II SA/Wa 572/23

II SA/Wa 572/23 - Wyrok WSA w Warszawie
Data orzeczenia
2023-10-05
orzeczenie nieprawomocne
Data wpływu
2023-03-22
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Arkadiusz Koziarski /sprawozdawca/
Łukasz Krzycki
Tomasz Szmydt /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 1997 nr 78 poz 483
art. 54 ust. 1
Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. uchwalona przez Zgromadzenie  Narodowe w dniu 2 kwietnia 1997 r., przyjęta przez Naród w referendum konstytucyjnym w dniu  25 maja 1997 r., podpisana przez Prezydenta Rzeczypospolitej Polskiej w dniu 16 lipca 1997 r.
Dz.U.UE.L 2016 nr 119 poz 1 art. 4 pkt 1, art. 6 ust. 1 lit. f, art. 17
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Tomasz Szmydt, Sędzia WSA Łukasz Krzycki, Asesor WSA Arkadiusz Koziarski (spr.), , Protokolant referent stażysta Kinga Krysik, , po rozpoznaniu na rozprawie w dniu 5 października 2023 r. sprawy ze skargi W. sp. z o. o. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] stycznia 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych, dalej "PUODO", decyzją z dnia [...] stycznia 2023 r. nr [...], wydaną na podstawie art. 104 § 1 oraz ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2022 r. poz. 2000), dalej "k.p.a." w zw. z art. 7 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), art. 5 ust. 1 lit. c, art. 6 ust. 1 lit. f, art. 58 ust. 2 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016, str.1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej "RODO", po przeprowadzeniu postępowania administracyjnego w sprawie skargi A. P. na nieprawidłowości w procesie przetwarzania jej danych osobowych przez [...] Sp. z o.o., z siedzibą w G. (dalej "Spółka), polegające na ich pozyskaniu, a następnie udostępnieniu na portalu internetowym – [...] pl., nakazał Spółce, usunięcie danych osobowych A. P., w zakresie imienia, nazwiska, numeru telefonu komórkowego, numeru PWZ oraz numeru NIP z portalu internetowego – [...] pl.
W uzasadnieniu organ wyjaśnił, że do Urzędu wpłynęła skarga A. P. (dalej również "uczestniczka postępowania"), na nieprawidłowości w procesie przetwarzania danych osobowych skarżącej przez Spółkę, polegające na ich pozyskaniu, a następnie udostępnieniu na portalu internetowym – [...] pl.
PUODO wskazał, że ustalił następujący stan faktyczny:
W dniu [...] marca 2022 r. Spółka pozyskała z ogólnodostępnego Rejestru Praktyk Zawodowych [...], prowadzonego przez Centrum e-Zdrowie dane osobowe uczestniczki postępowania w zakresie imienia, nazwiska, nr telefonu komórkowego, nr PWZ, NIP oraz adresu siedziby działalności gospodarczej, prowadzonej przez skarżącą.
Spółka wyjaśniła, iż do chwili obecnej przetwarza na podstawie art. 6 ust. 1 lit. f RODO dane osobowe uczestniczki postępowania w zakresie imienia, nazwiska, numeru telefonu komórkowego, numeru PWZ oraz numeru NIP, w celu realizacji swojego prawnego interesu jakim była ich publikacja na ogólnodostępnym portalu internetowym [...].pl. Wspomniany portal udziela załogowanym do niego użytkownikom niezbędnych informacji między innymi o osobach fizycznych, prowadzących działalność gospodarczą związaną z medycyną.
Przed złożeniem skargi do PUODO uczestniczka postępowania pismami z [...] sierpnia 2022 r., [...] sierpnia 2022 r., [...] sierpnia 2022 r., [...] sierpnia 2022 r., [...] sierpnia 2022 r., [...] sierpnia 2022 r. oraz [...] września 2022 r., zwróciła się do Spółki z żądaniem usunięcia jej danych osobowych, zawartych na wskazanej w pkt. 2 stronie internetowej przez Spółkę. W związku z otrzymaną [...] sierpnia 2022 r. odmową ustosunkowania się do jej ww. żądania, Skarżąca [...] września 2022 r. wniosła do Spółki sprzeciw wobec dalszego przetwarzania jej danych osobowych na portalu internetowym [...].pl.
Spółka zapoznała się ze wskazanymi w pkt. 3 pismami uczestniczki postępowania, a następnie przeprowadziła ponowną ocenę wyważenia swoich interesów oraz interesów skarżącej w zakresie pozyskania i dalszego przetwarzania jej danych na portalu internetowym [...].pl. W ocenie Spółki, nie wszystkie okoliczności wskazane przez uczestniczkę postępowania w treści ww. pism stanowią podstawę do usunięcia jej danych osobowych z portalu internetowego [...] pl. Ostatecznie Spółka uwzględniła wskazane w skardze okoliczności, dotyczące zgłoszenia na Policję zawiadomienia o popełnieniu przestępstwa wskazanego w art. 190a ustawy z dnia 6 czerwca 1997 r. Kodeks Kamy (Dz. U. z 2022 r. poz. 1138, z późn. zm.) wobec uczestniczki postępowania przez jednego z użytkowników ww. portalu internetowego. W związku ze wskazaną powyżej okoliczności Spółka usunęła dane A. P. w zakresie adresu siedziby prowadzonej przez nią działalności gospodarczej z portalu internetowego [...] pl.
Dalej PUODO wskazał, że w niniejszym postępowaniu Spółka bez wiedzy oraz zgody uczestniczki postępowania udostępniła na portalu internetowym [...].pl. dane, które pozwalają na bezpośrednią jej identyfikację jako przedsiębiorcy prowadzącego działalność gospodarczą, związaną z medycyną przez osoby trzecie, będące załogowanymi użytkownikami wskazanego powyżej portalu internetowego. Organ podniósł, że dane osób fizycznych, będących przedsiębiorcami, w tym informacje, które odnoszą się do prowadzonych przez nich działalności gospodarczych stanowią dane osobowe w rozumieniu RODO i są objęte zakresem stosowania jego przepisów.
PUODO wyjaśnił, że przepisy RODO określają obowiązki administratorów, do których należy przetwarzanie danych osobowych, z zachowaniem przesłanek, określonych w tym rozporządzeniu. Przepisem uprawniającym administratorów do przetwarzania danych osób fizycznych jest art. 6 ust. 1 RODO, zgodnie z którym przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna
z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Oznacza to, że przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych.
Organ zwrócił uwagę, że zgodnie z art. 6 ust. 1 lit. f RODO przetwarzanie danych jest zgodne z prawem w sytuacji, gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez osobę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą jest dzieckiem.
Następnie PUODO wskazał, że w celu legalizacji procesu przetwarzania
w oparciu o art. 6 ust. 1 lit. f RODO, w pierwszym etapie koniecznym jest kumulatywne spełnienie dwóch przesłanek, tj. istnienia po stronie administratora lub osoby trzeciej prawnie uzasadnionego interesu oraz niezbędności przetwarzania do realizacji celu wynikającego z powyższego interesu. W drugim etapie trzeba natomiast ocenić czy nie jest spełniona przesłanka o charakterze negatywnym w postaci występowania w danym stanie faktycznym interesów lub podstawowych praw lub wolności podmiotu danych, które mają charakter nadrzędny wobec prawnie uzasadnionych interesów administratora lub strony trzeciej (D. Lubasz, W. Chomiczewski [w:] RODO. Ogólnie rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, Warszawa 2018, art. 6.).
Organ podniósł, że ustanawiając omawianą przesłankę dopuszczalności przetwarzania danych, prawodawca unijny posłużył się zwrotem niedookreślonym "prawnie uzasadniony interes", nie definiując tego pojęcia. Jak przyjmuje się w doktrynie, prawnie uzasadniony interes nie powinien być rozumiany wąsko, jedynie jako interes wprost wynikający z przepisu prawa (przyznającego podmiotowi określone uprawnienie), należy interpretować go szerzej, jako różnego rodzaju interes, który znajduje swoje uzasadnienie w przepisach. Może być to zatem interes faktyczny, gospodarczy lub prawny, ale taki, który jest zgodny z prawem. Prawodawca unijny
w motywie 47 i 49, jako przykłady tego typu interesów wskazał: marketing bezpośredni, zapobieganie oszustwom, czy zapewnienie bezpieczeństwa usług oferowanych lub udostępnianych poprzez sieci i systemy. Następne konieczne jest wykazanie przez administratora, iż przetwarzanie jest niezbędne dla realizacji prawnie uzasadnionych interesów. Nie wystarczy zatem samo występowanie tych interesów, lecz dodatkowo ich urzeczywistnienie musi wymagać przetwarzania danych osobowych. Podobnie jak na gruncie art. 6 ust. 1 lit. b RODO, również tutaj musi występować bezpośredni związek pomiędzy realizacją prawnie uzasadnionego interesu a potrzebą przetwarzania danych osobowych (D. Lubasz, W. Chomiczewski [w:] RODO, Ogólne rozporządzenie o ochronie danych osobowych, Komentarz, red. E-Bielak-Jomaa, Warszawa 2018, art. 6.).
PUODO wskazał, że w złożonych wyjaśnieniach Spółka oświadczyła, że przetwarza dane osobowe uczestniczki postępowania w zakresie wymienionym w sentencji niniejszej decyzji administracyjnej w celu realizacji przez nią prawnie uzasadnionego interesu jakim jest ich publikacja na ogólnodostępnym portalu internetowym [...] pl. Organ stwierdził, że w niniejszym postępowaniu Spółka nie wykazała niezbędności (potrzeby) przetwarzania danych osobowych uczestniczki postępowania, zawartych na wskazanym powyżej portalu internetowym. Wskazany powyżej cel przetwarzania danych A. P. przez Spółkę ma bowiem charakter jednostronny oraz stanowi realne zagrożenie jej podstawowych praw i wolności.
Organ zwrócił uwagę, że Spółka publikując dane uczestniczki postępowania na portalu internetowym [...] pl. zapewnia załogowanym użytkownikom tego portalu swobodny dostęp do publikowania własnych komentarzy oraz dodawania ocen, odnoszących się do jakości świadczonych przez nią usług medycznych. Jednakże Spółka nie zapewniła uczestniczce postępowania możliwości ustosunkowania się (na tej samej zasadzie co osoba dodająca komentarz) na zamieszczone komentarze dotyczące jej osoby oraz oceny dotyczące jakości świadczonych przez nią usług medycznych użytkownikom wskazanego powyżej portalu internetowego. W ocenie organu, powyższa dysproporcja sił stanowi wysokie ryzyko naruszenia interesów oraz podstawowych praw i wolności uczestniczki postępowania. W tym stanie faktycznym interes uczestniczki postępowania jakim jest zapewnienie ochrony jej danych osobowych przez administratora (Spółki) znacznie przewyższa interes Spółki jakim była publikacja danych osobowych A. P. na portalu internetowym [...] pl.
Reasumując organ stwierdził, że w niniejszej sprawie Spółka nie legitymowała się żadną z przesłanek wymienionych w art. 5 ust. 1 oraz w art 6 ust. 1 RODO w zakresie pozyskania, a następnie udostępnienia danych osobowych uczestniczki postępowania osobom nieuprawnionym, będącym użytkownikami wskazanego powyżej portalu internetowego.
W tej sytuacji, zdaniem PUODO, zasadne jest skorzystanie z przysługującego organowi na mocy art. 58 ust. 2 lit. c RODO uprawnienia naprawczego, polegającego na nakazaniu Spółce usunięcia danych osobowych A. P. w zakresie wymienionym w sentencji niniejszej decyzji administracyjnej z portalu internetowego [...] pl.
Spółka wniosła na powyższą decyzję skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie
Zaskarżonej decyzji zarzuciła:
1. naruszenie przepisów postępowania mające istotny wpływ na wynik sprawy:
a) art. 34 ust. 1 i 2 ustawy o ochronie danych osobowych poprzez przekroczenie przez organ swojej właściwości i nakazanie usunięcia danych uczestniczki postępowania, stosując reżim przepisów o ochronie danych osobowych, w sytuacji gdy zarzuty osoby, której dane dotyczą nie dotyczą de facto nieprawidłowego przetwarzania a wyłącznie publikowania krytycznych opinii w serwisie internetowym - co jest materią regulowaną ustawą o świadczeniu usług drogą elektroniczną;
b) art. 7, art. 77 § 1 k.p.a. w zw. z art. 7 ustawy o ochronie danych osobowych 2 poprzez niewyczerpujące zebranie materiału dowodowego sprawy i nieustalenie, jakie są możliwości publikacji komentarzy na stronie https://[...].pl;
c) art. 80 k.p.a. w zw. z art. 7 ustawy o ochronie danych osobowych poprzez błędną ocenę materiału dowodowego sprawy i uznanie, że administrator błędnie wykonał test równowagi i nie wykazał niezbędności (potrzeby) przetwarzania;
d) art. 107 § 3 k.p.a. w zw. z art. 7 ustawy o ochronie danych osobowych poprzez niedoniesienie się w treści sporządzonego uzasadnienia do kwestii podnoszonych przez Spółkę, w tym do kwestii występowania negatywnej przesłanki do uwzględnienia żądania usunięcia danych gdy przetwarzanie to służy zapewnieniu wolności słowa i informacji (art. 17 ust. 3 RODO ), a także poprzez nieuzasadnienie choćby w minimalnym zakresie, z jakich względów organ uznał, że test równowagi przeprowadzony został nieprawidłowo i dlaczego przyjął, że prawo osoby której dane dotyczą są nadrzędne;
e) art. 8 k.p.a. w zw. z art. 7 ustawy o ochronie danych osobowych poprzez wybiórcze zebranie materiału dowodowego i ogólnikową jego analizę, co doprowadziło do uznania, że nadrzędny jest interes osoby której dane dotyczą, podczas gdy taka ocena organu nie została uzasadniona, a administrator nie jest w stanie z treści uzasadnienia wyprowadzić konstruktywnych wniosków, pozwalających uniknąć podobnych sytuacji w przyszłości.
2. błędne ustalenia stanu faktycznego wskutek ww. naruszeń przepisów postępowania i nieuprawnionego przyjęcia przez organ, że:
a) administrator nie zapewnił możliwości ustosunkowania się do ocen publikowanych na Portalu;
b) administrator błędnie wykonał tzw. test równowagi;
c) interes osoby, której dane dotyczą (bliżej niedookreślony) jest nadrzędny wobec interesu administratora;
3. naruszenie przepisów prawa materialnego:
a) art. 47 ust. 1 Konstytucji RP poprzez błędną wykładnię i przyjęcie, że publicznie dostępne dane o zawodzie zaufania publicznego, wykonywanego przez osobę której dane dotyczą, stanowią element sfery prywatności tej osoby i podlegają wzmożonej ochronie mimo że informacje te nie wchodzą w zakres prawa do prywatności;
b) art. 54 ust. 1 Konstytucji RP w zw. z art. 17 ust. 3 oraz art. 17 ust. 1 pkt c RODO poprzez ich niezastosowanie i pominięcie aspektu wolności słowa i swobody przepływu informacji w analizowanym procesie przetwarzania;
c) art. 6 ust. 1 lit f RODO poprzez błędną i wybiórczą wykładnię pojęcia "uzasadnionego interesu" oraz art. 5 ust. 1 lit b RODO poprzez błędną wykładnię pojęcia "celowości" przetwarzania.
Zdaniem Spółki skutkiem ww. naruszeń przez organ przepisów postępowania było dokonanie błędnych ustaleń stanu faktycznego i przyjęcie, że wystąpiły przesłanki do uwzględnienia sprzeciwu osoby, której dane dotyczą i żądania usunięcia jej danych. Spółka podniosła, że organ nie zastosował przepisów art. 17 ust. 1 pkt w zw. z art. 21 ust. 1 oraz art. 17 ust. 3 RODO w zakresie, w jakim traktują one o przesłankach do nieuwzględnienia sprzeciwu i żądania usunięcia danych, co w konsekwencji doprowadziło do nakazania ich usunięcia.
W oparciu o powyższe zarzuty Spółka wniosła o:
1. rozpoznanie skargi w trybie uproszczonym;
2. stwierdzenie nieważności decyzji w całości wobec wydania zaskarżonej decyzji z naruszeniem przepisów o właściwości (art. 156 § 1 pkt 1 k.p.a.);
3. uchylenie zaskarżonej decyzji w całości, z jednoczesnym wskazaniem sposobu załatwienia sprawy zgodnie, w razie nieuwzględnienia wniosku o stwierdzenie nieważności decyzji;
4. rozstrzygnięcie o kosztach, w tym kosztach zastępstwa radcy prawnego, według norm przepisanych.
W uzasadnieniu skargi Spółka podniosła, że zaskarżona decyzja, choć nie obejmuje zamieszczonych w serwisie opinii, to de facto prowadzi również do ich usunięcia. W ocenie Spółki, stanowi to o naruszeniu przez organ swoich kompetencji
i wkroczenie w sferę regulowaną przepisami o świadczeniu usług drogą elektroniczną. Zdaniem Spółki zaskarżona decyzja stanowi efekt wymieszania dwóch odrębnych reżimów - ochrony danych osobowych i nadzoru nad usługami świadczonymi elektronicznie, w tym ewentualną "moderacją" tych treści, ocena interesów A. P. odnosi się de facto do wyrażonych w serwisie negatywnych opinii, nie zaś do jej danych adresowych i kontaktowych.
W ocenie Spółki przepisy o ochronie danych osobowych nie powinny mieć zastosowania w przypadku usuwania negatywnych opinii, są to kwestie wystarczająco uregulowane w przepisach o świadczeniu usług drogą elektroniczną. Nakazując usunięcie danych A. P. organ zmierza do podejmowania czynności, regulowanych ustawą o usługach świadczonych drogą elektroniczną, bowiem same opinie, po usunięciu danych, staną się bezprzedmiotowe.
Dalej Spółka podniosła, że organ rozpoznając skargę uczestniczki postępowania poprzestał na twierdzeniach zawartych w pismach tej osoby i administratora oraz złożonych przez nich wyjaśnieniach. Organ zaniechał jednakże sprawdzenia, na jakich zasadach funkcjonuje portal, jakie są możliwości dodawania opinii lub komentowania opinii już zamieszczonych. Organ błędnie przyjął, że osoby, których dane są publikowane w serwisie, nie mają możliwości ustosunkowania się do zamieszczonych opinii, podczas gdy możliwość dodawania opinii pod własnym imieniem i nazwiskiem jest nieograniczona, zarówno dla pacjentów jak i świadczeniodawców.
Spółka podkreśliła, że owa rzekoma dysproporcja między prawem do zamieszczania opinii została przyjęta przez organ jako decydujący czynnik przemawiający za stwierdzeniem, że interesy A. P. są zagrożone. Wniosek taki był jednakże błędny ab initio, skoro oparty był na błędnym założeniu, że podmiot medyczny nie może publikować opinii na tych samych zasadach co pacjenci.
Ponadto Spółka zarzuciła, że organ błędnie ocenił także, że Spółka nie wykazała niezbędności przetwarzania dla osiągnięcia celu. Tymczasem Spółka prezentując swoje stanowisko opierała się na przeprowadzonych testach równowagi, jak również na powszechnie dostępnej wiedzy. Może prezentowane wypowiedzi były lakoniczne, jednakże Spółka przyjęła, że powszechnie znanym faktem (art. 77 § 4 k.p.a.) jest, że o atrakcyjności jakiejkolwiek strony internetowej świadczy ilość wejść, a opinie z kolei zapewniają, że wejścia takie będą następować i odwrotnie - brak opinii lub ich usuwanie powodować będzie, że wejść będzie mniej bo pacjenci uznają serwis za niewiarygodny. To spowoduje brak zainteresowania reklamodawców zamieszczaniem ofert w serwisie. Ponadto, organ przyjął, że decydujące znaczenie przy ocenie interesów administratora
i osoby, której dane dotyczą, nie ma możliwości logowania się w celu publikowania odpowiedzi na opinie w serwisie. Spółka nie zgodziła się z takim podejściem. W jej ocenie nie powinno mieć znaczenia czy możliwość zamieszczania opinii wymaga logowania czy nie, bowiem dla interesów obu stron nie ma różnicy czy komentarz wpisze osoba o anonimowym nicku (z konkretnym numerem IP) czy też osoba, która założyła konto na fikcyjne dane (o konkretnym numerze IP). Nie ma również znaczenia, czy osoba opiniowana ustosunkuje się do krytyki kontem indywidualnie logowanym czy po prostu podpisując się swoimi danymi.
Spółka zwróciła uwagę, że jedynym merytorycznym argumentem w uzasadnieniu zaskarżonej decyzji był argument o braku możliwości ustosunkowania się przez świadczeniobiorcę do opinii, co zostało powyżej zakwestionowane. Brak jest dalszej merytorycznej oceny przeprowadzonego testu, organ nie wskazał jakie prawa i wolności A. P. miałyby być zagrożone, nie wykazał również na czym polega realność tego zagrożenia. Nie wiadomo, z jakich względów organ przyjął ze brak publikacji w serwisie publicznie dostępnych danych (bo przecież wciąż są one ogólnodostępne w Rejestrze [...]) miałaby te zagrożenie zniwelować. Tym samym uzasadnienie zaskarżonej decyzji nie daje żadnej odpowiedzi co do tego, jakie konkretnie błędy popełnić miał skarżący przy przeprowadzaniu testu równowagi i na czym polega nadrzędność interesu jednostki nad interesem administratora.
Dalej Spółka podniosła, że nieprawidłowe są wnioski organu jakoby test równowagi nie był prawidłowo przeprowadzony. Spółka przeprowadziła taki test przed rozpoczęciem przetwarzania i po zgłoszeniu sprzeciwu przez A. P.
O przebiegu testu osoba ta została o tym poinformowana, podobnie jak i organ. Test równowagi jest dokumentem wewnętrznym administratora, nie jest konieczne przedkładanie takiego dokumentu osobie zgłaszającej żądania czy organowi - a przynajmniej nie bez konkretnego wezwania do jego przedłożenia. W ocenie Spółki, wystarczająca była zwięzła informacja o przebiegu i wynikach testu, również ze względu na wymogi przejrzystości i czytelności komunikacji. Organ mógł wezwać do przedłożenia dodatkowych wyjaśnień lub dokumentów, jeżeli uznawał je za niewystarczające. Zaniechanie w tym zakresie stanowi o brakach postępowania dowodowego, nie zaś o brakach w przeprowadzonym teście równowagi. Spółka przedstawił test równowagi zawierający, jej zdaniem, analizę stosunku między swoim interesem a prawami i wolnościami A. P.
Ponadto Spółka wskazała, że stoi na stanowisku, że w przypadku gdy żądania dotyczą negatywnych opinii wystarczające powinno być wskazanie w teście równowagi, że żądanie oparte na przepisach o ochronie danych osobowych jest nieuzasadnione, bowiem sama publikacja danych fizjoterapeuty w żaden sposób osobie tej nie szkodzi. Dopiero publikacja opinii - co jest regulowane przepisami o świadczeniu usług drogą elektroniczną, przewidującymi inne środki ochrony, w tym żądania ich usunięcia - może w pewnych okolicznościach wpływać na interesy tych osób. Nie należy jednakże stosować środków do ochrony danych osobowych ze skutkami związanymi z usługami świadczonymi drogą elektroniczną, skoro danych osobowych one nie zawierają.
W ocenie Spółki organ błędnie zinterpretował prawo do prywatności, o którym mowa w art. 47 ust. 1 Konstytucji RP. Organ (w sposób dorozumiany) przeciwstawia prawo to interesom Spółki w przetwarzaniu danych A. P., pomijając całkowicie fakt, że zakresem tego przetwarzania są objęte powszechnie i publicznie dostępne dane osoby świadczącej usługi fizjoterapeutyczne. Dane te znajdują się
w Rejestrze [...]. W ocenie Spółki prawo do prywatności nie obejmuje informacji dotyczących sfery publicznej czyjejś działalności, zwłaszcza działalności tak newralgicznej jak usługi medyczne i fizjoterapia dzieci. Czyni to bezprzedmiotowym dalsze wnioski organu, który uznał, że prawo to jest nadrzędne wobec interesu Spółki
i z tego względu naruszenie to miało istotny wpływ na kształt rozstrzygnięcia.
Zdaniem Spółki organ pominął również przy wydawaniu decyzji istotny aspekt, jakim jest prawo do wolności słowa i wyrażania i rozpowszechniania informacji (art. 54 ust. 1 Konstytucji RP). Przetwarzanie w serwisie opiera się na założeniu, że publikacji podlegają wpisy, których rozpowszechnianie jest realizacją prawa z art. 54 Konstytucji RP i zarówno sama Spółka jak i potencjalni świadczeniobiorcy są żywotnie zainteresowani opiniami innych osób przy wyborze specjalisty. Niestety, niekiedy opinie te są niekorzystne, jednakże jak wywodzono powyżej, każdy dysponuje różnymi środkami w celu obrony przed szkalowaniem, z żądaniem "ukrycia" opinii na czas trwania postępowania np. karnego lub cywilnego włącznie.
Spółka wskazała, że organ błędnie również zinterpretował i zastosował zasadę celowości przetwarzania, wskazując - jako nieprawidłowe - że cel przetwarzania danych ma w tym przypadku charakter jednostronny. Spółka podniosła, że cel przetwarzania administratora z istoty najczęściej jest jednostronny. Nie ma wymogu aby celowość przetwarzania występowała również po stronie podmiotu danych. Zgodnie z art. 5 ust. 1 lit b RODO zasada ograniczenia celu oznacza, że dane zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami. Spółka przetwarza dane A. P. właśnie w takim jednostronnym celu jakim jest stworzenie serwisu internetowego, zawierającego kompleksowe informacje na temat różnych podmiotów medycznych. Cel ten będzie mieć różne skutki dla administratora, ekonomiczno-gospodarczy jak i ogólnospołeczny, pozwalający na swobodny przepływ informacji i opinii. Nie można zatem Spółce zarzucić, że narusza zasadę celowości.
W odpowiedzi na skargę PUODO wniósł o jej oddalenie podtrzymując stanowisko wyrażone w zaskarżonej decyzji.
Dodatkowo wyjaśnił, że rozstrzygając sprawę oparł się na wyjaśnieniach oraz dowodach przekazanych przez A. P. oraz Spółkę. Organ zauważył, że Spółka dopiero na etapie postępowania sądowego wskazuje dodatkowe okoliczności do sprawy, które nie zostały przez nią podniesione na etapie postępowania administracyjnego prowadzonego przez organ. W związku z powyższym należy zwrócić uwagę, że Spółka nie może kwestionować ustalonego w tej sprawie faktycznego po wydaniu decyzji przez PUODO.
Organ nie zgodził się ze wskazanym w skardze stanowiskiem Spółki, zgodnie z którym: "nakazując usunięcie danych pani P. Organ zmierza do podejmowania czynności, regulowanych ustawą o usługach świadczonych drogą elektroniczną, bowiem same opinie, po usunięciu danych pani P. staną się bezprzedmiotowe". PUODO podniósł, że jako organ nadzorczy posiada uprawnienia naprawcze w zakresie prowadzenia postępowań administracyjnych. Jednym z tych uprawnień jest nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia (art. 58 ust 2 lit. c RODO). Organ wyjaśnił, ze miał na uwadze, wskazaną w skardze z [...] lutego 2023 r. kwestię, która dotyczy tego, że pozyskanie danych osobowych uczestniczki postępowania z ogólnodostępnego rejestru ogólnodostępnego Rejestru Praktyk Zawodowych [...], a następnie ich udostępnienie w portalu internetowym [...] pl miało na celu zapewnienie dostępu do informacji oraz możliwości dodawania komentarzy i ocen dotyczących jakości usług medycznych, świadczonych przez uczestniczkę postępowania osobom trzecim, będącym użytkownikami wskazanego powyżej portalu internetowego przez Spółkę oraz stanowiło uzasadnienie do przetwarzania danych osobowych na podstawie art. 18 ustawy z dnia 18 lipca 2022 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2020 r. poz. 344). Organ podkreślił jednak, że rodzaj prowadzonej działalności gospodarczej lub rodzaj świadczonych usług nie zwalnia z obowiązku przestrzegania przepisów RODO między innymi w zakresie udostępnienia danych osobowych na ogólnodostępnych portalach internetowych przez Spółkę.
Ponadto PUODO podniósł, że Spółka w skardze wskazuje, iż "powszechnie znanym faktem (art. 77 § 4 KPA) jest, że o atrakcyjności jakiejkolwiek strony internetowej świadczy ilość wejść, a opinie z kolei zapewniają, że wejścia takie będą następować. I odwrotnie - brak opinii lub ich usuwanie powodować będzie, że wejść będzie mniej bo pacjenci uznają Serwis za niewiarygodny. To spowoduje brak zainteresowania reklamodawców zamieszczaniem ofert w Serwisie". W ocenie PUODO wyżej wymienione stanowisko jest ingerencją w prawa osób prowadzących między innymi działalność gospodarczą związaną z medycyną poprzez autoryzację komentarzy przez Spółkę oraz nie stanowi powszechnie znanego faktu z urzędu dla organu właściwego do spraw ochrony danych osobowych.
Odnosząc się do zarzutu Spółki, polegającego na naruszeniu art. 54 ust. 1 Konstytucji RP w związku z art. 17 ust. 3 oraz art. 17 ust. 1 lit. c RODO poprzez ich niezastosowanie PUODO, wskazał, że zarzut ten jest nieuzasadniony i nie zasługuje na uwzględnienie. W ocenie organu wskazane w art. 54 ust. 1 Konstytucji RP prawo do wolności wypowiedzi i swobody przepływu informacji nie stanowi negatywnej przesłanki do odmowy usunięcia danych osobowych uczestniczki postępowania w portalu internetowego [...] pl przez Spółkę. Dane osób fizycznych, będących przedsiębiorcami, w tym dane, dotyczące prowadzonych przez nich działalności gospodarczych stanowią dane osobowe w rozumieniu art. 4 pkt 2 RODO i są objęte zakresem stosowania jego przepisów. Na administratorze (którym w tej sprawie jest Spółka) spoczywa obowiązek wykazania ich przetwarzania zgodnie z prawem. Organ zwrócił uwagę, że ustalony brak spełnienia przesłanki wymienionej w art. 6 ust. 1 lit. f RODO przez Spółkę czyni bezpodstawnym zarzut naruszenia art. 17 ust. 3 RODO.
W przepisach RODO nie zostały wymienione przesłanki legalności przetwarzania danych osobowych, które konstytuują zgodność z prawem przetwarzania danych osobowych, a tym samym możliwość stosowania wyjątków od obowiązku usunięcia danych osobowych przez administratora.
Na rozprawie w dniu [...] października 2023 r. A. P. wniosła
o oddalenie skargi. Uczestniczka postępowania podała, że próbowała na przedmiotowym portalu umieścić swoje komentarze i zostały one skasowane. Pojawił się tylko jeden pozytywny komentarz. Wyjaśniła, że jej pacjenci informowali ją, iż próbowali dodać pozytywne komentarze, lecz one nie pojawiały się. Wskazała, że była szykanowana przez pewną osobę (stalkerkę) i było to zgłaszane na Policję. Z tego też powodu nie chciała tworzyć konta z danymi i możliwością tworzenia komentarzy. Przypadkiem dowiedziała się o utworzeniu tego konta, na którym były negatywne opinie.
Pełnomocnik strony skarżącej podniosła z kolei, iż usuwane były opinie być może dlatego, że sporządzała je sama uczestniczka postępowania. Weryfikuje to informatyk poprzez adres IP.
Uczestniczka postępowania wskazała, że dwa komentarze umieściła sama, ponieważ chciała sprawdzić jak to działa. Co do pozostałych komentarzy pozytywnych, o ich umieszczeniu mówili jej pacjenci.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. z 2022 r., poz. 2492) oraz art. 3 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r. poz 1634, z późn. zm.), dalej "p.p.s.a.", sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej. Kontrola ta polega na ocenie zgodności zaskarżonego aktu z przepisami postępowania administracyjnego, a także prawidłowości zastosowania i wykładni norm prawa materialnego. Kontrola ta jest dokonywana według stanu faktycznego i prawnego obowiązującego w dacie wydania zaskarżonego aktu.
Rozpatrując skargę wedle powyższych kryteriów Sąd uznał, że nie zasługuje ona na uwzględnienie.
Podnieść należy że zgodnie z art. 5 ust. 1 lit a RODO dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.
Przetwarzanie danych osobowych uważa się za legalne, jeśli ich administrator spełni co najmniej jedną z przesłanek wskazanych w art. 6 ust. 1 tego aktu, a mianowicie: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów, b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Główna oś sporu w niniejszej sprawie dotyczy tego czy Spółka, która pozyskała dane osobowe uczestniczki postepowania z ogólnopolskiego Rejestru Praktyk Zawodowych [...] prowadzonego przez [...], uprawniona była do ich przetwarzania na prowadzonym przez nią portalu [...] pl
w oparciu o przesłankę wskazaną w art. 6 ust. 1 lit f RODO. Ten cel w toku postępowania przed organem Spółka określiła jako publikacja danych
w ogólnodostępnym portalu internetowym.
Na wstępie należy wyjaśnić, że tworzenie rejestrów publicznych regulowane jest odpowiednimi aktami prawnymi, które stanowią podstawę do przetwarzania danych
w zakresie w nich wskazanym. Rejestry takie tworzone są przez uprawnione organy państwowe, z których to rejestrów mogą korzystać inne podmioty. Rejestr Praktyk Zawodowych [...] jest częścią Rejestru Podmiotów Wykonujących Działalność Leczniczą (RPWDL), który jest elektronicznym rejestrem prowadzonym zgodnie z ustawą z dnia 15 kwietnia 2011 r. o działalności leczniczej (Dz.U. z 2023 r. poz. 991, z późn. zm.). Zamieszczenie danych osobowych w tego rodzaju rejestrze nie oznacza jednak, że inne podmioty korzystając z danych osobowych zawartych w tych rejestrach są wolne od poszanowania praw osób, których dane taki rejestr zawiera, tylko z uwagi na fakt, że dane te zostały w takim rejestrze upublicznione. Ponadto, co istotne, tylko taki rejestr pełni zarówno funkcję informacyjną, jak też ochronną (po. Wyrok WSA w Warszawie z dnia 4 lutego 2019 r., z 29 stycznia 2014 r., sygn. akt II SA/Wa 1819/13 oraz z 2 sierpnia 2018 r., sygn. akt II SA/Wa 1997/17, orzeczenia.nsa.gov.pl).
Podkreślenia też wymaga, że prowadzony przez Spółkę portal [...] pl nie jest wyłącznie prostym powtórzeniem treści Rejestru Praktyk Zawodowych [...] prowadzonego przez [...]. Użytkownicy tego portalu mogą bowiem zamieszczać komentarze przy wpisach dotyczących poszczególnych fizjoterapeutów.
Zgodnie z art. 4 pkt 1 RODO "dane osobowe" to wszelkie informacje
o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizyczne.
Przepis art. 30 Konstytucji RP stanowi, że przyrodzona i niezbywalna godność człowieka stanowi źródło wolności i praw człowieka i obywatela. Jest ona nienaruszalna, a jej poszanowanie i ochrona jest obowiązkiem władz publicznych. Przepis art. 47 Konstytucji RP zapewnia każdemu prawo do ochrony prawnej życia prywatnego, rodzinnego, czci, a także dobrego imienia.
Z treści motywu 14 RODO wynika, że "ochrona zapewniana niniejszym rozporządzeniem powinna mieć zastosowanie do osób fizycznych - niezależnie od ich obywatelstwa czy miejsca zamieszkania - w związku z przetwarzaniem ich danych osobowych. Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej."
Z kolei motyw 26 RODO wskazuje, że "Zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. (...)".
W konsekwencji stwierdzić należy, że słusznie organ podnosi w odpowiedzi na skargę, iż dane osób fizycznych, będących przedsiębiorcami, w tym dane, dotyczące prowadzonej przez nich działalności gospodarczej stanowią dane osobowe
w rozumieniu art. 4 pkt 2 RODO i są objęte zakresem stosowania jego przepisów.
W konsekwencji stwierdzić też należy, że to na administratorze (którym w tej sprawie jest Spółka) spoczywał obowiązek wykazania przetwarzania danych osobowych uczestniczki postępowania zgodnie z prawem.
Spółka jako podstawę przetwarzania danych osobowych uczestniczki postępowania wskazała art. 6 ust. 1 lit f RODO, który to przepis stanowi, że przetwarzanie jest zgodne z prawem wyłącznie w przypadku, gdy - i w takim zakresie, w jakim przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
W doktrynie zauważa się, że pojęcie "prawnie uzasadnionego interesu" może być różnie rozumiane. Można przyjąć, że prawnie uzasadniony interes to interes wynikający (choćby pośrednio) z przepisów prawa, w sytuacji, gdy przepisy te nie regulują dopuszczalności przetwarzania danych, a jedynie wskazują jakiś interes (np. uprawnienie), do realizacji którego przetwarzanie danych jest potrzebne. Prawnie uzasadniony interes stanowi odpowiednik używanego wcześniej przez polskiego prawodawcę określenia prawnie usprawiedliwionego celu, i mimo pewnych wątpliwości należy przyjąć, że pojęcia te są równoważne (zob. P. Fajgielski, "Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II", Lex.).
Słusznie organ zauważa w zaskarżonej decyzji, że prawnie uzasadniony interes nie powinien być rozumiany wąsko, jedynie jako interes wprost wynikający z przepisu prawa (przyznającego podmiotowi określone uprawnienie). Pojęcie to należy interpretować szerzej, jako różnego rodzaju interes, który znajduje swoje uzasadnienie w przepisach. Może być to zatem interes faktyczny, gospodarczy lub prawny, ale taki, który jest zgodny z prawem. Prawodawca unijny w motywie 47 i 49 RODO, jako przykłady tego typu interesów wskazał: marketing bezpośredni, zapobieganie oszustwom, czy zapewnienie bezpieczeństwa usług oferowanych lub udostępnianych poprzez sieci i systemy.
W motywie 47 RODO wskazuje się, że "Podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach
z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć na przykład
w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu. Interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania."
Zdaniem Sądu w niniejszej sprawie Spółka nie legitymuje się tak rozumianym "prawnie uzasadnionym interesem". Spółka nie wykazała bowiem żeby między nią
a uczestniczką postępowania istniały jakiekolwiek powiązania. Uczestniczka postępowania nie jest klientem Spółki. Nie miała ona zatem żadnych rozsądnych przesłanek aby spodziewać się, że jej dane osobowe mogą być przetwarzane przez Spółkę.
Relacji łączących uczestniczkę postepowania ze Spółką nie można określić jako relacji usługodawca – usługobiorca wedle przepisów ustawy z dnia z dnia 18 lipca
2002 r. o świadczeniu usług drogą elektroniczną. W art. 18 ust. 1 tej ustawy wskazane są kategorie danych osobowych usługobiorcy, jakie usługodawca może przetwarzać w celu nawiązania, ukształtowania treści, zmiany lub rozwiązania stosunku prawnego między nimi. Zgodnie zaś z art. 2 pkt 7 tej ustawy "usługobiorcą" jest osoba fizyczna, osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej, która korzysta z usługi świadczonej drogą elektroniczną. W doktrynie podkreśla się, że definicja usługobiorcy na gruncie tego przepisu ma charakter funkcjonalny, ponieważ usługobiorcą będzie każdy podmiot faktycznie korzystający z usługi, bez względu na to, czy to on zawarł umowę dotyczącą świadczenia usług drogą elektroniczną (D. Lubasz (red.), M. Namysłowska (red.), Komentarz do ustawy o świadczeniu usług drogą elektroniczną, [w:] Świadczenie usług drogą elektroniczną oraz dostęp warunkowy. Komentarz do ustaw, Lex). Niemniej jednak uczestniczka postępowania w niniejszej sprawie nie korzysta z usług Spółki. Nie jest więc usługobiorcą usług świadczonych przez Spółkę.
Przypomnieć należy, że w toku postepowania przed organem Spółka wskazywała, że jej prawne usprawiedliwiony interes w przetwarzaniu danych osobowych uczestniczki postępowania polega na publikacji tych danych
w ogólnodostępnym portalu internetowym. Nawet gdyby przyjąć, że zachodzi tak rozumiany prawnie usprawiedliwiony interes, zauważyć należy, że Spółka nie wykazała, iż przetwarzanie danych osobowych uczestniczki postępowania jest "niezbędne" dla realizacji tego celu. Opublikowanie przez Spółkę danych osobowych uczestniczki choć jest zgodne z przedmiotem jej działalności gospodarczej, to jednak nie znajduje oparcia w ww. przesłance legalizującej przetwarzanie danych. Sam zaś "zgodność"
z przedmiotem prowadzonej przez dany podmiot działalności gospodarczej nie jest tożsama z "niezbędnością" przetwarzania danych osobowych w rozumieniu ww. przepisu (por. powołany już wyżej wyrok WSA w Warszawie z dnia 4 lutego 2019 r., sygn. akt II SA/Wa 1129/18, orzeczenia.nsa.gov.pl).
Na marginesie należy zauważyć, że w skardze Spółka wskazała także inny cel przetwarzania danych osobowych uczestniczki postępowania o stricte komercyjnym charakterze. Na stronie 4 skargi Spółka wskazuje bowiem, że "(...) Skarżący przyjął, że powszechnie znanym faktem (art. 77 § 4 KPA) jest, że o atrakcyjności jakiejkolwiek strony internetowej świadczy ilość wejść, a opinie z kolei zapewniają, że wejścia takie będą następować. I odwrotnie - brak opinii lub ich usuwanie powodować będzie, że wejść będzie mniej bo pacjenci uznają Serwis za niewiarygodny. To spowoduje brak zainteresowania reklamodawców zamieszczaniem ofert w Serwisie.". Tak określony cel przetwarzania danych osobowych uczestniczki postępowania nie mógł być przedmiotem oceny organu albowiem w toku postępowania Spółka okoliczności tej nie podnosiła. Słusznie organ zauważa w odpowiedzi na skargę, że kwestia ta mogła nie być mu znana z urzędu. Zdaniem Sądu nie jest to także fakt powszechnie znany.
Nie można podzielić stanowiska Spółki, że zarzuty uczestniczki postępowania zawarte w skardze do PUODO dotyczyły wyłącznie zamieszczonych na przedmiotowym portalu negatywnych opinii na jej temat. A. P. występując do PUODO wyraźnie wskazywała, że Spółka nielegalnie przetwarza jej dane osobowe. Podnosiła również kwestię negatywnych dla niej komentarzy, niemniej jednak organ rozstrzygał wyłącznie o przetwarzaniu jej danych osobowych w zakresie imienia i nazwiska, numeru telefonu komórkowego, numeru PWZ oraz numeru NIP. Organ rozstrzygał zatem w kwestiach podlegających regulacji RODO. Nie można zatem uznać, że organ, tak jak to określa Spółka, "wkroczył w sferę regulowaną przepisami o świadczeniu usług drogą elektroniczną". Przedmiotem oceny organu było wyłącznie, to czy przetwarzanie danych osobowych uczestniczki postępowania przez Spółkę następowało w zgodzie
z przepisami RODO.
Niezasadny jest postawiony w skardze zarzut naruszenie art. 54 ust. 1 Konstytucji RP w zw. z art. 17 ust. 3 oraz art. 17 ust. 1 lit c RODO. Jak słusznie podnosi organ w odpowiedzi na skargę prawo do wolności wypowiedzi i swobody przepływu informacji nie stanowi negatywnej przesłanki do odmowy usunięcia danych osobowych uczestniczki postepowania z portalu internetowego [....] pl przez Spółkę. Jak już wyżej podnoszono dane osób fizycznych, będących przedsiębiorcami, w tym dane, dotyczące prowadzonych przez nich działalności gospodarczych stanowią dane osobowe w rozumieniu art. 4 pkt 2 RODO i są objęte zakresem stosowania jego przepisów. Spółka jako administrator powinna wykazać, że przetwarzanie danych w tym przypadku następowało zgodnie z prawem. W sprawie organ ustalił, że Spółka nie spełniła przesłanki określonej w art. art. 6 ust. 1 lit. f RODO.
Art. 17 ust. 1 lit c RODO stanowi, że osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania. Zgodnie zaś z art. 17 ust. 3 lit a RODO ust. 1 i 2 nie mają zastosowania, w zakresie w jakim przetwarzanie jest niezbędne do korzystania z prawa do wolności wypowiedzi
i informacji.
Aby możliwe było zastosowanie art. 17 ust. 3 dalsze przetwarzanie danych osobowych musi być niezbędne do korzystania z prawa do wolności wypowiedzi
i informacji. Ponadto chodzi w tym przypadku przede wszystkim o zapobieżenie sytuacji, gdy żądanie usunięcia danych stanowiłoby ingerencję w wolność prasy
i prowadziłoby do usuwania danych z archiwów prasowych, a także swoistej cenzury represyjnej dotyczącej opublikowanych danych osobowych (zob. P. Fajgielski, "Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II", komentarz do art. 17, Lex.). Tego rodzaju sytuacje nie zachodziły zaś w niniejszej sprawie. Ponadto w art. 17 ust. 1 lit c, poprzez odesłanie do art. 21 ust. 1 i 2 RODO, dotyczy przetwarzania danych osobowych osoby, która wniosła sprzeciw, w sytuacji gdy dane osobowe tej osoby były przetwarzane na podstawie art. 6 ust. 1 lit. e) lub f) RODO lub na potrzeby marketingu bezpośredniego. Żadna z takich sytuacji nie wystąpiła w niniejszej sprawie. W konsekwencji w sprawie nie mógł mieć zastosowania art. 17 ust. 3 w zw. z art. 17 ust. 1 lit c RODO.
Zasadnicza konkluzja organu, iż Spółka nie legitymowała się żadną z przesłanek z art. 6 ust. 1 RODO uprawniającą ją do przetwarzania danych osobowych uczestniczki postępowania jest zatem prawidłowa, choć uzasadnienie zaskarżonej decyzji jest częściowo błędne. Organ skupił się bowiem na tym, że poprzez brak możliwości ustosunkowania się do zamieszczanych na portalu komentarzy "cel przetwarzania danych A. P. przez Spółkę ma charakter jednostronny oraz stanowi realne zagrożenie jej podstawowych praw i wolności". W skardze Spółka wykazała, że uczestniczka postępowania, jak każdy inny użytkownik portalu, ma możliwość zamieszczania komentarzy. Organ w tym zakresie nie dokonał wyczerpujących ustaleń. Kwestia ta nie była jednak kluczowa w niniejszej sprawie i w związku z tym uchybienie organu nie miało istotnego wpływu na wynik sprawy. Tak jak już podniesiono wyżej uczestniczka postępowania nie jest klientem Spółki, nie korzysta z jej usług i w związku z tym Spółka nie była uprawniona do przetwarzania jej danych osobowych. Prawidłowo organ ocenił, że interes uczestniczki postępowania, jakim jest zapewnienie ochrony jej danych osobowych przez Spółkę przewyższa interes Spółki, jakim była publikacja danych osobowych uczestniczki postępowania na portalu [...] pl.
Prawidłowo zatem organ zastosował przysługujące mu uprawnienia naprawcze
i nakazał Spółce spełnienia żądania uczestniczki postępowania w oparciu o art. 58 ust 2 lit. c RODO, tj. usunięcie jej danych osobowych w zakresie imienia i nazwiska, numeru telefonu komórkowego, numeru PWZ oraz numeru NIP.
Zaskarżona decyzja jest prawidłowa, a podniesione w skardze zarzuty nie zasługiwały na uwzględnienie.
W tym stanie rzeczy, Wojewódzki Sąd Administracyjny w Warszawie na podstawie art. 151 p.p.s.a., orzekł jak w sentencji wyroku