II SA/Wa 3564/21

II SA/Wa 3564/21 - Wyrok WSA w Warszawie
Data orzeczenia
2022-10-13
orzeczenie nieprawomocne
Data wpływu
2021-10-14
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Ewa Radziszewska-Krupa /przewodniczący/
Łukasz Krzycki
Piotr Borowiecki /sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2001 nr 106 poz 1148
art. 17
Ustawa z dnia 24 sierpnia 2001 r. Kodeks postępowania w sprawach o wykroczenia
Dz.U. 2004 nr 171 poz 1800
art. 159 ust. 1 pkt 1 ust. 2 pkt 4, art. 161 ust. 1 ust. 2
Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne
Dz.U. 2019 poz 125
art. 8 ust. 2 pkt 2 art. 13 ust. 1
Ustawa z 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Radziszewska-Krupa, Sędzia WSA Piotr Borowiecki (spr.), Sędzia WSA Łukasz Krzycki, Protokolant specjalista Monika Gieroń po rozpoznaniu na rozprawie w dniu 13 października 2022 r. sprawy ze skargi [...] sp. z o. o. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lipca 2021 r. nr [...] w przedmiocie ochrony danych osobowych oddala skargę.
Uzasadnienie
Zaskarżoną decyzją z dnia [...] lipca 2021 r., nr [...], Prezes Urzędu Ochrony Danych Osobowych (dalej także: "Prezes UODO" lub "organ nadzorczy"), działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (tekst jednolity Dz. U. z 2021 r., poz. 735 ze zm. - dalej: "k.p.a.") w zw. z art. 12 pkt 2, art. 18 ust. 1 pkt 2, art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz. U. z 2016 r., poz. 922 ze zm.) oraz art. 13 ust. 1 i art. 100 ust. 1 i ust. 2 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz.U. z 2019 r., poz. 125), a także art. 161 ust. 2 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne (tekst jednolity Dz. U. z 2021 r., poz. 576. - dalej także: "Pr.t."), w wyniku rozpoznania skargi Komendanta Straży Miejskiej w R. (dalej także: "wnioskodawca" lub "Komendant SM") na nieudostępnienie przez operatora sieci telefonii komórkowej [...] - spółkę [...] sp. z o.o. z siedzibą w [...] (dalej także: "skarżąca spółka" lub "strona skarżąca") danych osobowych abonenta numeru [...] w zakresie imienia, nazwiska i adresu zamieszkania - nakazał spółce [...] sp. z o.o. z siedzibą w [...] udostępnienie Komendantowi Straży Miejskiej w R. danych osobowych użytkownika numeru [...] w zakresie jego imienia, nazwiska i adresu zamieszkania.
Zaskarżona decyzja Prezesa UODO została wydana w następującym stanie faktycznym.
W piśmie z dnia [...] października 2017 r. Komendant Straży Miejskiej w R. - powołując się na przepisy art. 54 § 1 w zw. z art. 56 § 2 w zw. z art. 17 § 3 oraz art. 57 § 2 pkt 1 ustawy z dnia 24 sierpnia 2001 r. - Kodeks postępowania w sprawach o wykroczenia (tekst jednolity Dz. U. z 2020 r., poz. 729 ze zm. - dalej także: "K.p.w."), art. 63a § 1 ustawy z dnia 20 maja 1971 r. - Kodeks wykroczeń (tekst jednolity Dz. U. z 2019 r., poz. 821 ze zm. - dalej także: "K.w."), art. 10, art. 11 oraz art. 12 ustawy z dnia 29 sierpnia 1997 r. o strażach gminnych (tekst jednolity Dz. U. z 2019 r., poz. 1795 ze zm.), a także art. 23 ust. 1 pkt 2 i pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz. U. z 2016 r., poz. 922 ze zm. - dalej także: "u.o.d.o. z 1997 r.") - zwrócił się do spółki [...] sp. z o.o., będącej operatorem sieci telefonii komórkowej [...], o udzielenie informacji odnośnie danych osobowych abonenta numeru telefonu [...] w zakresie imienia, nazwiska i adresu zamieszkania.
Ustosunkowując się do powyższego wniosku, skarżąca spółka w piśmie z dnia [...] października 2017 r. odmówiła Komendantowi Straży Miejskiej w R. udostępnienia przedmiotowych danych ze względu na brak podania we wniosku podstawy prawnej umożliwiającej skarżącej spółce naruszenia tajemnicy telekomunikacyjnej.
W związku z powyższym, Komendant Straży Miejskiej w R. w piśmie z dnia [...] lutego 2018 r. wniósł do Generalnego Inspektora Ochrony Danych Osobowych (obecnie: Prezes Urzędu Ochrony Danych Osobowych) skargę na nieudostępnienie przez spółkę [...] sp. z o.o. z siedzibą w [...] danych osobowych abonenta numeru [...] w zakresie imienia, nazwiska i adresu zamieszkania.
W uzasadnieniu skargi Komendant Straży Miejskiej w R. poinformował organ nadzorczy, że w dniu [...] sierpnia 2017 r. funkcjonariusz Straży Miejskiej w R. ujawnił wykroczenie polegające na naklejaniu ulotek na wiadukcie nad autostradą A4 na barierach drogowych bez zgody zarządzającego tym miejscem.
W tej sytuacji, Komendant SM wskazał, że - działając w oparciu o art. 54 § 1 w zw. z art. 56 § 2 oraz art. 57 § 2 pkt 1 K.p.w. oraz na podstawie art. 10, art. 10a pkt 1, art. 11 oraz art. 12 ust. 1 pkt 5 ustawy o strażach gminnych - prowadzi czynności wyjaśniające w związku z podejrzeniem popełnienia wykroczenia z art. 63a § 1 K.w.
Ponadto, Komendant SM zauważył, że w dniu [...] października 2017 r. zwrócił się do operatora sieci telefonii komórkowej [...] - spółki [...] sp. z o.o. o udzielenie informacji dotyczącej powyższych danych osobowych, lecz otrzymał odpowiedź odmowną.
W konsekwencji, Komendant Straży Miejskiej w R. wniósł do organu nadzorczego o nakazanie skarżącej spółce udostępnienia żądanych danych osobowych.
W związku z powyższym, organ nadzorczy wszczął z urzędu postępowanie wyjaśniające, w ramach którego podjął stosowne czynności zmierzające do zgromadzenia odpowiedniego materiału dowodowego
Pismem z dnia [...] lipca 2018 r. organ nadzorczy poinformował skarżącą spółkę o wniesionej przez Komendanta SM skardze na odmowę udostępnienia danych osobowych abonenta numeru [...] w zakresie imienia, nazwiska i adresu zamieszkania. Jednocześnie, organ nadzorczy wezwał skarżącą spółkę do złożenia stosownych wyjaśnień.
Ustosunkowując się do powyższego wezwania organu nadzorczego, skarżąca spółka w piśmie z dnia [...] sierpnia 2018 r. poinformowała organ nadzorczy o tym, że przetwarza dane osobowe abonenta numeru telefonu komórkowego [...], którym jest osoba fizyczna prowadząca działalność gospodarczą (w tym w zakresie imię i nazwisko, nazwa firmy, adres siedziby). Ponadto, wskazała na przyczyny udzielenia odmownej odpowiedzi w związku ze złożonym przez Komendanta SM wnioskiem o udostępnienie spornych danych osobowych.
Pismem z dnia [...] stycznia 2019 r. Komendant Straży Miejskiej w R. ponownie wniósł do skarżącej spółki o udzielenie informacji odnośnie danych osobowych abonenta numeru [...].
Udzielając odpowiedzi na powyższy wniosek, skarżąca spółka w piśmie z dnia [...] lutego 2019 r. ponownie odmówił udostępnienia przedmiotowych danych, podtrzymując swoje dotychczasowe stanowisko przedstawione w piśmie z dnia [...] października 2017 r.
Pismem z dnia [...] marca 2019 r. Prezes UODO poinformował skarżącą spółkę o ponownej skardze Komendanta SM na odmowę udostępnienia spornych danych osobowych.
W odpowiedzi udzielonej w piśmie z dnia [...] kwietnia 2019 r. skarżąca spółka poinformowała organ nadzorczy o fakcie przetwarzania danych osobowych abonenta numeru telefonu [...], którym jest osoba fizyczna prowadząca działalność gospodarczą, a także o dotychczasowej korespondencji związanej z wnioskami Komendanta Straży Miejskiej w R. o udostępnienie spornych danych osobowych. Strona skarżąca wskazała jednocześnie, że z informacji Komendanta SM wynika, że prowadzona sprawa o podejrzenie popełnienia wykroczenia dotyczy podmiotu, który się reklamował za pomocą banera o treści "[...]", co w konsekwencji - zdaniem skarżącej spółki - oznacza, że jego odnalezienie jest w prosty sposób możliwe w Internecie.
W wyniku analizy zgromadzonego w toku postępowania wyjaśniającego materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych - działając na podstawie art. 104 § 1 k.p.a. w zw. z art. 12 pkt 2, art. 18 ust. 1 pkt 2, art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz art. 13 ust. 1 i art. 100 ust. 1 i ust. 2 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, a także art. 161 ust. 2 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne - nakazał spółce [...] sp. z o.o. z siedzibą w [...] udostępnienie Komendantowi Straży Miejskiej w R. danych osobowych użytkownika numeru [...] w zakresie jego imienia, nazwiska i adresu zamieszkania.
W uzasadnieniu wydanej decyzji Prezes UODO zauważył na wstępie, że zgodnie z art. 159 ust. 2 pkt 4 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne, zakazane jest zapoznawanie się, utrwalanie, przechowywanie, przekazywanie lub inne wykorzystywanie treści lub danych objętych tajemnicą telekomunikacyjną przez osoby inne niż nadawca i odbiorca komunikatu, chyba że będzie to konieczne z innych powodów przewidzianych ustawą lub przepisami odrębnymi.
Powołując się z kolei na przepis art. 159 ust. 4 Pr.t., organ nadzorczy podniósł, iż przepisów ust. 2 i 3 nie stosuje się do komunikatów i danych ze swojej istoty jawnych, z przeznaczenia publicznych lub ujawnionych postanowieniem sądu wydanym w postępowaniu karnym, postanowieniem prokuratora lub na podstawie odrębnych przepisów.
Ponadto, organ nadzorczy wskazał, że w świetle art. 161 ust. 1 Pr.t., z zastrzeżeniem ust. 2, treści lub dane objęte tajemnicą telekomunikacyjną mogą być zbierane, utrwalane, przechowywane, opracowywane, zmieniane, usuwane lub udostępniane tylko wówczas, gdy czynności te, zwane dalej "przetwarzaniem", dotyczą usługi świadczonej użytkownikowi albo są niezbędne do jej wykonania, zaś przetwarzanie w innych celach jest dopuszczalne jedynie na podstawie przepisów ustawowych.
W tej sytuacji, Prezes UODO stwierdził, że powyższe przepisy prawa wskazują na możliwość udostępnienia danych objętych tajemnicą telekomunikacyjną, gdy stanowią tak przepisy odrębne.
Organ nadzorczy podniósł jednocześnie, że zgodnie z art. 161 ust. 2 Pr.t., przetwarzanie danych osobowych użytkownika - innych niż wskazane w art. 159 ust. 1 pkt 2-5 Pr.t. - będącego osobą fizyczną odbywa się na podstawie przepisów o ochronie danych osobowych.
W tym miejscu, organ nadzorczy zauważył, że zgodnie z art. 13 ust. 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, właściwe organy przetwarzają dane osobowe wyłącznie w zakresie niezbędnym dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.
Prezes UODO podniósł, że zgodnie z art. 10 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o strażach gminnych, straż wykonuje zadania w zakresie ochrony porządku publicznego wynikające z ustaw i aktów prawa miejscowego. Jednocześnie, organ nadzorczy wskazał, że zgodnie z art. 10a ust. 1 tej ustawy, straż w celu realizacji ustawowych zadań może przetwarzać dane osobowe, z wyłączeniem danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym. Ponadto, organ nadzorczy podkreślił, że dane te straż miejska może przetwarzać bez wiedzy i zgody osoby, której dane dotyczą.
Organ nadzorczy wskazał, że dane osobowe mogą być uzyskiwane w wyniku wykonywania czynności podejmowanych w postępowaniu w sprawach o wykroczenia oraz z rejestrów, ewidencji i zbiorów, do których straż miejska posiada dostęp na podstawie odrębnych przepisów.
Powołując się z kolei na art. 12 ust. 1 pkt 5 ustawy o strażach gminnych, organ nadzorczy zauważył, że zgodnie z tym przepisem strażnik - wykonując zadania, o których mowa w art. 10 i art. 11 tej ustawy - ma prawo do dokonywania czynności wyjaśniających, kierowania wniosków o ukaranie do sądu, oskarżania przed sądem i wnoszenia środków odwoławczych - w trybie i zakresie określonych w Kodeksie postępowania w sprawach o wykroczenia.
Ponadto, Prezes UODO wskazał, że straż gminna (miejska) jest jednym z oskarżycieli publicznych, w świetle art. 17 § 3 ustawy z dnia 24 sierpnia 2001 r. Kodeks postępowania w sprawach o wykroczenia, któremu przysługuje prawo do przeprowadzenia czynności wyjaśniających w celu ustalenia, czy istnieją podstawy do wystąpienia z wnioskiem o ukaranie oraz zebrania danych niezbędnych do sporządzenia wniosku o ukaranie (art. 54 - 56 K.p.w.).
Mając na względzie powyższe regulacje prawne, Prezes UODO uznał, że realizacja przez straż miejską zadań nałożonych na nią ustawowo wymaga wykorzystywania informacji o osobach, których działania te dotyczą.
Organ nadzorczy stwierdził, że przepisy ustawy o strażach gminnych wprost stanowią o prawie straży miejskiej do przetwarzania danych w związku z realizacją określonych prawem zadań, bez konieczności uzyskania na to zgody osoby, której dane dotyczą (art. 10a ust. 1 cyt. ustawy).
W konsekwencji, Prezes UODO uznał, że Komendant Straży Miejskiej w R., na mocy stosownych przepisów rangi ustawowej, ma prawo zwrócić się do operatora telekomunikacyjnego o udostępnienie danych osobowych, zaś operator ten winien - mając na względzie fakt realizacji obowiązku czuwania przez Straż Miejską nad przestrzeganiem prawa przez obywateli - udostępnić informacje niezbędne Straży Miejskiej do realizacji jej zadań. Zdaniem organu nadzorczego, w takiej sytuacji dochodzi bowiem do realizacji dyspozycji przepisu art. 161 ust. 1 in fine ustawy - Prawo telekomunikacyjnej.
Tymczasem, jak zauważył organ nadzorczy, skarżąca spółka odmówiła udostępnienia Komendantowi Straży Miejskiej w R. żądanych danych osobowych abonenta numeru [...], wskazując na fakt, że żądane dane objęte są tajemnicą telekomunikacyjną (art. 159 ustawy - Prawo telekomunikacyjne). W tej sytuacji, organ nadzorczy uznał zatem, że skarżąca spółka nie podjęła działań zmierzających do rozważenia zasadności wniosku Komendanta Straży Miejskiej, w kontekście art. 161 ust. 2 ustawy - Prawo telekomunikacyjne, odrzucając jego wniosek.
Prezes UODO wskazał, że w niniejszej sprawie przyjąć należy, iż Straż Miejska w R. wykonuje zadania w zakresie ochrony porządku publicznego, a do wypełnienia tych zadań niezbędne jest ustalenie sprawcy wykroczenia, aby następnie móc skierować do sądu wniosek o ukaranie.
W tej sytuacji, w ocenie organu nadzorczego, istnienie po stronie Straży Miejskiej obowiązku wynikającego z przepisów prawa jest czynnikiem, który skarżąca spółka powinna wziąć pod uwagę w kontekście realizacji obowiązku ochrony danych abonenta na gruncie przepisów ustawy - Prawo telekomunikacyjne.
Jednocześnie, Prezes UODO podkreślił, że udostępnieniu spornych danych osobowych abonenta nie stoją na przeszkodzie przepisy art. 159 ust. 2 i 4 Pr.t., co - jak zauważył organ nadzorczy - znajduje potwierdzenie m.in. w wyroku Naczelnego Sądu Administracyjnego z dnia 14 marca 2019 r., sygn. akt I OSK 1429/17, w którym NSA uznał, że przetworzenie danych osobowych objętych tajemnicą telekomunikacyjną w celu przekazania ich Straży Miejskiej na potrzeby prowadzonego postępowania nie jest zakazane w świetle art. 159 ust. 1-4 ustawy Prawo telekomunikacyjne.
Organ nadzorczy wskazał ponadto, że istotne dla rozstrzygnięcia analizowanej sprawy jest również stanowisko, które zaprezentował Naczelny Sąd Administracyjny w wyroku z dnia 6 marca 2019 r., sygn. akt I OSK 2677/16, w którym stwierdzono, że wprawdzie przepisy ustawy o ochronie danych osobowych, ustawy - Prawo telekomunikacyjne, ustawy o strażach gminnych, czy też Kodeksu postępowania w sprawach o wykroczenia nie stanowią wprost o uprawnieniu straży gminnej do żądania, w przypadku prowadzenia postępowania w sprawie popełnienia wykroczenia, od operatora sieci danych osobowych jej abonenta, takich jak: imię, nazwisko i adres zamieszkania, który jest potencjalnym sprawcą czynu, tym niemniej - jak uznał skład orzekający - nie ulega wątpliwości, iż takie uprawnienie straż gminna (miejska) jednak posiada. NSA stwierdził bowiem, że wykładnia przepisów regulujących omawianą materię nie może prowadzić do paraliżu organu, mającego ustawowe kompetencje m.in. do ścigania sprawców wykroczeń.
W związku z powyższym, Prezesa UODO uznał, że Komendant Straży Miejskiej w R. posiada - na mocy przytoczonych powyżej przepisów art. 161 ust. 2 ustawy - Prawo telekomunikacyjne i art. 13 ust. 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości - podstawę prawną do pozyskania danych osobowych abonenta numeru [...] niezbędnych do przeprowadzenia czynności wyjaśniających i sporządzenia wniosku o ukaranie.
W tej sytuacji, Prezes UODO uznał, że skarżąca spółka bezpodstawnie odmówiła Komendantowi Straży Miejskiej w R. udostępnienia spornych danych osobowych.
Mając na uwadze powyższe, Prezes UODO uznał za zasadne skorzystanie w niniejszej sprawie z instrumentu o charakterze naprawczym przewidzianego w art. 18 ust. 1 pkt 2 u.o.d.o. z 1997 r. i nakazał skarżącej spółce udostępnienie Komendantowi Straży Miejskiej w R. danych osobowych użytkownika numeru [...] w zakresie jego imienia, nazwiska i adresu zamieszkania.
W piśmie z dnia [...] sierpnia 2021 r. skarżąca spółka, reprezentowana przez radcę prawnego, działając za pośrednictwem organu nadzorczego, wniosła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na powyższą decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lipca 2021 r.
Wnosząc w petitum skargi o uchylenie zaskarżonej decyzji Prezesa UODO, a także o wstrzymanie jej wykonania - na podstawie art. 61 § 2 pkt 1 i § 3 P.p.s.a. oraz o zasądzenie - na podstawie art. 200 P.p.s.a. - kosztów postępowania sądowego według norm przepisanych, skarżąca spółka zarzuciła organowi nadzorczemu:
1. naruszenie przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy - przez naruszenie art. 7 w związku z art. 77 § 1 w związku z art. 107 3 k.p.a. - poprzez niepodjęcie wszelkich czynności niezbędnych do dokładnego wyjaśnienia stanu faktycznego, a w szczególności poprzez brak ustalenia okoliczności przemawiających za tym, że skarżąca spółka nie może udostępnić przedmiotowych danych, gdyż nie została wskazana podstawa prawna, zwalniająca stronę skarżąca z obowiązku dochowania tajemnicy telekomunikacyjnej;
2. naruszenie przepisów prawa materialnego, które miało wpływ na wynik sprawy - przez naruszenie art. 161 ust. 2 ustawy - Prawo telekomunikacyjne - poprzez błędną jego wykładnię, wskazującą, że w brzmieniu obowiązującym w chwili obecnej (stanowiąc, iż przetwarzanie danych osobowych użytkownika - innych niż wskazane w art. 159 ust. 1 pkt 2-5 Pr.t. - będącego osobą fizyczną odbywa się na podstawie przepisów o ochronie danych osobowych), strona skarżąca nie ma możliwości zapewnienia wobec swoich klientów tajemnicy telekomunikacyjnej, którą objęte są dane każdego użytkownika.
W uzasadnieniu skargi strona skarżąca stwierdziła, iż nie zgadza się tezą organu nadzorczego, jakoby bezpodstawnie odmówiła Komendantowi Straży Miejskiej w R. udostępnienia danych osobowych abonenta, które pozwolą Straży Miejskiej na skuteczne zainicjowanie przeciwko tej osobie postępowania sądowego.
Skarżąca spółka zarzuciła, że organ nadzorczy wykazał się istotnym niedbalstwem podczas gromadzenia i analizy materiału dowodowego w sprawie, ponieważ dopuścił się nieprawidłowych określeń dotyczących firmy, pod którą działa w obrocie strona skarżąca, a także przedstawił w spornej decyzji niekompletny stan faktyczny.
Strona skarżąca wskazała, że gdyby korespondencja pomiędzy Komendantem Straży Miejskiej w R. a stroną skarżącą zakończyła wraz z pismem skarżącej spółki z dnia [...] października 2017 r., a Komendant SM do czasu wydania decyzji organu nadzorczego nie podjąłby żadnych dalszych kroków w celu zakończenia postępowania, to sprawa zostałaby przedawniona zgodnie z art. 45 Kodeksu wykroczeń, wg którego karalność wykroczenia ustaje, jeżeli od czasu jego popełnienia upłynął rok, natomiast jeżeli w tym okresie wszczęto postępowanie, karalność ustaje z upływem 2 lat od popełnienia czynu.
W tej sytuacji, strona skarżąca zauważyła, że istnieje prawdopodobieństwo, iż - biorąc pod uwagę wskazany wyżej przepis Kodeksu wykroczeń - sprawa dotycząca postępowania wszczętego przez straż miejską wobec abonenta numeru [...] jest już nieaktualna.
Mając powyższe na względzie, skarżąca spółka uznała, że pożądane byłoby, aby organ nadzorczy, przed wydaniem spornej decyzji administracyjnej, zwrócił się do Komendanta Straży Miejskiej w R. z zapytaniem, czy ten podtrzymuje wyrażone w skardze z dnia [...] lutego 2018 r. żądanie skierowane wobec skarżącej spółki, a jeśli tak, to na jakiej podstawie prawnej i w jakim celu.
Strona skarżąca uznała bowiem, że nie widzi aktualnie żadnej podstawy prawnej do nakazania jej udostępnienia danych osobowych użytkownika numeru [...] w zakresie jego imienia, nazwiska i adresu zamieszkania.
Strona skarżąca zauważyła, że jako dostawca publicznie dostępnych usług telekomunikacyjnych przetwarza (w tym udostępnia) dane abonentów zgodnie z powszechnie obowiązującymi przepisami prawa, w szczególności zgodnie z przepisami RODO oraz przepisami ustawy - Prawo telekomunikacyjne.
Skarżąca spółka podniosła, że ze względu na ogromną odpowiedzialność regulacyjną w zakresie ochrony tajemnicy telekomunikacyjnej, nie może pozwolić sobie na dowolną interpretację przepisów dotyczących tajemnicy telekomunikacyjnej, lecz musi mieć wyraźny przepis prawa, który zwalnia ją w danym przypadku z obowiązku dochowania tej konstytucyjnie gwarantowanej tajemnicy.
Strona skarżąca przypomniała, że zgodnie z postanowieniami art. 159 ust. 1 Pr.t., dane dotyczące użytkownika, którym w myśl art. 2 pkt 49 tej ustawy jest podmiot korzystający z publicznie dostępnej usługi telekomunikacyjnej lub żądający świadczenia takiej usługi, są objęte tajemnicę telekomunikacyjną. Jednocześnie, skarżąca spółka podkreśliła, że zgodnie z art. 160 ust. 1 Pr.t., jako podmiot uczestniczący w wykonywaniu działalności telekomunikacyjnej w sieciach publicznych jest obowiązana do zachowania tajemnicy telekomunikacyjnej. Ponadto, strona skarżąca powołała się na art. 49 Konstytucji RP, zgodnie z którym zapewnia się wolność i ochronę tajemnicy komunikowania się, a ich ograniczenie może nastąpić jedynie w przypadkach określonych w ustawie i w sposób w niej określony.
W tym miejscu, skarżąca spółka - odnosząc się do konkretnych podstaw prawnych wskazanych we wniosku Komendanta Straży Miejskiej w R. - stwierdziła, że podmiot ten nie podał podstawy prawnej, która umożliwiałaby skarżącej spółce [...] sp. z o.o. zwolnienie z tajemnicy telekomunikacyjnej i udostępnienie wnioskowanych danych.
Strona skarżąca stwierdziła, że podstawa prawna do udostępnienia danych nie wynika z powołanych przez wnioskodawcę przepisów, ponieważ:
a) art. 10a ustawy o strażach gminnych określa, że Straż Miejska może legalnie, na podstawie tego przepisu, przetwarzać dane osobowe, które już uzyskała (a nie dopiero chce uzyskać), zgodnie z prawem w związku z prowadzonym postępowaniem w sprawach o wykroczenia bądź z rejestrów, ewidencji lub zbiorów, do których posiada dostęp na podstawie odrębnych przepisów;
b) art. 12 ust. 1 pkt 8 i pkt 9 ustawy o strażach gminnych nadaje strażnikowi miejskim uprawnienia żądania niezbędnej pomocy od instytucji państwowych i samorządowych oraz zwracania się, w nagłych przypadkach, o pomoc do jednostek gospodarczych prowadzących działalność w zakresie użyteczności publicznej oraz organizacji społecznych, jak również do każdej osoby o udzielenie doraźnej pomocy na zasadach określonych w ustawie o Policji - nie uprawnia to jednak, zdaniem strony skarżącej, do żądania udostępnienia przez operatora telekomunikacyjnego danych osobowych abonenta lub użytkownika sieci;
c) art. 12 ust. 1 pkt 5 ustawy o strażach gminnych, nadający strażnikowi wykonującemu zadania, o których mowa w art. 10 i art. 11 tej ustawy, prawo do dokonywania czynności wyjaśniających, kierowania wniosków o ukaranie do sądu, oskarżania przed sądem i wnoszenia środków odwoławczych - w trybie i zakresie określanych w Kodeksie postępowania w sprawach o wykroczenia - nie uprawnia do żądania udostępnienia przez operatora telekomunikacyjnego danych osobowych abonenta lub użytkownika sieci.
Ponadto, strona skarżąca zauważyła, że przepis art. 23 ust. 1 u.o.d.o. z 1997 r. określają ogólne materialne przesłanki przetwarzania danych osobowych, w rozumieniu art. 7 pkt 2 tej ustawy, o charakterze generalnym.
Jednocześnie, skarżąca spółka wskazała, że w przepisach Kodeksu postępowania w sprawach o wykroczenia ustawodawca nie wprowadził żadnej podstawy zwalniającej przedsiębiorcę telekomunikacyjnego z obowiązku zachowania tajemnicy telekomunikacyjnej. Z kolei, jak zauważyła strona skarżąca, przepis art. 218 k.p.k., który przewiduje dla sądu lub prokuratora uprawnienie do żądania od przedsiębiorcy telekomunikacyjnego danych objętych tajemnicą telekomunikacyjną, nie stosuje się w postępowaniu w sprawach o wykroczenia.
Strona skarżąca, powołując się na wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 31 stycznia 2018 r., sygn. akt II SA/Wa 699/17 oraz wyrok Naczelnego Sądu Administracyjnego z dnia 12 marca 2019 r., sygn. akt l OSK 1944/18, stwierdziła, że wspomniane wyżej przepisy ustawy - Prawo telekomunikacyjne dotyczące tajemnicy telekomunikacyjnej, wyłączają stosowanie przepisów o ochronie danych osobowych w zakresie, w jakim przewidują dalej idącą ochronę danych osobowych. Skarżąca spółka zauważyła, że również w ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie wyrażonej w powyższym wyroku, nie ma wątpliwości, że art. 159 ust. 1 Pr.t., przewiduje dalej idącą ochronę danych osobowych abonenta, niż przepisy RODO.
Skarżąca spółka stwierdziła, że ustawodawca, wprowadzając do systemu prawnego instytucję tajemnicy telekomunikacyjnej, miał na celu nadanie jej szczególnego charakteru, zapewniającego dalej idącą ochronę niż ogólne przepisy o ochronie danych osobowych. W związku z tym, dane dotyczące użytkownika, jako dane objęte tajemnicą telekomunikacyjną, nie mogą zostać wyjęte z ochrony przez ogólne przepisy o ochronie danych osobowych.
Strona skarżąca uznała ponadto, że warto odwołać się również do wykładni językowej omawianych przepisów. W tym miejscu, strona skarżąca podniosła, że nowelizacja prawa telekomunikacyjnego w związku z RODO zmodyfikowała przepisy dotyczące tajemnicy telekomunikacyjnej oraz wykreśliła katalog danych osobowych, które operatorzy mogli przetwarzać na podstawie ustawy. Strona skarżąca wskazała, że tajemnica telekomunikacyjna obejmuje dane dotyczące użytkownika, treść indywidualnych komunikatów, dane transmisyjne, dane o lokalizacji oraz dane o próbach uzyskania połączenia między zakończeniami sieci. I tak, jak zauważyła skarżąca spółka, w zakresie danych dotyczących użytkownika (wskazanych w art. 159 ust. 1 pkt 1 Pr.t.) ustawodawca wprowadził zapis "z zastrzeżeniem art. 161 ust. 2". Ponadto, skarżąca spółka podniosła, że przepis art. 161 ust. 2 Pr.t., który był katalogiem zamkniętym danych, które operatorzy mogli przetwarzać z mocy ustawy, został zmieniony i obecnie brzmi: "Przetwarzanie danych osobowych użytkownika - innych niż wskazane w art. 159 ust. 1 pkt 2-5 - będącego osobą fizyczną odbywa się na podstawie przepisów o ochronie danych osobowych". Strona skarżąca zauważyła, że w opinii wielu stwierdzenie "z zastrzeżeniem" jest dość niefortunne i powoduje problemy interpretacyjne i wątpliwości, czy dane dotyczące użytkownika wchodzą w zakres tajemnicy telekomunikacyjnej, a jeżeli tak, to które. W konsekwencji, skarżąca spółka wskazała, że wprowadzone zastrzeżenie rozszerzałoby zakres tajemnicy telekomunikacyjnej o wszystkie dane dotyczące użytkownika przetwarzane przez operatora telekomunikacyjnego (por. A. Matula, "Z zastrzeżeniem" a zakres tajemnicy telekomunikacyjnej po zmianach RODO).
Reasumując, skarżąca spółka uznała, że nie posiadając jednoznacznej podstawy prawnej, nie mogła udostępnić Komendantowi Straży Miejskiej w R. danych objętych tajemnicą telekomunikacyjną:
a) bez narażenia się na karę pieniężną nakładaną przez Prezesa Urzędu Ochrony Danych Osobowych za bezprawne udostępnienie danych osobowych,
b) bez narażenia się na karę pieniężną w wysokości do 3% przychodu nakładaną przez Prezesa Urzędu Komunikacji Elektronicznej za naruszenie tajemnicy telekomunikacyjnej (zgodnie z art. 209 ust. 1 pkt 24 oraz art. 210 Pr.t.),
c) bez znaczącego ryzyka odpowiedzialności odszkodowawczej wobec swoich abonentów.
W tej sytuacji, strona skarżąca stwierdziła, że nie może zgodzić się z tezą organu nadzorczego, który po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, uznał w zaskarżonej decyzji, że skarżąca spółka bezpodstawnie odmówiła Komendantowi Straży Miejskiej w R. udostępnienia danych osobowych abonenta, które pozwolą Straży Miejskiej na skuteczne zainicjowanie przeciwko tej osobie postępowania sądowego, tj. danych w zakresie jego imienia, nazwiska i adresu zamieszkania.
Skarżąca spółka zarzuciła w konsekwencji, że ani Komendant Straży Miejskiej w R. w swoim wniosku, ani organ nadzorczy w spornej decyzji administracyjnej z dnia [...] lipca 2021 r. nie wskazali jednoznacznej podstawy prawnej, która zwalniałaby dostawcę usług telekomunikacyjnych z obowiązku dochowania w tym zakresie tajemnicy telekomunikacyjnej.
Strona skarżąca stwierdziła, że gdyby ustawodawca chciał nadać uprawnienie do przetwarzania przez Straż Miejską danych objętych tajemnicą telekomunikacyjną, zrobiłby to w sposób niebudzący wątpliwości, jak np. w przypadku prokuratora, który musi wydać stosowne postanowienie zwalniające z zachowania tajemnicy telekomunikacyjnej (vide: art. 159 ust. 4 Pr.t. i art. 218 k.p.k.), sądu i to nie każdego, tylko wyłącznie w postępowaniu karnym (vide: art. 159 ust. 4 Pr.t. i art. 218 k.p.k.), Policji działającej w specjalnym trybie na podstawie art. 20c ustawy z dnia 6 kwietnia 1990 r. o Policji (tekst jednolity Dz. U. z 2020 r., poz. 360), czy też w końcu uprawnionym organom działającym w oparciu o przepisy ustaw kompetencyjnych.
Ponadto, strona skarżąca stwierdziła, że tak ważnej kwestii, jak udostępnianie danych objętych tajemnicą telekomunikacyjną, czy też tajemnicą bankową nie można interpretować z niejednoznacznych przepisów, lecz obowiązek wydania takich danych, zdaniem skarżącej spółki, należy opierać na powszechnie obowiązujących przepisach prawa, które wprost muszą uprawniać dany organ do zwalniania dostawcy usług telekomunikacyjnych z jej dochowania.
Tymczasem, jak uznała skarżąca spółka, Prezes UODO nie wskazał podstawy prawnej, w oparciu o którą nakazał wydanie danych objętych tajemnicą telekomunikacyjną i nie uzasadnił należycie swojego rozstrzygnięcia wydanego w tym zakresie.
W odpowiedzi na skargę Prezes Urzędu Ochrony Danych Osobowych wniósł o jej oddalenie, podtrzymując swoje dotychczasowe stanowisko wyrażone w uzasadnieniu zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (tekst jednolity Dz. U. z 2022 r., poz. 2492), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.
W świetle powołanych przepisów cyt. ustawy, Wojewódzki Sąd Administracyjny w Warszawie, w zakresie swojej właściwości, ocenia zaskarżoną decyzję administracyjną, postanowienie, czy też inny akt lub czynność z zakresu administracji publicznej dotyczącą uprawnień lub obowiązków wynikających z przepisów prawa, z punktu widzenia ich zgodności z prawem materialnym i przepisami postępowania administracyjnego, według stanu faktycznego i prawnego obowiązującego w dacie wydania tego aktu lub podjęcia spornej czynności. Chodzi więc o kontrolę aktów lub czynności z zakresu administracji publicznej dokonywaną wyłącznie pod względem ich zgodności z prawem materialnym i przepisami procesowymi, nie zaś według kryteriów słuszności, czy też zgodności z zasadami współżycia społecznego.
Ponadto, co wymaga podkreślenia, Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną (vide: art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi - tekst jednolity Dz. U. z 2023 r., poz. 259 - dalej także: "P.p.s.a.").
Należy jednocześnie wyraźnie zaznaczyć, że od dnia wejścia w życie Traktatu Akcesyjnego z dnia 16 kwietnia 2003 r. (Dz. U. z 2004 r. Nr 90, poz. 864), na mocy którego Polska stała się państwem członkowskim Unii Europejskiej, kontrola sądu administracyjnego obejmuje również zgodność rozstrzygnięć organów administracji publicznej z prawem europejskim (prawem Unii Europejskiej), rozumianym, jako całokształt dorobku prawnego Unii Europejskiej (acquis communautaire), w tym zasad ogólnych prawa europejskiego, interpretowanych oraz stosowanych w sposób jednolity na całym obszarze Unii Europejskiej.
W tej sytuacji, Wojewódzki Sąd Administracyjny w Warszawie, dokonując oceny legalności zaskarżonej decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lipca 2021 r., zobowiązany był zbadać jej zgodność przede wszystkim z przepisami prawa europejskiego, w tym w szczególności z regulacjami prawnymi zawartymi w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych - zwane także: "RODO" - Dz. Urz. UE L 119 z dnia 4 maja 2016 r., s. 1 ze zmianą ogłoszoną w Dz. Urz. UE L 127 z dnia 23 maja 2018 r., s. 2).
W ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie, analizowana pod tym kątem skarga spółki [...] sp. z o.o. z siedzibą w [...] nie zasługuje na uwzględnienie, albowiem zaskarżona decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lipca 2021 r., nr [...] - nie narusza obowiązujących przepisów prawa.
Sąd uznał, że Prezes UODO, wydając sporną decyzję z dnia [...] lipca 2021 r., nie dopuścił się naruszenia zarówno wiążących Polskę przepisów prawa europejskiego, jak i regulacji prawa krajowego, w stopniu mogącym mieć jakikolwiek istotny wpływ na końcowy wynik sprawy.
Analizując niniejszą sprawę, Sąd doszedł bowiem do wniosku, że organ nadzorczy, wydając przedmiotową decyzję administracyjną nakazującą skarżącej spółce udostępnienie Komendantowi Straży Miejskiej w R. danych osobowych abonenta numeru [...] w zakresie jego imienia, nazwiska i adresu zamieszkania, nie dopuścił się przede wszystkim - mogącego mieć zasadniczy wpływ na wynik sprawy - naruszenia przepisów procedury administracyjnej, a w szczególności art. 7 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a., a także art. 107 § 3 k.p.a. w związku z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, albowiem - nakazując udostępnienie wspomnianych danych osobowych abonenta na podstawie prawidłowo ustalonego stanu faktycznego - wyjaśnił wszystkie okoliczności istotne dla prawidłowego i pełnego rozstrzygnięcia sprawy.
Organ nadzorczy nie dopuścił się jednocześnie naruszenia przepisów prawa materialnego, w tym w szczególności art. 159 ust. 2 pkt 4 i art. 161 ust. 2 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne, a także art. 8 ust. 2 pkt 2 w zw. z art. 12 i art. 13 ust. 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.
Przechodząc do oceny legalności spornej decyzji, należy zauważyć na wstępie, że istota sprawy w niniejszym postępowaniu sprowadzała się do oceny tego, czy w sytuacji, w której straż gminna (miejska) prowadzi postępowanie w sprawie popełnienia wykroczenia i dla potrzeb tego postępowania (w celu ustalenia tożsamości sprawcy czynu zabronionego), konieczne jest uzyskanie od jego operatora telekomunikacyjnego podstawowych danych osobowych abonenta (imienia, nazwiska, miejsca zamieszkania/zameldowania), operator ten ma obowiązek udzielenia informacji zawierającej powyższe dane na żądanie straży gminnej.
Rozstrzygając powyższą wątpliwość, przede wszystkim należy mieć na względzie to, iż zgodnie z konstytucyjną zasadą legalizmu, w oparciu o którą muszą działać wszystkie podmioty publiczne, Prezes UODO, jako organ nadzorczy, będąc wspomnianym podmiotem publicznym, może podejmować wyłącznie takie działania, które znajdują swoje źródło w przepisach obowiązującego prawa. Nie ulega więc wątpliwości, że aby organ nadzorczy mógł podjąć określone działania, musi mieć do tego stosowne umocowanie ustawowe.
Na marginesie zauważyć trzeba, iż w świetle obecnie obowiązujących przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), co do zasady uprawnienia proceduralne i materialne przyznane zostały wyłącznie osobom, których danych osobowych dotyczy ochrona. Osobami tymi są więc te, których dane osobowe są chronione przez powyższy akt prawny, a nie jakiekolwiek inne osoby trzecie. W konsekwencji, wskazać należy, że na podstawie przepisów RODO nie przysługują żadne uprawnienia osobom trzecim, czyli innym niż te, których danych osobowych dotyczy ochrona. W szczególności, przepisy RODO nie dają uprawnień informacyjnych podmiotom, które zamierzają wytaczać powództwa osobom fizycznym, których dane osobowe objęte są ochroną. Mało tego, przepisy RODO nie dają takich uprawnień także organowi nadzorczemu. Prezes UODO nie może więc żądać od administratora danych osobowych ich ujawnienia osobie trzeciej, na potrzeby ewentualnego postępowania sądowego. Takiego uprawnienia nie sposób wywieść z art. 6 ust. 1 lit. f RODO, albowiem przepis ten stanowiłby dla podmiotu skarżącego (wnoszącego o udostępnienie danych) podstawę prawną do przetwarzania konkretnych danych osobowych w sytuacji, gdyby podmiot ten był już w posiadaniu tych danych. Powyższa norma nie daje jednak podmiotowi składającemu skargę uprawnienia do pozyskania takich danych osobowych bezpośrednio od administratora, czy też za pośrednictwem Prezesa UODO. Co więcej, uprawnienie takie nie wynika również z treści art. 58 ust. 1 lit. a RODO, gdyż ten przepis dotyczy wyłącznie zakresu zadań organu nadzorczego i nie sposób z niego wywieść, by organ nadzorczy mógł zobowiązywać administratora danych do ich ujawniania osobom trzecim. Warto zauważyć ponadto, że omawianego uprawnienia nie sposób również skutecznie wywieść z treści art. 58 ust. 2 lit. c RODO. Nie ulega bowiem wątpliwości, że RODO zajmuje się przecież prawem do ochrony danych osobowych, a nie dóbr osobistych. Stąd użyte we wspomnianym wyżej przepisie art. 58 ust. 2 lit. c RODO sformułowanie "osoby, której dane dotyczą" musi być rozumiane w ten sposób, że chodzi tu o osobę, której dane są przetwarzane, a nie o jakąkolwiek inną osobę trzecią.
Na marginesie, zauważyć należy także, iż uprawnienie do żądania udostępnienia przez administratora danych osobie trzeciej przetwarzanych przez niego danych osobowych nie przysługuje Prezesowi UODO także na podstawie przepisów obecnie obowiązującej ustawy z 10 maja 2018 r. o ochronie danych osobowych.
Powyższe uwagi nie mogą mieć jednak istotnego znaczenia w niniejszej sprawie, albowiem organ nadzorczy - nakazując skarżącej spółce [...] sp. z o.o., jako przedsiębiorcy telekomunikacyjnemu i dostawcy publicznie dostępnych usług telekomunikacyjnych, udostępnienie Komendantowi Straży Miejskiej w R. danych osobowych abonenta - działał na podstawie przepisów ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, która to ustawa określa m.in. zasady i warunki ochrony danych osobowych przetwarzanych przez właściwe organy w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, w tym zagrożeń dla bezpieczeństwa i porządku publicznego (art. 1 cyt. ustawy).
Mając na uwadze wspomnianą wyżej istotę sporu, zauważyć należy, iż wprawdzie zarówno przepisy RODO oraz przepisy cyt. ustawy z dnia 14 grudnia 2018 r., jak i przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, a także regulacje prawne zawarte w ustawie - Prawo telekomunikacyjne, ustawie o strażach gminnych, czy też ustawie - Kodeks postępowania w sprawach o wykroczenia nie stanowią wprost o uprawnieniu straży gminnej do żądania, w przypadku prowadzenia postępowania w sprawie popełnienia wykroczenia, od operatora sieci danych osobowych jej abonenta, takich jak: imię, nazwisko i adres zamieszkania, który jest potencjalnym sprawcą czynu, tym niemniej - w ocenie składu Sądu orzekającego w niniejszej sprawie - nie ulega wątpliwości, iż takie uprawnienie straż gminna/miejska jednak posiada. Wykładnia przepisów, regulujących omawianą materię, nie może bowiem prowadzić do paraliżu organu, mającego ustawowe kompetencje m. in. do ścigania sprawców wykroczeń.
Podkreślenia w tym miejscu wymaga, że wykroczenie jest czynem zabronionym, zawinionym i społecznie szkodliwym. Staż gminna (miejska) jest zaś powoływana przez samorząd gminny (miejski) w celach takich, jak m. in.: ochrona spokoju i porządku w miejscach publicznych a także ochrona obiektów komunalnych i urządzeń użyteczności publicznej (art. 11 ustawy o strażach gminnych). By zadania te realizować straż posiada szereg szczegółowo uregulowanych uprawnień, które oczywiście nie odnoszą się wprost do prawa żądania ujawnienia przez operatora sieci danych osobowych abonenta, który jest potencjalnym sprawcą wykroczenia. Niemniej jednak, zakres owych uprawnień straży gminnej/miejskiej ewidentnie dowodzi, że jest to podmiot mający - z mocy ustawy - prawo do naruszania w określonych sytuacjach wolności i prywatności osób, a więc praw chronionych konstytucyjnie. Wyższość dobra publicznego w określonych sytuacjach wymaga bowiem podporządkowania praw przysługujących jednostce.
W ocenie Sądu, zarówno sam Komendant Straży Miejskiej w R. w skardze skierowanej do organu nadzorczego, jak i Prezes UODO w uzasadnieniu zaskarżonej decyzji słusznie zwrócili uwagę na treść art. 17 ustawy z dnia 24 sierpnia 2001 r. - Kodeks postępowania w sprawach o wykroczenia, albowiem zgodnie z tym przepisem, Straż Miejska jest jednym z oskarżycieli publicznych w sprawach o wykroczenia, któremu przysługuje prawo do przeprowadzenia czynności wyjaśniających w celu ustalenia, czy istnieją podstawy do wystąpienia z wnioskiem o ukaranie oraz zebrania danych niezbędnych do sporządzenia wniosku o ukaranie (art. 54 - 56 tej ustawy).
W związku z tym, niewątpliwie stwierdzić należy, iż realizacja przez Straż Miejską zadań oraz nałożonych na nią ustawowo obowiązków, wymaga wykorzystywania informacji o osobach, których działania te dotyczą. To zaś oznacza, że zgodzić się trzeba z organem nadzorczym, iż to przepisy ustawy o strażach gminnych stanowią o prawie Straży Miejskiej w R. do przetwarzania danych w związku z realizacją określonych prawem zadań, bez konieczności uzyskiwania na to zgody osoby, której dane te dotyczą.
Podkreślenia w szczególności w tym miejscu także wymaga, że zgodnie z art. 10a ustawy o strażach gminnych, straż w celu realizacji ustawowych zadań może przetwarzać dane osobowe, z wyłączeniem danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, bez wiedzy i zgody osoby, której dane te dotyczą, uzyskane:
1. w wyniku wykonywania czynności podejmowanych w postępowaniu w sprawach o wykroczenie,
2. z rejestrów, ewidencji i zbiorów, do których straż posiada dostęp na podstawie odrębnych przepisów.
Warto zauważyć, że powyższe, nie oznacza przy tym jedynie, że straż miejska może legalnie, na podstawie tego przepisu, przetwarzać dane osobowe, które uzyskała już, a nie dopiero chce uzyskać, zgodnie z prawem w związku z prowadzonym postępowaniem w sprawach o wykroczenia. Stanowisko to potwierdził Naczelny Sąd Administracyjny m.in. w wyroku z dnia 5 lutego 2008 r., wydanym w sprawie sygn. akt I OSK 37/07, w którym uznał, że przepisy ustawy o strażach gminnych nie tylko uprawniają, ale wręcz zobowiązują Straż Miejską do pozyskiwania wszelkich niezbędnych danych w celu ustalenia sprawcy wykroczenia, a następnie skierowania do sądu stosownego wniosku o ukaranie podmiotu w pełni zidentyfikowanego. NSA stwierdził bowiem, że zagwarantowana w art. 49 Konstytucji RP wolność i ochrona tajemnicy komunikowania się nie ma charakteru bezwzględnego. Pogląd ten zbieżny jest ze stanowiskiem zajętym przez Naczelny Sąd Administracyjny w wyroku z dnia 21 lutego 2014 r., sygn. akt I OSK 2324/12, w którym stwierdzono, że tajemnica komunikowania się w sieciach telekomunikacyjnych sięga tylko do granic kolizji zobowiązującym porządkiem prawnym. NSA zauważył jednocześnie, że gdy zachodzi podejrzenie sprzeczności ze wspomnianym porządkiem prawnym, reguła ta musi ulec przed wyższym dobrem, co w konsekwencji - według NSA - oznacza, że udostępnienie żądanych danych wydaje się możliwe, o ile są one adekwatne do celów i nie naruszają innych gwarancji ochronnych (por. także: wyrok NSA z dnia 6 marca 2019 r., sygn. akt I OSK 2677/16).
Nie ulega wątpliwości, że realizacja przez straż miejską zadań nałożonych na nią ustawowo wymaga wykorzystywania informacji o osobach, których działania te dotyczą. Przepisy ustawy o strażach gminnych wprost stanowią o prawie straży miejskiej do przetwarzania danych w związku z realizacją określonych prawem zadań, bez konieczności uzyskania na to zgody osoby, której dane dotyczą.
W ocenie Sądu, oznacza to, że Komendant Straży Miejskiej w R., na mocy stosownych przepisów rangi ustawowej, miał prawo zwrócić się do skarżącej spółki, jako operatora telekomunikacyjnego, o udostępnienie danych osobowych, zaś operator ten winien - mając na względzie fakt realizacji obowiązku czuwania przez Straż Miejską nad przestrzeganiem prawa przez obywateli - udostępnić informacje niezbędne Straży Miejskiej w R. do realizacji jej zadań.
Skoro Straż Miejska w R. wykonuje zadania w zakresie ochrony porządku publicznego, zaś do wypełnienia tych zadań niezbędne jest ustalenie sprawcy wykroczenia, a następnie skierowanie do sądu wniosku o ukaranie, to stwierdzić należy, iż skarżąca spółka, mając oczywiście na względzie obowiązek ochrony danych abonenta wynikający z przepisów ustawy - Prawo telekomunikacyjne, powinna wziąć pod uwagę istnienie po stronie Straży Miejskiej w R. obowiązku wynikającego ze wspomnianych wyżej przepisów prawa.
W konsekwencji, należy zgodzić się zarówno z Komendantem Straży Miejskiej w R,, jak i organem nadzorczym, że przepisy art. 54 § 1 i § 4 i art. 56 § 2 ustawy - Kodeks postępowania w sprawach o wykroczenia oraz art. 10a ustawy o strażach gminnych dają możliwość udostępnienia Straży Miejskiej przez operatora sieci podstawowych danych abonenta podejrzanego o popełnienie wykroczenia i nie stoją temu na przeszkodzie przepisy zawarte w ustawie z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne, w tym art. 159 ust. 2 pkt 4, art. 160 ust. 1 i art. 161 ust. 2 Pr.t.
W świetle art. 159 ust. 1 pkt 1 Pr.t., tajemnica komunikowania się w sieciach telekomunikacyjnych, zwana dalej "tajemnicą telekomunikacyjną", obejmuje wprawdzie m. in. dane dotyczące użytkownika, niemniej zgodnie z art. 159 ust. 2 pkt 4 Pr.t., zakazane jest zapoznawanie się, utrwalanie, przechowywanie, przekazywanie lub inne wykorzystywanie treści lub danych objętych tajemnicą telekomunikacyjną przez osoby inne niż nadawca i odbiorca komunikatu, chyba że będzie to konieczne z innych powodów przewidzianych ustawą lub przepisami odrębnymi.
Warto zauważyć ponadto, że również art. 159 ust. 3 i art. 161 ust. 1 Pr.t. dopuszczają ujawnianie lub przetwarzanie treści albo danych objętych tajemnicą telekomunikacyjną w przypadkach określonych ustawą.
W świetle art. 161 ust. 1 ustawy Prawo telekomunikacyjne, z zastrzeżeniem ust. 2, treści lub dane objęte tajemnicą telekomunikacyjną mogą być zbierane, utrwalane, przechowywane, opracowywane, zmieniane, usuwane lub udostępniane tylko wówczas, gdy czynności te, zwane dalej "przetwarzaniem", dotyczą usługi świadczonej użytkownikowi albo są niezbędne do jej wykonania. Przetwarzanie w innych celach jest dopuszczalne jedynie na podstawie przepisów ustawowych.
W tej sytuacji, uznać należy zatem, że powyższe przepisy prawa wskazują na możliwość udostępnienia danych objętych tajemnicą telekomunikacyjną, gdy stanowią tak przepisy odrębne.
Zgodnie z art. 161 ust. 2 ustawy - Prawo telekomunikacyjne, przetwarzanie danych osobowych użytkownika - innych niż wskazane w art. 159 ust. 1 pkt 2-5 - będącego osobą fizyczną odbywa się na podstawie przepisów o ochronie danych osobowych.
Z kolei, przepis art. 13 ust. 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości stanowi, że właściwe organy przetwarzają dane osobowe wyłącznie w zakresie niezbędnym dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.
W konsekwencji, Sąd uznał, że w tych warunkach organ nadzorczy zasadnie przyjął, iż na mocy wyżej omówionych przepisów ustawowych Straż Miejska w R., realizując nałożone na nią ustawowo zadanie w postaci ochrony dobra publicznego, miała w tej sprawie - na podstawie art. 161 ust. 1 zdanie 2 Pr.t. - prawo do żądania od operatora sieci udostępnienia podstawowych danych osobowych jej abonenta.
Owszem, w tym miejscu należy zauważyć, iż przetwarzanie danych osobowych użytkowników telekomunikacji w celu wykonywania określonych prawem zadań realizowanych dla dobra publicznego w związku ze ściganiem wykroczeń przez organy straży miejskich i gminnych jest kwestią sporną w dotychczasowym orzecznictwie sądów administracyjnych (zwraca na to uwagę m.in. prof. Stanisław Piątek /w:/ Prawo telekomunikacyjne. Komentarz, Wydawnictwo C.H. Beck, Warszawa 2019, t. 21 i powołane tam orzecznictwo).
Niemniej jednak, skład WSA w Warszawie orzekający w niniejszej sprawie podziela stanowisko wyrażone w judykaturze, z którego wynika, iż okolicznością usprawiedliwiającą przetwarzanie danych osobowych abonenta przez straż miejską jest niezbędność tej czynności do wykonania określonych prawem zadań realizowanych dla dobra publicznego, związanych z wykryciem sprawcy wykroczenia (por. m.in. wyrok NSA z dnia 5 lutego 2008 r., sygn. akt I OSK 37/07, wyrok NSA z dnia 19 stycznia 2015 r., sygn. akt I OSK 1099/13, wyrok NSA z dnia 14 marca 2019 r., sygn. akt I OSK 1429/17, czy też wyrok NSA z dnia 29 kwietnia 2020 r., sygn. akt I OSK 4332/18).
Zdaniem Sądu, kierunek wykładni przedstawiony w powyższych wyrokach NSA potwierdza uprawnienie straży miejskiej do żądania udostępnienia jej danych osobowych pozostających w dyspozycji przedsiębiorcy telekomunikacyjnego, gdy jest to stosownie uzasadnione okolicznościami sprawy.
W tej sytuacji, stwierdzić należy, że obowiązujące przepisy zobowiązują straż miejską do pozyskania wszelkich niezbędnych danych w celu ustalenia sprawcy wykroczenia. Tymczasem, odmowa udostępnienia straży miejskiej żądanych danych osobowych użytkownika, w sytuacji gdy jedynymi danymi, jakimi dysponowała straż, był jego numer telefonu komórkowego, a spółka telekomunikacyjna była jedynym dysponentem tych danych, stanowi niewątpliwie przeszkodę w zrealizowaniu nałożonych na straż miejską obowiązków wynikających z przepisów prawa.
Mając na względzie powyższe, uznać trzeba, że skoro Komendant Straży Miejskiej w R. posiada - na mocy przytoczonych wcześniej art. 161 ust. 2 ustawy Prawo telekomunikacyjne i art. 13 ust. 1 ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości - podstawę prawną do pozyskania danych osobowych abonenta niezbędnych do przeprowadzenia czynności wyjaśniających i sporządzenia wniosku o ukaranie, to odmowa udostępnienia Komendantowi Straży Miejskiej w R. przez skarżącą spółkę danych osobowych abonenta numeru [...] w zakresie jego imienia, nazwiska i adresu zamieszkania była niezasadna.
W konsekwencji, Sąd stwierdził, że w uzasadnieniu zaskarżonej decyzji należycie wykazano, iż niezbędne było skorzystanie przez Prezesa UODO z kompetencji, o której mowa w art. 8 ust. 2 pkt 2 ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Przepis ten stanowi bowiem, że w przypadku naruszenia przepisów o ochronie danych osobowych zbieranych w celach, o których mowa w art. 1 pkt 1, Prezes UODO, w drodze decyzji administracyjnej, nakazuje administratorowi lub podmiotowi przetwarzającemu przywrócenie stanu zgodnego z prawem, a w szczególności uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych.
Mając powyższe na uwadze, należy uznać, że wydając sporną decyzję administracyjną z dnia [...] lipca 2021 r., Prezes UODO nie dopuścił się w toku postępowania jakichkolwiek istotnych uchybień formalnych, które uniemożliwiłyby Sądowi dokonanie prawidłowej oceny zarzutów skargi i wypowiedzenie się co do legalności podjętego rozstrzygnięcia.
Zdaniem Sądu, nie ulega wątpliwości, że związanie rygorami procedury administracyjnej oznacza, iż organ nadzorczy jest obowiązany m.in. do przestrzegania zasady pogłębiania zaufania obywateli do organów praworządnego państwa (art. 8 § 1 k.p.a.). W tej sytuacji, organ nadzorczy, uwzględniając powyższą zasadę, zobowiązany jest przede wszystkim dokładnie wyjaśnić okoliczności sprawy, konkretnie ustosunkować się do żądań i twierdzeń strony skarżącej oraz uwzględnić w decyzji zarówno interes społeczny, jak i słuszny interes strony skarżącej. Organ nadzorczy jest ponadto obowiązany w sposób wyczerpujący zebrać i ocenić cały materiał dowodowy (art. 7, art. 77 § 1 i art. 80 k.p.a.) oraz uzasadnić swoje rozstrzygnięcie według wymagań określonych w przepisie art. 107 § 3 k.p.a.
Uwzględniając powyższe, Sąd stwierdził, że organ nadzorczy nie uchybił wskazanym wyżej obowiązkom.
W ocenie Sądu, uzasadnienie zaskarżonej decyzji spełnia wymogi przewidziane przez ustawodawcę w przepisie art. 107 § 3 k.p.a., gdyż w jej treści organ nadzorczy wyraźnie wskazał, dlaczego - pomimo podniesionych przez stronę skarżącą argumentów - administrator danych dopuścił się istotnego naruszenia przepisów o ochronie danych osobowych.
W konsekwencji, w ocenie Sądu, wbrew twierdzeniom strony skarżącej, prawidłowe ustalenia faktyczne poczynione w toku postępowania wyjaśniającego przez Prezesa UODO dały temu organowi pełną podstawę do wydania zaskarżonej decyzji nakazującej skarżącej spółce [...] sp. z o.o. z siedzibą w [...] udostępnienie Komendantowi Straży Miejskiej w R. danych osobowych abonenta.
Biorąc powyższe pod uwagę, Wojewódzki Sąd Administracyjny w Warszawie - działając na podstawie art. 151 P.p.s.a. - orzekł, jak w sentencji wyroku.
[pic][pic][pic]