III OSK 1891/22

III OSK 1891/22 - Wyrok NSA
Data orzeczenia
2025-10-15
orzeczenie prawomocne
Data wpływu
2022-08-02
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Artur Kuś /sprawozdawca/
Kazimierz Bandarzewski
Przemysław Szustakiewicz /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
II SA/Wa 1923/21 - Wyrok WSA w Warszawie z 2022-02-01
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę kasacyjną
Powołane przepisy
Dz.U. 2024 poz 935
art. 184
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Sentencja
Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Przemysław Szustakiewicz Sędziowie: sędzia NSA Artur Kuś (spr.) sędzia del. WSA Kazimierz Bandarzewski Protokolant: starszy asystent sędziego Nina Muszyńska po rozpoznaniu w dniu 15 października2025 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej P. K. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z 1 lutego 2022 r. sygn. akt II SA/Wa 1923/21 w sprawie ze skargi P. K. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z 2 marca 2021 r., nr ZSPR.440.1228.2019.FT.MD. w przedmiocie przetwarzania danych osobowych oddala skargę kasacyjną.
Uzasadnienie
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z 1 lutego 2022 r. sygn. akt II SA/Wa 1923/21 oddalił skargę P. K. (dalej: "Skarżący") na decyzję Prezesa Urzędu Ochrony Danych Osobowych (dalej: "PUODO") z 2 marca 2021 r., nr ZSPR.440.1228.2019.FT.MD. w przedmiocie przetwarzania danych osobowych.
W uzasadnieniu wyroku Sąd I instancji przyjął następujące okoliczności faktyczne i prawne.
Do Urzędu Ochrony Danych Osobowych wpłynęła skarga P. K. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] Bank (dalej: "Bank"), polegające na: udostępnieniu bez podstawy prawnej danych [...] S.A. z siedzibą w Warszawie (dalej: "[...]") przy ul. [...] (poprzednio: [...] S.A. z siedzibą w [...] przy ul. [...]; dalej [...]), oraz przetwarzaniu bez podstawy prawnej tych danych przez [...].
Skarżący podniósł, że pracownik Banku będący w posiadaniu jego danych osobowych, jako klienta Banku, bez zgody i upoważnienia przekazał dane te do [...], który następnie przetwarzał te bez podstawy prawnej, wykorzystując je w celu podpisania w imieniu Skarżącego umowy nabycia obligacji serii [...] S.A. Powyższe dotyczyło danych skarżącego obejmujących imiona, nazwisko, adres zameldowania, adres do korespondencji, numer PESEL, adres e-mail, numer telefonu, numer rachunku bankowego prowadzonego przez Bank, informację o kwocie pieniędzy, którą dysponował Skarżący. Podkreślił, że nigdy nie wypełniał ani nie podpisywał umowy nabycia obligacji, tym samym nie wyraził zgody na przekazanie, wykorzystanie i przetwarzanie jego danych osobowych przez [...] w żadnym zakresie. Skarżący zażądał ponadto przeprowadzenia kontroli, w celu ustalenia czy doszło do naruszenia jego praw i ukarania winnych tego naruszenia Bank rozpoczął przetwarzanie danych Skarżącego 23 marca 2017 r. w związku z zawarciem umowy o rachunek oszczędnościowo-rozliczeniowy, która pozostaje aktywna. Bank dane osobowe pozyskał bezpośrednio od Skarżącego.
W przeszłości Bank i Skarżącego łączyła również umowa o rachunek terminowej lokaty oszczędnościowej.
Bank wyjaśnił, iż wobec zainteresowania Skarżącego produktem oferowanym przez [...], Bank przekazał dane Skarżącego do tego podmiotu w zakresie niezbędnym do skorzystania z oferty i umożliwiającym nawiązanie kontaktu ze Skarżącym w postaci: imienia, nazwiska, numeru telefonu, adresu poczty elektronicznej. Dalszą bezpośrednią korespondencję z [...] Skarżący prowadził osobiście. Bank wskazał, że przekazanie danych Skarżącego nastąpiło w oparciu o art. 23 ust. 1 pkt 3 – obowiązującej w chwili przedmiotowego przekazania – ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.; dalej: "ustawa z 1997 r."). Przydział obligacji Skarżącemu nastąpił 27 marca 2017 r.
Bank zaprzeczył, by działał wbrew woli Skarżącego i wskazał, że Skarżący po otrzymaniu korespondencji z [...], postępował zgodnie z instrukcjami [...], w tym dokonał wpłaty kwoty, za którą zadeklarował nabycie obligacji, na wskazany przez oferenta numer rachunku bankowego. O zakończonej transakcji [...] bezpośrednio poinformował Skarżącego przydziałem obligacji (dowód: pismo Banku z 8 października 2019 r.).
Bank wskazał, iż Skarżący osobiście wyraził zgodę na zakup obligacji, co potwierdza korespondencja pomiędzy Skarżącym, pod adresem [...], a [...], pod adresami [...] i [...].com.pl, z której wynika, że Skarżący złożył zapis na zakup obligacji i opłacił go, wobec czego w dniu 27 marca 2017 r. dokonano przydziału obligacji na jego rzecz (dowód: pismo Banku z 8 października 2019 r. i 27 lutego 2020 r.).
Bank wskazał, że Skarżący nie żądał od Banku ograniczenia przetwarzania jego danych osobowych oraz sprzeciwu w zakresie przetwarzania jego danych. Występował jedynie z zarzutem wprowadzenia w błąd oraz żądaniem zwrotu środków finansowych, za jakie nabył produkty oferowane przez [...].
W dniu 8 listopada 2018 r. Komisja Nadzoru Finansowego na podstawie art. 167 ust. 2 pkt 2 w związku z art. 167 ust. 1 pkt 1 i 2 ustawy o obrocie instrumentami finansowymi w brzmieniu sprzed wejścia w życie ustawy z dnia 1 marca 2018 r. o zmianie ustawy o obrocie instrumentami finansowymi oraz niektórych innych ustaw, cofnęła [...] S.A. z siedzibą w Warszawie zezwolenie na prowadzenie działalności maklerskiej.
PUODO decyzją z 2 marca 2021 r., znak ZSPR.440.1228.2019.FT.MD, na podstawie art. 104 i art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2020 r. poz. 256 ze zm. dalej: "k.p.a."), art. 6 ust. 1 oraz art. 58 ust. 2 pkt g rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej, L 119, 4 maja 2016; dalej: "rozporządzenie RODO"), nakazał [...] usunięcie przetwarzanych bez podstawy prawnej danych osobowych Skarżącego w zakresie: imion, nazwiska, adresu zameldowania, adresu do korespondencji, numeru PESEL, adresu e-mail, numeru telefonu, numeru rachunku bankowego prowadzonego przez [...] Bank oraz informacji o kwocie pieniędzy, którą dysponował wyżej wymieniony, w pozostałym zakresie umorzył postępowanie.
W uzasadnieniu wyjaśnił, że jak wynika z poczynionych w toku postępowania ustaleń, [...] pozyskał i przetwarza dane osobowe Skarżącego w związku z zawarciem i wykonaniem zawartej ze Skarżącym umowy nabycia oferowanych przez [...] obligacji. Do zawarcia ww. umowy doszło 27 marca 2017 r., a więc w czasie, gdy obowiązywała ustawa z 1997 r. Skarżący zarzucił [...], że podmiot ten przetwarza jego dane osobowe bez podstawy prawnej, zaś zgromadzony materiał dowodowy nie wykazał, aby [...] usunął dane osobowe Skarżącego, pozyskane w celu realizacji przedmiotowej umowy, zatem uznać należy, jak stwierdził organ, że dane te nadal są przez [...] przetwarzane. Zdaniem organu, do powyższego procesu zastosowanie znajdują więc obecnie przepisy obowiązujące w czasie wydawania rozstrzygnięcia sprawy, tj. rozporządzenia RODO.
PUODO wskazał, że w niniejszej sprawie dane osobowe Skarżącego przetwarzane są przez [...] w związku z zawartą ze Skarżącym umową nabycia oferowanych przez [...] obligacji, w zakresie imion, nazwiska, adresu zameldowania, adresu do korespondencji, numeru PESEL, adresu e-mail, numeru telefonu, numeru rachunku bankowego prowadzonego przez Bank oraz informacji o kwocie pieniędzy, którą dysponował Skarżący.
PUODO wyjaśnił, że zgodnie z definicją określoną w art. 3 pkt 1 w zw. z art. 2 ust. 1 pkt 1 ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi (Dz. U. z 2021 r. poz. 328 dalej: "u.o.i.f."), obligacje stanowią instrumenty finansowe. W myśl art. 69 ust. 1 u.o.i.f. prowadzenie działalności maklerskiej wymaga zezwolenia Komisji Nadzoru Finansowego, wydanego na wniosek, złożony przez zainteresowany podmiot. Zgodnie natomiast z ust. 2 ww. przepisu działalność maklerska, z zastrzeżeniem art. 16 ust. 3 i 5 oraz art. 70 u.o.i.f., obejmuje m.in. wykonywanie czynności polegających na: przyjmowaniu i przekazywaniu zleceń nabycia lub zbycia instrumentów finansowych; wykonywaniu zleceń, o których mowa w pkt 1, na rachunek dającego zlecenie; nabywaniu lub zbywaniu na własny rachunek instrumentów finansowych; zarządzaniu portfelami, w skład których wchodzi jeden lub większa liczba instrumentów finansowych; doradztwie inwestycyjnym; oferowaniu instrumentów finansowych; świadczeniu usług w wykonaniu zawartych umów o gwarancję emisji lub zawieraniu i wykonywaniu innych umów o podobnym charakterze, jeżeli ich przedmiotem są instrumenty finansowe. Ponadto w myśl ust. 4 ww. przepisu działalnością maklerską jest również m.in. wykonywanie przez firmę inwestycyjną czynności polegających na przechowywaniu lub rejestrowaniu instrumentów finansowych, w tym prowadzeniu rachunków papierów wartościowych, rachunków derywatów i rachunków zbiorczych, oraz prowadzeniu rachunków pieniężnych.
Odnosząc się do powyższego PUODO wskazał, że wobec cofnięcia [...] 8 listopada 2018 r. przez Komisję Nadzoru Finansowego zezwolenia na prowadzenie działalności maklerskiej, podmiot ten obecnie nie może wykonywać opisanej wyżej działalności. Tym samym odpadła przesłanka określona w art. 6 ust. 1 lit. b rozporządzenia RODO, która legalizowała kwestionowany przez Skarżącego proces przetwarzania jego danych osobowych przez [...] w celu zawarcia i wykonania umowy nabycia obligacji oferowanych przez [...]. Ponadto, pomimo wezwań kierowanych przez organ do [...] w toku niniejszego postępowania, podmiot ten nie wykazał istnienia jakiejkolwiek innej podstawy prawnej, która stanowiłaby obecnie o legalności procesu przetwarzania danych osobowych Skarżącego. Ponownie organ wskazał, że obowiązkiem administratora, w myśl określonej w art. 5 ust. 2 rozporządzenia RODO zasady rozliczalności jest wykazanie, że prowadząc procesy przetwarzania danych osobowych przestrzega zasad określonych w art. 5 ust. 1, w tym, że przetwarzanie danych osobowych odbywa się w sposób zgodny z prawem.
Odnosząc się do żądania Skarżącego dotyczącego przeprowadzenia działań kontrolnych, PUODO podkreślił, że czynności kontrolne nie są podejmowane na wniosek osoby zainteresowanej. Powyższa kwestia może być przedmiotem postępowania administracyjnego prowadzonego przez organ właściwy do spraw ochrony danych osobowych z urzędu. Podjęte przez organ do spraw ochrony danych osobowych postępowanie z urzędu toczy się wówczas pomiędzy administratorem danych, a Prezesem Urzędu. Postępowanie kontrolne dotyczące przetwarzania danych osobowych dotyczy bowiem danych osobowych nie tylko Skarżącego, ale także innych osób, których dane są przetwarzane. Tym samym nie może on być wówczas informowany o podejmowanych czynnościach, nie przysługuje mu bowiem status strony postępowania. Kontrola stosowanych przez administratorów praktyk, nie może być przedmiotem indywidualnej skargi, gdyż należy do autonomicznych kompetencji Prezesa UODO.
Organ wyjaśnił również, że poza zakresem kompetencji PUODO pozostaje orzekanie o popełnieniu przestępstwa, gdyż jedynie organy ścigania władne są ocenić, czy w konkretnej sprawie istnieją podstawy do wszczęcia postępowania przygotowawczego w trybie k.p.k., a o tym, czy przestępstwo istotnie zostało popełnione zadecydować może jedynie sąd powszechny po ewentualnym przeprowadzeniu stosownego postępowania w trybie i na zasadach przewidzianych w odrębnych przepisach.
PUODO stwierdził, że postępowanie administracyjne prowadzone przez organ w każdym przypadku służy zbadaniu zasadności skierowania pod adresem określonego podmiotu nakazu, odpowiadającego dyspozycji art. 58 ust. 2 rozporządzenia RODO, służącego przywróceniu stanu zgodnego z prawem w procesie przetwarzania danych. Wobec ustalenia, że obecnie brak jest podstaw prawnych, które legalizowałyby proces przetwarzania danych osobowych Skarżącego przez [...], PUODO skorzystał z przysługującego mu uprawnienia, o którym mowa w art. 58 ust. 2 lit. g rozporządzenia RODO i nakazał [...] usunięcie danych osobowych Skarżącego w zakresie imion, nazwiska, adresu zameldowania, adresu do korespondencji, numeru PESEL, adresu e-mail, numeru telefonu, numeru rachunku bankowego prowadzonego przez Bank oraz informacji o kwocie pieniędzy, którą dysponował Skarżący.
Umarzając ponadto postępowanie w zakresie zarzutu udostępnienia przez Bank danych osobowych Skarżącego bez podstawy prawnej na rzecz [...], Prezes UODO wyjaśnił, że w czasie, gdy miało dojść do zdarzeń opisanych w treści skargi, obowiązywały przepisy ustawy z 1997 r. Przepisy te określały zasady przetwarzania danych osobowych do 24 maja 2018 r. natomiast od 25 maja 2018 r., obowiązują przepisy rozporządzenia RODO, oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781, dalej: "ustawa z 2018 r.").
Organ wyjaśnił, że opisane w treści skargi zdarzenie, polegające na udostępnieniu przez Bank danych Skarżącego na rzecz [...], nie może być rozpatrywane w toku postępowania administracyjnego zmierzającego do wydania decyzji w oparciu o przepisy rozporządzenia RODO. Kwestionowany przez Skarżącego proces przetwarzania danych osobowych przez Bank rozpoczął się i zakończył przed 25 maja 2018 r. Artykuł 99 ust. 1 rozporządzenia RODO wprost wskazuje, że niniejsze rozporządzenie ma zastosowanie od dnia 25 maja 2018 r. W związku z tym, przepisy rozporządzenia RODO mają zastosowanie wyłącznie w sprawach, w których skargę wniesiono od 25 maja 2018 r. i w tej dacie kwestionowany proces przetwarzania danych osobowych trwał. Jednocześnie organ wskazał, że zgodnie z motywem rozporządzenia RODO "każdy organ nadzorczy powinien być właściwy na terytorium swojego państwa członkowskiego do wykonywania uprawnień i wypełniania zadań powierzonych mu w myśl niniejszego rozporządzenia. (...) Powinno to dotyczyć rozpatrywania skarg wnoszonych przez osoby, których dane dotyczą, prowadzenia postępowań w sprawie stosowania niniejszego rozporządzenia oraz uświadamiania ryzyka, zasad, zabezpieczeń i praw związanych z przetwarzaniem danych osobowych". Podkreślił, że zgodnie z art. 55 ust. 1 RODO każdy organ nadzorczy jest właściwy do wypełniania zadań i wykonywania uprawnień powierzonych mu zgodnie z niniejszym rozporządzeniem na terytorium swojego państwa członkowskiego, natomiast do zadań organu nadzorczego należy prowadzenie postępowań w sprawie stosowania tego rozporządzenia (art. 57 ust. 1 lit. h rozporządzenia RODO).
PUODO podał, że w sprawie kwestionowanego przez Skarżącego udostępnienia przez Bank jego danych osobowych na rzecz [...] organ nadzorczy nie ma możliwości zastosowania przysługujących mu uprawnień naprawczych. Zdarzenie, którego przedmiotowa skarga dotyczy zakończyło się przed dniem 25 maja 2018 r., a postępowanie administracyjne w tej sprawie zostało zainicjowane po dniu 25 maja 2018 r. Z uwagi na fakt, że kwestionowane w skardze zdarzenie miało miejsce i zakończyło się w czasie, gdy obowiązywały przepisy ustawy z 1997 r., a postępowanie administracyjne przed organem nadzorczym zostało zainicjowane w czasie, gdy zaczęły obowiązywać przepisy ustawy z dnia 10 maja 2018 r. do rozstrzygnięcia przedmiotowej sprawy nie jest możliwe również zastosowanie przepisów ustawy z 1997 r. Artykuł 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. stanowi, że jedynie postępowania, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy z dnia 10 maja 2018 r., są prowadzone przez PUODO, na podstawie ustawy z 1997 r. Tym samym PUODO nie ma możliwości prowadzenia postępowania administracyjnego w oparciu o przepisy ustawy z 1997 r., gdyż postępowanie w przedmiotowej sprawie zostało wszczęte po dniu wejścia w życie ustawy z dnia 10 maja 2018 r. Brak jest również podstawy do korzystania przez Prezesa Urzędu Ochrony Danych Osobowych z uprawnień przewidzianych w uchylonej ustawie z 1997 r. w tym do oceny zgodności zachowania administratora z ww. przepisami w przypadku, gdy skarżony proces przetwarzania nie był kontynuowany po 25 maja 2018 r. Organ nie może również dokonać oceny zgodności kwestionowanych w skardze działań administratora z rozporządzeniem 2016/679, ponieważ zdarzenie będące przedmiotem skargi ma charakter zakończony i nie było kontynuowane po 25 maja 2018 r. Ponadto, jak podał organ, brak jest obecnie przepisów kompetencyjnych uprawniających organ do prowadzenia postępowania w przedmiocie oceny zgodności działania administratora z przepisami ustawy z 1997 r.
Wobec powyższego PUODO stwierdził, że niniejsze postępowanie w zakresie dotyczącym kwestionowanego udostępnienia przez Bank danych osobowych Skarżącego na rzecz [...] podlega umorzeniu na podstawie art. 105 § 1 Kpa. Zgodnie z ww. przepisem, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości lub w części, organ administracji publicznej wydaje decyzję o umorzeniu postępowania odpowiednio w całości lub w części. Brzmienie powołanej regulacji nie pozostawia wątpliwości, iż w razie stwierdzenia bezprzedmiotowości postępowania organ prowadzący to postępowanie obligatoryjnie je umarza. Ustalenie przez organ publiczny istnienia przesłanki, o której mowa w art. 105 § 1 k.p.a. zobowiązuje go, jak podkreśla się w doktrynie i orzecznictwie, do umorzenia postępowania, nie ma bowiem wówczas podstaw do rozstrzygnięcia sprawy co do istoty, a dalsze prowadzenie postępowania w takim przypadku stanowiłoby o jego wadliwości, mającej istotny wpływ na wynik sprawy.
W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie skarżący zarzucił naruszenie:
1. art. 8 k.p.a. i art. 107 § 3 k.p.a. w zw. z art. 2 Konstytucji poprzez nienależyte uzasadnienie zaskarżonej decyzji z uwagi na zbyt ogólnikowe stwierdzenia, uniemożliwiające realizację zasady pogłębiania zaufania obywateli do organów administracji publicznej oraz przeprowadzenie kontroli zaskarżonej decyzji;
2. art. 6 k.p.a. w zw. z art. 2 Konstytucji, art. 31 Konstytucji i art. 51 Konstytucji poprzez nienależyte wypełnienie obowiązku zapewnienia ochrony prawnej naruszonych, poprzez kradzież danych osobowych, wolności człowieka;
3. art. 9 k.p.a. i art. 107 § 3 k.p.a. w zw. z art. 45 Konstytucji poprzez nienależyte wypełnienie obowiązku wyczerpującego informowania stron o okolicznościach faktycznych i prawnych, które mogą mieć wpływ na ustalenie ich praw oraz obowiązków, w szczególności nie wskazanie drogi prawnej, za pomocą której Skarżący może dochodzić swoich praw, będących przedmiotem postępowania administracyjnego, prowadząc do poniesienia szkody przez Skarżącego;
4. art. 175 ustawy z dnia 10 maja 2018 roku o ochronie danych osobowych w zw. z art. 8 ust. 1 Karty Praw Podstawowych oraz art. 16 ust. 1 TFUE, a także art. 8 EKPCz poprzez ich niezastosowanie, podczas gdy z wyżej wskazanych przepisów wynika, że ustawodawca wprowadzając rozporządzenia RODO nie uchylił regulacji dotyczących przetwarzania danych osobowych w celu rozpoznania, zapobiegania, wykrywania i zwalczania czynów zabronionych oraz prowadzenia postępowań w sprawach dotyczących tych czynów, prowadzenia postępowań w sprawach dotyczących tych czynów oraz wykonywania orzeczeń w nich wydanych, kar porządkowych i środków przymusu w zakresie określonym w przepisach stanowiących podstawę działania służb i organów uprawnionych do realizacji zadań w tym zakresie; ponadto naruszono wypływające z Karty Praw Podstawowych oraz TFUE prawo każdej osoby do ochrony danych osobowych jej dotyczących.
Skarżący uznał, że w związku z powyższym na podstawie art. 267 TFUE zasadne wydaje się zwrócenie z pytaniem prejudycjalnym do TSUE w celu uzyskania odpowiedzi czy wydane przez organ administracji publicznej decyzje o umorzeniu postępowań bądź odmowie ich wszczęcia poprzez wskazanie, że w oparciu o art 99 ust. RODO, nie istnieje organ posiadający kompetencje do rozstrzygania spraw, które miały miejsce przed wejściem w życie rozporządzenia RODO (tj. przed 25 maja 2018 roku), a co do których skargi w zakresie naruszeń ochrony danych osobowych zostały wniesione po dacie 25 maja 2018 roku, są zgodne z art. 16 ust. 1 TFUE oraz art. 8 ust. 1 Karty Praw Podstawowych, a jeżeli takie rozstrzygnięcie byłoby uznane za nieprawidłowe, to w oparciu o jakie przepisy (obowiązujące w chwili naruszenia przepisów o ochronie danych osobowych czy też aktualnie obowiązujące) powinny być stosowane.
W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując stanowisko zaprezentowane w uzasadnieniu zaskarżonej decyzji.
Powołanym na wstępie wyrokiem Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę.
W uzasadnieniu podkreślił, że z zebranego w niniejszej sprawie materiału dowodowego wynika, iż Bank rozpoczął przetwarzanie danych Skarżącego 23 marca 2017 r. w związku z zawarciem umowy o rachunek oszczędnościowo-rozliczeniowy. Bank dane osobowe pozyskał bezpośrednio od Skarżącego. W przeszłości Bank i Skarżącego łączyła również umowa o rachunek terminowej lokaty oszczędnościowej, na co wskazuje pismo Banku z 8 października 2019 r. Wobec zainteresowania Skarżącego produktem oferowanym przez [...], Bank przekazał dane Skarżącego do tego podmiotu w zakresie niezbędnym do skorzystania z oferty i umożliwiającym nawiązanie kontaktu ze Skarżącym w postaci: imienia, nazwiska, numeru telefonu, adresu poczty elektronicznej. Dalszą bezpośrednią korespondencję z [...] Skarżący prowadził osobiście. Jak wynika z wyjaśnień Banku, przekazanie danych Skarżącego nastąpiło w oparciu o art. 23 ust. 1 pkt 3 – obowiązującej w chwili przedmiotowego przekazania – ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Natomiast przydział obligacji Skarżącemu nastąpił w dniu 27 marca 2017 r., co potwierdzają pisma Banku z 8 października 2019 r. i 27 lutego 2020 r. Z kolei Skarżący zarzucił [...], że podmiot ten przetwarza jego dane osobowe bez podstawy prawnej, zaś zgromadzony materiał dowodowy nie wykazał, aby [...] usunął dane osobowe Skarżącego, pozyskane w celu realizacji przedmiotowej umowy.
W ocenie Sądu I instancji do powyżej określonego procesu zastosowanie znajdują obecnie przepisy obowiązujące w czasie wydawania rozstrzygnięcia niniejszej sprawy, tj. rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).
Ponadto wyjaśnił, że postępowanie administracyjne prowadzone przez Prezesa UODO w każdym przypadku służy zbadaniu zasadności skierowania pod adresem określonego podmiotu nakazu, odpowiadającego dyspozycji art. 58 ust. 2 RODO, służącego przywróceniu stanu zgodnego z prawem w procesie przetwarzania danych. Mając na uwadze treść pkt 1 sentencji zaskarżonej decyzji warto wskazać, że wobec ustalenia, zgodnie z którym obecnie brak jest podstaw prawnych, które legalizowałyby proces przetwarzania danych osobowych Skarżącego przez [...], Prezes UODO skorzystał z przysługującego mu uprawnienia, o którym mowa w art. 58 ust. 2 lit. g rozporządzenia RODO i nakazał [...] usunięcie danych osobowych Skarżącego w zakresie imion, nazwiska, adresu zameldowania, adresu do korespondencji, numeru PESEL, adresu e-mail, numeru telefonu, numeru rachunku bankowego prowadzonego przez Bank oraz informacji o kwocie pieniędzy, którą dysponował Skarżący.
W ocenie Sądu I instancji, PUODO zasadnie umorzył postępowanie co do postawionego zarzutu udostępnienia przez Bank danych osobowych Skarżącego bez podstawy prawnej na rzecz [...].
Wskazał, że w czasie, gdy miało dojść do zdarzeń opisanych w treści skargi, obowiązywały przepisy ustawy z 1997 r., które określały zasady przetwarzania danych osobowych do 24 maja 2018 r., natomiast od 25 maja 2018 r., obowiązują przepisy RODO oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (ustawa z dnia 10 maja 2018 r.).
W ocenie Sadu I instancji zdarzenie, polegające na udostępnieniu przez Bank danych Skarżącego na rzecz [...], nie może być rozpatrywane w toku postępowania administracyjnego zmierzającego do wydania decyzji w oparciu o przepisy rozporządzenia RODO. Kwestionowany przez Skarżącego proces przetwarzania danych osobowych przez Bank rozpoczął się i zakończył przed 25 maja 2018 r., na co wskazują ustalenia poczynione przez organ. Sąd I instancji stwierdził, że przepis art. 99 ust. 1 rozporządzenia RODO wprost wskazuje, że niniejsze rozporządzenie ma zastosowanie od 25 maja 2018 r. W związku z tym, przepisy rozporządzenia RODO mają zastosowanie wyłącznie w sprawach, w których skargę wniesiono od 25 maja 2018 r. i w tej dacie kwestionowany proces przetwarzania danych osobowych trwał. Jednocześnie należy wskazać, że zgodnie z motywem rozporządzenia RODO "każdy organ nadzorczy powinien być właściwy na terytorium swojego państwa członkowskiego do wykonywania uprawnień i wypełniania zadań powierzonych mu w myśl niniejszego rozporządzenia. (...) Powinno to dotyczyć rozpatrywania skarg wnoszonych przez osoby, których dane dotyczą, prowadzenia postępowań w sprawie stosowania niniejszego rozporządzenia oraz uświadamiania ryzyka, zasad, zabezpieczeń i praw związanych z przetwarzaniem danych osobowych". Podkreślić należy, że zgodnie z art. 55 ust. 1 RODO każdy organ nadzorczy jest właściwy do wypełniania zadań i wykonywania uprawnień powierzonych mu zgodnie z niniejszym rozporządzeniem na terytorium swojego państwa członkowskiego, natomiast do zadań organu nadzorczego należy prowadzenie postępowań w sprawie stosowania tego rozporządzenia (art. 57 ust. 1 lit. h rozporządzenia RODO).
Przepis art. 58 rozporządzenia RODO określa uprawnienia organu nadzorczego. Przepisy art. 58 ust. 1, 2 i 3 rozporządzenia RODO wyliczają uprawnienia przysługujące każdemu organowi nadzorczemu – uprawnienia do prowadzenia postępowań, uprawnienia naprawcze i do nakładania kar, uprawnienia do udzielania zezwoleń i uprawnienia doradcze oraz uprawnienia do zgłaszania naruszeń organom wymiaru sprawiedliwości oraz do udziału w postępowaniu sądowym. Ocena dokonywana przez organ w każdym przypadku służy zbadaniu zasadności skierowania pod adresem określonego podmiotu rozstrzygnięcia odpowiadającego dyspozycji art. 58 ust. 2 rozporządzenia RODO służącego przywróceniu stanu zgodnego z prawem. W sprawie kwestionowanego przez Skarżącego udostępnienia przez Bank jego danych osobowych na rzecz [...] organ nadzorczy nie miał możliwości zastosowania przysługujących mu uprawnień naprawczych. Zdarzenie, którego dotyczy skarga złożona do PUODO zakończyło się bowiem przed dniem 25 maja 2018 r., a postępowanie administracyjne w tej sprawie zostało zainicjowane po dniu 25 maja 2018 r.
Zdaniem Sądu I instancji z uwagi na fakt, że kwestionowane w skardze zdarzenie miało miejsce i zakończyło się w czasie, gdy obowiązywały przepisy ustawy z 1997 r., a postępowanie administracyjne przed organem nadzorczym zostało zainicjowane w czasie, gdy zaczęły obowiązywać przepisy ustawy z dnia 10 maja 2018 r., do rozstrzygnięcia przedmiotowej sprawy nie mogły również zostać zastosowane przepisy ustawy z 1997 r.
Przepis art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. stanowi, że jedynie postępowania, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy z dnia 10 maja 2018 r., są prowadzone przez PUODO, na podstawie ustawy z 1997 r. Tym samym PUODO nie miał możliwości prowadzenia postępowania administracyjnego w oparciu o przepisy ustawy z 1997 r., gdyż postępowanie w przedmiotowej sprawie zostało wszczęte po dniu wejścia w życie ustawy z dnia 10 maja 2018 r. Nie istniały również podstawy do skorzystania przez PUODO z uprawnień przewidzianych w uchylonej ustawie z 1997 r. w tym do oceny zgodności zachowania administratora z ww. przepisami w przypadku, gdy skarżony proces przetwarzania nie był kontynuowany po 25 maja 2018 r. Organ nie mógł również dokonać oceny zgodności kwestionowanych w skardze działań administratora z RODO, ponieważ zdarzenie będące przedmiotem skargi ma charakter zakończony i nie było kontynuowane po 25 maja 2018 r. Ponadto brak jest obecnie przepisów kompetencyjnych uprawniających organ do prowadzenia postępowania w przedmiocie oceny zgodności działania administratora z przepisami ustawy z 1997 r.
W ocenie Sądu I instancji prawidłowe jest stanowisko PUODO, zgodnie z którym niniejsze postępowanie w zakresie dotyczącym kwestionowanego udostępnienia przez Bank danych osobowych Skarżącego na rzecz [...] podlega umorzeniu na podstawie art. 105 § 1 k.p.a..
Sąd wskazał, że ustalenie przez organ publiczny istnienia przesłanki, o której mowa w art. 105 § 1 k.p.a. zobowiązuje go, jak podkreśla się w doktrynie i orzecznictwie, do umorzenia postępowania, nie ma bowiem wówczas podstaw do rozstrzygnięcia sprawy co do istoty, a dalsze prowadzenie postępowania w takim przypadku stanowiłoby o jego wadliwości, mającej istotny wpływ na wynik sprawy.
Odnosząc się do postawionych przez Skarżącego zarzutów naruszenia przepisów postępowania administracyjnego, Sąd I instancji wskazał, że rozstrzygnięcie w niniejszej sprawie wydane zostało w oparciu o stan faktyczny ustalony między innymi w wyniku złożonych przez strony oświadczeń. Zdaniem Sądu wydanie decyzji przez PUODO zostało poprzedzone dokładnym zbadaniem okoliczności faktycznych sprawy oraz zebraniem niezbędnego i wystarczającego materiału dowodowego. PUODO prowadząc postępowanie w tej sprawie podjął niezbędne i wystarczające działania, konieczne dla wyjaśnienia stanu faktycznego sprawy. Ponadto na podstawie art. 10 k.p.a. organ zapewnił stronom czynny udział w każdym stadium postępowania, a przed wydaniem decyzji umożliwił im wypowiedzenie się co do zebranych dowodów i materiałów oraz zgłoszonych żądań.
Skarżący wywiódł skargę kasacyjną od powyższego wyroku zarzucając naruszenie:
1. przepisów postępowania w postaci art. 145 § 1 pkt 1 i 3 p.p.s.a. poprzez oddalenie skargi, pomimo, że PUODO dopuścił się naruszeń procedury administracyjnej, w stopniu mającym istotny wpływ na wynik sprawy:
- art. 7 k.p.a. w zw. z art. 32 Konstytucji oraz art. 8 Konstytucji poprzez ich błędną wykładnie i oddalenie skargi bez dokładnego wyjaśnienia stanu faktycznego, podczas gdy pogłębiona analiza okoliczności przedmiotowej sprawy daje podstawy do uznania, że decyzja PUODO została wydana z pominięciem interesu społecznego i słusznego interesu obywateli, w sposób niezgodny z zasadami prawdy obiektywnej oraz przy nieuwzględnieniu nadrzędnych norm konstytucyjnych;
- art. 8 k.p.a. i art. 107 § 3 k.p.a. w zw. z art. 2 Konstytucji, poprzez ich niewłaściwe zastosowanie i oddalenie skargi z uwagi na uznanie, że uzasadnienie zaskarżonej decyzji, było skonstruowane i wydane w sposób należyty, podczas gdy z uwagi na zawarte w niej I ogólne stwierdzenia, uniemożliwiono realizację zasady pogłębiania zaufania obywateli do organów administracji publicznej oraz przeprowadzenie kontroli zaskarżonej decyzji, a także naruszono prawo do równego traktowania;
- art. 6 k.p.a. i art. 7b k.p.a. w zw. z art. 2 Konstytucji, art. 31 Konstytucji i art. 51 Konstytucji poprzez ich niewłaściwe zastosowanie i oddalenie skargi z uwagi na uznanie, że decyzja PUODO została wydana w sposób zgodny z porządkiem prawnym, podczas gdy doszło do nienależytego wypełnienia obowiązku zapewnienia ochrony prawnej danych osobowych oraz naruszenia godności człowieka;
- art. 9 k.p.a. i art. 107 § 3 k.p.a. w zw. z art. 45 Konstytucji poprzez ich błędną wykładnię i oddalenie skargi z uwagi na uznanie, że uzasadnienie decyzji PUODO jest wyczerpujące, podczas gdy na gruncie niniejszej sprawy, doszło do nienależytego wypełnienia obowiązku wyczerpującego informowania stron o okolicznościach faktycznych i prawnych, które mogą mieć wpływ na ustalenie ich praw oraz obowiązków, w szczególności poprzez niewskazanie drogi prawnej, za pomocą której Skarżący mógłby dochodzić swoich praw;
- art. 7 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a. i art. 107 § 3 k.p.a. poprzez ich niezastosowanie i oddalenie skargi z pominięciem zarzutu w zakresie niezasadności decyzji PUODO, z uwagi na nierówne traktowanie, a w konsekwencji poniesienie przez Skarżącego szkody, podczas gdy wyczerpujące zebranie i rozpatrzenie materiału dowodowego sprawy, prowadziłoby do wniosku, że wydanie przedmiotowej decyzji przez PUODO pozbawiło Skarżącego prawa do ochrony danych osobowych;
- art. 7 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a. i art. 107 § 3 k.p.a. w zw. z art. 175 ustawy z dnia 10 maja 2018 t. o ochronie danych osobowych (t.j. Dz. U. z 2019 r. poz. 1781, w zw. z art. 8 ust. 1 Karty Praw Podstawowych Unii Europejskiej (Dz. U.juE. C. z 2007 r. Nr 303, str. 1) oraz art. 16 ust. 1 Traktat o funkcjonowaniu Unii Europejskiej (Dz. U. z 2004 r. Nr 90, poz. 864/2 ze zm., dalej: "TFUE"), a także art. 8 Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności sporządzonej w Rzymie dnia 4 listopada 1950 r., zmienionej Protokołami nr 3, 5 i 8 oraz uzupełniona Protokołem nr 2 (Dz. U. z 1993 r. Nr 61, poz. 284 ze zm., dalej: "EKPCz"), poprzez brak rozpatrzenia skargi Skarżącego co do istoty sprawy i uznanie, że brak jest obecnie przepisów kompetencyjnych uprawniających organ do prowadzenia postępowania w przedmiocie oceny zgodności działania administratora z przepisami ustawy z 1997 roku, naruszając tym samym, wypływające z Karty Praw Podstawowych oraz TFUE prawo każdej osoby do ochrony danych osobowych jej dotyczących, podczas gdy z wyżej wskazanych przepisów wynika, że ustawodawca wprowadzając rozporządzenie RODO, nie uchylił regulacji dotyczących przetwarzania danych osobowych w celu rozpoznania, zapobiegania, wykrywania i zwalczania czynów zabronionych oraz prowadzenia postępowań w sprawach dotyczących tych czynów, prowadzenia postępowań w sprawach dotyczących tych czynów oraz wykonywania orzeczeń w nich wydanych, kar porządkowych i środków przymusu w zakresie określonym w przepisach stanowiących podstawę działania służb i organów uprawnionych do realizacji zadań w tym zakresie;
- art. 5, art. 6 oraz art. 58 rozporządzenia RODO w zw. z art. 175 ustawy o ochronie danych osobowych, poprzez ich błędną wykładnie i uznanie, że nie istnieje organ posiadający kompetencje do prowadzenia postępowania w przedmiocie oceny zgodności działania administratora z przepisami ustawy z 1997 roku, pozbawiając tym samym Skarżącego ochrony prawnej, podczas gdy z wyżej wymienionej podstawy prawnej wynika, że organem właściwym w zakresie kontroli przetwarzania danych osobowych jest PUODO, który to powinien czuwać nad tym, aby dane osobowe przetwarzane były w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych;
2. naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, w postaci art. 141 p.p.s.a. poprzez sporządzenie uzasadnienie przez Sąd w sposób niejasny, nielogiczny i niespójny z wydanym rozstrzygnięciem, z uwagi na wskazanie w uzasadnieniu wyroku na istnienie luki w prawie a następnie oddalenie skargi, podczas gdy, argumentacja przedstawiona w skardze, wskazuje na wydanie decyzji przez PUODO w sposób niezgodny z prawem.
Skarżący kasacyjnie stwierdził, że zasadne wydaje się zwrócenie z pytaniem prejudycjalnym do TSUE, na podstawie art. 267 TFUE w celu uzyskania odpowiedzi na pytanie, czy z art. 58 rozporządzenia RODO wynika, że organem posiadającym kompetencje do rozstrzygania spraw, które miały miejsce przed wejściem w życie rozporządzenia RODO (tj. przed 25 maja 2018 r.), a co, do których skargi w zakresie naruszeń ochrony danych osobowych zostały wniesione po dacie 25 maja 2018 r. jest PUODO.
Podnosząc powyższe zarzuty wniósł o uwzględnienie skargi oraz uchylenie w całości zaskarżonego wyroku Wojewódzkiego Sądu Administracyjnego i przekazanie sprawy do ponownego rozpoznania Sądowi I instancji oraz o zasądzenie kosztów postępowania, w tym kosztów, zastępstwa według norm przepisanych.
Skarżący wniósł o rozpoznanie skargi kasacyjnej na rozprawie.
W odpowiedzi na skargę kasacyjną PUODO wniósł o jej oddalenie.
Naczelny Sąd Administracyjny zważył, co następuje.
1. Stosownie do art. 183 § 1 ustawy z 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2024 r., poz. 935 ze zm.; dalej: "p.p.s.a."), Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania. W rozpoznawanej sprawie nie zachodzi żadna z okoliczności skutkujących nieważnością postępowania, o jakich mowa w art. 183 § 2 p.p.s.a. i nie zachodzi żadna z przesłanek, o których mowa w art. 189 p.p.s.a., które Naczelny Sąd Administracyjny rozważa z urzędu dokonując kontroli zaskarżonego skargą kasacyjną wyroku. W tych okolicznościach w sprawie badaniu podlegały wyłącznie zarzuty podniesione w skardze kasacyjnej na uzasadnienie przytoczonej podstawy kasacyjnej.
Skargę kasacyjną można oprzeć na następujących podstawach: a) naruszeniu prawa materialnego przez błędną jego wykładnię lub niewłaściwe zastosowanie, b) naruszeniu przepisów postępowania, jeżeli uchybienie to mogło mieć istotny wpływ na wynik sprawy (art. 174 p.p.s.a.).
W skardze kasacyjnej zarzucono naruszenie wyłącznie szczegółowo wskazanych przepisów postępowania. Dodatkowo wniesiono o zwrócenie się z pytaniem prejudycjalnym do TSUE, w celu uzyskania odpowiedzi na pytanie, czy z art. 58 RODO wynika, że organem posiadającym kompetencje do rozstrzygania spraw, które miały miejsce przed wejściem w życie ustawy RODO (tj. przed 25 maja 2018 roku), a co, do których skargi w zakresie naruszeń ochrony danych osobowych zostały wniesione po dacie 25 maja 2018 r. - jest PUODO.
Podkreślić należy, że zarówno skarga do Sądu I instancji jak i skarga kasacyjna odnosi się wyłącznie do części zaskarżonej decyzji PUODO, tj. umorzenia postępowanie w zakresie zarzutu udostępnienia przez Bank danych osobowych skarżącego bez podstawy prawnej na rzecz [...].
2. W pierwszej kolejności NSA wskazuje, że w niniejszej sprawie nie ma potrzeby zwracania się z pytaniem prejudycjalnym do TSUE.
Art. 267 TFUE zobowiązuje sąd, którego orzeczenie nie podlega zaskarżeniu według prawa krajowego do wystosowania pytania prejudycjalnego, ale jedynie wówczas gdy zachodzą do tego wskazane w art. 267 zdanie pierwsze i drugie TFUE podstawy o charakterze merytorycznym. Obowiązek ten aktualizuje się dopiero wówczas, gdy sąd poweźmie wątpliwości w zakresie wykładni prawa unijnego (por. wyrok NSA z 28 lutego 2023 r., sygn. akt I GNP 1/23).
Przesłanki dopuszczalności pytania prawnego do TSUE są następujące: a) pytanie prawne musi dotyczyć wykładni lub/i ważności przepisów prawa unijnego, b) kwestia wykładni lub/i obowiązywania prawa unijnego została podniesiona przed sądem lub trybunałem państwa członkowskiego, c) rozstrzygnięcie tej kwestii jest "niezbędne" do wydania przez sąd lub trybunał orzeczenia. Z użytego w art. 267 TFUE pojęcia "niezbędne" należy wnioskować, że ostatnio wymieniona przesłanka nie zachodzi w sytuacjach, gdy odpowiedź na pytanie prawne w żaden sposób nie wpłynie na wynik sprawy lub gdy wykładnia prawa unijnego nie ma wprost odniesienia do istoty sprawy lub przedmiotu skargi. A taka sytuacja występuje w niniejszej sprawie.
W ocenie skarżącego kasacyjnie, kluczowym zagadnieniem prawnym w niniejszej sprawie jest to, czy z art. 58 rozporządzenia RODO wynika, że PUODO jest organem posiadającym kompetencje do rozstrzygania spraw, które miały miejsce przed wejściem w życie rozporządzenia RODO (tj. przed 25 maja 2018 r.), a co, do których skargi w zakresie naruszeń ochrony danych osobowych zostały wniesione po 25 maja 2018 r. Rozstrzygnięcie powyższej kwestii jest niezbędne do wydania wyroku w przedmiotowej sprawie, bowiem uznanie decyzji PUODO za zasadną, doprowadza do pozostawienia naruszenia ochrony danych osobowych, które miało miejsce w przypadku skarżącego, poza obszarem sankcjonowania, co jest niezgodne z nadrzędnymi zasadami i wartościami prawa, w tym zasady prawdy obiektywnej oraz praworządności, a także z prawem pierwotnym UE.
Zdaniem NSA, brak konieczności zwrócenia się do TSUE z pytaniem prejudycjalnym uzasadniają wskazane argumenty merytoryczne odnoszące się do pozostałych zarzutów skargi kasacyjnej zawarte w niniejszym uzasadnieniu.
3. Dla właściwej oceny wyroku Sądu I instancji konieczne jest skrótowe wskazanie na istotne okoliczności wynikające ze stanu faktycznego sprawy. Okoliczności te determinują bowiem dalsze postępowanie organów w sprawie i prawidłową ocenę tego postępowania dokonana przez Sąd I instancji. W niniejszej sprawie:
- Bank rozpoczął przetwarzanie danych skarżącego w dniu 23 marca 2017 r. w związku z zawarciem umowy o rachunek oszczędnościowo-rozliczeniowy;
- Bank dane osobowe pozyskał bezpośrednio od skarżącego;
- w przeszłości Bank i skarżącego łączyła umowa o rachunek terminowej lokaty oszczędnościowej (por. pismo Banku z 8 października 2019 r.);
- wobec zainteresowania skarżącego produktem oferowanym przez [...], Bank przekazał dane skarżącego do tego podmiotu w zakresie niezbędnym do skorzystania z oferty i umożliwiającym nawiązanie kontaktu ze skarżącym w postaci: imienia, nazwiska, numeru telefonu, adresu poczty elektronicznej;
- dalszą bezpośrednią korespondencję z [...] skarżący prowadził osobiście;
- przekazanie danych skarżącego nastąpiło w oparciu o art. 23 ust. 1 pkt 3 - obowiązującej w chwili przedmiotowego przekazania - ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych;
- przydział obligacji Skarżącemu nastąpił w dniu 27 marca 2017 r. (por. pisma Banku z 8 października 2019 r. i 27 lutego 2020 r.);
- skarżący zarzucił [...], że podmiot ten przetwarza jego dane osobowe bez podstawy prawnej, zaś zgromadzony materiał dowodowy nie wykazał, aby [...] usunął dane osobowe Skarżącego, pozyskane w celu realizacji przedmiotowej umowy.
W kwestii regulacji prawnych mających zastosowanie w niniejszej sprawie, Sąd I instancji wskazał, że:
- do opisanego procesu zastosowanie znajdują obecnie przepisy obowiązujące w czasie wydawania rozstrzygnięcia niniejszej sprawy, tj. rozporządzenie RODO;
- postępowanie administracyjne prowadzone przez PUODO w każdym przypadku służy zbadaniu zasadności skierowania pod adresem określonego podmiotu nakazu, odpowiadającego dyspozycji art. 58 ust. 2 rozporządzenia RODO, służącego przywróceniu stanu zgodnego z prawem w procesie przetwarzania danych;
- wobec ustalenia, zgodnie z którym obecnie brak jest podstaw prawnych, które legalizowałyby proces przetwarzania danych osobowych skarżącego przez [...], PUODO skorzystał z przysługującego mu uprawnienia, o którym mowa w art. 58 ust. 2 lit. g rozporządzenia RODO i nakazał [...] usunięcie danych osobowych skarżącego (w zakresie: imion, nazwiska, adresu zameldowania, adresu do korespondencji, numeru PESEL, adresu e-mail, numeru telefonu, numeru rachunku bankowego prowadzonego przez Bank oraz informacji o kwocie pieniędzy, którą dysponował skarżący);
- dodatkowo w pozostałym zakresie umorzono postępowanie (pkt 2 zaskarżonej decyzji); to właśnie ten element decyzji jest kwestią sporną w niniejszej sprawie.
4. Zdaniem NSA, Sąd I instancji prawidłowo oddalił skargę na decyzję PUODO w części dotyczącej umorzenia postępowania, tj. pkt 2 zaskarżonej decyzji, z kilu zasadniczych względów.
Po pierwsze – Sąd I instancji w uzasadnieniu wyroku prawidłowo wskazał na stan faktyczny sprawy i sekwencję zdarzeń wraz z odniesieniem do regulacji prawnych obowiązujących w opisywanych okresach. Wskazać trzeba, że w czasie, gdy doszło do zdarzeń opisanych w treści skargi, obowiązywały przepisy ustawy z 1997 r., które określały zasady przetwarzania danych osobowych aż do 24 maja 2018 r. Natomiast od 25 maja 2018 r., obowiązują przepisy rozporządzenia RODO oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Zgodnie z art. 175 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r., poz. 1781): "Traci moc ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138 i 723) z wyjątkiem art. 1, art. 2, art. 3 ust. 1, art. 4-7, art. 14-22, art. 23-28, art. 31 oraz rozdziałów 4, 5 i 7, które zachowują moc w odniesieniu do przetwarzania danych osobowych w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, prowadzenia postępowań w sprawach dotyczących tych czynów oraz wykonywania orzeczeń w nich wydanych, kar porządkowych i środków przymusu w zakresie określonym w przepisach stanowiących podstawę działania służb i organów uprawnionych do realizacji zadań w tym zakresie, w terminie do dnia wejścia w życie przepisów wdrażających dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającą decyzję ramową Rady 2008/977/WSiSW (Dz. Urz. UE L 119 z 04.05.2016, str. 89)". Z kolei art. 176 tej ustawy wskazał, że: "Ustawa wchodzi w życie z dniem 25 maja 2018 r.". Zatem:
- nowa ustawa o ochronie danych osobowych z 2018 r. uchyliła ustawę o ochronie danych osobowych z 1997 r. w związku z rozpoczęciem stosowania rozporządzenia RODO oraz wejściem w życie nowej regulacji w zakresie danych osobowych;
- wskazany w nowej ustawie z 2018 r. dzień wejścia w życie (25 maja 2018 r.) jest równocześnie datą rozpoczęcia stosowania rozporządzenia RODO;
- rozporządzenie RODO w art. 99 wskazuje, że: "1. Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej. 2. Niniejsze rozporządzenie ma zastosowanie od dnia 25 maja 2018 r.";
- zatem art. 99 rozporządzenia RODO określa dwa istotne terminy odnoszące się do rozporządzenia RODO: a) termin wejścia w życie oraz b) termin rozpoczęcia stosowania przepisów rozporządzenia; reguluje również kwestie mocy wiążącej rozporządzenia i bezpośredniego stosowania jego przepisów;
- rozporządzenie RODO (odmiennie niż prawo polskie) reguluje odrębnie kwestie wejścia w życie i stosowania przepisów;
- w art. 99 rozporządzenia RODO wskazano dwa różne terminy, podczas gdy w przepisach polskich wskazywany jest jeden termin - wejścia w życie, który jednocześnie oznacza termin, w którym powstaje obowiązek stosowania przepisów; pierwszy z terminów wskazanych art. 99 ust. 1 rozporządzenia RODO to termin wejścia w życie, który określony został na dwudziesty dzień następujący po dniu publikacji rozporządzenia w Dzienniku Urzędowym UE; rozporządzenie zostało opublikowane w Dzienniku Urzędowym UE L 119, w dniu 4 maja 2016 r., zatem weszło w życie 24 maja 2016 r.;
- drugi termin określony w art. 99 ust. 2 rozporządzenia RODO, to termin wskazujący powstanie obowiązku stosowania przepisów rozporządzenia; termin ten został wskazany wprost na dzień 25 maja 2018 r.; zatem od tego dnia podmioty, do których przepisy rozporządzenia mają zastosowanie powinny były rozpocząć stosowanie tych przepisów (por. P. Fajgielski, Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, wer. el. WKP 2022);
- rozporządzenie RODO jest bezpośrednio stosowane we wszystkich państwach członkowskich i nie wymaga implementacji do wewnętrznego porządku prawnego poszczególnych państw członkowskich, a jest stosowane bezpośrednio we wszystkich państwach UE.
Po drugie – rację ma Sąd I instancji, że opisane w treści skargi zdarzenie, polegające na udostępnieniu przez Bank danych skarżącego na rzecz [...], nie może być rozpatrywane w toku postępowania administracyjnego zmierzającego do wydania decyzji w oparciu o przepisy rozporządzenia RODO. Kwestionowany przez skarżącego proces przetwarzania danych osobowych przez Bank rozpoczął się i zakończył przed 25 maja 2018 r., na co wskazują ustalenia poczynione przez organ. Przepis art. 99 ust. 1 rozporządzenia RODO wprost wskazuje, że niniejsze rozporządzenie ma zastosowanie od dnia 25 maja 2018 r. W związku z tym, przepisy rozporządzenia RODO mają zastosowanie wyłącznie w sprawach, w których skargę wniesiono od 25 maja 2018 r. i w tej dacie kwestionowany proces przetwarzania danych osobowych trwał.
Po trzecie – z motywu 122 rozporządzenia RODO wynika, że każdy organ nadzorczy powinien być właściwy na terytorium swojego państwa członkowskiego do wykonywania uprawnień i wypełniania zadań powierzonych mu w myśl niniejszego rozporządzenia. Powinno to dotyczyć w szczególności przetwarzania w ramach działalności jednostki organizacyjnej administratora lub podmiotu przetwarzającego na terytorium tego państwa członkowskiego, przetwarzania danych osobowych przez organy publiczne lub podmioty prywatne działające w interesie publicznym, przetwarzania mającego wpływ na osoby, których dane dotyczą, na tym terytorium lub przetwarzania dokonywanego przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli zwracają się oni do osób, których dane dotyczą, mających miejsce zamieszkania na tym terytorium. Powinno to dotyczyć rozpatrywania skarg wnoszonych przez osoby, których dane dotyczą, prowadzenia postępowań w sprawie stosowania niniejszego rozporządzenia oraz uświadamiania ryzyka, zasad, zabezpieczeń i praw związanych z przetwarzaniem danych osobowych. Zgodnie zaś z art. 55 ust. 1 rozporządzenia RODO każdy organ nadzorczy jest właściwy do wypełniania zadań i wykonywania uprawnień powierzonych mu zgodnie z niniejszym rozporządzeniem na terytorium swojego państwa członkowskiego. Każdy organ nadzorczy na swoim terytorium prowadzi postępowania w sprawie stosowania niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego (por. art. 57 ust. 1 lit. h rozporządzenia RODO). Charakterystyczną cechą zadań nadzorczych jest władczy charakter oddziaływania organu nadzorczego.
Po czwarte – z art. 58 rozporządzenia RODO wynikają uprawnienia organu nadzorczego. Regulacje wynikające z art. 58 ust. 1, 2 i 3 rozporządzenia RODO wyliczają uprawnienia przysługujące każdemu organowi nadzorczemu - uprawnienia do prowadzenia postępowań, uprawnienia naprawcze i do nakładania kar, uprawnienia do udzielania zezwoleń i uprawnienia doradcze oraz uprawnienia do zgłaszania naruszeń organom wymiaru sprawiedliwości oraz do udziału w postępowaniu sądowym. Ocena dokonywana przez organ w każdym przypadku służy zbadaniu zasadności skierowania pod adresem określonego podmiotu rozstrzygnięcia odpowiadającego dyspozycji art. 58 ust. 2 rozporządzenia RODO służącego przywróceniu stanu zgodnego z prawem. W sprawie kwestionowanego przez skarżącego udostępnienia przez Bank jego danych osobowych na rzecz [...] organ nadzorczy nie miał możliwości zastosowania przysługujących mu uprawnień naprawczych. Zdarzenie, którego dotyczy skarga złożona do PUODO zakończyło się bowiem przed dniem 25 maja 2018 r., a postępowanie administracyjne w tej sprawie zostało zainicjowane po dniu 25 maja 2018 r.
Po piąte – rację ma Sąd I instancji, że z uwagi na fakt, że kwestionowane w skardze zdarzenie miało miejsce i zakończyło się w czasie, gdy obowiązywały przepisy ustawy z 1997 r. a postępowanie administracyjne przed organem nadzorczym zostało zainicjowane w czasie, gdy zaczęły obowiązywać przepisy ustawy z dnia 10 maja 2018 r., do rozstrzygnięcia przedmiotowej sprawy nie mogły również zostać zastosowane przepisy ustawy z 1997 r. Przepis art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. stanowi, że jedynie postępowania, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy z dnia 10 maja 2018 r., są prowadzone przez PUODO, na podstawie ustawy z 1997 r. Regulacja ta stanowi przepis intertemporalny odnoszący się do postępowań prowadzonych przez poprzedni organ nadzorczy – GIODO. Tym samym obecny organ jakim jest PUODO nie miał możliwości prowadzenia postępowania administracyjnego w oparciu o przepisy ustawy z 1997 r., gdyż postępowanie w przedmiotowej sprawie zostało wszczęte po dniu wejścia w życie ustawy z dnia 10 maja 2018 r. Nie istniały również podstawy do skorzystania przez PUODO z uprawnień przewidzianych w uchylonej ustawie z 1997 r. w tym do oceny zgodności zachowania administratora z ww. przepisami w przypadku, gdy skarżony proces przetwarzania nie był kontynuowany po 25 maja 2018 r. Organ nie mógł również dokonać oceny zgodności kwestionowanych w skardze działań administratora z rozporządzeniem RODO, ponieważ zdarzenie będące przedmiotem skargi ma charakter zakończony i nie było kontynuowane po 25 maja 2018 r. Ponadto nie ma obecnie przepisów kompetencyjnych uprawniających organ do prowadzenia postępowania w przedmiocie oceny zgodności działania administratora z przepisami ustawy z 1997 r. Dodatkowo należy wskazać, że w przepisów prawa wynikało to, że nie wszystkie postępowania wszczęte i niezakończone przed dniem wejścia w życie nowej ustawy, prowadzone przed GIODO podlegały kontynuacji przed PUODO. Wobec zmiany stanu prawnego spowodowanej wejściem w życie przepisów rozporządzenia 2016/679 dalsze prowadzenie części z nich pozbawione jest celowości. Dotyczy to postępowań prowadzonych na podstawie rozdziału 6 ustawy z 1997 r., który regulował obowiązek rejestracji zbiorów danych osobowych i obowiązek rejestracji administratorów bezpieczeństwa informacji. W obecnym stanie prawnym obowiązki tego rodzaju nie istnieją, nie istnieją także administratorzy bezpieczeństwa danych, zastąpieni przez inspektorów ochrony danych, o których mowa w art. 37 rozporządzenia 2016/679. Wobec tego ustawodawca w ust. 4 komentowanego artykułu przewidział umorzenie postępowań prowadzonych na podstawie przepisów rozdziału 6 ustawy z 1997 r., umorzenie to następuje z mocy prawa, bez wydawania w tym przedmiocie decyzji administracyjnej. Skutek ten powstał z dniem wejścia w życie komentowanej ustawy (por. D. Lubasz (red.), Ustawa o ochronie danych osobowych. Komentarz, wer. el. WKP 2019).
Po szóste – zasadnie zatem Sąd I instancji wskazał, że prawidłowe jest stanowisko PUODO, zgodnie z którym niniejsze postępowanie w zakresie dotyczącym kwestionowanego udostępnienia przez Bank danych osobowych skarżącego na rzecz [...] podlega umorzeniu na podstawie art. 105 § 1 k.p.a. Umorzenie postępowania w całości albo części (art. 105 § 1 k.p.a.) ma miejsce wtedy, gdy wystąpi trwała i nieusuwalna przeszkoda w kontynuacji postępowania, a więc wówczas, gdy brak jest przedmiotu postępowania administracyjnego. Przedmiotem tym jest sprawa administracyjna, toteż postępowanie to jest bezprzedmiotowe wówczas, gdy sprawa, która miała być załatwiona decyzją administracyjną nie miała tego charakteru przed datą wszczęcia postępowania lub utraciła ten charakter w jego toku (por. wyrok NSA z 20 maja 2025 r., sygn. akt II OSK 846/24). Zatem o bezprzedmiotowości postępowania można mówić, jeżeli w świetle prawa materialnego i ustalonego stanu faktycznego bezzasadne jest dalsze prowadzenie postępowania w związku z brakiem możliwości wydania decyzji pozytywnej lub negatywnej. A taka sytuacja wystąpiła w niniejszej sprawie.
5. Biorąc pod uwagę powyższe rozważania, odnosząc się do postawionych przez skarżącego w skardze kasacyjnej zarzutów naruszenia przepisów postępowania należy wskazać, że nie zasługują na uwzględnienie. Ze względu na ich komplementarny charakter, można do nich odnieść się w sposób łączny.
Nie można zgodzić się, że Sąd I instancji naruszył wskazane w skardze przepisy postępowania "(...) poprzez ich błędną wykładnie i oddalenie skargi bez dokładnego wyjaśnienia stanu faktycznego". Zarówno stan faktyczny jak i prawny sprawy został przez organy jak i Sąd wskazany i uzasadniony w sposób prawidłowy.
Niezrozumiały jest także zarzut wskazujący na to, że skoro "brak jest obecnie przepisów kompetencyjnych uprawniających organ do prowadzenia postępowania w przedmiocie oceny zgodności działania administratora z przepisami ustawy z 1997 r. to może to świadczyć o naruszeniu prawa każdej osoby do ochrony danych osobowych jej dotyczących wynikających z Karty Praw Podstawowych oraz TFUE. Zdaniem skarżącego, błędne jest uznanie że "(...) nie istnieje organ posiadający kompetencje do prowadzenia postępowania w przedmiocie oceny zgodności działania administratora z przepisami ustawy z 1997 r.".
W ocenie NSA, tak sformułowane zarzuty w swej istocie stanowią polemikę z przyjętą regulacją prawną i mają na celu krytykę wprowadzonych rozwiązań prawnych oraz przepisów intertemporalnych. To, że zdaniem skarżącego kasacyjnie, PUODO powinien być organem posiadającym kompetencje do rozstrzygania spraw, które miały miejsce przed wejściem w życie rozporządzenia RODO (tj. przed 25 maja 2018 r.), a co do których skargi w zakresie naruszeń ochrony danych osobowych zostały wniesione po dacie 25 maja 2018 r. – może jedynie oznaczać subiektywna potrzebę wprowadzenia takiej regulacji przez skarżącego a nie "błędna wykładnię prawa" dokonaną przez organy a później przez Sąd. Przypomnieć należy, że w doktrynie wskazuje się, iż nie każdy brak regulacji stanowi przewidziany przez prawodawcę luz decyzyjny, który sędzia może wypełnić zgodnie ze swoim uznaniem. Inaczej mówiąc, nie każdy brak przepisów można traktować jak "lukę". Nie może być mowy o "luce w prawie", w sytuacji, gdy ustawodawca celowo nie uregulował pewnych kwestii, gdyż w tym przypadku brak regulacji musi być poczytywany za regulację negatywną (por. L. Morawski, Zasady wykładni prawa, Toruń 2010, s. 150; podobnie uchwała SN (7) z 9 lipca 1992 r., sygn. akt I PZP 36/92, OSNC 1992, nr 10, poz. 182). Zatem "milczenie ustawodawcy" nie może być uznane w tym przypadku za przypadkowe. Stanowi ono bowiem efekt uzasadnionego zaniechania ustawodawcy dokonanego na płaszczyźnie legislacyjnej. Milczenie ustawodawcy w postulowanym przez skarżącego zakresie nie jest więc brakiem prawa a celowym działaniem.
W porządku prawnym UE prawo do ochrony danych osobowych jest jednym z praw podstawowych, które zostało zagwarantowane w art. 8 ust. 1 Karty Praw Podstawowych UE oraz art. 16 ust. 1 TFUE, o czym przypomina motyw 1 preambuły. W myśl wskazanych powyżej przepisów każda osoba ma prawo do ochrony danych osobowych jej dotyczących. Zgodnie z art. 8 ust. 2 Karty Praw Podstawowych UE dane osobowe powinny być przetwarzane rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej ustawą; każdy ma prawo dostępu do zebranych danych, które go dotyczą, i prawo do dokonania ich sprostowania, natomiast ust. 3 stanowi, iż przestrzeganie tych zasad podlega kontroli niezależnego organu. Przepis art. 16 ust. 2 TFUE uprawnia Parlament Europejski i Radę UE do tego, aby stanowiąc zgodnie ze zwykłą procedurą ustawodawczą, określiły zasady dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii oraz przez państwa członkowskie w wykonywaniu działań wchodzących w zakres zastosowania prawa Unii, a także zasady dotyczące swobodnego przepływu takich danych. W odniesieniu do unijnych instytucji i organów zasady zostały określone w rozporządzeniu Parlamentu Europejskiego i Rady 2018/1725 z 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.Urz. UE. L 295, s. 39 i n.), natomiast zasady ochrony danych przez państwa członkowskie regulowane są przepisami RODO.
Zdaniem NSA, rację ma organ i Sąd I instancji, że PUODO wydając decyzję administracyjną, zobowiązany jest do rozstrzygania sprawy w oparciu o stan faktyczny i prawny istniejący w chwili wydania tej decyzji. Skoro kwestionowane w skardze zdarzenie miało miejsce i zakończyło się w czasie, gdy obowiązywały przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych a postępowanie administracyjne przed organem nadzorczym zostało zainicjowane w czasie, gdy zaczęły obowiązywać przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych – to do rozstrzygnięcia sprawy nie można było zastosować przepisów ustawy z 1997 r. ze względu na brzmienie przepisów intertemporalnych (por. cytowany art. 160 ust. 1 i 2 ustawy z 2018 r.). Organ nie mógł również dokonać oceny zgodności kwestionowanych w skardze działań administratora z rozporządzeniem RODO, ponieważ zdarzenie będące przedmiotem skargi miało charakter zakończony i nie było kontynuowane po 25 maja 2018 r. (por. art. 99 ust. 1 rozporządzenia RODO). Przepisy rozporządzenia RODO mają zastosowanie wyłącznie w sprawach, w których skargę wniesiono od 25 maja 2018 r. i jeśli w dacie trwał kwestionowany proces przetwarzania danych osobowych. Skarga skarżącego została wniesiona do PUODO w roku 2019, a dotyczyła zdarzenia z roku 2017.
Niezrozumiałym jest również podniesiony przez skarżącego zarzut naruszenia przepisu art. 141 p.p.s.a. Wskazać należy przede wszystkim, że powyższy zarzut jest nieprecyzyjny. Jak wynika z wyroku NSA z 29 marca 2022 r. w sprawie o sygn. akt III OSK 3976/21 "(...) w odniesieniu do przepisu, który nie stanowi jednej zamkniętej całości, a składa się z ustępów, paragrafów, punktów i innych jednostek redakcyjnych, wymóg skutecznie wniesionej skargi kasacyjnej jest spełniony jedynie wówczas, gdy wskazuje ona konkretny przepis naruszony przez sąd pierwszej instancji, przez co należy rozumieć dokładne podanie nie tylko numeru artykułu, ale także dalszych jednostek redakcyjnych tego przywoływanego przepisu, a wiec odpowiednio ustępu, paragrafu czy punktu. Warunek przytoczenia podstawy zaskarżenia i ich uzasadnienia nie jest spełniony, gdy skarga kasacyjna zawiera wywody zmuszające Sąd kasacyjny do domyślania się, który przepis skarżący miał na uwadze podnosząc zarzut naruszenia prawa materialnego lub procesowego. Naruszony przez Sąd pierwszoinstancyjny przepis musi być wyraźnie wskazany, gdyż w przeciwnym razie ocena zasadności skargi kasacyjnej nie jest możliwa. Naczelny Sąd Administracyjny jest związany granicami skargi kasacyjnej i nie ma w związku z tym kompetencji do dokonywania za wnoszącego skargę kasacyjną wyboru, który przepis prawa został naruszony i dlaczego, tym bardziej, iż autorem skargi kasacyjnej jest profesjonalny pełnomocnik strony". Skarżący nie wskazał, który dokładnie przepis w jego opinii został naruszony przez WSA w Warszawie, co też czyni powyższy zarzut bezskutecznym.
6. Mając powyższe na uwadze Naczelny Sąd Administracyjny, po rozpoznaniu sprawy na rozprawie, orzekł o oddaleniu skargi kasacyjnej na podstawie art. 184 p.p.s.a.