III OSK 2357/22

III OSK 2357/22 - Wyrok NSA
Data orzeczenia
2025-10-15
orzeczenie prawomocne
Data wpływu
2022-09-26
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Artur Kuś
Kazimierz Bandarzewski
Przemysław Szustakiewicz /przewodniczący sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
II SA/Wa 3220/21 - Wyrok WSA w Warszawie z 2022-05-09
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę kasacyjną
Powołane przepisy
Dz.U. 2024 poz 935
art. 183 § 1
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Dz.U.UE.L 2016 nr 119 poz 1 art. 4 ust. 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Przemysław Szustakiewicz (spr.) Sędziowie: Sędzia NSA Artur Kuś Sędzia del. WSA Kazimierz Bandarzewski Protokolant: starszy asystent sędziego Nina Muszyńska po rozpoznaniu w dniu 15 października 2025 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Prezesa Urzędu Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 9 maja 2022 r., sygn. akt II SA/Wa 3220/21 w sprawie ze skargi [...] Sp. z o.o. [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 6 lipca 2021 r., nr DS.523.982.2021.ZS.MR w przedmiocie przetwarzania danych osobowych 1. oddala skargę kasacyjną; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz [...] Sp. z o.o. [...] kwotę 240 (dwieście czterdzieści) złotych tytułem zwrotu kosztów postępowania kasacyjnego.
Uzasadnienie
Wojewódzki Sąd Administracyjny w Warszawie, wyrokiem z dnia 9 maja 2022 r., sygn. akt II SA/Wa 3220/21, po rozpoznaniu sprawy ze skargi [...] Sp. z o.o. [...], uchylił zaskarżoną decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 6 lipca 2021 r., nr DS.523.982.2021.ZS.MR w przedmiocie przetwarzania danych osobowych oraz zasądził zwrot kosztów postępowania. W sprawie ustalono następujący stan faktyczny i prawny:
Prezes Urzędu Ochrony Danych Osobowych, decyzją z dnia 6 lipca 2021 r., nr DS.523.982.2021.ZS.MR, po rozpatrzeniu skargi A.S. (dalej Uczestnik) na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] Sp. z o. o., polegające na odmowie usunięcia danych osobowych, nakazał Spółce usunięcie danych osobowych Uczestnika: 1) w zakresie nazwy Prywatny Gabinet Stomatologiczny, adresu prowadzenia działalności oraz numeru telefonu z portalu internetowego [...]; 2) w pozostałym zakresie umorzył postępowanie.
Na powyższą decyzję Spółka wniosła skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie.
W odpowiedzi na skargę organ wniósł o jej oddalenie.
Powołanym na wstępie wyrokiem, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit. a i c ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2022 r., poz. 329 ze zm.; dalej "P.p.s.a."), uznał skargę za zasadną.
W uzasadnieniu Sąd I instancji podniósł, że nie budzą wątpliwości ustalenia, że Spółka udostępnia na portalu internetowym [...] pod adresem URL: [...], bez zgody Uczestnika dane, tj. nazwę "Prywatny Gabinet Stomatologiczny", adres prowadzonej działalności gospodarczej oraz numer telefonu.
Spółka twierdzi natomiast, że nie przetwarza na portalu internetowym danych osobowych Uczestnika, tym samym nie jest możliwe ich usunięcie.
Dlatego też w ocenie Sądu pierwszej instancji, sprawą wymagającą wyjaśnienia jest ustalenie czy przetwarzane przez Spółkę dane stanowią dane osobowe Uczestnika.
W tym zakresie przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35 dalej "RODO") regulują kwestię przetwarzania danych osobowych. Zgodnie z art. 4 RODO (Definicje) Na użytek niniejszego rozporządzenia:
1) "dane osobowe" oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
2) "przetwarzanie" oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
W ocenie Sądu pierwszej instancji, dokonane w toku postępowania administracyjnego ustalenia faktyczne wskazują, że dane przetwarzane przez Spółkę dotyczące: nazwy; adresu prowadzonej działalności gospodarczej oraz numeru telefonu, nie mogą identyfikować Uczestnika.
Nazwa "Prywatny Gabinet Stomatologiczny" to nazwa rodzajowa, nie identyfikująca Uczestnika. Adres nie jest wyłącznie adresem placówki leczniczej – "...pod tym adresem figurują również dwa sklepy i jeden punkt usługowy (dane z Centralnej Ewidencji i Informacji o Działalności Gospodarczej)...", a lokalizacja nie jest miejscem zamieszkania Uczestnika - jest adresem lokalu usługowego, nie identyfikuje zatem w tym zakresie Uczestnika.
Odnośnie zaś do numeru telefonu placówki medycznej, WSA w Warszawie zauważył, że udostępniany jest on w oparciu o przepis art. 137 § 1 ustawy z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych w zw. z § 13 pkt 1 rozporządzenia Ministra Zdrowia w sprawie ogólnych warunków umów o udzielanie świadczeń opieki zdrowotnej. Zgodnie z tym przepisem podmiot udzielający świadczeń finansowanych ze środków publicznych zobowiązany jest do umożliwienia świadczeniobiorcom - pacjentom, objętym ubezpieczeniem zdrowotnym w ramach publicznych środków NFZ, do wykonywania rezerwacji przynajmniej za pośrednictwem telefonu lub innych środków porozumiewania się na odległość. Numer telefonu może zatem być numerem do placówki leczniczej, obsługiwanym przez osobę trzecią (np. rejestratorkę, asystentkę).
W ocenie Sądu pierwszej instancji, umieszczane na portalu dane nie są danymi, identyfikującymi jedną, konkretną osobę fizyczną, tym samym nie powinny być objęte reżimem właściwym dla danych osobowych.
WSA w Warszawie wskazał, że zgodnie z art 86 RODO, dane osobowe zawarte w dokumentach urzędowych, które posiada organ lub podmiot publiczny lub podmiot prywatny w celu wykonania zadania realizowanego w interesie publicznym, mogą zostać przez ten organ lub podmiot ujawnione zgodnie z prawem Unii lub prawem państwa członkowskiego, któremu podlegają ten organ lub podmiot, dla pogodzenia publicznego dostępu do dokumentów urzędowych z prawem do ochrony danych osobowych na mocy niniejszego rozporządzenia.
Ustawa z dnia 25 lutego 2016 r. o ponownym wykorzystywaniu informacji sektora publicznego (Dz. U. z 2019 r., poz. 1446) w art. 5 ust. 1 i 2 przewiduje, że każdemu przysługuje prawo do ponownego wykorzystywania informacji sektora publicznego, udostępnionych w systemie teleinformatycznym. Powołana regulacja nie narusza przy tym przepisów o ochronie danych osobowych (art. 7 ust. 2 powołanej ustawy).
Dane lekarza podlegają wpisowi do rejestru lekarzy prowadzonego przez właściwe okręgowe rady lekarskie; rejestry te są jawne (art. 8 ust. 1 i 2 ustawy z dnia 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty – Dz. U. z 2021 r., poz. 790 ze zm.).
Zgodnie z art. 14 ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej (Dz. U. z 2022 r., poz. 633), podmiot wykonujący działalność leczniczą podaje do wiadomości publicznej informacje o zakresie i rodzajach udzielanych świadczeń zdrowotnych. Jest on również zobowiązany do uzyskania wpisu w rejestrze podmiotów prowadzących działalność leczniczą, o którym mowa w art. 100 i następnych powołanej ustawy. Rejestr ten jest jawny i zawiera takie informacje jak imię i nazwisko, formę i miejsce prowadzenia działalności leczniczej, adres kontaktowy.
Lekarze i pielęgniarki mogą wykonywać swój zawód w ramach działalności leczniczej na zasadach określonych w ustawie o działalności leczniczej oraz w przepisach odrębnych, po wpisaniu do rejestru podmiotów wykonujących działalność leczniczą, o którym mowa w art. 100 ustawy o działalności leczniczej. Działalność lecznicza lekarza i pielęgniarki w rozumieniu tej ustawy może być wykonywana w formie jednoosobowej działalności gospodarczej, w sposób określony w art. 5 tej ustawy. Dane zawarte w rejestrze w odniesieniu do lekarza i pielęgniarki wykonujących zawód w ramach działalności leczniczej określa art. 101 i art. 102 ustawy o działalności leczniczej i obejmuje między innymi imię i nazwisko lekarza (pielęgniarki). Organami rejestrowymi są okręgowa rada lekarska właściwa dla miejsca wykonywania praktyki zawodowej lekarza - w odniesieniu do tych praktyk, a w odniesieniu do członków wojskowej izby lekarskiej - Wojskowa Rada Lekarska, oraz okręgowa rada pielęgniarek i położnych właściwa dla miejsca wykonywania praktyki zawodowej przez pielęgniarkę - w odniesieniu do tych praktyk. Nadto w ustawie o zawodach lekarza i lekarza dentysty przewiduje się, że lekarz, który uzyskał prawo wykonywania zawodu (albo ograniczone prawo wykonywania zawodu), podlega wpisowi do rejestru prowadzonego przez właściwą okręgową radę lekarską, a Naczelna Rada Lekarska określi szczegółowy tryb postępowania w sprawach przyznawania prawa wykonywania zawodu lekarza, lekarza dentysty i prowadzenia rejestru lekarzy (art. 8 ust. 1 i 2 ustawy o zawodach lekarza i lekarza dentysty).
Tak więc lekarze i pielęgniarki, niebędący funkcjonariuszami publicznymi, ale podlegający wpisowi do właściwego rejestru, nie mogą korzystać z ochrony danych w rejestrze tym zawartych. Wobec tego WSA w Warszawie uznał, że wykorzystanie przez Spółkę z danych osobowych ujawnionych przez właściwe organy (rejestry lekarzy, rejestry podmiotów prowadzących działalność leczniczą, CEIDG) było zgodne z przepisami RODO oraz z przepisami prawa krajowego zwłaszcza, w sytuacji gdy Spółka nie podała imienia i nazwiska Uczestnika.
Sąd pierwszej instancji wskazał, że zgodnie z utrwalonym orzecznictwem Trybunału pojęcie "przedsiębiorstwa" w prawie Unii dotyczącym konkurencji obejmuje każdą jednostkę wykonującą działalność gospodarczą niezależnie od formy prawnej tej jednostki i sposobu jej finansowania." Zawarte w motywie 14 RODO pojęcie osoby prawnej na gruncie prawa polskiego dotyczy możliwości działania takiej osoby, tj. zdolności do czynności prawnej, a nie zawężenia określenia tylko do jednej grupy podmiotów.
Nadto, w ocenie WSA w Warszawie, w zakresie opisanym w pkt. 2 decyzji umorzenie postępowania nie było zasadne bowiem postępowanie w tym kierunku nie było bezprzedmiotowe.
Skargę kasacyjną na powyższy wyrok wywiódł Prezes Urzędu Ochrony Danych Osobowych, zakażając go w całości i wnosząc o uchylenie zaskarżonego wyroku i oddalenie skargi, ewentualnie uchylenie zaskarżonego wyroku i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie oraz o zasądzenie kosztów postępowania sądowego.
Zaskarżonemu wyrokowi zarzucono naruszenie:
1. art. 141 P.p.s.a. w zw. z art. 4 pkt 1 RODO poprzez niejasną ocenę prawną oraz wewnętrzną sprzeczność uzasadnienia w zakresie zdefiniowania pojęcia "dane osobowe" oraz "osoba fizyczna prowadząca działalność gospodarczą" na gruncie przedmiotu sporu;
2. art. 4 RODO, poprzez błędną wykładnię polegającą na uznaniu, że informacje udostępniane przez Spółkę na stronie internetowej obejmujące nazwę; adres prowadzenia działalności oraz numer telefonu Uczestnika, nie są danymi osobowymi, nie identyfikują Uczestnika oraz nie mają charakteru indywidualnego tylko generalny;
3. art. 6 ust. 2 ustawy o ponownym wykorzystaniu informacji sektora publicznego w zw. z art. 86 RODO polegające na błędnym uznaniu, że informacje udostępniane przez Spółkę na stronie internetowej, obejmujące nazw; adres prowadzenia działalności oraz numer telefonu Uczestnika, jako informacje publiczne mogą być udostępniane przez Spółkę na stronie internetowej i nie podlegają ochronie przewidzianej przepisami RODO, w tym nie doznają ograniczenia udostępniania przewidzianego w treści art. 6 ust. 2 ustawy o ponownym wykorzystaniu informacji sektora publicznego w zakresie danych Uczestnika jako prowadzącego indywidualną działalność gospodarczą;
4. art. 4 pkt 18 oraz art. 6 ust. 1 RODO w zw. z art. 6 ust. 2 ustawy o ponownym wykorzystaniu informacji sektora publicznego poprzez błędną ich wykładnię i niezastosowanie art. 43 Kodeksu cywilnego polegającą na błędnym stwierdzeniu, że dane osobowe Uczestnika prowadzącego działalność gospodarczą w formie praktyki lekarskiej nie mogą korzystać i nie korzystają z ochrony przewidzianej przepisami RODO, przez co mogą być przetwarzane, w tym udostępniane przez Spółkę na portalu internetowym, podczas gdy w polskim porządku prawnym osoba fizyczna prowadząca działalność gospodarczą nie należy do kategorii osób prawnych wyłączonych spod jurysdykcji przepisów zgodnie z motywem 14 RODO i do przetwarzania tych danych niezbędne jest spełnienie podstawy dotyczącej legalności przetwarzania danych, o których mowa w art. 6 ust. 1 RODO;
5. art. 4 pkt 2, art. 4 pkt 18 i art. 86 RODO w zw. z art. 6 ust. 2 ustawy o ponownym wykorzystaniu informacji sektora publicznego oraz art. 14 ustawy o działalności leczniczej, art. 8 ust. 1 i 2 ustawy o zawodach lekarza i lekarza dentysty poprzez błędne przyjęcie, że dane osobowe Uczestnika, które widnieją w publicznych rejestrach, o których mowa w przepisach ustawy o działalności leczniczej oraz ustawy o zawodach lekarza i lekarza dentysty mogą być wykorzystywane w tym udostępniane na portalu internetowym Spółki mającej charakter komercyjny i nie wzięcie pod rozwagę, że dane Uczestnika korzystają z ochrony przewidzianej w przepisach art. 4 pkt 18 RODO jako dane osoby fizycznej.
W odpowiedzi na skargę kasacyjną Spółka wniosła o jej oddalenie oraz zasądzenie kosztów postępowania, w tym kosztów zastępstwa procesowego, według norm przepisanych.
Nadto Uczestnik postępowania zwrócił się z wnioskiem o rozważenie zasadności podjęcia uchwały w przedmiocie rozstrzygnięcia zagadnienia prawnego budzącego istotne wątpliwości w niniejszej sprawie w oparciu o przepis art. 15 § 1 pkt 3 P.p.s.a. lub o skierowanie pytania prejudycjalnego do Trybunału Sprawiedliwości Unii Europejskiej w oparciu o przepis art. 267 pkt b) Traktatu o funkcjonowaniu Unii Europejskiej wobec występowania w sprawie zagadnienia prawnego wymagającego dokonania wykładni przepisu art. 4 pkt 1 RODO - pojęcia danych osobowych celem rozważenia, czy w zakresie tego pojęcia objęci są przedsiębiorcy, prowadzący działalność gospodarczą, a także czy takie informacje, jak informacja o lokalizacji prowadzonej działalności, jej rodzaju, ewentualnie dane kontaktowe stanowią dane osobowe tych osób fizycznych.
Naczelny Sąd Administracyjny zaważył, co następuje:
Zgodnie z art. 183 § 1 P.p.s.a., Naczelny Sąd Administracyjny rozpoznając skargę kasacyjną, związany jest jej granicami. Z urzędu bierze pod rozwagę wyłącznie nieważność postępowania. W rozpoznawanej sprawie żadna z enumeratywnie wymienionych w art. 183 § 2 P.p.s.a. przesłanek nieważności postępowania nie zachodzi, stąd NSA rozpoznał skargę kasacyjną w jej granicach.
Na wstępie należy podnieść, że w ocenie Naczelnego Sądu Administracyjnego nie zaistniały na gruncie rozpatrywanej sprawy przesłanki do zawieszenia postępowania na podstawie art. 124 § 1 pkt 5 P.p.s.a i skierowania w trybie art. 267 TFUE pytania prejudycjalnego. W sprawie nie wystąpiły bowiem wątpliwości uzasadniające zwrócenie się do Trybunału Sprawiedliwości Unii Europejskiej z pytaniem w trybie prejudycjalnym, ponieważ zagadnienie stosowania przepisów o ochronie danych osobowych w okresie po wejściu w życie RODO może być rozpoznane na podstawie obowiązujących przepisów prawa krajowego i unijnego.
Z tych samych powodów NSA nie dostrzegł potrzeby przedstawienia składowi siedmiu sędziów tego sądu, w trybie art. 187 § 1 w zw. z art. 15 § 1 pkt 3 P.p.s.a., zagadnienia prawnego, które budzi poważne wątpliwości.
Skarga kasacyjna podlega oddaleniu mimo jej częściowej zasadności.
Na wstępie wskazać należy, że niezasadny jest zarzut obrazy art. 141 P.p.s.a. poprzez sporządzenie uzasadnienia w sposób niejasny, nielogiczny i niespójny. Przypomnieć należy, że uzasadnienie wyroku jest aktem o doniosłym znaczeniu społecznym, a przede wszystkim procesowym pełniącym dwojaką funkcję. Z jednej strony ma charakter informacyjny względem stron postępowania sądowoadministracyjnego. Strona, chcąc skutecznie zaskarżyć wyrok Sądu pierwszej instancji musi poznać przyjęty przez ten sąd stan faktyczny sprawy oraz argumenty przemawiające za rozstrzygnięciem zawartym w zaskarżonym wyroku pozwalające na należyte wywiedzenie zarzutów skargi kasacyjnej. Z drugiej strony, uzasadnienie wyroku umożliwia Naczelnemu Sądowi Administracyjnemu ocenę zasadności przesłanek, na których oparto zaskarżone orzeczenie. Jest to niezbędne dla przeprowadzenia prawidłowej kontroli instancyjnej. Zatem do sytuacji, kiedy wadliwość uzasadnienia wyroku może stanowić usprawiedliwioną podstawę skargi kasacyjnej, należy zaliczyć tę, gdy to uzasadnienie nie pozwala na kontrolę kasacyjną orzeczenia. Sytuacja ta nie ma miejsca w rozpoznawanej sprawie, ponieważ uzasadnienie zaskarżonego wyroku zawiera wszystkie wymagane elementy, wyczerpująco wyjaśniające podstawę rozstrzygnięcia.
Przechodząc do zarzutów naruszenia przepisów prawa materialnego wskazać należy, że w istocie sprawdzają się one do dwóch zagadnień. Po pierwsze, wskazania, że Sąd pierwszej instancji błędnie uznał, że informacje dotyczące udostępnienia na stronie internetowej nazwy Prywatny Gabinet Stomatologiczny wraz z adresem i numerem telefonu nie są danymi osobowymi. Po drugie, próby wykazania, że WSA w Warszawie błędnie odwołał się do przepisów ustawy o ponownym wykorzystaniu informacji sektora publicznego w zw. z art. 14 ustawy o działalności leczniczej i art. 8 ust. 1 i 2 ustawy o zawodach lekarza i lekarza dentysty uznając, że dane osobowe Uczestnika prowadzącego praktykę lekarską wraz z adresem i numerem telefonu, w związku z ich umieszczeniem w publicznych rejestrach – nie podlegają ochronie.
Odnosząc się do pierwszego zagadnienia przypomnieć warto, że zgodnie z art. 4 pkt 1 RODO "dane osobowe" oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Prawodawca unijny definiując dane osobowe podzielił je na dwie grupy.
Pierwsza grupa jako dane osobowe traktuje wszelkie informacje o osobie zidentyfikowanej. Nie musi to zatem być informacja, która identyfikuje daną osobę, lecz informacja o takiej osobie. Co do zasady będzie to więc dodatkowa informacja o osobie, którą administrator już zidentyfikował i w tym znaczeniu poszerzająca zakres dostępnych dla administratora danych, które jej dotyczą. Chodzi zatem o wszystkie komunikaty, wyrażone i zapisane w jakikolwiek sposób, np.: znakami graficznymi, symbolami, w języku komputerowym, na fotografii na taśmie magnetofonowej lub magnetowidowej, których treść odnosi się do konkretnej osoby. Innymi słowy, jest to każda informacja, która dotyczy osoby, którą administrator danych może w sposób pewny wskazać bez konieczności podejmowania jakichkolwiek dalszych czynności w celu jej identyfikacji.
W rozpoznawanej sprawie nie budzi wątpliwości, że dane w postaci nazwy, adresu prowadzonej działalności oraz numeru telefonu, pod którym można się kontaktować, same w sobie nie stanowią danych osobowych, które pozwalają bezpośrednio ustalić dane osobowe podmiotu, który pod tym adresem prowadzi dany rodzaj działalności. Nie ma w nich bowiem ani imienia, ani nazwiska takiej osoby.
Druga grupa wskazuje, że dane osobowe mają dotoczyć "osoby możliwej do bezpośredniego lub pośredniego zidentyfikowania, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. W motywie 26 RODO postanowiono, że "aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Niniejsze rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych".
Zasadniczym problemem jest tutaj zatem ustalenie czy określone informacje umożliwiają przypisanie ich konkretnej osobie fizycznej. W tym zakresie, jak wskazał Naczelny Sąd Administracyjny w wyroku z dnia 14 stycznia 2025 r., sygn. akt III OSK 6041/21 "możliwa do zidentyfikowania osoba fizyczna "w rozumieniu art. 4 pkt 1 RODO w zw. z motywem 26 to osoba, w stosunku do której istnieje "możliwość" połączenia dotyczących jej "informacji podstawowej" z "informacjami dodatkowymi" i przez to ustalenia jej tożsamości. "Możliwość" zidentyfikowania danej osoby fizycznej odnosi się więc do samej dostępność zagregowania "informacji podstawowej" z "informacjami dodatkowymi". Nie odnosi się natomiast do rezultatu tej agregacji. Przez "możliwość" zidentyfikowania danej osoby fizycznej należy więc rozumieć dostępność połączenia "informacji zasadniczej" z "informacjami dodatkowymi", których rezultatem zawsze będzie zidentyfikowanie tej osoby. "Możliwość" zidentyfikowania danej osoby fizycznej nie oznacza więc niepewności co do rezultatów połączenia "informacji zasadniczej" z "informacjami dodatkowymi", ta bowiem jest z założenia wykluczona. Odnosi się ona do dostępności działań integrujących te informacje w celu identyfikacji danej osoby fizycznej. "Możliwa" do zidentyfikowania będzie więc taka osoba fizyczna, w stosunku do której albo administrator, albo "inna osoba" będą posiadali dostęp do połączenia dotyczących ją "informacji zasadniczej" i "informacji dodatkowych" w rezultacie czego, dojdzie do ustalenia jej tożsamości. Prezentowanych wniosków nie podważają użyte w motywie 26 zwroty: "rozsądnie prawdopodobne sposoby" i "uzasadnione prawdopodobieństwo". W przywołanych zwrotach prawdopodobieństwo, a zatem nie pewność lecz potencjalność, dotyczy samych metod/form połączenia "informacji zasadniczej" z "informacjami dodatkowymi" oraz potencjalności ich wykorzystania. "Rozsądnie prawdopodobne sposoby" należy więc korelować z racjonalnością każdej z możliwych dla administratora lub "innej osoby" metod integracji "informacji zasadniczej" z "informacjami dodatkowymi". Z kolei "uzasadnione prawdopodobieństwo" odnosić trzeba do przewidywalności skorzystania z tych metod przez te podmioty. Omawiane zwroty stanowią koordynaty dla formułowania ocen, co do tego, czy dostępne dla administratora lub "innej osoby" sposoby połączenia "informacji zasadniczej" z "informacjami dodatkowymi" nie są dla tych podmiotów zbyt kosztowne w sensie finansowym, czasowym, infrastrukturalnym, etc., w stosunku do efektów (korzyści), jakie spowoduje identyfikacja osoby fizycznej, której te informacje dotyczą. Zaznaczyć przy tym należy, że chodzi oczywiście o sposoby zgodne z prawem. Świadczy to jednoznacznie o tym, że kwalifikacja danej informacji jako umożliwiającej identyfikację danej osoby fizycznej nie opiera się wyłącznie na jej treści, ale również na potencjale konkretnego podmiotu, który nią dysponuje do połączenia jej z "informacjami dodatkowymi".
W sytuacji zatem, gdy dane dotyczą tylko nazwy podmiotu prowadzącego działalność gospodarczą, jego adresu i numeru telefonu bez dodatkowych informacji, to nie można uznać, że dotyczą one danych osobowych konkretnej osoby fizycznej, ponieważ dla jej zidentyfikowania koniecznym jest posiadanie szeregu innych informacji związanych z tą określoną działalnością gospodarczą.
Jako zasadne należy natomiast uznać zarzuty skargi kasacyjnej dotyczące drugiej grupy zagadnień skargi kasacyjnej, tj. dotyczących naruszenia przepisów ustawy o ponownym wykorzystaniu informacji sektora publicznego w zw. z art. 14 ustawy o działalności leczniczej i art. 8 ust. 1 i 2 ustawy o zawodach lekarza i lekarza dentysty. W tym zakresie należy zgodzić się z Prezesem Urzędu Ochrony Danych Osobowych, że nie prawidłowa jest teza zaskarżonego wyroku, że "lekarze i pielęgniarki niebędący funkcjonariuszami publicznymi, ale podlegający wpisowi do właściwego rejestru nie mogą korzystać z ochrony danych w rejestrze tym zawartych" (s. 10 uzasadnienia). Powyższe WSA w Warszawie wywodzi z treści przepisów art. 5 ust. 1-2 ustawy o ponownym wykorzystaniu informacji sektora publicznego i art. 8 ust. 1-2 ustawy o zawodach lekarza i lekarza dentysty, co jest błędne. Po pierwsze, w aktach sprawy nie ma żadnego wskazania, że dane przetwarzane przez Spółkę były pozyskiwane do prowadzonej przez nią strony internetowej na podstawie ustawy o działalności leczniczej. Po drugie, art. 86 RODO ani przepisy ustawy o ponownym wykorzystaniu informacji sektora publicznego nie wyłączają ochrony danych osobowych znajdujących się w rejestrach publicznych. Art 86 RODO stanowi bowiem, że "dane osobowe zawarte w dokumentach urzędowych, które posiada organ lub podmiot publiczny lub podmiot prywatny w celu wykonania zadania realizowanego w interesie publicznym, mogą zostać przez ten organ lub podmiot ujawnione zgodnie z prawem Unii lub prawem państwa członkowskiego, któremu podlegają ten organ lub podmiot, dla pogodzenia publicznego dostępu do dokumentów urzędowych z prawem do ochrony danych osobowych na mocy niniejszego rozporządzenia". Przepis ten zatem jedynie statuuje "relacje między prawem do ochrony danych osobowych a prawem dostępu do dokumentów urzędowych (prawem dostępu do informacji publicznej). Prawodawca unijny potwierdza możliwość ujawniania (udostępniania) danych osobowych zawartych w dokumentach urzędowych w oparciu o przepisy unijne lub przepisy obowiązujące w krajach członkowskich." (P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 86). Nie może on zatem być uznany za samodzielną podstawę legalizującą ujawnienie danych. Po drugie, art. 7 ust. 2 ustawy o ponownym wykorzystaniu informacji sektora publicznego jednoznacznie określa, że przepisy tej regulacji "nie naruszają przepisów o ochronie danych osobowych", a więc nie można ujawniać danych w trybie określonym przez ustawę o ponownym wykorzystaniu informacji sektora publicznego z pomięciem rozwiązań zawartych w RODO. Inaczej mówiąc, ujawnianie danych zawartych w publicznych rejestrach prowadzonych przez organy państwowe powinno odbywać się z poszanowaniem przepisów o ochronie danych osobowych. Niemniej jednak, wobec tego, że jak słusznie zwrócił uwagę Sąd pierwszej instancji, podstawowym powodem uznania, że zaskarżona decyzja powinna zostać uchylona było to, że dane, których decyzja dotyczyła nie mieściły się w definicji danych osobowych zawartych w art. 4 pkt 1 RODO - dlatego też, mimo słuszności zarzutu skargi kasacyjnej, nie mógł on być podstawą do uchylenia zaskarżonego wyroku.
Powyższe oznacza, że zarzuty skargi kasacyjnej, pomimo, iż okazały się częściowo zasadne, nie mogły odnieść zamierzonego skutku w postaci uchylenia zaskarżonego wyroku. Wyjaśnić bowiem należy, że Naczelny Sąd Administracyjny oddala skargę kasacyjną, jeżeli nie ma ona usprawiedliwionych postaw, albo jeżeli zaskarżone orzeczenie mimo błędnego uzasadnienia odpowiada prawu, o czym stanowi art. 184 P.p.s.a. Zaskarżone w sprawie orzeczenie, mimo stwierdzonych uchybień w jego motywach, odpowiadało co do rozstrzygnięcia prawu. Orzeczenie odpowiada prawu mimo błędnego uzasadnienia, gdy nie ulega wątpliwości, że po usunięciu błędów zawartych w uzasadnieniu sentencja nie uległaby zmianie. Również w sytuacji, gdy w uzasadnieniu wyroku Sąd pierwszej instancji dokonał niewłaściwej wykładni przepisów prawa materialnego, brak jest podstaw do uchylenia zaskarżonego wyroku, gdy jego sentencja jest prawidłowa (wyrok NSA z dnia 3 lutego 2011 r. sygn. akt II GSK 221/10).
Dla niniejszej sprawy ocena prawna oraz wskazania co do dalszego postępowania, o których mowa w art. 153 P.p.s.a., wynikają z wyroku Naczelnego Sądu Administracyjnego, nie zaś z uzasadnienia Sądu pierwszej instancji.
O kosztach postępowania kasacyjnego, Naczelny Sąd Administracyjny orzekł jak w pkt. 2 wyroku, na podstawie art. 209 w zw. z art. 204 pkt 2 i oraz art. 205 § 2 P.p.s.a. w związku z § 14 ust. 1 pkt 2 lit. b rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 r. w sprawie opłat za czynności radców prawnych (Dz. U. z 2018 r., poz. 265 ze zm.). Koszty te wynoszą 240 zł i obejmują wynagrodzenie dla pełnomocnika strony za sporządzenie i wniesienie odpowiedzi na skargę kasacyjną z zachowaniem terminu przewidzianego w art. 179 P.p.s.a. (uchwała siedmiu sędziów Naczelnego Sądu Administracyjnego z dnia 19 listopada 2012 r., sygn. akt II FPS 4/12).