II SA/Wa 3535/21

II SA/Wa 3535/21 - Wyrok WSA w Warszawie
Data orzeczenia
2022-11-30
orzeczenie nieprawomocne
Data wpływu
2021-10-11
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Danuta Kania
Ewa Kwiecińska /przewodniczący sprawozdawca/
Michał Sułkowski
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Inne
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2022 poz 329
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi  - t.j.
Dz.U.UE.L 2016 nr 119 poz 1 art. 5 ust. 1 lit. a, art. 28 ust. 3
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Kwiecińska (spr.), Sędzia WSA Danuta Kania, Asesor WSA Michał Sułkowski, Protokolant st. specjalista Ewa Kielak po rozpoznaniu na rozprawie w dniu 30 listopada 2022 r. sprawy ze skargi K. Sp. j. z siedzibą w W. na punkt 2 decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] sierpnia 2021 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych decyzją z [...] sierpnia 2021 r., działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735), art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), art. 5 ust. 1 lit a) i d), art. 6 ust. 1, art. 14, art. 28 i art. 58 ust. 2 lit. b) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: "RODO") (Dz. Urz. UE L 119 z 4 maja 2016, str. 1, Dz. Urz. UE L 127 z 23 maja 2018, str. 2 oraz Dz. Urz. UE L 74 z 4 marca 2021, str. 35) po przeprowadzeniu postępowania administracyjnego w sprawie skargi A. R. (dalej: "Wnioskodawczyni") na nieprawidłowości w procesie przetwarzania jej danych osobowych przez K. Sp. j. z siedzibą w W. (dalej: "Skarżąca", "Spółka") oraz P. Sp. z o.o. z siedzibą w W.:
1) udzielił upomnienia P. Sp. z o.o. z siedzibą w W. za naruszenie art. 14 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie ochronie danych) (Dz. Urz. UE L 119 z 4 maja 2016, str. 1, Dz. Urz. UE L 127 z 23 maja 2018, str. 2 oraz Dz. Urz. UE L 74 z 4 marca 2021, str. 35) polegające na niespełnieniu wobec Wnioskodawczyni obowiązku informacyjnego określonego w tym przepisie.
2) udzielił upomnienia P. Sp. z o.o, z siedzibą w W. oraz K. Sp. j. z siedzibą w W., za naruszenie art. 5 ust. 1 lit. a) i d) i art. 6 ust. 1 w zw. z art. 28 RODO polegające na przetwarzaniu danych osobowych Wnioskodawczyni, bez podstawy prawnej.
W sprawie został ustalony następujący stan faktyczny:
A. R. w dniu 31 sierpnia 2018 r. złożyła skargę do Prezesa UODO, na nieprawidłowości w procesie przetwarzania jej danych osobowych naruszające przepisy RODO - polegające na przetwarzaniu i udostępnieniu danych osobowych Skarżącej bez podstawy prawnej oraz niepełnieniu wobec niej obowiązku informacyjnego wynikającego z art. 14 RODO.
Wnioskodawczyni wniosła o:
1) wszczęcie postępowania zmierzającego do zbadania procesu przetwarzania jej danych osobowych przez K. oraz P., w tym podstaw, celów i sposobów przetwarzania tych danych oraz wykonania przez te podmioty obowiązków związanych z przetwarzaniem danych osobowych spoczywających na administratorze danych osobowych;
2) wydanie decyzji nakazującej K. przywrócenie stanu zgodnego z prawem, tj. w szczególności wykonania względem Wnioskodawczyni obowiązku informacyjnego oraz usunięcia jej danych osobowych;
3) wydanie decyzji nakazującej Plan przywrócenie stanu zgodnego z prawem, tj. w szczególności wykonania wobec Wnioskodawczyni obowiązku informacyjnego oraz usunięcia jej danych osobowych;
4) wydanie decyzji administracyjnej nakładającej na K. karę finansową w związku z naruszeniem przepisów dotyczących podstawowych zasad przetwarzania danych osobowych, o których mowa w szczególności w art. 6 RODO (brak podstawy prawnej przetwarzania danych osobowych) oraz dotyczących podstawowych praw osób, których dane dotyczą, o których mowa w szczególności w art. 14 RODO (brak wypełnienia obowiązku informacyjnego);
5) wydanie decyzji administracyjnej nakładającej na P. karę finansową w związku z naruszeniem przepisów dotyczących podstawowych zasad przetwarzania danych osobowych, o których mowa w szczególności w art. 6 RODO (brak podstawy prawnej przetwarzania danych osobowych) oraz dotyczących podstawowych praw osób, których dane dotyczą, o których mowa w szczególności art. 14 RODO (brak wypełnienia obowiązku informacyjnego).
Jednocześnie Wnioskodawczyni wniosła o przeprowadzenie szeregu dowodów – wydruków wiadomości e-mail na okoliczność przetwarzania przez K. oraz P. jej danych osobowych w postaci adresu poczty elektronicznej oraz imienia i nazwiska; wiadomości sms na okoliczność przetwarzania przez ww. podmioty danych osobowych w postaci numeru telefonu, wydruku zrzutu ekranu telefonu komórkowego zawierającego połączenie z numeru należącego do ww. podmiotów na okoliczność przetwarzania jej danych osobowych w postaci numeru telefonu. W uzasadnieniu Skarżąca podniosła, że Spółka, działając na zlecenie P., bez podstawy prawnej przesyła na numer telefonu Wnioskodawczyni wiadomości sms informujące o zadłużeniu A. Sp. z o.o. Sp.k., nęka ją telefonami oraz kieruje na adres e-mail Skarżącej [...] wezwania do zapłaty, podczas gdy Skarżąca nie jest dłużnikiem P., ani osobą w jakikolwiek sposób odpowiedzialną za powstanie czy uregulowanie zadłużenia A. Sp. z o.o. Sp.k. wobec P., nie jest nawet pracownikiem tego podmiotu. Ponadto Wnioskodawczyni zarzuciła, że zarówno Spółka, jak i P. nie wykonały obowiązku informacyjnego wobec Skarżącej, co stanowi naruszenie art. 14 RODO. W piśmie z dnia 14 listopada 2018 r, skierowanym do Prezesa UODO, Wnioskodawczyni dodatkowo podniosła, iż potwierdzeniem zasadności skargi jest stanowisko P. zawarte w piśmie z [...] października 2018 r., otrzymanym na skutek złożonego wniosku o udzielenie informacji, że nie jest administratorem jej danych osobowych, bowiem do dnia otrzymania ww. wniosku nie były znane temu podmiotowi dane osobowe Wnioskodawczyni. Niemniej jednak Spółka, na skutek analogicznego wniosku, w piśmie z [...] października 2018 r. wskazała, iż przetwarza dane A. R. na zlecenie P. oraz że P. jest administratorem jej danych. W ocenie Wnioskodawczyni, ww. podmioty nie potrafią dojść do porozumienia odnośnie swojego statusu w związku z przetwarzaniem danych osobowych Skarżącej, a co więcej, istnieją wątpliwości, czy pomiędzy nimi została zawarta umowa powierzenia przetwarzania danych. Podkreśliła ona, iż podmioty te nie dysponują podstawą prawną do przetwarzania jej danych osobowych.
W toku postępowania wyjaśniającego Prezes UODO ustalił następujący stan faktyczny:
1. W dniu [...] października 2018 r. P. otrzymała wnioski A. R. z [...] października 2018 r. o spełnienie obowiązku informacyjnego, o którym mowa w art. 15 RODO i dostarczenie kopii danych oraz o usunięcie danych osobowych, stosownie do art. 17 ust. 1 lit. d) RODO wraz żądaniem zaprzestania ich przetwarzania przez Spółkę – wniosek z [...] października 2018 r. o usunięcie danych skierowany do P., wniosek z [...] października 2018 r. o udzielenie informacji odnośnie przetwarzania danych osobowych skierowany do P., pismo P. z [...] listopada 2018 r. skierowane do UODO;
2. W odpowiedzi na ww. wnioski, P. pismem z [...] października 2018 r. poinformowała A. R., iż do czasu otrzymania ww. wniosków jej dane osobowe nie były znane P., a także że wystąpiła do Spółki o zaprzestanie jakichkolwiek czynności w stosunku do Wnioskodawczyni i usunięcie jej danych osobowych - pismo P. z [...] listopada 2018 r. skierowane do UODO, pismo P. z [...] października 2018 r. skierowane do Wnioskodawczyni, pismo P. z [...] października 2018 r. skierowane do Spółki;
3. Uchwałą wspólników K. Sp. z o.o. Sp. k. z [...] stycznia 2021 r. o przekształceniu spółki, K. Sp. z o.o. Sp. k. (Spółka) przekształciła się w spółkę K. Sp. j. Zatem K. Sp. j. jest następcą prawnym Spółki - informacja odpowiadająca odpisowi pełnemu z Rejestru Przedsiębiorców Krajowego Rejestru Sądowego numer KRS: [...], informacja odpowiadająca odpisowi pełnemu z Rejestru Przedsiębiorców Krajowego Rejestru Sądowego numer KRS: [...];
4. Spółka pismem z dnia [...] listopada 2018 r. poinformowała P., że dane osobowe A. R. zostały usunięte z baz danych Spółki - pismo Spółki z [...] listopada 2018 r. skierowane do P.;
5. P. nie przetwarza danych osobowych A. R. - pismo P. z [...] listopada 2018 r. skierowane do UODO;
6. Spółka na podstawie umowy w zakresie windykacji wierzytelności zawartej z P. w dniu [...] lipca 2018 r. prowadziła działania windykacyjne wobec dłużnika P., tj. A. Sp. z o.o. Sp. k. P., zgodnie z pkt 7 ogólnych warunków realizacji zleceń w ramach usługi wezwanie do zapłaty plus, jest administratorem danych osobowych dłużnika, które zgodnie z pkt 6 ww. ogólnych warunków, powierzyła do przetwarzania Spółce, stosownie do art. 28 RODO, w celu windykacji wierzytelności przez Spółkę. Zgodnie z pkt 8 ww. ogólnych warunków, Spółka jest podmiotem przetwarzającym, który stosownie do pkt 12 ww. ogólnych warunków, pomaga P. wywiązywać się z jej obowiązków określonych w rozdziale III RODO - pismo Spółki z [...] listopada 2018 r. skierowane do UODO, Ogólne warunki realizacji zleceń w ramach usługi wezwanie do zapłaty plus;
7. Spółka pozyskała dane osobowe Skarżącej w zakresie numeru telefonu oraz adresu poczty elektronicznej w ramach prowadzenia działań windykacyjnych wobec A. Sp. z o.o. Sp. k. Ww. dane A. R. były przetwarzane w związku z ww. działaniami windykacyjnymi, w tym poszukiwaniem danych kontaktowych do A. Sp. z o.o. Sp. k. - pismo Spółki z [...] listopada 2018 r. skierowane do UODO;
8. Spółka nie spełniła wobec Skarżącej obowiązku informacyjnego, o którym mowa w art. 14 RODO - pismo Spółki z [...] listopada 2018 r. skierowane do UODO
9. P. nie spełniła wobec A. R. obowiązku informacyjnego, o którym mowa w art. 14 RODO - pismo P. z [...] listopada 2018 r. skierowane do UODO;
10. Spółka w dniu [...] listopada 2018 r. usunęła numer telefonu i adres poczty elektronicznej Wnioskodawczyni - pismo Spółki z [...] listopada 2018 r. skierowane do UODO.
Mając powyższe na uwadze, Prezes UODO stwierdził, że przesłanki legalności przetwarzania danych osobowych określa art. 6 ust. 1 RODO, zgodnie z którym przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Oznacza to, że przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. W konsekwencji zgoda osoby, której dane dotyczą, nie jest jedyną podstawą przetwarzania danych osobowych, bowiem proces przetwarzania danych będzie zgodny z RODO również wówczas, gdy administrator danych wykaże spełnienie innej z wyżej wymienionych przesłanek. Niezależnie od zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO), przetwarzanie danych osobowych jest dopuszczalne między innymi wtedy, gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO), a także gdy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (art. 6 ust. 1 lit. f RODO).
Dalej wyjaśnił, że zgodnie z art. 28 ust. 1 RODO, jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. Stosownie do art. 28 ust. 3 RODO, przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Opisał również wymagania stawiane przez art. 14 ust. 1, 2 i 3 RODO obowiązku informacyjnego względem osoby, której dane dotyczą.
Odnosząc się do zarzutu niedopełnienia wobec A. R. przez ww. podmioty obowiązku informacyjnego z art. 14 RODO, wskazał że z materiału dowodowego sprawy wynika, że P., mimo że do czasu otrzymania ww. wniosków z [...] października 2018 r., nie znała danych osobowych Wnioskodawczyni, to jednak wobec zaakceptowania ww. ogólnych warunków realizacji zleceń w ramach usługi wezwanie do zapłaty plus, określających zasady współpracy pomiędzy P. a Spółką (obecnie jej następcą prawnym – K. Sp. j.) w zakresie windykacji wierzytelności zleconych Spółce i wiążących strony, była administratorem jej danych osobowych. Tym samym P., w momencie pozyskania danych osobowych Wnioskodawczyni przez Spółkę w zakresie jej numeru telefonu oraz adresu e-mail, o czym Spółka winna ją poinformować, obowiązana była spełnić wobec niej obowiązek informacyjny z art. 14 ust. 1 RODO, w terminie określonym w art. 14 ust. 3 RODO. Tym samym jego niespełnienie organ ocenił jako naruszenie tego przepisu. W kontekście ww. ogólnych warunków nie zaaprobował twierdzeń P., iż nie spoczywał na niej ww. obowiązek informacyjny, gdyż Spółka pozyskała dane osobowe Wnioskodawczyni we własnym zakresie. Spółka była bowiem podmiotem przetwarzającym, o którym mowa w art. 28 RODO, który na mocy pkt 10 lit. b) ww. ogólnych warunków, zobowiązał się m. in. do zbierania danych osobowych na polecenie P. Natomiast P., zgodnie z pkt 7 ww. ogólnych warunków, była administratorem danych A. R.
Z uwagi zatem na naruszenie przez P. art. 14 ust. 1 i 2 RODO, konieczne stało się skorzystanie przez Prezesa UODO z uprawnienia naprawczego określonego w art. 58 ust. 2 lit. b) RODO w postaci udzielenia jej upomnienia. Z uwagi na to, iż Spółka była podmiotem przetwarzającym dane osobowe A. R., o którym mowa w art. 28 RODO, nie spoczywał na niej obowiązek informacyjny z art. 14 RODO. Dlatego też zarzut naruszenia przez Spółkę art. 14 RODO organ uznał za bezzasadny. Spółka pozyskawszy dane osobowe Wnioskodawczyni winna o tym fakcie powiadomić P., a ta ostatnia, jak wyżej wskazano, zobowiązana była do spełnienia obowiązku informacyjnego określonego w art. 14 RODO wobec Wnioskodawczyni.
Organ za uzasadniony uznał zarzut dotyczący przetwarzania jej danych osobowych przez ww. podmioty, które obecnie nie przetwarzają już danych osobowych Skarżącej bez podstawy prawnej, i żądania nakazania ich usunięcia. Wskazał, że zarówno P., jak i Spółka obecnie nie przetwarzają już danych osobowych Wnioskodawczyni. Niemniej jednak Spółka jako podmiot przetwarzający pozyskała i przetwarzała dane osobowe Wnioskodawczyni na rzecz administratora danych – P. Z materiału dowodowego wynika również, iż Skarżąca nie była dłużnikiem P., wobec której uprawnione byłyby jakiekolwiek działania windykacyjne Spółki, wynikające z wiążącej ją i P. ww. umowy w zakresie windykacji wierzytelności z [...] lipca 2018 r. Dłużnikiem P. była bowiem A. Sp. z o.o. Sp. k., a nie Wnioskodawczyni. Dlatego też przetwarzanie danych A. R. jako danych kontaktowych do ww. dłużnika było nieuprawnione. Za oczywiste organ uznał, że danymi kontaktowymi do przedsiębiorcy zarejestrowanego w Rejestrze Przedsiębiorców Krajowego Rejestru Sądowego są dane adresowe ujawnione w ww. rejestrze, a nie dane osobowe osoby fizycznej w zakresie jej numeru telefonu i adresu e-mail zawierającego w swej treści imię i nazwisko osoby fizycznej, którą niewątpliwie jest Wnioskodawczyni. Spółka jako podmiot przetwarzający, działając w imieniu administratora danych – P., przetwarzając dane osobowe Wnioskodawczyni w ww. zakresie naruszyła art. 6 ust. 1 RODO, bowiem nie legitymowała się żadną przesłanką uprawniającą ją do przetwarzania tych danych, a ponadto zasady rzetelności i prawidłowości przetwarzania danych określone w art. 5 ust. 1 lit. a) i d) RODO, zgodnie z którymi dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ("zgodność z prawem, rzetelność i przejrzystość") (lit. a) oraz prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane ("prawidłowość") (lit. d). W świetle powyższego Spółka nie mogła zatem dowolnie uznać, że dane osobowe Skarżącej są danymi kontaktowymi do dłużnika P. Zarówno Spółka, jak i P., ponosiły bowiem odpowiedzialność za stwierdzenie, czy ustalone dane osobowe Skarżącej były danymi prawidłowymi do kontaktu z dłużnikiem.
Następnie PUODO podkreślił, że naruszenia wskazanych przepisów dopuściła się jednocześnie P., bowiem to ona była administratorem danych, w imieniu i na rzecz którego działała Spółka jako podmiot przetwarzający. Zgodnie z wyrażoną w art. 5 ust. 2 RODO zasadą rozliczalności, administrator jest odpowiedzialny za przestrzeganie przepisów prawa i musi być w stanie wykazać ich przestrzeganie. Co ważne, zasada ta ma zastosowanie zarówno do przetwarzania realizowanego samodzielnie przez administratora, jak i przetwarzania w jego imieniu przez podmiot przetwarzający. Obowiązkiem administratora jest zadbanie o to, by korzystać z usług tylko takiego podmiotu przetwarzającego, który zapewnia wystarczające gwarancje – w szczególności jeśli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych, które odpowiadają wymogom RODO, w tym wymogom bezpieczeństwa przetwarzania i chronią prawa osób, których dotyczą (art. 28 ust. 1 RODO i motyw 81 RODO). Administrator musi więc szczególnie starannie zweryfikować, czy podmiot, któremu zamierza on powierzyć przetwarzanie danych osobowych, dysponuje koniecznymi w tym celu środkami i daje odpowiednie gwarancje przestrzegania obowiązujących przepisów prawa.
Tym samym, z uwagi zatem na naruszenie przez P. i K. Sp. j. art. 5 ust. 1 lit. a) i d), art. 6 ust. 1 w zw. z art. 28 RODO, konieczne stało się skorzystanie przez Prezesa UODO z uprawnienia naprawczego określonego w art. 58 ust. 2 lit. b) RODO w postaci udzielenia ww. podmiotom upomnienia wobec naruszenia przepisów RODO przez operacje przetwarzania.
K. Sp. j. z siedzibą w W., pismem z [...] września 2021 r. wniosła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na wskazaną powyżej decyzję Prezesa UODO z [...] sierpnia 2021 r. Spółka zaskarżyła ww. decyzję w części, tj. w zakresie jej pkt 2 oraz wniosła o uchylenie zaskarżonej decyzji w części obejmującej jej punkt 2, wyznaczenie rozprawy, a także zasądzenie zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego. Spółka zaskarżonej decyzji zarzuciła:
1) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 w zw. z art. 28 RODO, polegające na ich błędnej wykładni i przyjęciu, że Spółka jako podmiot przetwarzający, o którym mowa w art. 4 pkt 8 RODO, powinna legitymować się przesłanką przetwarzania danych z art. 6 ust. 1 RODO, podczas gdy Spółka jako podmiot przetwarzający powinna legitymować się wyłącznie podstawą prawną przetwarzania danych osobowych wynikającą z art. 28 ust. 3 RODO, tj. z umowy zawartej z administratorem, co doprowadziło do nałożenia na Spółkę niezgodnego z prawem upomnienia, o którym mowa w art. 58 ust. 2 lit. b) RODO;
2) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 5 ust. 1 lit. a) i d) RODO w zw. z art. 5 ust. 2 i art. 28 ust. 3 RODO, poprzez ich błędną wykładnię polegającą na przyjęciu, że Spółka jako podmiot przetwarzający działający wyłącznie w imieniu administratora danych jest odpowiedzialna za realizację zasad z art. 5 ust. 1 lit. a) i d) RODO, podczas gdy Spółka jako podmiot przetwarzający jest zobowiązana wyłącznie do działania zgodnie z umową i instrukcjami otrzymanymi od administratora, tj. P. sp. z o. o. z siedzibą w W., który to administrator zgodnie z art. 5 ust. 2 RODO jest wyłącznie odpowiedzialny za przestrzeganie tych zasad, co doprowadziło do niesłusznego nałożenia na Spółkę niezgodnego z prawem upomnienia, o którym mowa w art. 58 ust. 2 lit. b) RODO;
3) naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj. art. 107 § 3 k.p.a. polegające na niedostatecznym i niepełnym uzasadnieniu decyzji poprzez brak dokładnego uzasadnienia przyjęcia art. 5 ust. 1 lit. a) i d) RODO jako podstawy odpowiedzialności Spółki.
W uzasadnieniu Skarżąca podniosła naruszenie art. 6 ust. 1 w związku z art. 28 RODO, ponieważ Spółka jako podmiot przetwarzający dane osobowe nie musi legitymować się podstawą prawną przetwarzania danych z art. 6 ust. 1 RODO z uwagi na to, że jako podmiot przetwarzający wykorzystuje dane wyłącznie na podstawie umowy, o której mowa w art. 28 ust. 3 RODO, tj. umowy powierzenia przetwarzania danych osobowych zawartą z P. Innymi słowy, Skarżąca nie jest odpowiedzialna za zapewnienie podstawy prawnej przetwarzania danych innej niż umowa z administratorem danych, ani legitymowanie się podstawą prawną z art. 6 ust. 1 lub art. 9 ust. 2 RODO, ponieważ jest to wyłączny obowiązek administratora danych. Spółka jako podmiot przetwarzający ma jedynie obowiązek przetwarzać dane osobowe na podstawie umowy, o której mowa w art. 28 ust. 3 RODO, co stanowi jej własną podstawę prawną. Skarżąca byłaby administratorem, gdyby pozyskane dane osobowe wykorzystywała dla własnych celów, co nie miało miejsca i nie zostało zarzucone stronie Skarżącej przez Organ.
W pkt 2 skarżonej decyzji Organ udzielił upomnienia Uczestnikowi postępowania oraz stronie Skarżącej za naruszenie art. 5 ust. 1 lit. a) i d) i art. 6 ust. 1 w zw. z art. 28 RODO, polegające na "przetwarzaniu danych osobowych A. R., bez podstawy prawnej". Brak podstawy prawnej przetwarzania przez Spółkę oraz P. stanowi więc istotę naruszenia zarzuconego Skarżącej. Spółka posiada podstawę prawną przetwarzania danych osobowych A. R. - którą jest umowa powierzenia przetwarzania danych, stąd też rozstrzygnięcie decyzji należy uznać za wadliwe. Skarżąca dokonała przy tym wykładni art. 4 pkt 7 i 9 RODO oraz przedstawiła poglądy doktryny.
Podkreśliła, że rola podmiotu przetwarzającego i sama jego obecność w procesie przetwarzania danych osobowych jest w zupełności zależna od administratora. W konsekwencji, to administrator powinien legitymować się podstawą prawną przetwarzania z art. 6 ust. 1 RODO, a nie podmiot przetwarzający. Jednocześnie, gdy w danym przypadku okaże się, że administrator nie ma podstawy prawnej do przetwarzania danych osobowych, nie skutkuje to koniecznością znalezienia własnej podstawy prawnej do przetwarzania danych przez podmiot przetwarzający. Dla podmiotu przetwarzającego podstawą prawną przetwarzania danych jest umowa powierzenia zawarta z administratorem. Wobec powyższego interpretację art. 6 ust. 1 oraz 28 ust. 3 RODO przyjętą przez Prezesa UODO uznała za nieprawidłową. Wskazała, że podstawowe zasady powierzenia danych osobowych na gruncie RODO i nieobowiązującej już ustawy z 1997 r. nie zmieniły się, dlatego też przywołała stanowisko zawarte we wcześniej wydawanych decyzja GIODO.
Skarżąca wskazała, że interpretacja przyjęta przez Organ w zaskarżonej decyzji pomija podstawową funkcję umowy powierzenia przetwarzania, jaką jest zapewnienie legalności – czyli podstawy prawnej – przetwarzania danych osobowych przez podmiot przetwarzający, którym jest Skarżąca. Umowa powierzenia przetwarzania danych osobowych stanowi jedyną i wystarczającą podstawę prawną przetwarzania danych jaką może (i musi) posiadać podmiot przetwarzający na gruncie art. 28 ust. 3 RODO, aby zalegalizować operacje przetwarzania przeprowadzane w imieniu i na polecenie administratora.
Zaznaczyła, że błędna interpretacja art. 6 ust. 1 RODO, polegająca na uznaniu, że Spółka jako podmiot przetwarzający zobowiązana jest do legitymowania się przesłanką uprawniającą ją do przetwarzania danych z art. 6 ust. 1 RODO miała charakter naruszenia prawa materialnego, które miało wpływ na wynik sprawy. Gdyby bowiem Organ prawidłowo stwierdził, że Spółka posiadała podstawę prawną przetwarzania z art. 28 ust. 3 RODO, nie udzieliłby Spółce upomnienia za przetwarzanie danych Pani A. R. bez podstawy prawnej.
Dalej Skarżąca odnosząc się do zarzutu naruszenia prawa art. 5 ust. 1 lit. a) i d) RODO w związku z art. 5 ust. 2 i art. 28 ust. 3 RODO wyjaśniła, że w pkt 2 zaskarżonej decyzji Organ zarzucił stronie Skarżącej naruszenie art. 5 ust. 1 lit. a) i d) RODO pomimo tego, że Skarżąca jest podmiotem przetwarzającym. Zgodnie natomiast z art. 5 ust. 2 RODO, wyłącznie administrator jest odpowiedzialny za przestrzeganie przepisów art. 5 ust. 1 RODO (z wyjątkiem zasady integralności i poufności z art. 5 ust. 1 lit. f) i musi być w stanie wykazać ich przestrzeganie. Podniosła, że organ błędnie zatem interpretuje art. 5 ust. 1 lit. a) i d) RODO, uznając, że ma on zastosowanie do podmiotu przetwarzającego. Błąd ten jest istotny i prowadzi do nieuzasadnionego nałożenia na Skarżącą upomnienia, o którym mowa w art. 58 ust. 2 lit. b) RODO. Organ pomija przy tym treść art. 28 ust. 3 RODO, który stanowi samoistną podstawę do przetwarzania danych przez podmiot przetwarzający i jednocześnie wyznacza zakres obowiązków podmiotu przetwarzającego dane na zlecenie, w tym obowiązki Skarżącej, która - poza zabezpieczeniem danych przed nieuprawnionym dostępem oraz działaniem zgodnym z umową łączącą ją z P. - nie ponosi za przetwarzanie danych odpowiedzialności.
Skarżąca podniosła, iż na podobnym stanowisku stoi doktryna, gdzie wskazuje się, że "elementem składającym się na accountability" jest możliwość wykazania, że podmiot zobowiązany wykonuje nałożone na niego obowiązki. Z tego względu w ust. 2 komentowanego [art. 5] zawarta została ogólna reguła wykazania przez administratora danych przestrzegania przez siebie zasad przetwarzania danych. Dalej wskazuje się, że "stwierdzenie, że administrator powinien być wykazać przestrzeganie zasad, odczytywać można jako nałożenie na administratora ciężaru dowodowego w zakresie przestrzegania zasad przetwarzania danych. W razie sporu z osobą, której dane dotyczą, albo z organem nadzorczym, administrator powinien być w stanie przedstawić dowody na to, że przestrzega zasad". Podobnie wskazuje się w literaturze zagranicznej, gdzie podnosi się, że "nowy element wprowadzono w porównaniu z dyrektywą 95/46: administrator danych musi być w stanie wykazać, że przetwarzanie jest zgodne z zasadami wskazanymi w art. 5 RODO"'.
Rozwijając zarzuty naruszenia przepisów postepowania, Spółka podniosła, że Prezes UODO stwierdził naruszenie przez nia zasad rzetelności i prawidłowości przetwarzania danych określonych w art. 5 ust. 1 lit. a) i d) RODO. Na podstawie uzasadnienia decyzji nie jest jednak możliwe zrekonstruowanie, w jaki sposób, w ocenie Organu, przetwarzanie danych przez Spółkę naruszało powyższe przepisy.
Skarżąca twierdzi, że zgodnie z przepisem art. 107 § 3 k.p.a. uzasadnienie faktyczne decyzji powinno w szczególności zawierać wskazanie faktów, które organ uznał za udowodnione, dowodów, na których się oparł, oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej, zaś uzasadnienie prawne – wyjaśnienie podstawy prawnej decyzji, z przytoczeniem przepisów prawa. Jednocześnie, nieuzasadnienie decyzji w sposób właściwy narusza podstawowe zasady postępowania administracyjnego i stanowi podstawę do uchylenia przez sąd administracyjny zaskarżonej decyzji.
W ocenie Skarżącej jedynym fragmentem uzasadnienia adresującym kwestię naruszenia zasad z art. 5 ust. 1 lit. a) i d) RODO jest fragment o następującym brzmieniu: "Spółka (...) zatem jako podmiot przetwarzający, działając w imieniu administratora danych – P., przetwarzając dane osobowe (Wnioskodawczyni) w ww. zakresie naruszyła [...] zasady rzetelności i prawidłowości przetwarzania danych określone w art. 5 ust. 1 lit. a) i d) RODO, zgodnie z którymi dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ("zgodność z prawem, rzetelność i przejrzystość") (lit. a) oraz prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane ("prawidłowość") (lit. d).". Stanowi to – w ocenie Skarżącej – zatem jedynie przytoczenie treści przepisu, na który powołuje się Organ.
W odpowiedzi na skargę Prezes UODO wniósł o jej oddalenie jako niezasadnej, podtrzymując stanowisko zawarte w zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. z 2021 r., poz. 137), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.
W świetle powołanych powyżej przepisów Wojewódzki Sąd Administracyjny w Warszawie, w zakresie swojej właściwości, ocenia zaskarżoną decyzję administracyjną, postanowienie, czy też inny akt lub czynność z zakresu administracji publicznej dotyczącą uprawnień lub obowiązków wynikających z przepisów prawa, z punktu widzenia ich zgodności z prawem materialnym i przepisami postępowania administracyjnego, według stanu faktycznego i prawnego obowiązującego w dacie wydania tego aktu lub podjęcia spornej czynności. Chodzi więc o kontrolę aktów lub czynności z zakresu administracji publicznej dokonywaną pod względem ich zgodności z prawem materialnym i przepisami procesowymi, nie zaś według kryteriów słuszności.
Ponadto, co wymaga podkreślenia, Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną (vide art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi – Dz. U. z 2022 r. poz. 329 – dalej P.p.s.a.).
Przechodząc na grunt rozpoznawanej sprawy, zasadnym jest przytoczenie treści niektórych przepisów z RODO, które miały w sprawie zastosowanie.
Zgodnie z art. 6 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 str. 2 ze zm.), przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
Natomiast art. 57 ust. 1 lit. f) rozporządzenia stanowi, że bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia każdy organ nadzorczy na swoim terytorium rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez podmiot, organizację lub zrzeszenie zgodnie z art. 80, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań, w szczególności jeżeli niezbędne jest dalsze prowadzenie postępowań lub koordynacja działań z innym organem nadzorczym.
Zgodnie zaś art. 4 pkt 1-3 RODO, "dane osobowe" oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. "Przetwarzanie" oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. "Ograniczenie przetwarzania" oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania.
Jest rzeczą niesporną, iż K. sp. z o. o. sp. k., będącą poprzednikiem prawnym K. sp. j., przetwarzała dane osobowe A. R. w związku z realizacją umowy w zakresie windykacji wierzytelności zawartej w dniu [...] lipca 2018 r. pomiędzy stroną skarżącą a P. sp. z o. o. z siedzibą w W. Na podstawie tej umowy skarżąca Spółka prowadziła działania windykacyjne wobec dłużnika P. sp. z o. o., tj. spółki A. sp. z o. o. sp. k. Dane osobowe A. R. w zakresie numeru telefonu oraz adresu poczty elektronicznej zostały pozyskane przez skarżącą w ramach prowadzenia działań windykacyjnych wobec A. sp. z o. o. sp. k. Nie ulega też wątpliwości, iż A. R. nie jest dłużnikiem P. sp. z o. o. ani też nie jest osobą uprawnioną do reprezentacji dłużnika, tj. spółki A. sp. z o. o. sp. k.
Przedstawione okoliczności faktyczne wskazują, że nie została spełniona żadna z przesłanek określonych w art. 6 ust. 1 RODO, legalizujących działanie skarżącej Spółki. K. sp. j. nie powołuje się zresztą na żadną z przesłanek określonych w art. 6 ust. 1 RODO, twierdzi natomiast, iż jako podmiot przetwarzający powinna legitymować się wyłącznie podstawą prawną przetwarzania danych osobowych wynikającą z art. 28 ust. 3 RODO, tj. z umowy zawartej z administratorem, a nadto, że jest zobowiązana wyłącznie do działania zgodnie z umową i instytucjami otrzymanymi od administratora, tj. P. sp. z o. o., który to administrator zgodnie z art. 5 ust. 2 RODO jest wyłącznie odpowiedzialny za przestrzeganie tych zasad.
Nie kwestionując co do zasady słuszności powyższych twierdzeń, wskazać należy, iż tezy te pozostają bez znaczenia dla oceny rozstrzygnięcia zawartego w pkt 2 zaskarżonej decyzji. Skarżąca Spółka na podstawie wskazanej powyżej umowy powierzenia uprawniona była jedynie do przetwarzań danych osobowych dłużników P. sp. z o. o. (pkt 6 Ogólnych warunków realizacji zleceń w ramach usługi wezwania do zapłaty plus – k. 74 akt administracyjnych sprawy).
A. R. nie była jednak ani dłużnikiem P. sp. z o. o., ani też osobą uprawnioną do reprezentacji dłużników, tj. A. sp. z o. o. sp. k. Skarżąca przetwarzając dane osobowe skarżącej, wykroczyła zatem poza upoważnienie wynikające z umowy zawartej z administratorem danych, a w rezultacie nie legitymowała się także przesłanką z art. 28 ust. 3 RODO.
Skarżąca jednocześnie nie wykonała obowiązku z art. 5 ust. 1 lit. d RODO, tj. obowiązku podjęcia wszelkich rozsądnych działań, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania zostały niezwłocznie usunięte lub sprostowane. Z pisma skarżącej z dnia [...] listopada 2018 r. (k. 64 akt administracyjnych) wynika, iż przedmiotowe dane osobowe zostały pozyskane przez skarżącą w toku prowadzonych działań windykacyjnych. Skarżąca nie wykazała jednak, że skonfrontowała ww. dane osobowe z danymi osób uprawnionych do reprezentacji dłużnika. Zdaniem Sądu takiego działania Skarżącej nie można ocenić jako spełniające standardy rzetelności w rozumieniu art. 5 ust. 1 lit. a RODO.
Mając powyższe na uwadze Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2022 r. poz. 329 ze zm.), orzekł jak w sentencji.