III OSK 4150/21

III OSK 4150/21 - Wyrok NSA
Data orzeczenia
2024-04-16
orzeczenie prawomocne
Data wpływu
2021-02-09
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Hanna Knysiak - Sudyka /sprawozdawca/
Małgorzata Masternak - Kubiak
Mirosław Wincenciak /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
II SA/Wa 2412/19 - Wyrok WSA w Warszawie z 2020-09-30
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę kasacyjną
Powołane przepisy
Dz.U.UE.L 2016 nr 119 poz 1 art. 37 ust. 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Dz.U. 2002 nr 153 poz 1270
art. 184 p.p.s.a.
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi.
Sentencja
Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Mirosław Wincenciak Sędziowie sędzia NSA Małgorzata Masternak- Kubiak Sędzia del. WSA Hanna Knysiak- Sudyka (spr.) Protokolant starszy asystent sędziego Łukasz Mazur po rozpoznaniu w dniu 16 kwietnia 2024 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Prezesa Urzędu Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 30 września 2020 r. sygn. akt II SA/Wa 2412/19 w sprawie ze skargi Międzyzakładowej Spółdzielni Mieszkaniowej "[...]" z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] sierpnia 2019 r. nr [...] w przedmiocie dostosowania operacji przetwarzania danych osobowych do przepisów ogólnego rozporządzenia o ochronie danych osobowych oddala skargę kasacyjną.
Uzasadnienie
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 30 września 2020 r. sygn. akt II SA/Wa 2412/19, po rozpoznaniu sprawy ze skargi Międzyzakładowej Spółdzielni Mieszkaniowej "[...]" z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] sierpnia 2019 r. nr [...] w przedmiocie dostosowania operacji przetwarzania danych osobowych do przepisów ogólnego rozporządzenia o ochronie danych, oddalił skargę w zakresie punktu pierwszego zaskarżonej decyzji (pkt 1), uchylił zaskarżoną decyzję w zakresie punktu drugiego (pkt 2), a także zasądził od Prezesa Urzędu Ochrony Danych Osobowych na rzecz Międzyzakładowej Spółdzielni Mieszkaniowej "[...]" z siedzibą w [...] kwotę 697 złotych tytułem zwrotu kosztów postępowania (pkt 3).
Wyrok zapadł w następującym stanie faktycznym i prawnym sprawy.
Prezes Urzędu Ochrony Danych Osobowych decyzją z [...] sierpnia 2019 r. nr [...], działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm., zwana dalej: "k.p.a.") w związku z art. 7 ust. 1 i art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000 ze zm.) oraz art. 6 ust. 1 pkt f, art. 37 ust. 1 lit. b oraz art. 58 ust. 2 lit. d rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, zwane dalej: "rozporządzenie 2016/679"), nakazał Spółdzielni Mieszkaniowej "[...]" z siedzibą w [...] (dalej: "Spółdzielnia") dostosowanie operacji przetwarzania danych osobowych do przepisów tego rozporządzenia, poprzez:
1) zaprzestanie przetwarzania danych osobowych (wizerunku) za pomocą kamery umieszczonej na półpiętrze klatki schodowej bloku mieszkalnego położonego w [...] przy ul. [...], w terminie od dnia, w którym niniejsza decyzja stanie się ostateczna,
2) wyznaczenie inspektora ochrony danych, o którym mowa w art. 37 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, w terminie od dnia, w którym niniejsza decyzja stanie się ostateczna.
W uzasadnieniu decyzji organ podał, że zamontowanie przez Spółdzielnię na półpiętrze klatki schodowej w budynku mieszkalnym kamery systemu monitoringu wizyjnego (w związku z licznymi, wzajemnymi skargami mieszkańców lokali nr [...] i nr [...]), która zasięgiem obejmuje drzwi wejściowe do tych mieszkań, "niewątpliwie narusza podstawowe prawa i wolności osoby (...) gdyż stałe monitorowanie drzwi wejściowych do lokalu mieszkalnego narusza prawa i wolności osób wchodzących do tego lokalu". Istotne znaczenie ma fakt, że właścicielka lokalu nr [...] zarzuca Spółdzielni, że przez stałe monitorowanie drzwi wejściowych do jej mieszkania naruszona jest jej prywatność, prawo do ochrony jej wizerunku oraz wizerunku osób, które ją odwiedzają. W jej odczuciu stosowanie monitoringu narusza sferę jej życia prywatnego i rodzinnego. Świadomość ciągłej obserwacji powoduje dyskomfort, ogranicza jej swobodę i wzbudza niepokój. Prezes Urzędu Ochrony Danych Osobowych dodał, że kamera została zamontowana wbrew zasadom funkcjonowania monitoringu wizyjnego, określonymi w uchwale Rady Nadzorczej Spółdzielni nr [...] z [...] października 2015 r. Z § 3 pkt 2 uchwały wynika, że "rejestrowanie przez kamery systemu monitoringu danych nie może naruszać zasad wolności osobistej i prawa do prywatności".
Zdaniem Prezesa Urzędu Ochrony Danych Osobowych nie jest uzasadnione powoływanie się przez Spółdzielnię, jako administratora danych osobowych, na art. 6 ust. 1 lit. f) rozporządzenia 2016/79, według którego przetwarzanie danych osobowych jest zgodne z prawem między innymi, gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. W ocenie organu, w rozpatrywanym przypadku nie zostały spełnione przesłanki wymienione w tym przepisie, uzasadniające zgodne z prawem przetwarzanie danych osobowych. Przetwarzanie danych osobowych (wizerunku) poprzez stałe monitorowanie drzwi wejściowych do lokali mieszkalnych narusza prawa i wolności osób, o których mowa w tym przepisie.
Prezes Urzędu Ochrony Danych Osobowych stwierdził ponadto, że Spółdzielnia w związku ze stosowaniem monitoringu wykonuje regularne operacje na danych, które polegają m. in. na zapisywaniu, przeglądaniu, udostępnianiu i usuwaniu zarejestrowanych nagrań. W związku z tym powinna, stosownie do art. 37 ust. 1 lit. b) rozporządzenia 2016/79, wyznaczyć inspektora ochrony danych, czego dotychczas nie uczyniła. Organ dodał, że nie można podzielić argumentu Spółdzielni, że ze względu na małą liczbę lokatorów (638 osób), nie przetwarza danych osobowych na tzw. dużą skalę. Spółdzielnia stosując monitoring przetwarza dane osobowe (wizerunek) nie tylko samych lokatorów, ale także innych osób (odwiedzających mieszkańców, korzystających z punktów handlowo-usługowych znajdujących się na terenie Spółdzielni). Zdaniem Prezesa Urzędu Ochrony Danych Osobowych nie można pominąć, że Spółdzielnia przetwarza również dane osobowe zawarte w orzeczeniach sądowych (np. wydawanych w związku z dochodzeniem roszczeń), i dlatego jest obowiązana wyznaczyć inspektora ochrony danych również z uwagi na przepis art. 37 ust. 1 lit. c) powołanego rozporządzenia.
Międzyzakładowa Spółdzielnia Mieszkaniowa "[...]" z siedzibą w [...] wniosła skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie.
Prezes Urzędu Ochrony Danych Osobowych w odpowiedzi na skargę wniósł o jej oddalenie.
Wojewódzki Sąd Administracyjny w Warszawie w powołanym wyżej wyroku uznał, że skarga była częściowo zasadna i częściowo zasługiwała na uwzględnienie.
Sąd pierwszej instancji stwierdził, że skarżąca Spółdzielnia nie wykazała w postępowaniu, jaki to "prawnie uzasadniony interes" przemawiał za zamontowaniem monitoringu (kamery) między drugim a trzecim piętrem klatki schodowej w jedynym z wielorodzinnych budynków mieszkalnych. Z akt sprawy wynika, co zresztą przyznaje skarżąca w skardze do Sądu, że sporna kamera monitoringu została zamontowana w związku z konfliktem sąsiedzkim między lokatorami dwóch mieszkań (13 i 14). Argumentowała, że zapis z tej kamery umożliwił złożenie przez policję wniosków do sądu o ukaranie sprawcy.
Zdaniem WSA w Warszawie, przedstawione okoliczności faktyczne nie uzasadniają dostatecznie stwierdzenia, że przetwarzanie danych przez skarżącą Spółdzielnię jest niezbędne do celów wynikających z jej prawnie uzasadnionych interesów. Do zadań Spółdzielni nie należy przecież rozstrzyganie sporów sąsiedzkich ani gromadzenie materiału dowodowego dla postępowań prowadzonych przez Policję. Z tych względów Sąd nie dopatrzył się w niniejszej sprawie "prawnie uzasadnionego interesu", usprawiedliwiającego przetwarzanie danych przez Spółdzielnię.
W ocenie Sądu można dodać, że gdyby nawet taki "prawnie uzasadniony interes" w tej sprawie występował, to należy mieć na uwadze, że w świetle art. 6 ust. 1 lit. f rozporządzenia przetwarzanie musi być "niezbędne" do celów wynikających z prawnie uzasadnionych interesów (...)". Jeżeli zatem uzasadnieniem przetwarzania danych miałoby być zapewnienie bezpieczeństwa mieszkańców budynku, to należałoby wykazać, identyfikując konkretne zagrożenia bezpieczeństwa, że przyjęty przez Spółdzielnię sposób działania jest niezbędny dla osiągnięcia tego celu. A zatem, że tego bezpieczeństwa nie można zapewnić innymi metodami. Skoro jednak Spółdzielnia nie wyjaśniła dostatecznie, w czym się wyraża jej uzasadniony interes w przetwarzaniu danych, to tym samym niemożliwe jest uznanie, że przetwarzanie danych było niezbędne dla ochrony tego niejasnego, niesprecyzowanego interesu. Przepis art. 5 ust. 1 lit. c RODO wymaga "minimalizacji przetwarzanych danych". Stanowi, że przetwarzane dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co jest niezbędne do celów, w których są przetwarzane.
Sąd I instancji podkreślił, że z ustaleń poczynionych przez organ i niepodważonych przez skarżącą wynika, że kamera umieszczona na półpiętrze obejmuje swoim zasięgiem drzwi wejściowe do prywatnych mieszkań. Nie można zatem przyjąć, że monitorowana jest wyłącznie ogólnodostępna (publiczna) przestrzeń klatki schodowej. Stałe kontrolowanie w ten sposób wejścia do prywatnego mieszkania stanowi w istocie kontrolę tego mieszkania, życia prywatnego konkretnych osób tam zamieszkujących (przebywających). Tym samym narusza ich prawo do prywatności. To dobro chronione konstytucyjnie wymaga poszanowania w ramach przetwarzania danych, szczególnie w sytuacji, gdy przeciwstawia mu się niedookreślone i niedostatecznie uzasadnione interesy administratora danych.
Z tych wszystkich powodów Sąd stwierdził, że zaskarżona decyzja Prezesa Urzędu Ochrony Danych Osobowych w części, w której nakazuje skarżącej Spółdzielni dostosowanie operacji przetwarzania danych osobowych do przepisów rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679, odpowiada prawu, a zarzuty zawarte w skardze nie są uzasadnione.
W ocenie Sądu nie jest natomiast prawidłowe stanowisko organu co do istnienia przesłanek zobowiązania skarżącej do wyznaczenia inspektora ochrony danych, o którym mowa w art. 37 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679. Organ powołał się m. in. na lit. b) i c) tego przepisu.
Wojewódzki Sąd Administracyjny w Warszawie uznał, że należało przypomnieć, że w uzasadnieniu tej części decyzji organ stwierdził, że Spółdzielnia w związku ze stosowaniem monitoringu wykonuje regularne operacje na danych, które polegają m.in. na zapisywaniu, przeglądaniu, udostępnianiu i usuwaniu zarejestrowanych nagrań i ze względu na liczbę lokatorów (638 osób), jest to przetwarzanie na tzw. dużą skalę. Organ dodał, że nie można tracić z pola widzenia, że Spółdzielnia stosując monitoring przetwarza dane osobowe (wizerunek) nie tylko samych lokatorów, ale także innych osób (odwiedzających mieszkańców, korzystających z punktów handlowo-usługowych znajdujących się na terenie Spółdzielni). W odniesieniu do przesłanki wyznaczenia inspektora danych osobowych, o której mowa w pkt c) ust. 1 art. 37 rozporządzenia, Prezes Urzędu Ochrony Danych Osobowych podał, że Spółdzielnia przetwarza dane osobowe zawarte w orzeczeniach sądowych (np. wydawanych w związku z dochodzeniem roszczeń).
Zdaniem Sądu organ nie wykazał dostatecznie potrzeby ustanowienia administratora danych przez skarżącą Spółdzielnię Mieszkaniową.
Sąd I instancji stwierdził, że w zaskarżonej decyzji organ nie wyjaśnił, jakimi przesłankami się kierował, dochodząc do przekonania, że przetwarzanie danych przez skarżącą (administratora) wiąże się ściśle i bezpośrednio z jej główną działalnością. Nie wyjaśnił również dostatecznie dlaczego uznał, że Spółdzielnia przetwarza dane na "dużą skalę". Jak już powiedziano, przepisy rozporządzenia nie definiują tego pojęcia. Posiłkując się stanowiskiem Grupy Roboczej art. 29 należy przyjąć, że dokonując oceny tej przesłanki należy uwzględnić liczbę osób, których dane są przetwarzane, zakres przetwarzanych danych osobowych, obszar, na którym dane są przetwarzane czy też czas, przez jaki są przetwarzane. Trzeba dodać, że z motywu 91 rozporządzenia wynika, że przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza (pracownika służby zdrowia).
Zdaniem Sądu uzasadnienie zaskarżonej decyzji w tym zakresie jest niedostateczne.
W przekonaniu Sądu organ nie wykazał również dostatecznie, dlaczego uznał, że Spółdzielnia jest administratorem danych, o których mowa w art. 37 ust. 1 lit. c) rozporządzenia, a więc administratorem, którego główna działalność podlega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 (m. in. ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne itp.) lub danych osobowych dotyczących wyroków skazujących oraz czynów zabronionych (art. 10 rozporządzenia).
Sąd I instancji podkreślił, że Prezes Urzędu Ochrony Danych Osobowych orzekając ponownie w tej sprawie (w zakresie, w którym Sąd uchylił zaskarżoną decyzję) jest obowiązany uwzględnić przedstawione wskazania Sądu. Oceny zaistnienia przesłanek do zobowiązania skarżącej do ustanowienia inspektora danych (art. 37 ust. 1 rozporządzenia) należy dokonać mając na uwadze zadania wyznaczone inspektorowi (art. 39 rozporządzenia). Uzasadnienie decyzji powinno być wyczerpujące, bowiem ocena kryteriów (przesłanek) nałożenia na administratora danych obowiązku ustanowienia inspektora danych musi być dokonana każdorazowo w kontekście konkretnego stanu faktycznego.
Wojewódzki Sąd Administracyjny w Warszawie stwierdził, że zaskarżona decyzja w zakresie punktu drugiego została wydana z naruszeniem art. 37 ust. 1 lit. a) i b) rozporządzenia i art. 107 § 3 k.p.a., natomiast w pozostałym zakresie (pkt 1 rozstrzygnięcia) odpowiada prawu.
Skargę kasacyjną od tego wyroku wniósł Prezes Urzędu Ochrony Danych Osobowych, zaskarżając wyrok w części w zakresie punktu 2 i zarzucając mu naruszenie prawa materialnego przez błędną jego wykładnię i uznanie, że brak jest przesłanek do zobowiązania Międzyzakładowej Spółdzielni Mieszkaniowej [...] z siedzibą w [...] przy ul. [...], do wyznaczenia inspektora ochrony danych, o którym mowa w art. 37 ust. 1 rozporządzenia 2016/679.
Mając powyższe na uwadze skarżący kasacyjnie wniósł o uchylenie zaskarżonego wyroku w zakresie punktu 2 i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie, zasądzenie kosztów postępowania według norm prawem przepisanych, a także rozpoznanie sprawy na rozprawie.
Powyższe zarzuty rozwinięto w uzasadnieniu skargi kasacyjnej.
W odpowiedzi na skargę kasacyjną Międzyzakładowa Spółdzielnia Mieszkaniowa "[...]" z siedzibą w [...] wniosła o jej oddalenie, zasądzenie kosztów postępowania według norm prawem przepisanych, a także oświadczyła, że nie wnosi o przeprowadzenie rozprawy.
Wojewódzki Sąd Administracyjny w Warszawie zarządzeniem z dnia 29 stycznia 2021 r. zarządził zwrócić pełnomocnikowi strony skarżącej odpowiedź na skargę kasacyjną z dnia 20 stycznia 2021 r. (z dwoma odpisami) z uwagi na treść art. 66 § 1 i 3 p.p.s.a. (k. 89 a.s.).
Naczelny Sąd Administracyjny zważył, co następuje:
Stosownie do treści art. 183 § 1 p.p.s.a. Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, a z urzędu bierze pod rozwagę tylko nieważność postępowania, której przesłanki zostały enumeratywnie wymienione w § 2 powołanego artykułu. Zasada związania granicami skargi kasacyjnej oznacza, że Naczelny Sąd Administracyjny poza nieważnością postępowania może rozpoznawać jedynie te uchybienia, które zostały skonkretyzowane przez skarżącego kasacyjnie. Ponadto skuteczność złożonej skargi kasacyjnej w znacznej mierze zależy od sposobu skonstruowania przez stronę tego środka zaskarżenia. Zakres postępowania kasacyjnego (o ile, tak jak w niniejszej sprawie nie zachodzi nieważność postępowania sądowego) wyznacza sam skarżący kasacyjnie przez przytoczenie podstaw kasacyjnych oraz ich uzasadnienie. Rozpoznając w tych granicach skargę kasacyjną organu Naczelny Sąd Administracyjny uznał, że skarga ta pozbawiona jest usprawiedliwionych podstaw i nie zasługuje na uwzględnienie.
Strona skarżąca kasacyjnie sformułowała wyłącznie zarzut naruszenia prawa materialnego przez jego błędną wykładnię i uznanie, że brak jest przesłanek do zobowiązania strony skarżącej do wyznaczenia inspektora ochrony danych, o którym mowa w art. 37 ust. 1 rozporządzenia 2016/679. Powyższy zarzut skargi kasacyjnej nie zasługuje na uwzględnienie.
Przede wszystkim należy podkreślić, że za pomocą zarzutu naruszenia prawa materialnego nie można skutecznie kwestionować ustaleń stanu faktycznego sprawy przyjętych przez Sąd pierwszej instancji jako podstawa rozstrzygnięcia. Prawidłowość ustaleń faktycznych oraz ocenę tych ustaleń można zwalczać jedynie za pomocą zarzutów naruszenia przepisów postępowania, wykazując przy tym, że określone uchybienia proceduralne mogły mieć istotny wpływ na wynik sprawy (art. 174 pkt 2 p.p.s.a.). Należy zatem przyjąć, że dokonana przez Sąd pierwszej instancji ocena w zakresie ustaleń stanu faktycznego sprawy poczynionych przez organ w postępowaniu administracyjnym była prawidłowa, co będzie miało zasadnicze znaczenie dla dokonania oceny zasadności zarzutu naruszenia prawa materialnego, skonstruowanego w skardze kasacyjnej.
Przystępując do oceny zarzutu skargi kasacyjnej należy podnieść, że w art. 37 ust. 1 rozporządzenia 2016/679 określono trzy grupy przypadków, w których wyznaczenie inspektora ochrony danych jest obowiązkowe:
1) gdy przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
2) gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
3) gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (o których mowa w art. 9 ust. 1) oraz danych osobowych dotyczących wyroków skazujących i czynów zabronionych (o czym mowa w art. 10).
W uzasadnieniu decyzji będącej przedmiotem skargi do sądu administracyjnego wskazano, że przesłanka, o której mowa w art. 37 ust. 1 lit. a rozporządzenia 2016/679 nie ma zastosowania względem skarżącej Spółdzielni.
W związku z powyższym zarzut skargi kasacyjnej został niestarannie sformułowany, gdy objęto nim również art. 37 ust. 1 lit. a rozporządzenia 2016/679, który nie znajdował w sprawie zastosowania i do którego brak odniesień w uzasadnieniu podstaw skargi kasacyjnej.
Druga grupa przypadków, w których wyznaczenie inspektora ochrony danych jest obowiązkowe, a o której mowa w art. 37 ust. 1 lit. b rozporządzenia 2016/679 dotyczy sytuacji, gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę. Powyższy przepis statuuje trzy przesłanki, które powinny być brane pod uwagę przy dokonywaniu oceny:
1) czy działalność administratora lub podmiotu przetwarzającego stanowi jego działalność główną;
2) czy operacje przetwarzania wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą;
3) czy tego rodzaju operacje dokonywane są na dużą skalę.
Gdy chodzi o status działalności administratora, to w motywie 97 preambuły wyjaśniono, że w sektorze prywatnym przetwarzanie danych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności. Do czynności zasadniczych powinny być zaliczane czynności realizowane przez administratora bądź podmiot przetwarzający, które stanowią podstawowy przedmiot ich działalności (np. sprzedaż towarów, świadczenie usług), natomiast za czynności poboczne można uznać te działania, które towarzyszą czynnościom zasadniczym. Na przykład dla przedsiębiorcy świadczącego usługi reklamowe i promocyjne działalność marketingowa powinna być uznana za działalność główną, natomiast dla przedsiębiorcy sprzedającego produkowane przez siebie towary działalność marketingowa może być uznana za działalność poboczną.
Grupa Robocza Art. 29 wskazała, iż "główną działalnością" będzie działalność kluczowa z punktu widzenia osiągnięcia celów administratora albo podmiotu przetwarzającego dane, jednak pojęcia tego nie należy interpretować w sposób wyłączający działalność w zakresie przetwarzania danych nierozerwalnie związaną z działalnością główną administratora lub podmiotu przetwarzającego.
Przykładem wskazanym przez Grupę Roboczą Art. 29 jest spółka świadcząca usługi ochrony mienia, prowadząca monitoring w prywatnych centrach handlowych i przestrzeni publicznej. Działalnością główną spółki jest ochrona, natomiast związane z tym bezpośrednio jest przetwarzanie danych osobowych, co oznacza, że taka spółka również powinna wyznaczyć inspektora ochrony danych. Podkreślono również, że różne podmioty i organizacje realizują określone działania wspierające (np. prowadząc listę płac albo korzystając ze standardowej obsługi IT), które są niezbędne do prowadzenia działalności głównej. Mimo że działania te są konieczne lub niezbędne, zazwyczaj uznawane są raczej za działania dodatkowe, niż za działalność główną.
Drugim elementem, który podlega ocenie, jest kwestia, czy operacje przetwarzania wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą. Monitorowanie osób oznacza prowadzenie obserwacji osób i może dotyczyć ich zachowań, zainteresowań czy preferencji. Z reguły monitorowanie przybiera postać ciągłego procesu, działania te są prowadzone regularnie i systematycznie, tzn. są prowadzone w określonych lub jednakowych odstępach czasu, opierają się o ustalone reguły i mają charakter uporządkowany.
Grupa Robocza Art. 29 uznała, że pojęcie monitorowania obejmuje wszelkie formy śledzenia i profilowania w sieci, w tym na potrzeby reklam behawioralnych, choć jednocześnie podkreślono, że pojęcie to nie jest ograniczone jedynie do sieci. Określenie "regularne" wyjaśniono jako jedno lub więcej z następujących pojęć: stałe albo występujące w określonych odstępach czasu przez ustalony okres; cykliczne albo powtarzające się w określonym terminie; odbywające się stale lub okresowo, natomiast sformułowanie "systematyczne" wyjaśniono jako jedno lub więcej z następujących pojęć: występujące zgodnie z określonym systemem; zaaranżowane, zorganizowane lub metodyczne; odbywające się w ramach generalnego planu zbierania danych; przeprowadzone w ramach określonej strategii. Jako przykłady działań, które mogą stanowić regularne i systematyczne monitorowanie osób, których dane dotyczą, wskazano: obsługę sieci telekomunikacyjnej; świadczenie usług telekomunikacyjnych; przekierowywanie poczty elektronicznej; działania marketingowe oparte na danych; profilowanie i ocenianie dla celów oceny ryzyka (na przykład dla celów oceny ryzyka kredytowego, ustanawiania składek ubezpieczeniowych, zapobiegania oszustwom, wykrywania prania pieniędzy); śledzenie lokalizacji, np. przez aplikacje mobilne; programy lojalnościowe; reklama behawioralna; monitorowanie danych dotyczących zdrowia i kondycji fizycznej za pośrednictwem urządzeń przenośnych; monitoring wizyjny; urządzenia skomunikowane, np. inteligentne liczniki, inteligentne samochody, automatyka domowa itp.
Trzeci element, jaki powinien być brany pod uwagę, dotyczy skali przetwarzania: prawodawca unijny wskazuje, iż chodzi tu o przetwarzanie danych na dużą skalę. Przepisy rozporządzenia nie definiują pojęcia "duża skala operacji przetwarzania danych", nie wskazują również kryteriów (progów) ilościowych, które mogłyby być pomocne przy dokonywaniu oceny w tym zakresie. W motywie 91 preambuły wyjaśniono jedynie, iż operacje przetwarzania na dużą skalę służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i mogą wpłynąć na dużą liczbę osób, których dane dotyczą. W dalszej części przywołanego motywu preambuły stwierdzono, że przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika. Tak ogólne sformułowania sprawiają, iż wskazane kryterium ma charakter nieostry, a ocena jego spełnienia powinna być dokonywana indywidualnie w konkretnym przypadku.
Grupa Robocza Art. 29 uznała, iż nie jest możliwe wskazanie konkretnej wartości czy rozmiaru zbioru danych, czy liczby osób, których dane dotyczą, która determinowałaby "dużą skalę" przetwarzania. Nie wyklucza to sytuacji, w której, wraz z rozwojem praktyki, ukształtują się standardy, które umożliwiałyby bardziej szczegółowe i/lub kwantytatywne zidentyfikowanie "dużej skali" w odniesieniu do określonych rodzajów przetwarzania. Przy dokonywaniu oceny skali przetwarzania Grupa Robocza zaleca uwzględnianie czynników takich jak: liczba osób, których dane dotyczą (konkretna liczba albo procent określonej grupy społeczeństwa); zakres przetwarzanych danych osobowych; okres, przez jaki dane są przetwarzane oraz zakres geograficzny przetwarzania danych.
Jako przykłady przetwarzania danych na dużą skalę Grupa Robocza Art. 29 wskazała: przetwarzanie danych pacjentów przez szpital; przetwarzanie danych dotyczących podróży osób korzystających ze środków komunikacji miejskiej (np. śledzenie za pośrednictwem "kart miejskich"; przetwarzanie danych geolokalizacyjnych klientów w czasie rzeczywistym przez wyspecjalizowany podmiot na rzecz międzynarodowej sieci fast food do celów statystycznych; przetwarzanie danych klientów przez banki albo ubezpieczycieli; przetwarzanie danych do celów reklamy behawioralnej przez wyszukiwarki internetowe; przetwarzanie danych (dotyczących treści, ruchu, lokalizacji) przez dostawców usług telefonicznych lub internetowych.
Należy podkreślić, iż dla zaistnienia obowiązku wyznaczenia inspektora ochrony danych nie wystarczy wystąpienie jednego ze wskazanych powyżej elementów, wszystkie trzy elementy (działalność główna; regularne i systematyczne monitorowanie osób; duża skala przetwarzania) powinny wystąpić łącznie. Nawet jeżeli występują dwa spośród wskazanych powyżej elementów, a trzeci nie występuje, to administrator lub podmiot przetwarzający nie ma obowiązku wyznaczenia inspektora ochrony danych.
Trzecia grupa przypadków, w których przepis rozporządzenia przewiduje wymóg wyznaczenia inspektora ochrony danych, odnosi się do sytuacji, gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (o których mowa w art. 9 ust. 1) albo danych dotyczących wyroków skazujących i czynów zabronionych (o czym mowa w art. 10). Podobnie jak w omówionej powyżej drugiej grupie, powyższa regulacja odnosi się do głównej działalności administratora i przetwarzania danych na dużą skalę, różnica dotyczy jednak kategorii danych, które są poddawane przetwarzaniu. Obowiązek wyznaczenia inspektora ochrony danych dotyczy administratorów oraz podmiotów przetwarzających dane na zlecenia administratora, których główna działalność polega na przetwarzaniu na dużą skalę: danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby (tzw. szczególne kategorie danych osobowych) oraz danych osobowych dotyczących wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa.
Zobowiązanie do wyznaczenia inspektora ochrony danych może mieć miejsce jedynie w przypadku niewątpliwego spełnienia przesłanek wskazanych w art. 37 ust. 1 rozporządzenia 2016/679. Zdaniem Naczelnego Sądu Administracyjnego trafne jest stanowisko Sądu I instancji, iż organ nie wyjaśnił, jakimi przesłankami się kierował dochodząc do przekonania, że przetwarzanie danych przez skarżącą (administratora) wiąże się ściśle i bezpośrednio z jej główną działalnością oraz że nie wyjaśnił także dostatecznie, dlaczego uznał, że Spółdzielnia przetwarza dane na "dużą skalę". Trafna jest ocena Sądu I instancji, że uzasadnienie zaskarżonej decyzji w tym zakresie jest niedostateczne.
Organ w uzasadnieniu zaskarżonej decyzji odniósł się w zasadzie zbiorczo do przesłanek określonych w art. 37 ust. 1 lit. b i c rozporządzenia 2016/679.
W zakresie oceny istnienia przesłanek wskazanych w art. 37 ust. 1 lit. b rozporządzenia organ nie odniósł się wprost do kwestii, czy działalność w zakresie przetwarzania danych stanowi działalność główną Spółdzielni oraz czy tego rodzaju operacje dokonywane są na dużą skalę. Wskazanie iż "nie można uznać argumentu Spółdzielni, iż mała liczba lokatorów tj. 638 osób, nie stanowi podstawy do uznania, że Spółdzielnia przetwarza dane osobowe na tzw. dużą skalę" nie jest wystarczające dla uznania wykazania istnienia powyższej przesłanki.
W odniesieniu do przesłanek z art. 37 ust. 1 lit. c rozporządzenia organ wskazał jedynie lakonicznie, że "nie można pominąć kwestii, że Spółdzielnia przetwarza również dane osobowe zawarte w orzeczeniach sądowych (np. wydawanych w związku z dochodzeniem roszczeń)". Nie odniósł się natomiast w ogóle do kwestii przetwarzania tych danych na dużą skalę.
Stawiany Sądowi I instancji zarzut naruszenia prawa materialnego nie jest zasadny, gdyż wobec tak ustalonego przez organ i wskazanego w uzasadnieniu decyzji stanu faktycznego sprawy nie było podstaw do jednoznacznego twierdzenia o zaistnieniu przesłanek zobowiązania do wyznaczenia inspektora ochrony danych w oparciu o regulacje art. 37 ust. 1 lit. b lub c rozporządzenia 2016/679.
Z powyższych względów Naczelny Sąd Administracyjny, działając na podstawie art. 184 p.p.s.a., oddalił skargę kasacyjną.