III OSK 2816/22

III OSK 2816/22 - Wyrok NSA
Data orzeczenia
2024-01-19
orzeczenie prawomocne
Data wpływu
2022-12-08
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Hanna Knysiak - Sudyka
Wojciech Jakimowicz
Zbigniew Ślusarczyk /przewodniczący sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Sygn. powiązane
II SA/Wa 3920/21 - Wyrok WSA w Warszawie z 2022-07-05
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę kasacyjną
Sentencja
Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Zbigniew Ślusarczyk (spr.) Sędziowie sędzia NSA Wojciech Jakimowicz sędzia del. WSA Hanna Knysiak - Sudyka po rozpoznaniu w dniu 19 stycznia 2024 r. na posiedzeniu niejawnym w Izbie Ogólnoadministracyjnej skargi kasacyjnej Spółdzielni Mieszkaniowej w O. z siedzibą w O. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 5 lipca 2022 r. sygn. akt II SA/Wa 3920/21 w sprawie ze skargi Spółdzielni Mieszkaniowej w O. z siedzibą w O. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 15 września 2021 r. nr DS.523.176.2020.WP.AT.139456 w przedmiocie przetwarzania danych osobowych oddala skargę kasacyjną.
Uzasadnienie
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z 5 lipca 2022 r. sygn. akt II SA/Wa 3920/21, na podstawie art. 151 ustawy z 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2021 r., poz. 137 ze zm.) dalej "p.p.s.a." oddalił skargę Spółdzielni Mieszkaniowej w O. z siedzibą w O. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z 15 września 2021 r. nr DS.523.176.2020.WP.AT.139456 w przedmiocie przetwarzania danych osobowych.
W uzasadnieniu wyroku Sąd pierwszej instancji wskazał, że nie narusza prawa zaskarżona decyzja udzielająca skarżącej upomnienia za naruszenie art. 6 ust. 1 w związku z art. 5 ust. 1 lit. b i c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z dnia 4 maja 2016, s. 1 oraz Dz. Urz. UE L 127 z dnia 23 maja 2018, s. 2), dalej jako "RODO". Zdaniem Sądu organ prawidłowo uznał, że nie miało podstawy prawnej działanie skarżącej spółdzielni mieszkaniowej, polegające na udostępnieniu danych osobowych członka ww. Spółdzielni W. R. w zakresie imienia, nazwiska i adresu zamieszkania, [...] Szpitalowi [...] im. [...] z siedzibą w O. Podmiot ten, będący pracodawcą W. R., mógł co prawda być już w posiadaniu ww. danych osobowych swojego pracownika, jednakże okoliczność ta nie miała istotnego znaczenia dla oceny działania skarżącej.
Jak wskazał Sąd I instancji, stosownie do art. 4 pkt 2 RODO przetwarzaniem danych osobowych jest m.in. "udostępnienie" tych danych. Przetwarzanie uważa się za legalne, jeśli administrator spełni co najmniej jedną z przesłanek wskazanych w art. 6 ust. 1 ww. rozporządzenia. Zdaniem Sądu I instancji, nie może zostać uznane za uprawnione w świetle tego przepisu udostępnienie pracodawcy danych osobowych pracownika w celu poinformowania pracodawcy o wykorzystaniu przez pracownika służbowego adresu e-mail dla celów niezwiązanych z obowiązkami służbowymi. W konsekwencji w ocenie WSA w Warszawie organ prawidłowo uznał, że udostępnienie danych osobowych uczestnika postępowania miało miejsce bez podstawy prawnej, stanowiąc tym samym naruszenie art. 6 ust. 1 RODO.
Skargę kasacyjną złożyła Spółdzielnia Mieszkaniowa w O., zaskarżając powyższy wyrok w całości. Zarzuciła mające istotny wpływ na wynik sprawy naruszenie przepisów postępowania, tj. art. 141 § 4 w zw. z art. 134 § 1 p.p.s.a. w zw. z art. 1 § 2 ustawy z 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych w zw. z art. 4 pkt 2 RODO przez brak dostatecznego rozważenia znaczenia użytego w przepisie art. 4 pkt 2 RODO terminu "ujawnianie", nieprzeprowadzenie jego wykładni i całkowicie bezkrytyczne przyjęcie, że niezależnie od posiadania przez osobę trzecią danych osobowych, można jej te dane ujawnić przez udostępnienie, jeśli dane te są przetwarzane dla innych celów, podczas gdy obowiązkiem sądu jest wszechstronne rozpoznanie sprawy, w tym w zakresie podniesionych w skardze zarzutów, a także zupełne wyjaśnienie prawidłowości albo nieprawidłowości zaskarżonej decyzji, a nie ograniczenie się jedynie do powielenia stanowiska wyrażonego w zaskarżonej decyzji.
Ponadto skarżąca kasacyjnie zarzuciła naruszenie prawa materialnego, tj. art. 4 pkt 2 RODO przez jego błędną wykładnię polegającą na uznaniu, że działanie skarżącej kasacyjnie będące przedmiotem rozpoznania stanowiło "udostępnianie" danych osobowych W. R. w zakresie imienia, nazwiska i adresu zamieszkania oraz mieści się w ustawowej definicji pojęcia "przetwarzania" danych osobowych, podczas gdy prawidłowo przeprowadzona wykładnia językowa i funkcjonalna pojęcia "udostępnianie" świadczy o tym, że warunkiem udostępnienia danych jest ich jednoczesne ujawnienie (obiektywne zdarzenie), do czego na gruncie analizowanej sprawy nie doszło, ponieważ [...] Szpital [...] im. [...] w O., jako pracodawca W. R., był administratorem danych osobowych w zakresie jego imienia, nazwiska i adresu zamieszkania, co wynika m. in. z przepisu art. 22(1) § 1 i 3 ustawy z 26 czerwca 1974 r. – Kodeks pracy, a tym samym nie doszło do naruszenia art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. b i c RODO, a w konsekwencji naruszenie art. 151 p.p.s.a. przez jego zastosowanie i oddalenie skargi na decyzję, podczas gdy zaskarżona decyzja naruszała prawo materialne w taki sposób, że miało to istotny wpływ na wynik sprawy, a tym samym zastosowanie powinien znaleźć przepis art. 145 § 1 pkt 1 lit. a p.p.s.a. i zaskarżona decyzja powinna zostać uchylona.
W oparciu o tak sformułowane zarzuty skarżąca kasacyjnie wniosła o uchylenie zaskarżonego wyroku w całości i o zasądzenie na jej rzecz zwrotu kosztów postępowania sądowego według norm przepisanych.
W odpowiedzi na skargę kasacyjną Prezes Urzędu Ochrony Danych Osobowych wniósł o oddalenie skargi kasacyjnej. W uzasadnieniu wskazał, że w pełni podziela stanowisko zajęte przez Sąd I instancji. Zgodnie z art. 4 pkt 2 RODO udostępnienie danych stanowi operację na danych osobowych, mieszczącą się w ustawowej definicji "przetwarzania" danych osobowych. W ocenie Prezesa UODO każda operacja przetwarzania danych osobowych, w tym operacja ich udostępniania jest legalna tylko wtedy, gdy spełniona jest przynajmniej jedna z przesłanek określonych w art. 6 ust. 1 RODO. Okoliczność, na którą powołuje się Spółdzielnia, że Szpital przed otrzymaniem danych skarżącego od Spółdzielni posiadał już dane osobowe skarżącego jako jego pracodawca, nie ma znaczenia w niniejszej sprawie. Każda bowiem operacja udostępnienia danych osobowych musi znaleźć oparcie w przynajmniej jednej z przesłanek określonych w art. 6 ust. 1 RODO. Spółdzielnia jako administrator nie wykazała się zaś żadną z przesłanek wskazanych w art. 6 ust. 1 RODO udostępniając dane osobowe W. R. jego pracodawcy, tym samym, zdaniem organu należało uznać, że nastąpiło ono bez podstawy prawnej.
W odpowiedzi na skargę kasacyjną W. R. wniósł o odrzucenie skargi kasacyjnej oraz "nałożenie administracyjnej kary". Podniósł, że przetwarzanie danych osobowych przez Spółdzielnię mieszkaniową nastąpiło bez podstawy prawnej. Dodał, że pracownik może posiadać kilka mieszkań, w dokumentacji pracowniczej wskazując adres inny niż adres posiadany przez Spółdzielnię. Tym samym w jego ocenie Spółdzielnia nie wykazała, że pracodawca uczestnika posiadał już dane udostępnione mu przez Spółdzielnię.
Naczelny Sąd Administracyjny zważył, co następuje:
Stosownie do art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2023 r., poz. 259) zwanej dalej p.p.s.a., Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania. W rozpoznawanej sprawie nie zachodzi żadna z okoliczności skutkujących nieważnością postępowania, o jakich mowa w art. 183 § 2 p.p.s.a. i nie zachodzi żadna z przesłanek, o których mowa w art. 189 p.p.s.a., które Naczelny Sąd Administracyjny rozważa z urzędu dokonując kontroli zaskarżonego skargą kasacyjną wyroku. W tych okolicznościach w sprawie badaniu podlegały wyłącznie zarzuty podniesione w skardze kasacyjnej na uzasadnienie przytoczonych podstaw kasacyjnych.
Jako niezasadny należy uznać zarzut naruszenia art. 141 § 4 p.p.s.a. w zw. z art. 134 § 1 p.p.s.a. w zw. z art. 1 § 2 Prawa o ustroju sądów administracyjnych w zw. z art. 4 pkt 2 RODO. Skarżący kasacyjnie upatruje tego naruszenia w braku dostatecznego rozważenia znaczenia użytego w przepisie art. 4 pkt 2 RODO terminu "ujawnienie", nieprzeprowadzeniu jego wykładni i całkowicie bezkrytycznym przyjęciu, że niezależnie od posiadania przez osobę trzecią danych osobowych, można jej te dane ujawnić przez udostępnienie, jeśli dane te są przetwarzane dla innych celów.
W orzecznictwie Naczelnego Sądu Administracyjnego prezentowany jest pogląd, że wadliwość uzasadnienia wyroku może stanowić przedmiot skutecznego zarzutu kasacyjnego z art. 141 § 4 p.p.s.a. w sytuacji, gdy sporządzone jest ono w taki sposób, że niemożliwa jest kontrola instancyjna zaskarżonego wyroku. Funkcja uzasadnienia wyroku wyraża się i w tym, że jego adresatem, oprócz stron, jest także Naczelny Sąd Administracyjny. Tworzy to więc po stronie wojewódzkiego sądu administracyjnego obowiązek wyjaśnienia motywów podjętego rozstrzygnięcia w taki sposób, który umożliwi przeprowadzenie kontroli instancyjnej zaskarżonego orzeczenia w sytuacji, gdy strona postępowania zażąda, przez wniesienie skargi kasacyjnej, jego kontroli (por. wyrok NSA z 13 grudnia 2012 r., sygn. akt II OSK 1485/11). Treść uzasadnienia powinna umożliwić zarówno stronom postępowania, jak i - w razie kontroli instancyjnej - Naczelnemu Sądowi Administracyjnemu, prześledzenie toku rozumowania sądu i poznanie racji, które stały za rozstrzygnięciem o zgodności bądź niezgodności z prawem zaskarżonego aktu. Tworzy to po stronie wojewódzkiego sądu administracyjnego obowiązek wyjaśnienia motywów podjętego rozstrzygnięcia w taki sposób, że w razie wniesienia skargi kasacyjnej nie powinno budzić wątpliwości Naczelnego Sądu Administracyjnego, iż zaskarżony wyrok został wydany po gruntownej analizie akt sprawy i że wszystkie wątpliwości występujące na etapie postępowania administracyjnego zostały wyjaśnione (por. wyrok NSA z 25 stycznia 2013 r., sygn. akt II OSK 1751/11). Uzasadnienie zaskarżonego wyroku Sądu pierwszej instancji w zasadniczym zakresie realizuje powyższe wymagania. Zawiera wszystkie elementy wskazane w art. 141 § 4 p.p.s.a. i wynika z niego między innymi jaki stan faktyczny został w tej sprawie przyjęty przez Sąd, dokonano też jego oceny, jak również zawarto rozważania dotyczące wykładni i mających zastosowanie w niniejszej sprawie przepisów, w tym art. 4 pkt 2 RODO. Sąd I instancji na stronach 10 i 12 nie tylko przywołał treść tego przepisu, ale również dokonał jego wykładni. Stwierdził, że w świetle ww. przepisu "udostępnienie" danych osobowych uczestnika postępowania, o którym mowa w zaskarżonej decyzji, mieści się w ustawowej definicji "przetwarzania" tychże danych. Sąd przyjął za organem, że przywołana w przedmiotowym przepisie definicja "udostępnienia" stanowi operację na danych osobowych mieszczącą się w definicji "przetwarzania" danych osobowych. Stwierdził, że legalność procesu przetwarzania danych osobowych uczestnika postępowania przez Spółdzielnię nie zależy od tego czy podmiot, któremu udostępniła ona dane uczestnika postępowania był już w ich posiadaniu, czy też nie. Bowiem zgodnie z art. 4 pkt 2 RODO, udostępnienie danych osobowych należy rozumieć jako działanie administratora, polegające na udzieleniu innemu podmiotowi dostępu do danych osobowych. Zdaniem Sądu I instancji, Spółdzielnia będąc administratorem danych osobowych uczestnika postępowania, bezsprzecznie udostępniła te dane na rzecz Szpitala. Przesłała bowiem do wiadomości tego podmiotu, pismo (stanowiące odpowiedź na zapytania uczestnika postępowania dotyczące rozliczeń finansowych oraz uchwał podjętych przez Radę Nadzorczą Spółdzielni), zawierające w swej treści dane osobowe uczestnika. Powyższego faktu nie zmienia według Sądu I instancji to, że Szpital mógł dysponować danymi osobowymi uczestnika - jako jego pracodawca i w związku z tym jako odrębny administrator danych. Zatem Sąd odniósł się do podniesionej przez Spółdzielnię kwestii istotności posiadania już danych osobowych, które Spółdzielnia przesłała Szpitalowi i stwierdził, że stanowisko Spółdzielni, że przekazując dane osobowe uczestnika nie przetwarzała tych danych, gdyż ich nie "ujawniła", jest nieuprawnione. Ponadto, przyjęcie przez Sąd w pewnym zakresie stanowiska organu i przytoczenie w uzasadnieniu wyroku jego argumentacji, jeżeli jest ona wyczerpująca, nie jest naruszeniem wymogów sformułowanych w art. 141 § 4 p.p.s.a. Natomiast to, że strona skarżąca nie zgadza się z dokonaną przez Sąd oceną prawną, nie oznacza, że został naruszony przepis art. 141 § 4 p.p.s.a. i nie uprawnia do czynienia takiego zarzutu. Za pomocą tego zarzutu nie można bowiem zwalczać zaaprobowanej przez Sąd podstawy faktycznej rozstrzygnięcia, czy też stanowiska co do wykładni lub zastosowania prawa materialnego (por. wyroki NSA z: 27 lipca 2012 r., sygn. akt I FSK 1467/11, 13 maja 2013 r., sygn. akt II FSK 358/12). Zwrócić nadto należy uwagę, iż prawidłowo sporządzone uzasadnienie wyroku nie wymaga szczegółowego odniesienia się do wszystkich zarzutów skargi oraz podniesionej w niej argumentacji, a jedynie w zakresie niezbędnym do przeprowadzenia kontroli zaskarżonego aktu administracyjnego. Sam fakt braku wyraźnego odniesienia się przez sąd pierwszej instancji do niektórych nieistotnych zarzutów skargi lub pominięcia w rozważaniach niektórych elementów stanu faktycznego sprawy, nie stanowi podstawy do uznania, że zaskarżony wyrok został wydany z naruszeniem art. 141 § 4 p.p.s.a. (por. wyrok NSA z 21 września 2017 r., sygn. akt I GSK 1329/15). W niniejszej sprawie Wojewódzki Sąd Administracyjny w Warszawie w sposób umożliwiający dokonanie kontroli instancyjnej zaskarżonego wyroku, odniósł się do istotnych zarzutów skargi i wyjaśnił, z jakich przyczyn podzielił stanowisko Prezesa UODO a nie uwzględnił stanowiska Spółdzielni co do zakwalifikowania przesłania danych osobowych uczestnika jego pracodawcy, jako przetwarzanie danych. Biorąc powyższe pod uwagę, nie można zgodzić się ze Spółdzielnią, że Sąd nie rozpoznał sprawy wszechstronnie. Należy bowiem dodatkowo zauważyć, że spór co do wykładni i zastosowania art. 4 pkt 2 RODO nie był jedynym, który musiał rozstrzygnąć Sąd w niniejszej sprawie. Sąd wypowiedział się również w wielu innych kwestiach, między innymi dokonał oceny prawidłowości wykładni i zastosowania przez organ przepisów art. 5 ust. 1 lit. b) i c), art. 6 ust. 1 i 4, art. 23 ust. 1, art. 58 ust. 2 RODO. Zatem nie sposób przyjąć, że Sąd nie rozpoznał istoty sprawy.
Na uwzględnienie nie zasługiwał też zarzut naruszenia art. 134 § 1 p.p.s.a. Zgodnie z tym przepisem sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną. Zarzut naruszenia art. 134 § 1 p.p.s.a. może być uzasadniony, jeżeli sąd nie zauważy lub nie weźmie pod uwagę niewskazanego w skardze naruszenia lub niezastosowania istotnego dla sprawy przepisu prawnego albo pominie ważną okoliczność faktyczną. Chodzi zatem o takie sytuacje, które wskazują na to, że w postępowaniu administracyjnym popełniono uchybienia na tyle istotne a przy tym oczywiste, że bez względu na treść zarzutów sąd nie powinien był przechodzić nad nimi do porządku, względnie gdy strona w postępowaniu sądowym wskazywała na istotne dla sprawy zarzuty bądź powołała dowody, które zostały przez sąd wojewódzki pominięte (por. np. wyrok NSA z 12 czerwca 2018 r., II GSK 96/17), nie zaś o przypadki, w których sąd ocenił wszystkie doniosłe prawnie okoliczności w ramach prawidłowo przyjętego stanu sprawy, jednakże ocena ta była błędna (popełniony został błąd wykładni lub subsumcji). Taka sytuacja nie miała miejsca w przedmiotowej sprawie. Jak wskazano powyżej Sąd dokonał wykładni art. 4 pkt 2 RODO i nie pominął akcentowanej w skardze kwestii posiadania danych osobowych uczestnika przez Szpital będący jego pracodawcą, co miałoby według Spółdzielni wskazywać, że nie przetwarzała danych osobowych uczestnika.
Niezasadny okazał się również zarzut naruszenia art. 4 pkt 2 RODO przez jego błędną wykładnię. Odnosząc się do tego zarzutu, trzeba przypomnieć, że z niepodważonego w skardze kasacyjnej stanu faktycznego zaakceptowanego przez Sąd I instancji wynika, że uczestnik prowadził ze Spółdzielnią korespondencję na temat rozliczeń finansowych oraz uchwał podjętych przez Radę Nadzorczą Spółdzielni, wykorzystując przy tym swój służbowy adres e-mail, którego administratorem jest pracodawca uczestnika [...] Szpital [...] w O. Uczestnik w związku z prowadzoną korespondencją przekazywał Spółdzielni swoje dane osobowe w zakresie imienia, nazwiska i miejsca zamieszkania. W reakcji na jedno z pism uczestnika odpowiedź na nie Spółdzielnia przesłała również administratorowi adresu e-mail, z którego korzystał uczestnik, czyli jego pracodawcy. Sąd I instancji uznał za organem, że w świetle art. 4 pkt 2 RODO działanie Spółdzielni stanowiło przetwarzanie danych osobowych poprzez ich "udostępnienie". Zdaniem skarżącej kasacyjnie Spółdzielni jest to konstatacja błędna, a z przyjętego przez Sąd stanu faktycznego wynika, że nie doszło do przetwarzania danych osobowych w rozumieniu RODO poprzez ich udostępnienie, ponieważ dane te pozostawały już wówczas w dyspozycji Szpitala, tj. były mu znane jako pracodawcy uczestnika oraz jako administratorowi adresu e-mail, z którego uczestnik korzystał prowadząc korespondencję ze Spółdzielnią.
Zdaniem Naczelnego Sądu Administracyjnego przedstawione wyżej stanowisko Spółdzielni nie jest słuszne. Sąd I instancji dokonał prawidłowej wykładni art. 4 pkt 2 RODO, na podstawie której uznał, że działanie Spółdzielni polegające na przesłaniu pracodawcy uczestnika jego danych osobowych w postaci imienia, nazwiska i miejsca zamieszkania, wyczerpuje znamiona przetwarzania danych osobowych w rozumieniu RODO, a tym samym podlega określonym zasadom przetwarzania danych, których nieprzestrzeganie skutkuje powstaniem naruszenia przez Spółdzielnię na gruncie niniejszej sprawy art. 6 ust. 1 i art. 5 ust. 1 lit. b) i c) RODO.
Stosownie do treści art. 4 pkt 2 RODO "na użytek niniejszego rozporządzenia: "przetwarzanie" oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie." Zatem pojęcie "przetwarzania" składa się z dwóch elementów: ogólnej definicji oraz katalogu przykładowych czynności, które mogą stanowić przetwarzanie. Punktem wyjścia przy dokonywaniu subsumpcji musi być jednak zawsze ogólny fragment definicji, który precyzuje przesłanki kwalifikacji określonej czynności jako "przetwarzania" w rozumieniu RODO. Wymienione w otwartym katalogu przykładowe operacje nie będą stanowiły przetwarzania, jeżeli nie spełnią przesłanek wskazanych w ogólnej definicji tego pojęcia. Muszą zatem stanowić operację lub zestaw operacji, być wykonywane na danych osobowych lub zestawach danych osobowych, następować w sposób zautomatyzowany lub niezautomatyzowany. Dopiero wtedy czynności wymienione w katalogu przykładowym definicji będą podlegały subsumpcji pod pojęcie przetwarzania. W drugiej części wykładanego przepisu prawodawca wskazuje rodzaje operacji na danych osobowych, które stanowią przetwarzanie danych. Wymienione w przepisie art. 4 pkt 2 przykłady czynności pełnią podwójną rolę. Ich podstawowym zadaniem jest ułatwienie stosowania w praktyce ogólnej definicji przetwarzania. Dodatkowo jednak zakreślają ramy czasowe, w których może mieć miejsce przetwarzanie. Kolejność wymienienia tych czynności nie jest bowiem przypadkowa.
Warto zwrócić uwagę, że znaczenie, jakie przepis art. 4 pkt 2 RODO nadaje pojęciu przetwarzania, jest znacznie szersze od rozumienia potocznego czy też treści, jaką przypisuje się mu w kontekście technicznym. W potocznym rozumieniu przetwarzanie uznawane jest za synonim przerabiania, zmieniania czy też przekształcania, a więc wiąże się z dokonaniem modyfikacji danych. W tym znaczeniu czynności, które nie prowadzą do zmiany danych (np. gromadzenie, przechowywanie), nie są uznawane za ich przetwarzanie. Podobnie w przypadku przetwarzania danych np. w bazie danych, za przetwarzanie uznaje się zazwyczaj dokonywanie operacji na danych już do bazy wprowadzonych, natomiast procesy gromadzenia danych, wprowadzania ich do bazy czy przechowywania danych nie są zwykle uznawane za przetwarzanie danych. Prawodawca odmiennie ujmuje te kwestie, nakazując uznanie za przetwarzanie różnych operacji na danych osobowych, niezależnie od tego, czy prowadzą one do modyfikacji treści danych, czy też nie. Chodzi o to, aby pojęciem przetwarzania objąć wszelkie operacje na danych, co ma umożliwić zapewnienie ochrony w odniesieniu do różnorodnych działań dokonywanych na danych, począwszy od gromadzenia danych poprzez rozmaite czynności, których przedmiotem są dane osobowe, a na usuwaniu danych skończywszy. Takie podejście prawodawcy motywowane jest praktycznymi doświadczeniami, z których wynika, że niektóre operacje, które potocznie nie są uznawane za przetwarzanie (np. przechowywanie danych), pociągają za sobą poważne ryzyko dla bezpieczeństwa danych.
Przy dokonywaniu wykładni pojęcia "przetwarzanie" może pojawić się wątpliwość co do charakteru wyliczenia poszczególnych operacji zawartego w art. 4 pkt 2 RODO. Możliwe są tu do przyjęcia dwa sposoby interpretacji. Zgodnie z pierwszym, katalog operacji ma charakter przykładowego wyliczenia, o czym świadczy sformułowanie "oznacza (...) operację taką jak", nie stanowi enumeratywnego wskazania rodzajów operacji, a ma charakter otwarty. Zawiera on najbardziej typowe rodzaje czynności, jakie mieszczą się w zakresie omawianego pojęcia. Przykładami operacji niewskazanych w wyliczeniu zawartym w komentowanym przepisie są: profilowanie i pseudonimizacja (mające również definicje legalne), które to operacje przepisy RODO uznają za przetwarzanie danych. Drugie podejście opiera się na uznaniu, że katalog operacji ma charakter zamknięty i wskazuje wszystkie rodzaje czynności składające się na pojęcie przetwarzania danych. Z uwagi na argumenty przedstawione powyżej taka wykładnia nie zasługuje na aprobatę (tak też: Fajgielski Paweł, Komentarz do art. 4 pkt 2 rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II WKP 2022). Za trafnością pierwszej z przytoczonych powyżej interpretacji opowiedzieli się też B. Fischer, M. Górski, A. Nerka, M. Sakowska-Baryła, K. Wygoda, Komentarz do art. 4 [w:] Ogólne rozporządzenie o ochronie danych, red. M. Sakowska-Baryła, s. 79. Podobne stanowisko wyrażono w "RODO. Ogólne rozporządzenie o ochronie danych. Komentarz." (D. Lubasz. W Chomiczewski, M. Czerniawski, P. Drobek, U. Góral, M. Kuba, P Makowski, K. Witkowska-Nowakowska, red. E. Bielak – Jomaa, Warszawa 2018) - art. 4.
Nie budzi w sprawie wątpliwości, że przesłanie imienia, nazwiska i miejsca zamieszkania uczestnika wyczerpuje pierwszy z przedstawionych wyżej elementów definicji przetwarzania zawartej w art. 4 pkt 2 RODO, ponieważ stanowi operację wykonaną na danych osobowych w sposób niezautomatyzowany. Z przepisu art. 4 pkt 2 RODO wynika, że jednym z typów operacji na danych osobowych stanowiących przetwarzanie jest "ujawnienie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie". Jest to pojęcie, które nie zostało jednak zdefiniowane w RODO lub w innym powiązanym z nim akcie prawnym. Zgodzić należy się ze skarżącą kasacyjnie Spółdzielnią, że zgodnie z definicją zawartą w Słowniku języka polskiego PWN "ujawnić" oznacza "czynić jawnym, podać do wiadomości coś, co było trzymane w tajemnicy". Zatem warunkiem "ujawnienia" jest aby dane osobowe w konsekwencji operacji na nich, mogły być poznane przez inne podmioty, które do tej pory ich nie znały. Podobnie wyłożono, zakres tego pojęcia w "RODO. Ogólne rozporządzenie o ochronie danych. Komentarz." (D. Lubasz. W Chomiczewski, M. Czerniawski, P. Drobek, U. Góral, M. Kuba, P Makowski, K. Witkowska-Nowakowska, red. E. Bielak – Jomaa, Warszawa 2018) - art. 4, wskazując, iż oznacza ono uczynienie określonych informacji jawnymi, czyli że dane osobowe w konsekwencji tej operacji mogą być poznane przez inne osoby, które ich nie znały. Jednak, jak już wyżej wskazano organ i Sąd I instancji nie twierdzą, że Spółdzielnia ujawniła dane osobowe uczestnika. Zarówno organ jak i Sąd I instancji wykładając pojęcie "przetwarzanie" stanęły na stanowisku, że możliwe jest przetwarzanie przez udostępnienie danych osobowych, które nie stanowi ich ujawnienia. Zatem co do zasady wykładnia pojęcia "ujawnienie" jest irrelewantna dla oceny prawidłowości stanowiska Sądu i organu. W konsekwencji bez wpływu na ocenę działań Spółdzielni pozostaje to, że Szpital jako pracodawca uczestnika był już administratorem danych osobowych uczestnika w zakresie imienia, nazwiska i miejsca zamieszkania na podstawie art. 22(1) § 1 i 3 Kodeksu Pracy.
Skoro Sąd I instancji uznał za organem, że przesłanie przez Spółdzielnię danych osobowych uczestnika Szpitalowi stanowiło niezautomatyzowaną operację wykonywaną na danych osobowych, która stanowiła udostępnienie danych osobowych, to stanowisko to zasługuje na akceptację. Jak już wskazano wyżej, działanie Spółdzielni polegające na przesłaniu danych Szpitalowi spełnia pierwszy element definicji "przetwarzania" danych osobowych zawarty w art. 4 pkt 2 RODO. Nadto katalog czynności będących przetwarzaniem, zawarty w tym przepisie, jest otwarty. Zatem mogą być też inne operacje na danych osobowych niż przykładowe działania wskazane w art. 4 pkt 2 RODO. Wobec tego mogą to być także inne sposoby przesyłania lub udostępniania danych niż zawarte w pojęciu "ujawnianie", tj. nie muszą być przesłane lub udostępnione osobom, które nie są w posiadaniu tych danych.
Przy wykładni pojęcia "przetwarzanie" z art. 4 pkt 2 RODO nie może umknąć uwadze to, że celem RODO, w tym określonych w nim zasad przetwarzania danych osobowych, jest ochrona poufnych danych osobowych przed nieuprawnionym do nich dostępem. Pojęciem przetwarzania objąć należy operacje na danych, w odniesieniu do różnorodnych działań dokonywanych na danych, mając na względzie cel tej regulacji w postaci zapewnienia ochrony danych osobowych. Takiemu celowi nie służy jakiekolwiek przesyłanie lub udostępnianie danych osobowych, bowiem każda taka operacja na danych osobowych może stanowić zagrożenie dla bezpieczeństwa danych osobowych osób fizycznych. Podmiot przesyłający lub udostępniający dane osobowe z reguły nie wie czy podmiot, któremu przesyła lub udostępnia dane osobowe jest już w ich posiadaniu. Zatem część takich operacji na danych osobowych, niespełniających warunków z art. 6 ust. 1 RODO, stanowiłaby naruszenie danych osobowych. Wobec tego, zachodziłaby konieczność przywrócenia stanu sprzed naruszenia danych, co nie zawsze byłoby możliwe. Tymczasem system ochrony danych osobowych uregulowany w RODO ma przede wszystkim zapobiegać powstaniu takim naruszeniom a przyjęcie stanowiska prezentowanego przez Spółdzielnię w skardze kasacyjnej, powodowałoby, że owego standardu regulacja zawarta w art. 4 pkt 2 nie zapewniałaby.
Wzmocnienie argumentacji przemawiającej za uznaniem "udostępnienia" danych osobowych uczestnika postępowania za przetwarzanie jego danych osobowych stanowi orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej, który w wyroku z 24 lutego 2022 r. w sprawie SIA "SS" przeciwko Valtsts Ienemumu Dieneses C-175/20 w pkt 35 stwierdził że: "[z]godnie z art. 4 pkt 2 tego rozporządzenia zbieranie, przeglądanie, ujawnianie poprzez przesłanie lub innego rodzaju udostępnianie danych osobowych stanowią "przetwarzanie" w rozumieniu wskazanego rozporządzenia. Z brzmienia tego przepisu, a w szczególności z wyrażenia "[każdą] operację", wynika, że prawodawca Unii zamierzał nadać pojęciu "przetwarzania" szeroki zakres. Taką wykładnię potwierdza niewyczerpujący charakter czynności wymienionych we wspomnianym przepisie, wyrażony poprzez użycie sformułowania "taką jak". Natomiast w wyroku z 5 października 2023 r. w sprawie RK przeciwko Ministerstvo Zdravotnictvi C-659/22 w pkt 28 TSUE przyjął, że: "[t]a szeroka wykładnia pojęć "danych osobowych" i "przetwarzania" jest zgodna z celem polegającym na zapewnieniu skuteczności prawa podstawowego do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, o którym mowa w motywie 1 RODO, który determinuje stosowanie tego rozporządzenia." Orzecznictwo Trybunału Sprawiedliwości świadczy zatem o tym, że "przetwarzanie" danych osobowych należy interpretować szeroko.
W rezultacie należy uznać, iż Sąd I instancji prawidłowo przyjął, że w świetle art. 4 pkt 2 RODO "udostępnienie" danych osobowych uczestnika postępowania, o którym mowa w zaskarżonej decyzji, mieści się w ustawowej definicji "przetwarzania" tychże danych.
Skoro doszło do przetwarzania danych uczestnika w rozumieniu art. 4 pkt 2 RODO w zakresie imienia, nazwiska i miejsca zamieszkania, to należy uznać, że w ustalonym przez organ i zaakceptowanym przez Sąd I instancji stanie faktycznym Spółdzielnia naruszyła art. 6 ust. 1 i art. 5 ust. 1 lit. b) i c) RODO.
Wobec tego, Sąd I instancji oddalając skargę nie naruszył art. 151 p.p.s.a., ponieważ brak było przesłanek z art. 145 § 1 pkt 1 lit. a) p.p.s.a. aby ją uwzględnić.
Mając powyższe na względzie Naczelny Sąd Administracyjny uznał, że skarga kasacyjna nie została oparta na usprawiedliwionych podstawach, dlatego na mocy art. 184 p.p.s.a. ją oddalił.