II SA/WA 38/25

II SA/Wa 38/25 - Wyrok WSA w Warszawie
Data orzeczenia
2025-10-02
orzeczenie nieprawomocne
Data wpływu
2025-01-10
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Anna Pośpiech-Kłak
Ewa Radziszewska-Krupa /przewodniczący sprawozdawca/
Łukasz Krzycki
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Inne
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2024 poz 935
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Radziszewska-Krupa (spr.), Sędzia WSA Łukasz Krzycki, Asesor WSA Anna Pośpiech-Kłak, Protokolant specjalista Maryla Wiśniewska po rozpoznaniu na rozprawie w dniu 2 października 2025 r. sprawy ze skargi J.G. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] października 2024 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
I. Stan sprawy przedstawia się następująco:
1. Prezes Urzędu Ochrony Danych Osobowych (zwany dalej "Prezesem UODO") decyzją z [...] października 2024r. nr [...]:
1) udzielił Wspólnocie Mieszkaniowej [...] z siedzibą w [...] (zwanej dalej "Wspólnotą") upomnienia za naruszenie art. 6 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz.UEL 119 z 4.05.2016, str. 1, Dz.Urz.UEL 127 z 23.05.2018, str. 2 oraz Dz.Urz.UEL 74 z 4.03.2021, str. 35, zwanego dalej "RODO"), polegające na udostępnieniu bez podstawy prawnej danych osobowych J. G. (zwany dalej "Skarżącym") w postaci numeru PESEL zawartych w projekcie uchwały nr [...] (zwana dalej "Uchwałą") załączonej do wiadomości e-mail z [...] kwietnia 2021r. skierowanej do członków Wspólnoty;
2) w pozostałym zakresie odmówił uwzględnienia wniosku.
Z uzasadnienia ww. decyzji wynika, że Skarżący w skardze skierowanej do Prezesa UODO wskazał na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] Sp. z o.o. z siedzibą w [...] (zwaną dalej "Spółką") oraz Wspólnotę, polegające na udostępnieniu członkom Wspólnoty danych osobowych Skarżącego w zakresie imienia, nazwiska, numeru PESEL oraz adresu zamieszkania, zawartych w projekcie ww. Uchwały, załączonej do ww. wiadomości e-mail. Prezes UODO w toku przeprowadzonego postępowania wyjaśniającego, ustalił następujący, że:
- Wspólnota wyjaśniła w piśmie z [...] września 2023r., że posiada i przetwarza dane osobowe Skarżącego w zakresie imienia, nazwiska, numeru PESEL oraz adresu zamieszkania. Dane te są dostępne w księdze wieczystej lokalu i są jawne. Dane te zawarto też w ww. Uchwale. Podstawą prawną przetwarzania tych danych jest członkostwo Skarżącego we Wspólnocie i jego dane osobowe (nazwisko, nr lokalu) nie są danymi chronionymi w gronie członków Wspólnoty. Ponadto Wspólnota przetwarza dane osobowe Skarżącego w celu: a) realizacji procesów związanych z zarządzaniem nieruchomością wspólną, w szczególności do prowadzenia ewidencji pozaksięgowej kosztów zarządu nieruchomością wspólną, zaliczek uiszczanych na pokrycie tych kosztów, a także rozliczeń z innych tytułów na rzecz nieruchomości wspólnej; b) realizacji procesów związanych z uczestnictwem członka we Wspólnocie, m.in. prowadzeniem spisu właścicieli lokali i przypadających im udziałów w nieruchomości wspólnej; c) organizacji zebrań członków Wspólnoty i podejmowania uchwał przez Wspólnotę; d) kontaktowania się ze Skarżącym jako właścicielem lokalu; e) realizacji prawnie usprawiedliwionego interesu Wspólnoty w postaci dochodzenia roszczeń oraz obrony przed roszczeniami wobec Wspólnoty. Podstawą prawną przetwarzania przez Wspólnotę danych osobowych Skarżącego w zakresie realizacji celu z: - ww. pkt 2 lit. a), b), c) jest wypełnienie obowiązku prawnego dążącego na administratorze (art. 6 ust 1 lit. c RODO); - ww. pkt 2 lit. d) jest zgoda osoby, której dane dotyczą (w zakresie danych, co do których przetwarzania nie zachodzi inna podstawa) - art. 6 ust. 1 lit. a RODO; - ww. pkt 2 lit. e) jest prawnie usprawiedliwiony interes administratora (art. 6 ust 1 lit. f RODO) - polegający na obsłudze, dochodzeniu i obronie w razie zaistnienia wzajemnych roszczeń.
Wspólnota wyjaśniła też, że udostępniła dane Skarżącego w tekście Uchwały, która była częścią składową zawiadomienia o zebraniu właścicieli lokali z [...] kwietnia 2021r. Wspólnota wyjaśniła, że dokument ten był dystrybuowany przez firmę administrującą działającą na podstawie umowy zawartej ze Wspólnotą. Dystrybucja odbyła się poprzez wysyłkę poczty elektronicznej na adresy e-mail, wyłącznie do członków Wspólnoty.
Spółka w piśmie z [...] stycznia 2023r. wyjaśniła, że była administratorem ww. nieruchomości wspólnej od [...] marca 2015r. do [...] września 2022r. na podstawie umów zawartych ze Wspólnotą [...] marca 2015r. (o administrowanie nieruchomością wspólną) i [...] maja 2018r. (powierzenia przetwarzania danych osobowych). W związku z zakończeniem umowy o administrowanie nieruchomością wspólną Spółka nie przetwarza już danych osobowych Skarżącego. Dane w zakresie imienia, nazwiska oraz adresu przetwarzała w okresie, w którym administrowała ww. nieruchomością. PESEL Skarżącego przetwarzany był wyłącznie w celu sporządzenia dokumentów niezbędnych do podjęcia ww. Uchwały (dotyczącej wystąpienia przez Wspólnotę z żądaniem sprzedaży lokalu nr [...]). Podstawę prawną do przetwarzania danych stanowiły: ustawa z 24 czerwca 1994r. o własności lokali (Dz.U. z 2021r., poz. 1048 zwana dalej "u.w.l") i ww. umowa o administrowanie nieruchomością wspólną. Poza standardowymi danymi zwykłymi przetwarzanymi przez Spółkę (imienia, nazwiska oraz adresu lokalu), do ww. Uchwały wpisano PESEL Skarżącego. Uchwała przygotował prawnik Wspólnoty, w sposób jednoznaczny identyfikujący Skarżącego jako podmiot uchwały. Projekt Uchwały przesłano członkom Wspólnoty w formie maila, w celu zapoznania się z uchwałą przed głosowaniem. Ww. korespondencja wysyłana została w postaci "ukrytej kopii" w celu ochrony przekazywanych dobrowolnie danych, co przejawia się u odbiorców informacją "ukryci adresaci". Projekt Uchwały nie zawierał danych wrażliwych ani poufnych Skarżącego. Zawarcie ww. danych zwykłych Skarżącego ma podstawę w art. 6 ust. 1 lit. f RODO, a udostępnienie ich członkom Wspólnoty w art. 32 u.w.l.
Prezes UODO, po zapoznaniu się ze zgromadzonym materiałem dowodowym, wskazał, że przesłanki legalizujące proces przetwarzania tzw. danych "zwykłych" określone zostały w art. 6 ust. 1 RODO. Przy czym administrator danych osobowych powinien wykazać zaistnienie co najmniej jednej z nich, aby jego działanie mogło być uznane za zgodne z prawem. Należy wskazać, że przetwarzanie jest zgodne z prawem między innymi, gdy osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów (lit. a), gdy przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (lit. b), gdy jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (lit. c), gdy przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej (lit. d), gdy przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (lit. e), a także gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (art. 6 ust. 1 lit. f RODO). Administrator danych osobowych może przetwarzać te dane samodzielnie lub powierzyć przetwarzanie danych osobowych w jego imieniu przez umocowany do tego podmiot. Artykuł 28 ust. 3 zdanie pierwsze RODO stanowi, że przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub innego państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą, obowiązki i prawa administratora.
Wspólnoty mieszkaniowe działają na podstawie u.w.l., a w zakresie nieuregulowanym w u.w.l. do Wspólnoty zastosowanie mają przepisy ustawy z 23 kwietnia 1964r. Kodeks cywilny (Dz.U. z 2023 r. poz. 1610 ze zm., zwany dalej "k.c."). Właściciele lokali mogą w umowie o ustanowieniu odrębnej własności lokali albo w umowie zawartej później w formie aktu notarialnego określić sposób zarządu nieruchomością wspólną, a w szczególności mogą powierzyć zarząd osobie fizycznej albo prawnej (art. 18 ust. 1 u.w.l.). Zarządca nieruchomością wspólną jest zatem podmiotem, który działa w imieniu i na rzecz Wspólnoty. Zgodnie z art. 32 pkt 1 u.w.l., o zebraniu ogółu właścicieli lokali zarząd lub zarządca, któremu zarząd nieruchomością wspólną powierzono w sposób określony w art. 18 ust 1, zawiadamia każdego właściciela lokalu na piśmie przynajmniej na tydzień przed terminem zebrania. W zawiadomieniu należy podać dzień, godzinę, miejsce i porządek obrad. W wypadku zamierzonej zmiany we wzajemnych prawach i obowiązkach właścicieli lokali należy wskazać treść tej zmiany (art. 32 pkt 2 u.w.l.). Zgodnie z art. 16 ust. 1 u.w.l., jeżeli właściciel lokalu zalega długotrwale z zapłatą należnych od niego opłat lub wykracza w sposób rażący lub uporczywy przeciwko obowiązującemu porządkowi domowemu albo przez swoje niewłaściwe zachowanie czyni korzystanie z innych lokali lub nieruchomości wspólnej uciążliwym, wspólnota mieszkaniowa może w trybie procesu żądać sprzedaży lokalu w drodze licytacji na podstawie przepisów Kodeksu postępowania cywilnego o egzekucji z nieruchomości. Zgodnie zaś z art. 22 ust. 2 u.w.l. do podjęcia przez zarząd czynności przekraczającej zakres zwykłego zarządu potrzebna jest uchwała właścicieli lokali wyrażająca zgodę na dokonanie tej czynności oraz udzielająca zarządowi pełnomocnictwa do zawierania umów stanowiących czynności przekraczające zakres zwykłego zarządu w formie prawem przewidzianej. Czynnościami przekraczającymi zakres zwykłego zarządu jest w szczególności m.in. wytoczenie powództwa, o którym mowa w art. 16 (art. 22 ust. 3 pkt 7 u.w.l.).
Z materiału dowodowego sprawy wynika, że Skarżący jest członkiem Wspólnoty, zatem administratorem danych osobowych Skarżącego w rozumieniu art. 4 ust. 1 pkt 7 RODO jest Wspólnota, która zawarła ze Spółką [...] marca 2015r. ww. umowę o administrowanie nieruchomością wspólną. Jednocześnie na podstawie ww. umowy z [...] maja 2018r. powierzenia przetwarzania danych osobowych Wspólnota powierzyła Spółce - jako podmiotowi przetwarzającemu - dane osobowe członków Wspólnoty do przetwarzania w imieniu Wspólnoty, w trybie art. 28 RODO na zasadach, w zakresie i w celu określonym w ww. umowie (§ 1 pkt 1 umowy). W § 2 pkt 1 ww. umowy wskazano, że podmiot przetwarzający będzie przetwarzał, powierzone na podstawie umowy dane zwykłe (imię, nazwisko, adres, adres e-mail, telefon, dane zawarte w księgach wieczystych nieruchomości, itp. niezbędne do wykonywania obowiązków zawartych w umowie o administrowanie nieruchomością wspólną). Spółka przesłała [...] kwietnia 2021r. w korespondencji e-mail skierowanej do członków Wspólnoty zawiadomienie o zwołaniu zebrania właścicieli lokali [...] maja 2021r. Do wiadomości e-mail załączono projekt ww. Uchwały. Spółka wyjaśniła, że udostępniła dane osobowe Skarżącego zawarte w projekcie Uchwały na podstawie art. 32 u.w.l.
Prezes UODO odwołał się do art. 200 k.c. i wskazał, że każdy ze współwłaścicieli jest obowiązany do współdziałania w zarządzie rzeczą wspólną. Powyższe uprawnienia potwierdza art. 29 ust. 3 u.w.l, który stanowi, iż prawo kontroli działalności zarządu służy każdemu właścicielowi lokalu. Z art. 27 u.w.l gwarantuje każdemu właścicielowi lokalu prawo i obowiązek współdziałania w zarządzie nieruchomością wspólną. Z powołanych przepisów wynika zatem uprawnienie każdego współwłaściciela do dostępu do dokumentacji oraz informacji związanej z zarządzaniem nieruchomością. Organ na tej podstawie przyjął, że udostępnienie członkom Wspólnoty danych osobowych Skarżącego w zakresie imienia, nazwiska oraz adresu zamieszkania zawartych w projekcie Uchwały załączonej do ww. wiadomości e-mail, nie naruszyło obowiązujących przepisów o ochronie danych osobowych. Podjęcie przez Wspólnotę ww. Uchwały wymagało zawarcia w jej treści danych osobowych Skarżącego w zakresie jego imienia, nazwiska oraz adresu zamieszkania, bowiem było to niezbędne do identyfikacji osoby, w stosunku do której Wspólnota w oparciu o uchwałę miała dochodzić roszczeń na podstawie art. 16 ust. 1 u.w.l. Spółka działając w imieniu Wspólnoty - jako podmiot przetwarzający - udostępniła ww. dane osobowe Skarżącego w projekcie Uchwały, jako element realizacji uprawnień członków Wspólnoty w zakresie zarządu nieruchomością wspólną, którą to realizację Wspólnota miała obowiązek zapewnić. Oznacza to, że proces przetwarzania danych osobowych Skarżącego w powyższym zakresie nastąpił w granicach obowiązującego prawa i znajdował oparcie w art. 6 ust. 1 lit. c RODO w zw. z art. 200 k.c. oraz art. 16 ust. 1, art. 22 ust. 2, art. 27, art. 29 ust. 3 i art. 32 u.w.l. oraz w zw. z art. 28 ust. 3 RODO. Nie było zatem podstaw do uwzględnienia żądania Skarżącego, aby Wspólnota zaprzestała przetwarzania danych osobowych Skarżącego w zakresie imienia, nazwiska oraz adresu zamieszkania zawartych w projekcie ww. Uchwały. Prezes UODO w tym zakresie odmówił uwzględnienia wniosku Skarżącego, bo nie doszło do nieprawidłowości w procesie danych osobowych Skarżącego
Prezes UODO wskazał ponadto, że postępowanie administracyjne przez Niego prowadzone służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na przywrócenie stanu zgodnego z prawem poprzez wydanie decyzji administracyjnej na podstawie art. 58 ust. 2 RODO.
Prezes UODO w zakresie zarzutu bezprawnego udostępnienia członkom Wspólnoty danych osobowych Skarżącego w postaci nr PESEL zawartych w projekcie ww. Uchwały wyjaśnił, że z wyjaśnień Spółki wynika, że nr PESEL Skarżącego przetwarzany był wyłącznie w celu sporządzenia dokumentów niezbędnych do podjęcia ww. Uchwały w sprawie wystąpienia przez Wspólnotę z żądaniem sprzedaży lokalu mieszkalnego Skarżącego. W świetle zasad zgodność z prawem przetwarzania danych osobowych (art. 5 ust. 1 lit. a RODO) oraz minimalizacji danych (art. 5 ust. 1 lit. c RODO) proces przetwarzania danych osobowych powinien być adekwatny, stosowny oraz ograniczony do tego, co niezbędne do celów, w których są przetwarzane. Powyższe oznacza, że przy przetwarzaniu danych osobowych przez administratora należy uwzględnić stosowną korelację pomiędzy zakresem danych, a celem przetwarzania oraz przetwarzanie tylko takich danych, które są niezbędne dla realizacji określonego celu. W ocenie Prezesa UODO do realizacji celu, jakim było podjęcie przez Wspólnotę ww. Uchwały nie było niezbędne udostępnienie danych osobowych Skarżącego w zakresie numeru PESEL w projekcie ww. Uchwały. Cel ten mógł być zrealizowany bez ujawniania danych osobowych Skarżącego w zakresie nr PESEL. Wystarczające do identyfikacji osoby, w stosunku do której Wspólnota w oparciu o uchwałę miała dochodzić roszczeń na podstawie art. 16 ust. 1 u.w.l., było podanie danych osobowych Skarżącego w zakresie jego imienia, nazwiska, adresu zamieszkania. Ww. udostępnienie nie znajdowało oparcia w żadnej z przesłanek określonych w art. 6 ust. 1 RODO, stanowiących o legalności przetwarzania (udostępnienia) danych osobowych i tym samym nastąpiło bez podstawy prawnej, a zatem naruszyło zasadę zgodności z prawem (art. 5 ust. 1 lit. a RODO). Ponadto, powyższe działania naruszały zasadę określoną w art. 5 ust. 1 lit. c RODO (zasada minimalizacji danych). Za powyższe działania odpowiedzialna jest Wspólnota, jako administrator danych osobowych Skarżącego, która zobowiązana była zapewnić, że dane te będą przetwarzane zgodnie z prawem i w zakresie ograniczonym do tego, co niezbędne dla realizacji celów przetwarzania.
Prezes UODO, uwzględniając charakter stwierdzonego naruszenia i jego nieodwracalność, uznał za zasadne skorzystanie z uprawnienia o charakterze naprawczym przewidzianego w art. 58 ust. 2 lit. b RODO i skierowanie do Wspólnoty, jako administratora danych, odpowiadającego za zapewnienie, że dane osobowe przetwarzane są zgodnie z prawem, upomnienia za naruszenie art. 6 ust 1 RODO, polegające na udostępnieniu danych osobowych Skarżącego w zakresie numeru PESEL członkom Wspólnoty zawartych w projekcie ww. Uchwały bez podstawy prawnej.
Prezes UODO w odniesieniu do żądania Skarżącego o nałożenie kary finansowej na Wspólnotę, wskazał, że zgodnie z art. 58 ust. 2 lit. i) RODO to w zakresie uprawnień przysługujących organowi znajduje się nakładanie administracyjnych kar pieniężnych, ale działań tych organ nie podejmuje na żądanie osoby składającej skargę. Celem korzystania przez organ z uprawnień naprawczych jest przywrócenie stanu zgodnego z prawem i zapewnienie egzekwowania przepisów o ochronie danych osobowych. Zgodnie z 129 motywem RODO swoje uprawnienia organy nadzorcze powinny wykonywać zgodnie z odpowiednimi zabezpieczeniami proceduralnymi przewidzianymi w prawie Unii i prawie państwa członkowskiego, bezstronnie, sprawiedliwie i w rozsądnym terminie. W szczególności każdy środek powinien być odpowiedni, niezbędny i proporcjonalny, aby zapewnić przestrzeganie RODO. Skoro korzystanie z uprawnień naprawczych jest autonomiczną decyzją organu, to Prezes UODO nie był związany żądaniem strony zastosowania administracyjnej kary pieniężnej. Analogiczne stanowisko zajął WSA w Warszawie w wyroku z 6 listopada 2020r. sygn. akt II SA/Wa 185/20.
2. Skarżący w skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie wniósł o uchylenie ww. decyzji Prezesa UODO oraz przeprowadzenie ponownie postępowania, w którym zostaną dokładniej zbadane i przeanalizowane okoliczności, w jakich doszło do wytworzenia projektu ww. Uchwały zawierającego dane Skarżącego, przetwarzane bez podstawy prawnej, następnie ustalenie dokładnego kręgu osób, którym dane te zostały udostępnione, a także zweryfikowanie, czy na zebraniu Wspólnoty, poszczególne osoby posługujące się tymi bezprawnie zebranymi i powielonymi danymi, przy wyraźnym sprzeciwie Skarżącego, nie powinny ponosić samodzielnej i osobistej odpowiedzialności za naruszenie przepisów o ochronie danych osobowych. Skarżący podniósł, że zaskarżam ww. decyzję Prezesa UODO w części, tj. w zakresie punktu 1) co do niewłaściwego ustalenia zakresu podmiotów odpowiedzialnych za stwierdzone naruszenie przepisów o ochronie danych osobowych oraz co do udzielenia upomnienia, jako zbyt łagodnej za stwierdzone naruszenie; w zakresie pkt 2) decyzji w całości. Skarżący zarzucił ww. decyzji naruszenie:
- art. 6 w zw. z art. 5 w zw. z art. 4 ust. 7 i 8 RODO - polegające na niewłaściwym ustaleniu kręgu podmiotów odpowiedzialnych za stwierdzone naruszenie w postaci ujawnienia nr PESEL Skarżącego przez ograniczenie się do wskazania Wspólnoty jako podmiotu przetwarzającego dane osobowe i odpowiedzialnego za naruszenie;
- art. 83 RODO - przez jego niezastosowanie oraz wymierzenie zbyt łagodnej kary w stosunku do wagi stwierdzonego naruszenia;
- art. 58 ust. 2 RODO - przez jego niezastosowanie i nieskorzystanie przez organ z uprawnienia nakazania administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów RODO, a w stosownych przypadkach wskazanie sposobu i terminu, gdy organ ustalił ponad wszelką wątpliwość, że doszło do naruszenia przepisów o ochronie danych osobowych.
3. Prezes UODO w odpowiedzi na skargę podtrzymał stanowisko wyrażone w zaskarżonej decyzji i wniósł o oddalenie skargi jako bezzasadnej.
4. Skarżący w piśmie procesowym z [...] lutego 2025r. nie zgodził się ze stanowisko Prezesa UODO wyrażonym w odpowiedzi na skargę i jeszcze raz podkreślił, że organ wydając decyzję nie uwzględnił osób zarządzających Wspólnotą i prawnika, który sporządzał ww. Uchwałę, jako osób odpowiedzialnych za naruszenie przepisów o ochronie danych osobowych, a tego właśnie dotyczyła wniesiona do organu skarga. Organ pominął więc wszelkie konieczne czynności do dokonania w sprawie w związku z tym, że ww. Uchwała była owocem nasilenia agresji ze strony starego zarządu Wspólnoty wobec Skarżącego, stanowiła nadużycie prawa. Zdaniem Skarżącego organ powinien dokonać analizy, jakie środki prewencyjne podjąć wobec osób odpowiedzialnych za podjęcie tej Uchwały, żeby oddziaływanie prawne nie było wyłącznie iluzoryczne. Skarżący wskazał, że nadużycia uprawnień przez stary zarząd Wspólnoty rozpatrywał Sąd cywilny, a nowy zarząd Wspólnoty nie ma wiedzy o okolicznościach, w jakich powstała zaskarżona uchwała.
II. Wojewódzki Sąd Administracyjny w Warszawie, zważył co następuje:
1. skarga nie jest zasadna.
2. Sąd wyjaśnia, że Sądy administracyjne, w świetle art. 1 § 1 i 2 ustawy z 25 lipca 2002r. – Prawo o ustroju sądów administracyjnych (Dz.U. z 2022r., poz. 2492 ze zm.) oraz art. 3 § 1 ustawy z 30 sierpnia 2002r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2024r. poz. 935 ze zm., zwanej dalej: "P.p.s.a.") sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej pod względem zgodności z prawem materialnym i przepisami procesowymi. W związku z tym, aby wyeliminować z obrotu prawnego akt wydany przez organ administracji publicznej (np. decyzję) konieczne jest stwierdzenie, że doszło w nim do naruszenia bądź przepisu prawa materialnego w stopniu mającym wpływ na wynik sprawy, bądź przepisu postępowania w stopniu mogącym mieć istotny wpływ na rozstrzygnięcie, albo też przepisu prawa dającego podstawę do wznowienia postępowania, lub ewentualnie ustalenie, że decyzja lub postanowienie organu dotknięte jest wadą nieważności (art. 145 § 1 pkt 1 lit. a)-c), pkt 2 P.p.s.a.).
Sąd - stosownie do art. 151 P.p.s.a. - w razie nieuwzględnienia skargi w całości albo w części - oddala skargę odpowiednio w całości albo w części.
Sąd wyjaśnia również, że stosownie do art. 134 § 1 P.p.s.a., rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną z zastrzeżeniem art. 57a. Ostatni z ww. przepisów nie miał jednak zastosowania w sprawie, gdyż organ administracyjny wydał w sprawie decyzję administracyjną, którą zaskarżył Skarżący, a nie interpretację indywidualną, o której mowa w art. 57a P.p.s.a.
3. Sąd, oceniając zaskarżoną decyzję w świetle wskazanych wyżej kryteriów uznał, że skarga nie zasługiwała na uwzględnienie, a żaden z podnoszonych przez Skarżącego zarzutów nie zasługiwał na uwzględnienie.
Odnośne do zarzutu Skarżącego niewłaściwego ustaleniu kręgu podmiotów odpowiedzialnych za stwierdzone naruszenie prawa do ochrony danych osobowych Skarżącego, należy wskazać, że w sprawie oprócz przepisów RODO należało rozważyć także przepisy zawarte w rozdziale 4 u.w.l. Na tej podstawie należy przyjąć, że działania wspólnoty mieszkaniowej, reprezentowanej przez zarząd, co do zasady dotyczą nieruchomości wspólnej, o której mowa w art. 3 ust. 2 u.w.l., co wynika wprost z rozdziału 4 tej ustawy, a w szczególności z przepisów art. 21 ust. 1 i art. 22 ust. 1 i 3.
Z art. 21 ust. 1 u.w.l. wynika, że zarząd kieruje sprawami wspólnoty mieszkaniowej i reprezentuje ją na zewnątrz oraz w stosunkach między wspólnotą a poszczególnymi właścicielami lokali. Przepis art. 21 ust. 2 u.w.l. stanowi, że gdy zarząd jest kilkuosobowy, oświadczenia woli za wspólnotę mieszkaniową składają przynajmniej dwaj jego członkowie. Na mocy art. 21 ust. 3 u.w.l. zarząd na podstawie pełnomocnictwa, o którym mowa w art. 22 ust. 2, składa oświadczenia w celu wykonania uchwał w sprawach, o których mowa w art. 22 ust. 3 pkt 5, 5a i 6, ze skutkiem w stosunku do właścicieli wszystkich lokali. Przepis art. 22 ust. 1 u.w.l. wskazuje, że czynności zwykłego zarządu podejmuje zarząd samodzielnie. Z art. 22 ust. 3 u.w.l. stanowi, że Czynnościami przekraczającymi zakres zwykłego zarządu są w szczególności: 1) ustalenie wynagrodzenia zarządu lub zarządcy nieruchomości wspólnej; 2)przyjęcie rocznego planu gospodarczego; 3) ustalenie wysokości opłat na pokrycie kosztów zarządu; 4) zmiana przeznaczenia części nieruchomości wspólnej; 5) udzielenie zgody na nadbudowę lub przebudowę nieruchomości wspólnej, na ustanowienie odrębnej własności lokalu powstałego w następstwie nadbudowy lub przebudowy i rozporządzenie tym lokalem oraz na zmianę wysokości udziałów w następstwie powstania odrębnej własności lokalu nadbudowanego lub przebudowanego; 5a) udzielenie zgody na zmianę wysokości udziałów we współwłasności nieruchomości wspólnej; 6) dokonanie podziału nieruchomości wspólnej; 6a) nabycie nieruchomości; 7) wytoczenie powództwa, o którym mowa w art. 16; 8) ustalenie, w wypadkach nieuregulowanych przepisami, części kosztów związanych z eksploatacją urządzeń lub części budynku służących zarówno do użytku poszczególnych właścicieli lokali, jak i do wspólnego użytku właścicieli co najmniej dwóch lokali, które zaliczane będą do kosztów zarządu nieruchomością wspólną; 9) udzielenie zgody na podział nieruchomości gruntowej zabudowanej więcej niż jednym budynkiem mieszkalnym i związane z tym zmiany udziałów w nieruchomości wspólnej oraz ustalenie wysokości udziałów w nowo powstałych, odrębnych nieruchomościach wspólnych; 10) określenie zakresu i sposobu prowadzenia przez zarząd lub zarządcę, któremu zarząd nieruchomością wspólną powierzono w sposób określony w art. 18 ust. 1, ewidencji pozaksięgowej kosztów zarządu nieruchomością wspólną, zaliczek uiszczanych na pokrycie tych kosztów, a także rozliczeń z innych tytułów na rzecz nieruchomości wspólnej.
Zasadą jest zatem występowanie w postępowaniu przez organem administracyjnym wspólnot mieszkaniowych reprezentowanych przez swój organ (zarząd). Stwierdzić też należy, że to Wspólnota - a nie poszczególni jej członkowie, czy przedstawiciele zarządu wspólnoty - jest administratorem danych osobowych w rozumieniu art. 4 pkt 7 RODO – "podmiot przetwarzający" i w związku z tym odpowiada za zapewnienie, że dane osobowe przetwarzane są zgodnie z prawem i w zakresie ograniczonym do tego, co niezbędne dla realizacji celów przetwarzania.
Podmioty odpowiedzialne za przetwarzanie danych osobowych zostały określone w art. 4 RODO. Zgodnie z art. 4 pkt 7 RODO, "administrator" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania. Jak bowiem wskazuje doktryna prawa. Administratorem nie jest konkretna osoba sprawująca kierownicze stanowisko czy pracownik, któremu powierzono zadania związane z przetwarzaniem danych. Funkcji administratora nie można na te osoby scedować" (A. Maciaszczyk, Pojęcie zgody, administratora i podmiotu przetwarzającego dane osobowe, komentarz praktyczny, LEX/el. 2023). Zgodnie zaś z art. 4 pkt 8 RODO, "podmiot przetwarzający" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
Zdaniem Sądu prawidłowe było zatem przyjęcie przez Prezesa UODO, że to Wspólnota, a nie członkowie jej zarządu tej ponoszą odpowiedzialność za naruszenie danych osobowych Skarżącego. Zdaniem Sądu organ nie pominął zatem okoliczności wynikających ze skargi z [...] maja 2022r., ale uznał, na podstawie ww. unormowań prawnych, że to Wspólnota, a nie osoby wskazane przez Skarżącego w uzupełnieniu skargi z [...] września 2022r. (A. P., która zdaniem Skarżącego pełni funkcję administratora, Prezes Zarządu Spółki; R. D., która rozpowszechniała z ramienia administratora dane osobowe Skarżącego; P. J. - pełniący funkcję Prezesa Zarządu Wspólnoty; T. D. - pełnomocnik Wspólnoty) powinna ponosić odpowiedzialność w sprawie.
Podkreślić należy, że administrator danych osobowych może przetwarzać te dane samodzielnie lub powierzyć przetwarzanie danych osobowych w jego imieniu przez umocowany do tego podmiot. Artykuł 28 ust. 3 zdanie pierwsze RODO stanowi, że przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub innego państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą, obowiązki i prawa administratora.
Wspólnoty mieszkaniowe działają na podstawie u.w.l., a w zakresie w niej nieuregulowanym do wspólnot mieszkaniowych mają zastosowanie przepisy k.c. Właściciele lokali mogą w umowie o ustanowieniu odrębnej własności lokali albo w umowie zawartej później w formie aktu notarialnego określić sposób zarządu nieruchomością wspólną, a w szczególności mogą powierzyć zarząd osobie fizycznej albo prawnej (art. 18 ust. 1 u.w.l.). Zarządca nieruchomością wspólną jest zatem podmiotem, który działa w imieniu i na rzecz wspólnoty mieszkaniowej.
Z materiału dowodowego zgromadzonego w sprawie wynika, że Skarżący jest członkiem ww. Wspólnoty, zatem administratorem danych osobowych Skarżącego w rozumieniu art. 4 pkt 7 RODO jest Wspólnota, która zawarła ze Spółką ww. umowy: z 1 marca 2015r. o administrowanie nieruchomością wspólną; z [...] maja 2018r. powierzenia przetwarzania danych osobowych. W ten sposób Wspólnota powierzyła ww. Spółce - jako podmiotowi przetwarzającemu - dane osobowe członków Wspólnoty do przetwarzania w imieniu Wspólnoty, w trybie art. 28 RODO na zasadach, w zakresie i w celu określonym w ww. umowie (§ 1 pkt 1 umowy powierzenia). W § 2 pkt 1 ww. umowy powierzenia wskazano, że podmiot przetwarzający będzie przetwarzał, powierzone na podstawie umowy dane zwykłe (imię, nazwisko, adres, adres e-mail, telefon, dane zawarte w księgach wieczystych nieruchomości, itp. niezbędne do wykonywania obowiązków zawartych w Umowie o administrowanie nieruchomością wspólną). Z materiału dowodowego zgromadzonego w sprawie wynika ponadto, że Spółka przesłała [...] kwietnia 2021r. w korespondencji e-mail skierowanej do wszystkich członków Wspólnoty zawiadomienie o zwołaniu zebrania właścicieli lokali [...] maja 2021r. Do wiadomości e-mail załączono projekt ww. Uchwały. Zawarto w nim dane osobowe Skarżącego (imię, nazwisko, adres zamieszkania oraz numeru PESEL). Spółka wyjaśniła, że udostępniła dane osobowe Skarżącego na podstawie art. 32 u.w.l., a projekt - na zlecenie Wspólnoty - przesłała wyłącznie członkom Wspólnoty.
Tym samym trafne było przyjęcie przez Prezesa UODO w zaskarżonej decyzji, że zgodnie z art. 200 k.c., art. 29 ust. 3 i art. 27 u.w.l., udostępnienie członkom Wspólnoty danych osobowych Skarżącego w zakresie imienia, nazwiska oraz adresu zamieszkania zawartych w projekcie ww. Uchwały, nie naruszyło obowiązujących przepisów o ochronie danych osobowych. Podjęcie przez Wspólnotę ww. Uchwały wymagało bowiem zawarcia w jej treści danych osobowych Skarżącego w zakresie jego imienia, nazwiska oraz adresu zamieszkania, bowiem było to niezbędne dla identyfikacji osoby, w stosunku do której Wspólnota w oparciu o uchwałę miała dochodzić roszczeń na podstawie art. 16 ust. 1 u.w.l. Spółka działając w imieniu Wspólnoty była jedynie podmiotem przetwarzającym. Prezes UODO zasadnie zatem uznał w zaskarżonej decyzji, że brak było podstaw do uwzględnienia żądania Skarżącego, aby Wspólnota zaprzestała przetwarzania danych osobowych Skarżącego w zakresie imienia, nazwiska oraz adresu zamieszkania zawartych w projekcie ww. Uchwały.
Zdaniem Sądu prawidłowe było również stanowisko Prezesa UODO w zakresie bezprawnego udostępnienia członkom Wspólnoty danych osobowych Skarżącego w postaci numeru PESEL zawartych w projekcie ww. Uchwały załączonej do wiadomości e-mail z [...] kwietnia 2021r.
Prezes UODO słusznie uznał w uzasadnieniu zaskarżonej decyzji, że doszło w tym zakresie do naruszenia obowiązujących przepisów o ochronie danych osobowych. Do realizacji ww. celu, jakim było podjęcie przez Wspólnotę ww. Uchwały w sprawie wystąpienia z żądaniem licytacyjnej sprzedaży mieszkania Skarżącego, nie było niezbędne udostępnienie danych osobowych Skarżącego w zakresie numeru PESEL. Cel ten (podjęcie przez Wspólnotę uchwały w sprawie wystąpienia z żądaniem licytacyjnej sprzedaży mieszkania Skarżącego) mógł zostać zrealizowany bez ujawniania danych osobowych Skarżącego w zakresie numeru PESEL. Jak bowiem wskazano w zaskarżonej decyzji, zawarcie w treści uchwały danych osobowych Skarżącego w zakresie jego imienia, nazwiska, adresu zamieszkania, było wystarczające do identyfikacji osoby, w stosunku do której Wspólnota w oparciu o ww. Uchwałę miała dochodzić roszczeń na podstawie art. 16 ust. 1 u.w.l. Zasadnie zatem Prezes UODO skierował do Wspólnoty - jako administratora danych, odpowiadającego za zapewnienie, że dane osobowe przetwarzane są zgodnie z prawem i w zakresie ograniczonym do tego, co niezbędne dla realizacji celów przetwarzania - upomnienia za naruszenie art. 6 ust. 1 RODO w związku z działaniem bez podstawy prawnej.
W tym zakresie zarzuty podnoszone w skardze i w jej uzasadnieniu nie mogły być uznane za zasadne. Obowiązek zapewnienia, że dane osobowe przetwarzane są zgodnie z prawem i w zakresie ograniczonym do tego, co niezbędne dla realizacji celów przetwarzania, w tym aby istniała przesłanka legalizująca przetwarzanie danych osobowych spoczywa na administratorze w rozumieniu art. 4 pkt 7 RODO, a nie na podmiocie przetwarzającym w rozumieniu art. 4 pkt 8 RODO. Ten obowiązek nałożony jest przez art. 5 ust. 1 RODO, stanowiący, że dane osobowe muszą być: (lit. a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ("zgodność z prawem, rzetelność i przejrzystość"); (lit. c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane ("minimalizacja danych"). Art. 5 ust. 2 RODO natomiast wskazuje, że odpowiedzialny za przestrzeganie przepisów ust. 1 jest administrator. W przypadku powierzenia przetwarzania danych osobowych odpowiedzialność podmiotu przetwarzającego w rozumieniu art. 4 pkt 8 RODO za naruszenie art. 6 ust. 1 RODO jest możliwa jedynie w przypadku określonym w art. 28 ust. 10 RODO, który stanowi, że bez uszczerbku dla art. 82, 83 i 84, jeżeli podmiot przetwarzający naruszy niniejsze rozporządzenie przy określaniu celów i sposobów przetwarzania, uznaje się go za administratora w odniesieniu do tego przetwarzania. Spółka, udostępniając numeru PESEL Skarżącego zawarty w projekcie ww. Uchwały, nie uczyniła tego w celu innym niż określony w § 2 pkt 1 umowy powierzenia przetwarzania danych osobowych zawartej ze Wspólnotą [...] maja 2018r. (wykonywanie obowiązków zawartych w umowie o administrowanie nieruchomością wspólną). Skoro nie można Spółce przypisać działania we własnym imieniu (występowania w charakterze administratora danych) przy kwestionowanym przez Skarżącego udostępnieniu jego danych osobowych, nie można było uznać Spółki w zaskarżonej decyzji za podmiot odpowiedzialny za nieprawidłowości w procesie przetwarzania danych osobowych Skarżącego. Wobec tego Prezes UODO prawidłowo ustalił w zaskarżonej decyzji podmiot odpowiedzialny za nieprawidłowości w procesie przetwarzania danych osobowych Skarżącego.
Sąd, odnosząc się do zarzutu Skarżącego o naruszeniu przez Prezesa UODO art. 83 RODO - przez jego niezastosowanie oraz wymierzenie zbyt łagodnej kary w stosunku do wagi stwierdzonego naruszenia, stwierdza, że stosownie do art. 83 ust. 1 RODO, każdy organ nadzorczy zapewnia, by stosowane na mocy niniejszego artykułu za naruszenia niniejszego rozporządzenia administracyjne kary pieniężne, o których mowa w ust. 4, 5 i 6, były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Art. 83 ust. 2 RODO stanowi, że administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a-h) oraz j) RODO. Celem korzystania z ww. uprawnień naprawczych jest przywrócenie stanu zgodnego z prawem i zapewnienie egzekwowania przepisów o ochronie danych osobowych. Zgodnie z 129 motywem RODO organy nadzorcze powinny swoje uprawnienia wykonywać zgodnie z odpowiednimi zabezpieczeniami proceduralnymi przewidzianymi w prawie Unii i prawie państwa członkowskiego, bezstronnie, sprawiedliwie i w rozsądnym terminie. W szczególności każdy środek powinien być odpowiedni, niezbędny i proporcjonalny, aby zapewnić przestrzeganie niniejszego rozporządzenia. Podkreślenia jednak wymaga, że korzystanie z uprawnień naprawczych jest autonomiczną decyzją organu. Dotyczy to również uprawnienia do nałożenia administracyjnej kary pieniężnej. Analogiczne stanowisko zajął również Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 6 listopada 2020r. sygn. akt II SA/Wa 185/20. Sąd stanowisko to podziela wskazując, że Prezes UODO nie był związany żądaniem strony zastosowania administracyjnej kary pieniężnej. Od organu wyłącznie zależy, czy skorzystanie z tego uprawnienia uznaje - w okolicznościach danego przypadku - za konieczne dla zapewnienia zgodności przetwarzania danych. Przepisy RODO nie dają osobom, których dane dotyczą, prawa do żądania nałożenia administracyjnej kary pieniężnej. Tym samym zarzuty z tego zakresu nie mogły być uznane za zasadne.
Zdaniem Sądu Prezes UODO prawidłowo w okolicznościach sprawy przyjął też, że skoro to Wspólnota udostępniła bez podstawy prawnej dane osobowe Skarżącego w zakresie numeru PESEL, bo nie było niezbędne do identyfikacji tej osoby, to należało uznać, że to Wspólnota naruszyła obowiązujące przepisy o ochronie danych osobowych. Ww. udostępnienie nie znajdowało oparcia w żadnej z przesłanek określonych w art. 6 ust. 1 RODO, stanowiących o legalności przetwarzania (udostępnienia) danych osobowych i tym samym nastąpiło bez podstawy prawnej. Prezes UODO, wbrew stanowisku prezentowanemu w skardze, w sposób indywidualny i wszechstronny rozpatrzył sprawę, mając na względzie także obowiązujące przepisy u.w.l., oraz charakter, wagę i stopień odpowiedzialności Wspólnoty, jako administratora danych osobowych Skarżącego. Zasadne, w okolicznościach sprawy było też skorzystanie przez Prezesa UODO z uprawnienia o charakterze naprawczym, przewidzianego w art. 58 ust. 2 lit. b RODO i skierowanie do Wspólnoty - jako administratora danych, odpowiadającego za zapewnienie, że dane osobowe przetwarzane są zgodnie z prawem - upomnienia za naruszenie art. 6 ust. 1 RODO. Jest to środek wystarczająco dyscyplinujący administratora danych w związku ze stwierdzonym naruszeniem ochrony danych osobowych, które jest nieodwracalne.
Sąd, odnośnie zarzutu naruszenia art. 58 ust. 2 RODO przez jego niezastosowanie i nieskorzystanie z uprawnienia nakazania administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów RODO, wskazuje, że Prezes UODO jest organem właściwym, niezależnym i podejmującym działania w sprawach dotyczących ochrony danych osobowych. Prezes UODO, będąc organem nadzorczym w rozumieniu przepisów RODO, a także jedynym krajowym organem umocowanym prawnie do wydawania wytycznych i interpretowania postanowień RODO i innych przepisów o ochronie danych osobowych, ma - na mocy art. 58 ust. 2 RODO - uprawnienia naprawcze, które należą do Jego autonomicznych kompetencji. Okoliczność ta sprawia, że Prezes UODO może zastosować określone przepisami art. 58 ust. 2 RODO działania naprawcze, lecz dokonuje ich w zależności od oceny okoliczności konkretnej sprawy, analizując ustalony stan faktyczny i prawny indywidualnie, co sprawia, że nie podejmuje rozstrzygnięć wskazanych w art. 58 ust. 2 RODO na wniosek osoby składającej skargę. Skorzystanie zatem z upomnienia za naruszenie art. 6 ust. 1 RODO należało uznać za prawidłowe w okolicznościach faktycznych i prawnych sprawy - udostępnienia bez podstawy prawnej danej osobowej Skarżącego w zakresie numeru PESEL.
4. Sąd, mając powyższe na względzie, na podstawie art. 151 P.p.s.a. orzekł, jak w sentencji.