepisów RODO, gdyż nie jest konieczne powtórne wypełnianie obowiązku informacyjnego zgodnie z art. 14 RODO, który odnosi się do aktywności pozyskiwania danych nie od osoby, której dane dotyczą. Skoro więc pozyskanie danych nastąpiło przed rozpoczęciem stosowania ww. przepisów nie ma podstaw by stosować do tej operacji nowych przepisów. Jednak z ostrożności Fundusz wysłał
do Skarżącej ponownie klauzulę informacyjną dnia [...] października 2018 r.
Prezes UODO w uzasadnieniu wskazanej na wstępie decyzji wyjaśnił, że
z dniem wejścia w życie ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781), zwanej dalej ustawą z 2018 r., Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora, wszczęte
i niezakończone przed 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.), zwanej dalej ustawą z 1997 r. zgodnie z zasadami określonymi w Kpa. Wszelkie czynności podejmowane przez Generalnego Inspektora Ochrony Danych Osobowych przed 25 maja 2018 r. pozostają skuteczne. Dodatkowo organ podkreślił, że Prezes UODO wydając decyzję administracyjną, zobowiązany jest do rozstrzygania sprawy w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji.
Prezes UODO wskazał, że RODO określa obowiązki administratora danych, do których należy przetwarzanie danych osobowych z zachowaniem przesłanek określonych w RODO. Przepisem uprawniającym administratorów danych
do przetwarzania zwykłych danych osób fizycznych, w tym ich udostępniania, jest
art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO, jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Oznacza to, że przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. W konsekwencji zgoda osoby, której dane dotyczą nie jest jedyną podstawą przetwarzania danych osobowych, ponieważ proces przetwarzania danych będzie zgodny z RODO również wówczas, gdy administrator danych wykaże spełnienie innej z wyżej wymienionych przesłanek. Niezależnie od zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO) przetwarzanie danych osobowych jest dopuszczalne między innymi wtedy, gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora (art. 6 ust. 1 lit. f RODO).
Prezes UODO wskazał, nawiązując do motywu 47 RODO, że podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej,
o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa
i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Należy uznać, zdaniem organu, że dochodzenie przez podmiot roszczeń finansowych jest prawnie uzasadnionym interesem i w tym sensie nadrzędnym nad prawami i wolnościami osoby, której dane dotyczą, bowiem dochodzenie roszczeń nie stanowi nieproporcjonalnego ograniczenia tych praw i wolności.
Jak podał organ, w myśl art. 509 § 1 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny, zwanej dalej Kc., wierzyciel może bez zgody dłużnika przenieść wierzytelność na osobę trzecią (przelew), chyba że sprzeciwiałoby się to ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania.
Prezes UODO wyjaśnił, że jak wynika ze zgromadzonego materiału
w sprawie, Fundusz nabył wierzytelność przysługującą wobec Skarżącej od P.
sp. z o.o. na podstawie umowy cesji wierzytelności z dnia [...] czerwca 2015 r. z tytułu umowy o świadczenie usług telekomunikacyjnych dla osób indywidualnych
o nr [...] z [...] czerwca 2011 r., zmienionej poprzez aneks [...] z [...] grudnia 2012 r. Tym samym w ocenie Prezesa UODO wyegzekwowanie należności nabytej na podstawie umowy cesji wierzytelności uznać należy za prawnie usprawiedliwiony cel Funduszu, a zatem jako przesłankę legalizującą proces przetwarzania danych osobowych Skarżącej przez Fundusz uznać należy art. 6 ust. 1 lit. f RODO, jednakże przesłanka ta dotyczy wyłącznie tych danych Skarżącej, które są niezbędne do realizacji ww. celu.
Zdaniem organu dane osobowe zawarte w kopii dowodu osobistego takie jak obywatelstwo, nazwisko rodowe, imiona rodziców, daty i miejsca urodzenia, płeć, wzrost w centymetrach, kolor oczu, nazwa organu wydającego dowód osobisty, data wydania i termin ważności, wizerunek twarzy i wzór podpisu oraz dane osobowe
w zakresie numeru i serii dowodu osobistego nie są danymi, których przetwarzanie jest niezbędne w celu wyegzekwowania wierzytelności nabytej na podstawie umowy cesji. Tym samym przetwarzanie tych danych Skarżącej przez Fundusz stoi
w sprzeczności z zasadą minimalizacji, o której mowa w art. 5 ust. 1 lit. c RODO, pozwalającą administratorowi na przetwarzanych danych adekwatnych, stosownych oraz ograniczonych do tego, co niezbędne do celów, w których są przetwarzane, ponadto nie znajduje podstaw w art. 6 ust. 1 lit. f RODO, zaś administrator
nie wykazał istnienia innych przesłanek legalizujących przetwarzanie tych danych.
Mając na uwadze powyżej dostrzeżone nieprawidłowości Prezes UODO, działając na podstawie art. 58 ust. 2 lit. c RODO, nakazał Funduszowi usunięcie danych osobowych zawartych w kopii dowodu osobistego Skarżącej w zakresie: obywatelstwa, nazwiska rodowego, imion rodziców, daty i miejsca urodzenia, płci, wzrostu w centymetrach, koloru oczu, nazwy organu wydającego dowód osobisty, daty wydania i terminu ważności dowodu osobistego oraz wizerunku twarzy i wzoru podpisu, a także danych w zakresie numeru i serii dowodu osobistego Skarżącej.
Odnosząc się z kolei do zarzutu niespełnienia przez Fundusz obowiązku informacyjnego, Prezes UODO wskazał, że na administratorze, który pozyskał dane osobowe nie od osoby, której dane dotyczą (co miało miejsce w niniejszej sprawie) spoczywa obowiązek wynikający z art. 14 RODO. Podał, że Fundusz wypełnił w dniu [...] lipca 2016 r. wobec Skarżącej obowiązek informacyjny wynikających z art. 25 ustawy z 1997 r. bezpośrednio po zawarciu umowy cesji. Organ wyjaśnił, że jeśli administrator spełnił obowiązek informacyjny wobec Skarżącej na podstawie art. 25 ustawy z 1997 r., to po rozpoczęciu stosowania RODO nie musi go obligatoryjnie ponawiać. O braku takiego obowiązku prawnego przesądza treść art. 14 ust. 5 RODO, zgodnie z którym ustęp 1-4 tego przepisu nie ma zastosowania gdy osoba, której dane dotyczą, dysponuje już tymi informacjami.
Zdaniem organu chociaż rozpoczęcie stosowania przepisów RODO nie powoduje konieczności ponownego wykonywania ww. obowiązku informacyjnego, jego ponowne spełnienie jest zalecaną przez Prezesa UODO i zasługującą
na aprobatę praktyką. Organ podkreślił, że niezastosowania jej nie można uznać
za naruszenie przepisów o ochronie danych osobowych, natomiast, jak wynika
ze zgromadzonego w niniejszej sprawie materiału dowodowego, Fundusz spełnił wobec Skarżącej obowiązek informacyjny, wynikający z art. 14 RODO w dniu
[...] października 2018 r.
Jak stwierdził organ, postępowanie administracyjne prowadzone przez Prezesa UODO służy kontroli zgodności przetwarzania danych z przepisami
o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej przywracającej stan zgodny z prawem na podstawie art. 58 ust. 2 RODO. Ocena dokonywana przez Prezesa UODO w każdym przypadku służy zbadaniu zasadności skierowania pod adresem określonego podmiotu nakazu odpowiadającego dyspozycji art. 58 ust. 2 RODO służącego przywróceniu stanu zgodnego z prawem w procesie przetwarzania danych – jest więc ona uzasadniona
i potrzebna tylko o tyle, o ile nieprawidłowości w procesie przetwarzania danych osobowych istnieją. W ocenie organu nie ma podstaw do stwierdzenia, że
w niniejszej sprawie w zakresie prawidłowego spełnienia wobec Skarżącej obowiązku informacyjnego, o którym mowa w art. 14 RODO, do takich nieprawidłowości doszło.
Odnosząc się z kolei do zarzutu dotyczącego udostępnienia przez Fundusz danych osobowych Skarżącej osobie nieuprawnionej, Prezes UODO wskazał,
że jako organ administracji publicznej, przeprowadzając postępowanie w oparciu
o przepisy Kpa, ocenia na podstawie całokształtu materiału dowodowego, czy dana okoliczność została udowodniona. Dowodami w postępowaniu mogą być
w szczególności dokumenty, zeznania świadków, opinie biegłych oraz oględziny
(art. 75 § 1 Kpa.). W ocenie organu analiza materiału dowodowego nie wykazała
w sposób jednoznaczny i bezsporny, aby doszło do kwestionowanego przez Skarżącą naruszenia ochrony jej danych osobowych poprzez udostępnienie jej danych osobowych osobom nieuprawnionym. Załączone przez Skarżąca pismo pełnomocnika Funduszu nie stanowi dowodu potwierdzającego to naruszenie. Ponadto organ wskazał, że zaistnienie sytuacji, w której Skarżąca otrzymała
od Funduszu dane innej osoby nie jest dowodem na to, że i tamta osoba otrzymała dane Skarżącej. W opinii organu Skarżąca nie przedstawiła żadnych niebudzących wątpliwości dowodów na potwierdzenie, że do przedmiotowego zdarzenia istotnie doszło, zaś Fundusz zaprzeczył, aby udostępnienie to zaistniało. Wobec powyższego nie można uznać, że kwestionowany przez Skarżącą proces udostępnienia jej danych osobowych osobom nieuprawnionym faktycznie zaistniał. W konsekwencji organ stwierdził, że zaistniała przesłanka bezprzedmiotowości postępowania w ww. zakresie umorzenia postępowania w oparciu o art. 105 § 1 Kpa. w zakresie dotyczącym udostępnienia danych osobowych Skarżącej osobom nieuprawnionym. Zgromadzony w sprawie materiał dowodowy nie potwierdził prawdziwości podnoszonych przez Skarżącą zarzutów odnośnie do ww. procesu, wobec czego, jak uznał Prezes UODO, postępowanie w tym zakresie stało się bezprzedmiotowe.
Skarżąca wywiodła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na wskazaną na wstępie decyzję Prezesa UODO, zarzucając naruszenie następujących przepisów, a mianowicie:
- art. 7 Kpa. w zw. z art. 77 § 1 Kpa., w zw. z art. 80 Kpa. poprzez przeprowadzenie postępowania opierając się tylko na wyjaśnieniach Funduszu, nie analizując dowodów wynikających z dokumentów i twierdzeń Skarżącej;
- art. 105 § 1 Kpa. poprzez umorzenie postępowania jako bezprzedmiotowe
w zakresie udostępniania danych osobowych przez Fundusz osobom nieuprawnionym;
- art. 105 § 1 Kpa. poprzez umorzenie postępowania jako bezprzedmiotowe
w zakresie zabezpieczenia i wydania odpowiedniej decyzji celem wdrożenia środków do zabezpieczenia danych osobowych Skarżącej, gdyż w tym celu i zakresie organ został ustawowo powołany;
- art. 9 Kpa. poprzez brak reakcji na pisma kierowane przez Skarżącą do organu oraz braku udzielania informacji przez okres dwóch lat i siedmiu miesięcy;
- art. 12 Kpa. oraz art. 57 Kpa. poprzez naruszenie wszelkich terminów postępowania i wydania decyzji;
- art. 8 § 1 Kpa. poprzez opieszałość postępowania i oparcie się tylko
na wyjaśnieniach strony jako podstawę ustalenia stanu faktycznego co miało zasadniczy wpływ na treść wydanej decyzji.
Skarżąca stwierdziła, że wydana przez Prezesa UODO decyzja jest wadliwa
i wydana z naruszeniem prawa.
Skarżąca zwróciła uwagę na wielomiesięczne procedowanie organu
w związku ze złożoną przez nią skargą na nieprawidłowości w procesie przetwarzania jej danych osobowych przez Fundusz.
Jak podała Skarżąca, organ uznał za podstawę jako materiał dowodowy
do wydania decyzji tylko wyjaśnienia Funduszu z [...] listopada 2018 r. nie analizując dowodów i twierdzeń Skarżącej. Podkreśliła, iż forma wyjaśnień Funduszu nie może być sprzeczna z jego interesami, tym samym ze zrozumiałych względów podmiot nie potwierdzi naruszenia prawa, dlatego też organ powinien podjąć wszelkie kroki niezbędne do dokładnego wyjaśnienia stanu faktycznego. Organ pominął fakt wynikający z dowodu w sprawie jakim jest pierwotna umowa z [...] czerwca 2011 r.
z zastrzeżeniem Skarżącej o przetwarzaniu danych osobowych, z której wynika, iż Fundusz nie jest uprawniony do administrowania danymi osobowymi Skarżącej,
a Skarżąca nigdy nie wyraziła zgodę na przetwarzanie danych przez Fundusz i nigdy nie otrzymała pisma od Funduszu o zmianie administratora, zarazem w myśl art. 7 ust. 1 RODO nie jest w stanie wykazać, że Skarżąca, której dane dotyczą wyraziła zgodę. W ocenie Skarżącej organ nie może powoływać się na prawidłowość powiadomienia Skarżącej o zmianie administratora na rzecz Funduszu, gdyż sam nie zażądał od podmiotu potwierdzeń wysłania i odebrania korespondencji jako dowodu w sprawie sugerując się tylko wyjaśnieniami Funduszu. Podkreśliła, że w przypadku sporu ciężar dowodu doręczenia spoczywa na stronie spełniającej obowiązek informacyjny.
Zdaniem Skarżącej organ nadinterpretując przepis art. 509 § 1 Kc. nie zbadał umowy cesji, która nie identyfikuje i nie personalizuje Skarżącej, nie została w niej wymieniona a sama umowa jak wynika z zapisu nie została zrealizowana zgodnie
z załącznikiem nr 3 umowy z dnia 24 czerwca 2015 r. i załącznikiem nr 2 "Protokołem przekazania wierzytelności i danych osobowych", w świetle tych dowodów jest to umowa pomiędzy dwoma podmiotami bliżej nieokreślonego przedmiotu kupna-sprzedaży. Zwróciła uwagę na fakt, że kopia "rzekomej" cesji przesłana została
na adres Skarżącej z dokumentami Pani D.S. z R.,
co poświadczyć może pieczęć na umowie cesji radcy prawnego z datą [...] listopada 2016 r. a na wydruku z ksiąg rachunkowych Funduszu przesłanym Skarżącej jest data [...] marca 2017 r., wynika z tego, że cesja wierzytelności umowy dotyczy Pani D.S. z R. a nie Skarżącej . Ww. umowa nie stanowi dowodu
na zawarcie pomiędzy podmiotami cesji wierzytelności dotyczącej Skarżącej, także załączony wyciąg z ksiąg rachunkowych w świetle orzeczenia Trybunału Konstytucyjnego z 11 lipca 2011 r. (Dz.U. z 25/07/2011 r., Nr 152, poz. 900), nie jest dowodem na istnienie zobowiązania, tym samym nie obliguje Fundusz
do administrowania danymi Skarżącej.
Skarżąca wskazała, że Fundusz przekazał szczególne dane osobowe Skarżącej takie jak: imię nazwisko, PESEL, kopię dowodu osobistego, adres zamieszkania, dane dotyczące postępowania sądowego osobie nie powołanej wysyłając je pod adres Pani D.S. zamieszkałej w R., a dane tej Pani na adres Skarżącej. Żadne przesłanki wynikające z art. 6 RODO nie uprawniały podmiotu do przesyłania i udostępnienia tych danych, Fundusz naruszył prawa nie tylko Skarżącej, ale też ww. osoby. Szczególne dane znalazły się w przestrzeni publicznej gdzie podmiot nie przeprowadził zabezpieczenia tych danych i nie podjął oceny ryzyka naruszenia prawa jako administrator objęty ustawą RODO. W ocenie Skarżącej Fundusz przekazując szczególne dane osobom trzecim, nie realizował uzasadnionego interesu prawnego wynikającego z art. 6 ust. 1 lit. f RODO, na który się powoływał, "uważając że to tylko mała pomyłka".
Zdaniem Skarżącej organ nie gromadząc dowodów w sprawie, opierając się tylko na wyjaśnieniach Funduszu, nie ustalił rzetelnie stanu faktycznego sprawy
w wyniku czego nie podjął żadnych kroków w stosunku do Funduszu celem zabezpieczenia danych osobowych, które znajdują się u osób nieuprawnionych. Podkreśliła, że organ przez swoją opieszałość i nieterminowość nie mógł wezwać podmiotu do czynności zabezpieczających nałożonych przez przepisy RODO
na administratora, dlatego też podjął decyzję o umorzeniu w tej kwestii postępowania jako bezprzedmiotowe.
Jak podała Skarżąca, zgodnie z ustawą z dnia 24 września 2010 r.
o ewidencji ludności, w rejestrze PESEL gromadzone są dane m.in. daty urodzenia
i płeć, tym samym zgodnie z treścią decyzji wydanej przez organ, skarżąca ma prawo żądać usunięcia z bazy danych Funduszu także numerów składających się na nr PESEL, tj. daty urodzenia i płci wyłączając w zakresie numeru PESEL ...... [...]., tak nr PESEL jak i data urodzenia czy płeć znajdują się na kopii dowodu osobistego, z którego organ nakazał usunąć wszystkie inne dane.
W odpowiedzi na skargę Prezes UODO wniósł o jej oddalenie, odnosząc się do postawionych w niej zarzutów.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Zgodnie z art. 1 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (t.j. Dz.U. z 2021 r. poz. 137), sądy administracyjne kontrolują działalność administracji publicznej pod względem zgodności z prawem. Z tego też powodu w postępowaniu sądowym nie mogą być brane pod uwagę argumenty natury słusznościowej czy celowościowej. Badana jest wyłącznie legalność aktu administracyjnego, czyli prawidłowość zastosowania przepisów prawa do zaistniałego stanu faktycznego, trafność wykładni tych przepisów oraz prawidłowość zastosowania przyjętej procedury.
Stosownie do art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo
o postępowaniu przed sądami administracyjnymi (t.j. Dz.U. z 2019 r. poz. 2325
ze zm.), zwanej dalej P.p.s.a., sąd rozstrzyga w granicach danej sprawy, nie będąc związany zarzutami i wnioskami skargi oraz wskazaną podstawą prawną,
z zastrzeżeniem art. 57a.
Na zasadzie art. 145 § 1 pkt 1 P.p.s.a., uwzględnienie skargi na decyzję następuje w przypadku naruszenia prawa materialnego, które miało wpływ na wynik sprawy (lit. a), naruszenia prawa dającego podstawę do wznowienia postępowania administracyjnego (lit. b) lub innego naruszenia przepisów postępowania, jeżeli mogło ono mieć istotny wpływ na wynik sprawy (lit. c).
Przeprowadzona przez Sąd, w granicach tak określonej kognicji, kontrola legalności zaskarżonej decyzji, wykazała, że została ona wydana bez naruszenia przepisów prawa procesowego i materialnego w stopniu uzasadniającym jej uchylenie, o co wnosiła Skarżąca w skardze.
Na wstępie podać należy, że w Rozporządzeniu Parlamentu Europejskiego
i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie
o ochronie danych osobowych) zostały zawarte przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych.
Celem rozporządzenia jest doprowadzenie do pełnej harmonizacji prawa
w ramach UE i swobodnego przepływu danych osobowych. W założeniu ma to pozwolić mieszkańcom Unii Europejskiej na lepszą kontrolę ich danych osobowych. Rozporządzenie zostało przyjęte 27 kwietnia 2016 r. W momencie wejścia w życie (od dnia 25 maja 2018 r.), po dwuletnim okresie przejściowym, zaczęło obowiązywać w krajach członkowskich Unii Europejskiej bezpośrednio, bez potrzeby wydawania aktów prawnych wdrażających je do porządku krajowego.
Zgodnie z art. 4 RODO pkt 1), 2), 7) i 8) RODO, "dane osobowe" oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"). Możliwa do zidentyfikowania osoba fizyczna
to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
"Przetwarzanie" oznacza operację lub zestaw operacji wykonywanych
na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
"Administrator" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele
i sposoby przetwarzania danych osobowych. Jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.
"Podmiot przetwarzający" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
Przepisem legalizującym przetwarzanie danych osób fizycznych przez administratora jest obecnie art. 6 rozporządzenia 2016/679, który wypełnia podstawy prawne przetwarzania danych osobowych. Zgodnie z nim przetwarzanie danych osobowych jest zgodne z prawem, gdy spełniona jest co najmniej jedna
z wymienionych przesłanek: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego
w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Jak trafnie przyjął organ przepisami uprawniającymi Fundusz do przetwarzania danych osobowych Skarżącej aktualnie są art. 6 ust. 1 lit. f) rozporządzenia 2016/679, który wypełnia podstawy prawne przetwarzania danych osobowych.
Z akt sprawy wynika, iż Fundusz pozyskał dane osobowe Skarżącej
na podstawie umowy cesji wierzytelności z dnia 24 czerwca 2015 r., która została zawarta z P. sp. z o.o. Dla wyjaśnienia należy wskazać, że P. sp. z o.o. przysługiwała wierzytelność wobec Skarżącej. Powyższe działanie jest dopuszczalne na podstawie art. 509 § 1 Kodeksu cywilnego, zgodnie z którym wierzyciel może bez zgody dłużnika przenieść wierzytelność na osobę trzecią (przelew), chyba że sprzeciwiałoby się to ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania. Na mocy powyższej umowy Fundusz nabył od P.
sp. z o.o. wierzytelność wobec Skarżącej. Cesja wierzytelności wiąże się
z uprawnieniem do przekazania nabywcy danych osobowych dłużnika umożliwiających podjęcie względem niego stosowanych działań zmierzających
do odzyskania należności.
W ocenie Sądu, art. 6 ust. 1 lit. f) rozporządzenia 2016/679 (RODO) legalizuje przetwarzanie wyłącznie tych danych Skarżącej, które są niezbędne do realizacji celu przetwarzania, w tym wypadku do dochodzenia wierzytelności.
Jak wynika z akt sprawy Fundusz pozyskał i przetwarza dane osobowe Skarżącej w zakresie: imienia, nazwiska, numeru PESEL, numeru dowodu tożsamości, adresu zameldowania, numeru telefonu kontaktowego, danych dotyczących wierzytelności oraz danych znajdujące się na kopii dowodu osobistego (tj. imienia, nazwiska, nazwiska rodowego, imion rodziców, wzoru podpisu, daty
i miejsca urodzenia, płci, wizerunku twarzy, numeru i serii dowodu osobistego, adresu zameldowania, wzrostu w centymetrach, koloru oczu, nazwy organu wydającego dowód osobisty i numeru PESEL, w celu dochodzenia roszczeń wobec Skarżącej wynikających z umowy cesji wierzytelności.
Na gruncie niniejszej sprawy należy też powołać się na zasadę minimalizmu danych, wyrażoną w art. 5 ust. 1 lit. c RODO, wedle której dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Swym rodzajem i treścią dane te nie powinny wykraczać poza potrzeby wynikające z celu ich przetwarzania, a za błędne należy uznać przetwarzanie wszelkich danych dla celu tego przetwarzania, tj. zarówno danych nieistotnych, niemających znaczenia, jak i danych o większym niż uzasadniony
z tego względu stopniu szczegółowości. W doktrynie wskazuje się, że określenie "adekwatne" oznacza "odpowiednie, zgodne, proporcjonalne, nienadmierne" i może być traktowane jako synonim słowa "stosowne". Adekwatność i stosowność rozumieć można jako konieczność zachowania odpowiednich proporcji zakresu danych
do celów przetwarzania i przetwarzanie tylko takich danych, które są potrzebne dla realizacji określonych celów." (P. Fajgielski, [w:] Komentarz do rozporządzenia
nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2018, art. 5.). Powyższe zasady korelują z obowiązkiem nałożonym na administratora danych, który wiąże się z przetwarzaniem jak najmniejszego zakresu danych przy jednoczesnej możliwości realizacji ustalonego celu.
W ocenie Sądu, która w tym zakresie jest zbieżna z oceną organu, dane osobowe zawarte w kopii dowodu osobistego takie jak obywatelstwo, nazwisko rodowe, imiona rodziców, daty i miejsca urodzenia, płeć, wzrost w centymetrach, kolor oczu, nazwa organu wydającego dowód osobisty, data wydania i termin ważności, wizerunek twarzy i wzór podpisu oraz dane osobowe w zakresie numeru
i serii dowodu osobistego nie są danymi, których przetwarzanie jest niezbędne w celu wyegzekwowania wierzytelności nabytej na podstawie umowy cesji. Tym samym przetwarzanie tych danych Skarżącej przez Fundusz, stoi zdaniem Sądu,
w sprzeczności z zasadą minimalizacji, o której mowa w art. 5 ust. 1 lit. c RODO, pozwalającą administratorowi na przetwarzanych danych adekwatnych, stosownych oraz ograniczonych do tego, co niezbędne do celów, w których są przetwarzane, ponadto nie znajduje podstaw w art. 6 ust. 1 lit f RODO i dlatego też Prezes UODO działając na podstawie art. 58 ust. 2 lit. c RODO nakazał słusznie Funduszowi ich usunięcie.
W ocenie Sądu, w niniejszej sprawie nie doszło również, wbrew twierdzeniom Skarżącej do przekazania jej danych osobowych osobie trzeciej. Dowodami
w postępowaniu mogą być w szczególności dokumenty, zeznania świadków, opinie biegłych oraz oględziny (art. 75 § 1 Kpa.). Z art. 7 i 77 § 1 Kpa. wynika, że obowiązek wyczerpującego zbadania i rozpatrzenia całego materiału dowodowego ciąży
na organie prowadzącym postępowanie administracyjne. Nie znaczy to jednak, że strona jest zwolniona od współdziałania z organem, zwłaszcza że nieudowodnienie określonej okoliczności faktycznej może prowadzić do rezultatów niekorzystnych dla strony.
Skarżąca na tę okoliczność nie przedstawiła w toku całego postepowania żadnych dowodów. Natomiast jak wynika z wyjaśnień Funduszu nie doszło do udostępniania danych osobowych Skarżącej osobie nieuprawnionej o zbieżnym imieniu i nazwisku. Z pisma pełnomocnika Funduszu z dnia [...] marca 2017 r. nie wynika fakt zaistnienia takiego naruszenia. Zaistnienie sytuacji, w której Skarżąca otrzymała od Funduszu dane innej osoby nie jest dowodem na to, że i tamta osoba otrzymała dane Skarżącej. Reasumując zdaniem Sądu organ słusznie w tym zakresie umorzył postępowanie jako bezprzedmiotowe.
Odnosząc z kolei do zarzutu niespełnienia przez Fundusz obowiązku informacyjnego, wskazać należy, że na administratorze, który pozyskał dane osobowe nie od osoby, której dane dotyczą (co miało miejsce w niniejszej sprawie) spoczywa obowiązek wynikający z art. 14 RODO.
Fundusz wypełnił w dniu 7 lipca 2016 r. wobec Skarżącej obowiązek informacyjny wynikających z art. 25 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.), zwanej dalej ustawą z 1997 r. bezpośrednio po zawarciu umowy cesji. Jeśli administrator spełnił obowiązek informacyjny wobec Skarżącej na podstawie art. 25 ustawy z 1997 r., to po rozpoczęciu stosowania RODO nie musi go obligatoryjnie ponawiać. O braku takiego obowiązku prawnego przesądza treść art. 14 ust. 5 RODO, zgodnie z którym ustęp
1-4 tego przepisu nie ma zastosowania gdy osoba, której dane dotyczą, dysponuje już tymi informacjami. Mimo to Fundusz, jak wynika ze zgromadzonego w niniejszej sprawie materiału dowodowego, spełnił wobec Skarżącej obowiązek informacyjny, wynikający z art. 14 RODO w dniu 12 października 2018 r. Tak więc słusznie organ
w tym zakresie oddalił skargę.
Na zakończenie należy wskazać, że zarzuty skargi dotyczące przewlekłości postępowania w tej sprawie nie podlegały ocenie Sądu. Sąd wyjaśnia, że strona niezadowolona z przewlekłości postępowania dysponuje środkami prawnymi do jego zwalczania, są to skarga na przewlekłe prowadzenie postępowania i skarga na bezczynność, które muszą być poprzedzone ponagleniem.
Biorąc powyższe pod rozwagę działając na podstawie art. 151 P.p.s.a., Sąd skargę oddalił.