II SA/Wa 3920/21

II SA/Wa 3920/21 - Wyrok WSA w Warszawie
Data orzeczenia
2022-07-05
orzeczenie prawomocne
Data wpływu
2021-11-26
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Danuta Kania /przewodniczący sprawozdawca/
Michał Sułkowski
Waldemar Śledzik
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
III OSK 2816/22 - Wyrok NSA z 2024-01-19
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2021 poz 735
art. 7 art. 77 par. 1 art. 80
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego - tekst jedn.
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Danuta Kania (spr.), Sędzia WSA Waldemar Śledzik, Asesor WSA Michał Sułkowski, po rozpoznaniu w trybie uproszczonym w dniu 5 lipca 2022 r. sprawy ze skargi Spółdzielni Mieszkaniowej w [...] z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] września 2021 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Decyzją nr [...] z dnia [...] września 2021 r. Prezes Urzędu Ochrony Danych Osobowych (dalej: "Prezes UODO", "organ"), działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256 ze zm.), dalej: "k.p.a.", oraz art. 58 ust. 2, art. 6 ust. 1, art. 5 ust. 1 lit. b i c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z dnia 4 maja 2016, s. 1 oraz Dz. Urz. UE L 127 z dnia 23 maja 2018, s. 2), dalej: "ogólne rozporządzenie o ochronie danych", udzielił upomnienia Spółdzielni Mieszkaniowej w [...] z siedzibą w [...] (dalej: "Spółdzielnia", "skarżąca") za naruszenie art. 6 ust. 1 w zw. z art 5 ust. 1 lit. b i c ogólnego rozporządzenia o ochronie danych polegające na udostępnieniu danych osobowych W. R. (dalej: "strona", "uczestnik postępowania") w zakresie imienia, nazwiska i adresu zamieszkania Wojewódzkiemu Szpitalowi Specjalistycznemu im. [...] z siedzibą w [...] (dalej: "Szpital") bez podstawy prawnej (punkt 1), w pozostałym zakresie odmówił uwzględnienia wniosku (punkt 2).
W uzasadnieniu decyzji organ wskazał, że do Urzędu Ochrony Danych Osobowych wpłynęła skarga W. R. na udostępnienie przez Spółdzielnię jego danych osobowych w zakresie imienia, nazwiska i adresu zamieszkania Wojewódzkiemu Szpitalowi Specjalistycznemu im. [...] w [...] oraz niespełnienie wobec niego żądania usunięcia jego danych osobowych w zakresie imienia, nazwiska, adresu zamieszkania oraz numeru telefonu.
Organ ustalił, że strona jest członkiem Spółdzielni Mieszkaniowej w [...]. Przysługuje jej prawo własności lokalu mieszkalnego znajdującego się na terenie zarządzanym przez Spółdzielnię. Strona jest zatrudniona w ww. Wojewódzkim Szpitalu Specjalistycznym w [...].
Strona prowadziła ze Spółdzielnią korespondencję na temat rozliczeń finansowych oraz uchwał podjętych przez Radę Nadzorczą Spółdzielni posługując się służbowym adresem e-mail. W związku z tą korespondencją Spółdzielnia pozyskała dane osobowe strony w zakresie imienia, nazwiska i adresu zamieszkania.
Pismem z dnia [...] października 2019 r. Spółdzielnia udzieliła stronie odpowiedzi na pismo z dnia [...] października 2019 r. przesyłając je również do wiadomości pracodawcy strony - Wojewódzkiego Szpitala Specjalistycznego w [...]. Spółdzielnia wyjaśniła, że powodem skierowania ww. pisma do Szpitala było wykorzystanie przez stronę służbowego adresu e-mail dla celów niezwiązanych z obowiązkami służbowymi.
Strona pismem z dnia [...] listopada 2019 r. skierowanym do Prezesa Zarządu Spółdzielni zwróciła się z żądaniem zaprzestania przetwarzania jej danych osobowych. Pismem z dnia [...] października 2020 r. Spółdzielnia odmówiła spełnienia żądania strony powołując się na art. 4 ustawy z dnia 15 grudnia 2000 r. o spółdzielniach mieszkaniowych (Dz. U. z 2021 r. poz. 1208) oraz art. 30 ustawy z dnia 16 września 1982 r. Prawo spółdzielcze (Dz. U. z 2021 r. poz. 648) w związku z § 8a ust. 1 Statutu Spółdzielni.
Uwzględniając powyższe Prezes UODO stwierdził, że dane osobowe muszą być przetwarzane zgodnie z prawem. Oznacza to, że administrator, przetwarzając dane osobowe, musi legitymować się przynajmniej jedną z przesłanek określonych w art. 6 ust. 1 ogólnego rozporządzenia o ochronie danych. Dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami, a także adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, w których są przetwarzane (art. 5 ust. 1 lit. b i c ww. rozporządzenia).
W stanie faktycznym niniejszej sprawy Spółdzielnia udostępniając dane osobowe strony ww. Szpitalowi wykroczyła poza cel, w którym pozyskała jej dane osobowe, tj. udzielenie odpowiedzi na pismo dotyczące spraw majątkowych Spółdzielni. W wyjaśnieniach złożonych przed Prezesem UODO z dnia [...] października 2020 r. Spółdzielnia nie wskazała podstawy prawnej udostępnienia danych osobowych strony jej pracodawcy. Spółdzielnia wyjaśniła jedynie, że powodem ich udostępnienia Szpitalowi było "wykorzystanie przez skarżącego służbowego adresu e-mail dla celów nie związanych z obowiązkami służbowymi" co nie mieści się w realizacji pierwotnego celu przetwarzania, a ponadto działanie to nie było niezbędne dla udzielenia odpowiedzi stronie. Oznacza to, że Spółdzielnia naruszyła art. 5 ust. 1 lit. b i c ogólnego rozporządzenia o ochronie danych.
Udostępnienie danych osobowych strony Szpitalowi nastąpiło bez podstawy prawnej, bowiem Spółdzielnia nie wykazała spełnienia żadnej z przesłanek określonych w art. 6 ust. 1 ww. rozporządzenia. Jednocześnie żaden szczegółowy przepis prawa nie uprawniał Spółdzielni do udostępnienia danych osobowych strony na rzecz Szpitala.
W związku z powyższym Prezes UODO uznał za zasadne skorzystanie z instrumentu o charakterze naprawczym przewidzianego w art. 58 ust. 2 lit. b ww. rozporządzenia i skierowanie do Spółdzielni upomnienia za udostępnienie danych osobowych strony w zakresie imienia, nazwiska i adresu zamieszkania Szpitalowi bez podstawy prawnej, tj. z naruszeniem art. 6 ust. 1 ww. rozporządzenia.
Odnosząc się do kwestii niespełnienia przez Spółdzielnię wobec strony żądania usunięcia jej danych osobowych w zakresie imienia, nazwiska, adresu zamieszkania oraz numeru telefonu (art. 17 ust. 1 ogólnego rozporządzenia o ochronie danych) organ wskazał, że zgodnie z poczynionymi ustaleniami strona jest członkiem Spółdzielni Mieszkaniowej w [...]. Stronie przysługuje prawo własności lokalu mieszkalnego znajdującego się na terenie zarządzanym przez Spółdzielnię. Zarząd Spółdzielni, na podstawie art. 30 ustawy Prawo spółdzielcze, jest zobowiązany do prowadzenia rejestru członków Spółdzielni zawierającego ich imiona i nazwiska oraz miejsce zamieszkania, wysokość zadeklarowanych i wniesionych udziałów, wysokość wniesionych wkładów, ich rodzaj, jeżeli są to wkłady niepieniężne, zmiany tych danych, datę przyjęcia w poczet członków, datę wypowiedzenia członkostwa i jego ustania, a także inne dane przewidziane w statucie Spółdzielni. Zgodnie zaś z art. 4 ust. 2 ustawy o spółdzielniach mieszkaniowych członkowie Spółdzielni będący właścicielami lokali są obowiązani uczestniczyć w pokrywaniu kosztów związanych z eksploatacją i utrzymaniem ich lokali, eksploatacją i utrzymaniem nieruchomości wspólnych, eksploatacją i utrzymaniem nieruchomości stanowiących mienie spółdzielni przez uiszczanie opłat zgodnie z postanowieniami statutu. Stosownie do art. 41 ww. ustawy zarząd spółdzielni prowadzi odrębnie dla każdej nieruchomości: ewidencję i rozliczenie przychodów i kosztów (art. 41 pkt 1) oraz ewidencję i rozliczenie wpływów i wydatków funduszu remontowego (art. 41 pkt 1).
Z powyższego wynika, że przetwarzanie przez Spółdzielnię danych osobowych strony jako członka Spółdzielni znajduje oparcie w przesłance określonej w art. 6 ust. 1 lit. c ogólnego rozporządzenia o ochronie danych w związku z art. 30 ustawy Prawo spółdzielcze oraz art. 4 ust. 2 i art. 41 o spółdzielniach mieszkaniowych. Przetwarzanie danych jest bowiem niezbędne do wypełnienia obowiązków prawnych ciążących na Spółdzielni. Organ zatem nie stwierdził w powyższym zakresie nieprawidłowości w działaniu Spółdzielni, a w konsekwencji nie stwierdził podstaw do podjęcia działań naprawczych na mocy art. 58 ust. 2 ww. rozporządzenia zmierzających do przywrócenia stanu zgodnego z prawem.
Końcowo, odnosząc się do żądania strony nakazania Spółdzielni "dopełnienia obowiązku informacyjnego poprzez pisemne przeprosiny na łamach lokalnej gazety [...]", organ wskazał, że w powyższym zakresie właściwy jest sąd powszechny. Sprawa ta jest bowiem sprawą cywilną w rozumieniu art. 1 ustawy z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego (Dz. U. z 2020 r. poz. 1575 ze zm.).
Pismem z dnia 19 października 2021 r. Spółdzielnia Mieszkaniowa w [...] wniosła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na powyższą decyzję Prezesa UODO z dnia [...] września 2021 r. w zakresie punktu 1 decyzji zarzucając naruszenie:
1) art. 6 ust. 1 w związku z art. 4 pkt 2 ogólnego rozporządzenia o ochronie danych poprzez ich błędną wykładnię i przyjęcie, że Spółdzielnia przetworzyła w sposób niezgodny z prawem dane osobowe W. R. w postaci imienia nazwiska oraz adresu zamieszkania i przekazała Wojewódzkiemu Szpitalowi Specjalistycznemu w [...], podczas gdy w sprawie nie doszło do ujawnienia ww. danych osobowych poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, ponieważ Szpital - jako pracodawca uczestnika postępowania - jest w posiadaniu jego danych osobowych obejmujących imię, nazwisko oraz miejsce zamieszkania, co wynika m. in. z przepisu art. 221 § 1 i 3 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy,
2) art. 7, art. 77 § 1 i art. 80 k.p.a. poprzez dokonanie dowolnej i wybiórczej oceny okoliczności niniejszej sprawy, niewzięcie pod uwagę, że Szpital - jako pracodawca uczestnika postępowania - był administratorem jego danych osobowych w zakresie imienia, nazwiska i adresu zamieszkania oraz nierozważenie wpływu zachowania uczestnika postępowania (wykorzystania służbowego adresu e-mail, którym zarządzał jego pracodawca i administrator danych), na zawiadomienie pracodawcy o prowadzonej korespondencji,
3) art. 6 ust. 4 lit. b, c i d ogólnego rozporządzenia o ochronie danych poprzez niezastosowanie w sprawie i aprioryczne przyjęcie, że stwierdzone przetwarzanie danych było niezgodne z celem, ponieważ nie mieści się w realizacji pierwotnego celu przetwarzania, podczas gdy zgodnie z art. 6 ust. 4 lit. b, c i d ww. rozporządzenia jeżeli przetwarzanie w celu innym niż cel, w którym dane osobowe zostały zebrane, nie odbywa się na podstawie zgody osoby, której dane dotyczą, ani prawa Unii lub prawa państwa członkowskiego stanowiących w demokratycznym społeczeństwie niezbędny i proporcjonalny środek służący zagwarantowaniu celów, to ustalając czy przetwarzanie w innym celu jest zgodne z celem, w którym dane osobowe zostały pierwotnie zebrane - bierze się pod uwagę między innymi: kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane dotyczą, a administratorem; charakter danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych osobowych zgodnie z art. 9 lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych zgodnie z art. 10; ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą, a okoliczności te w przedmiotowej sprawie świadczą o celowości stwierdzonego, ewentualnego przetwarzania danych uczestnika postępowania w postaci jego imienia, nazwiska oraz adresu zamieszkania,
- art. 7 w związku z art. 8 § 1 k.p.a. poprzez pominięcie i niewyjaśnienie wszystkich istotnych okoliczności sprawy odnoszących się do tego, czy przetwarzanie danych uczestnika postępowania w innym niż pierwotny celu było niezgodne z celem, w którym dane osobowe zostały zebrane,
- art. 11 w związku z art. 8 § 1 k.p.a. poprzez nieustosunkowanie się w zaskarżonej decyzji do stanowiska skarżącej przedstawionego w toku postępowania, w którym wskazała ona, iż przesłanie odpowiedzi na pismo uczestnika postępowania do wiadomości jego pracodawcy (co zostało potraktowane jako przetworzenie danych) było uzasadnione wykorzystaniem przez ww. służbowego adresu e-mail, przez co w sprawę pomiędzy skarżącą a uczestnikiem postępowania to sam uczestnik zaangażował swojego pracodawcę,
- art. 107 § 1 pkt 6 i § 3 k.p.a. poprzez lakoniczne uzasadnienie decyzji w zakresie rzekomo stwierdzonego naruszenia i zaniechanie odniesienia się w merytoryczny sposób do stanowiska skarżącej przedstawionego w toku postępowania, a tym samym niewyjaśnienie dlaczego okoliczności takie jak: posłużenie się przez uczestnika postępowania służbowym adresem e-mail i zaangażowanie w sprawę swojego pracodawcy; dysponowanie danymi osobowymi uczestnika postępowania przez Szpital obejmującymi imię, nazwisko oraz adres zamieszkania, nie wyłączają bezprawności przetwarzania danych osobowych.
Powyższe naruszenia, zdaniem skarżącej, miały istotny wpływ na wynik sprawy, bowiem doprowadziły do: błędnego ustalenia, że skarżąca niezgodnie z prawem przetworzyła dane osobowe uczestnika postępowania w zakresie jego imienia, nazwiska oraz adresu zamieszkania; niepełnej analizy wszystkich istotnych aspektów sprawy; niewyjaśnienia wszystkich okoliczności faktycznych i prawnych, które miały wpływ na treść rozstrzygnięcia oraz niewyczerpującego uzasadnienia decyzji, uniemożliwiającego kontrolę jej prawidłowości przez skarżącą.
W związku z powyższym strona skarżąca wniosła o: uchylenie zaskarżonej decyzji w zakresie punktu 1 oraz zasądzenie zwrotu kosztów postępowania sądowego według norm przepisanych.
W motywach skargi Spółdzielnia przedstawiła dodatkową argumentację na poparcie powyższych zarzutów podnosząc w szczególności, że inicjatorem prowadzenia korespondencji za pośrednictwem służbowej skrzynki e-mail był uczestnik postępowania i to on zaangażował w sprawę, przez swoje czynności faktyczne, swojego pracodawcę. Kontekst w jakim zaczęto operować danymi uczestnika postępowania w postaci jego imienia, nazwiska oraz miejsca zamieszkania wynikał z jego suwerennego i zamierzonego działania. W ten sposób uczestnik chciał podkreślić doniosłość swojego stanowiska prezentowanego w pismach kierowanych do Spółdzielni, korzystając z autorytetu instytucji w jakiej pracuje. Organ nie rozważył charakteru danych osobowych uczestnika postępowania, które zostały wskazane w piśmie Spółdzielni. Dane te znajdowały się w dyspozycji Szpitala, jako pracodawcy uczestnika postępowania. Nie były to szczególne kategorie danych osobowych w rozumieniu art. 9 ogólnego rozporządzenia o ochronie danych, ani dane osobowe, o których mowa w art. 10 tego rozporządzenia. Ponadto, przesłanie do wiadomości pracodawcy ww. danych osobowych uczestnika postępowania nie pociągało za sobą żadnych ewentualnych konsekwencji zamierzonego dalszego przetwarzania, ponieważ do dalszego przetwarzania nie mogło dojść.
W odpowiedzi na skargę Prezes UODO wniósł o oddalenie skargi podtrzymując stanowisko jak w uzasadnieniu zaskarżonej decyzji. Podniósł nadto, iż nie można podzielić stanowiska skarżącej, zgodnie z którym skoro Szpital był już w posiadaniu danych osobowych uczestnika postępowania, jako ich odrębny administrator, to skarżąca przekazując mu dane osobowe uczestnika nie przetwarzała tych danych, gdyż ich nie "ujawniła", bowiem były one już ww. podmiotowi znane. Powyższe świadczy o błędnym odczytaniu normy prawnej uregulowanej w art. 4 pkt 2 ogólnego rozporządzenia o ochronie danych. Udostępnienie danych osobowych należy rozumieć jako działanie administratora polegające na udzieleniu innemu podmiotowi dostępu do danych osobowych. Spółdzielnia, będąc administratorem danych osobowych uczestnika postępowania bezsprzecznie udostępniła te dane na rzecz Szpitala przesyłając do jego wiadomości pismo stanowiące odpowiedź na zapytania uczestnika dotyczące rozliczeń finansowych oraz uchwał podjętych przez Radę Nadzorczą Spółdzielni zawierające w treści dane osobowe uczestnika. Powyższego faktu nie zmienia to, że Szpital również mógł dysponować danymi osobowymi uczestnika - jako jego pracodawca i w związku z tym jako odrębny administrator danych. Każdy proces przetwarzania danych osobowych, w tym ich udostępnianie przez danego administratora, jest bowiem legalny tylko wówczas, gdy spełniona jest przynajmniej jedna z przesłanek z art. 6 ust. 1 ww. rozporządzenia. Skarżąca, jako administrator danych osobowych uczestnika, nie wykazała się natomiast żadną z przesłanek określonych w ww. przepisie udostępniając dane osobowe uczestnika Szpitalowi.
Zdaniem organu nieuzasadniony jest zarzut naruszenia art. 6 ust. 4 lit. b, c oraz d ogólnego rozporządzenia o ochronie danych. Na gruncie ww. przepisów prawa nie można przyjąć, że fakt wykorzystania przez uczestnika postępowania służbowego adresu e-mail dla celów korespondencji ze skarżącą spowodował dopuszczalność zmiany celu przetwarzania jego danych osobowych przez skarżącą i udostępnienia tych danych osobowych Szpitalowi. Żaden przepis prawa nie uprawniał skarżącej do udostępnienia danych osobowych uczestnika na rzecz ww. podmiotu.
Pismem procesowym z dnia 3 marca 2021 r. W. R. wniósł o: odrzucenie skargi Spółdzielni; nałożenie, oprócz upomnienia, kary pieniężnej dla członków Zarządu Spółdzielni; nakazanie Spółdzielni przeproszenie uczestnika postępowania na łamach [...].
W uzasadnieniu uczestnik postępowania zakwestionował stanowisko skarżącej, iż zaangażował w tę sprawę pracodawcę. Wskazał, iż aby taka sytuacja miała miejsce, pisma (wysłane e-maile) musiałyby zostać wygenerowane z oficjalnej strony pracodawcy, tj. [...] i podpisane przez osobę upoważnioną. Brak wymienionych przesłanek świadczy o tym, że pracodawca nie był zaangażowany w sprawę. Natomiast adres e-mail, którym się posłużył uczestnik postępowania ([...]) jest adresem do kontaktów wewnętrznych i jakiekolwiek pisma wychodzące z ww. adresu nie stanowią oficjalnych pism pracodawcy. Regulamin pracodawcy nie zakazuje posługiwania się ww. adresem także w celach prywatnych. Nie ma więc podstaw prawnych do stwierdzenia, że pracodawca został zaangażowany w sprawę, a działanie uczestnika postępowania nosiło znamiona naruszenia regulaminu.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. z 2021 r., poz. 137 ze zm.), dalej: "p.u.s.a." oraz art. 3 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2022 r., poz. 329 ze zm.), dalej: "p.p.s.a.", sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej.
W myśl art. 134 § 1 p.p.s.a., sąd rozstrzyga w granicach danej sprawy nie będąc związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną, z zastrzeżeniem art. 57a. Sąd nie może wydać orzeczenia na niekorzyść skarżącego, chyba że stwierdzi naruszenie prawa skutkujące stwierdzeniem nieważności zaskarżonego aktu lub czynności (§ 2).
Skarga oceniana w świetle powyższych kryteriów nie zasługuje na uwzględnienie, bowiem decyzja Prezesa UODO z dnia [...] września 2021 r. w zaskarżonej części (punkt 1 decyzji) nie narusza prawa.
Orzekając w powyższym zakresie Prezes UODO udzielił upomnienia Spółdzielni Mieszkaniowej w [...] za naruszenie art. 6 ust. 1 w związku z art. 5 ust. 1 lit. b i c ogólnego rozporządzenia o ochronie danych polegające na udostępnieniu danych osobowych W. R. w zakresie imienia, nazwiska i adresu zamieszkania Wojewódzkiemu Szpitalowi Specjalistycznemu w [...] bez podstawy prawnej.
Organ trafnie stwierdził, że w okolicznościach faktycznych sprawy działanie skarżącej polegające na przekazaniu informacji o sposobie załatwienia sprawy uczestnika postępowania pismem z dnia [...] października 2019 r. do wiadomości jego pracodawcy, tj. ww. Szpitala, stanowiło niezgodne z prawem przetwarzanie ww. danych osobowych uczestnika postępowania.
Zgodnie z art. 4 pkt 1 ogólnego rozporządzenia o ochronie danych dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Natomiast przetwarzanie danych osobowych, w myśl art. 4 pkt 2 ww. rozporządzenia, oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
W świetle ww. przepisu "udostępnienie" danych osobowych uczestnika postępowania, o którym mowa w zaskarżonej decyzji, mieści się w ustawowej definicji "przetwarzania" tychże danych.
Przetwarzanie danych osobowych uważa się za legalne, jeśli ich administrator spełni co najmniej jedną z przesłanek wskazanych w art. 6 ust. 1 ww. rozporządzenia, a mianowicie: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów, b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Udostępnienie danych osobowych uczestnika postępowania ww. Szpitalowi we wskazanym przez skarżącą celu, tj. poinformowania tego podmiotu o wykorzystaniu przez uczestnika służbowego adresu e-mail dla celów niezwiązanych z obowiązkami służbowymi, nie było uprawnione w świetle ww. przepisu. W przedstawionych okolicznościach sprawy nie zaistniała bowiem żadna z przesłanek legalizujących przetwarzanie ww. danych osobowych. Żaden przepis prawa nie uprawniał skarżącej do udostępnienia danych osobowych uczestnika postępowania na rzecz ww. Szpitala. Stanowisko organu, iż działanie skarżącej miało miejsce bez podstawy prawnej, a w konsekwencji stanowiło naruszenie art. 6 ust. 1 ogólnego rozporządzenia o ochronie danych, jest więc prawidłowe.
Zgodzić należy się również z organem, że udostępnienie danych osobowych uczestnika postępowania nie mieści się w realizacji pierwotnego celu przetwarzania jego danych osobowych przez skarżącą, tj. jako członka Spółdzielni na podstawie art. 6 ust. 1 lit. c ogólnego rozporządzenia o ochronie danych w związku z art. 30 ustawy Prawo spółdzielcze oraz art. 4 ust. 2 i art. 41 ustawy o spółdzielniach mieszkaniowych. Nie było bowiem niezbędne dla udzielenia odpowiedzi uczestnikowi postępowania na jego pytania związane ze sprawami finansowymi Spółdzielni. Tym samym działanie strony skarżącej skutkowało naruszeniem zasady wyrażonej w art. 5 ust. 1 lit. b i c ww. rozporządzenia, tj. celowości (związania celem) przetwarzania danych oraz adekwatności (minimalizacji danych).
Zgodnie z art. 5 ust. 1 lit. b ww. rozporządzenia dane osobowe powinny być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (...). Powołany przepis nakazuje więc w sposób jednoznaczny, aby dane osobowe nie były przetwarzane (wykorzystywane) w sposób niezgodny z celami pierwotnymi, tj. określonymi przy zbieraniu danych. Stosownie natomiast do art. 5 ust. 1 lit. c ww. rozporządzenia dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Przy czym adekwatność i stosowność oznacza konieczność zachowania odpowiednich proporcji zakresu danych do celów przetwarzania oraz przetwarzania tylko takich danych, które są potrzebne dla realizacji określonych celów.
W świetle powyższego brak jest podstaw do uwzględnienia zarzutów skargi. W sprawie nie doszło do naruszenia art. 6 ust. 1 w związku z art. 4 pkt 2 ogólnego rozporządzenia o ochronie danych.
Nie można zgodzić się ze stanowiskiem skarżącej, że w niniejszej sprawie nie miało miejsca udostępnienie danych osobowych uczestnika postępowania na rzecz Szpitala z tego powodu, że - jak wskazała skarżąca - "Wojewódzki Szpital Specjalistyczny (...) w [...], jako pracodawca Skarżącego, jest w posiadaniu jego danych osobowych obejmujących imię, nazwisko oraz miejsce zamieszkania". Okoliczność, czy Szpital posiadał już dane osobowe uczestnika postępowania, czy też nie, nie ma istotnego znaczenia dla oceny działania skarżącej. Nieuprawnione jest więc twierdzenie skarżącej, że skoro ww. podmiot był już w posiadaniu danych osobowych uczestnika postępowania, jako ich odrębny administrator, to skarżąca przekazując mu dane osobowe uczestnika postępowania nie przetwarzała tych danych, gdyż ich nie "ujawniła", bowiem były one już ww. podmiotowi znane. Fakt, iż pracodawca uczestnika postępowania jest administratorem jego danych osobowych jako pracownika, nie może konwalidować udostępnienia jego danych osobowych przez skarżącą. Pracodawca przetwarza bowiem dane osobowe pracownika w związku z nawiązanym z nim stosunkiem pracy, natomiast skarżąca pozyskała dane osobowe uczestnika postępowania w związku z jego zapytaniem jako członka Spółdzielni.
Wskazać również należy, że w przedmiotowej sprawie ocenie organu podlegał proces przetwarzania danych osobowych uczestnika postępowania przez skarżącą, nie zaś przez innych administratorów. Natomiast legalność procesu przetwarzania danych osobowych uczestnika postępowania przez skarżącą nie zależy od tego czy podmiot, któremu udostępniła ona dane uczestnika postępowania był już w ich posiadaniu, czy też nie. Zgodnie z art. 4 ust. 2 ogólnego rozporządzenia o ochronie danych udostępnienie danych osobowych należy rozumieć jako działanie administratora, polegające na udzieleniu innemu podmiotowi dostępu do danych osobowych. Spółdzielnia, będąc administratorem danych osobowych uczestnika postępowania, bezsprzecznie udostępniła te dane na rzecz Szpitala przesyłając do wiadomości tego podmiotu pismo stanowiące odpowiedź na zapytania uczestnika postępowania dotyczące rozliczeń finansowych oraz uchwał podjętych przez Radę Nadzorczą Spółdzielni zawierające w swej treści dane osobowe uczestnika. Powyższego faktu nie zmienia to, że Szpital mógł dysponować danymi osobowymi uczestnika - jako jego pracodawca i w związku z tym jako odrębny administrator danych. Każdy proces przetwarzania danych osobowych, w tym ich udostępnianie przez danego administratora, jest bowiem legalny tylko wówczas, gdy spełniona jest przynajmniej jedna z przesłanek z art. 6 ust. 1 ww. rozporządzenia. Spółdzielnia, jako administrator danych osobowych uczestnika postępowania, udostępniając jego dane osobowe na rzecz Szpitala, nie wykazała się żadną z przesłanek określonych w ww. przepisie.
Nieuzasadniony jest również zarzut naruszenia art. 6 ust. 4 lit. b, c i d ogólnego rozporządzenia o ochronie danych poprzez niezastosowanie przez organ ww. przepisów i aprioryczne przyjęcie, że stwierdzone przetwarzanie danych było niezgodne z celem, ponieważ nie mieści się w realizacji pierwotnego celu przetwarzania.
Zgodnie z art. 6 ust. 4 ww. rozporządzenia jeżeli przetwarzanie w celu innym niż cel, w którym dane osobowe zostały zebrane, nie odbywa się na podstawie zgody osoby, której dane dotyczą, ani prawa Unii lub prawa państwa członkowskiego stanowiących w demokratycznym społeczeństwie niezbędny i proporcjonalny środek służący zagwarantowaniu celów, o których mowa w art. 23 ust. 1 administrator – aby ustalić, czy przetwarzanie w innym celu jest zgodne z celem, w którym dane osobowe zostały pierwotnie zebrane - bierze pod uwagę między innymi: a) wszelkie związki między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania; b) kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane dotyczą, a administratorem; c) charakter danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych osobowych zgodnie z art. 9 lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych zgodnie z art. 10; d) ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą; e) istnienie odpowiednich zabezpieczeń, w tym ewentualnie szyfrowania lub pseudonimizacji.
Powołany wyżej przepis precyzuje, kiedy istnieje możliwość zmiany celu przetwarzania danych osobowych względem celu, w którym zostały one pierwotnie zebrane oraz przesądza, że zmiana celu przetwarzania może mieć swoją podstawę również w zgodzie osoby, której dane dotyczą, lub w przepisach prawa unijnego czy prawa państwa członkowskiego stanowiących środek służący realizacji określonych celów, do których należą m.in. bezpieczeństwo narodowe, obrona, bezpieczeństwo publiczne, zapobieganie przestępczości. Natomiast w sytuacjach, gdy ani zgoda podmiotu danych, ani przepis prawa unijnego lub krajowego nie dają możliwości zmiany celu przetwarzania danych względem celu pierwotnego, administrator danych winien zbadać czy istnieje zgodność między tym celem a celami dalszego przetwarzania.
Zatem to na administratorze danych spoczywa ww. obowiązek ustalenia w oparciu o ww. przesłanki, czy przetwarzanie w innym (nowym) celu jest zgodne z celem, w którym dane osobowe zostały pierwotnie zebrane. Z akt sprawy nie wynika, aby skarżąca poczyniła takie ustalenia w oparciu o ww. przesłanki z art. 6 ust. 4 lit. a - e ww. rozporządzenia.
Niezależnie od tego zgodzić należy się ze stanowiskiem organu zawartym w odpowiedzi na skargę, że w niniejszej sprawie, biorąc pod uwagę kontekst oraz okoliczności zebrania danych osobowych uczestnika postępowania przez skarżącą, nie można było w sposób rozsądny oczekiwać, że dane te zostaną udostępnione przez Spółdzielnię pracodawcy uczestnika postępowania, tj. Szpitalowi. Trafny jest również pogląd organu, iż na gruncie art. 6 ust. 4 ww. rozporządzenia brak jest podstaw do przyjęcia, że fakt wykorzystania przez uczestnika postępowania służbowego adresu e-mail dla celów korespondencji ze Spółdzielnią spowodował dopuszczalność zmiany celu przetwarzania jego danych osobowych przez Spółdzielnię i udostępnienia tych danych Szpitalowi.
Z tych względów za prawidłowe uznać należy stanowisko organu, iż Spółdzielnia udostępniając dane osobowe uczestnika postępowania na rzecz Szpitala wykroczyła poza cel, w którym pozyskała jego dane osobowe.
Nieuzasadnione są również zarzuty naruszenia przepisów postępowania administracyjnego, tj. art. 7, art. 77 § 1 i art. 80 k.p.a. Nie sposób zarzucić organowi, iż dokonał dowolnej i wybiórczej oceny zgromadzonego materiału dowodowego. Organ zebrał i rozpatrzył zgromadzony w sprawie materiał dowodowy, a w konsekwencji ustalił okoliczności faktyczne w zakresie adekwatnym do rozstrzygnięcia sprawy. Stanowisko organu odnośnie poczynionych ustaleń znajduje odzwierciedlenie w uzasadnieniu zaskarżonej decyzji, które odpowiada wymogom z art. 107 § 3 k.p.a. Przepis ten stanowi, że uzasadnienie faktyczne decyzji powinno w szczególności zawierać wskazanie faktów, które organ uznał za udowodnione, dowodów, na których się oparł, oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej, zaś uzasadnienie prawne - wyjaśnienie podstawy prawnej decyzji, z przytoczeniem przepisów prawa. Uzasadnienie zaskarżonej decyzji odpowiada powyższym wymogom.
Nie jest również trafny zarzut naruszenia art. 11 w związku z art. 8 § 1 k.p.a. W sprawie nie została naruszona zasada przekonywania, ani zasada zaufania uczestników postępowania do władzy publicznej. Organ wyjaśnił z jakich względów uznał, że udostępnienie danych osobowych uczestnika postępowania w okolicznościach sprawy nie znajduje uzasadnienia w żadnej spośród przesłanek legalizujących proces przetwarzania danych wymienionych w art. 6 ust. 1 ogólnego rozporządzenia o ochronie danych i nie mieści się w realizacji pierwotnego celu przetwarzania danych (art. 5 ust. 1 rozporządzenia). Przy czym zaznaczyć należy, że podnoszona w skardze kwestia "zaangażowania" pracodawcy przez uczestnika postępowania w sprawę pomiędzy Spółdzielnią a uczestnikiem nie mogła być przedmiotem oceny organu, bowiem nie dotyczy przedmiotu postępowania, którego zakres determinuje skarga inicjująca postępowanie.
Organ wyjaśnił również w sposób adekwatny z jakich względów uznał za zasadne skorzystanie z kompetencji naprawczych przewidzianych w art. 58 ust. 2 lit. b ww. ogólnego rozporządzenia o ochronie danych.
Końcowo odnosząc się do pisma procesowego uczestnika postępowania z dnia 3 marca 2021 r. Sąd stwierdza, iż nie miał podstaw do odrzucenia skargi, bowiem w sprawie nie zaistniała żadna z przesłanek określonych w art. 58 ust. 1 p.p.s.a. Natomiast żądania uczestnika postępowania dotyczące nałożenia kary pieniężnej na członków Zarządu Spółdzielni oraz przeproszenia uczestnika postępowania przez Spółdzielnię na łamach prasy wykraczają poza przedmiot skargi i nie znajdują prawnego uzasadnienia w ustawie Prawo o postępowaniu przed sądami administracyjnymi.
W tym stanie rzeczy Wojewódzki Sąd Administracyjny w Warszawie, uznając skargę za niezasadną, na podstawie art. 151 oraz art. 119 pkt 2 p.p.s.a., orzekł, jak w sentencji wyroku.