Ostatnimi dniami Prezes Urzędu Ochrony Danych Osobowych opublikował kila ciekawych decyzji, które wydał na przełomie 2022 r. To, że publikuje je pod koniec września 2023 r. pominę milczeniem.

W omawianej decyzji Prezes UODO nakazał pewnej spółce akcyjnej:

spełnienie wobec Pani M. G., zam. w W., obowiązku informacyjnego określonego w art. 15 ust. 3 rozporządzenia 2016/679 poprzez dostarczenie kopii jej danych osobowych utrwalonych w nagraniach rozmów telefonicznych z konsultantem, uwzględniającej głos Pani M. G.

Organ przedstawił następującą stan faktyczny:

1. Skarżąca wskazała, że zwróciła się do Spółki z żądaniem udostępnienia jej kopii danych osobowych w postaci nagrań rozmów telefonicznych z konsultantami Spółki. Ponieważ odmówiono jej realizacji ww. żądania, zwróciła się z prośbą o interwencję do Prezesa UODO (dowód: pismo Skarżącej z […] września 2020 r.).
2. Spółka oświadczyła, że pozyskała dane Skarżącej bezpośrednio od niej w związku zawarciem w dniu […] marca 2018 r. umowy w sprawie współpracy dotyczącej obsługi  i rozliczania transakcji opłacanych kartami płatniczymi (dowód: wyjaśnienia Spółki  z […] marca 2021 r.).
3. Skarżąca pismem z […] marca 2020 r. zwróciła się do Spółki o udostępnienie nagrania jej rozmowy z konsultantem Spółki z dnia […] września 2019 r. Spółka odpowiedział na ww. wniosek w dniu […] kwietnia 2020 r. wskazując, cyt.: „nie odnajdujemy rozmowy telefonicznej, z numeru telefonu […], przeprowadzonej z Centrum Obsługi Klienta F. D. P. w dniu […].09.2019 r., na którą powołuje się Pani w zgłoszeniu z […].03.2020 r. W związku z tym prosimy o informację, z jakiego numeru telefonu oraz na jaki numer telefonu wykonywała Pani połączenie w dniu […].09.2019 r. w celu uzyskania informacji o sposobie wypowiedzenia umowy”.
4. W związku z powyższym Skarżąca pismem z […] maja 2020 r. ponownie zwróciła się o udostępnienie ww. nagrania (nie wskazując żądanych przez Spółkę informacji dodatkowych). Spółka odpowiedziała na ww. korespondencję […] lipca 2020 r. ponownie informując, że nie odnajduje ww. rozmowy oraz ponownie żądając od Skarżącej wskazania dodatkowych informacji. Skarżąca pismem z […] lipca 2020 r. zwróciła się do Spółki z następującym żądaniem: „proszę o udostępnienie nagrań wszystkich przeprowadzonych przeze mnie rozmów z numeru telefonu […] na wszystkie Państwa infolinie w terminie od 2019-07-[…] do 2019-12-[…]”. Spółka odpowiedziała na ww. korespondencję […] sierpnia 2020 r. wskazując, że cyt.: „zostały odsłuchane wszystkie dostępne rozmowy z naszymi konsultantami.
5. Rozmowa z dnia […].09.2019 r. dotyczyła terminu płatności faktur oraz postepowania windykacyjnego wobec Pani firmy. Kolejna rozmowa z dnia […].10.2019 r. dotyczyła potwierdzenia faktu rozwiązania Umowy z […].03.2018 r. Dwie kolejne rozmowy, obydwie z […].01.2020 r. dotyczyły prowadzonej windykacji przez firmę E. K. P. Sp. z o.o. Została Pani poinformowana, iż została wystawiona nota obciążeniowa za wcześniejsze wypowiedzenie Umowy (…). Jednoczenie informujemy, iż nie udostępniamy nagranych rozmów ze względu na bezpieczeństwo danych”.

Według Prezesa UODO:

materiał dowodowy zgromadzony w niniejszej sprawie wykazał, że Skarżąca kilkukrotnie zwracała się do Spółki o wydanie kopii treści nagrań jej rozmów telefonicznych z konsultantem Spółki (tj. w dniach: […] marca 2020 r., […] maja 2020 r., […] lipca 2020 r. oraz […] sierpnia 2020 r.), w tym w piśmie z dnia […] sierpnia 2020 r. powołując się na art. 15 rozporządzenia 2016/679.

do powyższego Spółka ustosunkowała się przesyłając Skarżącej w formie tekstowej treść  jej danych osobowych przetwarzanych przez Spółkę, jednocześnie odmawiając przesłania wnioskowanych nagrań z rozmów telefonicznych z konsultantem Spółki z uwagi na bezpieczeństwo danych (pkt 3 stanu faktycznego).

w wyjaśnieniach zaś Spółka zarzuciła skardze bezzasadność twierdząc, że rozmowa o którą chodzi Skarżącej nie zawiera jej danych osobowych.

mając na uwadze powyższe należy wskazać, że sposób realizacji przez Spółkę obowiązku informacyjnego z art. 15 ust. 3 rozporządzenia 2016/679 nie uwzględnił okoliczności, że w wyniku przechowywania nagrań z rozmów telefonicznych z […] października 2019 r. oraz […] stycznia 2020 r. przetwarza ona dane osobowe także w zakresie głosu Skarżącej.

W uzasadnieniu decyzji wskazano także, że:

Tymczasem Spółka w realizacji powyższego obowiązku nie uwzględniła wśród danych osobowych Skarżącej przetwarzanych w związku z rozmowami telefonicznymi z […] października 2019 r. oraz  z […] stycznia 2020 r. jej głosu.

Spółka zarówno w toku korespondencji ze Skarżącą, jak i w treści wyjaśnień jako przyczynę odmowy podnosiła, że ujawnienie wnioskowanych nagrań wpłynęłoby niekorzystnie na prawa innych osób (zgodnie z art. 15 ust. 4 rozporządzenia 2016/679). Artykuł 15 ust. 4 rozporządzenia 2016/679 wymaga, aby realizacja żądania podmiotu danych odbywała się  z poszanowaniem praw i wolności osób postronnych.

W kompetencji administratora leży bowiem ocena, czy udostępnienie danych osobowych Skarżącej w postaci nagrań z rozmów telefonicznych nie będzie negatywnie wpływać na prawa i wolności innych osób. Uznanie, że do takiego wpływu dochodzi nie może jednak stać się podstawą do pozbawienia podmiotu danych możliwości realizacji jego uprawnień wynikających z art. 15 ust. 3 rozporządzenia 2016/679.

Według organu nadzorczego:

Wskazany przepis, wyznaczając granicę między uprawnieniami wnioskodawcy a prawami osób trzecich,  ma służyć ochronie tych osób trzecich w przypadku, kiedy ich dane osobowe znajdują się  w źródłach, których kopii żąda dana osoba – nie może być zaś traktowany jako ograniczenie uprawnień osoby żądającej realizacji praw wynikających z przepisów prawa.

stwierdzenie, że udostępnienie kopii danych może powodować naruszenie praw i wolności osób trzecich skutkuje natomiast obowiązkiem administratora do wyeliminowania tych informacji, których udostępnienie w związku z ich przekazaniem wnioskodawcy mogłoby naruszać prawa osób postronnych  – w przypadku nagrania z rozmowy telefonicznej na przykład poprzez anonimizację głosu tych osób, utrwalonego na nagraniu.

dodatkowo podkreślić należy istnienie darmowych rozwiązań (programów) dających możliwość usunięcia (wyciszenia) dźwięku z nagrań audio.

WSA w Warszawie opublikował uzasadnienie swojego orzeczenia z listopada 2022 r., w którym oddalił skargę pewnego Banku na decyzję Prezesa UODO nakazującą zawiadomienie, w terminie 3 dni, ponad 10 000 pracowników o zaistniałym naruszeniu ochrony danych osobowych i nakładającym administracyjną karę pieniężną w wysokości 545 748 zł. 

Naruszenie polegało na posiadaniu przez byłego pracownika Banku, któremu nie odebrano po zakończeniu stosunku pracy dostępu do Platformy Usług Elektronicznych […] ([…]), nieuprawnionego dostępu do tejże platformy, w wyniku czego mógł on przeglądać znajdujące się na profilu płatnika […] S.A. dane pracowników Banku w zakresie ich imion i nazwisk, nr PESEL, adresu zamieszkania lub pobytu oraz informacji o zwolnieniach lekarskich stanowiących dane dotyczące zdrowia.

Prezes UODO prowadząc postępowanie ustalił, że ów były pracownik Banku korzystał ze swoich uprawnień i logował się pięciokrotnie do platformy […] (w następujących terminach: 2020-06-30, godz. 21:09:54; 2020-06-30, godz. 21:00:42; 2020-06-30, godz. 21:02:37; 2020-10-26, godz. 22:01:27; 2021-02-03, godz. 20:50:14), zyskując tym samym nieuprawniony wgląd w dane osobowe pracowników Banku. Organ nie ustalał zaś obszarów, które były przeglądane przez nieuprawnioną osobę ani tego, do jakich konkretnie danych i dotyczących ilu pracowników osoba ta uzyskała dostęp w trakcie logowań na profil płatnika […] S.A. na platformie […].

Sąd wskazał, że:

postępując zgodnie z prawem i wykazując dbałość o interesy osób, których dane dotyczą, administrator musi bez zbędnej zwłoki zapewnić osobom, których dane dotyczą, możliwość jak najlepszej ochrony danych osobowych. Dla osiągnięcia tego celu niezbędne jest przynajmniej wskazanie tych informacji, które wymienione są w art. 34 ust. 2 rozporządzenia 2016/679;

stosując przepisy rozporządzenia 2016/679, należy mieć na uwadze, że głównym celem tego rozporządzenia (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły);

odnosząc przywołane regulacje do stanu faktycznego sprawy jako uprawniona jawiła się konkluzja, że organ poprawnie ustalił fakt naruszenia ochrony danych osobowych, o którym administrator danych powinien powiadomić osoby, których danych dotyczyło owo naruszenie. Okolicznością niesporną jest przecież to, że były pracownik Banku, po zakończeniu stosunku zatrudnienia, posiadał nadal możliwość logowania się do platformy […] a poprzez to posiadał dostęp do danych pracowników Banku w zakresie ich imion i nazwisk, nr PESEL, adresu zamieszkania lub pobytu oraz informacji o zwolnieniach lekarskich stanowiących dane dotyczące zdrowia;

poza sporem była też okoliczność, że ów były pracownik Banku skorzystał z tego nieuprawnionego przywileju i logował się pięciokrotnie do platformy […] (w następujących terminach: 2020-06-30, godz. 21:09:54; 2020-06-30, godz. 21:00:42; 2020-06-30, godz. 21:02:37; 2020-10-26, godz. 22:01:27; 2021-02-03, godz. 20:50:14), zyskując tym samym nieuprawniony wgląd w dane osobowe pracowników Banku.

Nadto według Sądu:

z powyższego organ w sposób uprawniony wywiódł, że sama możliwość nieograniczonego dostępu przez byłego pracownika Banku, do wielce wrażliwych danych znajdujących się na platformie […], które to dane dotyczyły aż 10 500 osób, powoduje istnienie wysokiego ryzyka dla praw i wolności osób, których danych mógł dotyczyć ten nieuprawniony dostęp. O wysokim ryzyku świadczy bowiem nie tylko zakres danych zgromadzonych na platformie […], ale też bardzo długi czas w jakim Bank tolerował omawiany nieuprawniony dostęp do tych danych byłemu pracownikowi, jak też oczywiście liczba osób dotkniętych potencjalnym naruszeniem ich danych osobowych.

skoro więc zaistniało wysokie ryzyko dla praw i wolności osób, organ miał bezwzględny obowiązek dokonać zawiadomienia o jakim mowa w art. 34 RODO.

na marginesie niejako należało dodać, że Bank w sposób niewłaściwy odwołuje się do prawno-karnego pojęcia zamiaru bezpośredniego czy ewentualnego. W realiach prawnych niniejszej sprawy nie jest bowiem konieczne ustalenie, że administrator danych umyślnie zaniechał omawianego zawiadamiania dla dokonania czynu zabronionego (czego z resztą organ nigdy nie suponował Bankowi). Dla rozstrzygnięcia skargi wystarczy ustalenie, że będąc nawet w błędzie co do braku wystąpienia wysokiego ryzyka, administrator danych nie dokonał stosownego zawiadomienia;

Ostatecznie Sąd wskazał, że:

przechodząc do oceny motywów nałożenia administracyjnej kary pieniężnej wyjaśnić należało, że czynność organu w ww. zakresie należy do kategorii tzw. uznania administracyjnego. Stąd jej ocena ograniczona jest do badania, czy uzasadnienie dla zastosowania omawianego środka zostało sporządzone w sposób wyczerpujący i przekonujący;

zasadne były też wnioski organu o braku zadawalającej współpracy z Bankiem skoro do poprawnego zawiadomienia osób, których dotyczyło sporne naruszenie doszło dopiero po wydaniu skarżonej decyzji (pomimo uwag organu artykułowanych już na początku trwania postępowania administracyjnego).

od powzięcia przez Bank informacji o naruszeniu ochrony danych osobowych, generującego wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a tym samym skutkującego koniecznością zawiadomienia o naruszeniu osób, których dane dotyczą tj. […] lutego 2021 r. do dnia wydania niniejszej decyzji upłynęło 11 miesięcy, w trakcie których ryzyko naruszenia praw lub wolności osób dotkniętych naruszeniem mogło się zrealizować, a czemu osoby te nie mogły przeciwdziałać ze względu na niewywiązanie się przez Bank z obowiązku powiadomienia osób, których dane dotyczą, o naruszeniu. Dodatkowo za okoliczność obciążającą uznać należy fakt, iż naruszenie, polegające na niezawiadomieniu osób o naruszeniu ochrony ich danych osobowych, obejmowało dane 10 500 osób.

Sprawa będąca u podstaw czerwcowego orzeczenia NSA miała swój początek w skardze Obywatela na pewne nieprawidłowości dotyczące niewypełnienia wobec niego obowiązku informacyjnego, który to wniosek został wniesiony do GIODO w 2014 r.

Tak. W 2014 r.

W 2016 r. GIODO uwzględnił skargę Obywatela. Od tego rozstrzygnięcia administrator danych złożył wniosek o ponowne rozpoznanie sprawy.

Już nie GIODO, a Prezes UODO wydał decyzję utrzymującą w mocy skarżone rozstrzygnięcie.

Miało to miejsce w styczniu 2019 r.

Prezes UODO w decyzji z 2019 r. powołała się zarówno na art. 18 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz na art. 12 w związku z art. 15 ust. 1 lit. c) RODO.

Takie działanie uzasadnił treścią art. 160 ust. 1 i 2 ustawy o ochronie danych osobowych z dnia 10 maja 2018 r.

Wskazywał także, że:

z dniem wejścia w życie ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000 ze zm.), tj. 25 maja 2018 r. Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej Prezes UODO, na podstawie uodo z 1997 zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096), (zwanej dalej Kpa).

Wszelkie czynności podejmowane przez Generalnego Inspektora Ochrony Danych Osobowych przed 25 maja 2018 r. pozostają skuteczne. Z dniem 25 maja 2018 r. utraciły moc przepisy uodo 1997 i obecnie obowiązek informacyjny z art. 32 i 33 uodo 1997 należy rozpatrywać na podstawie przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2 ze zm.), zwanego dalej RODO.

Prezes UODO wydając decyzję administracyjną zobowiązany jest do rozstrzygania w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji.

WSA w Warszawie wyrokiem z listopada 2019 r. uchyliło zaskarżoną przez administratora danych decyzję Prezesa UODO. 

Sąd I instancji wskazał, że:

jeśli chodzi o zakres przedmiotowy przywołanej regulacji (art. 160 ust. 1 i ust. 2 uodo 2018 – przypis P.L.), to jest on ze wszech miar oczywisty. Dotyczy bowiem niewątpliwie spraw, w których postępowanie zainicjowano przed konkretną datą, i które nadal znajdują się w toku tj. nie zostały zakończone prawomocną decyzją.

zgodnie z treścią w/powołanego przepisu, postępowanie w sprawach wszczętych a nie zakończonych przed dniem wejścia w życie niniejszej ustawy, prowadzi się na podstawie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych.

przenosząc powyższe na realia faktyczne niniejszej sprawy wskazać należało, iż organ wydając skarżoną decyzję uchybił normie art. 160 ust. 2 ustawy z 10 maja 2018 r. o ochronie danych osobowych. Decyzję oparł bowiem m.in. na normie art. 15 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (…). Tego typu działanie było zaś nieuprawnione.

przepisy intertemporalne ustawy z 10 maja 2018 r. o ochronie danych osobowych nie dopuszczają możliwości, by w sprawie w której postępowanie zostało zainicjowane przed 25 maja 2018 r. (co w niniejszej sprawie jest niesporne), i nie zostało zakończone przed 25 maja 2018 r. (co w niniejszej sprawie także nie budzi sporu), organ procedował w oparciu o przepisy ustawy z 10 maja 2018 r. lub łącznie o przepisy ustawy zarówno z 10 maja 2018 r., jak i z 29 sierpnia 1997 r.

nie wyjaśnił zwłaszcza tego, czy w jego mniemaniu określenie “informacja o odbiorcach lub kategoriach odbiorców”, jest tożsame z określenie użytym w dawnej ustawie o ochronie danych osobowych “w jakim zakresie i komu dane zostały udostępnione”.

bez zaś wyjaśnienia przez organ powyższych różnic, skarżone rozstrzygnięcie jawi się dodatkowo jako niepełne i nie poddające się kontroli sądowej. Nie znając bowiem sposobu rozumowania organu odnośnie powyższej materii, Sąd nie mógł dokonać oceny poprawności tego rozumowania a w konsekwencji także trafności samego rozstrzygnięcia.

Jeszcze dosadniej wskazał NSA oddalając skargę kasacyjną Prezesa UODO:

zdaniem Naczelnego Sądu Administracyjnego zarzut naruszenia art. 145 § 1 pkt 1 lit. c) p.p.s.a. w związku z art. 160 ust. 2 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) dalej jako u.o.d.o., nie jest trafny, bowiem Sąd I instancji dokonał prawidłowej wykładni art. 160 ust. 2 u.o.d.o. i prawidłowo przyjął, że w określonych w tym przepisie postępowaniach wszczętych i niezakończonych przed wejściem w życie u.o.d.o. tj. przed 25 maja 2018 r. mają zastosowanie wszystkie przepisy ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych, zarówno o charakterze procesowym jak i materialnoprawnym;

nie można się zgodzić ze stanowiskiem organu, że w kontrolowanym postępowaniu znajdują zastosowanie jedynie przepisy ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych o charakterze procesowym (dalej u.o.d.o. z 1997 r.). Zatem Sąd I instancji prawidłowo, na podstawie art. 145 § 1 pkt 1 lit. c) p.p.s.a. uchylił zaskarżoną decyzję;

Zdaniem Naczelnego Sądu Administracyjnego wykładnia tego przepisu wskazuje na to, że w postępowaniach wszczętych pod rządami ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych, które nie zostały prawomocnie zakończone do czasu uchylenia tej ustawy, należy stosować przepisy u.o.d.o. z 1997 r. i to zarówno w zakresie podejmowanych czynności proceduralnych, jak i materialnoprawnej oceny zdarzeń będących przedmiotem postępowania;

na gruncie niniejszej sprawy nie budzi wątpliwości Naczelnego Sądu Administracyjnego, że zdarzenie prawne będące przedmiotem oceny materialnoprawnej Prezesa UODO, tj. wniosek informacyjny i odpowiedź na ten wniosek, miało miejsce przed 25 maja 2018 r. a więc w czasie gdy obowiązywała ustawa o ochronie danych osobowych z 1997 r.;

trudno zgodzić się ze stanowiskiem skarżącego kasacyjnie organu, że stan naruszenia związany z ocenianym zdarzeniem, trwał do chwili rozpoczęcia stosowania w polskim porządku prawnym nowych regulacji, co miałoby uzasadniać zastosowanie w sprawie nowych przepisów;

podsumowując, wniosek informacyjny i odpowiedź na ten wniosek to zdarzenia, które zaszły przed 25 maja 2018 r. Wbrew twierdzeniom organu zdarzenie prawne będące przedmiotem oceny Prezesa UODO było zdarzeniem, które zakończyło się przed wszczęciem postępowania administracyjnego;

zatem podlega ona ocenie organu z punktu widzenia jej zupełności, wedle przepisów obowiązujących na dzień tego zdarzenia, a nie według przepisów nowych, obowiązujących kilka lat później. Wnioskodawca wnosił o udzielenie informacji będąc do tego uprawniony na podstawie przepisów obowiązujących w dniu złożenia wniosku;

nie sposób zatem oceniać tego czy ten wniosek został zrealizowany, według kryteriów wynikających z przepisów, które jeszcze nie obowiązywały w chwili jego realizacji. Kryteria te nie były znane zarówno wnioskodawcy jak i podmiotowi zobowiązanemu;

ocena realizacji wniosku opartego na uprawnieniu wynikającym z przepisów u.o.d.o. z 1997 r., w oparciu o prawo materialne, tj. przepisy RODO i to konsekwentnie zarówno co do zakresu uprawnienia informacyjnego (który jest inny niż w u.o.d.o. z 1997 r.) jak i jego ewentualnych ograniczeń, jest nie do przyjęcia;

zatem kontynuacja niniejszego postępowania (tj. wszczętego i niezakończonego przed wejściem w życie nowych regulacji) w oparciu o nowe przepisy, nakładające na ich adresatów obowiązki, których nie przewidywały przepisy pod rządami, których postępowanie zostało wszczęte, prowadziłaby do naruszenia konstytucyjnej zasady zaufania do państwa i stanowionego przez niego prawa oraz zasady ochrony interesów w toku, wynikających z art. 2 i art. 7 Konstytucji RP.

Naczelny Sąd Administracyjny nie pozostawił suchej nitki na orzeczeniu Wojewódzkiego Sądu Administracyjnego w Warszawie z lutego 2021 r., który dotyczył skargi spółki z o.o. na bezczynności Prezesa UODO. 

Pewna spółka w dawnych czasach, bo w kwietniu 2018 r. skierowała do GIODO, a dokładniej do Departamentu Orzecznictwa, Legislacji i Skarg wniosek o udzielenie informacji publicznej w zakresie:

stosowania ustawy z dnia 20 sierpnia 1997 r. o ochronie danych osobowych, a dokładnie “czy zasady działania interfejsu Two-Way, narzucone przez B. INC (zwanym dalej: Franczyzodawcą), przy pomocy którego Franczyzodawca pobierał dane osobowe (imię i nazwisko) wszystkich Gości hotelowych i przekazywał je za granicę (poza Europejski Obszar Gospodarczy), bez zgody i wiedzy M. Sp. z o.o. oraz samych Gości hotelowych jest zgodny z obowiązującymi przepisami prawa;

franczyzodawca nie uwzględnił w interfejsie Two-Way faktu, że Gość hotelowy może nie wyrazić zgody na przetwarzanie jego danych osobowych przez podmioty trzecie oraz na transfer ich za granicę”. W uzasadnieniu podkreślono, że obowiązek skarżącego, wynikający z zawartej umowy licencyjnej między nim a B. INC, w zakresie przekazywania do państwa trzeciego danych osobowych osób korzystających z usług hotelu jest w opinii skarżącego niezgodny z przepisami prawa, w związku z czym konieczne było wystąpienie z przedmiotowym wnioskiem.

WSA w Warszawie wyrokiem lutego 2021 r., po rozpatrzeniu sprawy ze skargi Spółki na bezczynność Prezesa Urzędu Ochrony Danych Osobowych (organ lub Prezes UODO):

zobowiązał Prezesa UODO do rozpoznania wniosku M. Sp. z o.o. z siedzibą w K. z dnia 5 kwietnia 2018 r. w terminie 30 dni od daty doręczenia prawomocnego wyroku wraz z aktami sprawy;

stwierdził, że bezczynność organu nie miała miejsca z rażącym naruszeniem prawa;

zasądził od organu na rzecz skarżącego zwrot kosztów postępowania sądowego.

Zupełnie nie dziwne, że Prezes UODO nie zgadzał się z takim orzeczenim i złożył skargę kasacyjną. Jak widać był to słuszny ruch.

NSA jasno wskazał, że nie powinno zaistnieć w obrocie prawnym orzeczenia WSA, gdyż:

w niniejszej sprawie wystąpiła przesłanka określona w art. 183 § 2 pkt 1 p.p.s.a., zgodnie z którą nieważność postępowania zachodzi, jeżeli droga sądowa była niedopuszczalna. Niedopuszczalność drogi sądowoadministracyjnej może mieć miejsce zarówno z przyczyn przedmiotowych, jak i podmiotowych.

przyczyny przedmiotowe obejmują, m.in. prowadzenie postępowania sądowoadministracyjnego w sprawach, które nie są objęte właściwością sądu administracyjnego. Z tego punktu widzenia kluczową kwestią jest ocena charakteru pisma z dnia 5 kwietnia 2018 r. i stwierdzenie, czy złożenia przedmiotowego pisma wszczynało postępowanie administracyjne, które wiązało się z podjęciem odpowiednich działań przez Prezesa UODO, którego bezczynność zaskarżył skarżący.

Podkreślenia wymaga, że Wojewódzki Sąd Administracyjny w Warszawie, któremu przekazano sprawę do ponownego rozpoznania, został zobowiązany przez Naczelny Sąd Administracyjny w postanowieniu z dnia 22 września 2020 r., do gruntowanej analizy charakteru prawnego pisma z dnia 5 kwietnia 2018 r., jako kluczowego w niniejszej sprawie. Sąd I instancji rozpoznając ponownie skargę na bezczynność skarżącego doszedł do błędnego przekonania, że treść kolejnych pism złożonych przez skarżącego może wpłynąć na ocenę treści pisma z dnia 5 kwietnia 2018 r. jako skargi na naruszenie przepisów o ochronie danych osobowych.

Nadto NSA podkreślił, że:

Z treści pisma z dnia 5 kwietnia 2018 r. złożonego przez skarżącego do Generalnego Inspektora Ochrony Danych Osobowych wynika, że skarżący wnosi o udzielenie informacji dotyczącej interpretacji konkretnej sytuacji względem przepisów o ochronie danych osobowych.

Z pisma nie wynika w żadnym wypadku żądanie podjęcia interwencji po stronie organu, zatem należy uznać, że pismo to jest wnioskiem o udzielenie wykładni przepisów dotyczących ochrony danych osobowych. Wniosek ten, jak zasadnie wskazał organ, nie wszczynał jednak postępowania administracyjnego. Na dzień złożenia pisma dla określenia obowiązków Prezesa UODO znaczenie miały dwa akty prawne – ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2019 r, poz. 1781.) – dalej u.o.d.o. oraz rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z dnia 4 maja 2016 r., str. 1 oraz Dz. Urz. UE L 127 z dnia 23 maja 2018 r.) – dalej rozporządzenie 2016/679.

Na podstawie żadnej z powyższych regulacji Prezes UODO nie był zobligowany do udzielania porad lub sporządzania opinii prawnych w sprawach z kierowanych do niego pism, a takiego działania zgodnie z powyższymi rozważaniami zażądał skarżący wnioskiem z dnia 5 kwietnia 2018 r. Sprawa informacji “w zakresie stosowania prawa” rozumianej jako informacja o tym, czy zachowanie określonego podmiotu jest zgodne z przepisami określonej ustawy nie należy do właściwości sądu administracyjnego.

W tym orzeczeniu WSA w Warszawie oddalił skargę Rzecznika Praw Obywatelskich na postanowienie Prezesa Urzędu Ochrony Danych Osobowych z listopada 2022 r.

Prezes UODO przywołując art. 61a § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz.U. z 2022 r., poz. 2000 ze zm.), zwanej dalej “K.p.a.” – odmówiono wszczęcia postępowania w przedmiocie naruszenia przepisów o ochronie danych osobowych – dotyczącego przetwarzania danych osobowych p. K. K., zwanego dalej “Obywatelem”, w związku z publicznym udostępnieniem jego wizerunku w formie nagrań w tzw. patostreamach – wobec żądania z […] października 2022 r. Rzecznika Praw Obywatelskich, zwanego dalej “Rzecznikiem”.

Ten organ nadzorczy argumentował swoje postanowienie m. in.:

zgodnie z art. 61 § 1 K.p.a. postępowanie administracyjne wszczyna się na żądanie strony lub z urzędu; z kolei – zgodnie z art. 61 § 2 K.p.a. – organ administracji publicznej może ze względu na szczególnie ważny interes strony wszcząć z urzędu postępowanie także w sprawie, w której przepis prawa wymaga wniosku strony; organ obowiązany jest uzyskać na to zgodę strony w toku postępowania, a – w razie nieuzyskania zgody – postępowanie umorzyć;

zgodnie z art. 14 pkt 6 ustawy z dnia 15 lipca 1987 r. o Rzeczniku Praw Obywatelskich (Dz.U. z 2020 r. poz. 627 ze zm.), zwanej dalej “ustawą o Rzeczniku”, po zbadaniu sprawy Rzecznik może zwrócić się o wszczęcie postępowania administracyjnego, wnosić skargi do sądu administracyjnego, a także uczestniczyć w tych postępowaniach – na prawach przysługujących prokuratorowi;

postępowanie w przedmiocie naruszenia przepisów o ochronie danych osobowych w sytuacji publicznego udostępnienia wizerunku Obywatela w formie nagrań w tzw. patostreamach można więc – co do zasady – wszcząć wyłącznie na żądanie Obywatela; jest to szczególny rodzaj postępowania, gdzie przepis prawa wymaga wniosku strony; postępowanie w sprawie naruszenia przepisów o. ochronie danych osobowych prowadzi wyspecjalizowany organ – tak: art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781); w sprawach nieuregulowanych tą ustawą do postępowań administracyjnych stosuje się K.p.a. (tak jej art. 7 ust. 1);

Zarzuty Rzecznika koncentrują się wokół kwestii, czy organ – wobec wpływu konkretnego żądania – właściwie uznał, że możliwe jest wydanie postanowienia o odmowie wszczęcia postępowania.

Wskazywano na dominujące w judykaturze stanowisko, wedle którego wpływ wniosku prokuratora, złożonego w myśl art. 182 K.p.a. – a więc analogicznie Rzecznika (wobec treści art. 14 pkt 6 ustawy o Rzeczniku) – stanowi termin wszczęcia postępowania z urzędu.

Należy więc stąd wnosić, że postępowanie z urzędu przed innym organem wszczyna się niejako automatycznie – wobec stosownego żądania.

Równocześnie jednak – co trafnie odnotowuje organ – w doktrynie prezentowane jest trafne stanowisko, że nie jest możliwe skuteczne wszczęcie postępowania z urzędu wnioskiem uprawnionego organu, gdy istnieją formalne przeszkody dla jego prowadzenia – np. brak kompetencje organu do prowadzenia danej sprawy.

Nie sposób wobec tego wykluczyć a priori przypadku, gdy – pomimo wniosku uprawnionego organu – prowadzenie postępowania nie byłoby możliwe.

Wedle stanowiska skargi – jak można wnosić – skoro wniosek uruchamia postępowanie należałoby wówczas je umorzyć (w myśl art. 61 § 2 zd. 2 lub art. 105 § 1 K.p.a. – z innych przyczyn).

Sąd wskazał, że:

nie podziela natomiast formułowanego także w doktrynie stanowiska, jakoby – co do zasady – prokurator bądź odpowiednio Rzecznik nie mogli w ogóle wnosić skutecznie o wszczęcie postępowań z urzędu, gdy dla ich prowadzenia wymagana byłaby zgoda strony.

idąca w tym kierunku wykładnia systemu regulacji prowadziłaby do bezzasadnego – nieznajdującego racjonalnych oparcia w akceptowalnym systemie aksjologicznym – ograniczenia uprawnień procesowych Rzecznika bądź prokuratora, które służą w istocie ochronie praw obywatelskich.

w rozpoznawanej sprawie przywołaną przeszkodą dla procedowania był jednak brak adresu Obywatela, którego zgoda byłaby wymagana. Twierdził też, że jego ustalenie nie jest wręcz możliwe, co jednak nie ma znaczenia w sprawie, skoro wykraczało poza powinność danego organu. Sąd w tym składzie nie podziela też wyrażanego w judykaturze stanowiska, jakoby – w razie inicjowania przez Rzecznika postępowania przed innym organem, które generalnie wszczyna się na wniosek zainteresowanych – to Rzecznik obowiązany był do przedłożenia zgody osoby zainteresowanej, pod rygorem umorzenia postępowania (tak wyrok w WSA o sygn. akt II SA/Wa 778/21 – dostępny w CBOSA). Gdy nie ma ku temu przeszkód – np. wobec braku adresu osoby potencjalnie zainteresowanej – organ może wobec żądania Rzecznika samodzielnie zwrócić się o zgodę.

Również istotne jest nastepujące stanowisko Sądu:

trafnie wywiódł organ, że postępowanie w myśl art. 77 RDOO można prowadzić jedynie wobec skutecznego wniosku osoby zainteresowanej w sprawie;

mogłaby przy tym znaleźć zastosowanie – ustanowiona prawem szczebla krajowego, reguła art. 61 § 2 K.p.a. – instytucja wszczęcia postępowania wnioskowego z urzędu na rzecz strony – gdyby organ dysponował zgodą zainteresowanego. W danym przypadku taki przypadek nie wystąpił.

Jedno z najnowszych orzeczeń Trybunału Sprawiedliwości Unii Europejskie jest szalenie istotne dla podmiotów prowadzących postępowania administracyjne, w trakcie którego miano by wykorzystywać dane zatrzymywane przez dostawców usług łączności elektronicznej, które mogą dostarczać informacji o danych użytkownika środków łączności elektronicznej i o połączeniach realizowanych przez takiego użytkownika.

Niech tym razem wprowadzeniem do orzeczenia będzie przytoczenie przepisów krajowych – tak, aby sprowadzić trochę omawianą sprawę na ziemię.

Zgodnie z postanowieniami dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywy o prywatności i łączności elektronicznej), zmienionej dyrektywą Parlamentu Europejskiego i Rady 2009/136/WE z dnia 25 listopada 2009 r.:

Artykuł 5

Poufność komunikacji

1. Państwa Członkowskie zapewniają, poprzez ustawodawstwo krajowe, poufność komunikacji i związanych z nią danych o ruchu za pośrednictwem publicznie dostępnej sieci łączności i publicznie dostępnych usług łączności elektronicznej. W szczególności zakazują słuchania, nagrywania, przechowywania lub innych rodzajów przejęcia lub nadzoru komunikatu i związanych z nim danych o ruchu przez osoby inne niż użytkownicy, bez zgody zainteresowanych użytkowników, z wyjątkiem upoważnienia zgodnego z art. 15 ust. 1. Niniejszy ustęp nie zabrania technicznego przechowywania, które jest niezbędne do przeka- ( zania komunikatu bez uszczerbku dla zasady poufności. 1) Dz.U. L 108 z 24.4.2002, str. 33. 520 PL Dziennik Urzędowy Unii Europejskiej 13/t. 29

2. Ustęp 1 nie dotyczy jakichkolwiek przypadków prawnie dozwolonego rejestrowania komunikatów i związanych z nimi danych o ruchu stosowanego w zgodnej z prawem praktyce handlowej do celów zapewnienia dowodów transakcji handlowej lub do celów łączności w działalności handlowej.

3. Państwa członkowskie zapewniają, aby przechowywanie informacji lub uzyskanie dostępu do informacji już przechowywanych w urządzeniu końcowym abonenta lub użytkownika było dozwolone wyłącznie pod warunkiem że dany abonent lub użytkownik wyraził zgodę zgodnie z dyrektywą 95/46/WE po otrzymaniu jasnych i wyczerpujących informacji, między innymi o celach przetwarzania. Nie stanowi to przeszkody dla każdego technicznego przechowywania danych ani dostępu do nich jedynie w celu wykonania transmisji komunikatu za pośrednictwem sieci łączności elektronicznej, lub gdy jest to ściśle niezbędne w celu świadczenia usługi przez dostawcę usługi społeczeństwa informacyjnego, wyraźnie zażądanej przez abonenta lub użytkownika.

Artykuł 6

Dane o ruchu

1. Dane o ruchu dotyczące abonentów i użytkowników przetwarzane i przechowywane przez dostawcę publicznej sieci łączności lub publicznie dostępnych usług łączności elektronicznej muszą zostać usunięte lub uczynione anonimowymi, gdy nie są już potrzebne do celów transmisji komunikatu, bez uszczerbku dla przepisów ust. 2, 3 i 5 niniejszego artykułu oraz art. 15 ust. 1.

2. Można przetwarzać dane o ruchu niezbędne do celów naliczania opłat abonenta i opłat rozliczeń międzyoperatorskich. Przetwarzanie takie jest dozwolone tylko do końca okresu, w którym rachunek może być zgodnie z prawem zakwestionowany lub w którym należy uiścić opłatę.

Artykuł 9

Dane dotyczące lokalizacji inne niż dane o ruchu

1. W przypadku gdy dane dotyczące lokalizacji inne niż dane o ruchu, odnoszące się do użytkowników lub abonentów publicznych sieci łączności lub publicznie dostępnych usług łączności elektronicznej, mogą być przetwarzane, przetwarzanie może mieć miejsce tylko wówczas gdy dane te są anonimowe, lub za zgodą użytkowników lub abonentów, w zakresie i przez okres niezbędny do świadczenia usługi tworzącej wartość dodaną. Przed uzyskaniem zgody użytkowników lub abonentów dostawca usług musi ich poinformować o rodzaju danych dotyczących lokalizacji innych niż dane o ruchu, które będą przetwarzane, o celach i okresie ich przetwarzania oraz o tym, czy dane zostaną przekazane stronie trzeciej do celów świadczenia usługi tworzącej wartość dodaną. Użytkownicy lub abonenci mają możliwość odwołania w każdej chwili swojej zgody na przetwarzanie danych dotyczących lokalizacji innych niż dane o ruchu.

2. W przypadku gdy uzyskana została zgoda użytkowników lub abonentów na przetwarzanie danych dotyczących lokalizacji innych niż dane o ruchu, użytkownik lub abonent musi nadal posiadać możliwość, w sposób prosty i wolny od opłat, czasowego odwołania zgody na przetwarzanie tych danych w przypadku każdego połączenia z siecią lub każdej transmisji komunikatu.

3. Przetwarzanie danych dotyczących lokalizacji innych niż dane o ruchu, zgodnie z ust. 1 i 2, musi być ograniczone do osób działających z upoważnienia dostawcy publicznej sieci łączności lub publicznie dostępnych usług łączności elektronicznej lub strony trzeciej świadczącej usługę tworząc a wartość dodaną oraz musi być ograniczone do celów niezbędnych do świadczenia usługi tworzącej wartość dodaną.

I te powyższe zabezpieczenia naszego prawa do zachowania w tajemnicy powyższych informacji mogą zostać ograniczone przez przepisy krajowe na podstawie art. 15 dyrektywy 2002/58/WE:

Artykuł 15

Stosowanie niektórych przepisów dyrektywy 95/46/WE

1. Państwa Członkowskie mogą uchwalić środki ustawodawcze w celu ograniczenia zakresu praw i obowiązków przewidzianych w art. 5, 6, art. 8 ust. 1–4, i art. 9 tej dyrektywy, gdy takie ograniczenia stanowią środki niezbędne, właściwe i proporcjonalne w ramach społeczeństwa demokratycznego do zapewnienia bezpieczeństwa narodowego (i.e. bezpieczeństwa państwa), obronności, bezpieczeństwa publicznego oraz zapobiegania, dochodzenia, wykrywania i karania przestępstw kryminalnych lub niedozwolonego używania systemów łączności elektronicznej, jak określono w art. 13 ust. 1 dyrektywy 95/46/WE. W tym celu, Państwa Członkowskie mogą, między innymi, uchwalić środki ustawodawcze przewidujące przechowywanie danych przez określony czas uzasadnione na podstawie zasad ustanowionych w niniejszym ustępie. Wszystkie środki określone w niniejszym ustępie są zgodne z ogólnymi zasadami prawa wspólnotowego, w tym zasadami określonymi w art. 6 ust. 1 i 2 Traktatu o Unii Europejskiej.

1a. Ustępu 1 nie stosuje się do danych, których zatrzymywanie jest wyraźnie wymagane na mocy dyrektywy 2006/24/WE Parlamentu Europejskiego i Rady z dnia 15 marca 2006 r. w sprawie zatrzymywania danych wygenerowanych lub przetworzonych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności (1) dla celów określonych w art. 1 ust. 1 tej dyrektywy.

1b. Dostawcy ustanawiają wewnętrzne procedury odpowiedzi na wnioski o dostęp do danych osobowych użytkownika w oparciu o krajowe przepisy przyjęte zgodnie z art. 1. Na żądanie przedstawiają oni właściwemu organowi krajowemu informacje o tych procedurach, liczbie otrzymanych wniosków, ich uzasadnieniu prawnym oraz udzielonej przez nich odpowiedzi.

2. Przepisy rozdziału III dotyczącego środków zaskarżenia, odpowiedzialności i sankcji dyrektywy 95/46/WE stosuje się w odniesieniu do przepisów krajowych przyjętych zgodnie z niniejszą dyrektywą i w odniesieniu do indywidualnych uprawnień wynikających z niniejszej dyrektywy.

3. Grupa Robocza ds. Ochrony Osób Fizycznych w Zakresie Przetwarzania Danych Osobowych powołana zgodnie z art. 29 dyrektywy 95/46/WE podejmuje również zadania ustanowione w art. 30 wspomnianej dyrektywy w odniesieniu do spraw objętych niniejszą dyrektywą, mianowicie ochrony podstawowych praw i wolności oraz uzasadnionego interesu w sektorze łączności elektronicznej.

Teraz możemy przejść do stanu faktycznego sprawy, w której orzekł TSUE. 

Litewska Prokuratura generalna wszczęła dochodzenie administracyjne przeciwko skarżącemu w postępowaniu głównym, zajmującemu wówczas stanowisko prokuratora w litewskiej prokuraturze, ponieważ istniały przesłanki wskazujące na to, że w ramach prowadzonego przez siebie postępowania dostarczył on w sposób niezgodny z prawem informacje istotne dla tego postępowania podejrzanemu i jego adwokatowi.

W sprawozdaniu z tego dochodzenia komisja prokuratury generalnej stwierdziła, że skarżący w postępowaniu głównym rzeczywiście dopuścił się przewinienia dyscyplinarnego.

Zgodnie z tym sprawozdaniem owo przewinienie dyscyplinarne zostało wykazane za pomocą dowodów zebranych w dochodzeniu administracyjnym. W szczególności informacje uzyskane podczas działań wywiadu kryminalnego oraz dane zebrane w toku dwóch karnych postępowań przygotowawczych potwierdziły istnienie rozmów telefonicznych między skarżącym w postępowaniu głównym a adwokatem podejrzanego w postępowaniu przygotowawczym dotyczącego tego podejrzanego, które prowadził skarżący w postępowaniu głównym. Ze wspomnianego sprawozdania wynika ponadto, że postanowieniem sądowym dopuszczone zostało przechwytywanie i nagrywanie treści informacji przekazywanych poprzez sieci łączności elektronicznej, dotyczących danego adwokata, i że innym postanowieniem sądowym dopuszczony został ten sam środek w odniesieniu do skarżącego w postępowaniu głównym.

Skarżący w postępowaniu głównym odwołał się do Lietuvos vyriausiasis administracinis teismas (najwyższego sądu administracyjnego Litwy), będącego sądem odsyłającym, podnosząc, że dostęp organów wywiadu, w ramach działań wywiadu kryminalnego, do danych o ruchu i do samej treści komunikatów elektronicznych, stanowił naruszenie praw podstawowych na tyle poważne, że ze względu na przepisy dyrektywy 2002/58 i Kartę praw podstawowych Unii Europejskiej (zwanej dalej „kartą”) dostęp ten mógł zostać przyznany jedynie dla celów zwalczania poważnych przestępstw.

Tymczasem art. 19 ust. 3 ustawy o wywiadzie kryminalnym stanowi, że takie dane mogą być wykorzystywane przy badaniu nie tylko poważnych przestępstw, lecz również przewinień służbowych lub dyscyplinarnych związanych z aktami korupcji.

TSUE wskazał, że:

w odniesieniu do warunków, w jakich dane te mogą zostać wykorzystane w postępowaniu administracyjnym dotyczącym przewinień dyscyplinarnych związanych z korupcją, należy przede wszystkim przypomnieć, że dostęp do tych danych może zostać przyznany na podstawie środka przyjętego na mocy art. 15 ust. 1 dyrektywy 2002/58 tylko wtedy, gdy owe dane zostały zatrzymane przez tych dostawców w sposób zgodny z tym przepisem [zob. podobnie wyrok z dnia 2 marca 2021 r., Prokuratuur (Warunki dostępu do danych dotyczących łączności elektronicznej), (C‑746/18, EU:C:2021:152, pkt 29 i przytoczone tam orzecznictwo)].

następnie późniejsze wykorzystanie danych o ruchu i danych dotyczących lokalizacji związanych z taką łącznością dla celów zwalczania poważnej przestępczości jest możliwe tylko pod warunkiem, z jednej strony, że zatrzymywanie danych przez dostawców usług łączności elektronicznej było zgodne z art. 15 ust. 1 dyrektywy 2002/58, tak jak jest on interpretowany przez Trybunał, a z drugiej strony, że dostęp do owych danych udzielony właściwym organom był również zgodny z tym przepisem.

jeśli chodzi o cel polegający na zapobieganiu przestępstwom, ich dochodzeniu, wykrywaniu i ściganiu, Trybunał zauważył, że zgodnie z zasadą proporcjonalności jedynie walka z poważną przestępczością i zapobieganie poważnym zagrożeniom dla bezpieczeństwa publicznego mogą uzasadniać poważne ingerencje w prawa podstawowe ustanowione w art. 7 i 8 karty, takie jak te, które są związane z zatrzymywaniem danych o ruchu i danych o lokalizacji. A zatem jedynie takie ingerencje we wspomniane prawa podstawowe, które nie mają poważnego charakteru, mogą być uzasadnione przez cel polegający na zapobieganiu przestępstwom w ogólności, ich dochodzeniu, wykrywaniu i ściganiu (wyrok z dnia 5 kwietnia 2022 r., Commissioner of An Garda Síochána i in., C‑140/20, EU:C:2022:258, pkt 59 i przytoczone tam orzecznictwo).

Sentencję wyroku ukształtował następująco:

W sierpniu br. WSA w Warszawie oddalił skargę Obywatela na postanowienie Prezesa Urzędu Ochrony Danych Osobowych, w którym organ ten odmówił wszczęcia postępowania. 

Obywatel skarżył się na:

nieprawidłowości w procesie przetwarzania jej danych osobowych przez T. P. (Fundacja […], ul. […], […], zwany dalej: uczestnik postępowania), polegające na ujawnieniu jej powiązań rodzinnych na portalu internetowym Twitter pod adresem […] oraz w programie zatytułowanym “[…] – A. B. -T. P. odc. […] na portalu Youtube pod adresem […]

Prezes UODO orzekł na podstawie art. 61a § 1 k.p.a. w zw. z art. 85 ust. 1 RODO oraz art. 2 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.

Przypomnieć warto treść art. 85 ust. 1 RODO:

Przetwarzanie a wolność wypowiedzi i informacji

1. Państwa członkowskie przyjmują przepisy pozwalające pogodzić prawo do ochrony danych osobowych na mocy niniejszego rozporządzenia z wolnością wypowiedzi i informacji, w tym do przetwarzania dla potrzeb dziennikarskich oraz do celów wypowiedzi akademickiej, artystycznej lub literackiej.

2. Dla przetwarzania do celów dziennikarskich lub do celów wypowiedzi akademickiej, artystycznej lub literackiej państwa członkowskie określają odstępstwa lub wyjątki od rozdziału II (Zasady), rozdziału III (Prawa osoby, której dane dotyczą), rozdziału IV (Administrator i podmiot przetwarzający), rozdziału V (Przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych), rozdziału VI (Niezależne organy nadzorcze), rozdziału VII (Współpraca i spójność) oraz rozdziału IX (Szczególne sytuacje związane z przetwarzaniem danych), jeżeli są one niezbędne, by pogodzić prawo do ochrony danych osobowych z wolnością wypowiedzi i informacji.

3.  Każde państwo członkowskie zawiadamia Komisję o przepisach, które przyjęło zgodnie z ust. 2, a następnie niezwłocznie o wszelkich późniejszych aktach zmieniających lub zmianach ich dotyczących.

jak i art. 2 ust. 1 ustawy o ochronie danych osobowych:

Do działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych w rozumieniu ustawy z dnia 26 stycznia 1984 r. − Prawo prasowe (Dz. U. z 2018 r. poz. 1914), a także do wypowiedzi w ramach działalności literackiej lub artystycznej nie stosuje się przepisów art. 5–9, art. 11, art. 13–16, art. 18–22, art. 27, art. 28 ust. 2–10 oraz art. 30 rozporządzenia 2016/679.

W ocenie organu, skoro postępowanie administracyjne prowadzone przez Prezesa UODO służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej na podstawie art. 58 ust. 2 rozporządzenia 2016/679, to ze względu na wyłączenie stosowania art. 6 ust. 1 rozporządzenia 2016/679 do działalności dziennikarskiej, w przedmiotowej sprawie nie można dokonać oceny legalności przetwarzania danych w oparciu o przesłanki, określone w tym przepisem. Z uwagi na brak możliwości dokonania – w oparciu o obowiązujące przepisy o ochronie danych osobowych – merytorycznej oceny udostępnienia danych osobowych skarżącej na wskazanych przez nią stronach, niemożliwym jest wykorzystanie uprawnień Prezesa UODO, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679. Stanowisko to znajduje poparcie w wyrokach sądów administracyjnych.

Sąd zaaprobował takie stanowisko organu nadzorczego. 

Sąd orzekający w sprawie niniejszej stwierdził, że – wbrew zarzutom skargi – Prezes UODO, wydając zaskarżone postanowienie, nie dopuścił się naruszenia przepisów postępowania administracyjnego (art.61a § 1 k.p.a.) ani prawa materialnego (art.7 prawa prasowego).

Ponadto Sąd akcentuje, że w orzecznictwie oraz w literaturze przedmiotu przyjmuje się konsekwentnie, że RODO, mimo swojego szerokiego zastosowania do praktycznie każdej sfery działalności, nie może ingerować w absolutnie każdą sferę życia i w niektórych dziedzinach, takich jak wypowiedzi dziennikarskie, czy też działalność artystyczna, wyłączono część obowiązków typowych dla “klasycznego” przetwarzania danych osobowych. W szczególności, zgodnie z art. 85 RODO, państwa członkowskie zostały zobowiązane do przyjęcia przepisów, które pozwalają zachować zgodność RODO z krajowymi regulacjami w zakresie wolności wypowiedzi i informacji.

Przetwarzanie danych osobowych jedynie do celów dziennikarskich lub do celów wypowiedzi akademickiej, artystycznej lub literackiej powinno podlegać wyjątkom lub odstępstwom od niektórych przepisów rozporządzenia, jeżeli jest to niezbędne, by pogodzić prawo do ochrony danych osobowych z prawem do wolności wypowiedzi i informacji, przewidzianymi w art. 11 Karty Praw Podstawowych Unii Europejskiej z dnia 7 grudnia 2000 r. (Dz. Urz. UE z 2016 r., C 202, s. 1 – dalej także: “KPP”).

Nad Sąd wskazał, że:

W niniejszej sprawie skarżąca kwestionuje zaliczenie działalności, publikacji i wypowiedzi T. P. (w kanałach internetowych typu You Tube i Twitter) do kategorii prasy i materiałów prasowych. Jednakże pogląd skarżącej jest jawnie sprzeczny z definicją prasy z art. 7 ust. 2 pkt 1 Pr.pras. Przewiduje on, iż termin “prasa” oznacza (…) także “wszelkie istniejące i powstające w wyniku postępu technicznego środki masowego przekazywania, w tym także rozgłośnie oraz tele- i radiowęzły zakładowe, upowszechniające publikacje periodyczne za pomocą druku, wizji, fonii lub innej techniki rozpowszechniania; prasa obejmuje również zespoły ludzi i poszczególne osoby zajmujące się działalnością dziennikarską”. Zdaniem Sądu, serwis Twitter oraz You Tube wypełniają wprost ustawową definicję prasy.

Zgodnie z Rejestrem Stowarzyszeń, innych organizacji społecznych i zawodowych, fundacji oraz samodzielnych publicznych zakładów opieki zdrowotnej, celem fundacji […], której wiceprezesem jest T. P., jest “szerzenie wartości związanych z ideą praw człowieka, ze szczególnym uwzględnieniem wolności słowa i publikacji; promowanie i wspieranie niezależnego dziennikarstwa, w tym dziennikarstwa obywatelskiego”.

Faktem znanym Sądowi powszechnie i urzędowo jest, że T. P. jest osobą publiczną, znaną, wielokrotnie nagradzaną, a przy jego nazwisku w Wikipedii widnieje informacja, że jest to […]. Jakkolwiek więc nie każdy zgadza się z jego poglądami, to jednak nie można zaprzeczyć, że jego publikacje są (i muszą pozostać na użytek niniejszej sprawy) zaliczone do działalności dziennikarskiej, niezależnie od tego, czy konkretna jego wypowiedź została opublikowana w prasie tradycyjnej czy też w kanale You Tube lub Twitter.

Jeden z europejskich organów nadzorczych postanowił nie rozpoznawać skargi złożonej przez osobę, która domagała się udostępniania kopii swoich danych osobowych od administratora danych.

Warto teraz zacytować podstawę prawną decyzji organu nadzorczego tj. art. 57 ust. 4 RODO:

Jeżeli żądanie jest w sposób oczywisty nieuzasadnione lub nadmierne, w szczególności ze względu na swą powtarzalność, organ nadzorczy może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych lub może odmówić podjęcia żądanych działań.

Obowiązek wykazania, że żądanie jest w sposób oczywisty nieuzasadnione lub nadmierne, spoczywa na organie nadzorczym.

Skarżący przekazał organowi nadzorczemu, że administrator danych nie odpowiedział na jego żądanie w terminie miesiąca.

Organ nadzorczy decyzją z kwietnia 2020 r. odmówił rozpatrzenia skargi wskazując zacytowany wcześniej przepis ROOD.

W uzasadnieniu organ ochrony danych wskazał, że współuczestnik złożył:

do niego łącznie 77 skarg dotyczących ochrony danych w okresie od 28 sierpnia 2018 r. do 7 kwietnia 2020 r., a konkretnie 4 skargi dotyczące ochrony danych w 2018 r., 53 skargi w 2019 r. i kolejnych 20 skarg w pierwszym kwartale 2020 r.

Dochodził w nich prawa do usunięcia danych w 46 przypadkach oraz prawa do uzyskania dostępu w 29 przypadkach.

Okoliczności faktyczne leżące u podstaw skarg dotyczących ochrony danych są zasadniczo takie same. Współuczestnik najpierw wysyła żądania o udzielenie dostępu lub usunięcie do różnych administratorów w zakresie ochrony danych. Następnie składa skargę do organu ochrony danych, często kilka dni po upływie „okresu jednego miesiąca”, w ciągu którego administrator nie udzielił odpowiedzi. Ponadto regularnie kontaktuje się telefonicznie z organem ochrony danych.

Krajowy sąd administracyjny uwzględnił skargę i uchylił ostatecznie decyzję organu ochrony danych z dnia 22 kwietnia 2020 r. W uzasadnieniu sąd administracyjny wskazał zasadniczo, że:

ani z brzmienia art. 57 ust. 4 RODO, ani z motywów lub z systemowej analizy RODO nie można wywieść z wystarczającą pewnością, kiedy „wniosek (żądanie)” należy oceniać jako „nadmierne”. „Nadmierność” w rozumieniu art. 57 ust. 4 RODO zakłada w skrócie nie tylko powtarzalność, ale także „charakter stanowiący oczywistą dokuczliwość lub nadużycie”, którego organ ochrony danych nie wykazał w niniejszej sprawie. Oddzielna ocena liczby wniosków mogłaby prowadzić do arbitralnego naruszenia ochrony prawnej osoby, której dane dotyczą

Sąd drugiej instancji nabrał uzasadnionych wątpliwości i zaprezentował TSUE następujące pytania prejudycjalne:

czy pojęcie „żądanie” lub „żądane działania” zawarte w art. 57 ust. 4 rozporządzenia RODO należy interpretować w ten sposób, że obejmuje ono również „skargi”, o których mowa w art. 77 ust. 1 RODO?

czy art. 57 ust. 4 RODO należy interpretować w ten sposób, że dla zaistnienia „nadmiernego żądania” wystarczy już, że osoba, której dane dotyczą, skierowała jedynie określoną liczbę żądań (skarg na podstawie art. 77 ust. 1 RODO) w określonym czasie do organu nadzorczego, niezależnie od tego, czy chodzi o różne okoliczności faktyczne lub żądania (skargi) dotyczą różnych administratorów, czy też konieczny jest, oprócz powtarzalności żądań (skarg), również zamiar nadużycia po stronie osoby, której dane dotyczą?

czy art. 57 ust. 4 RODO należy interpretować w ten sposób, że organ nadzorczy ma swobodę wyboru w przypadku zaistnienia „ewidentnie nieuzasadnionego” lub „nadmiernego” żądania (skargi), czy pobierze opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych związanych z jego rozpatrzeniem lub odmówi a priori jego rozpatrzenia; w razie udzielenia odpowiedzi przeczącej, jakie okoliczności i jakie kryteria organ nadzorczy musi wziąć pod uwagę, w szczególności czy organ nadzorczy jest zobowiązany w pierwszej kolejności do pobrania rozsądnej opłaty jako łagodniejszego środka, a dopiero w przypadku nieefektywności poboru opłaty jest uprawniony do odmowy rozpatrzenia żądania w celu zapobieżenia oczywiście nieuzasadnionym lub nadmiernym żądaniom (skargom)?

Pewien Sąd z Danii wystąpił do TSUE z pytaniem, w jaki sposób liczyć całkowity roczny światowy obrót administratora – czy tylko od jego obrotu czy tez od obrotu całej grupy przedsiębiorstw, której część stanowi ten administrator.

Nie trudno się domyśleć, że różnica, w potencjalnej wysokości kary, może być diametralna. I tak właśnie było w tej sprawie.

W związku z tym, że w Danii nie istnieją administracyjne kary pieniężne, a organ nadzorczy z zakresu ochrony danych osobowych wnioskuje do Sądu o nałożenie grzywny na administratora danych głównym “aktorem” tego pytania prejudycjalnego jest sąd rejonowy.

Sąd ten w lutym 2021 r. nałożył na spółkę grzywnę w wysokości 100 000 DKK (13 415 euro) za:

naruszenia art. 5 ust. 1 lit. e) i art. 5 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwanego dalej „RODO”) w związku z jego art. 4 pkt 1 i art. 6, które to naruszenie polegało na niewywiązywaniu się, w okresie od maja 2018 r. do stycznia 2019 r., z obowiązków, jakie spoczywały na tej spółce jako na administratorze w odniesieniu do przechowywania danych osobowych dotyczących co najmniej 350 000 byłych klientów

Prokurator, działając na podstawie zalecenia Datatilsynet (komisarza ds. ochrony danych) wnosił o nałożenie grzywny w wysokości 1,5 mln DKK (201 270 euro). Taka wysokość wnioskowanej grzywny opierała się nie tylko na wysokości obrotu oskarżonego administratora lecz obrót całej grupy przedsiębiorstw.

Jasnym jest, że Prokurator nie mógł być zadowolony ze wskazanego orzeczenia sądu rejonowego i wniósł środek odwoławczy do sądu apelacyjnego. I to ten sąd nabrał pewnych wątpliwości dotyczących tego, że:

może się pojawić wątpliwość, czy termin „przedsiębiorstwo”, którym posłużono się w art. 83 ust. 5 RODO, należy rozumieć w ten sposób, iż przy ustalaniu grzywny za naruszenie RODO przez przedsiębiorstwo pod uwagę powinno się brać obrót grupy, do której należy spółka

Prokurator argumentując swoje stanowisko wskazał, że:

z prawa wtórnego w dziedzinie konkurencji wyraźnie wynika, że przy ustalaniu grzywien pod uwagę bierze się całkowity światowy obrót grupy. W tym względzie należy się odnieść do dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1 z dnia 11 grudnia 2018 r. mającej na celu nadanie organom ochrony konkurencji państw członkowskich uprawnień w celu skuteczniejszego egzekwowania prawa i zapewnienia należytego funkcjonowania rynku wewnętrznego

jak wskazano w motywie 46 tej dyrektywy, pojęcie „przedsiębiorstwa” zawarte w art. 101 i 102 TFUE, które należy stosować zgodnie z orzecznictwem Trybunału, oznacza „jednostkę gospodarczą, nawet jeśli składa się ona z kilku osób fizycznych lub prawnych”

Według administratora danych:

wybór obrotu nie wydaje się stanowić niezbędnego elementu wymierzania kar przez sąd. W RODO nie przewidziano więc reguł ani zasad obliczania grzywien w przypadku, gdy wielkość obrotu wywiera bezpośredni wpływ, zaś art. 83 ust. 5 RODO określa jedynie górne widełki kwoty grzywny

ponadto w art. 83 ust. 5 RODO jest mowa o „przedsiębiorstwie”, w związku z czym brak jest podstaw – niezależnie od brzmienia motywu 150 tego rozporządzenia – by wysokość grzywny obliczać w oparciu o całkowity obrót grupy

Na pewno pamiętają Państwo sprawę “zgubionego” świadectwa pracy. Pojęcie zgubienia jest dla tego w cudzysłowiu, gdyż dokument ten odnalazł się już po po wydaniu decyzji przez organ nadzorczy. Z oczywistych względów ani organ, ani sąd nie mogły brać pod uwagę powyższego faktu. 

Prezes UODO ocenił brak zgłoszenia naruszenia ochrony danych osobowych jako nieprawidłowy w świetle przepisów RODO i nałożył na administratora administracyjną karę pieniężną w wysokości 15 994 złotych.

Administrator podnosił, w trakcie postępowania administracyjnego oraz już na etapie postępowania sądowoadministracyjnego, że incydent bezpieczeńtwa:

nie został zgłoszony Prezesowi UODO z uwagi na brak ryzyka naruszenia praw lub wolności osoby, której dane dotyczą. D. R. nie rościł bowiem pretensji do Spółki z tego powodu. Ponadto, jak wskazała Spółka, P. M. jest wieloletnią znajomą D. R. i ten fakt, w opinii Spółki miał wpływ na to, że nie wysuwał on wobec Spółki roszczeń z tytułu naruszenia ochrony jego danych osobowych.

Zdaniem organu nadzorczego:

nie miało znaczenia, czy z treścią świadectwa pracy D.R. w istocie zapoznały się osoby nieuprawnione, w jakiej liczbie itd.

nie ma bowiem pewności, że treść świadectwa pracy nie została udostępniona nieuprawnionym odbiorcom. Przy czym, Spółka nie może obarczać odpowiedzialnością za naruszenie ochrony danych osobowych wyłącznie osoby, do której obowiązków, w ramach zatrudnienia w Spółce, należało założenie i prowadzenie akt osobowych jej pracowników.

za działania tej osoby Spółka ponosi, na gruncie obowiązujących przepisów prawa, pełną odpowiedzialność, jak za działania własne.

WSA w Warszawie oddalając skargę administratora danych kolejny raz podniósł, że:

możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować. W treści art. 33 ust. 1 rozporządzenia 2016/679 wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych;

w świetle powyższego zasadnie organ stwierdził, że w niniejszej sprawie zaistniało ryzyko naruszenia praw i wolności osób fizycznych, jako że opisane w części historycznej uzasadnienia naruszenia ochrony danych osobowych będące wynikiem zagubienia świadectwa pracy D.R. zawierających jego dane osobowe mogło prowadzić do szkód majątkowych i niemajątkowych dla tej osoby;

organ trafnie, opierając się na regulacjach dotyczących treści świadectwa pracy, trafnie wskazał, że ujawnienie zawartych w nim danych osobowych osobom nieuprawnionym, mogą stanowić przyczynę naruszenia wolności lub praw osoby, której dotyczą

Na marginesie Sąd zgodził się z interpretacją organu, że:

dane związane z okresem niezdolności do pracy są danymi odnoszącymi się pośrednio do informacji na temat zdrowia osoby, której dane dotyczą, a więc do danych szczególnych, chronionych na podstawie art. 9 RODO