II SA/WA 3852/21

II SA/Wa 3852/21 - Wyrok WSA w Warszawie
Data orzeczenia
2022-05-27
orzeczenie prawomocne
Data wpływu
2021-11-17
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Góraj /sprawozdawca/
Joanna Kruszewska-Grońska
Tomasz Szmydt /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Sygn. powiązane
III OSK 2323/22 - Wyrok NSA z 2025-10-16
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżoną decyzję w części
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Tomasz Szmydt, Sędzia WSA Andrzej Góraj (spr.), Sędzia WSA Joanna Kruszewska-Grońska, , Protokolant sekretarz sądowy Marcin Rusinowicz-Borkowski, po rozpoznaniu na rozprawie w dniu 27 maja 2022 r. sprawy ze skarg Fundacji "[...]" w [...] oraz E. S. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] września 2021 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla pkt 3 i 4 zaskarżonej decyzji; 2. oddala skargę E. S. w pozostałej części; 3. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz Fundacji "[...]" w [...] kwotę 680 (sześćset osiemdziesiąt) złotych, tytułem zwrotu kosztów postępowania
Uzasadnienie
Decyzją z dnia [...] września 2021 r. Prezes Urzędu Ochrony Danych Osobowych:
1- udzielił Stowarzyszeniu [...] z siedzibą
w [...] upomnienia za naruszenie art. 12 ust. 3 w zw. z art. 17 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r, w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021,
str. 35), polegające na niepoinformowaniu o realizacji prawa do usunięcia danych osobowych E. S. ec, w terminie określonym w art. 12 ust. 3;
2- udzielił Stowarzyszeniu [...] z siedzibą
w [...] upomnienia za naruszenie art. 13 ust. 1 lit. c, e oraz art. 13 ust. 2 lit. a, b, d rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021,
str. 35), polegającego na niewypełnieniu względem E. S., obowiązku informacyjnego wynikającego z art. 13 ust. 1 lit. c, e oraz art. 13 ust. 2 lit. a, b, d rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021,
str. 35);
3- udzielił Fundacji [...]
z siedzibą w [...] upomnienia za naruszenie art. 12 ust. 2 w zw. z art. 17 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021,
str. 35), polegające na nieumożliwieniu realizacji prawa do usunięcia danych osobowych E. S. w terminie określonym w art. 12 ust. 3;
4- udzielił Fundacji [...] z siedzibą w [...] upomnienia za naruszenie art. 13 ust. 1 lit. c, e oraz art. 13 ust. 2 lit. a, b, d rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021,
str. 35), polegającego na niewypełnieniu względem E. S. obowiązku informacyjnego wynikającego z art. 13 ust. 1 lit. c, e oraz art. 13 ust. 2 lit. a, b, d rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021,
str. 35).
W uzasadnieniu organ wskazał, iż postępowanie zainicjowała skarga E. S. na nieprawidłowości w przetwarzaniu jej danych osobowych przez obydwa w/w podmioty.
Organ ustalił, że :
1. Stowarzyszenie wskazało, że pozyskało dane osobowe Skarżącej poprzez złożone przez nią zamówienie - datowane na [...] lipca 2019 r. - książki "[...]" oraz różańca jubileuszowego (dowód: wyjaśnienia Stowarzyszenia z [...] października 2020 r., kopia formularza zamówienia w aktach sprawy);
2. Na wypełnionym przez Skarżącą formularzu do złożenia zamówienia znajdowała się klauzula informacyjna, zgodnie z którą Stowarzyszenie oraz Fundacja są administratorami danych osobowych, a celem przetwarzania danych jest realizacja zamówienia oraz cyt.: "(...) realizacji działań statutowych tj. promowania i ochrony chrześcijańskich wartości cywilizacyjnych w społeczeństwie", podanie danych jest dobrowolne oraz, że cyt.: "(...) przysługuje Państwu prawo dostępu i poprawiania swoich danych", a także "Jeżeli nie chcecie Państwo, aby Wasze dane osobowe były przetwarzane przez [Fundację] lub [Stowarzyszenie] w celu realizacji działań statutowych, to prosimy o przesłanie tej informacji w formie pisemnej na powyższy adres" (dowód: wyjaśnienia Stowarzyszenia z dnia [...] października 2020 r., kopia formularza zamówienia w aktach sprawy);
3. Fundacja wskazała, że dane osobowe Skarżącej nie znajdują się w jej bazie danych, co oznacza, że nie ich nie przetwarza (dowód: wyjaśnienia Fundacji z dnia [...] października 2020 r.);
4. Skarżąca w dniu [...] grudnia 2019 r. zwróciła się do Stowarzyszenia oraz do Fundacji z żądaniem usunięcia jej danych osobowych (dowód: pismo Skarżącej z dnia [...] lutego 2020 r., kopia nadanych listów do Stowarzyszenia i Fundacji w aktach sprawy);
5. Stowarzyszenie wskazało, że otrzymało żądanie Skarżącej i je zrealizowało w dniu [...] grudnia 2019 r. (dowód: wyjaśnienia Stowarzyszenia z dnia [...] października 2020 r. oraz z dnia [...] lutego 2021 r.);
6. Stowarzyszenie wskazało, że nie poinformowało Skarżącej o spełnieniu jej żądania usunięcia danych osobowych z uwagi na to, że Skarżąca o to nie prosiła (dowód: wyjaśnienia Stowarzyszenia z dnia [...] października 2020 r. oraz z dnia [...] lutego
2021 r.);
7. Fundacja wskazała, że nigdy nie otrzymała od Skarżącej żądania usunięcia jej danych osobowych (dowód: wyjaśnienia Fundacji z dnia [...] października 2020 r.);
8. Fundacja wskazała, że cyt.: "(...) nie ma aktualnie dostępu do swojej siedziby przy ul. [...] w [...] (ani tym samym do znajdujących się tam sprzętów i dokumentów) z uwagi na spór z poprzednimi władzami Fundacji. Fundacja nie ma więc możliwości zweryfikowania, skąd zostały pozyskane dane Skarżącej ani potwierdzenia dopełnienia obowiązku informacyjnego wobec Skarżącej przy założeniu, że dane osobowe Skarżącej były w przeszłości przetwarzane przez Fundację." (dowód: wyjaśnienia Fundacji z dnia [...] października 2020 r.).
Dalej organ przywołał art. 6 rozporządzenia 2016/679, który legalizuje przetwarzanie danych, gdy spełniona jest co najmniej jedna z enumeratywnie wskazanych w nim przesłanek. Wskazał, że przetwarzanie danych jest dopuszczalne między innymi, gdy osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów (art. 6 ust. 1 lit. a rozporządzenia 2016/679 a Fundacja oraz Stowarzyszenie pozyskali dane osobowe Skarżącej bezpośrednio od niej w następstwie wypełnienie formularza zamówienia książki "[...]" oraz różańca jubileuszowego celem realizacji zamówienia, jak również cyt.: "(...) realizacji działań statutowych tj. promowania i ochrony chrześcijańskich wartości cywilizacyjnych w społeczeństwie". Wobec powyższego organ wywiódł, że dane osobowe Skarżącej były przetwarzane na podstawie wyrażonej zgody, tj. art. 6 ust. 1 lit. a rozporządzenia 2016/679 oraz w związku z wykonaniem umowy, tj. art. 6 ust. 1 lit. b rozporządzenia 2016/679.
Organ przywołał także art. 17 ust. 1 lit. a rozporządzenia 2016/679 stanowiący że osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, gdy dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane. Prezes UODO wskazał, ze skarżąca zwróciła się do zarówno do Stowarzyszenia, jak i do Fundacji z żądaniem usunięcia jej danych osobowych. Na powyższe żądanie Skarżąca nie otrzymała odpowiedzi. Stowarzyszenie usunęło dane osobowe Skarżącej w dniu 20 grudnia 2019 r. po otrzymaniu jej żądania. Natomiast Fundacja wskazała, że nigdy nie otrzymała żądania Skarżącej co spowodowane było problemami organizacyjnymi i brakiem dostępu do baz danych Fundacji. W związku z powyższym Prezes UODO dopatrzył się po stronie Stowarzyszenia oraz Fundacji nieprawidłowości.
Odnosząc się do niepoinformowania Skarżącej przez Stowarzyszenie o zrealizowaniu jej żądania usunięcia danych osobowych organ wskazał, że zgodnie z art. 12 ust. 3 rozporządzenia 2016/679, administrator bez zbędnej zwłoki - a w każdym razie w terminie miesiąca od otrzymania żądania - udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15-22. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy (ust. 3). Dodał, że w toku postępowania ustalono, że Stowarzyszenie nie poinformowało Skarżącej o zrealizowaniu jej żądania usunięcia danych osobowych uchybiając tym samym terminowi wskazanemu w przepisach rozporządzenia 2016/679.
Ustosunkowując się do nieuwzględnienia przez Fundację żądania Skarżącej usunięcia jej danych osobowych, zaznaczono, że Skarżąca w dniu [...] grudnia 2019 r. skierowała do Fundacji list z żądaniem zaprzestania przetwarzania jej danych osobowych oraz ich usunięcia. Fundacja wskazała, że powyższy list nie został przez Fundację odebrany. Artykuł 12 rozporządzenia 2016/679 reguluje kwestie przejrzystego informowania i komunikacji oraz tryb wykonywania praw przez osobę, której dane dotyczą. Artykuł 12 rozporządzenia 2016/679 zawiera regulację ogólną, nawiązującą do zasady przejrzystości przetwarzania danych dla osoby, której dane dotyczą. Określa on podstawowe wymogi odnoszące się nie tylko do sposobu informowania i komunikacji, lecz przede wszystkim nakłada na administratora obowiązek ułatwienia osobie, której dane dotyczą, realizacji przyznanych jej uprawnień, a także udzielania informacji o działaniach, jakie podjął w ramach realizacji tych uprawnień, lub przyczynach niepodjęcia takich działań. Zdanie pierwsze ust. 2 art. 12 rozporządzenia 2016/679, stanowi bowiem wprost, że administrator ułatwia osobie, której dane dotyczą, wykonanie praw przysługujących jej na mocy art. 15-22. Organ podkreślił, że administrator nie może utrudniać realizacji uprawnień podmiotom, których dane osobowe przetwarza. W motywie 59 preambuły rozporządzenia 2016/679 wyjaśniono: "Należy przewidzieć procedury ułatwiające osobie, której dane dotyczą, wykonywanie praw przysługujących jej na mocy niniejszego rozporządzenia, w tym mechanizmy żądania i gdy ma to zastosowanie bezpłatnego uzyskiwania - w szczególności dostępu do danych osobowych i ich sprostowania lub usunięcia oraz możliwości wykonywania prawa do sprzeciwu. Administrator powinien zapewnić możliwość wnoszenia odnośnych żądań także drogą elektroniczną, w szczególności gdy dane osobowe są przetwarzane drogą elektroniczną. Administrator powinien być zobowiązany udzielić odpowiedzi na żądania osób, których dane dotyczą, bez zbędnej zwłoki - najpóźniej w terminie miesiąca, a jeżeli nie zamierza spełnić takiego żądania - podać tego przyczyny". Fundacja powinna więc w ocenie organu zapewnić Skarżącej możliwość realizacji swoich praw wynikających z art. 15-22 rozporządzenia 2016/679. Fundacja powinna dostosować organizację swojej pracy do ciążących na niej obowiązków, w tym dotyczących realizacji praw osób, których dane przetwarzają tak, aby móc odebrać i odnieść się do pisma Skarżącej.
Kolejną nieprawidłowością, którą Prezes UODO stwierdził była niepełna realizacja obowiązku informacyjnego wynikającego z art. 13 ust. 1 i 2 rozporządzenia 2016/679. Zgodnie z art. 13 rozporządzenia 2016/679 w przypadku zbierania danych bezpośrednio od osoby, której dane dotyczą administrator zobowiązany jest podać następujące informacje: swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela (art. 13 ust. 1 lit. a rozporządzenia 2016/679), gdy ma to zastosowanie - dane kontaktowe inspektora ochrony danych (art. 13 ust. 1 lit. b), cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania (art. 13 ust. 1 lit. c), jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f - prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią (art. 13 ust. 1 lit. d), informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją (art. 13 ust. 1 lit. e), gdy ma to zastosowanie - informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych (art. 13 ust. 1 lit. f). Dodatkowo, zgodnie z art. 13 ust. 2 rozporządzenia 2016/679, poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania: okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu (art. 13 ust. 2 lit. a), informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych (art. 13 ust. 2 lit. b), jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a lub art. 9 ust. 2 lit. a - informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem (art. 13 ust. 2 lit. c), informacje o prawie wniesienia skargi do organu nadzorczego (art. 13 ust. 2 lit. d), informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych (art. 13 ust. 2 lit. e), informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz - przynajmniej w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą (art. 13 ust. 2 lit. f). Z materiału dowodowego zebranego w sprawie wynika według organu, że Stowarzyszenie wraz z Fundacją zamieścili na formularzu zamówienia niepełną klauzulę informacyjną. Wśród podanych informacji brakowało wskazania podstawy prawnej przetwarzania danych (art. 13 ust. 1 lit. c rozporządzenia 2016/679), informacji o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją (art. 13 ust. 1 lit. e rozporządzenia 2016/679), okresu, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu (art. 13 ust. 2 lit. a rozporządzenia 2016/679), informacji o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych (art. 13 ust. 2 lit. b rozporządzenia 2016/679) oraz informacji o prawie wniesienia skargi do organu nadzorczego (art. 13 ust. 2 lit. d rozporządzenia 2016/679). Spełnienie obowiązku informacyjnego ma m.in. funkcję poinformowania o prawach osoby, której dane osobowe są przetwarzane. Stowarzyszenie oraz Fundacja, jako administratorzy danych osobowych Skarżącej, nie wykonując ww. obowiązku, pozbawił ją według Prezesa UODO tego prawa. Zgodnie z powyższym stwierdzono, że Stowarzyszenie oraz Fundacja nie spełnili w pełnym zakresie obowiązku informacyjnego wobec Skarżącej wynikającego z art. 13 ust. 1 i 2 rozporządzenia 2016/679, naruszając przy tym przepisy o ochronie danych osobowych.
Prezes UODO nie dopatrzył się natomiast nieprawidłowości w niezrealizowaniu przez Stowarzyszenie oraz Fundację wobec Skarżącej obowiązku informacyjnego wynikającego z art. 14 ust. 1 i 2 rozporządzenia 2016/679. Artykuł 14 rozporządzenia 2016/679 reguluje kwestię obowiązku informacyjnego administratora kiedy pozyskał on dane osobowe w sposób inny niż od osoby, której dane dotyczą. Skarżąca sama zaś przekazała swoje dane osobowe Stowarzyszeniu oraz Fundacji, w następstwie czego nie byli oni zobowiązani do wypełnienia obowiązku wynikającego z ww. art. 14 rozporządzenia 2016/679.
Od punktów 3 i 4 powyższej decyzji skargę do tut. Sądu wywiodła [...] z siedzibą w [...], zarzucając:
1/ w części dotyczącej udzielenia Skarżącej upomnienia za naruszenie art. 12 ust. 2 w zw. z art. 17 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; dalej: "RODO") tj. punkt nr 3 Decyzji oraz w części dotyczącej udzielenia Skarżącej upomnienia za naruszenie art. 13 ust. 1 lit. c i e i art. 13 ust. 2 lit. a, b i d RODO tj. punkt nr 4 Decyzji, wydanie jej z naruszeniem prawa, które daje podstawę do stwierdzenia nieważności decyzji tj. naruszenie art. 28 ustawy z dnia 14 czerwca 1960 r. - kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735; dalej: "KPA") poprzez jego błędne zastosowanie i przyjęcie, że Skarżąca była stroną postępowania w zakresie spełnienia obowiązku informacyjnego wobec E. S., podczas gdy Skarżąca nie mogła być stroną w sprawie dotyczącej wypełnienia wobec E. S. obowiązku informacyjnego, ponieważ Skarżąca nigdy nie była administratorem danych osobowych E. S. i nie przekazała jej żadnej klauzuli informacyjnej niespełniającej warunków określonych w art. 13 ust. 1 i 2 RODO a tym samym nie była zobowiązana do realizacji praw E. S. wynikających z RODO, w tym art. 12 ust. 2 w zw. z art. 17 ust. 1 oraz art. 13 ust. 1 i 2;
2/ w części dotyczącej udzielenia Skarżącej upomnienia za naruszenie art. 12 ust. 2 w zw. z art. 17 ust. 1 RODO polegającego na nieumożliwieniu realizacji prawa do usunięcia danych osobowych E. S. tj. punkt nr 3 Decyzji, zarzucam wydanie jej z naruszeniem przepisów prawa materialnego, które miało wpływ na wynik sprawy tj. naruszenie art. 12 ust. 2 w zw. z art. 17 ust. 1 RODO poprzez jego błędne zastosowanie i uznanie, że naruszenie polegało na nieumożliwieniu realizacji prawa do usunięcia danych osobowych, podczas gdy Skarżąca nie była zobowiązana do realizacji żądania, ponieważ nigdy nie była administratorem danych osobowych E. S., nie była w ich posiadaniu ani nie otrzymała żądania usunięcia danych;
3/ w części dotyczącej udzielenia Skarżącej upomnienia za naruszenie art. 13 ust. 1
lit. c i e oraz art. 13 ust. 2 lit. a, b i d RODO polegającego na niewypełnieniu względem E. S. obowiązku informacyjnego wynikającego z tych przepisów tj. punkt nr 4 Decyzji zarzuciła wydanie jej z naruszeniem przepisów prawa materialnego, które miało wpływ na wynik sprawy tj.: naruszenie art. 13 ust. 1 lit. c i e oraz art. 13 ust. 2 lit. a, b i d RODO poprzez jego błędne zastosowanie i uznanie, że obowiązkiem Skarżącej było wypełnienie obowiązku informacyjnego wobec E. S. , podczas gdy Skarżąca nigdy nie była administratorem danych osobowych E. S. i nigdy nie była w posiadaniu jej danych osobowych, nie może więc odpowiadać za wypełnienie lub niewypełnienie obowiązku informacyjnego wynikającego z art. 13 RODO, a co za tym idzie za nieprawidłową lub niepełną treść klauzuli informacyjnej którą otrzymała E. S.;
4/ w części dotyczącej udzielenia Skarżącej upomnienia za naruszenie art. 12 ust. 2 w zw. z art. 17 ust. 1 RODO (punkt nr 3 Decyzji) oraz w części dotyczącej udzielenia Skarżącej upomnienia za naruszenie art. 13 ust 1 lit. c i e i art. 13 ust. 2 lit. a, b i d RODO (punkt nr 4 Decyzji), zarzuciłam wydanie jej z naruszeniem przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj. naruszenie art. 7, 77 § 1, 80 i 107 § 3 KPA poprzez: nieprawidłowe ustalenie i przyjęcie, że Skarżąca była administratorem danych osobowych E. S. i w rezultacie nieprawidłowe przyjęcie, że Skarżąca była odpowiedzialna za realizację obowiązku informacyjnego, nieprawidłowe ustalenie stanu faktycznego i przyjęcie, że Skarżąca mogła w odmienny sposób zorganizować swoją pracę i odnieść się do pisma E. S., oparcie rozstrzygnięcia bez zbadania, jakie środki wdrożyła Skarżąca, aby realizować uprawnienia osób, których dane przetwarza jako administrator, niewskazanie w uzasadnieniu Decyzji, jak zaproponowane, teoretyczne środki miałyby zagwarantować realizację praw Skarżącej.
Wobec powyższych naruszeń prawa Fundacja wniosła o: na podstawie art. 145 § 1 pkt 2 PPSA w zw. art. 156 § 2 pkt 4 KPA oraz art. 135 PPSA o stwierdzenie nieważności Decyzji w części dotyczącej udzielenia Skarżącej upomnienia za naruszenie art. 12 ust. 2 w zw. z art. 17 ust. 1 RODO oraz w części dotyczącej udzielenia Skarżącej upomnienia za naruszenie art. 13. ust. 1 i 2 RODO (punkty nr 3 i 4 Decyzji) oraz o umorzenie postępowania w sprawie w części dotyczącej Skarżącej.
Alternatywnie, w przypadku nieuwzględnienia wniosku o stwierdzenia nieważności wniosła o: na podstawie przepisu art. 145 § 1 pkt 1 lit. a i c PPSA oraz art. 135 PPSA o uchylenie Decyzji w części dotyczącej udzielenia Skarżącej upomnienia za naruszenie art. 12 ust. 2 w zw. z art. 17 ust. 1 RODO oraz w części dotyczącej udzielenia Skarżącej upomnienia za naruszenie art. 13 ust. 1 lit. c i e oraz art. 13 ust. 2 lit. a, b i d RODO
tj. punkty nr 3 i 4 Decyzji wobec naruszenia prawa materialnego i procesowego, które miało wpływ na wynik sprawy oraz o umorzenie postępowania w sprawie w części dotyczącej Skarżącej.
Ponadto, na podstawie art. 106 § 3 PPSA wniosła o dopuszczenie dowodów
z dokumentów tj.: a) reklamacji Fundacji z dnia [...].10.2019; b) pisma Poczty Polskiej
z dnia [...].11.2019 c) postanowienia Sądu Okręgowego w [...] o udzieleniu zabezpieczenia z dnia [...] sierpnia 2020 r.;
W uzasadnieniu strona skarżąca podkreśliła, że Fundacja kwestionując legalność przeniesienia majątku na Stowarzyszenie, wielokrotnie wzywała odwołanych członków Zarządu oraz zarządzane przez nich Stowarzyszenie do wydania całości dokumentacji Fundacji. Dopiero na skutek zabezpieczenia udzielonego przez Sąd Okręgowy
w [...] Wydział [...] postanowieniem z dnia [...] sierpnia 2020 r., sygn. [...] i wobec dalszej odmowy wydania dokumentacji przez władające nią podmioty, Fundacja złożyła w dniu 11 września 2020 roku wniosek o odebranie jej dokumentacji przez komornika sądowego. W rezultacie Fundacja uzyskała dostęp do części swojej dokumentacji. Stąd, co najmniej od [...] maja 2019 r. tj. odwołania poprzednich członków Zarządu Fundacja nie miała dostępu do swojego majątku, siedziby oraz dokumentacji,
o czym poinformowała Organ w swoich pismach. Oznacza to, że Skarżąca nigdy nie otrzymała formularza z zamówieniem E. S. ponieważ, jak wynika z akt sprawy, zamówienie zostało złożone w lipcu 2019 r. - po przeniesieniu majątku Fundacji na Stowarzyszenie - Fundacja nigdy nie była więc administratorem danych E. S. .
Od opisanej na wstępie niniejszego uzasadnienia decyzji, skargę do tut. Sądu wywiodła także E. S. skupiając się na twierdzeniu, iż nigdy nie zamawiała w Stowarzyszeniu i Fundacji wspomnianej książki.
W odpowiedzi na skargę organ wniósł o jej oddalenie.
Skarżąca Fundacja wraz z pismem procesowym z dnia [...] maja 2022 r. przesłała do Sądu dokumentację obrazującą materię przekazywania Stowarzyszeniu majątku Fundacji, oraz obrazującą starania Fundacji do odzyskania dostępu do własnej dokumentacji.
Na rozprawie w dniu 27 maja 2022 r. zarządzono w trybie art.111 § 2 P.p.s.a. połączenie do wspólnego rozpoznania i rozstrzygnięcia spraw toczących się z obydwu w/w skarg o sygn. akt II SA/Wa 3852/21 i II SA/Wa 3853/21 i dalsze prowadzenie postępowania pod sygn. akt II SAWa 3852/21.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
zgodnie z treścią przepisu art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. z 2021 r. poz. 137 ze zm.) Sąd Administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem skarżonej decyzji administracyjnej. Jest więc to kontrola legalności rozstrzygnięcia zapadłego w postępowaniu administracyjnym, z punktu widzenia jego zgodności z prawem materialnym i procesowym. Oceniając przedmiotową decyzję według powyższych kryteriów, uznać należy, iż w punktach 3 i 4 powinna zostać wyeliminowana z obrotu prawnego jako wadliwa.
Istota sprawy w niniejszym postępowaniu sprowadzała się do oceny tego, czy organ prowadząc postępowanie, ustalił kluczową dla niego kwestię tego, czy Fundacja której udzielił upomnienia, była administratorem danych osobowych E. S.. W badanym postępowaniu kwestia ta musi być ustalona w sposób nie budzący żadnych wątpliwości. Naruszenie przepisów RODO w odniesieniu do konkretnych danych, możliwe jest przecież wyłącznie przez faktycznego administratora tych danych. Oczywistym przecież jest, że podmiot nie dysponując konkretnymi danymi osobowymi, nie przetwarza ich, a zatem nie może być uznany za tego, który nimi administruje i to do tego w sposób niezgodny z przepisami prawa.
Przenosząc powyższe na realia faktyczne niniejszej sprawy uznać należało, iż organ nie podołał ciążącemu na nim obowiązkowi udowodnienia tego, że Fundacja jest (lub była) administratorem danych osobowych E. S.. Odnośnie tej materii organ nie powołał bowiem żadnych dowodów. Przyjął jedynie takie domniemanie na podstawie treści klauzuli informacyjnej znajdującej się na zamówieniu złożonym przez E. S.. Pomimo zaś tego, że powyższe domniemanie Fundacja starała się obalić, oświadczając że nie posiada danych takiej osoby, oraz że z uwagi na zajęcie siedziby Fundacji przez Stowarzyszenie, nie ma dostępu do całości swojej dokumentacji, Prezes UODO nie podjął żadnych kroków w celu wyjaśnienia powyższych wątpliwości. Powyższe świadczy więc o tym, że organ nie ustalił stanu faktycznego sprawy dotyczącego skarżącej Fundacji. W konsekwencji tego, założenie przyjęte przez organ, iż Fundacja jest administratorem danych osobowych E. S. i że Fundacja przetwarza te dane z naruszeniem przepisów RODO, jawi się jako przedwczesne.
Ponownie rozpoznając sprawę w zakresie materii objętej punktem 3 i 4 decyzji organ będzie więc zobowiązany do tego, aby w sposób wyczerpujący ustalić stan faktyczny sprawy i wyjaśnić, czy Fundacja była lub jest, administratorem danych osobowych E. S..
Dodatkowo, odnosząc się do argumentacji przedstawionej w odpowiedzi na skargę, wyjaśnić należało organowi, że przepisy K.p.a. nie wprowadziły instytucji prekluzji dowodowej jak przepisy np. K.p.c. Podniesienie więc w skardze przez Fundację konkretnych zarzutów i oparcie ich na dowodach wcześniej nie ujawnionych nie sprawia tego, by dowody te nie miały znaczenia w sprawie i nie powinny być przeanalizowane przy ponownym rozpoznawaniu sprawy. Taka okoliczność świadczy wyłącznie o tym, że w odniesieniu do owych nowych dowodów nie sposób zarzucać organowi naruszenia przepisów postępowania polegającego na nieodniesieniu się do nich. Nie zwalnia to jednak organu z obowiązku ich oceny przy ponownym rozpoznawaniu sprawy. Nie zmienia także konkluzji, iż stan faktyczny ustalony przez organ nie miał charakteru wyczerpującego, gdyż kwestię braku dostępu do swojej dokumentacji Fundacja podnosiła w trakcie trwania postępowania administracyjnego. Do tej materii organ nie doniósł się zaś procesowo i nie starał się nawet zweryfikować poprzestając jedynie na ogólnikowym i oderwanym od twierdzeń Fundacji wniosku, iż winna ona dostosować organizację pracy do obowiązków.
W związku z powyższym, uznając że punkty 3 i 4 skarżonej decyzji naruszają prawo, Wojewódzki Sąd Administracyjny w Warszawie orzekł jak w pkt. 1 wyroku na podstawie art. 145 § 1 pkt 1c ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2022 r., poz. 329 ze zm.), oraz zasądził zwrot kosztów postępowania na rzecz Fundacji działając w trybie art. 200 ustawy Prawo o postępowaniu przed sądami administracyjnymi.
Co zaś się tyczy skargi E. S., to tut. Sąd nie podzielił zarzutów w niej zwartych. W aktach administracyjnych znajduje się bowiem oryginał zamówienia, jakie E. S. złożyła listownie na książkę pt. "[...]". Na powyższym zamówieniu znajdował się odręczny podpis E. S.. Znajdowała się tam także informacja o tym, przez jakie podmioty są przetwarzane dane osoby składającej zamówienie, oraz informacja o tym, że osoba która nie wyraża zgody na przetwarzanie jej danych osobowych, winna poinformować o tym pisemnie wskazane podmioty. W sytuacji więc, gdy E. S. nie udowodniła przed organem tego, by wraz z zamówieniem przesłała do wskazanych podmiotów oświadczenie o braku zgody na przetwarzanie jej danych osobowych, organ miał wszelkie podstawy do tego, aby przyjąć, że podmioty te dysponowały zgodą E. S. na przetwarzanie jej danych osobowych.
Odnosząc się zaś do uwag E. S. zawartych w jej skardze, iż nie składała spornego zamówienia, to wyjaśnić należało, że jeśli podważa prawdziwość podpisu widniejącego na zamówieniu, ma możliwość zawiadomienia stosownych organów ścigania o podejrzeniu popełnienia przestępstwa polegającego na podrobieniu jej podpisu. Prezes UODO nie posiadając uprawnień śledczych, nie może bowiem samodzielnie badać tej problematyki, gdyż przekroczyłby tym samym zakres swoich uprawnień ustawowych.
W związku z powyższym, uznając skargę E. S. za niezasadną, Wojewódzki Sąd Administracyjny w Warszawie orzekł jak w pkt. 2 wyroku na podstawie art. 151 ustawy Prawo o postępowaniu przed sądami administracyjnymi.