Bezprawne ujawnienie danych nie zawsze podlega RODO

26.12.2021

Wojewódzki Sąd Administracyjny w wyroku z maja 2021 r. uchylił zaskarżoną decyzję Prezesa Urzędu Ochrony Danych Osobowych oraz umorzył postępowanie prowadzone przez ten organ nadzorczy.

Prezes Urzędu Ochrony Danych Osobowych w swojej decyzji, wobec skargi obywatela na nieprawidłowości w przetwarzaniu jego danych osobowych przez Burmistrza Miasta i Gminy O. udzielił Burmistrzowi “upomnienia za nieprawidłowości w procesie przetwarzania danych osobowych, polegające na naruszeniu art. 5 ust. 1, art. 6 ust 1 i art. 9 ust. 2 RODO, poprzez bezpodstawne pozyskanie danych osobowych Wnioskodawcy, zawartych w korespondencji prowadzonej przez niego za pośrednictwem portalu społecznościowego […]”.

W uzasadnieniu rozstrzygnięcia przywołano następujące okoliczności faktyczne i prawne uwarunkowania sprawy:

– skarga Wnioskodawcy dotyczyła przetwarzania jego danych osobowych przez Burmistrza w zakresie danych logowania do portalu społecznościowego […] oraz danych powiązanych z profilem skarżącego, założonym na tym portalu; w skardze zażądano usunięcia przez administratora danych osobowych Wnioskodawcy,

– w toku postępowania administracyjnego ustalono następujący stan faktyczny:

– Wnioskodawca był zatrudniony w Urzędzie Miasta i Gminy w O. (dalej jako “Urząd”) na stanowisku […];[…] grudnia 2018 r. rozwiązano z nim umowę o pracę z zachowaniem trzymiesięcznego okresu wypowiedzenia; do wykonywania obowiązków służbowych powierzono mu komputer; zobowiązano go do jego zdania do […] stycznia 2019 r. (tak: skarga z […] lipca 2019 r. oraz wyjaśnienia Burmistrza z […] marca 2020 r.);

– do obowiązków służbowych Wnioskodawcy należało administrowanie stroną Urzędu na portalu […]; wykorzystywał do tego swoje indywidualne konto na portalu; powiązane było ono z tą stroną (tak: skarga z […] lipca 2019 r.; wyjaśnienia Burmistrza z […] marca 2020 r.);

– Wnioskodawca nie usunął z komputera służbowego konta synchronizacji zakładek i haseł; pozostał również zalogowany na koncie indywidualnym na portalu […] (tak: skarga z […] lipca 2019 r.);

– w maju 2019 roku pracownik Urzędu (p. P. K.), zwany dalej “Pracownikiem”, przygotowywał używany uprzednio przez Wnioskodawcę komputer do przekazania kolejnej osobie; po uruchomieniu przeglądarki internetowej na przedmiotowym komputerze, ukazały mu się dwie, prowadzone na portalu […], rozmowy z innymi pracownikami Urzędu – p. A. G. oraz p. J. Z., zwaną dalej “Pracownikiem II”; dotyczyły one osoby p. A. P.; z uwagi na ich tematykę Pracownik wydrukował przedmiotowe rozmowy – z okresu od listopada 2018 roku do maja 2019 roku – i przekazał Burmistrzowi (tak: wyjaśnienia Burmistrza z […] marca 2020 r.).

WSA w Warszawie wskazało, że:

Trafne są zarzuty skargi, gdy zakwestionowano konstatację organu, jakoby w rozpoznawanym przypadku doszło do bezprawnego ujawnienia danych osobowych w rozumieniu RODO. Chybiona jest jednak argumentacja na potwierdzenie tej tezy.

oraz

W myśl art. 1 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781), dalej jako “ustawa o danych”, jej przepisy stosuje się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w zakresie określonym w art. 2 i 3 RODO, zaś – w myśl art. 1 ust. 2 pkt 4 i 5 tej ustawy – określa ona m.in.: organ właściwy w sprawie ochrony danych osobowych i same reguły postępowania w sprawie naruszenia przepisów o ochronie danych osobowych.

Co najważniejsze – Sąd we wskazanym wyrok pokazuję jak rozumie zakres stosowania RODO przez pryzmat art. 2 ust. 1 RODO:

Same sformułowane przez prawodawcę cele ustanowienia danej regulacji uzasadniają wprawdzie konkluzję, że generalnie RODO ma się przyczynić do lepszej ochrony danych osobowych obywateli państw członkowskich Unii Europejskiej. Rozporządzenie to nie stanowi jednakże aktu, służącemu pełnemu, ramowemu uregulowaniu ochrony praw w danym zakresie. Dotyczy jedynie komponentu danych, które podlegają automatycznemu przetworzeniu bądź mogą podlegać takiemu przetworzeniu, jako baza informacji o osobach.

Konkluzję taką potwierdza wprost treść normatywna przepisów wstępnych RODO. W myśl art. 2 ust. 1, akt ten znajduje zastosowanie wyłącznie “do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych”. Z kolei – wobec art. 4 pkt 6 RODO – zbiór danych to “uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie”.

Oznacza to, że przepisy RODO nie znajdują zastosowania do wszelkich przypadków przetwarzania danych osobowych (formą przetwarzania jest ich ujawnianie – tak art. 4 pkt 3 RODO), lecz tylko gdy chodzi o te, objęte zakresem danej regulacji. Dotyczy to danych przetwarzanych w sposób całkowicie lub częściowo zautomatyzowany, zaś pozostałych tylko, gdy stanowią zbiór lub mogą stanowić część zbioru danych. Z kolei potencjalny zbiór danych to jedynie ich zestaw dostępny według określonych kryteriów. Wskazanej oceny nie zmienia to, że przetwarzanie (w tym ujawnienie) może – w myśl art. 4 pkt 3 RODO – nastąpić automatycznie lub także w inny sposób. Brzmienie danej definicji nie prowadzi do poszerzenia zakresu danych podlegających regułom RODO wedle treści art. 2 ust. 1 – gdy chodzi o dane przetwarzane w sposób inny niż zautomatyzowany to tylko te, stanowiące część zbioru danych lub mające stanowić część zbioru danych, w rozumieniu art. 4 pkt 6 RODO.

 

Co ważne, Sąd podnosi, że:

Odmienne rozumienie przepisów RODO prowadziłoby do trudnych do przypisania racjonalnemu prawodawcy wniosków – jakoby danym rozporządzeniem uregulowano w sposób szczególny wszelkie zasady ochrony danych osobowych, w zakresie, gdzie może to prowadzić m.in. do naruszenia dóbr osobistych. Wobec przyznania w RODO kompetencji rozstrzygania spraw na tym gruncie wyspecjalizowanym organom administracji państw członkowskich (tak art. 58 ust. 2 RODO i odpowiednio art. 34 ust. 2 oraz art. 60 ustawy o danych), oznaczałoby to ukształtowanie alternatywnej drogi ochrony praw przez wszystkie osoby, których dobra osobiste naruszono – ujawniając jakkolwiek równocześnie ich dane osobowe w dowolny sposób.

W rozpoznawanej sprawie są poza sporem jej istotne okoliczności, w tym zakresie, że w skardze do wyspecjalizowanego organu przywołano zdarzenie w postaci pozyskania z systemu teleinformatycznego – z określonej platformy, którą nie zarządzał Burmistrz ([…]) – zapisu korespondencji, gdzie występowały dane osobowe m.in. Wnioskodawcy. Różnica stanowisk między stronami dotyczy natomiast tego, czy było to dopuszczalne.

Konkluzja Sądu jest szalenie istotna:

Przetwarzanie danych w danym przypadku (ich ewentualne ujawnienie) nie jest objęte regułami RODO, determinującym ramy kompetencji do rozstrzygania spraw w trybie administracyjnym. Właściwości organu administracji nie można przy tym wykładać rozszerzająco, wobec treści art. 2 § 3 ustawy z dnia 17 listopada 1964 r. – Kodeks postępowania cywilnego (Dz.U. z 2020, poz. 1575 ze zm.). Wynika zeń, że właściwość organu administracji musi być wskazana wprost. W kwestii ochrony dóbr osobistych – w rozumieniu art. 23 i 24 ustawy – Kodeks cywilny, do których zaliczają się dane osobowe – właściwe są zaś sądy powszechne, co odnotowano zresztą w uzasadnieniu zaskarżonej decyzji.