II SA/WA 878/23

II SA/Wa 878/23 - Wyrok WSA w Warszawie
Data orzeczenia
2024-02-15
orzeczenie prawomocne
Data wpływu
2023-05-08
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Góraj
Danuta Kania /przewodniczący/
Joanna Kruszewska-Grońska /sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2019 poz 1781
art. 7 ust. 1
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (t. j.)
Dz.U.UE.L 2016 nr 119 poz 1  art. 5 ust. 1 lit. a, art. 6 ust. 1 oraz art. 58 ust. 2 lit.b
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Danuta Kania, Sędzia WSA Andrzej Góraj, Sędzia WSA Joanna Kruszewska-Grońska (spr.), , po rozpoznaniu w trybie uproszczonym w dniu 15 lutego 2024 r. sprawy ze skargi J. P. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lutego 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Zaskarżoną w niniejszej sprawie decyzją z [...] lutego 2023 r. nr [...] Prezes Urzędu Ochrony Danych Osobowych (dalej: "PUODO", "organ"), na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (obecnie tekst jednolity: Dz. U. z 2023 r., poz. 775 ze zm.; dalej: "k.p.a.") oraz art. 5 ust. 1 lit. a), art. 6 ust. 1 i art. 58 ust. 2 lit. b) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 2016 r., str. 1 ze sprost.; dalej: "RODO"), po przeprowadzeniu postępowania administracyjnego zainicjowanego skargą J. P. (dalej: "skarżąca") z [...] lipca 2022 r. na nieprawidłowości w procesie przetwarzania jej danych osobowych przez [...] Kuratora Oświaty z siedzibą w [...] (dalej: "Kurator", "uczestnik postępowania"), udzielił Kuratorowi upomnienia za naruszenie art. 5 ust. 1 lit. a) oraz art. 6 ust. 1 RODO, polegające na udostępnieniu bez podstawy prawnej imienia i nazwiska, adresu zamieszkania, a także prywatnego numeru telefonu skarżącej na rzecz innych pracowników.
W uzasadnieniu zaskarżonej decyzji PUODO przedstawił następujące ustalenia faktyczne, jakie poczynił w toku postępowania administracyjnego wszczętego ww. skargą skarżącej z [...] lipca 2022 r.:
• dane osobowe skarżącej w zakresie imienia i nazwiska, adresu zamieszkania oraz prywatnego numeru telefonu zostały udostępnione, przez Kuratora na rzecz innych pracowników pracujących w Delegaturze w [...] Kuratorium Oświaty w [...], we "Wniosku Dyrektora Delegatury w [...] o wydanie polecenia podjęcia przez pracownika pracy zdalnej" stanowiącym załącznik do wiadomości e-mail z [...] stycznia 2022 r.;
• ww. dane osobowe zostały zebrane przez Dyrektora Delegatury w [...] Kuratorium Oświaty w [...] w celu przekazania uczestnikowi postępowania wykazu pracowników, którzy będą realizować zadania w formie pracy zdalnej. Powyższe dane pozyskano w ramach realizacji zadań w interesie publicznym - art. 6 ust. 1 lit. e) RODO, w oparciu o zarządzenie Kuratora z [...] stycznia 2022 r. nr [...] zmieniające zarządzenie z [...] października 2021 r. nr [...] w sprawie zasad pracy zdalnej w ramach działań prewencyjnych podejmowanych w Kuratorium Oświaty w [...] w związku z zagrożeniem zdrowia publicznego spowodowanym zakażeniami koronawirusem SARS-CoV-2, wydane na podstawie (obowiązującego wówczas) art. 3 ust. 1 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (obecnie tekst jednolity: Dz. U. z 2024 r., poz. 340 ze zm.);
• [...] stycznia 2022 r. o godz. [...] z adresu poczty elektronicznej [...] na pocztę służbową wizytatorów pracujących w Delegaturze w [...] została wysłana wiadomość pt. [...]. Wniosek ten zawierał tabelę z następującymi informacjami dotyczącymi czterech wizytatorów (w tym skarżącej): imię, nazwisko, numer telefonu, adres pracy zdalnej, termin wykonywania pracy zdalnej;
• [...] stycznia 2022 r. opracowano (w programie WORD) dwa dokumenty odnośnie pracy zdalnej pracowników: (1) dokument przygotowany z zamiarem przesłania do kadr, zatytułowany [...], zawierający tabelę z informacjami: termin, adres wykonywania pracy zdalnej, kontakt telefoniczny na czas pracy zdalnej, imię i nazwisko oraz stanowisko; (2) dokument przygotowany w celu przesłania do pracowników, zatytułowany "Plan pracy zdalnej", zawierający tabelę z informacjami: termin, imię i nazwisko oraz stanowisko. Na skutek pomyłki, która nastąpiła na etapie podpisywania dokumentów i ich wysyłania, pracownikom został przekazany dokument o nazwie [...], który był przeznaczony tylko dla kadr. Kurator wyjaśnił, że przesłanie ww. dokumentu do pracowników było niezamierzone i omyłkowe;
• [...] sierpnia 2022 r. do wszystkich wizytatorów z Delegatury w [...] został wysłany e-mail z prośbą o usunięcie z poczty służbowej oraz z wszelkich nośników pisma będącego załącznikiem do korespondencji przekazanej drogą elektroniczną w dniu [...] stycznia 2022 r. o godz. [...], zawierającego dane osobowe czterech wizytatorów. Wszyscy wizytatorzy potwierdzili usunięcie tej wiadomości z poczty elektronicznej oraz prywatnego numeru telefonu;
• Kurator zawiadomił o powyższym zdarzeniu PUODO w ramach zgłoszenia wstępnego, zaś później dokonał zgłoszenia uzupełniającego dotyczącego naruszenia danych osobowych.
Motywując podjęte rozstrzygnięcie, organ stwierdził, że uczestnik postępowania jako administrator nie legitymował się żadną z przesłanek określonych w art. 6 ust. 1 RODO, uprawniających go do udostępnienia danych osobowych skarżącej. Przedmiotowe zdarzenie naruszyło również zasadę określoną w art. 5 ust. 1 lit. a) RODO.
Dokonywana przez PUODO ocena w każdym przypadku służy zbadaniu zasadności skierowania pod adresem określonego podmiotu nakazu odpowiadającego dyspozycji art. 58 ust. 2 RODO, służącego przywróceniu stanu zgodnego z prawem w procesie przetwarzania danych - jest więc ona uzasadniona i potrzebna tylko o tyle, o ile nieprawidłowości w procesie przetwarzania danych osobowych istnieją.
Organ uznał, iż w realiach niniejszej sprawy właściwe jest zastosowanie wobec Kuratora upomnienia za stwierdzone naruszenie przepisów o ochronie danych osobowych, tj. art. 5 ust. 1 lit. a) oraz art. 6 ust. 1 RODO.
Powyższą decyzję organu skarżąca uczyniła przedmiotem skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, wnosząc o uchylenie zaskarżonej decyzji oraz zarzucając:
1. pobieżne i nierzetelne rozpatrzenie przez PUODO zaistniałego [...] stycznia 2022 r. zdarzenia polegającego na nieuprawnionym udostępnieniu jej danych osobowych, tj. imienia, nazwiska, adresu zamieszkania oraz prywatnego numeru telefonu na rzecz innych pracowników - obcych jej osób;
2. przyjęcie, przytoczenie i uwzględnienie przez organ w uzasadnieniu zaskarżonej decyzji nielicującego z powagą urzędu tłumaczenia Kuratora wskazującego na "pomyłkę";
3. brak racjonalności rozstrzygnięcia, niespójność, jak również brak należytej równowagi między udzieleniem upomnienia a treścią uzasadnienia.
Skarżąca zaskarżyła także przewlekłe prowadzenie postępowania przez PUODO, przy czym skarga w tym zakresie została przez tutejszy Sąd odrzucona prawomocnym postanowieniem z 15 września 2023 r., sygn. akt II SAB/Wa 483/23.
W uzasadnieniu skargi skarżąca podkreśliła, iż upomnienie udzielone Kuratorowi zaskarżoną decyzją jest drugim w odniesieniu do niej i trzecim na przestrzeni roku kalendarzowego. Pomimo powtarzalności naruszenia przepisów o ochronie danych osobowych, organ nie nałożył na uczestnika postępowania kary pieniężnej. Według skarżącej, zdarzenie nie było "pomyłką", ponieważ:
- dokument zawierający jej dane osobowe został najpierw zeskanowany, a potem wysłany, co oznacza możliwość jego dwukrotnego sprawdzenia;
- przedmiotowy dokument był już przygotowany przez Dyrektora Delegatury w [...] [...] stycznia 2022 r., zaś wysłano go [...] stycznia 2022 r.;
- przy wysyłaniu tego dokumentu nie było presji czasowej, bo do końca dnia pracy pozostała ponad godzina;
- jej dane osobowe były dostępne w poczcie elektronicznej u nadawcy (sekretariat) oraz innych pracowników – odbiorców wiadomości z [...] stycznia 2022 r. przez ponad siedem miesięcy (od [...] stycznia 2022 r. do [...] sierpnia 2022 r.);
- zaistniałe zdarzenie nie mieści się w definicji pojęcia "pomyłka";
- skarżąca nie została przeproszona za to zdarzenie.
Skarżąca podsumowała, że PUODO - aprobując tłumaczenie Kuratora -podważył zaufanie obywatela do organu państwa, jaki ma zaszczyt reprezentować.
W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując stanowisko wyrażone w uzasadnieniu zaskarżonej decyzji. Ponadto PUODO zażądał rozpoznania niniejszej sprawy w trybie uproszczonym.
W piśmie z [...] lipca 2023 r. uczestnik postępowania (reprezentowany przez radcę prawnego M. M.) wniósł o oddalenie skargi i zasądzenie od skarżącej na jego rzecz kosztów postępowania, w tym kosztów zastępstwa procesowego według norm przepisanych. Kurator zakwestionował twierdzenia skarżącej, akcentując, że zaprezentowała ona w skardze alternatywny stan faktyczny, ale nie przedłożyła żadnych dowodów, na podstawie których PUODO miałby poczynić odmienne ustalenia faktyczne niż te, które ostatecznie znalazły się w treści zaskarżonej decyzji.
W kwestii niezastosowania kary pieniężnej, uczestnik postępowania zgodził się z organem, iż podejmowane przez PUODO środki naprawcze (upomnienia lub kary pieniężne) należą do jego autonomicznych kompetencji i nie jest on w tym zakresie związany żądaniem strony inicjującej postępowanie.
Kurator zwrócił też uwagę, że dane skarżącej zostały wysłane jedynie do siedmiu osób, które były jej współpracownikami (w ramach jednego miejsca pracy). Zatem osoby te znały imię i nazwisko skarżącej, a skarżąca wyraziła zgodę na przetwarzanie prywatnego numeru telefonu w celu utrzymania kontaktów związanych z pracą zdalną, co oznaczało możliwość udostępniania go innym osobom dla zapewnienia prawidłowej organizacji pracy.
Zarówno skarżąca, jak i uczestnik postępowania nie zażądali przeprowadzenia rozprawy.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Niniejsza sprawa została rozpoznana na posiedzeniu niejawnym w trybie uproszczonym na mocy art. 119 pkt 2 i art. 120 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r., poz. 1634 ze zm.; dalej: "p.p.s.a."). Pierwszy z ww. przepisów stanowi, że sprawa może być rozpoznana w trybie uproszczonym, jeżeli strona zgłosi wniosek o skierowanie sprawy do rozpoznania w trybie uproszczonym, a żadna z pozostałych stron w terminie czternastu dni od zawiadomienia o złożeniu wniosku nie zażąda przeprowadzenia rozprawy. Natomiast art. 120 p.p.s.a. wskazuje, iż w trybie uproszczonym sąd rozpoznaje sprawy na posiedzeniu niejawnym w składzie trzech sędziów.
Skarga nie jest uzasadniona, bowiem zaskarżona decyzja nie narusza prawa tak materialnego, jak i procesowego.
Prawodawca unijny w art. 6 ust. 1 RODO zamieścił zamknięty katalog przesłanek legalizujących przetwarzanie danych osobowych. Są to: zgoda osoby, której dane dotyczą; wykonanie umowy; wypełnienie obowiązku prawnego ciążącego na administratorze; ochrona żywotnych interesów osoby, której dane dotyczą, lub innej osoby; wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej; prawnie uzasadnione interesy administratora lub strony trzeciej. Przesłanki te mają charakter samoistny, autonomiczny i niezależny, tzn. wystarczy spełnienie jednej z nich dla prawnej dopuszczalności procesu przetwarzania danych.
Natomiast zasady przetwarza danych osobowych wymienia art. 5 ust. 1 RODO. Jedną z nich jest przetwarzanie zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ("zgodność z prawem, rzetelność i przejrzystość") – art. 5 ust. 1 lit. a) RODO. W myśl art. 5 ust. 2 RODO, administrator jest odpowiedzialny za przestrzeganie zasad określonych w ust. 1 i musi być w stanie wykazać ich przestrzeganie ("rozliczalność").
W niniejszej sprawie bezsprzecznie doszło do udostępnienia przez Kuratora danych osobowych skarżącej w zakresie jej imienia i nazwiska, adresu zamieszkania oraz prywatnego numeru telefonu. Dane te znajdowały się we [...], przesłanym [...] stycznia 2022 r. o godz. [...] w formie załącznika do wiadomości elektronicznej (z e-maila [...]) na pocztę służbową siedmiu wizytatorów pracujących w Delegaturze w [...] Kuratorium Oświaty w [...]. Dokument w postaci ww. wniosku był przeznaczony wyłącznie dla kadr; zawierał bowiem tabelę z danymi osobowymi czterech wizytatorów mającymi świadczyć pracę zdalną w okresie od [...] stycznia 2022 r. do [...] lutego 2022 r.
Powyższe ustalenia faktyczne nie były sporne między stronami. Jak wynika z treści skargi, skarżąca podważa ocenę prawną organu, w szczególności wskazuje na nieadekwatność zastosowanego przez PUODO instrumentu naprawczego. W tym kontekście zarzuca bagatelizowanie zdarzenia poprzez nazwanie go "pomyłką", a także nieuwzględnienie powtarzalności naruszeń w procesie przetwarzania danych osobowych przez uczestnika postępowania na przestrzeni roku.
Orzekając o środku naprawczym w postaci upomnienia, PUODO prawidłowo kierował się okolicznościami przedmiotowej sprawy. Podkreślenia wymaga, iż Kurator, po uzyskaniu [...] sierpnia 2022 r. informacji o możliwym naruszeniu, w następnym dniu, tj. [...] sierpnia 2022 r. wysłał do wszystkich wizytatorów Delegatury w [...] e-mail z prośbą o usunięcie z poczty służbowej oraz z wszelkich nośników pisma będącego załącznikiem z danymi osobowymi czterech wizytatorów. Wszyscy wizytatorzy potwierdzili usunięcie tego maila z poczty elektronicznej oraz prywatnego numeru telefonu. Jednocześnie uczestnik postępowania zgłosił wstępnie to zdarzenie do PUODO, a następie je uzupełnił co do naruszenia danych osobowych.
Odnosząc się do żądania skarżącej nałożenia administracyjnej kary pieniężnej na Kuratora jako administratora, wskazać należy, że przysługujące PUODO na mocy art. 58 ust. 2 RODO uprawnienia naprawcze, w tym dotyczące nakładania administracyjnych kar pieniężnych, należą do autonomicznych kompetencji organu. Zatem PUODO nie podejmuje rozstrzygnięć wskazanych w art. 58 ust. 2 RODO na wniosek osoby składającej do niego skargę, ale bada okoliczności konkretnej sprawy, analizując ustalony stan faktyczny oraz prawny indywidualnie i na tej podstawie decyduje o zastosowaniu odpowiednich środków.
Zgodnie z motywem 129 preambuły RODO, każdy środek naprawczy stosowany przez organ nadzoru powinien być odpowiedni, niezbędny i proporcjonalny, aby zapewnić przestrzeganie RODO.
Natomiast stosownie do treści art. 83 ust. 2 RODO, administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a - h) oraz lit. j). Przepis art. 58 ust. 2 lit. b) RODO przewiduje uprawnienie naprawcze w formie udzielania upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania.
Pewnych wskazówek odnośnie wyboru właściwego środka udziela motyw 148 preambuły RODO, wedle którego jeżeli naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie, można zamiast tego udzielić upomnienia. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.
W świetle cytowanego powyżej motywu nie powinno budzić wątpliwości, iż skorzystanie z możliwości udzielenia upomnienia pozostawione zostało do uznania organu nadzorczego. Nadto ta forma załatwienia sprawy jest preferowana / zalecana w dwóch sytuacjach: gdy naruszenie zostało uznane za "niewielkie" lub gdy "grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie".
Wytyczne w tym zakresie wydała również Grupa Robocza Art. 29, które zostały potwierdzone przez Europejską Radę Ochrony Danych. W dokumencie tym wskazano: "W motywie 148 wprowadza się pojęcie >>niewielkich naruszeń<<. Takie naruszenia mogą odnosić się do pogwałcenia jednego lub kilku przepisów rozporządzenia wymienionych w art. 83 ust. 4 lub 5. Ocena kryteriów określonych w art. 83 ust. 2 może jednak skłonić organ nadzorczy do uznania, że w konkretnych okolicznościach danego przypadku dane naruszenie na przykład nie stanowi poważnego zagrożenia dla praw osób, których dane dotyczą, oraz nie wpływa na istotę danego obowiązku. W takich przypadkach karę pieniężną można (choć nie zawsze) zastąpić upomnieniem. W motywie 148 nie przewiduje się obowiązku zastępowania przez organ nadzorczy kary pieniężnej każdorazowo upomnieniem w przypadku niewielkiego naruszenia (>>można zamiast tego udzielić upomnienia<<), a raczej wskazuje się na możliwość, z której można skorzystać po dokonaniu konkretnej oceny wszystkich okoliczności sprawy" - vide Wytyczne Grupy Roboczej Art. 29 w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia Nr 2016/679 (WP 253).
Punktem wyjścia do podjęcia przez organ nadzorczy decyzji o udzieleniu upomnienia powinna być więc ocena, czy doszło do niewielkiego naruszenia, które nie ingeruje w istotę praw i obowiązków wynikających z RODO.
Okoliczności takie jak: działania uczestnika postępowania po uzyskaniu informacji o możliwości naruszenia danych (zgłoszenie naruszenia do PUODO, e-mail do pracowników z żądaniem usunięcia wiadomości elektronicznej z [...] stycznia 2022 r.), nieumyślny charakter stwierdzonego naruszenia, stopień współpracy Kuratora z organem, pozwalają przyjąć, iż skorzystanie przez PUODO z upomnienia było wystarczające. Odnotować również trzeba, że skarżąca, podważając zakwalifikowanie zaistniałego zdarzenia jako wyniku pomyłki, nie wykazała umyślnego (celowego) działania Kuratora. Także podane w skardze argumenty nie przemawiają za odmiennym uznaniem przyczyny tego zdarzenia aniżeli niezamierzony błąd.
Dla porządku wyjaśnić należy, że pozbawiony podstaw prawnych jest wniosek Kuratora o zasądzenie na jego rzecz kosztów postępowania sądowego. Żaden przepis p.p.s.a. nie przewiduje możliwości zasądzenia tych kosztów na rzecz innej strony (tj. organu lub właśnie uczestnika postępowania) aniżeli strona skarżąca w postępowaniu przed sądem administracyjnym pierwszej instancji.
W ocenie tutejszego Sądu, PUODO nie dopuścił się, mogącego mieć istotny wpływ na wynik sprawy, naruszenia przepisów procedury administracyjnej, a w szczególności art. 7, art. 77 § 1, art. 80 i art. 107 § 3 k.p.a. w związku z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), ponieważ wyjaśnił wszystkie okoliczności istotne dla rozstrzygnięcia przedmiotowej sprawy, jak również dokonał właściwej oceny zebranego materiału dowodowego, przeprowadzając tę ocenę w kontekście właściwie zastosowanych przepisów prawa materialnego. Motywy podjęcia zaskarżonej decyzji zostały przedstawione w sposób klarowny, przekonywujący i dostatecznie wyczerpujący.
Mając na uwadze powyższe, Wojewódzki Sąd Administracyjny w Warszawie w oparciu o art. 151 p.p.s.a. orzekł jak w sentencji wyroku.