III OSK 2602/23

III OSK 2602/23 - Wyrok NSA
Data orzeczenia
2025-02-11
orzeczenie prawomocne
Data wpływu
2023-10-03
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Maciej Kobak /sprawozdawca/
Piotr Korzeniowski /przewodniczący/
Teresa Zyglewska
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
II SA/Wa 1818/22 - Wyrok WSA w Warszawie z 2023-06-05
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżony wyrok i przekazano sprawę do ponownego rozpoznania przez Wojewódzki Sąd Administracyjny
Powołane przepisy
Dz.U. 2023 poz 259
art. 145 par 1 pkt 1 lit. a oraz par 3
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - t.j.
Dz.U. 2019 poz 1781
art. 1 ust. 22 pkt 4 i 5 oraz art. 60
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (t. j.)
Dz.U. 2021 poz 735
art. 61 par 1
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego - tekst jedn.
Dz.U. 2020 poz 1575
art. 2 par 3
Ustawa z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego - t.j.
Sentencja
Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Piotr Korzeniowski Sędziowie sędzia NSA Teresa Zyglewska sędzia del. WSA Maciej Kobak (spr.) Protokolant asystent sędziego Krzysztof Książek po rozpoznaniu w dniu 11 lutego 2025 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Prezesa Urzędu Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 5 czerwca 2023 r. sygn. akt II SA/Wa 1818/22 w sprawie ze skargi N. sp.j. z siedzibą w N. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 28 lipca 2022 r. nr DS.523.5173.2020.PR.AK./178379 w przedmiocie przetwarzania danych osobowych I. uchyla zaskarżony wyrok i przekazuje sprawę do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie; II. zasądza od N. sp.j. z siedzibą w N. na rzecz Prezesa Urzędu Ochrony Danych Osobowych kwotę 580 (pięćset osiemdziesiąt) złotych tytułem zwrotu kosztów postępowania kasacyjnego.
Uzasadnienie
Wyrokiem z dnia 5 czerwca 2023 r. sygn. akt II SA/Wa 1818/22 Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu skargi N. sp. j. z siedzibą w N. (dalej: "skarżąca") na decyzję Prezesa Urzędu Ochrony Danych Osobowych (dalej: "organ") z dnia 28 lipca 2022 r. nr DS.523.5173.2020.PR.AK/178379 w przedmiocie przetwarzania danych osobowych uchylił zaskarżoną decyzję w całości (pkt 1); umorzył postępowanie przed organem (pkt 2) i zasądził zwrot kosztów (pkt 3).
Powyższy wyrok zapadł w następujących okolicznościach faktycznych i prawnych sprawy.
W dniu 31 sierpnia 2022 r. D. K. (dalej: "wnioskodawca") wniósł do organu skargę na nieprawidłowości w procesie przetwarzania danych osobowych przez skarżącą, polegające na udostępnieniu osobom nieuprawnionym jego danych w zakresie imienia i nazwiska oraz adresu poczty elektronicznej i numeru telefonu, podczas identyfikacyjnego uprawnienia do skorzystania z usługi przewozowej.
Decyzją z 28 lipca 2022 r. na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735, dalej: "K.p.a.") w zw. z art. 7 ust 1 ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz. U. z 2019 r. poz. 1781, dalej: "u.o.d.o."), art. 5 ust. 1, art. 6 ust. 1 i art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46WE (ogólne rozporządzenie o ochronie danych osobowych, Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23,05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35, dalej: "RODO") organ udzielił skarżącej upomnienia za naruszenie art. 6 ust 1 art. w zw. z art. 5 ust. 1 lit f RODO i odmówił uwzględnienia wniosku w pozostałym zakresie.
W uzasadnieniu decyzji organ wskazał, że skarżąca pozyskała dane osobowe wnioskodawcy w zakresie jego imienia, nazwiska, adresu poczty elektronicznej, numeru telefonu oraz numeru konta bankowego w związku z zawarciem szeregu umów o zakup biletów uprawniających go do skorzystania z usługi transportowej. Następnie, jak wynika z nagrań rozmów z kierowcą autobusu realizującego dany kurs, podczas identyfikacji uprawnienia wnioskodawcy do skorzystania z usługi przewozowej, nie tylko poproszono go o podanie nazwiska, które niezwłocznie zostało powtórzone na głos przez kierowcę, lecz także pracownik spółki sam z własnej inicjatywy podjął dialog w którym pierwszy ujawnił jego nazwisko.
Powyższa decyzja stała się przedmiotem skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie.
W odpowiedzi na skargę organ wniósł o jej oddalenie omawiając niezasadność podniesionych zarzutów.
Opisanym na wstępie wyrokiem WSA w Warszawie uwzględnił skargę. Sąd uznał, że wobec bezsporności faktów istotnych w kontekście oceny, czy organ administracji jest kompetentny do zastosowania środków przewidzianych w RODO, w świetle reguł ustawy o danych zabrakło podstaw do orzekania w sprawie co do meritum. W takim układzie organ nie mógł wykonać kompetencji określonych w art. 58 ust. 2 lit. b. Orzekając w sprawie naruszył więc dany przepis prawa materialnego zakreślający kompetencje organu, poprzez bezpodstawne zastosowanie, wobec art. 2 ust. 1 w zw. z art. 4 pkt 6 u.o.d.o.. W ocenie Sądu w rozpatrywanej sprawie nie wystąpiły przesłanki prowadzenia postępowania przed danym organem i winno być ono umorzone.
Sąd uznał, że wymienienie przez D. K. jego imienia i nazwiska, a później ich powtórzenie przez kierowcę pojazdu nie mogły być traktowane jako przetworzenie danych osobowych w rozumieniu RODO, gdyż akt ten dotyczy zdarzeń związanych z przetwarzaniem informacji (gromadzenie, transfer itp.) gdzie możliwe jest mechaniczne odnajdywanie informacji o osobach – ich danych osobowych – w szczególności w ramach systemów teleinformatycznych. Nie dotyczy ono zaś zdarzeń, pozostających w związku z ujawnieniem (a więc przetworzeniem) danych osobowych, w innych sytuacjach - np. możliwości poznania imienia i nazwiska określonej osoby, wobec głośnego jego wypowiedzenia (przez kierowcę czy pasażera autobusu), nawet gdy znajduje się ono równocześnie w określonym zbiorze informacji (liście pasażerów), choćby prowadzono ją w formie elektronicznej.
WSA stanął na stanowisku, że przetwarzanie danych w tym przypadku (i ich ewentualne ujawnienie) nie jest objęte regułami RODO, determinującym ramy kompetencji do rozstrzygania spraw w trybie administracyjnym. Właściwości organu administracji nie można przy tym wykładać rozszerzająco, wobec treści art. 2 § 3 ustawy z dnia 17 listopada 1964 r. - Kodeks postępowania cywilnego (Dz.U. z 2020, poz. 1575 ze zm., dalej: "K.p.c.") z którego wynika, że właściwość organu administracji musi być wskazana wprost.
Organ zaskarżył powyższy wyrok w całości zarzucając mu naruszenie:
1. przepisów prawa procesowego, tj.: art. 145 § 1 pkt 1 lit. a oraz § 3 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r. poz. 259, dalej: "P.p.s.a.") w zw. z art. 1 ust. 2 pkt 4 i 5 oraz art. 60 u.o.d.o, w zw. z art. 61 § 1 K.p.a. i w zw. z art. 58 ust. 2 lit. b RODO, poprzez jego zastosowanie w wyniku błędnego uznania, że organ nie był właściwy do rozpoznania i wydania rozstrzygnięcia w przedmiotowej sprawie administracyjnej zgodnie z przysługującymi mu kompetencjami, co miało istotny wpływ na wynik sprawy;
2. prawa materialnego, tj.: art. 2 ust. 1 w zw. z art. 4 pkt 2 i 6 RODO poprzez ich błędną wykładnię i w efekcie niezastosowanie z powodu uznania, że w tej sprawie nie doszło do ujawnienia danych osobowych ze zbioru danych, tym samym ich przetworzenia, co miało istotny wpływ na wynik sprawy.
W oparciu o powyższe zarzuty wniesiono o uchylenie wyroku w całości i rozpoznanie skargi kasacyjnej przez Naczelny Sąd Administracyjny, ewentualnie, o uchylenie wyroku w całości i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie, oraz o zasądzenie zwrotu kosztów postępowania na rzecz organu, w tym kosztów zastępstwa procesowego i rozpoznanie skargi kasacyjnej na rozprawie.
W odpowiedzi na skargę kasacyjną skarżąca wniosła o jej oddalenie w całości, zasądzenie od organu na rzecz skarżącej zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego, oświadczając iż nie sprzeciwia się rozpoznaniu sprawy na posiedzeniu niejawnym.
Naczelny Sąd Administracyjny zważył, co następuje:
Stosownie do art. 183 § 1 P.p.s.a., Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania. W rozpoznawanej sprawie nie zachodzi żadna z okoliczności skutkujących nieważnością postępowania, o jakich mowa w art. 183
§ 2 P.p.s.a. i nie zachodzi żadna z przesłanek, o których mowa w art. 189 P.p.s.a., które Naczelny Sąd Administracyjny rozważa z urzędu dokonując kontroli zaskarżonego skargą kasacyjną wyroku. Wobec tego Naczelny Sąd Administracyjny przeszedł do zbadania zarzutów kasacyjnych.
Skarga kasacyjna podlega uwzględnieniu. W realiach niniejszej sprawy metodologiczna poprawność wymaga, aby w pierwszej kolejności rozważyć zarzut naruszenia art. 2 ust. 1 w zw. z art. 4 pkt 2 i 6 RODO. Konstruując oceny prawne
w oparciu o powołane przepisy WSA doszedł bowiem do przekonania, że w realiach sprawy nie doszło do przetwarzania danych osobowych na zasadach normowanych przepisami RODO, co następczo doprowadziło Sąd do stwierdzenia, że PUODO nie posiadał kompetencji do jej wszczęcia, prowadzenia i decyzyjnego rozstrzygnięcia. Kierunek weryfikacji zarzutu naruszenia art. 2 ust. 1 w zw. z art. 4 pkt 2 i 6 RODO determinuje więc zasadność zarzutu naruszenia art. 145 § 1 pkt 1 lit. a oraz § 3 P.p.s.a. w zw. z art. 1 ust. 2 pkt 4 i 5 oraz art. 60 u.o.d.o, w zw. z art. 61 § 1 K.p.a.
i w zw. z art. 58 ust. 2 lit. b RODO, w ramach którego zakwestionowano stanowisko WSA o braku właściwości (kompetencji) PUODO do rozstrzygnięcia niniejszej sprawy.
Traktat o Unii Europejskiej (dalej TUE) wskazuje, że UE może podejmować tylko takie działania, do których Unia została wyraźnie upoważniona przez państwa członkowskie (art. 5 TUE). Podział kompetencji pomiędzy UE a państwa członkowskie został dokonany w przepisach art. 2-6 Traktatu o funkcjonowaniu Unii Europejskiej (dalej TFUE). Rozdział ich nastąpił przy zastosowaniu bardzo ogólnych kategorii pojęciowych. Sama analiza tych przepisów jest zatem niewystarczająca dla ustalenia zakresu kompetencji legislacyjnych UE. W zakresie przedmiotowo istotnym z punktu widzenia rozpoznawanej sprawy konieczne jest odwołanie się do art. 16 TFUE.
Zgodnie z art. 16 ust. 1 TFUE każda osoba ma prawo do ochrony danych osobowych jej dotyczących. Z ust. 2 wynika z kolei, że Parlament Europejski i Rada, stanowiąc zgodnie ze zwykłą procedurą ustawodawczą, określają zasady dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii oraz przez Państwa Członkowskie
w wykonywaniu działań wchodzących w zakres zastosowania prawa Unii, a także zasady dotyczące swobodnego przepływu takich danych. Przestrzeganie tych zasad podlega kontroli niezależnych organów. Prawo to uregulowane zostało także w art. 8 ust. 1 Karty Praw Podstawowych UE, zgodnie z którym każdy ma prawo do ochrony danych osobowych, które go dotyczą. Unia Europejska była zatem kompetentna
w zakresie wprowadzenia przepisów RODO. Ochrona osób fizycznych w związku
z przetwarzaniem danych osobowych jest bowiem jednym z praw podstawowych,
a ich ochrona jest sensem funkcjonowania UE. Zatem ochrona prawa do prywatności, w tym ochrona osób fizycznych w zakresie przetwarzania danych osobowych, jest działalnością objętą zakresem prawa Unii w rozumieniu art. 2 ust. 2a RODO.
Przedmiotowy zakres zastosowania przepisów RODO w aspekcie pozytywnym określony został w przepisie art. 2 ust. 1 RODO. W art. 2 ust. 1 RODO przyjęto, że rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych. Zatem "zgodnie z brzmieniem art. 2 ust. 1 rozróżnić należy dwa rodzaje relewantnych procesów przetwarzania danych osobowych kwalifikujących je do objęcia zakresem ochronnym rozporządzenia. Pierwszy to przetwarzanie danych osobowych odbywające się w sposób zautomatyzowany lub częściowo zautomatyzowany bez związku z tym, czy dane w ten sposób przetwarzane staną się lub mają (mogą) stać się częścią zbioru. Drugi natomiast to przetwarzanie w sposób inny niż zautomatyzowany, jednakże wówczas, gdy dane w ten sposób przetwarzane stanowią część zbioru danych lub mają (mogą) stanowić część zbioru danych" (zob. D. Lubosz, RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Warszawa 2018, s. 125).
Z przepisu tego wynika więc, że przetwarzanie danych, które odbywa się
w sposób niezautomatyzowany (ręcznie), a jednocześnie przetwarzane dane nie stanowią (lub nie mają stanowić) zbioru, nie jest objęte zakresem przedmiotowym RODO. Nadto RODO nie znajduje zastosowania także do przetwarzania danych osobowych:
a) w ramach działalności nieobjętej zakresem prawa Unii;
b) przez państwa członkowskie w ramach wykonywania działań wchodzących
w zakres tytułu V rozdział 2 TUE;
c) przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym
charakterze;
d) przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom (art. 2 ust. 2 RODO).
Z utrwalonego orzecznictwa wynika, że ochrona prawa podstawowego do prywatności, zagwarantowanego przez art. 7 Karty Praw Podstawowych, UE wymaga, aby odstępstwa od ochrony danych osobowych i jej ograniczenia były stosowane jedynie wtedy, gdy jest to absolutnie konieczne, a wykładnia regulujących je przepisów powinna być dokonywana przez pryzmat praw podstawowych zawartych w Karcie i w sposób ścisły.
Przetwarzanie, o którym mowa w art. 2 ust. 1 RODO zostało definicyjnie ujęte szeroko i czynnościowo w art. 4 pkt 2 RODO. W rozumieniu tego przepisu "przetwarzanie" oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Jednocześnie "zbiór danych" to uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie (art. 4 pkt 6 RODO). W świetle tej definicji zbiorem danych jest zestaw informacji spełniające następujące kryteria:
- musi to być zestaw informacji stanowiących dane osobowe w rozumieniu przepisu
art. 4 pkt 1 RODO,
- zestaw tych danych musi być uporządkowany, a zatem musi mieć określoną
strukturę,
- dane osobowe zawarte w tym zestawie informacji dostępne być muszą według
określonych kryteriów.
Dopełnieniem przedstawionych powyżej kryteriów jest wskazanie, iż na fakt istnienia zbioru danych nie ma wpływu to czy "zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie". Przy współczesnych możliwościach technicznych kwestia miejsca faktycznego położenia danych tworzących zbiór nie ma charakteru zasadniczego, podobnie jak podział funkcjonalny. Zbiór może być scentralizowany, tzn., dane mogą być skupione
w jednym miejscu albo zdecentralizowany, tzn. dane mogą być skupione w różnych miejscach, co nie przeszkadza ich traktować jako jeden zbiór danych. Wskazać należy także, że do przetwarzania danych osobowych wykorzystywane są tzw. rozproszone bazy danych, których charakterystyczną cechą jest to, iż mimo, że dane znajdują się w wielu miejscach, to traktowane są one jako jedna logiczna całość.
Zatem aby określone dane mogły być kwalifikowane jako zbiór lub jako jego część muszą być nośnikiem informacji charakterystycznych lub specyficznych dla tego zbioru np. dane dotyczące imienia i nazwiska, miejsca zamieszkania, numeru PESEL, adresu email, numeru telefonu.
W sprawie nie jest kwestionowane, że skarżąca Spółka pełniła rolę administratora danych osobowych wnioskodawcy. Jest bezsporne, że skarżąca Spółka pozyskała dane osobowe wnioskodawcy w zakresie imienia, nazwiska, adresu zamieszkania, adresu e-mail, loginu, numeru telefonu oraz numeru konta bankowego, na podstawie dobrowolnego ich udostępnienia w związku z zakupem biletu autobusowego za pośrednictwem strony internetowej. Żadna ze stron nie neguje, że Spółka przetwarzała dane osobowe wnioskodawcy na podstawie art. 6 ust. 1 lit. b RODO, tj. w celu zawarcia i realizacji umowy przewozu osób lub rzeczy.
W przekonaniu Naczelnego Sądu Administracyjnego nie ma wątpliwości, że zakres informacji posiadanych przez skarżącą Spółkę stanowi zbiór danych, o jakim mowa w art. 4 pkt 6 RODO. Bez wątpienia są to informacje o zidentyfikowanej osobie fizycznej w rozumieniu art. 4 pkt 1 RODO. Są to również informacje uporządkowane
i dostępne według określonych kryteriów, a więc podzielone i przyporządkowane takim identyfikatorom jak: imię, nazwisko, adres zamieszkania, adres e-mail, login, numer telefonu oraz numer konta bankowego. Nie można wobec powyższego podzielić oceny WSA, że w niniejszej sprawie przetwarzanie danych osobowych wnioskodawcy nie mieści się w zakresie stosowania RODO, albowiem nie ma charakteru całkowicie lub częściowo zautomatyzowanego, względnie nie jest niezautomatyzowanym przetwarzaniem danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych – art. 2 ust. 1 RODO.
W doktrynie zauważono, że podstawowe dane osobowe człowieka (imię i nazwisko) są jego dobrem osobistym, ale jednocześnie są dobrem powszechnym
w tym znaczeniu, że istnieje publiczna zgoda na posługiwanie się nimi w życiu społecznym (towarzyskim, urzędowym, handlowym itd.) - zob. M. Pieńczykowski, Ochrona danych osobowych jako negatywna przesłanka udostępniania informacji publicznej, Zeszyty Naukowe Sądownictwa Administracyjnego z 2018 r., nr 2, str. 64 i n.
Wprawdzie zgodzić się należy z ogólnym poglądem wyrażonym w uzasadnieniu zaskarżonego wyroku, iż posłużenie się imieniem i nazwiskiem, a więc ujawnienie (przetworzenie) danych osobowych określonej osoby przy zwróceniu się do niej w miejscu publicznym nie musi jeszcze stanowić samo w sobie naruszenia RODO, lecz wyrażony przez Sąd I instancji wniosek jest jednak zbyt ogólny, aby miał charakter uniwersalny i pozwalał tym samym na oddalenie skargi. Problem ten może być rozstrzygnięty jedynie na tle konkretnych okoliczności sprawy, na tle ustalonego stanu faktycznego. Istotne jest powiązanie tych danych osobowych tj. imienia i nazwiska ze wspomnianymi wyżej specyficznymi cechami zbioru, który w realiach niniejszej sprawy obejmował dane osobowe: imię, nazwisko, adres zamieszkania, adres e-mail, login, numer telefonu oraz numer konta bankowego, pozyskane w celu realizacji zawartej z wnioskodawcą umowy.
O ile zatem zwrócenie się samym imieniem i nazwiskiem do osoby w miejscu publicznym i to nawet w obecności innych osób nie musi wiązać się z naruszeniem RODO, gdyż dotyczy ujawnienia danych osobowych nie stanowiących zbioru danych, albo niemogących stanowić części zbioru danych z uwagi na kontekst ich ujawnienia – spotkanie towarzyskie, przedstawienie osoby fizycznej na oficjalnym spotkaniu, to już powiązanie tych danych z innymi informacjami może takie naruszenie kreować. Istotny jest więc kontekst treściowy i sytuacyjny, w ramach którego administrator danych użył imienia i nazwiska zwracając się do konkretnej osoby w miejscu publicznym oraz w obecności innych osób (jak wskazano wyżej nie dotyczy to użycia tych danych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze). W realiach niniejszej sprawy należy zatem przesądzić, że skarżąca Spółka była administratorem danych osobowych wnioskodawcy
i przetwarzała je w ramach zbioru danych, o którym mowa w art. 2 ust. 1 w zw. z art. 4 pkt 6 RODO. Dokonana przez WSA wykładnia powołanych przepisów była wadliwa, albowiem w sposób nieuprawniony wyłączała z zakresu stosowania RODO przetwarzanie danych osobowych wnioskodawcy. Sporne jest to, czy skarżąca Spółka, jako administrator danych, doprowadziła do nieuprawnionego ujawnienia/rozpowszechnienia/udostępnienia danych osobowych wnioskodawcy,
a zatem, czy nie przetwarzała tych danych z naruszeniem RODO.
Konsekwencją przyjętej oceny prawnej musi być potwierdzenie zasadności zarzutu naruszenia art. 145 § 1 pkt 1 lit. a oraz § 3 P.p.s.a. w zw. z art. 1 ust. 2 pkt 4
i 5 oraz art. 60 u.o.d.o, w zw. z art. 61 § 1 K.p.a. i w zw. z art. 58 ust. 2 lit. b RODO. Działający w niniejszej sprawie organ posiadał kompetencje ustrojowe, procesowe
i materialnoprawne do wydania decyzji administracyjnej.
W tym stanie rzeczy Naczelny Sąd Administracyjny, działając na podstawie
art. 185 § 1 p.p.s.a. uchylił w całości zaskarżony wyrok i przekazał sprawę Wojewódzkiemu Sądowi Administracyjnemu w Warszawie do ponownego rozpoznania. Rolą Sądu pierwszej instancji będzie skontrolować legalność kwestionowanej skargą decyzji PUODO przy założeniu, że w sprawie znajdowały zastosowanie przepisy RODO, a PUODO był umocowany do jej rozstrzygnięcia
w formie decyzji administracyjnej.
O kosztach postępowania kasacyjnego orzeczono na podstawie art. 203 pkt 2
i art. 205 § 2 P.p.s.a.