III OSK 6357/21

III OSK 6357/21 - Wyrok NSA
Data orzeczenia
2025-01-09
orzeczenie prawomocne
Data wpływu
2021-09-01
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Ewa Kwiecińska /sprawozdawca/
Przemysław Szustakiewicz /przewodniczący/
Zbigniew Ślusarczyk
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Inne
Sygn. powiązane
II SA/Wa 1254/20 - Wyrok WSA w Warszawie z 2021-03-04
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę kasacyjną
Powołane przepisy
Dz.U. 2022 poz 2000
art. 156 § 1 pkt 5
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego - t.j.
Sentencja
Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Przemysław Szustakiewicz Sędziowie: sędzia NSA Ewa Kwiecińska (spr.) sędzia NSA Zbigniew Ślusarczyk Protokolant: starszy asystent sędziego Joanna Ukalska po rozpoznaniu w dniu 9 stycznia 2025 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Prezydenta Wrocławia od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 4 marca 2021 r., sygn. akt II SA/Wa 1254/20 w sprawie ze skargi Prezydenta Wrocławia na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 22 kwietnia 2020 r., nr ZSZZS.440.300.2019.ZS.AO.71945 w przedmiocie przetwarzania danych osobowych oddala skargę kasacyjną.
Uzasadnienie
Wyrokiem z dnia 4 marca 2021 r., sygn. akt II SA/Wa 1254/20, Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę Prezydenta [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 22 kwietnia 2020 r. nr ZSZZS.440.300.2019.ZS.AO.71945 w przedmiocie przetwarzania danych osobowych. W sprawie przyjęty następujący stan faktyczny i prawny:
M.K. (dalej również jako skarżąca) wniosła do Prezesa UODO skargę na nieprawidłowości w procesie przetwarzania jej danych osobowych przez Urząd Miejski [...]. Wskazała, że w dniach 1 kwietnia 2019 r. i 17 kwietnia 2019 r. na rozprawie przed Sądem Rejonowym dla W. we W., II Wydział Karny w sprawie prowadzonej pod sygn. [...] dowiedziała się, że dokumenty z jej akt osobowych zostały wydane przez pracodawcę (Urząd) bez jej zgody i wiedzy W.P. oraz D.H. 1 kwietnia 2019 r. podczas składania zeznań W.P. posiadał pisma, które M.K. składała do pracodawcy (Urzędu) oraz notatkę służbową dotyczącą skarżącej sporządzoną przez Urząd i przechowywaną w jej aktach osobowych. 17 kwietnia 2019 r. na rozprawie D.H. ww. notatkę z danymi M.K. przekazała A.S. Ponadto skarżąca wskazała, że 13 maja 2019 r. D.H. pozyskała do prywatnych celów i przekazała osobie trzeciej oraz załączyła do prywatnej sprawy sądowej dokumenty stanowiące wydruki zawierające jej dane osobowe (imię i nazwisko) z wewnętrznego systemu Urzędu służącego do rejestracji czasu pracy pracownika (system RCP). Wskazała, że przed ww. Sądem toczyła się sprawa w postępowaniu prywatnoskargowym w związku z pomówieniem jej przez D.H.. Sprawa skierowana była przeciwko D.H. jako osobie prywatnej, a nie jako pracodawcy.
Prezes UODO rozpoznając skargę skarżącej, ustalił, że skarżąca jest pracownikiem Urzędu Miejskiego [...] zatrudnionym w Wydziale [...], którego Dyrektorem i przełożoną skarżącej jest D.H.. W.P. jest Sekretarzem Miasta [...]. Skarżąca pismem z 29 kwietnia 2019 r. poinformowała Inspektora Ochrony Danych Osobowych Urzędu Miejskiego [...] (dalej: "IOD"), że notatka służbowa, która znajdowała się w jej aktach osobowych, została udostępniona W.P. i D.H. do prywatnych celów rzeczonych osób bez jej zgody. Skarżąca pismem z 13 maja 2019 r. poinformowała, że D.H. przekazała osobie trzeciej dokumenty stanowiące wydruki zawierające jej dane osobowe (imię i nazwisko) z wewnętrznego systemu Urzędu Miejskiego [...] służącego do rejestracji czasu pracy pracownika oraz wykorzystała w prywatnej sprawie do jej prywatnych celów.
W związku ze zgłoszeniem skarżącej IOD przeprowadził czynności mające na celu wyjaśnienia opisywanego stanu rzeczy i ustalił, że prywatna sprawa D.H., o której wspomina skarżąca, to sprawa karna prowadzona na podstawie prywatnego aktu oskarżenia, skierowanego do Sądu Rejonowego W., przez skarżącą wobec D.H.. Dane osobowe skarżącej, które zostały ujawnione przez D.H. i W.P. w dniach 1 kwietnia 2019 r. i 17 kwietnia 2019 r., to dane osobowe zawarte w notatce służbowej dotyczącej skarżącej z września 2016 r. Dane osobowe skarżącej, które zostały ujawnione w dniu 13 maja 2019 r., to również dane osobowe z systemu Rejestr Czasu Pracy (elektroniczny system funkcjonujący w UMW, w którym pracownicy potwierdzają m.in. rozpoczęcie i zakończenie pracy), a które powiązane były z okolicznościami zawartymi w notatce z września 2016 r. IOD ustalił także, że osoby trzecie, którym D.H. przekazała dane osobowe, to jej obrońca w sprawie.
Dalej IOD ustalił, że 1 kwietnia 2019 r. W.P. zeznawał jako świadek (osoba fizyczna, niereprezentująca UMW) w sprawie. W ramach zeznań opowiadał o okolicznościach dotyczących zarzutów skarżącej zawartych w akcie oskarżenia, ujawniając przy tym dane osobowe skarżącej. Zeznania świadka obejmowały okoliczności zawarte w notatce służbowej z września 2016 r. oraz powiązane były z danymi zawartymi na wydruku z systemu Rejestr Czasu Pracy. W.P. w trakcie swoich zeznań odczytał notatkę z września 2016 r., omówił czas pracy wraz z wydrukami z systemu Rejestr Czasu Pracy oraz zaproponował przekazanie Sądowi rzeczonych dokumentów. Finalnie jednak, zgodnie z ustaleniami z Sądem, dokumenty te w dniach 17 kwietnia 2019 r. oraz 13 maja 2019 r. D.H. przekazała swojemu obrońcy, a ten przekazał je Sądowi. W.P. udostępniał znane mu z racji pełnionej funkcji osoby reprezentującej pracodawcę dane osobowe skarżącej w ramach zeznań przed Sądem w charakterze świadka, co czynił w ramach obowiązku prawnego wynikającego m.in. z art. 188 § 1 k.p.k. Z kolei D.H. udostępniała znane jej z racji pełnionej funkcji przełożonej skarżącej dane osobowe skarżącej swojemu obrońcy, który przekazał je Sądowi, co czyniła w ramach obowiązku prawnego wynikającego m.in. z art. 217 k.p.k.
W ramach postępowania prowadzonego przez Prezesa UODO, Prezydent wyjaśnił, że W.P. (jako m.in. upoważniony do reprezentowania pracodawcy), jak i D.H. (jako przełożona M.K.) z racji pełnienia swych funkcji w Urzędzie Miasta [...] (dalej: "UMW"), byli upoważnieni do przetwarzania danych osobowych pracowników UMW w zakresie niezbędnym do wykonywania przez te osoby obowiązków wynikających z ich stosunku pracy i realizowanych zadań. Prezydent wskazał również, że w UMW funkcjonuje Polityka Ochrony Danych Osobowych i Bezpieczeństwa Informacji, która informuje pracowników m.in. o tym, jak należy przetwarzać dane w UMW, pracownicy UMW zobowiązują się na piśmie do bezterminowego zachowania w tajemnicy danych, w tym danych osobowych, które są im znane z racji wykonywania określonej funkcji oraz przechodzą szkolenia z zakresu ochrony danych osobowych, w których informowani są o zachowaniu poufności danych i zgłaszania naruszeń ochrony danych.
Ponadto Prezydent [...] podniósł, że w związku z prowadzonym postępowaniem w sprawie o sygn. akt [...], ani W.P., ani D.H., ani jej obrońca A.S. nie zwracali się do UMW z wnioskiem o udostępnienie danych osobowych M.K. istniejących w dokumentach związanych z zawarciem z nią stosunku pracy.
Decyzją z dnia 22 kwietnia 2020 r., nr ZSZZS.440.300.2019.ZS.AO71945 Prezes Urzędu Ochrony Danych Osobowych udzielił Prezydentowi [...] upomnienia za naruszenie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej, L 119, 4 maja 2016), dalej: "RODO", poprzez udostępnienie danych osobowych M.K. zawartych w dokumentacji pracowniczej i systemie Rejestr Czasu Pracy danych do celów prywatnych.
W uzasadnieniu decyzji organ wskazał, że przedmiotem postępowania jest proces przetwarzania danych osobowych skarżącej przez Prezydenta [...], polegający na umożliwieniu wykorzystania danych osobowych skarżącej, zgromadzonych w związku z jej zatrudnieniem w UMW, a zawartych w systemie Rejestr Czasu Pracy i notatce służbowej z września 2016 r. przez D.H. i W.P. (pracowników UMW) w celu innym niż ten, dla którego dane te zostały zebrane, to jest w celu związanym z postępowaniem toczącym się przed Sądem Rejonowym dla [...] pod sygn. akt [...], w którym skarżąca ma status oskarżyciela prywatnego, a D.H. oskarżonej, natomiast W.P. został powołany na świadka.
Prezes UODO stwierdził, że Prezydent [...] jest uprawniony do przetwarzania danych osobowych M.K. zgodnie z art. 6 ust. 1 lit. c RODO w związku z zatrudnieniem skarżącej w Urzędzie. Zdaniem Prezesa UODO z materiału dowodowego wynika, że D.H. i W.P. samodzielnie zdecydowali o udostępnieniu na rzecz Sądu dokumentów zawierających dane osobowe skarżącej.
Organ podniósł, że RODO określa obowiązki administratora danych, do których należy przetwarzanie danych osobowych z zachowaniem przesłanek określonych w tym rozporządzeniu. Zgodnie z treścią art. 4 ust. 1 RODO dane osobowe oznaczają "informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą); możliwa do zidentyfikowana osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie takiego identyfikatora jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, kulturową lub społeczną tożsamość osoby fizycznej". Przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych jest art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Oznacza to, że przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. W konsekwencji zgoda osoby, której dane dotyczą, nie jest jedyną podstawą przetwarzania danych osobowych, bowiem proces przetwarzania danych będzie zgodny z RODO również wówczas, gdy administrator danych wykaże spełnienie innej z wyżej wymienionych przesłanek. Niezależnie od zgody osoby, której dane dotyczą, przetwarzanie danych osobowych "zwykłych" jest dopuszczalne między innymi wtedy, gdy jest to niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (art. 6 ust. 1 lit. b RODO), gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO) oraz gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą (art. 6 ust. 1 lit. f RODO). Prezes PUODO wskazał, że D.H. i W.P. samodzielnie zdecydowali o udostępnieniu na rzecz Sądu ww. dokumentów zawierających dane osobowe skarżącej.
Dalej organ stwierdził, że fakt posiadania upoważnienia do przetwarzania danych osobowych w rozumieniu art. 29 RODO przez D.H. i W.P. nie oznacza, iż posiadają oni autonomię w decydowaniu o celach, w jakich dane pracowników UMW będą przetwarzane. Zdaniem organu mogą oni przetwarzać dane osobowe pracowników UMW tylko w zakresie niezbędnym do wykonywania przez te osoby obowiązków wynikających z ich stosunku pracy i realizowanych zadań w określonych przez administratora danych celach. W niniejszej sprawie dane osobowe skarżącej zostały wykorzystane przez D.H. i W.P. w celach osobistych, co naruszało przepisy o ochronie danych osobowych. Zdaniem organu w analizowanym przypadku doszło również do naruszenia art. 6 ust. 1 oraz art. 5 ust. 1 lit. b RODO, ponieważ D.H. i W.P. dokonali zmiany celu przetwarzania danych osobowych skarżącej, pozyskując je w związku z wykonywaniem czynności służbowych, a następnie wykorzystując ww. dane w celach osobistych.
Prezes PUODO podkreślił, że za nieprawidłowości dotyczące przetwarzania danych osobowych w związku z wykonywaniem zadań przez pracowników administratora danych osobowych, odpowiada sam administrator (tj. Prezydent [...]), zgodnie z art. 24 w zw. z art. 4 pkt. 7 RODO.
Zdaniem organu, zastosowanie w sprawie art. 58 ust. 2 lit. b RODO, jest zasadne i Prezes UODO był uprawniony do udzielenia upomnienia Prezydentowi [...] za naruszenie art. 6 ust. 1, art. 5 ust. 1 lit. b RODO poprzez udostępnienie danych osobowych Skarżącej zawartych w dokumentacji pracowniczej i systemie Rejestr Czasu Pracy do celów prywatnych na rzecz D.H. i W.P.
Skargę na powyższe orzeczenie wniósł do Wojewódzkiego Sądu Administracyjnego w Warszawie Prezydent [...], wnosząc o uchylenie zaskarżonej decyzji w całości i orzeczenie co do istoty sprawy względnie uchylenie decyzji i umorzenie postępowania pierwszej instancji w całości lub przekazanie sprawy do ponownego rozpoznania oraz zasądzenie kosztów postępowania, w tym kosztów zastępstwa procesowego, od organu na rzecz skarżącego według norm przepisanych.
W odpowiedzi na skargę organ podtrzymał stanowisko.
Rozpoznając skargę, WSA w Warszawie wskazał, że jak wynika z akt sprawy administracyjnej, sprawa tocząca się przed Sądem Rejonowym dla [...] we [...], II Wydział Karny, sygn. akt [...], skierowana była przeciwko D.H. jako osobie prywatnej, a nie przeciwko Prezydentowi [...] jako pracodawcy. Nie ulega wątpliwości, że na rozprawie przed Sądem Rejonowym dla [...] we [...], w dniach 1 kwietnia 2019 r. i 17 kwietnia 2019 r. W.P. i D.H. udostępnili dokumenty z akt osobowych M.K. bez jej zgody i wiedzy. Bezsprzeczne jest również, że 1 kwietnia 2019 r. podczas składania zeznań W.P. posiadał pisma, które M.K. składała do pracodawcy (UMW), oraz notatkę służbową jej dotyczącą, a sporządzoną przez Urząd i przechowywaną w jej aktach osobowych. 17 kwietnia 2019 r. na rozprawie D.H. ww. notatkę z danymi skarżącej przekazała A.S. Ponadto w 13 maja 2019 r. D.H. pozyskała do prywatnych celów i przekazała osobie trzeciej oraz załączyła do prywatnej sprawy sądowej dokumenty stanowiące wydruki zawierające dane osobowe M.K. (imię i nazwisko) z wewnętrznego systemu Urzędu służącego do rejestracji czasu pracy pracownika (system RCP).
Opisane dane zostały wykorzystane przed ww. Sądem, bowiem toczyła się sprawa w postępowaniu prywatnoskargowym w związku ze wskazanym w aktach pomówieniem M.K. przez D.H.
Zdaniem Sądu I instancji, okolicznością niepodważalną, ale obojętną z punktu widzenia tego postępowania jest fakt, że przepisy k.p.k nakładają na świadka obowiązki: art. 177 § 1 k.p.k. "Każda osoba wezwana na świadka ma obowiązek stawić się i złożyć zeznania", zaś zgodnie z art. 188 § 1 k.p.k. osoba taka ma mówić szczerą prawdę niczego nie ukrywając z tego, co jej jest wiadome. W ocenie Sądu gdyby podzielić proces udostępniania danych osobowych M.K., to postępowanie to dotyczyło faktu nielegalnego udostępnienia danych przez Urząd na rzecz W.P. oraz D.H., a nie prezentacji tych dokumentów w postępowaniu prywatnoskargowym.
W ocenie WSA w Warszawie okolicznością niepodważalną w sprawie jest fakt, że D.H. i W.P. jako pracownicy Prezydenta [...], w ramach pełnionych obowiązków służbowych byli uprawnieni do zaznajomienia się z treścią ww. udostępnionych dokumentów zawierających dane osobowe M.K. Sąd I instancji wskazał, że ani Sąd Rejonowy dla [...] we [...], ani W.P., ani D.H., ani jej obrońca A.S. nie zwracali się do UMW z wnioskiem o udostępnienie danych osobowych skarżącej zawartych w ww. dokumentach w związku z prowadzonym postępowaniem w sprawie o sygn. akt [...].
Zdaniem Sądu I instancji organ prawidłowo prowadził postępowanie nie oceniając procesu przetwarzania i udostępniania danych przez D.H. i W.P. na rzecz Sądu Rejonowego dla [...], a legalność udostępnienia danych przez UMW na rzecz ww. osób.
Dalej WSA w Warszawie wyjaśnił, że bezspornym jest fakt, że w UMW funkcjonuje Polityka Ochrony Danych Osobowych i Bezpieczeństwa Informacji, która informuje pracowników m.in. o tym, jak należy przetwarzać dane w UMW, pracownicy UMW zobowiązują się na piśmie do bezterminowego zachowania w tajemnicy danych, w tym danych osobowych, które są im znane z racji wykonywania określonej funkcji oraz przechodzą szkolenia z zakresu ochrony danych osobowych, w których informowani są o obowiązku zachowania poufności danych i zgłaszania naruszeń ochrony danych. RODO określa obowiązki administratora danych, do których należy przetwarzanie danych osobowych z zachowaniem przesłanek określonych w tym rozporządzeniu. Sąd wskazał na treść art. 6 ust. 1 RODO, wyjaśniając, że katalog przesłanek wymienionych w tym przepisie jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Oznacza to, że przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. W konsekwencji zgoda osoby, której dane dotyczą, nie jest jedyną podstawą przetwarzania danych osobowych, bowiem proces przetwarzania danych będzie zgodny z RODO również wówczas, gdy administrator danych wykaże spełnienie innej z wyżej wymienionych przesłanek. Niezależnie od zgody osoby, której dane dotyczą, przetwarzanie danych osobowych "zwykłych" jest dopuszczalne między innymi wtedy, gdy jest to niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (art. 6 ust. 1 lit. b RODO), gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO) oraz gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą (art. 6 ust. 1 lit. f RODO).
WSA w Warszawie wyjaśnił, że zgodnie z art. 24 RODO na administratorze danych osobowych, tj. Prezydencie [...], ciąży obowiązek zapewnienia zgodności z prawem operacji przetwarzania danych osobowych, a tym samym konieczność sprawowania kontroli nad tym jakie dane, kiedy i komu są udostępniane. Wiąże się to również z obowiązkiem administratora do dokładania szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Ponadto wskazał, że na administratorze zgodnie z art. 5 ust. 1 RODO spoczywa obowiązek dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności obowiązek zapewnienia, aby dane te były zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami (art. 5 ust. 1 lit. b RODO).
Zdaniem Sądu I instancji w niniejszej sprawie Prezydent [...] przetwarza dane osobowe skarżącej zgodnie z art. 6 ust. 1 lit. c RODO w związku z zatrudnieniem skarżącej w UMW. Zgodnie z art. 24 RODO na administratorze danych osobowych, tj. Prezydencie [...], ciąży zapewnienie zgodności z prawem operacji przetwarzania danych osobowych, a tym samym sprawowanie kontroli nad tym jakie dane, kiedy i komu są udostępniane. Wiąże się to również z obowiązkiem administratora do dokładania szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Ponadto na administratorze zgodnie z art. 5 ust. 1 RODO spoczywa obowiązek dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności obowiązek zapewnienia, aby dane te były zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami (art. 5 ust. 1 lit. b RODO). WSA w Warszawie wskazał, że z materiału dowodowego wynika, że D.H. i W.P. samodzielnie zdecydowali o udostępnieniu na rzecz Sądu ww. dokumentów zawierających dane osobowe M.K. W ocenie Sądu I instancji wbrew twierdzeniom Prezydenta [...] zawartym w skardze do WSA, w niniejszej sprawie doszło do wykorzystania danych skarżącej przez D.H. i W.P. niezgodnie z celem, dla którego dane zostały pozyskane przez Prezydenta [...].
W ocenie WSA w Warszawie błędne jest stanowisko Prezydenta twierdzącego, że z uwagi na zajmowane stanowisko Sekretarz UMW miał prawo decydować o udostępnieniu danych osobowych. Jedynym podmiotem uprawnionym do przetwarzania zgodnie z prawem danych osobowych znajdującymi się w aktach UMW jest Prezydent [...]. Zdaniem Sądu fakt posiadania upoważnienia do przetwarzania danych osobowych w rozumieniu art. 29 RODO przez D.H. i W.P. nie oznacza, iż posiadają oni autonomię w decydowaniu o celach, w jakich dane pracowników UMW będą przetwarzane i udostępniane. Mogą oni bowiem przetwarzać dane osobowe pracowników UMW tylko w zakresie niezbędnym do wykonywania przez te osoby obowiązków wynikających z ich stosunku pracy i realizowanych zadań w określonych przez administratora danych celach. Jak ustalono w toku przeprowadzonego przez Prezesa Urzędu Ochrony Danych Osobowych postępowania, D.H. i W.P. nie reprezentowali UMW w postępowaniu toczącym się przed Sądem Rejonowym dla [...] pod sygn. akt [...], a samowolnie, nie wnioskując o udostępnienie danych od UMW, wykorzystali w toku tego postępowania dane osobowe skarżącej pozyskane z zasobów UMW, zawarte w systemie Rejestr Czasu Pracy i notatce służbowej z września 2016 r.
W ocenie Sądu I instancji w tym stanie rzeczy należy stwierdzić, że za nieprawidłowości dotyczące przetwarzania danych osobowych w związku z wykonywaniem zadań przez pracowników administratora danych osobowych, odpowiada sam administrator (tj. Prezydent [...]), zgodnie z art. 24 w zw. z art. 4 pkt 7 RODO.
Jednocześnie WSA w Warszawie wskazał, że organ słusznie nie neguje prawa i potrzeby D.H. do obrony interesów przed sądem, jednak te czynności powinny odbywać się z zachowaniem zasad wynikających z przepisów o ochronie danych osobowych.
Z powyższym rozstrzygnięciem nie zgodził się Prezydent [...] i w skardze kasacyjnej zarzucił mu:
1. naruszenie prawa materialnego przez jego błędną wykładnię i/lub niewłaściwe zastosowanie, tj.:
art. 5 ust. 1 lit. b, art. 6 ust. 1 lit. c, art. 24 i art. 29 RODO poprzez uznanie, że doszło do udostępnienia danych osobowych M.K. zawartych w dokumentacji pracowniczej i systemie Rejestr Czasu Pracy do celów prywatnych pracowników Urzędu Miejskiego [...] (tj. D.H. oraz W.P.) przez Prezydenta [...], podczas gdy przetwarzanie danych następuje jedynie przez uczestników postępowania karnego, tj. oskarżonego oraz świadka na podstawie posiadanej przez nich wiedzy. Błędna wykładnia powyższych przepisów doprowadziła jednocześnie do ich niewłaściwego zastosowania względem Prezydenta [...], poprzez przyjęcie, że powyższe przepisy znajdują zastosowanie do przetwarzania danych osobowych M.K. przez Prezydenta [...] (jako administratora) w okolicznościach niniejszej sprawy i uznania, że niniejsza sprawa dotyczy przetwarzania danych osobowych przez Prezydenta [...] (jako administratora), podczas gdy przetwarzanie danych następuje jedynie przez uczestników postępowania karnego, tj. oskarżonego oraz świadka na podstawie posiadanej przez nich wiedzy;
2. naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj.:
a) art. 145 § 1 pkt 2 p.p.s.a. w związku z art. 156 § 1 pkt 4 i pkt 5 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (t.j. Dz.U. z 2021 r., poz. 735), dalej jako "k.p.a.", polegające na niestwierdzeniu nieważności decyzji ze względu na fakt, że decyzja Prezesa UODO została skierowana do osoby niebędącej stroną w sprawie - Prezydenta [...] (art. 156 § 1 pkt 4 k.p.a.), ponieważ to nie on dokonywał przetwarzania danych M.K. w sprawie, oraz ze względu na fakt, że decyzja Prezesa UODO była niewykonalna w dniu jej wydania i jej niewykonalność ma charakter trwały (art. 156 § 1 pkt 5 k.p.a.), ponieważ jej wykonanie skutkowałoby naruszeniem prawa do obrony w sprawie karnej, w tym prawa do korzystania z obrońcy przez oskarżonego w procesie karnym, o którym mowa w art. 6 ustawy z dnia 6 czerwca 1997 r. Kodeks postępowania karnego (t.j. Dz.U. z 2021 r., poz. 534), dalej jako "k.p.k.", i art. 42 ust. 2 Konstytucji RP, naruszeniem przepisów nakładających obowiązek składania prawdziwych zeznań przez świadków na zasadach określonych w art. 177 i n. k.p.k. oraz utrudnieniem realizacji zasady prawdy obiektywnej przez sądy, które mają obowiązek podejmowania rozstrzygnięć na podstawie prawdziwych ustaleń faktycznych (art. 2 § 2 k.p.k.);
b) art. 145 § 1 pkt 1 lit. c w zw. z art. 3 § 1 p.p.s.a. poprzez pominięcie, że Prezes UODO wydał decyzję z naruszeniem art. 7, art. 77 § 1 i art. 80 k.p.a., ze względu na fakt, że w toku postępowania nie zebrał i nie rozpatrzył w sposób wyczerpujący całego materiału dowodowego w sprawie, co sprawiło, że organ błędnie uznał, że doszło do udostępnienia danych osobowych D.H. oraz W.P. przez Prezydenta [...];
c) art. 151 p.p.s.a. poprzez jego błędne zastosowanie skutkujące nieuwzględnieniem skargi i oddaleniem jej w całości, pomimo iż utrzymanie w mocy zaskarżonej decyzji skutkuje naruszeniem prawa do obrony, w tym prawa do korzystania z obrońcy przez oskarżonego w procesie karnym, o którym mowa w art. 6 k.p.k. i art. 42 ust. 2 Konstytucji RP, naruszeniem przepisów nakładających obowiązek składania prawdziwych zeznań przez świadków na zasadach określonych w art. 177 i n. k.p.k. oraz utrudnieniem realizacji zasady prawdy obiektywnej przez sądy, które mają obowiązek podejmowania rozstrzygnięć na podstawie prawdziwych ustaleń faktycznych (art. 2 § 2 k.p.k.).
W oparciu o przytoczone zarzuty Prezydent [...] wniósł o uchylenie zaskarżonego wyroku w całości i przekazanie sprawy do ponownego rozpoznania na podstawie art. 176 § 1 pkt 3 p.p.s.a. w zw. z art. 185 § 1 p.p.s.a., rozpoznanie skargi kasacyjnej na rozprawie na podstawie art. 176 § 2 p.p.s.a. oraz zasądzenie zwrotu kosztów postępowania według norm przepisanych na podstawie art. 203 pkt 1 p.p.s.a.
W odpowiedzi na skargę kasacyjną Prezes UODO wniósł o jej oddalenie.
Naczelny Sąd Administracyjny zważył, co następuje:
Zgodnie z art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (tj.: Dz.U. z 2024 r., poz. 935) - zwanej dalej p.p.s.a., Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, bierze jednak z urzędu pod rozwagę nieważność postępowania. W sprawie nie występują, enumeratywnie wyliczone w art. 183 § 2 p.p.s.a., przesłanki nieważności postępowania sądowoadministracyjnego. Z tego względu, przy rozpoznaniu sprawy, Naczelny Sąd Administracyjny związany był granicami skargi kasacyjnej.
Skargę kasacyjną można oprzeć na następujących podstawach:
1) naruszeniu prawa materialnego przez błędną jego wykładnię lub niewłaściwe zastosowanie,
2) naruszeniu przepisów postępowania, jeżeli uchybienie to mogło mieć istotny wpływ na wynik sprawy (art. 174 p.p.s.a.).
Granice skargi kasacyjnej wyznaczają wskazane w niej podstawy.
W skardze kasacyjnej zarzucono zarówno naruszenie prawa materialnego, jak i naruszenie przepisów postępowania. W sytuacji gdy skarga kasacyjna zarzuca naruszenie prawa materialnego oraz naruszenie przepisów postępowania, co do zasady w pierwszej kolejności rozpoznaniu podlegają zarzuty naruszenia przepisów postępowania (por. wyrok NSA z dnia 27 czerwca 2012 r., II GSK 819/11, LEX nr 1217424; wyrok NSA z dnia 26 marca 2010 r., II FSK 1842/08, LEX nr 596025; wyrok NSA z dnia 4 czerwca 2014 r., II GSK 402/13, LEX nr 1488113; wyrok NSA z dnia 17 lutego 2023 r., II GSK 1458/19; wyrok NSA z dnia 1 marca 2023 r., I FSK 375/20). Dopiero bowiem po przesądzeniu, że stan faktyczny przyjęty przez sąd w zaskarżonym wyroku jest prawidłowy, albo nie został dostatecznie podważony, można przejść do skontrolowania procesu subsumcji danego stanu faktycznego pod zastosowany przez sąd pierwszej instancji przepis prawa materialnego. Dla uznania za usprawiedliwioną podstawę kasacyjną z art. 174 pkt 2 p.p.s.a. nie wystarcza samo wskazanie naruszenia przepisów postępowania, ale nadto wymagane jest, aby skarżący wykazał, że następstwa stwierdzonych wadliwości postępowania były tego rodzaju lub skali, iż kształtowały one lub współkształtowały treść kwestionowanego w sprawie orzeczenia (por. wyrok NSA z dnia 5 maja 2004 r., FSK 6/04, LEX nr 129933; wyrok NSA z dnia 26 lutego 2014 r., II GSK 1868/12, LEX nr 1495116; wyrok NSA z dnia 29 listopada 2022 r., I OSK 931/22).
W ramach zarzutu naruszenia przepisów postępowania strona skarżąca kasacyjnie wskazuje na naruszenie art. 145 § 1 pkt 2 p.p.s.a. w związku z art. 156 § 1 pkt 4 i pkt 5 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r., poz. 735 ze zm.) – dalej zwanej k.p.a., polegające na niestwierdzeniu nieważności decyzji ze względu na fakt, że decyzja ta została skierowana do osoby niebędącej stroną w sprawie – Prezydenta [...] (art. 156 § 1 pkt 4 k.p.a.), ponieważ to nie on dokonywał przetwarzania danych osobowych M.K. w sprawie, oraz ze względu na fakt, że decyzja Prezesa UODO była niewykonalna w dniu jej wydania i jej niewykonalność ma charakter trwały (art. 156 § 1 pkt 5 k.p.a.), ponieważ jej wykonanie skutkowałoby naruszeniem prawa do obrony w sprawie karnej, w tym prawa do obrońcy w procesie karnym, o którym mowa w art. 6 k.p.k. i art. 42 ust. 2 Konstytucji RP, naruszeniem przepisów nakładających obowiązek składania prawdziwych zeznań przez świadków na zasadach określonych w art. 177 i n. k.p.k. oraz utrudnieniem realizacji prawdy obiektywnej przez sądy, które mają obowiązek podejmowania rozstrzygnięć na podstawie prawdziwych ustaleń faktycznych (art. 2 § 2 k.p.k.).
W związku z tak skonstruowanym zarzutem należy zauważyć, iż podmiotem, który odgrywa największą rolę w procesach przetwarzania danych, jest administrator. Zgodnie z definicją zawartą w art. 4 pkt 7 RODO "administrator" oznacza "osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych". Stwierdzenie, kto jest administratorem, jest niezwykle istotne ze względu na to, że większość wymogów określonych przepisami komentowanego rozporządzenia ciąży na administratorze, jego także obarcza się odpowiedzialnością za naruszenie tych przepisów (tak: Paweł Fajgielski, Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, opublikowano: WKP 2022, teza 31).
Innymi słowy, ustalenie podmiotu decydującego o celach i sposobach przetwarzania ma zasadnicze znaczenie dla funkcjonowania systemu ochrony danych osobowych. W świetle definicji zawartej w rozporządzeniu dla wskazania, kto jest administratorem, kluczowe jest stwierdzenie, kto decyduje o celu i sposobach przetwarzania danych (kto ustala cele i sposoby przetwarzania danych). Wskazanie podmiotu ustalającego cele i sposoby przetwarzania odbywać się powinno na podstawie weryfikacji okoliczności danego przetwarzania, w odniesieniu do faktycznych działań decyzyjnych danego podmiotu. Fundamentalne znaczenie powinno więc mieć skuteczne zidentyfikowanie sprawowania kontroli nad przetwarzaniem. Pojęcie administratora należy więc wykładać w sposób funkcjonalny, tak by przypisywanie obowiązków i odpowiedzialności następowało tam, gdzie istnieje faktyczny, a nie np. jedynie formalny wpływ na ustalanie celów i sposobów przetwarzania (Opinia Grupy Roboczej Art. 29 nr 1/2010 w sprawie pojęć "administrator danych" i "przetwarzający" przyjęta w dniu 16 lutego 2010 r., s. 10, zwana dalej "Opinią nr 1/2010"). W piśmiennictwie wskazuje się, że decydowanie o celach i środkach przetwarzania powinno być rozumiane jako faktyczne podejmowanie we własnym imieniu i na własną rzecz decyzji o tym, w jakim celu i w jaki sposób przetwarzane są dane osobowe (M. Sakowska-Baryła, Prawo do ochrony danych osobowych, Wrocław 2015, s. 143). Jak zauważono w Opinii Grupy Roboczej Art. 29 nr 1/2010, pomocne może być także kryterium dorozumianej kompetencji, gdy w celu identyfikacji administratora wykorzystywane są pewne tradycyjnie powiązane z danym przetwarzaniem role, np. pracodawca w relacji do danych osobowych pracownika (Opinia 1/2010, s. 12).
Przedmiotowy zakres zastosowania przepisów RODO w aspekcie pozytywnym określony został w przepisie art. 2 ust. 1 RODO. W art. 2 ust. 1 RODO przyjęto, że rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych. Zatem "zgodnie z brzmieniem art. 2 ust. 1 rozróżnić należy dwa rodzaje relewantnych procesów przetwarzania danych osobowych kwalifikujących je do objęcia zakresem ochronnym rozporządzenia. Pierwszy to przetwarzanie danych osobowych odbywające się w sposób zautomatyzowany lub częściowo zautomatyzowany bez związku z tym, czy dane w ten sposób przetwarzane staną się lub mają (mogą) stać się częścią zbioru. Drugi natomiast to przetwarzanie w sposób inny niż zautomatyzowany, jednakże wówczas, gdy dane w ten sposób przetwarzane stanowią część zbioru danych lub mają (mogą) stanowić część zbioru danych" (zob. D. Lubosz, RODO. Ogólne rozporządzenie o ochronie danych, Komentarz, Warszawa 2018, s. 125).
Przetwarzanie, o którym mowa w art. 2 ust. 1 RODO, zostało definicyjnie ujęte szeroko i czynnościowo w art. 4 pkt 2 RODO. W rozumieniu tego przepisu "przetwarzanie" oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Jednocześnie "zbiór danych" to uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie (art. 4 pkt 6 RODO). W świetle tej definicji zbiorem danych jest zestaw informacji spełniające następujące kryteria:
- musi to być zestaw informacji stanowiących dane osobowe w rozumieniu przepisu art. 4 pkt 1 RODO,
- zestaw tych danych musi być uporządkowany, a zatem musi mieć określoną strukturę,
- dane osobowe zawarte w tym zestawie informacji dostępne być muszą według określonych kryteriów (zob. D. Lubosz, RODO. Ogólne rozporządzenie o ochronie danych, Komentarz, Warszawa 2018, s. 210).
Dopełnieniem przedstawionych powyżej kryteriów jest wskazanie, iż na fakt istnienia zbioru danych nie ma wpływu to, czy "zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie". Przy współczesnych możliwościach technicznych kwestia miejsca faktycznego położenia danych tworzących zbiór nie ma charakteru zasadniczego, podobnie jak podział funkcjonalny. Zbiór może być scentralizowany, tzn. dane mogą być skupione w jednym miejscu albo zdecentralizowany, tzn. dane mogą być skupione w różnych miejscach, co nie przeszkadza ich traktować jako jeden zbiór danych. Wskazać należy także, że do przetwarzana danych osobowych wykorzystywane są tzw. rozproszone bazy danych, których charakterystyczną cechą jest to, iż mimo że dane znajdują się w wielu miejscach, to traktowane są one jako jedna logiczna całość.
Podzielić należy stanowisko Prezesa UODO, że w niniejszej sprawie Prezydent [...] jako pracodawca pełnił rolę administratora (w rozumieniu art. 4 pkt 7 RODO) danych osobowych M.K. oraz przetwarzał te dane - jako dane osobowe pracownika - na postawie art. 6 ust. 1 lit. c RODP. Rozporządzenie Ministra Rodziny, Pracy i Polityki Społecznej z dnia 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej (Dz. U. z 2018, poz. 2369) przewiduje obowiązek oddzielnego prowadzenia akt osobowych dla każdego pracownika. Zestaw akt osobowych pracowników stanowi wskazany w art. 4 pkt 6 RODO zbiór danych osobowych, ponieważ zawiera dane osobowe zatrudnionych, ma określoną strukturę oraz jest dostępny według określonych kryteriów. (por. wyrok NSA z 23 lutego 2024 r., III OSK 3838/21, dostępny w CBOSA). Oświadczenia lub dokumenty związane z ze stosunkiem pracy przechowywane w aktach osobowych pracownika stanowią część zbioru danych prowadzonego przez pracodawcę, a co za tym idzie podlegają regułom określonym w art. 2 ust. 1 RODO. Tak więc jako prawidłowe należy ocenić stanowisko organu, iż to na Prezydencie [...] pełniącym rolę administratora danych osobowych spoczywał na mocy art. 24 RODO obowiązek zapewnienia zgodności z prawem przetwarzania danych osobowych pracownika zawartych w jego aktach osobowych, a w szczególności danych zawartych w treści notatki służbowej z września 2016 r. dotyczącej M.K., a także danych wynikających wewnętrznego systemu Urzędu Miejskiego [...] służącego rejestracji czasu pracy pracownika (system RCP). Trafnie też PUODO zauważył, iż na administratorze, zgodnie a art. 5 ust. 1 lit. b RODO, spoczywał obowiązek zapewnienia, aby dane osobowe były zbierane dla oznaczonych celów i nie były poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami.
Tymczasem, jak ustalono w niniejszej sprawie, dane zawarte w ww. notatce służbowej, a także dane z wewnętrznego systemu Urzędu Miejskiego [...] służącego rejestracji czasu pracy pracownika (system RCP) zostały wykorzystane przez Dyrektor Wydziału [...] i Sekretarza Miasta [...] w sprawie o sygnaturze [...] toczącej się przed Sądem Rejonowym [...] II Wydział Karny, w którym M.K. ma status oskarżyciela prywatnego, Dyrektor Wydziału [...] – D.H. oskarżonej, zaś Sekretarz Miasta [...] został powołany na świadka, a więc niezgodnie z celem, dla którego dane te zostały pozyskane przez Prezydenta [...].
Skoro zatem Prezydent [...] pełnił wobec przedmiotowych danych rolę administratora i na nim spoczywał na mocy art. 24 RODO obowiązek zapewnienia zgodności z prawem przetwarzania danych osobowych pracownika, a sporne dane osobowe były przetwarzane niezgodnie z celem, dla którego zostały pozyskane przez Prezydenta [...], to brak jest podstaw do przyjęcia, że zaskarżona decyzja została skierowana do osoby niebędącej stroną w sprawie – Prezydenta [...], wskutek czego jest dotknięta kwalifikowaną wadą prawną, której mowa w art. 156 § 1 pkt 4 k.p.a. Podniesiony zarzut naruszenia prawa procesowego nie zasługuje zatem na uwzględnienie.
Nie jest także zasadny zarzut naruszenia art. 156 § 1 pkt 5 k.p.a. Zgodnie z tym przepisem organ administracji publicznej stwierdza nieważności decyzji, która była niewykonalna w dniu jej wydania i jej niewykonalność ma charakter trwały. W założeniu chodzić tu może tylko o decyzję nakazującą sprowadzenie, w sposób dowolny lub w trybie przymusowym, określonego stanu rzeczywistości społecznej, zgodnego z jej treścią – słowem, o decyzję podlegającą wykonaniu (Tadeusz Kiełkowski [w:] Hanna Knysiak-Sudyka (red.), Kodeks postępowania administracyjnego. Komentarz, wyd. III, opublikowano: WKP 2023, teza 14). Przez niewykonalność decyzji mającą charakter trwały rozumie się taką decyzję, której adresat jest na stałe pozbawiony możliwości czynienia użytku z ustanowionych w niej praw lub trwale pozbawiony możliwości wykonywania obowiązków (K. Glibowski [w:] Kodeks postępowania administracyjnego. Komentarz pod red. M. Wierzbowskiego i A. Wiktorowskiej, Wydawnictwo C.H. Beck, Warszawa 2011, str. 915, teza 92). Tymczasem decyzja Prezesa UODO jest decyzją, mocą której na podstawie art. 6 ust. 1 lit. c, art. 5 ust. 1 lit. b oraz art. 58 ust. 2 RODO udzielono jej adresatowi upomnienia za naruszenie wskazanych przepisów w procesie przetwarzania danych osobowych. Tak sformułowana decyzja nie jest decyzją niewykonalną w rozumieniu art. 156 § 1 pkt 5 k.p.a. Podniesiony zarzut nie może zatem odnieść zamierzonego skutku.
Nie jest także zasadny zarzut naruszenia art. 145 § 1 pkt 1 lit. c p.p.s.a. w związku z art. 3 § 1 p.p.s.a poprzez pominięcie, że Prezes UODO wydał decyzję z naruszeniem art. 7, art. 77 § 1 i art. 80 k.p.a., w wyniku czego błędnie uznał, że doszło do udostępnienia danych osobowych pracownika Urzędu przez Prezydenta [...]. W ocenie Naczelnego Sądu Administracyjnego stanowisko Sądu I instancji, iż materiał dowodowy zgromadzony w sprawie jest kompletny i pozwala na podjęcie rozstrzygnięcia, jest prawidłowe. Stan faktyczny ustalony w sprawie nie budzi wątpliwości i daje podstawy do przyjęcia, iż to Prezydent [...] jako pracodawca był administratorem spornych danych osobowych i to na nim spoczywała odpowiedzialność za przetwarzanie tych danych zgodnie z obowiązującymi przepisami. Fakt, iż dane osobowe pracownika podlegały przetwarzaniu przez innych pracowników Urzędu niezgodnie z celami, dla których zostały zebrane, nie zwalnia administratora tych danych z obowiązku zapewnienia, aby dane osobowe były zbierane dla oznaczonych celów i nie były poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, stosownie do art. 5 ust. 1 lit. b RODO. Jak trafnie stwierdził Prezes UODO w zaskarżonej decyzji, za nieprawidłowości dotyczące przetwarzania danych osobowych w związku z wykonywaniem zadań przez pracowników administratora danych osobowych odpowiada sam administrator, zgodnie z art. 24 w zw. z art. 4 pkt 7 RODO.
Nie zasługuje również na uwzględnienie zarzut naruszenia art. 151 p.p.s.a., poprzez oddalenie skargi, pomimo że utrzymanie w mocy zaskarżonej decyzji skutkuje naruszeniem prawa do obrony, w tym prawa do korzystania z obrońcy przez oskarżonego w procesie karnym, o którym mowa w art. 6 k.p.k. i art. 42 ust. 2 Konstytucji RP, naruszeniem przepisów nakładających obowiązek składania prawdziwych zeznań przez świadków na zasadach określonych w art. 177 i n. k.p.k. oraz utrudnieniem realizacji prawdy obiektywnej przez sądy, które mają obowiązek podejmowania rozstrzygnięć na podstawie prawdziwych ustaleń faktycznych (art. 2 § 2 k.p.k.). Jak trafnie wywiódł Sąd I instancji w ślad za organem, sprawa niniejsza dotyczy nieprawidłowości w udostępnieniu danych osobowych pracownikom Urzędu, a nie prezentacji tych dokumentów w postępowaniu karnym. Przedmiotem kontroli organu w analizowanej sprawie był fakt przetwarzania, niezgodnie z celami, dla których te dane zostały zgromadzone przez pracodawcę, danych osobowych M.K. przez innych pracowników Urzędu. WSA w Warszawie trafnie też zwrócił uwagę na fakt, iż pracownicy, którzy przetwarzali dane na potrzeby postępowania sądowego, nie zwrócili się do administratora o wyrażenie zgody na przetwarzanie tych danych. W świetle powyższego podniesiony zarzut nie może odnieść zamierzonego skutku.
Nieskuteczny okazał się również zarzut naruszenia prawa materialnego, na podstawie którego strona skarżąca kasacyjnie podnosi naruszenia art. 5 ust. 1 lit. b, art. 6 ust. 1 lit. c i art. 24 oraz art. 29 RODO poprzez uznanie, że doszło do udostępnienia danych osobowych M.K. do celów prywatnych pracowników Urzędu Miejskiego [...] przez Prezydenta Miasta, podczas gdy przetwarzanie danych miało miejsce jedynie przez uczestników postępowania karnego, tj. oskarżonego i świadka na podstawie posiadanej przez nich wiedzy. O nieskuteczności omawianego zarzutu świadczy jego treść, która ewidentnie wskazuje na to, że strona skarżąca kasacyjnie kwestionuje ustalenia i oceny w zakresie stanu faktycznego sprawy.
W związku z tym należy podkreślić, że zgodnie z ugruntowanymi poglądami prezentowanymi w orzecznictwie Naczelnego Sądu Administracyjnego niedopuszczalne jest zastępowanie zarzutu naruszenia przepisów postępowania, zarzutem naruszenia prawa materialnego i za jego pomocą kwestionowanie ustaleń faktycznych. Próba zwalczenia ustaleń faktycznych poczynionych przez sąd pierwszej instancji nie może nastąpić przez zarzut naruszenia prawa materialnego (zob. wyrok NSA z dnia 29 stycznia 2013 r., I OSK 2747/12, LEX nr 1269660; wyrok NSA z dnia 6 marca 2013 r., II GSK 2327/11, LEX nr 1340137). Ocena zarzutu naruszenia prawa materialnego może być dokonana wyłącznie na podstawie konkretnego stanu faktycznego, nie zaś na podstawie stanu faktycznego, który skarżący uznaje za prawidłowy (zob. wyrok NSA z dnia 6 marca 2013 r., II GSK 2328/11, LEX nr 1340138; wyrok NSA z dnia 14 lutego 2013 r., II GSK 2173/11, LEX nr 1358369). Jeżeli strona skarżąca kasacyjnie uważa, że ustalenia faktyczne są błędne, to zarzut naruszenia prawa materialnego poprzez błędne zastosowanie (czy niezastosowanie) jest co najmniej przedwczesny, zaś zarzut naruszenia prawa przez błędną jego wykładnię – niezasadny. Zarzut naruszenia prawa materialnego nie może opierać się na wadliwym (kwestionowanym przez stronę) ustaleniu faktu (zob. wyrok NSA z dnia 13 marca 2013 r., II GSK 2391/11, LEX nr 1296051). Dlatego też omawiany zarzut naruszenia art. 5 ust. 1 lit. b, art. 6 ust. 1 lit. c i art. 24 oraz art. 29 RODO okazał się niezasadny.
Skoro podniesione w skardze kasacyjnej zarzuty okazały się nieskuteczne, Naczelny Sąd Administracyjny nie miał podstaw do jej uwzględnienia, co skutkowało oddaleniem skargi kasacyjnej w oparciu o art. 184 p.p.s.a.