III OSK 6135/21

III OSK 6135/21 - Wyrok NSA
Data orzeczenia
2025-01-16
orzeczenie prawomocne
Data wpływu
2021-08-17
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Hanna Knysiak - Sudyka
Sławomir Wojciechowski /przewodniczący/
Zbigniew Ślusarczyk /sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
II SA/Wa 2372/20 - Wyrok WSA w Warszawie z 2021-05-06
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżony wyrok i przekazano sprawę do ponownego rozpoznania przez Wojewódzki Sąd Administracyjny
Powołane przepisy
Dz.U. 2019 poz 1781
art.1 ust. 1 i art. 60
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (t. j.)
Dz.U.UE.L 2016 nr 119 poz 1 art. 2 ust. 1, art. 4 pkt 6, art. 58 ust. 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Sławomir Wojciechowski sędzia NSA Zbigniew Ślusarczyk (spr.) sędzia del. WSA Hanna Knysiak-Sudyka po rozpoznaniu w dniu 16 stycznia 2025 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Prezesa Urzędu Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 6 maja 2021 r. sygn. akt II SA/Wa 2372/20 w sprawie ze skargi Miasta i Gminy [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 22 września 2020 r. nr ZSZZS.440.392.2019.ZS.JM w przedmiocie udzielenia upomnienia 1. uchyla zaskarżony wyrok i przekazuje sprawę do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnego w Warszawie, 2. zasądza od Miasta i Gminy [...] na rzecz Prezesa Urzędu Ochrony Danych Osobowych kwotę 460 (czterysta sześćdziesiąt) złotych tytułem zwrotu kosztów postępowania kasacyjnego.
Uzasadnienie
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z 6 maja 2021 r., sygn. akt II SA/Wa 2372/20, wydanym po rozpoznaniu sprawy ze skargi Miasta
i Gminy [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 22 września 2020 r. nr ZSZZS.440.392.2019.ZS.JM w przedmiocie udzielenia upomnienia, na podstawie art. 145 § 1 pkt 1 lit. a oraz § 3 oraz art. 200 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r. poz. 2325 ze zm.), dalej "p.p.s.a.", w pkt. 1. sentencji wyroku uchylił zaskarżoną decyzję, w pkt. 2. sentencji wyroku umorzył postępowanie prowadzone przez Prezesa Urzędu Ochrony Danych Osobowych, a w pkt. 3. sentencji wyroku zasądził od Prezesa Urzędu Ochrony Danych Osobowych na rzecz skarżącego zwrot kosztów postępowania.
Wyrok został wydany w poniższym stanie faktycznym i prawnym.
Zaskarżona decyzja została wydana po przeprowadzeniu postępowania administracyjnego w sprawie skargi R. S. (dalej jako: "uczestnik") na przetwarzanie jego danych osobowych przez Burmistrza Miasta i Gminy [...] (dalej także jako: "Burmistrz") w zakresie danych logowania do portalu społecznościowego Facebook oraz danych powiązanych z profilem uczestnika założonym na tym portalu. Na mocy ww. decyzji, Prezes Urzędu Ochrony Danych Osobowych (dalej jako: "organ"), działając w oparciu o art. 58 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej, L 119 z 4 maja 2016), zwanego dalej "RODO" udzielił Burmistrzowi upomnienia za nieprawidłowości w procesie przetwarzania danych osobowych, polegające na naruszeniu art. 5 ust. 1, art. 6 ust. 1 i art. 9 ust. 2 RODO, przez bezpodstawne pozyskanie danych osobowych uczestnika, zawartych w korespondencji prowadzonej przez niego za pośrednictwem portalu społecznościowego Facebook (pkt 1 orzeczenia). W pozostałym zakresie odmówił uwzględnienia wniosków ze skargi (pkt 2 orzeczenia).
W przeprowadzonym postępowaniu administracyjnym ustalono, że:
- uczestnik był zatrudniony w Urzędzie Miasta i Gminy w [...] (dalej jako "Urząd") na stanowisku informatyka, 31 grudnia 2018 r. rozwiązano z nim umowę o pracę z zachowaniem trzymiesięcznego okresu wypowiedzenia, do wykonywania obowiązków służbowych powierzono mu komputer, zobowiązano go do jego zdania do 3 stycznia 2019 r.,
- uczestnik nie usunął z komputera służbowego konta synchronizacji zakładek i haseł, pozostał również zalogowany na koncie indywidualnym na portalu Facebook (tak: skarga z 3 lipca 2019 r.),
- w maju 2019 roku inny pracownik Urzędu, zwany dalej "Pracownikiem", przygotowywał używany uprzednio przez uczestnika komputer do przekazania kolejnej osobie; po uruchomieniu przeglądarki internetowej na przedmiotowym komputerze, ukazały mu się dwie, prowadzone na portalu Facebook, rozmowy z innymi pracownikami Urzędu – A. G. oraz J. Z., zwaną dalej "Pracownikiem II"; dotyczyły one osoby [...] – piastującej Urząd Burmistrza; z uwagi na ich tematykę Pracownik wydrukował przedmiotowe rozmowy - z okresu od listopada 2018 roku do maja 2019 roku - i przekazał Burmistrzowi (tak: wyjaśnienia Burmistrza z 26 marca 2020 r.),
- pozyskane z korespondencji dane Burmistrz wykorzystała do wszczęcia postępowania dyscyplinarnego wobec Pracownika II oraz karnych – co do tej samej osoby oraz uczestnika (tak: wyjaśnienia Burmistrza z 26 marca 2020 r.);
- w Urzędzie nie prowadzono monitoringu pracowniczego (tak: wyjaśnienia Burmistrza z 26 marca 2020 r.).
Organ stwierdził, że korespondencja uczestnika może stanowić jego dane osobowe. Ustawodawca europejski przewidział szeroką definicję pojęcia danych osobowych (art. 4 ust. 1 RODO). W niniejszej sprawie zawarte w przedmiotowej korespondencji informacje pozwalały na identyfikację jej uczestników, w tym składającego skargę do Prezesa UODO. Oznacza to, że w rozumieniu przywołanego powyżej przepisu stanowiły zatem jego dane osobowe. Tym samym do ich przetwarzania zastosowanie mają przepisy, regulujące legalność przetwarzania danych osobowych - określone w art. 6 oraz 9 RODO, a także zasady przetwarzania danych określone w art. 5 tego aktu. Organ uznał, że były tam zawarte zwykłe dane (ich przetwarzanie reguluje art. 6 ust. 1 RODO) oraz szczególne kategorie danych - np. informacje o wyznaniu uczestnika, a ich przetwarzanie jest - co do zasady, zgodnie z art. 9 ust. 1 RODO - zabronione, chyba że występuje jedna z przesłanek, wymienionych w art. 9 ust. 2 danego rozporządzenia. Ponadto - w art. 5 ust. 1 RODO – nałożono na administratora obowiązek zapewnienia przetwarzania danych zgodnego z prawem (art. 5 ust. 1 lit. a), czy zapewnienia ograniczenia celu przetwarzania, przez zbieranie danych w konkretnych i prawnie uzasadnionych celach (art. 5 ust. 1 lit. b). W ocenie organu, w przedmiotowej sprawie nie występowała żadna przesłanka dla pozyskania przez administratora danych osobowych uczestnika.
W konsekwencji organ stwierdził, że pozyskanie danych osobowych uczestnika nastąpiło z naruszeniem przepisów o ochronie danych osobowych i z tego powodu administratorowi udzielono upomnienia. Organ nie znalazł natomiast podstaw do skorzystania z uprawnień naprawczych - w zakresie usunięcia przez administratora danych osobowych uczestnika, ponieważ są one przetwarzane w związku z toczącymi się postępowaniami dyscyplinarnym i sądowym.
Skargę na powyższą decyzję wniosło Miasto i Gmina [...], reprezentowana przez burmistrza. Wniosła o uchylenie zaskarżonej decyzji w jej pkt. 1.
WSA w Warszawie uznał, że skarga zasługuje na uwzględnienie.
Przywołując treść przepisu art. 1 ust. 1 i art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781), dalej jako "ustawa o danych", a także art. 2 ust. 1, art. 4 pkt 3 i 6 RODO, Sąd I instancji wyprowadził wniosek, że RODO dotyczy zdarzeń związanych z przetwarzaniem informacji (gromadzenie, transfer itp.) gdzie możliwe jest mechaniczne odnajdywanie informacji o osobach - ich danych osobowych – w szczególności w ramach systemów teleinformatycznych. Nie dotyczy zaś, jak wyjaśnił dalej, zdarzeń pozostających
w związku z ujawnieniem (a więc przetworzeniem) danych osobowych w innych sytuacjach - np. pozyskania imienia i nazwiska określonej osoby, przez zapoznanie się z treścią określonego dokumentu, np. korespondencji także, gdy prowadzono ją drogą elektroniczną. WSA w Warszawie poczynił przy tym uwagę, że inna ocena dotyczyć mogłaby wprawdzie przypadku, gdy określone informacje o zidentyfikowanych osobach gromadziliby systemowo - bez wiedzy zainteresowanych - administratorzy platform, służących przepływowi korespondencji (tworząc zbiory danych), ale uznał, że sytuacja taka nie miała jednak w rozpatrywanej sprawie miejsca.
Tym samym, zdaniem Sądu I instancji co do zasady w RODO uregulowano tylko zagadnienia pozostające w bezpośrednim związku z pozyskiwaniem informacji z konkretnych zbiorów danych bądź tworzeniem zbiorów, umożliwiających uzyskanie określonych informacji o osobach. W ocenie Sądu, nie jest zaś kwestią kluczową (przesądzającą), czy sprawa dotyczy danych osobowych. RODO ingeruje bowiem w tą problematykę wyłącznie w kontekście określonych form przetwarzania danych osobowych. Z tego powodu jako mylną Sąd uznał konstatację organu (w uzasadnieniu skarżonego aktu), jakoby wystarczającym było ustalenie, że sprawa dotyczyła pozyskania danych osobowych uczestnika, co organ utożsamił z ich przetworzeniem, w rozumieniu RODO. W ocenie Sądu oznacza to, że zdarzenie w postaci pozyskania z systemu teleinformatycznego - z określonej platformy, którą nie zarządzał Burmistrz (Facebook) - zapisu korespondencji, gdzie występowały dane osobowe, nie pozostawało w żadnym związku z procesem mechanicznego przetwarzania danych bądź posługiwania się danymi mogącymi, stanowić wyodrębnioną bazę, jako zespół informacji, uporządkowanych wedle pewnych kryteriów w dniu zdarzenia.
Skoro zatem, wg uczestnika doszło do bezprawnej ingerencji w prawo do prywatności zainteresowanego, w tym naruszenia tajemnicy korespondencji, poszkodowanemu przysługują stosowne roszczenia względem sprawcy naruszeń. Właściwymi do rozstrzygania spraw w danym zakresie są Sądy powszechne zaś to właśnie te kwestie są w istocie osią sporu między stronami. Wyspecjalizowany organ administracji nie ma natomiast kompetencji do rozstrzygania danej sprawy. Zatem brak było podstaw do orzekania w sprawie, co do meritum. Organ nie mógł wykonać kompetencji, określonych art. 58 ust. 2 lit. b RODO). Orzekając w sprawie organ naruszył dany przepis prawa materialnego, zakreślający jego kompetencje, przez bezpodstawne jego zastosowanie, wobec art. 2 ust. 1 RODO, w zw. z art. 4 pkt 6 ustawy o danych.
Sąd dodał również, że w kwestii ochrony dóbr osobistych - w rozumieniu
art. 23 i 24 ustawy – Kodeks cywilny, do których zaliczają się dane osobowe - właściwe są sądy powszechne, co, jak zauważył, odnotowano zresztą w uzasadnieniu zaskarżonej decyzji.
Skargę kasacyjną od powyższego wyroku wywiódł Prezes Urzędu Ochrony Danych Osobowych.
Skarżący kasacyjnie zaskarżył wyrok WSA w Warszawie w całości i - na podstawie art. 185 § 1 p.p.s.a. - wniósł o uchylenie w całości zaskarżonego wyroku
i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie. Wystąpił też o rozpoznanie skargi kasacyjnej na rozprawie oraz zasądzenie zwrotu kosztów postępowania sądowego na podstawie art. 203 pkt 2 p.p.s.a.
Skarżący kasacyjnie postawił cztery zarzuty naruszenia prawa materialnego,
a mianowicie:
1. art. 1 ust. 1 w związku z art. 60 ustawy z 10 maja 2018 r. o ochronie osobowych danych, przez błędne uznanie, że przepisy te nie dają podstaw Prezesowi Urzędu do rozpatrzenia skargi uczestnika dotyczącej przetwarzania jego danych osobowych przez Burmistrza Miasta i Gminy [...] w zakresie danych logowania do portalu społecznościowego Facebook oraz danych powiązanych z profilem uczestnika założonym na tym portalu,
2. art. 58 ust. 2 lit. b RODO, przez jego błędną wykładnię a w konsekwencji jego niewłaściwe zastosowanie powodujące uchylenie decyzji i umorzenie postępowania przed Prezesem Urzędu, polegające na przyjęciu że w stanie faktycznym przedmiotowej sprawy organowi nie przysługiwały kompetencje określone w ww. przepisie prawa,
3. art. 1 ust. 1 ustawy o danych, art. 2 ust. 1, art. 4 pkt 6 RODO, przez ich błędną wykładnię i niewłaściwe zastosowanie polegające na przyjęciu, że z przepisów tych wynika, że w przedmiotowej sprawie nie mają zastosowania przepisy RODO, gdyż dane osobowe skarżącego pochodzące z jego korespondencji z portalu społecznościowego Facebook nie były przetwarzane w sposób całkowicie lub częściowo zautomatyzowany, ani nie stanowią zbioru lub części zbioru danych,
4. art. 4 pkt 6 RODO przez błędną wykładnię i niewłaściwe zastosowanie polegające na uznaniu, że korespondencja skarżącego zamieszczona na jego profilu prywatnym znajdującym się na portalu społecznościowym Facebook, zawierająca jego dane osobowe, nie stanowi zbioru danych, czy jego części.
W odpowiedzi na skargę kasacyjną, Burmistrz Miasta i Gminy [...], reprezentowany przez radcę prawnego, wniósł o jej oddalenie oraz o zasądzenie kosztów zastępstwa procesowego według norm przepisanych. W uzasadnieniu tak sformułowanego wniosku procesowego powtórzył stanowisko Sądu I instancji uznając je za w pełni prawidłowe.
Naczelny Sąd Administracyjny zważył, co następuje:
Stosownie do art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2024 r., poz. 935) zwanej dalej p.p.s.a., Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania.
W rozpoznawanej sprawie nie zachodzi żadna z okoliczności skutkujących nieważnością postępowania, o jakich mowa w art. 183 § 2 p.p.s.a. i nie zachodzi żadna z przesłanek, o których mowa w art. 189 p.p.s.a., które Naczelny Sąd Administracyjny rozważa z urzędu dokonując kontroli zaskarżonego skargą kasacyjną wyroku. W tych okolicznościach w sprawie badaniu podlegały wyłącznie zarzuty podniesione w skardze kasacyjnej na uzasadnienie przytoczonych podstaw kasacyjnych.
Sporne w sprawie jest to, czy organ administracji publicznej był właściwy rzeczowo w sprawie, a zatem czy mógł prowadzić postępowanie administracyjne wszczęte skargą uczestnika w zakresie danych logowania do portalu społecznościowego Facebook oraz danych powiązanych z profilem uczestnika założonym na tym portalu. Wszystkie bowiem postawione zarzuty zmierzają do podważenia prawidłowości stanowiska Sądu I instancji, wedle którego to stanowiska, organ wydając zaskarżoną decyzję nie był uprawniony (nie był właściwy rzeczowo) do rozstrzygania w drodze decyzji administracyjnej takiego przedmiotu sprawy, co czyniło wszczęte przez organ postępowanie administracyjne od początku postępowaniem bezprzedmiotowym.
Trzeba zauważyć, że z tego powodu jako pierwsze z postawionych zarzutów naruszenia prawa materialnego podlegają rozpoznaniu zarzuty 3 i 4 skargi kasacyjnej, czyli zarzuty naruszenia art. 1 ust. 1 ustawy o ochronie danych osobowych, art. 2 ust. 1, art. 4 pkt 6 RODO oraz samodzielnie - zarzut naruszenia art. 4 pkt 6 RODO, z tą uwagą, że spośród nich w pierwszej kolejności należało rozpoznać zarzuty naruszenia przepisów RODO. Jak stanowi bowiem art. 1 ust. 1 ustawy o ochronie danych osobowych, ustawę stosuje się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w zakresie określonym w art. 2 i art. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1). Oznacza to, że ta ustawa jako akt normatywny uzupełnia regulację RODO, a w zakresie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych wprost odsyła do zakresu przedmiotowego RODO.
Z kolei art. 2 ust. 1 RODO przez użyte w jego treści pojęcie "zbiór danych" ściśle łączy się z przepisem art. 4 pkt 6 RODO, w którym prawodawca europejski zamieścił definicję legalną tego właśnie pojęcia.
Naruszenie zatem powyższych przepisów oznacza jednocześnie naruszenie art. 58 ust. 2 lit. b RODO i art. 1 ust. 1 i art. 60 ustawy o ochronie danych osobowych.
W ocenie Naczelnego Sądu Administracyjnego, ww. zarzuty skargi kasacyjnej okazały się zasadne, a WSA w Warszawie przedwcześnie uznał brak właściwości rzeczowej organu.
Według art. 2 ust. 1 RODO, niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych. Z kolei, zgodnie z definicją legalną zamieszczoną w art. 4 pkt 2 RODO, ,,przetwarzanie'' oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Natomiast w myśl art. 4 pkt 6 RODO, ,,zbiór danych'' oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.
Sąd I instancji uznał, że skoro dotarcie - przy użyciu określonej platformy Internetowej - do prowadzonej przez uczestnika prywatnej korespondencji, - zapoznanie się z jej treścią przez pracownika Urzędu, a potem jej skopiowanie
i wykorzystanie nastąpiło, w jego ocenie, w wyniku bezprawnej ingerencji w prawo do prywatności zainteresowanego, w tym naruszenia tajemnicy korespondencji, poszkodowanemu przysługują stosowne roszczenia względem sprawcy naruszeń, których nie może rozstrzygać organ administracji.
WSA w Warszawie uchylił się jednak od oceny, czy doszło do zebrania danych osobowych uczestnika w postaci tak danych logowania, jak i innych danych, do których Burmistrz miał dostęp już po zalogowaniu.
Z poczynionych przez organ administracji ustaleń w sprawie, a przyjętych przez Sąd I instancji wynika, że posłużono się danymi logowania uczestnika, które zostały zapisane w przeglądarce internetowej na pozostawionym przez niego komputerze i w ten sposób otworzył się dostęp do pozostałych danych na jego profilu, które co najmniej w części organ również zebrał (pozyskał).
Sąd I instancji pominął przy tym, że w RODO, jego przepisie art. 4 pkt 1 zawarto szeroką definicję danych osobowych łącząc ją z wszelkimi informacjami
(a nie tylko z danymi) o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (,,osobie, której dane dotyczą''); przy czym możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Dane logowania pozwalały zatem na wejście do profilu konkretnej osoby fizycznej (identyfikując ją) i umożliwiały przeglądanie, zbieranie, pobieranie
i wykorzystywanie nie tylko jej danych, ale również danych innych osób, zważywszy, że zalogowanie pozwalało na przeglądanie całej treści utrwalonych rozmów (w tym danych osobowych) w aplikacji powiązanej z kontem na Facebooku, czyli w aplikacji/komunikatorze Messenger. WSA w Warszawie nie dokonał w tym zakresie żadnej oceny. Przyjął, że przedmiotem decyzji była kwestia naruszenia prywatności - tajemnicy korespondencji – która podlega ochronie sądowej jako dobro osobiste i nie zwrócił tym samym uwagi, że sprawa dotyczyła węższego przedmiotu, tj. samego przetwarzania danych osobowych, które tylko częściowo mieszczą się w pojęciu tajemnicy korespondencji i jako taki - węższy - przedmiot zostały przypisane do właściwości Prezesa Urzędu Ochrony Danych Osobowych.
Sąd I instancji pominął także istotną dla rozpoznania sprawy okoliczność–
z punktu widzenia jej przedmiotu w rozumieniu art. 2 ust. 1 RODO, a mianowicie moment pierwszego przetwarzania danych (jego wykorzystania), tzn. moment logowania do serwisu Facebook. Innymi słowy - moment wykorzystania danych uczestnika, który pozwolił na dalsze przetwarzanie jego danych osobowych i danych innych osób.
Niewłaściwie również Sąd I instancji wyłożył przepis art. 4 pkt 6 RODO. Także i w tej części przedwcześnie uznał, że w sprawie nie występuje ani zbiór danych osobowych, ani nie doszło do "zdarzeń związanych z przetwarzaniem informacji (gromadzenie, transfer itp.) gdzie możliwe jest mechaniczne odnajdywanie informacji o osobach - ich danych osobowych – w szczególności w ramach systemów teleinformatycznych". Nie ocenił, czy organ właściwie ustalił, czy rzeczywiście w sprawie nie zachodzi co najmniej częściowe zautomatyzowanie przetwarzania danych osobowych choćby z tego powodu, że przetwarzanie na koncie Facebook i powiązanym komunikatorze Messenger odbywa się za pomocą urządzeń elektronicznych (w tym przypadku komputera), a zarówno na koncie, jak
i w komunikatorze następuje informatyczny zapis danych (np. kontaktów, lokalizacji, danych osobowych zawartych w treści rozmów), również z możliwością
ich późniejszego wyszukiwania (por. https://www.messenger.com/help, https://www.facebook.com/help?locale=pl_PL i zamieszczone na tych stronach przez operatora szczegółowe informacje dotyczące sposobu przetwarzania danych wraz z opisem poszczególnych funkcji konta i komunikatora).
Z uzasadnienia zaskarżonego wyroku nie wynika również, aby Sąd I instancji ocenił znaczenie dokonanych wydruków z konta Facebook w świetle uprzedniego przetwarzania danych osobowych w formie elektronicznej i zautomatyzowanej (tzn. przetwarzania od momentu użycia danych logowania do konta Facebook). Nie ustalił, czy dalsze utrwalenie tych danych w formie papierowej miało jakikolwiek wpływ na użycie danych osobowych uczestnika, które dopiero następczo dało taką możliwość (nie ustalił czy następcze przetwarzanie danych osobowych w sposób inny niż zautomatyzowany wyłączało sprawę spod zakresu przedmiotowego RODO wymienionego w art. 2 ust. 1 in pricipio - przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany – i czy ustalenie istnienia zbioru danych było w rezultacie w ogóle konieczne).
W tej sytuacji, bez powyższych ustaleń wymaganych hipotezą normy wynikającej z art. 2 ust. 1 RODO i w ramach oceny legalności zaskarżonej decyzji, WSA w Warszawie nie mógł uznać, że sprawa nie podlegała właściwości organu,
o której mowa w art. 58 ust. 2 lit. b RODO, a w dalszej konsekwencji także i w art. 1 ust. 1 i art. 60 ustawy o ochronie danych osobowych, z tą uwagą, że adekwatność zastosowanego przez organ nadzoru środka tego nadzoru podlega ocenie na etapie późniejszym, po ustaleniu jego właściwości w sprawie.
Ponadto należy zauważyć, że tak pobieżna ocena właściwości organu mogłaby wyłączyć możliwość dokonywania kontroli przez organy administracji ochrony danych sensytywnych, o którym mowa w art. 9 ust. 1 RODO, a jak wynika z akt sprawy i treści zaskarżonego do Sądu I instancji aktu administracyjnego również i takie dane mogły być w sprawie zebrane. Dlatego każdorazowo kontrolując zakażoną decyzję dotyczącą przetwarzania danych osobowych należy w sposób niebudzący wątpliwości ustalić, czy sprawa podpada pod zakres przedmiotowy określony w art. 2 ust. 1 RODO (art. 1 ust. 1 ustawy o danych), przy czym należy jednocześnie stosować wszystkie przepisy powiązane z treścią wyżej wymienionego przepisu, w szczególności przepisy zawierające definicje legalne art. 4 pkt 1, pkt 2 i pkt 6 RODO uwzględniając ich prawidłowe zastosowanie w konkretnym stanie faktycznym sprawy (prawidłową subsumpcję). Toteż, w niniejszej sprawie, przy istniejącym związaniu zarzutami skargi kasacyjnej, Sąd I instancji błędnie zastosował tak przepis art. 2 ust. 1, jak i przepis art. 4 pkt 6 RODO, co prowadziło także do naruszenia postawionych w zarzutach skargi kasacyjnej pozostałych przepisów – w tym przepisów ustawy o ochronie danych osobowych.
Jedynie dodatkowo należy wyjaśnić, że jak słusznie podniósł organ w uzasadnieniu skargi kasacyjnej, "ustawodawca unijny w art. 77 oraz w art. 79 RODO przewidział dwie drogi ochrony prawnej w przypadku naruszenia ochrony danych, tj. prawo wniesienia skargi do organu nadzorczego oraz prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu".
Organ wyjaśnił w zaskarżonej decyzji, że nie jest właściwy w zakresie ochrony dóbr osobistych (w postaci tajemnicy korespondencji), a zajął się tylko kwestią bezpodstawnego pozyskania danych osobowych uczestnika: danych logowania i danych zawartych w korespondencji na portalu społecznościowym Facebook. Nie zajmował się natomiast kwestią naruszenia tajemnicy korespondencji in pleno, która, jak wskazano już powyżej, jest pojęciem znacznie szerszym - obejmującym także informacje niebędące danymi osobowymi (np. informacje/dane nie związane z osobami fizycznymi – informacje o faktach i zjawiskach).
Niezależnie od powyższego Naczelny Sąd Administracyjny zauważa również, że poza ochroną cywilnoprawną tajemnicy korespondencji istnieje również jej ochrona prawnokarna (por. art. 267 k.k.), co nie oznacza, że poszkodowany lub pokrzywdzony może poddać się ochronie sądowej tylko w ramach jednej z nich.
Przy ponownym rozpoznaniu sprawy Sąd I instancji uwzględni ocenę prawną zamieszczoną w niniejszym wyroku i dokona pełnej oceny legalności zaskarżonej decyzji.
W tym stanie rzeczy Naczelny Sąd Administracyjny na podstawie art. 185 § 1 p.p.s.a., uchylił zaskarżony wyrok i przekazał sprawę Sądowi I instancji do ponownego rozpoznania. O kosztach postępowania kasacyjnego orzeczono na podstawie art. 203 pkt 2 p.p.s.a.