II SA/WA 306/21

II SA/Wa 306/21 - Wyrok WSA w Warszawie
Data orzeczenia
2021-10-12
orzeczenie prawomocne
Data wpływu
2021-02-08
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Janusz Walawski /sprawozdawca/
Joanna Kruszewska-Grońska /przewodniczący/
Tomasz Szmydt
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
III OSK 676/22 - Wyrok NSA z 2023-11-24
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2019 poz 2325
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - t.j.
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Joanna Kruszewska-Grońska, Sędzia WSA Janusz Walawski (spr.), Sędzia WSA Tomasz Szmydt, Protokolant referent stażysta Edyta Brzezicka po rozpoznaniu na rozprawie w dniu 12 października 2021 r. sprawy ze skargi J. O. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] grudnia 2020 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
J. O. w dniu [...] października 2017 r. skierował do Prezesa Urzędu Ochrony Danych Osobowych (dalej: "Prezes UODO") skargę na przetwarzanie jego danych osobowych przez Wójta Gminy [...].
Prezes UODO, na podstawie art. 138 § 1 pkt 1 w zw. z art. 127 § 1 k.p.a., art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781 ze zm.) oraz art. art. 6 ust. 1 lit. f), art. 57 ust. 1 lit. a) i f) i art. 58 ust. 2 lit. c) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE.L.2016.119.1 i Dz. U.UE.L.2018.127.2), w dniu [...] grudnia 2020 r. wydał decyzję nr [...]. (...) którą utrzymał w mocy decyzję poprzedzającą z dnia [...] kwietnia 2019 r.
Prezes UODO w uzasadnieniu decyzji podał, że na podstawie art. 160 ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000 z późn. zm.), postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i nie zakończone przez 25 maja 2018 r. prowadzone są przez Prezesa UODO, na podstawie przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 z póżn. zm.), zgodnie z zasadami określonym w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 z póżn. zm.). Oznacza to, że wszelkie czynności podejmowane przez Generalnego Inspektora Ochrony Danych Osobowych przed 25 maja 2018 r. pozostają skuteczne.
W dniu 25 maja 2018 r. weszła w życie ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000 z późn. zm.) i od tego dnia istniej obowiązek bezpośredniego stosowania przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE.L 119 z 04.05.2016 z późn. zm.).
Podstawę do zgodnego z prawem przetwarzania danych osobowych (w tym udostępniania) danych osobowych daje spełnienie jednej z przesłanek określonych w art. 6 ust. 1 powyżej określonego rozporządzenia.
Zgodnie z art. 15 ust. 1 ustawy z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej (Dz. U. z 2020 r. poz. 895 z późn. zm.), zakład ubezpieczeń udziela ochrony ubezpieczeniowej na podstawie umowy ubezpieczenia zawartej z ubezpieczającym. Natomiast art. 28 tej ustawy stanowi, że zakład ubezpieczeń wypłaca odszkodowanie lub świadczenie na
podstawie uznania roszczenia uprawnionego z umowy ubezpieczenia w wyniku
ustaleń dokonanych w przeprowadzonym przez siebie postępowaniu, o którym mowa
w art. 29, zawartej z nim ugody lub prawomocnego orzeczenia sądu.
Udostępnienie żądanych danych osobowych skarżącego było niezbędne do przeprowadzenia postępowania odszkodowawczego i był zgodne z art. 6 ust. 1 lit. f) RODO.
Zdaniem Prezesa UODO, Wójt – udostępniając dane osobowe skarżącego na rzecz Towarzystwa Ubezpieczeń [...] (TU[...]) w zakresie imienia, nazwiska oraz adresu zamieszkania – nie naruszył przepisów o ochronie danych osobowych. Udostępnienie tych danych było bowiem niezbędne do przeprowadzenia przez TU[...] postępowania odszkodowawczego oraz likwidacji szkody.
J. O. wniósł do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na decyzję Prezesa UODO z dnia [...] grudnia 2020 r., w której podał, że z "uzasadnienia organu nic nowego nie wynika. A sprawa jest nadal nie załatwiona i – otwarta. Brakuje również informacji, którą pisałem do Prezesa Urzędu (...) przekazanie danych osobowych mojej osoby do Towarzystwa Ubezpieczeń [...] w [...] było zbędne i spowodowane wydłużeniem terminu do załatwienia tej sprawy. Organ był wezwany do usunięcia naruszenia prawa. Po tym wezwaniu otrzymałem informację, z której nic nie wynikało, że będą przetwarzane moje dane osobowe przez dane Towarzystwo (...). Minęło kilka lat, a wójt nie naprawił szkody".
Skarżący wniósł o zmianę lub uchylenie w całości decyzji.
Prezes UODO w odpowiedzi na skargę wniósł o jej oddalenie i podtrzymał stanowisko przedstawione w uzasadnieniu zaskarżonej decyzji.
W tym miejscu podać należy, że ustanowiony z urzędu pełnomocnik, w piśmie procesowym z dnia 2 sierpnia 2021 r. zarzucił organowi, że wydają zaskarżoną decyzję naruszył przepisy postępowania, tj. art. 7 w zw. z art. 77, w zw. z art. 80 k.p.a., art. 8, art. 9, art. 10, art. 11 w zw. z art. 107 § 1 i 3, art. 15, art. 268a k.p.a. Ponadto pełnomocnik skarżącego zarzucił organowi, że naruszył art. 6 ust. 1 lit. f) przedmiotowego rozporządzenia.
Pełnomocnik skarżącego podnosząc powyższe zarzuty wniósł o uchylenie zaskarżonej decyzji i zasądzenie na rzecz skarżącego kosztów postępowania.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Sąd administracyjny wykonuje wymiar sprawiedliwości, poddając kontroli decyzje wydawane przez organy administracji publicznej pod względem ich zgodności z prawem, badając czy właściwie zastosowano przepisy prawa materialnego i przestrzegano przepisów proceduralnych w postępowaniu administracyjnym. Sąd jest władny wzruszyć zaskarżoną decyzję jedynie w przypadku stwierdzenia naruszenia prawa. Art. 145 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2019 r., poz. 2325 ze zm.) - dalej jako "p.p.s.a." określa w jakich sytuacjach decyzje lub postanowienia podlegają uchyleniu.
Oceniając zaskarżoną decyzję w świetle powyższych kryteriów Sąd stwierdził, iż skargi TU (...) S.A. oraz Banku (...) S.A. zasługują na uwzględnienie, nie zaszła jednak wskazana przez TU (...) S.A. przesłanka z art. 156 § 1 pkt 5 k.p.a. uzasadniająca stwierdzenie jej nieważności.
Na wstępie wyjaśnić należy, iż Sąd co do zasady podziela stanowisko Prezesa UODO wyrażone w zaskarżonej decyzji, co do wykładni art. 160 ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Zgodnie z tym przepisem postępowania prowadzone przez GIODO, wszczęte i niezakończone przed dniem wejścia w życie tej ustawy "prowadzi się" na podstawie ustawy uchylanej (czyli ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych), zgodnie z zasadami określonymi w k.p.a. Prawidłowe jest stanowisko organu, że powołany przepis przewiduje stosowanie jedynie przepisów proceduralnych ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, to jest art. 12, art. 22 i art. 18 tej ustawy. Zauważyć bowiem należy, że ustawodawca posłużył się tutaj zwrotem "postępowania prowadzi się", nie zaś konstrukcją zakładającą, że w postępowaniach wszczętych i niezakończonych "stosuje się" przepisy ustawy uchylanej.
Należy jednocześnie wyraźnie zaznaczyć, że od dnia wejścia w życie Traktatu Akcesyjnego z dnia 16 kwietnia 2003 r. (Dz. U. z 2004 r. Nr 90, poz. 864), na mocy, którego Polska stała się państwem członkowskim Unii Europejskiej, kontrola sądu administracyjnego obejmuje również zgodność rozstrzygnięć organów administracji publicznej z prawem europejskim (prawem Unii Europejskiej), rozumianym, jako całokształt dorobku prawnego Unii Europejskiej (acquis communautaire), w tym zasad ogólnych prawa europejskiego, interpretowanych oraz stosowanych w sposób jednolity na całym obszarze Unii Europejskiej.
Należy podkreślić, że zgodnie z zasadą pierwszeństwa, prawo Unii Europejskiej ma wartość nadrzędną nad prawem krajowym państw członkowskich Unii Europejskiej. Nie ulega wątpliwości, że zasada pierwszeństwa dotyczy wszystkich aktów wspólnotowych, które mają moc wiążącą. W konsekwencji, państwa członkowskie UE nie mogą więc stosować przepisu krajowego, który jest niezgodny z prawem UE, gdyż zasada pierwszeństwa gwarantuje jednolitą ochronę prawną obywateli na całym terytorium UE. Jednocześnie, nie ulega wątpliwości, że sądy krajowe muszą czuwać nad przestrzeganiem zasady pierwszeństwa.
Warto również zwrócić uwagę na zasadę bezpośredniego skutku prawa UE, która umożliwia podmiotom indywidualnym powoływanie się bezpośrednio na prawo unijne przed sądami i to niezależnie od tego, czy w prawie krajowym istnieją podobne regulacje prawne. W ten sposób zasada bezpośredniego skutku gwarantuje stosowanie i skuteczność prawa unijnego w krajach UE.
Zasada bezpośredniego skutku dotyczy nie tylko prawa pierwotnego zawartego w Traktatach UE, ale także aktów prawa wtórnego, a więc aktów przyjętych przez instytucje Unii Europejskiej na podstawie wspomnianego prawa traktatowego. W tym miejscu, należy jednak wyraźnie zauważyć, że zakres bezpośredniego skutku zależy od rodzaju danego aktu. W świetle zarówno przepisów traktatowych, jak i dotychczasowego orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej, pełny skutek bezpośredni mają przepisy rozporządzeń, które są bezpośrednio stosowane w państwach członkowskich UE.
W tej sytuacji, Sąd, dokonując oceny legalności zaskarżonej decyzji Prezesa UODO z dnia [...] lipca 2020 r., zobowiązany był zbadać również jej zgodność z przepisami prawa europejskiego, w tym przede wszystkim regulacjami zawartymi w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych - zwane także: "RODO"; publikowane (w:) Dz. Urz. UE.L 119 z dnia 4 maja 2016 r.).
W ocenie Sądu, analizowana pod tym kątem skarga nie zasługuje na uwzględnienie, albowiem zaskarżona decyzja nie narusza w sposób istotny obowiązujących przepisów prawa.
Zgodnie z art. 58 ust. 1 i 2 przedmiotowego rozporządzenia, każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia w zakresie prowadzonych postępowań:
a) nakazanie administratorowi i podmiotowi przetwarzającemu, a w stosownym przypadku przedstawicielowi administratora lub podmiotu przetwarzającego, dostarczenia wszelkich informacji potrzebnych organowi nadzorczemu do realizacji swoich zadań;
b) prowadzenie postępowań w formie audytów ochrony danych;
c) dokonywanie przeglądu udzielonych certyfikacji na mocy art. 42 ust. 7;
d) zawiadamianie administratora lub podmiotu przetwarzającego o podejrzeniu naruszenia niniejszego rozporządzenia;
e) uzyskiwanie od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych organowi nadzorczemu do realizacji swoich zadań;
f) uzyskiwanie dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych, zgodnie z procedurami określonymi w prawie unijnym lub w prawie państwa członkowskiego.
Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia naprawcze:
a) wydawanie ostrzeżeń administratorowi lub podmiotowi przetwarzającemu dotyczących możliwości naruszenia przepisów niniejszego rozporządzenia poprzez planowane operacje przetwarzania;
b) udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania;
c) nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia;
d) nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu;
e) nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;
f) wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania;
g) nakazanie na mocy art. 16, 17 i 18 sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazanie na mocy art. 17 ust. 2 i art. 19 powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono;
h) cofnięcie certyfikacji lub nakazanie podmiotowi certyfikującemu cofnięcia certyfikacji udzielonej na mocy art. 42 lub 43, lub nakazanie podmiotowi certyfikującemu nieudzielania certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane;
i) zastosowanie, oprócz lub zamiast środków, o których mowa w niniejszym ustępie, administracyjnej kary pieniężnej na mocy art. 83, zależnie od okoliczności konkretnej sprawy;
j) nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej.
W tym miejscu przypomnieć należy, że od dnia 25 maja 2018 r., bezpośrednie zastosowanie w polskim porządku prawnym mają przepisy rozporządzenia 2016/679. Ponadto w dniu 25 maja 2018 r. weszła w życie ustawa o ochronie danych osobowych, którą to ustawę stosuje się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w zakresie określonym w art. 2 i art. 3 RODO (art. 1 ust. 1 u.o.d.o.). Katalog uprawnień nadzorczych w zakresie prowadzonych przez Prezesa UODO postępowań określony został w art. 58 ust. 1 RODO, natomiast przysługujące Prezesowi UODO uprawnienia naprawcze zostały wymienione w art. 58 ust. 2 RODO i są one dla organu wiążące. Prezesowi UODO przysługuje uprawnienie naprawcze w postaci prawa do nakazania administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia. Tym żądaniem może być prawo dostępu do danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do przenoszenia danych oraz prawo do sprzeciwu i niepodlegania decyzjom opartym na zautomatyzowanym przetwarzaniu. Powyższe przepisy ujmują prawa osób, których dane dotyczą, w sposób wyczerpujący. Tak określone uprawnienia Prezesa UODO nie przewidują możliwości ingerencji tego organu w materię związaną z ujawnieniem danych osobowych gdy ich przetwarzanie jest niezbędne do celów wynikających z prawnie ustanowionych interesów realizowanych przez administratora lub przez stronę trzecią, w niniejszej sprawie przez TU[...]. Stanowisko organu w tym zakresie w ocenie Sądu, jest prawidłowe.
Sąd uznał, że Prezes UODO, wydając zaskarżoną decyzję nie dopuścił się naruszenia zarówno wiążących Polskę przepisów prawa europejskiego, jak i regulacji prawa krajowego, w stopniu mającym istotny wpływ na końcowy wynik sprawy zakończonej wydaniem zaskarżonej decyzji.
Przede wszystkim, przyjąć należy, iż wbrew zarzutom pełnomocnika skarżącego organ prawidłowo uznał iż w niniejszej sprawie zachodzi sytuacja, w której organ nadzorczy nie miał podstaw do rozstrzygnięcia sprawy zgodnie z wnioskiem skarżącego. c
W działaniu Prezesa UODO, jako organu administracji publicznej wydającego zaskarżoną decyzję, Sąd nie dopatrzył się jakichkolwiek istotnych nieprawidłowości, zarówno, gdy idzie o ustalenie stanu faktycznego sprawy, jak i o zastosowanie do jego oceny przepisów prawa materialnego. Ponadto, Sąd uznał, że w uzasadnieniu zaskarżonej decyzji Prezesa UODO wyjaśnione zostały w sposób dostatecznie jasny i przekonywujący motywy jej podjęcia, zaś przytoczona w tym zakresie argumentacja jest wyczerpująca i w pełni odnosząca się do stanowiska strony skarżącej.
W ocenie Sądu, organ prawidłowo ocenił zebrany materiał dowodowy w jego istotnych aspektach; nie było jego obowiązkiem odnoszenie się do wszelkich twierdzeń i stanowisk, formułowanych przez pełnomocnika skarżącego w kontekście uzasadnienia skargi, czy też pisma procesowego pełnomocnika skarżącego i nie jest to zresztą także powinnością Sądu. Przedmiotem sprawy było wyłącznie ustalenie, czy istnieją przesłanki do wydania decyzji o zobowiązaniu do usunięcia określonych nieprawidłowości. Organ w sposób jasny i komunikatywny przedstawił przesłanki uznania braku przesłanek do orzeczenia wedle żądań skargi. Inną kwestią jest to, czy stosowna argumentacja organu przekonała skarżącego i jego pełnomocnika.
W związku z powyższym skarga nie zasługiwała na uwzględnienie, a podniesione w niej zarzuty nie mogły mieć wpływu na rozstrzygnięcie sprawy.
Biorąc powyższe pod uwagę, Wojewódzki Sąd Administracyjny w Warszawie - działając na podstawie art. 151 p.p.s.a. - orzekł, jak w sentencji wyroku.