II SA/Wa 717/23

II SA/Wa 717/23 - Wyrok WSA w Warszawie
Data orzeczenia
2024-01-30
orzeczenie prawomocne
Data wpływu
2023-04-12
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Góraj /sprawozdawca/
Iwona Maciejuk
Tomasz Szmydt /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2023 poz 1634
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - t.j.
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Tomasz Szmydt, Sędzia WSA Iwona Maciejuk, Sędzia WSA Andrzej Góraj (spr.), Protokolant specjalista Joanna Głowala po rozpoznaniu na rozprawie w dniu 30 stycznia 2024 r. sprawy ze skargi M. J. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] stycznia 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę.
Uzasadnienie
Postępowanie w sprawie zainicjowała skarga M. J. skierowana do Prezesa Urzędu Ochrony Danych Osobowych na nieprawidłowości w procesie przewarzania jego danych osobowych przez W. S.A. polegające na udostępnieniu jego danych osobowych zawartych w zgłoszeniu z [...] czerwca 2020 r., dotyczącym nieprawidłowości w działaniu spółki i skierowanym do Przewodniczącego Rady Nadzorczej Spółki, osobom nieuprawnionym, w tym ówczesnym członkom zarządu Spółki.
Prowadząc postępowania organ ustalił, że skarżący dnia [...] czerwca 2020 r. wniósł ustnie wraz z L. Z. zgłoszenie naruszeń zawierające informacje o nieprawidłowościach w funkcjonowaniu Spółki (zwane dalej Zgłoszeniem) do Przewodniczącego jej Rady Nadzorczej - Pana J. P. L.. W dniu wniesienia ww. zgłoszenia skarżący był członkiem zarządu Spółki.
Organ ustalił także, iż Przewodniczący Rady Nadzorczej Spółki J. P. L. przekazał informację o w/w zgłoszeniu z [...] czerwca 2020 r. wraz z imieniem i nazwiskiem zgłaszającego, pozostałym członkom zarządu Spółki oraz pozostałym członkom rady nadzorczej. Powyższe działanie Spółka uzasadniła koniecznością wypełnienia dyspozycji art. 382 § 1 k.s.h. w celu umożliwienia podjęcia przez radę nadzorczą czynności nadzorczych oraz na podstawie art. 382 § 1 k.s.h. oraz art. 382 § 4 k.s.h. Wskutek otrzymanego zgłoszenia, Spółka (tj. zarząd Spółki) podjęła szereg czynności sprawdzających informacje zawarte w zgłoszeniu, w tym między innymi zdecydowała o przeprowadzeniu w Spółce audytu dotyczącego stosowania polityki antykorupcyjnej oraz przestrzegania procedur zakupowych. Audyt częściowo prowadzony był wewnętrznie przez wyznaczonych do tego pracowników, a częściowo przez kancelarię A.. Na potrzeby przeprowadzenia wywiadu ze skarżącym, Spółka na podstawie umowy o świadczeniu usług z [...] lipca 2020 r. z A., przekazała dane osobowe skarżącego obejmujące imię, nazwisko, służbowy adres e-mail, służbowy telefon.
Prezes Zarządu Spółki poinformował w formie elektronicznej pracowników Spółki o zmianach w zarządzie które dotyczyły skarżącego, ale przekazane przez Prezesa Spółki pracownikom informacje o zmianach w składzie zarządu nie zawierały żadnych informacji, które skarżący podał w zgłoszeniu oraz nie zawierały żadnych danych osobowych skarżącego, których pracownicy Spółki by nie znali choćby na podstawie danych członków zawartych w krajowym rejestrze sądowym.
Czyniąc ustalenia faktyczne organ podkreślił też, że skarżący w toku postępowania nie wykazał w sposób jednoznaczny i bezsporny, aby Spółka udostępniła jego dane osobowe w powiązaniu z informacją o wniesieniu zgłoszenia na rzecz innych osób lub podmiotów, w tym na rzecz Pani A. M. oraz Pana L. W.. Jak wynika ze zgromadzonego materiału skarżący nie był obecny podczas rozmowy Prezesa Zarządu Spółki z Panią A. M. oraz Panem L. W., ani nie przedstawił dowodów świadczących, że przedmiotem rozmowy było wniesienie przez niego zgłoszenia. Organ dodał też, ze powołani przez skarżącego świadkowie, tj. Pan R. P. i Pan J. N. oświadczyli, że informacje o wniesieniu przez skarżącego zgłoszenia uzyskali od niego samego oraz osób wspólnie z nim składających zgłoszenie co może wskazywać na powszechny dostęp osób trzecich do informacji o wniesieniu przez skarżącego zgłoszenia ze źródła innego niż Spółka. Wbrew twierdzeniom skarżącego nie można według organu identyfikować ujawnienia danych osobowych skarżącego jako jednej z osób składających wyjaśnienia w toku przeprowadzanego audytu, jako ujawnienia jego danych osobowych jako osoby wnoszącej zgłoszenie. Nie można również uznać za ujawnienie informacji o wniesieniu zgłoszenia przez skarżącego z poinformowaniem pracowników o odwołaniu go z funkcji członka zarządu tylko i wyłącznie przez fakt, że powyższe nastąpiło po przeprowadzonym audycie, a wcześniej odwołany został inny członek zarządu, który był obwiniany przez niego w zgłoszeniu. W informacji przekazanej przez zarząd Spółki pracownikom oraz w uchwale odwołującej skarżącego z funkcji członka zarządu nie wskazano informacji, że skarżący był osobą wnoszącą zgłoszenie inicjujące audyt oraz, że to jest powodem jego odwołania. W uchwale z [...] września 2021 r. odwołującej skarżącego z funkcji członka zarządu nie wskazano powodu jego odwołania, natomiast w informacji e-mailowej z [...] grudnia 2020 r., dotyczącej zmian w strukturach Spółki przekazanej pracownikom Spółki po audycie, poinformowano o zaprzestaniu pełnienia przez skarżącego i inne osoby funkcji członka zarządu i wejściu skarżącego w skład Rady Koordynującej.
W powyższych realiach faktycznych Prezes Urzędu Ochrony Danych Osobowych decyzją z dnia [...] stycznia 2023r. odmówił uwzględnienia wniosku w zakresie dotyczącym udostępnienia danych osobowych strony przez W. S.A. w zakresie jego imienia i nazwiska w powiązaniu z informacją o wniesieniu zgłoszenia naruszeń z [...] czerwca 2020 r. do Przewodniczącego Rady Nadzorczej Spółki na rzecz ówczesnych członków zarządu, tj. Pana J. W., Pana W. G., Pana R. G. C., Pana P. R. M., Pani K. M. B. oraz Pana J. W. P. oraz umorzył postępowanie w pozostałym zakresie.
W uzasadnieniu organ wskazał, że może podejmować tylko te czynności, które znajdują się w zakresie jego uprawnień oraz tylko w tych sprawach, które należą do jego właściwości. Uprawnienia te i właściwość wynikają z RODO, ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2019 r. poz. 1781), ale także z szeregu regulacji szczegółowych, które wskazują na ograniczenia kompetencji Prezesa UODO w odniesieniu do przetwarzania danych osobowych przez określone podmioty bądź w określonych okolicznościach. Biorąc pod uwagę powyższe wskazał, że zakresem kompetencji Prezesa UODO jest objęta jedynie ocena prawidłowości przetwarzania (udostępnienia) danych osobowych skarżącego przez Spółkę, w przedmiotowej sprawie w ograniczeniu do jego imienia i nazwiska w powiązaniu z informacją o wniesieniu ustnego zgłoszenia z [...] czerwca 2020 r., a nie ocena prawidłowości postępowania Spółki w procedurze rozpatrywania zgłoszenia i informowania o powodach zmian w strukturach zarządu Spółki.
Dalej organ wskazał, że przesłanki legalności przetwarzania danych osobowych zwykłych, określone zostały w art. 6 ust. 1 RODO. Przesłanki te mają charakter autonomiczny, wobec czego aby uznać proces przetwarzania danych osobowych przez administratora za zgodny z prawem, wystarczy spełnienie przez niego jednej z tych przesłanek, a niezależnie od zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO) przetwarzanie danych osobowych jest dopuszczalne między innymi wtedy, gdy jest to niezbędne dla wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO) oraz gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą (art. 6 ust. 1 lit. f RODO). Dodał też, że zgodnie z art. 5 ust. 1 lit. a i lit. b RODO dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą oraz zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami.
Przechodząc do meritum sprawy organ wyjaśnił, że w jego ocenie omawiane zawiadomienie dokonane zostało przez skarżącego w ramach jego obowiązków służbowych jako członka zarządu spółki. Stąd członkowie zarządu Spółki, tj. Pan J. W., Pan W. G., Pan R. G. C., Pan P. R. M., Pani K. M. B. oraz Pan J. W. P. byli w ocenie organu uprawnieni do przetwarzania, w tym pozyskania, danych osobowych skarżącego w zakresie imienia i nazwiska w powiązaniu z informacją o złożeniu zgłoszenia zgodnie z ar. 6 ust. 1 lit. f RODO w celu przeprowadzenia stosownego postępowania wyjaśniającego w oparciu o zgłoszenie skarżącego i udzielenie wyjaśnień Radzie Nadzorczej.
Odnosząc się do zarzutu skarżącego naruszenia art. 16 ust. 1 i art. 19 Dyrektywy organ zgodził się w tym zakresie z wyjaśnieniami spółki, że Dyrektywa nie została dotychczas implementowana przez Polskę, dlatego w okresie wniesienia przez skarżącego zgłoszenia nie istniały (i nadal nie istnieją) przepisy, do których Spółka miałaby się stosować, bowiem przepisy Dyrektywy nie mają bezpośredniego zastosowania do podmiotów prywatnych.
Co się tyczy zarzutu strony dotyczącego przekazania spornych danych A. M. oraz L. W. u twierdzenia te organ uznał za nieudowodnione. Podkreślił, że świadek R. P. powołuje się wyłącznie na usłyszane informacje, natomiast nie przedstawia żadnych dowodów. Jednocześnie organ uznał twierdzenia R. P. za niespójne, biorąc pod uwagę, że świadek sam wskazuje ustną formę wniesienia zgłoszenia przez skarżącego jak również brak ujawnienia danych osobowych skarżącego, jako autora zgłoszenia inicjującego audyt, w raporcie przekazanym Prezesowi Zarządu Spółki. Stąd w ocenie organu zaszła konieczność umorzenia postępowania w tym zakresie.
Od powyższej decyzji skargę do tut. Sądu wywiódł M. J. zarzucając organowi:
1 - Naruszenie przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy, a to art. 7 Kodeksu postępowania administracyjnego (dalej: KPA) w zw. z art. 77 § 1 i 2 KPA w zw. z art. 107 § KPA; poprzez niewyjaśnienie w sposób pełny i prawidłowy stanu faktycznego sprawy, co doprowadziło do nieustalenia, że Skarżący posiada status sygnalisty spółki W. S.A. (dalej: "Spółka) oraz przyjęcia, że zgłoszenie przez Skarżącego nieprawidłowości w funkcjonowaniu Spółki stanowiło realizację obowiązków wynikających z zasiadania przez niego w Zarządzie Spółki. W konsekwencji powyższych doszło do odmowy uwzględnienia wniosku i umorzenia postępowania w pozostałym zakresie podczas gdy
a- Zgłoszenie nieprawidłowości w funkcjonowaniu Spółki było niezależne od sprawowanej przez Skarżącego funkcji. Dotyczyło elementarnych nieprawidłowości w funkcjonowaniu przedsiębiorstwa, m.in. związanych z mobbingiem, zastraszaniem pracowników, wybiórczym ich traktowaniem, nieprawidłowościach w udzielaniu poszczególnym kontrahentom kontraktów oraz stosowania nieuczciwych praktyk rynkowych. Wykracza to poza obowiązek codziennego prowadzenia spraw spółki przez Zarząd.
b- Zgłoszenie dotyczyło także działalności osób zasiadających w Zarządzie, które podejmowały działania nielicujące z powagą sprawowanej funkcji - kwestia ta pozostaje w całości poza zakresem działalności przedsiębiorstwa, nad którą pieczę . sprawować ma zarząd.
c- Zgłoszenie miało miejsce w dniu 8, 15, 20 i 29 czerwca 2020 r., także w formie pisemnej (przekazanie dokumentacji będącej podstawą Zgłoszenia, ponowienie zgłoszenia w formie wiadomości e-mail)
d- Rada Nadzorcza Spółki otrzymane Zgłoszenie potraktowała jako A. (....: alarm), czyli zdarzenie niebezpieczne, występujące w niecodziennych okolicznościach,
e- Spółka w odpowiedzi na otrzymane zgłoszenie przyznała Skarżącemu status sygnalisty
f- Zgłoszenie nieprawidłowości w funkcjonowaniu Spółki dokonane było zarówno przez Członków Zarządu Spółki, jak i osoby spoza Zarządu Spółki. Było to zgłoszenie wspólne, opierające się na tożsamych podstawach faktycznych i prawnych.
2 - Naruszenie przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy, a to art. 7 KPA w zyN. z art. 77 § 1 i 2 KPA w zw. z art. 107 § KPA; poprzez niewyjaśnienie w sposób pełny i prawidłowy stanu faktycznego sprawy, co doprowadziło do nieprawidłowego ustalenia, że ujawnienie danych Skarżącego było potrzebne do przeprowadzenia postępowania wyjaśniającego na skutek zgłoszonych nieprawidłowości w funkcjonowaniu Spółki. W konsekwencji powyższych doszło do odmowy uwzględnienia wniosku i umorzenia postępowania w pozostałym zakresie podczas gdy dane osobowe Skarżącego (jak i pozostałych sygnalistów) są informacjami całkowicie irrelewantnymi dla zbadania zasadności zgłaszanych nieprawidłowości w działaniach Spółki
3 - Naruszenie przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy, a to art. 7 KPA w zw. z art. 77 § 1 i 2 KPA w zw. z art. 107 § KPA; poprzez niewyjaśnienie w sposób pełny i prawidłowy stanu faktycznego sprawy, co doprowadziło do nieuprawnionego ustalenia, że dane Skarżącego były przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla Skarżącego, realizując jednocześnie cel przetwarzania. W konsekwencji bezpodstawnie uznano, że art. 5 ust. 1 lit. a) i b) RODO nie został przez Spółkę naruszony, odmówiono uwzględnienia wniosku i umorzono postępowanie w pozostałym zakresie podczas gdy sposób przetwarzania danych Skarżącego powinien w pierwszej kolejności mieć na uwadze konieczność zapewnienia anonimowości przetwarzanych danych, szczególnie wobec osób, których działalność stała się podstawą do wystosowania przez sygnalistów zgłoszenia.
a- Spółka nie zapewniła odpowiednich mechanizmów zabezpieczających poufność przekazanych jej danych, a w praktyce - sama doprowadziła do ujawnienia treści zgłoszenia oraz danych osobowych Skarżącego i pozostałych sygnalistów.
4 - Naruszenie przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy, a to art. 7 KPA w zw. z art. 77 § 1 i 2 KPA w zw. z art. 80 KPA poprzez dowolną, sprzeczną ze swobodną zasadą oceną dowodów ocenę zeznań świadka R. P. i odmówienie świadkowi wiarygodności w zakresie stwierdzenia, że dane Skarżącego zostały ujawnione szeregowym pracownikom Spółki oraz pracownikom spółki A., co w konsekwencji doprowadziło do nieprawidłowego ustalenia stanu faktycznego sprawy w zakresie zakresu osób, którym zostały ujawnione dane Skarżącego podczas gdy zeznania świadka R. P. są konsekwentne, znajdują oparcie w innych przeprowadzonych w niniejszym postępowaniu dowodach i z nimi korespondują,
5 - Naruszenie przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy, a to art. 78 § 1 KPA w zw. z art. 10 KPA w zakresie w jakim organ nie przeprowadził wniosku dowodowego wskazanego przez Skarżącego w piśmie z dnia [...] grudnia 2022, tj. wniosku o uzyskanie Raportu sporządzonego przez Kancelarię [...] sp. k., przeprowadzonego w wyniku zgłoszenia nieprawidłowości w działaniu Spółki, a tym samym naruszył zasadę czynnego udziału strony w postępowaniu. Doprowadziło to do nieuzasadnionego, sprzecznego z rzeczywistym stanem faktycznym przyjęcia, że:
a - zgłoszenie dokonane przez Skarżącego stanowiło realizację obowiązków zarządczych wynikających z pełnienia funkcji w Zarządzie Spółki,
b - wyjawienie danych Skarżącego było niezbędne dla realizacji celów otrzymanego przez Spółkę zgłoszenia co do prawidłowości jej działania podczas gdy przeprowadzenie wskazanego wyżej środka dowodowego doprowadziłoby do prawidłowego ustalenia, że:
a - głoszenie nieprawidłowości w działaniu Spółki przez Skarżącego związane było z realizacją statusu sygnalisty i było niezależne od sprawowanej przez Skarżącego funkcji oraz
b - dane Skarżącego zostały ujawnione osobom niepowołanym, a ujawnienie było nieuzasadnione.
6 - Naruszenie prawa materialnego, a to art. 6 ust. 1 lit. f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) poprzez jego niewłaściwe zastosowanie i przyjęcie, że przetwarzanie danych Skarżącego było zgodne z prawem z uwagi na jego niezbędność do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora ("RODO"), gdy przetwarzanie danych osobowych na podstawie prawnie uzasadnionego interesu administratora stanowi podstawę akcesoryjną, która wymaga wyważenia interesów administratora danych osobowych i osoby, której dane dotyczą. Przetwarzanie nie może naruszać podstawowych praw i wolności osoby, której dane dotyczą. W takiej sytuacji udostępnienie przez przewodniczącego rady nadzorczej Spółki (organu, w kompetencji którego leży nadzór nad działalnością zarządu spółki) danych osobowych sygnalisty prezesowi zarządu, wobec którego skierowane zostały zgłoszenie nieprawidłowości, w sposób oczywisty stanowiło naruszenie podstawowych praw i wolności Skarżącego.
7 - Naruszenie prawa materialnego, a to art. 5 ust. 1 lit a), b), c) i f) RODO poprzez jego niewłaściwe zastosowanie i uznanie, że przetwarzanie danych osobowych Skarżącego nastąpiło zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą oraz w wyraźnych i prawnie uzasadnionych celach, w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych gdy ujawnienie przez przewodniczącego rady nadzorczej Spółki danych osobowych Skarżącego osobom, wobec których skierowane zostały zgłoszenie nieprawidłowości stanowiło działanie sprzeczne z zasadami zgodności z prawem, rzetelności i przejrzystości, ograniczenia celu, minimalizacji danych oraz integralności i poufności. Istniały liczne środki do zweryfikowania zgłoszenia w sposób zapewniający poszanowanie praw i wolności Skarżącego, w szczególności poprzez przeprowadzenie poufnego audytu przeprowadzonego przez podmiot zewnętrzny, w ramach którego nie zostałyby ujawnione dane sygnalistów (co nastąpiło już po ujawnieniu danych Skarżącego i potwierdziło zasadność ujawnionych przez Skarżącego naruszeń).
Mając na uwadze powyższe zarzuty, na podstawie art. 145 § 1 p. 1 lit a) i c) PPSA, wniósł o uchylenie decyzji organu w całości.
Na kolejnych czternastu stronach skarżący rozwinął powyższe zarzuty uwypuklając w szczególności swój status sygnalisty.
W odpowiedzi na skargę organ wniósł o jej oddalenie.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
zgodnie z treścią przepisu art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. z 2022 r., poz. 2492 z późn. zm.) sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem skarżonej decyzji administracyjnej. Jest więc to kontrola legalności rozstrzygnięcia zapadłego w postępowaniu administracyjnym, z punktu widzenia jego zgodności z prawem materialnym i procesowym. Oceniając przedmiotową decyzję według powyższych kryteriów, uznać należy, iż nie narusza ona prawa.
Poczynając od kluczowej dla rozstrzygnięcia kwestii wyjaśnić należało, iż dla możliwości uznania, że doszło do przetwarzania danych osobowych poprzez ich udostępnienie, musi dojść do przekazania danych osobowych przez ich administratora – osobie trzeciej. Przy czym podkreślenia wymaga, że chodzi tu albo o osobę prawną, będącą odrębnym od administratora bytem prawnym, albo o osobę fizyczną, ale wyłącznie inną, niż osoba reprezentująca administratora danych osobowych (np. osobę inną niż członek zarządu spółki prawa handlowego).
Przenosząc powyższe na realia faktyczne niniejszej sprawy jako oczywista jawiła się konkluzja, iż przekazanie danych osobowych skarżącego przez Przewodniczącego rady nadzorczej spółki będącej administratorem danych, na rzecz członków zarządu tej samej spółki, nie stanowi nieuprawnionego przetwarzania danych skarżącego. Nie sposób bowiem abstrahować od tego, że skoro spółka kapitałowa jest administratorem danych, a jej zarząd i rada nadzorcza są jej organami, to przekazanie danych pomiędzy owymi organami nie stanowiło przekazania danych osobie trzeciej. Przepisy korporacyjne uszczegółowione w Kodeksie spółek handlowych nie wyłączają zaś możliwości współpracy pomiędzy organami spółki a wręcz przeciwnie – zalecają a nawet nakazują taką współpracę. Taka współpraca jest zaś ze wszech miar konieczna i zrozumiała jeśli weźmie się pod uwagę, że organ nadzoru spółki, otrzymuje informacje o nieprawidłowościach w zarządzaniu spółką. Oczywistym jest, że w takiej sytuacji podejmuje on kroki w celu wyjaśnienia takich wątpliwości, przy czym organem który kieruje spółką, a więc także który w spółce może przeprowadzić jakikolwiek zmiany w zakresie jej zarządzania, jest właśnie zarząd.
W tym miejscu dodania wymagało także to, że przepisy K.s.h. nie przewidują możliwości wykonywania obowiązków członka zarządu anonimowo. Osoba fizyczna, która zostaje powołana w skład zarządu spółki, musi liczyć się z tym (i w sposób dorozumiany godzi się na to), że własnym imieniem i nazwiskiem będzie "pieczętować" swoje działania jakie czyni wykonując obowiązki członka zarządu.
W świetle powyższego przyznać należało rację organowi, iż przekazanie danych osobowych skarżącego pomiędzy organami spółki którą współkierował, nie stanowi niedopuszczalnego przetwarzania owych danych.
Niezależnie od powyższego podkreślenia wymagało to, że organ procedując w sprawie, poprawnie ustalił stan faktyczny sprawy i dokonał jego właściwej subsumpcji do stosowanych przepisów prawa.
W pierwszej kolejności niespornym jest, że skarżący dokonując zgłoszenia w dniu [...] czerwca 2020 r. do Przewodniczącego rady nadzorczej spółki, był członkiem zarządu tej spółki.
Poza sporem pozostaje tez okoliczność, że Przewodniczący rady nadzorczej spółki przekazał informację o powyższym zgłoszeniu członkom zarządu spółki.
Z powyższych faktów organ poprawnie wywiódł, że zawiadomienia z [...] czerwca 2020 r. skarżący dokonał w ramach obowiązków wynikających z faktu bycia członkiem zarządu spółki (patrz art. 368 § 1 K.s.h.). W tym miejscu dodać również można, iż zgłoszenia owego dokonał także w swoim dobrze pojętym interesie, aby zabezpieczyć się na przyszłość przed odpowiedzialnością odszkodowawczą członka zarządu przewidzianą przez ustawodawcę w art. 483 K.s.h. Stąd nie sposób więc racjonalnie zakładać, że w zakresie w jakim wykonywał swoje obowiązki, powinien pozostawać anonimowy.
Uprawnione są również konstatacje organu, że Przewodniczący rady nadzorczej spółki przekazując członkom zarządu informacje zawarte w zawiadomieniu z [...] czerwca 2020 r. działał w oparciu o umocowanie przewidziane w normie art. 382 K.s.h.
W efekcie powyższego nie sposób zakwestionować trafności wniosków końcowych organu, iż członkowie zarządu spółki byli upoważnieni do pozyskania danych osobowych skarżącego w zakresie imienia i nazwiska w powiązaniu z informacją o złożeniu zgłoszenia zgodnie z art. 6 ust. 1 lit. f RODO w celu przeprowadzenia stosownego postępowania wyjaśniającego w oparciu o zgłoszenie skarżącego i udzielenie wyjaśnień Radzie Nadzorczej.
Wobec uwypuklonej w treści skargi materii statusu sygnalisty koniecznym podkreślenia było, że nieuprawnione jest powoływanie się przez skarżącego na tą okoliczność. Skoro bowiem dyrektywa regulująca problematykę statusu sygnalisty, nie została implementowana do polskiego porządku prawnego, organ nie miał podstaw prawnych do tego, aby przypisywać skarżącemu statusu nieznanego polskiemu prawu. Skarżący nie może zaś zapominać o tym, że organy administracji w myśl zasady legalizmu, są przecież zobowiązane do działania na podstawie i w granicach prawa.
Rozwijając powyższą myśl koniecznym jest też przypomnienie, że Trybunał Sprawiedliwości w Luksemburgu stoi na stanowisku, iż niedopuszczalne jest powoływanie się przez państwo członkowskie na przepisy nieimplementowanej dyrektywy przeciwko podmiotom prywatnym oraz, że podmiot prywatny może powoływać się na przepisy dyrektywy, które mają przymiot bezpośredniej skuteczności jedynie w relacji wobec państwa członkowskiego, a nie w relacji do innego podmiotu prywatnego (patrz m.in. wyrok z 8.10.1987 r. sygn. akt 80/86; z 12.07.1990 r. sygn. akt C 188/89).
W świetle powyższego wszelkie argumenty skargi wywodzone z zarzutu braku potraktowania skarżącego jako sygnalisty o jakim mowa w motywie 36 niezaimplementowanej Dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937
z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii, nie mogły zostać uwzględnione jako pozostające w oderwaniu od obowiązujących w Polsce regulacji prawnych.
Na marginesie zgodzić należało się ze stwierdzeniem uczestnika – spółki W., że powoływane się przez skarżącego na regulacje obowiązujące wewnątrz spółki nie mogło zostać uwzględnione przez organ, który nie posiada kompetencji do badania wewnętrznych regulaminów obowiązujących w podmiotach prywatnych. Rozwiązania przyjęte w takich regulaminach nie zmieniają bowiem okoliczności braku implementacji konkretnej dyrektywy do polskiego porządku prawnego.
Co się tyczy zarzutu dotyczącego przekazania przez Przewodniczącego rady nadzorczej danych osobowych skarżącego na rzecz osób spoza zarządu spółki tj. A. M. i L. W., to w ocenie tut. Sądu organ poprawnie przyjął, że powyższej okoliczności skarżący nie udowodnił. Oceniając omawianą problematykę nie sposób zaś zapominać, że główny ciężar dowodowy przy wykazywaniu okoliczności podnoszonych w skardze inicjującej postępowanie przed organem spoczywa na osobie, która tą skargę wnosi. Zwłaszcza oczywistym jest, że skoro skarżący zarzuca w sposób stanowczy administratorowi danych, że w sposób nieprawidłowy je przetwarzał, winien mieć niezbite dowody na ową okoliczność. Same zaś przypuszczenia czy domniemania nie mogą być uznane za dowód sprawie. Podnoszone zaś w skardze kłopoty, jakie skarżący ma w uzyskaniu konkretnych dowodów nie przenoszą na organ administracji obowiązku samodzielnego poszukiwania dowodów. Przede wszystkim to strona z natury rzeczy posiadać może najszerszą wiedzę co do zdarzeń na jakie się powołuje. Nadto Prezes Urzędu Ochrony Danych osobowych nie został wyposażony przez ustawodawcę w uprawnienia śledcze i co do zasady może przeprowadzać dowody zgłoszone przez inicjatora postępowania.
W świetle powyższego, zarzucanie organowi na obecnym etapie postępowania braku wykazania inicjatywy dowodowej, nie jest uprawnione.
Co zaś się tyczy oceny przez organ dowodów zgromadzonych w sprawie, to trafnie punktuje to uczestnik postępowania – spółka W., że skarżący formułując w skardze zarzuty naruszenia przepisów postępowania nie wskazuje, ani w jaki sposób ocena dowodów przez organ jest sprzeczna ze wskazaniami wiedzy i doświadczenia życiowego, ani z regułami logicznego rozumowania, które miałyby zostać naruszone, zaś przedstawienie przez skarżącego własnej oceny dowodów, odmiennej od oceny organu, nie świadczy o naruszeniu przepisów przez organ.
Sąd administracyjny podziela także konkluzje organu, że wbrew twierdzeniom skarżącego, nie można utożsamiać ujawnienia jego danych osobowych jako jednej z osób składających wyjaśnienia w toku przeprowadzanego audytu, z ujawnieniem jego danych osobowych jako osoby wnoszącej zgłoszenie, jak też nie można również uznać że ujawnienie informacji o wniesieniu zgłoszenia przez skarżącego wynika z faktu poinformowania pracowników o odwołaniu go z funkcji członka zarządu co nastąpiło po przeprowadzonym audycie, a wcześniej odwołany został inny członek zarządu, który był obwiniany przez niego w zgłoszeniu - gdyż w informacji przekazanej przez zarząd Spółki pracownikom oraz w uchwale odwołującej skarżącego z funkcji członka zarządu nie wskazano informacji, że skarżący był osobą wnoszącą zgłoszenie inicjujące audyt oraz, że to jest powodem jego odwołania (w uchwale z 28 września 2021 r. odwołującej skarżącego z funkcji członka zarządu nie wskazano powodu jego odwołania, natomiast w informacji e-mailowej z [...] grudnia 2020 r., dotyczącej zmian w strukturach Spółki przekazanej pracownikom Spółki po audycie, poinformowano o zaprzestaniu pełnienia przez skarżącego i inne osoby funkcji członka zarządu).
Wobec powyższego należało uznać, że istniały przesłanki do wydania rozstrzygnięcia opisanego w pkt. 2 decyzji.
Sąd administracyjny nie podziela także zarzutu dotyczącego naruszenia przepisów postępowania wskutek nieprzeprowadzenia dowodu z treści raportu sporządzonego przez Kancelarię A. [...] sp. k., po przeprowadzeniu przez nią badania finansów spółki w wyniku zgłoszenia nieprawidłowości w działaniu Spółki. Raport ten nie dotyczy bowiem materii przetwarzania danych osobowych skarżącego a polityki finansowej spółki. Ta problematyka w myśl przepisów RODO pozostaje zaś poza sferą zainteresowania Prezesa UODO który nie posiada uprawnień do badania merytorycznej zasadności zgłoszenia z 22 czerwca 2020 r. ani do badania oceny poprawności procedury stosowanej w spółce przy rozpatrywania owego zgłoszenia.
Okolicznością pozostającą bez wpływu na rozstrzygnięcie pozostaje też to, czy zgłoszenie z [...] czerwca 2020 r. miało jak przyjął to organ formę ustną, czy też pisemną. Przedmiotem postępowania przed organem była bowiem materia dopuszczalności przekazania danych osobowych skarżącego jako osoby składającej powyższe zawiadomienie. Nadto sam inicjator postępowania w swojej skardze do organu nie podnosił tego, by bezprawności przetwarzania swoich danych osobowych upatrywał w rozpowszechnieniu pisemnego zgłoszenia.
Powyższego nie zmieniają też podnoszone na rozprawie twierdzenia skarżącego, iż jeszcze przed spornym zgłoszeniem z [...] czerwca 2020 r. przesyłał mailowe informacje o nieprawidłowościach w spółce. Skoro skarżący zainicjował postępowanie tylko w zakresie ujawnienia danych w powiązaniu z zawiadomieniem z [...] czerwca 2020 r. organ nie mógł wychodzić poza zakres przedmiotowy określony przez skarżącego i rozszerzać z urzędu badania sprawy o zawiadomienia czynione w innych datach.
Także podnoszenie okoliczności, że spółka nie zapewniła skarżącemu należytej ochrony przed negatywnymi konsekwencjami dokonania zgłoszenia o nieprawidłowościach finansowych, jako wykraczające poza zakres przedmiotowy sprawy, nie mogło być przedmiotem oceny tut. Sądu.
W tym stanie sprawy, nie podzielając argumentów zawartych w złożonej skardze, oraz uznając iż organ w sposób prawidłowy zebrał i ocenił materiał dowodowy, oraz iż przy wykonywaniu tych czynności nie naruszył przepisów prawa, Wojewódzki Sąd Administracyjny w Warszawie orzekł jak w sentencji wyroku na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r., poz. 1634 z późn. zm.).