III OSK 1774/25

III OSK 1774/25 - Wyrok NSA
Data orzeczenia
2026-01-16
orzeczenie prawomocne
Data wpływu
2025-09-10
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Mariusz Kotulski
Sławomir Wojciechowski /sprawozdawca/
Wojciech Jakimowicz /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
II SA/Wa 261/25 - Wyrok WSA w Warszawie z 2025-05-06
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę kasacyjną
Powołane przepisy
Dz.U. 2024 poz 935
art.184
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Dz.U.UE.L 2016 nr 119 poz 1 art.6 ust.1 lit.b
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Wojciech Jakimowicz Sędziowie: sędzia NSA Sławomir Wojciechowski (spr.) sędzia del. WSA Mariusz Kotulski Protokolant: asystent sędziego Aleksandra Kraus po rozpoznaniu w dniu 16 stycznia 2026 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Prezesa Urzędu Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 6 maja 2025 r., sygn. akt II SA/Wa 261/25 w sprawie ze skargi [...] Spółka komandytowa z siedzibą w [...] na punkt 1 decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia 28 lipca 2022 r., nr [...] w przedmiocie przetwarzania danych osobowych 1. oddala skargę kasacyjną; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz [...] Spółka komandytowa z siedzibą w [...] kwotę 360 zł (trzysta sześćdziesiąt złotych) tytułem zwrotu kosztów postępowania kasacyjnego.
Uzasadnienie
Wyrokiem z dnia 6 maja 2025 r., sygn. akt II SA/Wa 261/25, Wojewódzki Sąd Administracyjny w Warszawie, po rozpoznaniu na rozprawie, sprawy ze skargi [...] Sp. j. z siedzibą w [...] (dalej także jako: "Spółka", "strona skarżąca") na punkt 1 decyzji Prezesa Urzędu Ochrony Danych Osobowych (dalej także jako: "PUODO", "Prezes UODO", "organ", skarżący kasacyjnie") z dnia 28 lipca 2022 r., nr [...] w przedmiocie przetwarzania danych osobowych: w punkcie pierwszym – uchylił punkt 1 decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia 28 lipca 2022 r. nr [...]; w punkcie drugim – zasądził od Prezesa Urzędu Ochrony Danych Osobowych na rzecz [...] Sp. j. z siedzibą w [...] kwotę 697 (słownie: sześćset dziewięćdziesiąt siedem) złotych tytułem zwrotu kosztów postępowania.
Stan faktyczny sprawy przedstawia się w sposób następujący:
W dniu 31 sierpnia 2022 r. D.K. (dalej także jako: "wnioskodawca") wniósł do Prezesa Urzędu Ochrony Danych Osobowych skargę na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Spółkę, polegające na udostępnieniu osobom nieuprawnionym jego danych w zakresie imienia i nazwiska, podczas identyfikacji uprawnienia do skorzystania z usługi przewozowej.
PUODO decyzją z 28 lipca 2022 r. na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256) w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781), art. 5 ust 1, art. 6 ust. 1 i art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46WE (ogólne rozporządzenie o ochronie danych osobowych, Dz. Urz. UE L 119 z 4.05.2016), udzielił spółce upomnienia za naruszenie art. 6 ust 1 w zw. z art. 5 ust. 1 lit f RODO (pkt 1) i odmówił uwzględnienia wniosku w pozostałym zakresie (pkt 2).
W uzasadnieniu decyzji PUODO wskazał, że Spółka pozyskała dane osobowe wnioskodawcy w zakresie imienia, nazwiska, adresu poczty elektronicznej, numeru telefonu oraz numeru konta bankowego, na podstawie dobrowolnego ich udostępnienia przez Skarżącego w związku z zakupem biletów [...] za pośrednictwem strony internetowej [...], m.in. bilet na trasie [...] z dnia [...], bilet na trasie [...] z dnia [...], bilet na trasie [...] z dnia [...], bilet na trasie [...] z dnia [...], bilet na trasie [...] z dnia [...], bilet na trasie [...] z dnia [...], bilet na trasie [...] z dnia [...], bilet na trasie [...] z dnia [...], bilet na trasie [...] z dnia [...], bilet na trasie [...] z dnia [...], bilet na trasie [...] z dnia [...], bilet na trasie [...] z dnia [...], bilet na trasie [...] z dnia [...], bilet na trasie [...] z dnia [...] (dowód: wyjaśnienia Spółki z 12 stycznia 2021 r.).
Spółka wskazała, że przetwarza dane osobowe wnioskodawcy na podstawie art. 6 ust. 1 lit. b rozporządzenia 2016/679 w celu zawarcia bądź realizacji umowy przewozu osób lub rzeczy, dla wykonania której przetwarzanie danych jest niezbędne oraz na podstawie art. 6 lit. f rozporządzenia 2016/679 w celu realizacji prawnie uzasadnionego interesu w postaci konieczności rozpoznania zgłoszonej przez Skarżącego reklamacji usługi przewozowej oraz z uwagi na prowadzone postępowanie sądowo - administracyjne pod sygn. II SA Wa 1801/20 przed Wojewódzkim Sądem Administracyjnym w Warszawie (dowód: wyjaśnienia Spółki z 12 stycznia 2021 r.);
Spółka wyjaśniła, że pasażer, który zakupił bilet za pośrednictwem systemu internetowego Spółki ma obowiązek okazać kierowcy zakupiony bilet, a kierowca weryfikuje dane na nim widniejące z danymi zamieszczonymi na liście podróżnych, w tym datę i godzinę kursu jak również miejsce podróży, celem potwierdzenia prawa do przejazdu oraz dla uniknięcia sytuacji, w których pasażer omyłkowo pomylił autobus, datę, godzinę lub trasę konkretnego kursu. Podstawą prawną przyjętej przez Spółkę regulacji usługi przewozowej jest - jej zdaniem - art. 16 ustawy z dnia 15 listopada 1984 r. Prawo przewozowe (Dz. U. z 2020 r., poz. 8) oraz wewnętrzny Regulamin Przewozów (dowód: wyjaśnienia Spółki z dnia 16 maja 2019 r.). Lista podróżnych, zawierająca imię i nazwisko podróżnego, bez numeru telefonu i adresu poczty elektronicznej, dostępna jest - zdaniem Spółki - wyłącznie do wglądu kierowcy, który posiada stosowne upoważnienie i przechowuje ją w materiałowej, zamykanej teczce, niedostępnej dla osób trzecich, w której przewozi wszystkie dokumenty dotyczące danego kursu, a po kursie, listy przekazywane są upoważnionym pracownikom. Kierowcy nie mają dostępu do innych danych, poza tymi zawartymi na powierzonej im liście pasażerów, tj. imieniem oraz nazwiskiem, w szczególności do danych o szczególnym, tj. wrażliwym charakterze (dowód: wyjaśnienia Spółki z 12 stycznia 2021 r.);
Spółka oświadczyła, że nie odnotowała przypadku objętego skargą Skarżącego i nie potwierdza, aby wskazane przez niego rozmowy prowadzące do udostępnienia jego danych, utrwalone na nagraniach głosowych, miały miejsce w autobusie Spółki. Kierowca - zdaniem Spółki - nie żąda podania głośno nazwiska pasażera ani żadnych innych jego danych, nie czyta również głośno listy pasażerów ani ich nie wywołuje, bowiem podróżny zobowiązany jest do okazania kierowcy biletu, który kontrolowany jest przez kierowcę z listą pasażerów, natomiast osoba, która wejdzie na pokład autobusu może dobrowolnie się przedstawić. Jeżeli pasażer nie życzy sobie, aby jego dane widniały na iście pasażerów, ma możliwość zakupienia biletu bezpośrednio u kierowcy (dowód: wyjaśnienia Spółki z 12 stycznia 2021 r. oraz 5 maja 2021 r.);
Skarżący w trakcie wsiadania do autobusu został poproszony przez kierowcę o wskazanie swojego imienia i nazwiska, które ten dobrowolnie mu podał wypowiadając je na głos, w innym zaś przypadku kierowca pierwszy ujawnił dane osobowe Skarżącego; - nagranie dźwiękowe o nazwie "[...]" rozpoczyna się od niezrozumiałych słów, następnie słychać szum oraz silnik pojazdu, po czym pada wymiana zdań: "[...]", po czym, słychać szum, niezrozumiale głosy i nagranie kończy się; nagranie dźwiękowe o nazwie "[...]" rozpoczyna się od niezrozumiałych słów, po czym pada wymiana zdań: "[...]" - następnie przez dłuższy czas słychać niezrozumiałe głosy i nagranie kończy się; - nagranie dźwiękowe o nazwie "[...]" rozpoczyna się od słów: "[...]" - następnie przez dłuższy czas słychać niezrozumiałe głosy i nagranie kończy się (dowód: nagrania dźwiękowe stanowiące załącznik do skargi z 9 września 2020 r., notatka urzędowa z 4 stycznia 2021 r.).
Skarżący nie zwracał się do Spółki z żądaniem zaprzestania przetwarzania jego danych osobowych (dowód: wyjaśnienia Spółki z 12 stycznia 2021 r.);
Prezes UODO prowadził postępowanie administracyjne pod sygn. [...], w wyniku którego udzielił Spółce upomnienia za naruszenie art. 5 ust. 1 lit. f w zw, z art. 6 ust. 1 b rozporządzenia 2016/679, polegającego na udostępnieniu osobom nieuprawnionym danych Skarżącego w zakresie imienia i nazwiska, podczas identyfikacji jego uprawnienia do skorzystania z usługi przewozowej (dowód: pismo Skarżącego z 27 listopada 2020 r., wyjaśnienia Spółki z 12 stycznia 2021 r.).
Wydając zaskarżoną decyzję Prezes UODO wyjaśnił, że zgodnie z definicją przetwarzania danych osobowych, ujętą wart. 4 pkt 2 rozporządzenia 2016/679, pod pojęciem przetwarzania należy rozumieć operację lub zestaw operacji wykonywanych na danych osobowych lub ich zestawach w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Prawodawca uznał, że czynność przetwarzania dotyczy jakichkolwiek operacji wykonywanych na danych osobowych, w tym ich: zbierania, utrwalania, przechowywania, czy udostępniania, a zwłaszcza tych, które wykonuje się w systemach informatycznych. Nie ma natomiast znaczenia czy będą dokonywane automatycznie, czy w sposób niezautomatyzowany. Sposób zdefiniowania pojęcia przetwarzania danych wskazuje, że intencją ustawodawcy było objęcie tym terminem bardzo szerokiej gamy czynności na danych osobowych. Wyróżnienie zaś automatycznego przetwarzania danych osobowych miało na celu wyróżnienie go wobec postępu technologicznego i nadania w rozporządzeniu 2016/679 dodatkowych dyspozycji odnośnie chociażby profilowania danych. Tak ujęta definicja przetwarzania danych opiera się na założeniu o braku możliwości odgórnego wskazania konkretnych operacji, które jako jedyne mogą być wykonywane na danych osobowych.
Dlatego też, zdaniem Prezesa UODO, wszelkie działania podejmowane przez Spółkę, w tym przez pracowników Spółki w ramach realizacji usług, które za przedmiot mają informacje osobowe winny być zakwalifikowane jako przetwarzanie danych. W myśl rozporządzenia 2016/679, aby przetwarzanie danych osobowych było zgodne z prawem, administrator jest zobowiązany przetwarzać dane osobowe na podstawie przesłanek określonych w art. 6 rozporządzenia 2016/679. Przepis art. 5 ust. 1 lit. f rozporządzenia 2016/679 stanowi, iż dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową Utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność").
Zgodnie z motywem 10 rozporządzenia 2016/679, danymi wrażliwymi są szczególne kategorie danych osobowych, enumeratywnie wymienione w art. 9 rozporządzenia 2016/679, tj.: dane ujawniające pochodzenie rasowe lub etniczne, dane ujawniające poglądy polityczne, dane ujawniające przekonania religijne lub światopoglądowe, dane ujawniające przynależność do związków zawodowych, dane genetyczne, dane biometryczne, dane dotyczące zdrowia oraz dane dotyczące seksualności lub orientacji seksualnej. Dane osobowe w postaci imienia, nazwiska, numeru telefonu i adresu poczty elektronicznej nie znajdują się w tym katalogu. Za chybiony, Prezes UODO uznał zarzut Skarżącego, że Spółka przetwarza jego wrażliwe dane osobowe. Spółka uprawniona była do przetwarzania danych Skarżącego na podstawie art. 6 ust, 1 lit. b rozporządzenia 2016/679, do czasu zrealizowania każdej z zawartych umów, a także z uwagi na toczące się postępowanie sądowoadministracyjne, była uprawniona do przetwarzania danych osobowych do czasu prawomocnego zakończenia postępowania.
Jednakże, organ uznał, że ze zgromadzonego materiału dowodowego wynika, że Spółka udostępniła dane Skarżącego w zakresie jego imienia i nazwiska osobom nieuprawnionym, podczas identyfikacji jego uprawnienia do skorzystania z usługi przewozowej. Skarżący nie tylko został poproszony o podanie nazwiska, które zostało przez kierowcę powtórzone na głos, lecz także pracownik Spółki - kierowca - sam, z własnej inicjatywy podjął dialog ze Skarżącym w którym pierwszy ujawnił jego nazwisko. Doszło zatem do przetwarzania danych Skarżącego bez podstawy prawnej, z naruszeniem zasady poufności, w tym ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem. Choć Spółka oświadczyła, że nie odnotowała przypadku objętego skargą i nie potwierdza, aby wskazane przez niego rozmowy prowadzące do udostępnienia jego danych, utrwalone na nagraniach głosowych, miały miejsce w autobusie Spółki, to organ nie dał jej wiary wyjaśnieniom, z uwagi na zgromadzony w sprawie materiał dowodowy, w tym oświadczenie Skarżącego poparte przedłożonymi nagraniami głosowymi, pozostającymi w logicznym ciągu z postawionymi przez niego względem Spółki zarzutami. Organ ustalił, że Spółka przetwarzała dane osobowe Skarżącego, zaś pracownik Spółki - wymagając od Skarżącego podania jego imienia i nazwiska podczas weryfikacji jego uprawnienia do skorzystania z usługi przewozowej - zamiast dokonania wglądu w zakupiony przez Skarżącego bilet, udostępnił je na rzecz osób nieupoważnionych naruszając ich ochronę, powtarzając je na głos wśród osób nieupoważnionych do pozyskania informacji o jego tożsamości. Skarżący, jako pasażer, zobowiązany jest do okazania kierowcy biletu, nie zaś do przedstawienia się. Zebrany materiał dowodowy nie pozwolił przyjąć, iż Skarżący godził się na przetwarzanie przez kierowcę jego danych w kwestionowany przez niego sposób, który doprowadził do udostępnienia ich na rzecz osób trzecich, tj. pozostałych pasażerów autobusu.
W ocenie Prezesa UODO nie sposób przyjąć, że w sprawie doszło do naruszenia ochrony danych osobowych Skarżącego w zakresie udostępnienia osobom nieupoważnionym jego danych, znajdujących się na liście pasażerów. Poza oświadczeniem. Skarżący nie przedstawił żadnych innych dowodów potwierdzających podniesiony zarzut, a przeprowadzone postępowanie nie doprowadziło do ustalenia, że takie naruszenie miało miejsce, zaś Spółka słusznie wskazała, iż operacje przetwarzania danych w postaci weryfikacji przez kierowcę autobusu danych osobowych widniejących na bilecie z listą pasażerów są niezbędne oraz proporcjonalne w stosunku do celów przetwarzania.
Powyższa decyzja stała się przedmiotem skargi Spółki do Wojewódzkiego Sądu Administracyjnego w Warszawie. Spółka wniosła o uchylenie zaskarżonej decyzji w całości i o umorzenie postępowania; ewentualnie w przypadku nie stwierdzenia podstaw do umorzenia postępowania, wniosła o uchylenie zaskarżonej decyzji w części (tj. pkt. 1 Decyzji); nadto wniosła o zasądzenie od PUODO na rzecz Spółki zwrotu kosztów postępowania wraz z kosztami zastępstwa procesowego.
W odpowiedzi na skargę organ wniósł o jej oddalenie podtrzymując dotychczasową argumentację.
Wyrokiem z dnia 5 czerwca 2023 r. sygn. akt II SA/Wa 1818/22 Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu skargi Spółki na decyzję PUODO z dnia 28 lipca 2022 r. w przedmiocie przetwarzania danych osobowych uchylił tę decyzję w całości (pkt 1) i umorzył postępowanie przed PUODO (pkt 2).
WSA w Warszawie uznał, że wobec bezsporności faktów istotnych w kontekście oceny, czy organ administracji jest kompetentny do zastosowania środków przewidzianych w RODO, w świetle reguł ustawy o danych zabrakło podstaw do orzekania w sprawie co do meritum. W takiej sytuacji PUODO nie mógł wykonać kompetencji określonych w art. 58 ust. 2 lit. b RODO. Orzekając w sprawie naruszył więc dany przepis prawa materialnego zakreślający kompetencje organu, poprzez bezpodstawne zastosowanie, wobec art. 2 ust. 1 w zw. z art. 4 pkt 6 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781). W ocenie WSA w Warszawie w rozpatrywanej sprawie nie wystąpiły przesłanki prowadzenia postępowania przed danym organem i winno być ono umorzone.
Od powyższego wyroku PUODO wniósł skargę kasacyjną, zaskarżając go w całości i wniesiono o uchylenie wyroku w całości i rozpoznanie skargi kasacyjnej przez Naczelny Sąd Administracyjny, ewentualnie, o uchylenie wyroku w całości i przekazanie sprawy do ponownego rozpoznania WSA w Warszawie, oraz o zasądzenie zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego.
W odpowiedzi na skargę kasacyjną spółka wniosła o jej oddalenie w całości, zasądzenie zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego.
Naczelny Sąd Administracyjny, zw. dalej "NSA", wyrokiem z dnia 11 lutego 2025 r. sygn. akt III OSK 2602/23, uchylił wyrok WSA w Warszawie z dnia 5 czerwca 2023 r. sygn. akt II SA/Wa 1818/22, w sprawie ze skargi spółki na decyzję PUODO z dnia 28 lipca 2022 r. w przedmiocie przetwarzania danych osobowych - i przekazał sprawę do ponownego rozpoznania WSA w Warszawie.
NSA wskazał, że w sprawie nie jest kwestionowane, że spółka pełniła rolę administratora danych osobowych wnioskodawcy. Jest bezsporne, że spółka pozyskała dane osobowe wnioskodawcy w zakresie imienia, nazwiska, adresu zamieszkania, adresu e-mail, loginu, numeru telefonu oraz numeru konta bankowego, na podstawie dobrowolnego ich udostępnienia w związku z zakupem biletu autobusowego za pośrednictwem strony internetowej. Żadna ze stron nie neguje, że Spółka przetwarzała dane osobowe wnioskodawcy na podstawie art. 6 ust. 1 lit. b RODO, tj. w celu zawarcia i realizacji umowy przewozu osób lub rzeczy.
W przekonaniu NSA nie ma wątpliwości, że zakres informacji posiadanych przez spółkę stanowi zbiór danych, o jakim mowa w art. 4 pkt 6 RODO. Bez wątpienia są to informacje o zidentyfikowanej osobie fizycznej w rozumieniu art. 4 pkt 1 RODO. Są to również informacje uporządkowane i dostępne według określonych kryteriów, a więc podzielone i przyporządkowane takim identyfikatorom jak: imię, nazwisko, adres zamieszkania, adres e-mail, login, numer telefonu oraz numer konta bankowego. Wobec powyższego NSA nie podzielił oceny WSA w Warszawie, że w niniejszej sprawie przetwarzanie danych osobowych wnioskodawcy nie mieści się w zakresie stosowania RODO, albowiem nie ma charakteru całkowicie lub częściowo zautomatyzowanego, względnie nie jest niezautomatyzowanym przetwarzaniem danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych – art. 2 ust. 1 RODO.
W ślad za doktryną NSA zauważa, że podstawowe dane osobowe człowieka (imię i nazwisko) są jego dobrem osobistym, ale jednocześnie są dobrem powszechnym w tym znaczeniu, że istnieje publiczna zgoda na posługiwanie się nimi w życiu społecznym (towarzyskim, urzędowym, handlowym itd.) - zob. M. Pieńczykowski, Ochrona danych osobowych jako negatywna przesłanka udostępniania informacji publicznej, Zeszyty Naukowe Sądownictwa Administracyjnego z 2018 r., nr 2, str. 64 i n.
NSA zgodził się z ogólnym poglądem WSA, iż posłużenie się imieniem i nazwiskiem, a więc ujawnienie (przetworzenie) danych osobowych określonej osoby przy zwróceniu się do niej w miejscu publicznym nie musi jeszcze stanowić samo w sobie naruszenia RODO, lecz wyrażony przez WSA w Warszawie wniosek jest jednak zbyt ogólny, aby miał charakter uniwersalny i pozwalał tym samym na oddalenie skargi. Problem ten może być rozstrzygnięty jedynie na tle konkretnych okoliczności sprawy, na tle ustalonego stanu faktycznego. Istotne jest powiązanie tych danych osobowych, tj. imienia i nazwiska ze specyficznymi cechami zbioru, który w realiach niniejszej sprawy obejmował dane osobowe: imię, nazwisko, adres zamieszkania, adres e-mail, login, numer telefonu oraz numer konta bankowego, pozyskane w celu realizacji zawartej z wnioskodawcą umowy.
O ile zatem zwrócenie się samym imieniem i nazwiskiem do osoby w miejscu publicznym i to nawet w obecności innych osób nie musi wiązać się z naruszeniem RODO, gdyż dotyczy ujawnienia danych osobowych nie stanowiących zbioru danych, albo niemogących stanowić części zbioru danych z uwagi na kontekst ich ujawnienia – spotkanie towarzyskie, przedstawienie osoby fizycznej na oficjalnym spotkaniu, to już powiązanie tych danych z innymi informacjami może takie naruszenie kreować. Istotny jest więc kontekst treściowy i sytuacyjny, w ramach którego administrator danych użył imienia i nazwiska zwracając się do konkretnej osoby w miejscu publicznym oraz w obecności innych osób (jak wskazano wyżej nie dotyczy to użycia tych danych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze). W realiach niniejszej sprawy NSA przesądził, że spółka była administratorem danych osobowych wnioskodawcy i przetwarzała je w ramach zbioru danych, o którym mowa w art. 2 ust. 1 w zw. z art. 4 pkt 6 RODO. Tym samym dokonana przez WSA w Warszawie wykładnia powołanych przepisów była wadliwa, albowiem w sposób nieuprawniony wyłączała z zakresu stosowania RODO przetwarzanie danych osobowych wnioskodawcy. Sporne jest to, czy Spółka, jako administrator danych, doprowadziła do nieuprawnionego ujawnienia / rozpowszechnienia / udostępnienia danych osobowych wnioskodawcy, a zatem, czy nie przetwarzała tych danych z naruszeniem RODO.
Wojewódzki Sąd Administracyjny w Warszawie rozpatrując sprawę ponownie pod sygnaturą II SA/Wa 261/25 zważył, co następuje.
Przechodząc do wiążącej Sąd oceny prawnej podkreślić należy, że NSA w realiach niniejszej sprawy przesądził, że spółka świadcząca usługi przewozu była administratorem danych osobowych wnioskodawcy i przetwarzała je w ramach zbioru danych, o którym mowa w art. 2 ust. 1 w zw. z art. 4 pkt 6 RODO.
Nadto NSA stwierdził, że posłużenie się imieniem i nazwiskiem, a więc ujawnienie danych osobowych określonej osoby przy zwróceniu się do niej w miejscu publicznym nie musi jeszcze stanowić samo w sobie naruszenia RODO. Istotne jest jednak powiązanie tych danych osobowych, tj. imienia i nazwiska ze specyficznymi cechami zbioru, który w realiach niniejszej sprawy obejmował - dane osobowe: imię, nazwisko, adres zamieszkania, adres e-mail, login, numer telefonu oraz numer konta bankowego, pozyskane w celu realizacji zawartej z wnioskodawcą umowy. Bowiem powiązanie tych danych z innymi informacjami może takie naruszenie kreować. Istotny jest więc kontekst treściowy i sytuacyjny, w ramach którego administrator danych użył imienia i nazwiska zwracając się do konkretnej osoby w miejscu publicznym oraz w obecności innych osób.
Sporne zaś jest to, czy Spółka, jako administrator danych, doprowadziła do nieuprawnionego ujawnienia/rozpowszechnienia/udostępnienia danych osobowych wnioskodawcy, a zatem, czy nie przetwarzała tych danych z naruszeniem RODO.
Aby udzielić odpowiedzi na tak przedstawione pytanie, należy rozważyć, czy w celu uzasadnienia ewentualnego ujawnienia takich danych osobom trzecim można przywołać którąś z podstaw wynikających z art. 6 ust. 1 RODO.
W ocenie Sądu przepis art. 6 ust. 1 lit. b) RODO z którego wynika, że przetwarzanie danych osobowych jest zgodne z prawem, jeżeli jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy stanowi podstawę przetwarzania danych osobowych wnioskodawcy.
W tym względzie Trybunał orzekł, że aby przetwarzanie danych osobowych zostało uznane za niezbędne do wykonania umowy w rozumieniu tego przepisu, musi być ono obiektywnie konieczne do osiągnięcia celu, który stanowi integralną część świadczenia umownego na rzecz osoby, której te dane dotyczą.(...) Elementem zaś decydującym o zastosowaniu uzasadnienia, o którym mowa w art. 6 ust. 1 lit. b) RODO, jest to, że przetwarzanie danych osobowych dokonywane przez administratora ma istotne znaczenie dla prawidłowego wykonania umowy zawartej między nim a osobą, której dane dotyczą (wyrok Trybunału Sprawiedliwości z dnia 4 lipca 2023 r., Meta Platforms i in., C-252/21, EU:C:2023:537).
W świetle powyższego Sąd rozpoznający niniejszą sprawę podziela w tym zakresie stanowisko spółki, że podstawa przetwarzania danych osobowych wnioskodawcy wynikała z art. 6 ust. 1 lit. b) RODO. Istotnie, przesłanka legalizacyjna, wynikająca z art. 6 ust. 1 lit. b RODO opiera się na woli osoby, której dane dotyczą. Wola ta nie była pierwszoplanowo nakierowana na akceptację przetwarzania danych osobowych, lecz na zawarcie umowy. Jednak skutkiem wyrażenia takiej woli jest jednocześnie dopuszczenie przetwarzania danych osobowych w celu wykonania umowy.
Strona tej umowy godzi się na przetwarzanie danych osobowych w zakresie niezbędnym do jej wykonania.
Niezbędność przetwarzania danych osobowych do wykonania umowy zachodzi wówczas, gdy wykonanie operacji na danych jest potrzebne do realizacji praw lub obowiązków wynikających z umowy. Powinien zatem występować bezpośredni związek pomiędzy realizacją praw lub obowiązków wynikających z umowy, a potrzebą przetwarzania danych osobowych.
Nie można przy tym niezbędności utożsamiać z absolutną koniecznością, gdyż zawęziłoby to zbytnio zakres art. 6 ust. 1 lit. b RODO i mogłoby utrudnić obrót gospodarczy, i to zarówno z perspektywy podmiotów danych, jak i przedsiębiorców.
Za wskazanym podejściem przemawia motyw 39 RODO w którym podkreślono, że dane osobowe powinny być przetwarzane w sytuacjach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami. Zaakcentowanie przez prawodawcę unijnego ograniczenia poszukiwania alternatywnych dróg do osiągnięcia celu jedynie wśród rozsądnych sposobów, a nie wszystkich sposobów, pokazuje, że pojęcia niezbędności nie można oceniać w kategorii absolutnej konieczności. Takie rozumienie prowadziłoby bowiem do przyznania ochronie danych osobowych absolutnego priorytetu przy kształtowaniu stosunków umownych i konieczności wyboru takich, które niekoniecznie są rozsądne z punktu widzenia wygody podmiotu danych.
Przez wykonanie umowy należy rozumieć realizację praw i obowiązków, które mają swoje źródło w umowie, przy czym nie muszą wynikać tylko z dokumentu umowy, lecz mogą być przewidziane w przepisach które uzupełniają jej treść. Dlatego też w niniejszej sprawie kluczowa jest regulacja art. 16 ust. 3 ustawy z dnia 15 listopada 1984 r. Prawo przewozowe z którego wynika, że na bilecie mogą być umieszczane dodatkowe informacje, w tym dane osobowe pasażera, jeśli jest to niezbędne dla przewoźnika lub organizatora przewozu w zakresie realizacji przewozu. Oznacza to, że dane te mają uzasadniony cel, a ich gromadzenie jest konieczne dla realizacji podstawowej funkcji przewoźnika, czyli potwierdzenia uprawnienia danej osoby, widniejącej na bilecie z imienia i nazwiska, do przewozu.
W tym kontekście, podkreślić należy, że umieszczanie danych osobowych w postaci imienia i nazwiska pasażera na bilecie, jak również ich przedstawienie podczas wsiadania do autobusu, jak również powtórzenie ich przez kierowcę podczas weryfikacji z listą pasażerów jest ściśle związane z realizacją umowy przewozu. Taki proceder służy przede wszystkim celom identyfikacyjnym – pozwala przewoźnikowi na zweryfikowanie, czy osoba wchodząca do środka transportu jest uprawniona do przejazdu. Podanie i weryfikacja danych osobowych w tym kontekście ma bezpośredni związek z realizacją umowy przewozu, co jest zgodne z art. 6 ust. 1 lit. b RODO.
Zaznaczenia również wymaga, że samo przedstawienie się pasażera - z imienia i nazwiska – podczas wchodzenia do autokaru, a następnie powtórzenie tych danych przez kierowcę podczas weryfikacji z listą pasażerów w obecności osób trzecich uniemożliwiło jeszcze jednoznaczną identyfikację wnioskodawcy i powiązanie z jego numerem telefonu, adresem zamieszkania, adresem e-mail, czy innymi danymi. Z tych też względów Sąd nie dostrzega naruszenia danych osobowych wnioskodawcy w zakresie przez niego podnoszonym bowiem cel przetwarzania imienia i nazwiska wnioskodawcy podczas weryfikacji z listą pasażerów był bezpośrednio związany z wykonywaniem umowy. Służył zapewnieniu przejazdu uprawnionej osobie, co w konsekwencji oznacza, że spółka miała podstawę do przetwarzania danych osobowych wnioskodawcy w omawianym zakresie, a podstawy tej zasadnie upatruje w treści art. 6 ust. 1 lit. b) RODO.
Konkludując, należy stwierdzić, że w związku tym, iż spółka przetwarzała dane osobowe wnioskodawcy w sposób zgodny z prawem, a także rzetelnie i przejrzyście dla osoby, której dane dotyczą; zaś zbieranie tych danych nastąpiło w konkretnych, wyraźnych i prawnie uzasadnionych celach, a dane nie były przetwarzane dalej w sposób niezgodny z tymi celami, Sąd wywiódł, że w niniejszej sprawie organ niezasadnie stwierdził naruszenie art. 5 ust. 1 lit. f RODO, a udzielając w związku z tym spółce upomnienia naruszył powołane przepisy prawa materialnego.
Skargę kasacyjną od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie wywiódł, reprezentowany przez zawodowego pełnomocnika w osobie radcy prawnego, Prezes UODO zaskarżając go w całości i zarzucając zaskarżonemu orzeczeniu naruszenie przepisu prawa materialnego, tj. art. 6 ust. 1 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46WE (ogólne rozporządzenie o ochronie danych osobowych; Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej rozporządzeniem 2016/679, poprzez jego błędną wykładnię, a w konsekwencji niewłaściwe zastosowanie, polegające na przyjęciu, że wymawianie na głos, w obecności innych pasażerów, imienia i nazwiska pasażera, przez kierowcę autobusu w celu identyfikacji jego uprawnienia do skorzystania z usługi przewozowej jest niezbędne do wykonania umowy przewozu, podczas gdy taka forma przetwarzania (udostępnienia danych pasażera wobec osób postronnych) wykracza poza zakres konieczny do zrealizowania celu wynikającego z umowy przewozu.
Wskazując na powyższe zarzuty kasacyjne skarżący wniósł o uchylenie wyroku w całości i rozpoznanie skargi przez Naczelny Sąd Administracyjny poprzez jej oddalenie, ewentualnie, o uchylenie wyroku w całości i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie, zasądzenie zwrotu kosztów postępowania na rzecz organu według norm prawem przepisanych, w tym kosztów zastępstwa procesowego, a także o rozpoznanie skargi kasacyjnej na rozprawie.
W uzasadnieniu przedstawiono argumentację przemawiającą za zasadnością skargi kasacyjnej.
W odpowiedzi na skargę kasacyjną, reprezentowana przez zawodowego pełnomocnika w osobie radcy prawnego, Spółka wniosła o oddalenie w całości skargi kasacyjnej, zasądzenie od organu na rzecz Spółki zwrotu kosztów postępowania, w tym kosztów zastępstwa w postępowaniu sądowym według norm prawem przepisanych oraz o rozpoznanie skargi kasacyjnej na rozprawie.
Na etapie postępowania kasacyjnego Spółka zmieniła nazwę i aktualnie nazywa się: [...] Spółka komandytowa z siedzibą w [...].
Naczelny Sąd Administracyjny zważył, co następuje:
Skarga kasacyjna nie zasługuje na uwzględnienie.
Stosownie do art. 183 § 1 ustawy z dnia z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (tj. z dnia 23 maja 2024 r., Dz.U. z 2024 r. poz. 935; dalej jako: "p.p.s.a."), Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, bierze jednak z urzędu pod rozwagę przesłanki uzasadniające nieważność postępowania wymienione w art. 183 § 2 p.p.s.a. Granice skargi kasacyjnej są wyznaczone przez zakres zaskarżenia orzeczenia sądu pierwszej instancji oraz podniesione i poddane konkretyzacji podstawy kasacyjne.
Zgodnie z treścią art. 174 p.p.s.a., skargę kasacyjną można oprzeć na następujących podstawach: 1) naruszeniu prawa materialnego przez błędną jego wykładnię lub niewłaściwe zastosowanie; 2) naruszeniu przepisów postępowania, jeżeli uchybienie to mogło mieć istotny wpływ na wynik sprawy.
Powyższe ustawowe podstawy kasacyjne wymagają od skarżącego kasacyjnie konkretyzacji poprzez sformułowanie tzw. zarzutów kasacyjnych. Oznacza to, że jeżeli – tak jak w rozpoznawanej sprawie – nie zachodzi nieważność postępowania zakres postępowania kasacyjnego wyznacza strona wnosząca skargę kasacyjną przez przytoczenie podstaw kasacyjnych i ich uzasadnienie.
Jak już wyżej wskazano z przytoczonych przepisów wynika, że wywołane skargą kasacyjną postępowanie przed Naczelnym Sądem Administracyjnym podlega zasadzie dyspozycyjności i nie polega na ponownym rozpoznaniu sprawy w jej całokształcie, lecz ogranicza się do rozpatrzenia poszczególnych zarzutów przedstawionych w skardze kasacyjnej w ramach wskazanych podstaw kasacyjnych. Istotą tego postępowania jest bowiem weryfikacja zgodności z prawem orzeczenia wojewódzkiego sądu administracyjnego oraz postępowania, które doprowadziło do jego wydania.
Rozpoznawszy skargę kasacyjną, w tak zakreślonych granicach, Naczelny Sąd Administracyjny stwierdził, że nie ma ona usprawiedliwionych podstaw i tym samym podlega oddaleniu.
W rozpatrywanej sprawie skarżący kasacyjnie Prezes UODO oparł skargę kasacyjną wyłącznie na podstawie naruszenia przepisów prawa materialnego (art. 174 pkt 1 p.p.s.a.), tj. zarzucając wyrokowi Sądu pierwszej instancji naruszenie art. 6 ust. 1 lit. b RODO poprzez jego błędną wykładnię, a w konsekwencji niewłaściwe zastosowanie, polegające na przyjęciu, że wymawianie na głos, w obecności innych pasażerów, imienia i nazwiska pasażera, przez kierowcę autobusu w celu identyfikacji jego uprawnienia do skorzystania z usługi przewozowej jest niezbędne do wykonania umowy przewozu, podczas gdy taka forma przetwarzania (udostępnienia danych pasażera wobec osób postronnych) wykracza poza zakres konieczny do zrealizowania celu wynikającego z umowy przewozu.
O braku zasadności, tym samym skuteczności zarzucanego naruszenia art. 6 ust. 1 lit. b RODO poprzez jego błędną wykładnię przemawia jego wadliwa konstrukcja, zarówno na podstawie deficytów konstrukcji zarzutu, jak i jego uzasadnienia.
Przypomnienia wymaga – co nie jest bez znaczenia z punktu widzenia konsekwencji wynikających z zasady dyspozycyjności obowiązującej w postępowaniu wywołanym skargą kasacyjną – że błędna wykładnia, o której jest mowa w pkt 1 art. 174 p.p.s.a., to wadliwe zrekonstruowanie normy prawnej z konkretnego przepisu (przepisów) prawa, wyrażające się w mylnym zrozumieniu jego (ich) treści (w tym, przez wadliwą klaryfikację znaczeń), a przez to w wadliwym ustaleniu jego (ich) sensu normatywnego przez sąd administracyjny I instancji, co – aby zarzut naruszenia prawa przez jego błędną wykładnię mógł być rozpatrzony – wymaga wykazania na czym dokładnie polegała błędna wykładnia przepisu prawa, którego zarzut kasacyjny dotyczy oraz jaka powinna być jego wykładnia prawidłowa, i co jednocześnie oznacza potrzebę podjęcia merytorycznej polemiki ze stanowiskiem wyrażonym w uzasadnieniu zaskarżonego wyroku odnośnie do tego rodzaju kwestii spornej, a więc innymi słowy wymaga przeciwstawienia stanowisku nieprawidłowemu stanowiska, które zdaniem wnoszącego skargę kasacyjną jest prawidłowe (zob. np. wyroki NSA z: 28 lipca 2022 r., sygn. akt I OSK 1925/21; 6 listopada 2020, sygn. akt II GSK 742/20; 13 października 2017 r., sygn. akt II FSK 1445/15; treść uzasadnień orzeczeń przywołanych powyżej, dostępna jest w Centralnej Bazie Orzeczeń Sądów Administracyjnych, pod adresem: http://orzeczenia.nsa.gov.pl/).
Odwołując się do przyjmowanego w orzecznictwie Naczelnego Sądu Administracyjnego rozumienia błędu wykładni oraz koniecznych wymogów, którym powinien czynić zadość zarzuty błędnej wykładni prawa materialnego stawiany na podstawie z pkt 1 art. 174 p.p.s.a., trzeba stwierdzić, że omawiany zarzut kasacyjny nie mógł być uznany za zasadny.
Niezależnie od powyższego należy wskazać należy, że prawo do ochrony danych osobowych jest prawem gwarantowanym zarówno w krajowym, jak i unijnym porządku prawnym. Na płaszczyźnie regulacji krajowej prawo do ochrony danych osobowych znajduje oparcie w art. 51 Konstytucji RP. Przepis ten określa podstawowe uprawnienia składające się na prawo do ochrony danych osobowych, w kwestiach szczegółowych odsyłając do regulacji ustawowej.
W piśmiennictwie przedmiotu przyjmuje się, że prawo do ochrony danych osobowych stanowi refleks ogólnej zasady autonomii informacyjnej człowieka i swego rodzaju emanację ogólnego prawa do prywatności, gwarantowanego w art. 47 Konstytucji RP, ze względu na to, że dane osobowe są częścią życia prywatnego bądź posługiwanie się danymi dotyczącymi innej osoby wkracza w przyznaną jej kompetencję do decydowania o swoim życiu osobistym (por. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Warszawa 2015, s. 260-261). Wywodząca się z prawa niemieckiego koncepcja autonomii informacyjnej jednostki jest przyjmowana również na gruncie prawa polskiego, co dostrzec można zarówno w poglądach doktrynalnych, jak też w judykaturze. W wyroku z 19 lutego 2002 r. (U 3/01, OTK-A 2002/1, poz. 3) Trybunał Konstytucyjny stwierdził, że tzw. autonomia informacyjna jednostki (gwarantowana w art. 51 Konstytucji RP), oznaczająca prawo do samodzielnego decydowania o ujawnianiu innym informacji dotyczących swojej osoby, a także prawo do sprawowania kontroli nad takimi informacjami znajdującymi się w posiadaniu innych podmiotów, są elementami składowymi prawa do ochrony prawnej życia prywatnego, gwarantowanego w art. 47 Konstytucji RP (na temat autonomii informacyjnej w orzecznictwie TK szerzej por. P. Litwiński, Zasada autonomii informacyjnej w orzecznictwie Trybunału Konstytucyjnego a stosowanie przepisów o ochronie danych osobowych (w:) Ochrona danych osobowych w Polsce z perspektywy dziesięciolecia, red. P. Fajgielski, Lublin 2008, s. 169-184). Zakres autonomii informacyjnej jednostki stale zmniejsza się, co jest spowodowane przesuwaniem ciężaru ochrony jednostki i jej prywatności w kierunku instytucjonalnych, publicznoprawnych instytucji i środków (M. Safjan, Prawo do prywatności i ochrona danych osobowych w społeczeństwie informatycznym, PiP 2002/6, s. 5; patrz: wyrok NSA z dnia 1 października 2025 r., sygn. akt III OSK 1877/22, CBOSA).
W porządku prawnym UE prawo do ochrony danych osobowych jest jednym z praw podstawowych, które zostało zagwarantowane w art. 8 ust. 1 Karty praw podstawowych UE oraz art. 16 ust. 1 TFUE, o czym przypomina motyw 1 preambuły. W myśl wskazanych powyżej przepisów każda osoba ma prawo do ochrony danych osobowych jej dotyczących. Zgodnie z art. 8 ust. 2 Karty praw podstawowych UE dane osobowe powinny być przetwarzane rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej ustawą; każdy ma prawo dostępu do zebranych danych, które go dotyczą, i prawo do dokonania ich sprostowania, natomiast ust. 3 stanowi, iż przestrzeganie tych zasad podlega kontroli niezależnego organu.
Przepis art. 16 ust. 2 TFUE uprawnia Parlament Europejski i Radę UE do tego, aby stanowiąc zgodnie ze zwykłą procedurą ustawodawczą, określiły zasady dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii oraz przez państwa członkowskie w wykonywaniu działań wchodzących w zakres zastosowania prawa Unii, a także zasady dotyczące swobodnego przepływu takich danych. W odniesieniu do unijnych instytucji i organów zasady zostały określone w rozporządzeniu Parlamentu Europejskiego i Rady 2018/1725 z 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.Urz.UE.L 295, s. 39 i n.), natomiast zasady ochrony danych przez państwa członkowskie regulowane są przepisami RODO.
Podkreślić należy, że dane osobowe są elementem konstytucyjnego prawa do prywatności. Zatem przepis art. 6 ust. 1 RODO należy postrzegać w kategoriach regulacji prawnej wprowadzającej ograniczenia w zakresie prawa do prywatności, co pociąga za sobą dwie konsekwencje. Pierwszą odnoszoną do stanowienia prawa, drugą do stosowania prawa. Gdy idzie o stanowienie prawa, ramy dalszego ograniczania prawa przez ustawodawcę zwykłego, poza przypadkami wskazanymi w przepisach art. 6 ust. 1 RODO, nakłada art. 31 ust. 3 Konstytucji RP. Dopuszcza on możliwość ograniczania praw uregulowanych w Konstytucji, pod warunkiem, że ograniczenia w zakresie korzystania z konstytucyjnych wolności i praw ustanawiane są w ustawach i tylko wtedy, gdy są konieczne w demokratycznym państwie dla jego bezpieczeństwa lub porządku publicznego, bądź dla ochrony środowiska, zdrowia i moralności publicznej, albo wolności i praw innych osób. Poza wymogami formalnymi i materialnym ograniczenia te nie mogą naruszać istoty wolności i praw (patrz: wyrok NSA z dnia 1 października 2025 r., sygn. akt III OSK 1877/22, CBOSA).
Z punktu widzenia procesów stosowania prawa przepis art. 6 ust. 1 RODO jako wprowadzający ograniczenia w zakresie konstytucyjnego prawa do prywatności, należy interpretować wyłącznie w ramach tzw. wykładni literalnej, tj. wykładni ścisłej, takiej, której rezultat pokrywa się z wynikiem wykładni językowej (vide szerzej na ten temat TK w orzeczeniu z 28 czerwca 2000 r., K 25/99, OTK 2000, Nr 5, poz. 141). Wymóg zastosowania technik tej wykładni wynika z charakteru przepisów art. 6 ust. 1 RODO, które mają charakter ograniczający prawa lub wolności jednostki. Stanowisko co do obowiązku interpretowania wedle reguł wykładni literalnej przepisów tego rodzaju jest ugruntowane w orzecznictwie TK (vide: wyrok TK z 25 lutego 1999 r., K 23/98, OTK 1999, Nr 2, poz. 25), orzecznictwie SN (np. postanowienie SN z 14 stycznia 2009 r., IV CSK 344/08), a przede wszystkim orzecznictwie NSA, który prezentuje je konsekwentnie od początku swojej działalności (np. wyrok NSA z 15 czerwca 2000 r., I SA/Gd 606/98; wyrok NSA z 1 czerwca 2004 r., GSK 30/04 ), jak również w doktrynie (jako przykład wskazać można: L. Morawski, Zasady wykładni prawa, Toruń 2014, s. 191 i nast.; patrz: wyrok NSA z dnia 1 października 2025 r., sygn. akt III OSK 1877/22, CBOSA).
Uwzględnić również należy, że mając na uwadze dyspozycję art. 190 p.p.s.a., Naczelny Sąd Administracyjny w wyroku z dnia 11 lutego 2025 r. sygn. akt III OSK 2602/23, zgodził się z ogólnym poglądem WSA, iż posłużenie się imieniem i nazwiskiem, a więc ujawnienie (przetworzenie) danych osobowych określonej osoby przy zwróceniu się do niej w miejscu publicznym nie musi jeszcze stanowić samo w sobie naruszenia RODO. Problem ten może być rozstrzygnięty jedynie na tle konkretnych okoliczności sprawy, na tle ustalonego stanu faktycznego.
Przenosząc powyższe rozważania na problematykę wykładni przepisu art. 6 ust. 1 lit. b RODO, interpretacja użytego w tym przepisie wyrażenia językowego "niezbędne do wykonania umowy", który ciążył na administratorze, wymagała przyjęcia takiego rozumienia tego wyrażenia, zgodnie z którym umieszczanie danych osobowych w postaci imienia i nazwiska pasażera na bilecie, jak również ich przedstawienie podczas wsiadania do autobusu, jak również powtórzenie ich przez kierowcę podczas weryfikacji z listą pasażerów jest ściśle związane z realizacją umowy przewozu. Trafnie wskazał Sąd pierwszej instancji, że cel przetwarzania imienia i nazwiska wnioskodawcy podczas weryfikacji z listą pasażerów służył zapewnieniu przejazdu uprawnionej osobie. Innymi słowy, taki proceder służy przede wszystkim celom identyfikacyjnym i pozwala przewoźnikowi na zweryfikowanie, czy osoba wchodząca do środka transportu jest uprawniona do przejazdu. W konsekwencji podanie i weryfikacja danych osobowych ma bezpośredni związek z realizacją umowy przewozu, co oznacza, że spółka miała podstawę do przetwarzania danych osobowych wnioskodawcy w omawianym zakresie, a podstawy tej zasadnie upatruje w treści art. 6 ust. 1 lit. b) RODO.
Naczelny Sąd Administracyjny podziela ocenę prawną Sądu pierwszej instancji, że w niniejszej sprawie istotny jest kontekst treściowy i sytuacyjny, w ramach którego administrator danych użył imienia i nazwiska zwracając się do konkretnej osoby w miejscu publicznym oraz w obecności innych osób. Samo przedstawienie się pasażera – z imienia i nazwiska – podczas wchodzenia do autokaru, a następnie powtórzenie tych danych przez kierowcę podczas weryfikacji z listą pasażerów w obecności osób trzecich uniemożliwiło jeszcze jednoznaczną identyfikację wnioskodawcy i powiązanie z jego numerem telefonu, adresem zamieszkania, adresem e-mail, czy innymi danymi.
Dlatego przedmiotowy zarzut naruszenia prawa materialnego nie mógł odnieść zamierzonego skutku.
W rekapitulacji przedstawionych argumentów należało więc stwierdzić, że zarzut skargi kasacyjnej nie podważa zgodności z prawem zaskarżonego wyroku.
Z powyższych względów Naczelny Sąd Administracyjny uznając, że skarga kasacyjna nie została oparta na uzasadnionych podstawach, orzekł o jej oddaleniu na podstawie art. 184 p.p.s.a.
O kosztach postępowania kasacyjnego, Naczelny Sąd Administracyjny, orzekł jak w pkt 2. sentencji wyroku, na podstawie art. 204 pkt 2 p.p.s.a. i art. 205 § 2 p.p.s.a.