II SA/Wa 261/25

II SA/Wa 261/25 - Wyrok WSA w Warszawie
Data orzeczenia
2025-05-06
orzeczenie nieprawomocne
Data wpływu
2025-02-17
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Wieczorek
Anna Pośpiech-Kłak /sprawozdawca/
Iwona Maciejuk /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
III OSK 1774/25 - Wyrok NSA z 2026-01-16
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżoną decyzję w części
Powołane przepisy
Dz.U. 2024 poz 935
art. 145 § 1 pkt 1 lit. a)
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Iwona Maciejuk, Sędzia WSA Andrzej Wieczorek, Asesor WSA Anna Pośpiech-Kłak (spr.), , Protokolant starszy specjalista Ewa Kielak-Niedźwiedzka po rozpoznaniu na rozprawie w dniu 6 maja 2025 r. sprawy ze skargi N. P. C., M. C. Sp. j. z siedzibą w [...] na punkt 1 decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lipca 2022 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla punkt 1 decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lipca 2022 r. nr [...], 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz N. P. C., M. C. Sp. j. z siedzibą w [...] kwotę 697 (słownie: sześćset dziewięćdziesiąt siedem) złotych tytułem zwrotu kosztów postępowania.
Uzasadnienie
W dniu 31 sierpnia 2022 r. D. K., zw. dalej "wnioskodawcą" wniósł do Prezesa Urzędu Ochrony Danych Osobowych, zw. dalej "PUODO", skargę na nieprawidłowości w procesie przetwarzania jego danych osobowych przez N. Sp. z o.o. Sp.k. z siedzibą w [...], zw. dalej "spółką", polegające na udostępnieniu osobom nieuprawnionym jego danych w zakresie imienia i nazwiska, podczas identyfikacji uprawnienia do skorzystania z usługi przewozowej.
PUODO decyzją z [...] lipca 2022 r. na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256) zw. dalej "k.p.a." w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781) zw. dalej "u.o.d.o.", art. 5 ust 1, art. 6 ust. 1 i art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46WE (ogólne rozporządzenie o ochronie danych osobowych, Dz. Urz. UE L 119 z 4.05.2016,), zw. dalej "RODO", udzielił spółce upomnienia za naruszenie art. 6 ust 1 w zw. z art. 5 ust. 1 lit f RODO (pkt 1) i odmówił uwzględnienia wniosku w pozostałym zakresie (pkt 2).
W uzasadnieniu decyzji PUODO wskazał, że Spółka pozyskała dane osobowe wnioskodawcy w zakresie imienia, nazwiska, adresu poczty elektronicznej, numeru telefonu oraz numeru konta bankowego, na podstawie dobrowolnego ich udostępnienia przez Skarżącego w związku z zakupem biletów autobusowych za pośrednictwem strony internetowej [...], m.in. bilet na trasie [...] z dnia [...].01.2021 r., bilet na trasie [...] z dnia [...].01.2021 r., bilet na trasie [...] z dnia [...].12.2020 r., bilet na trasie [...] z dnia [...].12.2020 r., bilet na trasie [...] z dnia [...].12.2020 r., bilet na trasie [...] z dnia [...].11.2020 r., bilet na trasie [...] z dnia [...].11.2020 r., bilet na trasie [...] z dnia [...].11.2020 r., bilet na trasie [...] z dnia [...].11.2020 r., bilet na trasie [...] z dnia [...].09.2020 r., bilet na trasie [...] z dnia [...].09.2020 r., bilet na trasie [...] z dnia [...].09.2020 r., bilet na trasie [...] z dnia [...].09.2020 r., bilet na trasie [...] z dnia [...].08. 2020 r. (dowód: wyjaśnienia Spółki z 12 stycznia 2021 r.).
Spółka wskazała, że przetwarza dane osobowe wnioskodawcy na podstawie art. 6 ust. 1 lit. b rozporządzenia 2016/679 w celu zawarcia bądź realizacji umowy przewozu osób lub rzeczy, dla wykonania której przetwarzanie danych jest niezbędne oraz na podstawie art. 6 lit. f rozporządzenia 2016/679 w celu realizacji prawnie uzasadnionego interesu w postaci konieczności rozpoznania zgłoszonej przez Skarżącego reklamacji usługi przewozowej oraz z uwagi na prowadzone postępowanie sądowo - administracyjne pod sygn. II SA Wa 1801/20 przed Wojewódzkim Sądem Administracyjnym w Warszawie (dowód: wyjaśnienia Spółki z 12 stycznia 2021 r.);
Spółka wyjaśniła, że pasażer, który zakupił bilet za pośrednictwem systemu internetowego Spółki ma obowiązek okazać kierowcy zakupiony bilet, a kierowca weryfikuje dane na nim widniejące z danymi zamieszczonymi na liście podróżnych, w tym datę i godzinę kursu jak również miejsce podróży, celem potwierdzenia prawa do przejazdu oraz dla uniknięcia sytuacji, w których pasażer omyłkowo pomylił autobus, datę, godzinę lub trasę konkretnego kursu. Podstawą prawną przyjętej przez Spółkę regulacji usługi przewozowej jest - jej zdaniem - art. 16 ustawy z dnia 15 listopada 1984 r. Prawo przewozowe (Dz. U. z 2020 r., poz. 8) oraz wewnętrzny Regulamin Przewozów (dowód: wyjaśnienia Spółki z dnia 16 maja 2019 r.). Lista podróżnych, zawierająca imię i nazwisko podróżnego, bez numeru telefonu i adresu poczty elektronicznej, dostępna jest - zdaniem Spółki - wyłącznie do wglądu kierowcy, który posiada stosowne upoważnienie i przechowuje ją w materiałowej, zamykanej teczce, niedostępnej dla osób trzecich, w której przewozi wszystkie dokumenty dotyczące danego kursu, a po kursie, listy przekazywane są upoważnionym pracownikom. Kierowcy nie mają dostępu do innych danych, poza tymi zawartymi na powierzonej im liście pasażerów, tj. imieniem oraz nazwiskiem, w szczególności do danych o szczególnym, tj. wrażliwym charakterze (dowód: wyjaśnienia Spółki z 12 stycznia 2021 r.);
Spółka oświadczyła, że nie odnotowała przypadku objętego skargą Skarżącego i nie potwierdza, aby wskazane przez niego rozmowy prowadzące do udostępnienia jego danych, utrwalone na nagraniach głosowych, miały miejsce w autobusie Spółki. Kierowca - zdaniem Spółki - nie żąda podania głośno nazwiska pasażera ani żadnych innych jego danych, nie czyta również głośno listy pasażerów ani ich nie wywołuje, bowiem podróżny zobowiązany jest do okazania kierowcy biletu, który konfrontowany w tym stanie faktycznym Prezes UODO zważył, co następuje. jest przez kierowcę z listą pasażerów, natomiast osoba, która wejdzie na pokład autobusu może dobrowolnie się przedstawić. Jeżeli pasażer nie życzy sobie, aby jego dane widniały na iście pasażerów, ma możliwość zakupienia biletu bezpośrednio u kierowcy (dowód: wyjaśnienia Spółki z 12 stycznia 2021 r. oraz 5 maja 2021 r.);
Skarżący w trakcie wsiadania do autobusu został poproszony przez kierowcę o wskazanie swojego imienia i nazwiska, które ten dobrowolnie mu podał wypowiadając je na głos, w innym zaś przypadku kierowca pierwszy ujawnił dane osobowe Skarżącego; - nagranie dźwiękowe o nazwie "[...]" rozpoczyna się od niezrozumiałych słów, następnie słychać szum oraz silnik pojazdu, po czym pada wymiana zdań: "Dzień dobry, na jakie nazwisko? "Na nazwisko [...] szukamy"; "D., nie?"; "Tak"; "Do [...], tak?"; "Dokładnie"; "Dobra, gra"; "Na górę tylko, tak? "Tak, tak", po czym, słychać szum, niezrozumiale głosy i nagranie kończy się; nagranie dźwiękowe o nazwie "[...]" rozpoczyna się od niezrozumiałych słów, po czym pada wymiana zdań: "Pana nazwisko"; "[...]"; "Dziękuję bardzo"; "Dziękuję" - następnie przez dłuższy czas słychać niezrozumiałe głosy i nagranie kończy się; - nagranie dźwiękowe o nazwie "Głos 063 .m4a" rozpoczyna się od słów: "Nazwisko?"; "[...]"; "Proszę bardzo"; "Też z kasy czy..?"; "Z Internetu" "Na nazwisko?"; "[...], tak?"; "Proszę"; "Dziękuję" - następnie przez dłuższy czas słychać niezrozumiałe głosy i nagranie kończy się. (dowód: nagrania dźwiękowe stanowiące załącznik do skargi z 9 września 2020 r., notatka urzędowa z 4 stycznia 2021 r.);
Skarżący nie zwracał się do Spółki z żądaniem zaprzestania przetwarzania jego danych osobowych (dowód: wyjaśnienia Spółki z 12 stycznia 2021 r.);
Prezes UODO prowadził postępowanie administracyjne pod sygn. [...], w wyniku którego udzielił Spółce upomnienia za naruszenie art. 5 ust. 1 lit. f w zw, z art. 6 ust. 1 b rozporządzenia 2016/679, polegającego na udostępnieniu osobom nieuprawnionym danych Skarżącego w zakresie imienia i nazwiska, podczas identyfikacji jego uprawnienia do skorzystania z usługi przewozowej (dowód: pismo Skarżącego z 27 listopada 2020 r., wyjaśnienia Spółki z 12 stycznia 2021 r.).
Wydając zaskarżoną decyzję Prezes UODO wyjaśnił, że zgodnie z definicją przetwarzania danych osobowych, ujętą wart. 4 pkt 2 rozporządzenia 2016/679, pod pojęciem przetwarzania należy rozumieć operację lub zestaw operacji wykonywanych na danych osobowych lub ich zestawach w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Prawodawca uznał, że czynność przetwarzania dotyczy jakichkolwiek operacji wykonywanych na danych osobowych, w tym ich: zbierania, utrwalania, przechowywania, czy udostępniania, a zwłaszcza tych, które wykonuje się w systemach informatycznych. Nie ma natomiast znaczenia czy będą dokonywane automatycznie, czy w sposób niezautomatyzowany. Sposób zdefiniowania pojęcia przetwarzania danych wskazuje, że intencją ustawodawcy było objęcie tym terminem bardzo szerokiej gamy czynności na danych osobowych. Wyróżnienie zaś automatycznego przetwarzania danych osobowych miało na celu wyróżnienie go wobec postępu technologicznego i nadania w rozporządzeniu 2016/679 dodatkowych dyspozycji odnośnie chociażby profilowania danych. Tak ujęta definicja przetwarzania danych opiera się na założeniu o braku możliwości odgórnego wskazania konkretnych operacji, które jako jedyne mogą być wykonywane na danych osobowych.
Dlatego też, zdaniem Prezesa UODO, wszelkie działania podejmowane przez Spółkę, w tym przez pracowników Spółki w ramach realizacji usług, które za przedmiot mają informacje osobowe winny być zakwalifikowane jako przetwarzanie danych. W myśl rozporządzenia 2016/679, aby przetwarzanie danych osobowych było zgodne z prawem, administrator jest zobowiązany przetwarzać dane osobowe na podstawie przesłanek określonych w art. 6 rozporządzenia 2016/679. Przepis art. 5 ust. 1 lit. f rozporządzenia 2016/679 stanowi, iż dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową Utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność").
Zgodnie z motywem 10 rozporządzenia 2016/679, danymi wrażliwymi są szczególne kategorie danych osobowych, enumeratywnie wymienione w art. 9 rozporządzenia 2016/679, tj.: dane ujawniające pochodzenie rasowe lub etniczne, dane ujawniające poglądy polityczne, dane ujawniające przekonania religijne lub światopoglądowe, dane ujawniające przynależność do związków zawodowych, dane genetyczne, dane biometryczne, dane dotyczące zdrowia oraz dane dotyczące seksualności lub orientacji seksualnej. Dane osobowe w postaci imienia, nazwiska, numeru telefonu i adresu poczty elektronicznej nie znajdują się w tym katalogu. Za chybiony, Prezes UODO uznał zarzut Skarżącego, że Spółka przetwarza jego wrażliwe dane osobowe. Spółka uprawniona była do przetwarzania danych Skarżącego na podstawie art. 6 ust, 1 lit. b rozporządzenia 2016/679, do czasu zrealizowania każdej z zawartych umów, a także z uwagi na toczące się postępowanie sądowoadministracyjne, była uprawniona do przetwarzania danych osobowych do czasu prawomocnego zakończenia postępowania.
Jednakże, organ uznał, że ze zgormadzonego materiału dowodowego wynika, że Spółka udostępniła dane Skarżącego w zakresie jego imienia i nazwiska osobom nieuprawnionym, podczas identyfikacji jego uprawnienia do skorzystania z usługi przewozowej. Skarżący nie tylko został poproszony o podanie nazwiska, które zostało przez kierowcę powtórzone na głos, lecz także pracownik Spółki - kierowca - sam, z własnej inicjatywy podjął dialog ze Skarżącym w którym pierwszy ujawnił jego nazwisko. Doszło zatem do przetwarzania danych Skarżącego bez podstawy prawnej, z naruszeniem zasady poufności, w tym ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem. Choć Spółka oświadczyła, że nie odnotowała przypadku objętego skargą i nie potwierdza, aby wskazane przez niego rozmowy prowadzące do udostępnienia jego danych, utrwalone na nagraniach głosowych, miały miejsce w autobusie Spółki, to organ nie dał jej wiary wyjaśnieniom, z uwagi na zgromadzony w sprawie materiał dowodowy, w tym oświadczenie Skarżącego poparte przedłożonymi nagraniami głosowymi, pozostającymi w logicznym ciągu z postawionymi przez niego względem Spółki zarzutami. Organ ustalił, że Spółka przetwarzała dane osobowe Skarżącego, zaś pracownik Spółki - wymagając od Skarżącego podania jego imienia i nazwiska podczas weryfikacji jego uprawnienia do skorzystania z usługi przewozowej - zamiast dokonania wglądu w zakupiony przez Skarżącego bilet, udostępnił je na rzecz osób nieupoważnionych naruszając ich ochronę, powtarzając je na głos wśród osób nieupoważnionych do pozyskania informacji o jego tożsamości. Skarżący, jako pasażer, zobowiązany jest do okazania kierowcy biletu, nie zaś do przedstawienia się. Zebrany materiał dowodowy nie pozwolił przyjąć, iż Skarżący godził się na przetwarzanie przez kierowcę jego danych w kwestionowany przez niego sposób, który doprowadził do udostępnienia ich na rzecz osób trzecich, tj. pozostałych pasażerów autobusu.
W ocenie Prezesa UODO nie sposób przyjąć, że w sprawie doszło do naruszenia ochrony danych osobowych Skarżącego w zakresie udostępnienia osobom nieupoważnionym jego danych, znajdujących się na liście pasażerów. Poza oświadczeniem. Skarżący nie przedstawił żadnych innych dowodów potwierdzających podniesiony zarzut, a przeprowadzone postępowanie nie doprowadziło do ustalenia, że takie naruszenie miało miejsce, zaś Spółka słusznie wskazała, iż operacje przetwarzania danych w postaci weryfikacji przez kierowcę autobusu danych osobowych widniejących na bilecie z listą pasażerów są niezbędne oraz proporcjonalne w stosunku do celów przetwarzania.
Powyższa decyzja stała się przedmiotem skargi Spółki [...] Sp. J. z siedzibą w [...] do Wojewódzkiego Sądu Administracyjnego w Warszawie. Spółka wniosła o uchylenie zaskarżonej decyzji w całości i o umorzenie postępowania; ewentualnie w przypadku nie stwierdzenia podstaw do umorzenia postępowania, wniosła o uchylenie zaskarżonej decyzji w części (tj. pkt. 1 Decyzji); nadto wniosła o zasądzenie od PUODO na rzecz Spółki zwrotu kosztów postępowania wraz z kosztami zastępstwa procesowego oraz o przeprowadzenie dowodów w postaci: wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z 11 maja 2021 r. sygn. akt II SA/Wa 1801/20; postanowienia z dnia [...] lipca 2022 r. wraz z uzasadnieniem; pisma Spółki z dnia 1 czerwca 2021 r.
Spółka zarzuciła organowi naruszenie przepisów postępowania administracyjnego które miało istotny wpływ na wynik sprawy tj.:
- art. 61 §1 w zw. z art 61a k.p.a. oraz art 105 k.p.a. poprzez brak odmowy wydania orzeczenia o odmowie wszczęcia postępowania, a w razie jego wszczęcia - umorzenia postępowania jako bezprzedmiotowego, podczas gdy wymienienie przez D. K. jego imienia i nazwiska, a później ich hipotetyczne powtórzenie przez kierowcę pojazdu nie mogłyby być traktowane jako przetworzenie danych osobowych w rozumieniu RODO, wyspecjalizowany Organ - Prezes Urzędu Zamówień Publicznych nie był więc właściwy dla oceny legalności tych zdarzeń, z uwagi że wypowiedzenie imienia i nazwiska przez D. K. nie pozostawało w żadnym związku z procesem mechanicznego przetwarzania danych bądź posługiwanie się danymi mogącymi stanowić wyodrębnioną bazę, jako zespół informacji uporządkowanych wedle pewnych kryteriów w dniu zdarzenia, ponadto regulacje RODO nie dotyczą możliwości poznania imienia i nazwiska określonej osoby;
- art. art 58 ust. 2 RODO w zw. z art. art. 34 ust 2 oraz art. 60 ustawy o danych osobowych poprzez wydanie przez PUODO decyzji udzielającej upomnienia wnioskodawcy w zakresie naruszenia art. 6 ust.1 w zw. art. 5 usL1 lit. f) RODO, polegające na udostępnieniu osobom nieuprawnionym danych D. K. w zakresie jego imienia i nazwiska, podczas identyfikacji jego uprawnienia do skorzystania z usługi przewozowej, podczas z uwagi na brak naruszenia przepisów RODO - PUODO nie jest podmiotem właściwym w tym zakresie, zaznaczyć należy iż w kwestii ochrony dóbr osobistych w rozumieniu art. 23 i 24 k.c. właściwe są sady powszechne, nie zaś organy administracji;
- art. 2 ust. 1 RODO w zw. z art. 4 pkt. 6 w zw. z art. 4 ust. 2 RODO - poprzez przyjęcie iż przez czynność przedstawienia się/ wypowiedzenia imienia i nazwiska doszło do przetwarzania danych osobowych przez skarżącego, podczas gdy: w orzecznictwie podnosi się że wobec wyartykułowanych celów przyjęcia RODO i treści jego regulacji wstępnych - akt ten dotyczy zdarzeń związanych z przetwarzaniem informacji (gromadzenie, transfer itp.) gdzie możliwe jest mechaniczne odnajdywanie informacji o osobach - ich danych osobowych – w szczególności w ramach systemów teleinformatycznych, nie dotyczy ono zaś zdarzeń, pozostających w związku z ujawnieniem (a więc przetworzeniem) danych osobowych, w innych sytuacjach - np. możliwości poznania imienia i nazwiska określonej osoby, wobec głośnego jego wypowiedzenia (przez kierowcę czy pasażera autobusu), nawet gdy znajduje się ono równocześnie w określonym zbiorze informacji (liście pasażerów), choćby prowadzono ją w formie elektronicznej;
- art. 2 ust. 1 RODO w zw. z art. w zw. z art. 4 pkt. 6 w zw. z art. 4 ust. 2 RODO poprzez przyjęcie iż doszło do udostępnienia danych osobowych podczas gdy, udostępnianiem danych osobowych będziemy mieli do czynienia wyłącznie wtedy, gdy odbiorcą danych jest inny administrator danych, a więc podmiot decydujący o celach i środkach przetwarzania danych osobowych, w sprawie niniejszej, wypowiedzenie przez D. K. własnego imienia i nazwiska wobec innych pasażerów autobusu, które są osobami fizycznymi – nie spowodowało że osoby te stały się administratorem danych osobowych D. K., wymienienie przez Skarżącego imienia i nazwiska, a później ich powtórzenie przez Kierowcę pojazdu nie mogły być traktowane jako przetworzenie danych osobowych w rozumieniu RODO, nie pozostawało to w żadnym związku z procesem mechanicznego przetwarzania danych osobowych bądź posługiwanie się danymi mogącymi stanowić wyodrębnioną bazę jako zespół informacji uporządkowanych wedle pewnych kryteriów w dniu zdarzenia.
Dalej Spółka wskazała, że na skutek powyższych naruszeń, PUODO prowadził postępowanie administracyjne, podczas gdy nie był właściwy do jego prowadzenia z uwagi na brak zastosowania RODO w sprawie, konsekwencji postępowanie przez Organem powinno zostać w umorzone. Ponadto podniósł również zarzuty naruszenia przepisów postępowania, które miały istotny wpływ na wynik sprawy, tj.:
- art. 7 k.p.a., art. 77 k.p.a. i art. 107 § 3 k.p.a. w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych - poprzez niepodjęcie przez organ wszystkich czynności niezbędnych do ustalenia stanu faktycznego i wyjaśnienia sprawy, w szczególności w zakresie: jakim konkretnym osobom udostępniono dane osobowe, w jaki sposób ustalono że były to osoby nieuprawnione, kto konkretnie usłyszał dane osobowe D. K. w postaci imienia i nazwiska oraz czy D. K. mógł odmówić wypowiedzenia swojego imienia i nazwiska - co w konsekwencji doprowadziło do błędnego ustalenia, że doszło do udostępnienia przez Spółkę osobom nieuprawnionym danych osobowych w postaci imienia i nazwiska D. K. oraz że Skarżący przetwarza dane osobowe w sposób niezapewniający im odpowiedniego bezpieczeństwa, w tym ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem;
- art. 7 k.p.a., art. 77 k.p.a. w zw. z art. 80 k.p.a. w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych poprzez błędne przyjęcie iż Spółka udostępniła dane osobowe osobom nieupoważnionym, podczas gdy to D. K. – wypowiedział swoje imię i nazwisko na głos, tym samym do "wypowiedzenia i udostępnienia na głos imienia i nazwiska D. K. doszło bezpośrednio przez D. K , nie zaś przez Spółkę;
- 7 k.p.a., art. 77 k.p.a. i art. 107 § 3 k.p.a. w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych - poprzez niepodjęcie przez organ wszystkich czynności niezbędnych do ustalenia stanu faktycznego i wyjaśnienia sprawy, w szczególności braku ustalenia jakie ryzyko naruszenia praw i wolności D. K. - wiąże się z wypowiedzeniem na głos imienia i nazwiska D. K.;
- 7 k.p.a., art. 77 k.p.a. w zw. z art. 80 k.p.a. poprzez ustalenie stanu faktycznego w oparciu o dołączone przez D. K. "nagrania dźwiękowe" podczas gdy nagrania te nie są autentyczne, nie wiadomo w jakim miejscu i w jakiej dacie zostały one nagrane oraz czy w nagraniu brał udział kierowca będący pracownikiem spółki, tym bardziej iż Spółka oraz jej pracownicy - przeczą aby brali udział w rozmowach opisanych w pkt. 5 na stronie nr 4 Decyzji. tym bardziej iż D. K. nigdy nie poinformował spółki o nagrywaniu jakichkolwiek rozmów z kierowcą. Organ oparł się wyłącznie na twierdzeniach D. K., co więcej Spółce nie udostępniono plików zawierających zarejestrowane nagrania
- Art. 10 § 1 k.p.a. w zw. z art 73 § 1 k.p.a. w zw. z art 73 § 3 k.p.a. poprzez brak zapewnienia stronie czynnego udziału w każdym stadium postępowania, w tym brak udostępnienia zapisów rejestrujących rozmowy, stanowiące nagrania załączone do skargi D. K., pomimo złożenia wniosku Spółki w tym zakresie.
Dalej Spółka wskazała, że w konsekwencji powyższych naruszeń, Prezes UODO wydał decyzję udzielającą upomnienia Spółce za naruszenie z art. 6 ust. 1 w zw. z art. 5 ust.1 lit f w zw. RODO, polegające na udostępnieniu osobom nieuprawnionym danych D. K. w zakresie imienia i nazwiska, podczas identyfikacji jego uprawnienia do skorzystania z usługi przewozowej. Spółka podniosła również zarzuty naruszenia przepisów prawa materialnego, które miało wpływ na wynik sprawy:
- art 5 ust. 1 lit f w zw. z art 6 ust. 1 lit b RODO poprzez przyjęcie że Spółka naruszyła ww. przepisy i przetwarza dane osobowe w sposób niezapewniający odpowiedniego bezpieczeństwa danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem podczas gdy Spółka przetwarza dane osobowe Pasażerów, zapewniając odpowiednie bezpieczeństwo tych danych, dane osobowe Pasażerów nie są wyczytywane na głos publicznie wobec wszystkich Pasażerów oraz nie są udostępniane w sposób do których osoba nieuprawniona miałaby do nich dostęp;
- art 5 ust 1 lit. f RODO w z art 32 ust 2 RODO w zw. z art. 4 pkt 12) RODO poprzez przyjęcie iż Spółka przetwarza dane osobowe w sposób niezapewniający odpowiedniego bezpieczeństwa danych osobowych oraz iż doszło do naruszenia ochrony danych osobowych D. K., podczas gdy D. K. wchodząc do Autobusu dobrowolnie podał swoje imię i nazwisko kierowcy podczas identyfikacji;
- art. 6 ust. 1 lit b) RODO w zw. z art. 16 ustawy z dnia 15 listopada 1984 r. Prawo przewozowe - poprzez błędne przyjęcie, że wypowiedzenie na głos imienia i nazwiska było przejawem naruszenia bezpieczeństwa i ochrony danych osobowych, podczas gdy D. K. był jednym z pasażerów Spółki, który nabył bilet na przejazd za pośrednictwem strony internetowej - zatem jego przedstawienie się podczas wchodzenia do autobusu przed rozpoczęciem przewozu, było związane wyłącznie z realizacją umowy przewozu, tj. w celu identyfikacji iż taka osoba widnieje na liście pasażerów i faktycznie kupiła bilet;
- art 6 ust 1 lit. a) RODO poprzez jego niezastosowanie i przyjęcie że Spółka w sposób nieuprawniony udostępniła dane osobowe D. K., podczas gdy D. K. nie odmówił podania swoich danych osobowych, a dobrowolnie podał swoje imię i nazwisko kierowcy, uznać zatem należy iż D. K. podając swoje imię i nazwisko – dobrowolnie wyraził zgodę na wypowiedzenie swojego imienia i nazwiska oraz zgodę aby ewentualnie osoby, znajdujące się w pobliżu mogły usłyszeć te dane.
Dalej Spółka wskazała, że konsekwencji powyższych naruszeń, PUODO wydał decyzję udzielającą upomnienia Spółce za naruszenie art. 6 ust. 1 w zw. z arb 5 ust 1 lit f RODO, polegające na udostępnieniu osobom nieuprawnionym danych D. K., w zakresie imienia i nazwiska, podczas identyfikacji jego uprawnienia do skorzystania z usługi przewozowej.
W odpowiedzi na skargę organ wniósł o jej oddalenie podtrzymując dotychczasową argumentację.
Wyrokiem z dnia 5 czerwca 2023 r. sygn. akt II SA/Wa 1818/22 Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu skargi Spółki na decyzję PUODO z dnia [...] lipca 2022 r. w przedmiocie przetwarzania danych osobowych uchylił tę decyzję w całości (pkt 1) i umorzył postępowanie przed PUODO (pkt 2).
WSA w Warszawie uznał, że wobec bezsporności faktów istotnych w kontekście oceny, czy organ administracji jest kompetentny do zastosowania środków przewidzianych w RODO, w świetle reguł ustawy o danych zabrakło podstaw do orzekania w sprawie co do meritum. W takiej sytuacji PUODO nie mógł wykonać kompetencji określonych w art. 58 ust. 2 lit. b RODO. Orzekając w sprawie naruszył więc dany przepis prawa materialnego zakreślający kompetencje organu, poprzez bezpodstawne zastosowanie, wobec art. 2 ust. 1 w zw. z art. 4 pkt 6 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781). W ocenie WSA w Warszawie w rozpatrywanej sprawie nie wystąpiły przesłanki prowadzenia postępowania przed danym organem i winno być ono umorzone.
WSA w Warszawie uznał, że wypowiedzenie przez wnioskodawcę własnego imienia i nazwiska, a następnie ich powtórzenie przez kierowcę pojazdu nie mogły być traktowane jako przetworzenie danych osobowych w rozumieniu RODO, gdyż akt ten dotyczy zdarzeń związanych z przetwarzaniem informacji (gromadzenie, transfer itp.) gdzie możliwe jest mechaniczne odnajdywanie informacji o osobach – ich danych osobowych – w szczególności w ramach systemów teleinformatycznych. Nie dotyczy ono zaś zdarzeń, pozostających w związku z ujawnieniem (a więc przetworzeniem) danych osobowych, w innych sytuacjach - np. możliwości poznania imienia i nazwiska określonej osoby, wobec głośnego jego wypowiedzenia (przez kierowcę czy pasażera autobusu), nawet gdy znajduje się ono równocześnie w określonym zbiorze informacji (liście pasażerów), choćby prowadzono ją w formie elektronicznej.
WSA w Warszawie stanął na stanowisku, że przetwarzanie danych w tym przypadku (i ich ewentualne ujawnienie) nie jest objęte regułami RODO, determinującym ramy kompetencji do rozstrzygania spraw w trybie administracyjnym. Właściwości organu administracji nie można przy tym wykładać rozszerzająco, wobec treści art. 2 § 3 ustawy z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego (Dz.U. z 2020, poz. 1575 ze zm.) z którego wynika, że właściwość organu administracji musi być wskazana wprost.
Od powyższego wyroku PUODO wniósł skargę kasacyjną, zaskarżając go w całości i zarzucając naruszenie:
1. przepisów prawa procesowego, tj.: art. 145 § 1 pkt 1 lit. a oraz § 3 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2019 r., poz. 2325 ze zm.), zw. dalej "p.p.s.a." w zw. z art. 1 ust. 2 pkt 4 i 5 oraz art. 60 u.o.d.o. w zw. z art. 61 § 1 k.p.a. i w zw. z art. 58 ust. 2 lit. b RODO, poprzez ich zastosowanie w wyniku błędnego uznania, że organ nie był właściwy do rozpoznania i wydania rozstrzygnięcia w przedmiotowej sprawie administracyjnej zgodnie z przysługującymi mu kompetencjami, co miało istotny wpływ na wynik sprawy;
2. prawa materialnego, tj.: art. 2 ust. 1 w zw. z art. 4 pkt 2 i 6 RODO poprzez ich błędną wykładnię i w efekcie niezastosowanie z powodu uznania, że w sprawie nie doszło do ujawnienia danych osobowych ze zbioru danych, tym samym ich przetworzenia, co miało istotny wpływ na wynik sprawy.
W oparciu o powyższe zarzuty wniesiono o uchylenie wyroku w całości i rozpoznanie skargi kasacyjnej przez Naczelny Sąd Administracyjny, ewentualnie, o uchylenie wyroku w całości i przekazanie sprawy do ponownego rozpoznania WSA w Warszawie, oraz o zasądzenie zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego.
W odpowiedzi na skargę kasacyjną spółka wniosła o jej oddalenie w całości, zasądzenie zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego.
Naczelny Sąd Administracyjny, zw. dalej "NSA", wyrokiem z dnia 11 lutego 2025 r. sygn. akt III OSK 2602/23, uchylił wyrok WSA w Warszawie z dnia 5 czerwca 2023 r. sygn. akt II SA/Wa 1818/22, w sprawie ze skargi spółki na decyzję PUODO z dnia [...] lipca 2022 r. w przedmiocie przetwarzania danych osobowych - i przekazał sprawę do ponownego rozpoznania WSA w Warszawie.
NSA w pierwszej kolejności odniósł się do zarzutu naruszenia art. 2 ust. 1 w zw. z art. 4 pkt 2 i 6 RODO.
Konstruując oceny prawne w oparciu o powołane przepisy WSA doszedł bowiem do przekonania, że w realiach sprawy nie doszło do przetwarzania danych osobowych na zasadach normowanych przepisami RODO, co następczo doprowadziło Sąd do stwierdzenia, że PUODO nie posiadał kompetencji do jej wszczęcia, prowadzenia i decyzyjnego rozstrzygnięcia. Zdaniem NSA kierunek weryfikacji zarzutu naruszenia art. 2 ust. 1 w zw. z art. 4 pkt 2 i 6 RODO determinuje zasadność zarzutu naruszenia art. 145 § 1 pkt 1 lit. a oraz § 3 p.p.s.a. w zw. z art. 1 ust. 2 pkt 4 i 5 oraz art. 60 u.o.d.o, w zw. z art. 61 § 1 k.p.a. i w zw. z art. 58 ust. 2 lit. b RODO, w ramach którego zakwestionowano stanowisko WSA o braku właściwości (kompetencji) PUODO do rozstrzygnięcia przedmiotowej sprawy.
Traktat o Unii Europejskiej, zw. dalej "TUE", wskazuje, że UE może podejmować tylko takie działania, do których Unia została wyraźnie upoważniona przez państwa członkowskie (art. 5 TUE). Podział kompetencji pomiędzy UE a państwa członkowskie został dokonany w art. 2-6 Traktatu o funkcjonowaniu Unii Europejskiej, zw. dalej "TFUE". Rozdział ich nastąpił przy zastosowaniu bardzo ogólnych kategorii pojęciowych. Sama analiza tych przepisów jest zatem niewystarczająca dla ustalenia zakresu kompetencji legislacyjnych UE. W zakresie przedmiotowo istotnym z punktu widzenia rozpoznawanej sprawy konieczne jest odwołanie się do art. 16 TFUE.
Zgodnie z art. 16 ust. 1 TFUE każda osoba ma prawo do ochrony danych osobowych jej dotyczących. Z ust. 2 wynika z kolei, że Parlament Europejski i Rada, stanowiąc zgodnie ze zwykłą procedurą ustawodawczą, określają zasady dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii oraz przez Państwa Członkowskie w wykonywaniu działań wchodzących w zakres zastosowania prawa Unii, a także zasady dotyczące swobodnego przepływu takich danych. Przestrzeganie tych zasad podlega kontroli niezależnych organów. Prawo to uregulowane zostało także w art. 8 ust. 1 Karty Praw Podstawowych UE, zgodnie z którym każdy ma prawo do ochrony danych osobowych, które go dotyczą. Unia Europejska była zatem kompetentna w zakresie wprowadzenia przepisów RODO. Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych, a ich ochrona jest sensem funkcjonowania UE. Zatem ochrona prawa do prywatności, w tym ochrona osób fizycznych w zakresie przetwarzania danych osobowych, jest działalnością objętą zakresem prawa Unii w rozumieniu art. 2 ust. 2a RODO.
Przedmiotowy zakres zastosowania RODO w aspekcie pozytywnym określony został w art. 2 ust. 1 RODO. W art. 2 ust. 1 RODO przyjęto, że rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych. Zatem "zgodnie z brzmieniem art. 2 ust. 1 rozróżnić należy dwa rodzaje relewantnych procesów przetwarzania danych osobowych kwalifikujących je do objęcia zakresem ochronnym rozporządzenia. Pierwszy to przetwarzanie danych osobowych odbywające się w sposób zautomatyzowany lub częściowo zautomatyzowany bez związku z tym, czy dane w ten sposób przetwarzane staną się lub mają (mogą) stać się częścią zbioru. Drugi natomiast to przetwarzanie w sposób inny niż zautomatyzowany, jednakże wówczas, gdy dane w ten sposób przetwarzane stanowią część zbioru danych lub mają (mogą) stanowić część zbioru danych" (zob. D. Lubosz, RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Warszawa 2018, s. 125).
Z przepisu tego wynika, że przetwarzanie danych, które odbywa się w sposób niezautomatyzowany (ręcznie), a jednocześnie przetwarzane dane nie stanowią (lub nie mają stanowić) zbioru, nie jest objęte zakresem przedmiotowym RODO. Nadto RODO nie znajduje zastosowania także do przetwarzania danych osobowych: a) w ramach działalności nieobjętej zakresem prawa Unii; b) przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdział 2 TUE; c) przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze; d) przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom (art. 2 ust. 2 RODO).
Ochrona prawa podstawowego do prywatności, zagwarantowanego przez art. 7 Karty Praw Podstawowych, UE wymaga, aby odstępstwa od ochrony danych osobowych i jej ograniczenia były stosowane jedynie wtedy, gdy jest to absolutnie konieczne, a wykładnia regulujących je przepisów powinna być dokonywana przez pryzmat praw podstawowych zawartych w Karcie i w sposób ścisły.
Przetwarzanie, o którym mowa w art. 2 ust. 1 RODO zostało definicyjnie ujęte szeroko i czynnościowo w art. 4 pkt 2 RODO. W rozumieniu tego przepisu "przetwarzanie" oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Jednocześnie "zbiór danych" to uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie (art. 4 pkt 6 RODO). W świetle tej definicji zbiorem danych jest zestaw informacji spełniające następujące kryteria: musi to być zestaw informacji stanowiących dane osobowe w rozumieniu art. 4 pkt 1 RODO; zestaw tych danych musi być uporządkowany, a zatem musi mieć określoną strukturę; dane osobowe zawarte w tym zestawie informacji dostępne być muszą według określonych kryteriów.
Dopełnieniem powyższych kryteriów jest wskazanie, iż na fakt istnienia zbioru danych nie ma wpływu to czy "zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie". Przy współczesnych możliwościach technicznych kwestia miejsca faktycznego położenia danych tworzących zbiór nie ma charakteru zasadniczego, podobnie jak podział funkcjonalny. Zbiór może być scentralizowany, tzn., dane mogą być skupione w jednym miejscu albo zdecentralizowany, tzn. dane mogą być skupione w różnych miejscach, co nie przeszkadza ich traktować jako jeden zbiór danych. NSA wskazał także, że do przetwarzania danych osobowych wykorzystywane są tzw. rozproszone bazy danych, których charakterystyczną cechą jest to, iż mimo, że dane znajdują się w wielu miejscach, to traktowane są one jako jedna logiczna całość.
Zatem aby określone dane mogły być kwalifikowane jako zbiór lub jako jego część muszą być nośnikiem informacji charakterystycznych lub specyficznych dla tego zbioru np. dane dotyczące imienia i nazwiska, miejsca zamieszkania, numeru PESEL, adresu email, numeru telefonu.
NSA nadmienił, że w sprawie nie jest kwestionowane, że spółka pełniła rolę administratora danych osobowych wnioskodawcy. Jest bezsporne, że spółka pozyskała dane osobowe wnioskodawcy w zakresie imienia, nazwiska, adresu zamieszkania, adresu e-mail, loginu, numeru telefonu oraz numeru konta bankowego, na podstawie dobrowolnego ich udostępnienia w związku z zakupem biletu autobusowego za pośrednictwem strony internetowej. Żadna ze stron nie neguje, że Spółka przetwarzała dane osobowe wnioskodawcy na podstawie art. 6 ust. 1 lit. b RODO, tj. w celu zawarcia i realizacji umowy przewozu osób lub rzeczy.
W przekonaniu NSA nie ma wątpliwości, że zakres informacji posiadanych przez spółkę stanowi zbiór danych, o jakim mowa w art. 4 pkt 6 RODO. Bez wątpienia są to informacje o zidentyfikowanej osobie fizycznej w rozumieniu art. 4 pkt 1 RODO. Są to również informacje uporządkowane i dostępne według określonych kryteriów, a więc podzielone i przyporządkowane takim identyfikatorom jak: imię, nazwisko, adres zamieszkania, adres e-mail, login, numer telefonu oraz numer konta bankowego. Wobec powyższego NSA nie podzielił oceny WSA w Warszawie, że w niniejszej sprawie przetwarzanie danych osobowych wnioskodawcy nie mieści się w zakresie stosowania RODO, albowiem nie ma charakteru całkowicie lub częściowo zautomatyzowanego, względnie nie jest niezautomatyzowanym przetwarzaniem danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych – art. 2 ust. 1 RODO.
W ślad za doktryną NSA zauważa, że podstawowe dane osobowe człowieka (imię i nazwisko) są jego dobrem osobistym, ale jednocześnie są dobrem powszechnym w tym znaczeniu, że istnieje publiczna zgoda na posługiwanie się nimi w życiu społecznym (towarzyskim, urzędowym, handlowym itd.) - zob. M. Pieńczykowski, Ochrona danych osobowych jako negatywna przesłanka udostępniania informacji publicznej, Zeszyty Naukowe Sądownictwa Administracyjnego z 2018 r., nr 2, str. 64 i n.
NSA zgodził się z ogólnym poglądem WSA, iż posłużenie się imieniem i nazwiskiem, a więc ujawnienie (przetworzenie) danych osobowych określonej osoby przy zwróceniu się do niej w miejscu publicznym nie musi jeszcze stanowić samo w sobie naruszenia RODO, lecz wyrażony przez WSA w Warszawie wniosek jest jednak zbyt ogólny, aby miał charakter uniwersalny i pozwalał tym samym na oddalenie skargi. Problem ten może być rozstrzygnięty jedynie na tle konkretnych okoliczności sprawy, na tle ustalonego stanu faktycznego. Istotne jest powiązanie tych danych osobowych, tj. imienia i nazwiska ze specyficznymi cechami zbioru, który w realiach niniejszej sprawy obejmował dane osobowe: imię, nazwisko, adres zamieszkania, adres e-mail, login, numer telefonu oraz numer konta bankowego, pozyskane w celu realizacji zawartej z wnioskodawcą umowy.
O ile zatem zwrócenie się samym imieniem i nazwiskiem do osoby w miejscu publicznym i to nawet w obecności innych osób nie musi wiązać się z naruszeniem RODO, gdyż dotyczy ujawnienia danych osobowych nie stanowiących zbioru danych, albo niemogących stanowić części zbioru danych z uwagi na kontekst ich ujawnienia – spotkanie towarzyskie, przedstawienie osoby fizycznej na oficjalnym spotkaniu, to już powiązanie tych danych z innymi informacjami może takie naruszenie kreować. Istotny jest więc kontekst treściowy i sytuacyjny, w ramach którego administrator danych użył imienia i nazwiska zwracając się do konkretnej osoby w miejscu publicznym oraz w obecności innych osób (jak wskazano wyżej nie dotyczy to użycia tych danych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze). W realiach niniejszej sprawy NSA przesądził, że spółka była administratorem danych osobowych wnioskodawcy i przetwarzała je w ramach zbioru danych, o którym mowa w art. 2 ust. 1 w zw. z art. 4 pkt 6 RODO. Tym samym dokonana przez WSA w Warszawie wykładnia powołanych przepisów była wadliwa, albowiem w sposób nieuprawniony wyłączała z zakresu stosowania RODO przetwarzanie danych osobowych wnioskodawcy. Sporne jest to, czy Spółka, jako administrator danych, doprowadziła do nieuprawnionego ujawnienia/rozpowszechnienia/udostępnienia danych osobowych wnioskodawcy, a zatem, czy nie przetwarzała tych danych z naruszeniem RODO.
Konsekwencją przyjętej oceny prawnej było potwierdzenie zasadności zarzutu naruszenia art. 145 § 1 pkt 1 lit. a oraz § 3 p.p.s.a. w zw. z art. 1 ust. 2 pkt 4 i 5 oraz art. 60 u.o.d.o. w zw. z art. 61 § 1 k.p.a. i w zw. z art. 58 ust. 2 lit. b RODO. Z powyższych względów PUODO w niniejszej sprawie posiada kompetencje ustrojowe, procesowe i materialnoprawne do wydania decyzji administracyjnej.
Wojewódzki Sąd Administracyjny w Warszawie rozpatrując sprawę ponownie pod sygnaturą II SA/Wa 261/25 zważył co następuje:
Skarga ma uzasadnione podstawy.
Sąd wyjaśnia, że zgodnie z art. 1 § 1 i 2 ustawy z 25 lipca 2002 r. Prawo o ustroju sądów administracyjnych (Dz.U. z 2022 r., poz. 2492) kontrola sądowa zaskarżonych decyzji, postanowień bądź innych aktów, wymienionych w art. 3 § 2 ustawy z 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2024 r. poz. 935 ze zm.), zw. dalej "p.p.s.a.", sprawowana jest przez sądy administracyjne w oparciu o kryterium zgodności z prawem. W związku z tym, aby wyeliminować z obrotu prawnego akt wydany przez organ administracji publicznej konieczne jest stwierdzenie, że doszło w nim do naruszenia bądź przepisu prawa materialnego w stopniu mającym wpływ na wynik sprawy, bądź przepisu postępowania w stopniu mogącym mieć istotny wpływ na rozstrzygnięcie, albo też przepisu prawa dającego podstawę do wznowienia postępowania, lub ewentualnie ustalenie, że decyzja lub postanowienie organu dotknięte jest wadą nieważności (art. 145 § 1 lit. a)-c) i § 2 p.p.s.a.).
Sąd w zakresie swojej właściwości ocenia zaskarżoną decyzję z punktu widzenia zgodności z prawem materialnym i przepisami postępowania administracyjnego, według stanu faktycznego i prawnego obowiązującego w dacie wydania tego aktu lub podjęcia spornej czynności. Sąd ponadto na mocy art. 190 i art. 170 p.p.s.a. był związany wydanym w rozpoznawanej sprawie wyrokiem Naczelnego Sądu Administracyjnego z dnia 11 lutego 2025 r. sygn. akt III OSK 2602/23, który uchylił wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 5 czerwca 2023 r. sygn. akt II SA/Wa 1818/22, uchylający zaskarżoną decyzję w całości i umarzający postępowanie przed organem.
Powyższa okoliczność nie jest obojętna dla prawidłowego procedowania przez Wojewódzki Sąd Administracyjny w Warszawie w niniejszej sprawie.
Po pierwsze, zachodzi sytuacja przewidziana w art. 190 zdanie pierwsze p.p.s.a., zgodnie z którym sąd, któremu sprawa została przekazana, związany jest wykładnią prawa dokonaną w tej sprawie przez Naczelny Sąd Administracyjny. Przez ocenę prawną, o której mowa w art. 190 p.p.s.a. należy rozumieć osąd o prawnej wartości sprawy, a ocena prawna może dotyczyć stanu faktycznego, wykładni przepisów prawa materialnego i procesowego, prawidłowości korzystania z uznania administracyjnego, jak też kwestii zastosowania określonego przepisu prawa jako podstawy do wydania takiej, a nie innej decyzji. Obowiązek podporządkowania się ocenie prawnej wyrażonej w wyroku sądu administracyjnego, ciążący na organie i sądzie, może być wyłączony tylko w wypadku istotnej zmiany stanu prawnego lub faktycznego, a także po wzruszeniu wyroku pierwotnego środkami przewidzianymi prawem (por. Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 20 września 2005 r., sygn. akt III SA/Wa 1434/05).
Przedmiotowy przepis w sposób jednoznaczny wyznacza kierunek postępowania sądu pierwszej instancji, który nie posiada już na tym etapie postępowania sądowoadministracyjnego swobody w zakresie wykładni prawa, jak również nie może odstąpić od wskazań co do dalszego postępowania, zawartych w wyroku sądu wyższej instancji. Możliwość odstąpienia od zawartej w orzeczeniu Naczelnego Sądu Administracyjnego wykładni prawa może nastąpić jedynie w sytuacjach wyjątkowych w szczególności, jeżeli stan faktyczny sprawy ustalony w wyniku ponownego jej rozpoznania uległ tak zasadniczej zmianie, że nowo ustalonego stanu faktycznego należy stosować przepisy prawa odmienne od wyjaśnionych przez Naczelny Sąd Administracyjny (tak: H. Knysiak-Molczyk (w:) H. Knysiak-Molczyk, M. Romańska, T. Woś, Prawo o postępowaniu przed sądami administracyjnymi. Komentarz, Wydawnictwo Prawnicze LexisNexis 2005, s. 577).
Odnosząc przedstawione rozważania do okoliczności rozpoznawanej sprawy, Sąd nie stwierdził zaistnienia przesłanek umożliwiających odstąpienie od oceny prawnej wyrażonej w wyżej przywołanym wyroku Naczelnego Sądu Administracyjnego. Skutkuje to tym, że dalsze rozważania na temat legalności zaskarżonej decyzji muszą być prowadzone w oparciu o stanowisko Sądu wyższej instancji, a jego oddziaływaniem objęte jest także ewentualne przyszłe postępowanie administracyjne w sprawie.
Przechodząc do wiążącej Sąd oceny prawnej podkreślić należy, że NSA w realiach niniejszej sprawy przesądził, że spółka świadcząca usługi przewozu była administratorem danych osobowych wnioskodawcy i przetwarzała je w ramach zbioru danych, o którym mowa w art. 2 ust. 1 w zw. z art. 4 pkt 6 RODO.
Nadto NSA stwierdził, że posłużenie się imieniem i nazwiskiem, a więc ujawnienie danych osobowych określonej osoby przy zwróceniu się do niej w miejscu publicznym nie musi jeszcze stanowić samo w sobie naruszenia RODO. Istotne jest jednak powiązanie tych danych osobowych, tj. imienia i nazwiska ze specyficznymi cechami zbioru, który w realiach niniejszej sprawy obejmował - dane osobowe: imię, nazwisko, adres zamieszkania, adres e-mail, login, numer telefonu oraz numer konta bankowego, pozyskane w celu realizacji zawartej z wnioskodawcą umowy. Bowiem powiązanie tych danych z innymi informacjami może takie naruszenie kreować. Istotny jest więc kontekst treściowy i sytuacyjny, w ramach którego administrator danych użył imienia i nazwiska zwracając się do konkretnej osoby w miejscu publicznym oraz w obecności innych osób.
Sporne zaś jest to, czy Spółka, jako administrator danych, doprowadziła do nieuprawnionego ujawnienia/rozpowszechnienia/udostępnienia danych osobowych wnioskodawcy, a zatem, czy nie przetwarzała tych danych z naruszeniem RODO.
Aby udzielić odpowiedzi na tak przedstawione pytanie, należy rozważyć, czy w celu uzasadnienia ewentualnego ujawnienia takich danych osobom trzecim można przywołać którąś z podstaw wynikających z art. 6 ust. 1 RODO.
W ocenie Sądu przepis art. 6 ust. 1 lit. b) RODO z którego wynika, że przetwarzanie danych osobowych jest zgodne z prawem, jeżeli jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy stanowi podstawę przetwarzania danych osobowych wnioskodawcy.
W tym względzie Trybunał orzekł, że aby przetwarzanie danych osobowych zostało uznane za niezbędne do wykonania umowy w rozumieniu tego przepisu, musi być ono obiektywnie konieczne do osiągnięcia celu, który stanowi integralną część świadczenia umownego na rzecz osoby, której te dane dotyczą.(...) Elementem zaś decydującym o zastosowaniu uzasadnienia, o którym mowa w art. 6 ust. 1 lit. b) RODO, jest to, że przetwarzanie danych osobowych dokonywane przez administratora ma istotne znaczenie dla prawidłowego wykonania umowy zawartej między nim a osobą, której dane dotyczą (wyrok Trybunału Sprawiedliwości z dnia 4 lipca 2023 r., Meta Platforms i in., C-252/21, EU:C:2023:537).
W świetle powyższego Sąd rozpoznający niniejszą sprawę podziela w tym zakresie stanowisko spółki, że podstawa przetwarzania danych osobowych wnioskodawcy wynikała z art. 6 ust. 1 lit. b) RODO. Istotnie, przesłanka legalizacyjna, wynikająca z art. 6 ust. 1 lit. b RODO opiera się na woli osoby, której dane dotyczą. Wola ta nie była pierwszoplanowo nakierowana na akceptację przetwarzania danych osobowych, lecz na zawarcie umowy. Jednak skutkiem wyrażenia takiej woli jest jednocześnie dopuszczenie przetwarzania danych osobowych w celu wykonania umowy.
Strona tej umowy godzi się na przetwarzanie danych osobowych w zakresie niezbędnym do jej wykonania.
Niezbędność przetwarzania danych osobowych do wykonania umowy zachodzi wówczas, gdy wykonanie operacji na danych jest potrzebne do realizacji praw lub obowiązków wynikających z umowy. Powinien zatem występować bezpośredni związek pomiędzy realizacją praw lub obowiązków wynikających z umowy, a potrzebą przetwarzania danych osobowych.
Nie można przy tym niezbędności utożsamiać z absolutną koniecznością, gdyż zawęziłoby to zbytnio zakres art. 6 ust. 1 lit. b RODO i mogłoby utrudnić obrót gospodarczy, i to zarówno z perspektywy podmiotów danych, jak i przedsiębiorców.
Za wskazanym podejściem przemawia motyw 39 RODO w którym podkreślono, że dane osobowe powinny być przetwarzane w sytuacjach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami. Zaakcentowanie przez prawodawcę unijnego ograniczenia poszukiwania alternatywnych dróg do osiągnięcia celu jedynie wśród rozsądnych sposobów, a nie wszystkich sposobów, pokazuje, że pojęcia niezbędności nie można oceniać w kategorii absolutnej konieczności. Takie rozumienie prowadziłoby bowiem do przyznania ochronie danych osobowych absolutnego priorytetu przy kształtowaniu stosunków umownych i konieczności wyboru takich, które niekoniecznie są rozsądne z punktu widzenia wygody podmiotu danych.
Przez wykonanie umowy należy rozumieć realizację praw i obowiązków, które mają swoje źródło w umowie, przy czym nie muszą wynikać tylko z dokumentu umowy, lecz mogą być przewidziane w przepisach które uzupełniają jej treść. Dlatego też w niniejszej sprawie kluczowa jest regulacja art. 16 ust. 3 ustawy z dnia 15 listopada 1984 r. Prawo przewozowe z którego wynika, że na bilecie mogą być umieszczane dodatkowe informacje, w tym dane osobowe pasażera, jeśli jest to niezbędne dla przewoźnika lub organizatora przewozu w zakresie realizacji przewozu. Oznacza to, że dane te mają uzasadniony cel, a ich gromadzenie jest konieczne dla realizacji podstawowej funkcji przewoźnika, czyli potwierdzenia uprawnienia danej osoby, widniejącej na bilecie z imienia i nazwiska, do przewozu.
W tym kontekście, podkreślić należy, że umieszczanie danych osobowych w postaci imienia i nazwiska pasażera na bilecie, jak również ich przedstawienie podczas wsiadania do autobusu, jak również powtórzenie ich przez kierowcę podczas weryfikacji z listą pasażerów jest ściśle związane z realizacją umowy przewozu. Taki proceder służy przede wszystkim celom identyfikacyjnym – pozwala przewoźnikowi na zweryfikowanie, czy osoba wchodząca do środka transportu jest uprawniona do przejazdu. Podanie i weryfikacja danych osobowych w tym kontekście ma bezpośredni związek z realizacją umowy przewozu, co jest zgodne z art. 6 ust. 1 lit. b RODO.
Zaznaczenia również wymaga, że samo przedstawienie się pasażera - z imienia i nazwiska – podczas wchodzenia do autokaru, a następnie powtórzenie tych danych przez kierowcę podczas weryfikacji z listą pasażerów w obecności osób trzecich uniemożliwiło jeszcze jednoznaczną identyfikację wnioskodawcy i powiązanie z jego numerem telefonu, adresem zamieszkania, adresem e-mail, czy innymi danymi. Z tych też względów Sąd nie dostrzega naruszenia danych osobowych wnioskodawcy w zakresie przez niego podnoszonym bowiem cel przetwarzania imienia i nazwiska wnioskodawcy podczas weryfikacji z listą pasażerów był bezpośrednio związany z wykonywaniem umowy. Służył zapewnieniu przejazdu uprawnionej osobie, co w konsekwencji oznacza, że spółka miała podstawę do przetwarzania danych osobowych wnioskodawcy w omawianym zakresie, a podstawy tej zasadnie upatruje w treści art. 6 ust. 1 lit. b) RODO.
Konkludując, należy stwierdzić, że w związku tym, iż spółka przetwarzała dane osobowe wnioskodawcy w sposób zgodny z prawem, a także rzetelnie i przejrzyście dla osoby, której dane dotyczą; zaś zbieranie tych danych nastąpiło w konkretnych, wyraźnych i prawnie uzasadnionych celach, a dane nie były przetwarzane dalej w sposób niezgodny z tymi celami, Sąd stwierdził, że w niniejszej sprawie organ niezasadnie stwierdził naruszenie art. 5 ust. 1 lit. f RODO, a udzielając w związku z tym spółce upomnienia naruszył powołane przepisy prawa materialnego.
Biorąc wszystkie powyższe okoliczności pod uwagę, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit. a) p.p.s.a., orzekł jak w pkt 1 sentencji.
W zakresie kosztów postępowania Sąd w pkt 2 sentencji orzekł na podstawie art. 200 i art. 205 § 2 p.p.s.a. w zw. z § 14 ust. 1 pkt 1 lit. c) rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 r. w sprawie opłat za czynności radców prawnych (Dz. U. z 2023 r., poz. 1935), zasądzając od organu na rzecz strony skarżącej kwotę 697 zł, na którą składa się wynagrodzenie pełnomocnika skarżącej w kwocie 480 zł, wpis sądowy od wniesionej skargi w wysokości 200 zł oraz 17 zł uiszczonej opłaty skarbowej od pełnomocnictwa.