W Black Friday przygotowaliśmy dla Was promocję, jakiej jeszcze nie było. Będzie ona trwać nie jeden dzień, ale cały tydzień!

W dniach 18.11.2022 r. do 25.11.2022 r. przy zakupie Subskrypcji 30-dniowej czy Aktualności Plus pierwsza płatność będzie mniejsza o 25%!

Podczas zakupu Subskrypcji 30-dniowej czy Aktualności Plus podaj kod:

BlackFriday25

Kwota pierwszej płatności za wybraną subskrypcję zmniejszy się automatycznie.

Subskrypcja serwisu Judykatura.pl:

Orzecznictwo RODO w jednym miejscu

Judykatura.pl to wyszukiwarka zawierająca prawie 3000 orzeczeń, wytycznych oraz decyzji administracyjnych związanych z Ochroną Danych Osobowych (RODO). Ta unikatowa platforma łączy orzecznictwo sądów administracyjnych, sądów powszechnych, trybunałów z decyzjami administracyjnymi organów nadzorczych, opiniami oraz wytycznymi.

W serwisie Judykautra.pl znajdziesz argumenty do swojej sprawy dotyczącej RODO. Wszystko dzięki możliwości przeszukania ponad 850 wyroków Wojewódzkiego Sądu Administracyjnego w Warszawie oraz prawie 340 wyroków Naczelnego Sądu Administracyjnego.

Aktualizowana na bieżąco baza orzeczeń zawiera obecnie także ponad 80 wyroków Trybunału Sprawiedliwości Unii Europejskiej z zakresu ochrony danych osobowych oraz prywatności.

Możliwość przeszukania, w jednym miejscu, ponad 25 wytycznych, opinii i pism Grupy Roboczej art. 29,  Europejskiej Rady Ochrony Danych i Europejskiego Inspektora Ochrony Danych w błyskawiczny sposób doprowadzi Cię do poszukiwanego rozwiązania skomplikowanego stanu faktycznego dotyczącego przetwarzania danych osobowych.

Aktywny monitoring orzecznictwa RODO

Bądź na bieżąco z najnowszym orzecznictwem. Zastosowaliśmy najnowsze rozwiązania technologiczne monitorujące orzecznictwo. Dzięki temu Judykatura.pl reaguje błyskawicznie i codziennie aktualizuje serwis.

Dodatkowo, nasze systemy monitorują kilkanaście źródeł orzecznictwa, abyś w jednym miejscu mógł znaleźć konkretny argument w swojej sprawie. Judykatura.pl to platforma wiedzy, która powstała dla Inspektorów Ochrony Danych oraz specjalistów odpowiedzialnych za przestrzeganie prawa ochrony danych osobowych.

Podczas zakupu Subskrypcji 30-dniowej czy Aktualności Plus podaj kod:

BlackFriday25

Kwota pierwszej płatności za wybraną subskrypcję zmniejszy się automatycznie.

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
179
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
1933
 PLN z VAT
2148
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Subskrypcja 180 dni
Przez 180 dni masz dostęp do wszystkich elementów subskrypcji 30 dni:
1020
 PLN z VAT
1074
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualną konsultację z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (1 konsultacja w ramach obowiązującej subskrypcji)
Wybieram

Przyjazna nawigacja i posortowane wyniki

Wyniki wyszukiwania w Judykatura.pl zostają automatycznie posortowane i oznaczone odpowiednią ikoną oraz kolorem. Dla przykładu: czerwona ikona z literą “W” oznacza “Wyrok”, natomiast zielone “W” to “Wytyczne”. “Postanowienie”, “Wytyczne”, “Decyzja”, “Uchwała”, itd. Pracę z wynikami wyszukiwania wspomaga również rozbudowany system tagów oraz powiązań orzeczeń z poszczególnymi artykułami m.in. RODO, UŚUDE, Prawa bankowego…

Dzięki automatycznemu systemowi sortowania dostajesz to czego szukasz. Od razu.

Judykatura.pl zawiera kilkanaście rodzajów dokumentów, od wyroków sądów po decyzje administracyjne krajowych i zagranicznych organów nadzorczych. Dzięki nim zgromadzisz niezbędne argumenty wsparte konkretami, co pomoże Ci skutecznie wdrożyć oraz egzekwować wymogi RODO. Przeszukuj zasoby serwisu poprzez wskazanie konkretnego organu wydającego orzeczenie, decyzję czy wytyczną. Możesz także wybrać konkretny artykuł RODO w celu wskazania wszystkich dotyczących go dokumentów.

Bazę prawie 3000 orzeczeń i decyzji możesz również przeszukiwać z użyciem eksperckich tagów, co pozwala na błyskawiczne zawężenie wyników researchu.

Podczas zakupu Subskrypcji 30-dniowej czy Aktualności Plus podaj kod:

BlackFriday25

Kwota pierwszej płatności za wybraną subskrypcję zmniejszy się automatycznie.

Funkcjonalności serwisu Judykatura.pl

Serwis Judykatura.pl pozwala na błyskawiczne odnalezienie poszukiwanych argumentów z zakresu prawa ochrony danych osobowych. Praca z wynikami wyszukiwania czy treścią szukanego dokumentu jest szybka i intuicyjna.

Ze względu na szereg funkcjonalności wdrożonych w serwisie Użytkownik na pierwszy rzut oka może zapoznać się z takimi informacjami jak oznaczenie sprawy, organ rozpoznający sprawę, datę wydania orzeczenia czy decyzji, jej status odnoszący się do wyniku orzeczenia (uchylono, oddalono skargę, oddalono skargę kasacyjna) oraz prawomocności takiego orzeczenia lub jej braku.

Powiązane dokumenty w wyniku wyszukiwania

W tym widoku Użytkownik może także zapoznać się z powiązanymi dokumentami. W widocznym miejscu umieszczono interaktywny link do treści decyzji administracyjnej, czy wyroku, który stanowiły podstawę wydania orzeczenia znajdującego się w wyniku wyszukiwania. To pozwala na natychmiastowe prześledzenie całego “cyklu” sprawy tj. od wydania decyzji administracyjnej po orzeczenie sądu pierwszej oraz drugiej instancji.

W niektórych przypadkach powiązane dokumenty odnoszą się do innych orzeczeń sądu pierwszej instancji czy Trybunału Sprawiedliwości związanych tematycznie z przedmiotem rozpoznawanym przez organ.

Jak widać przejrzystość wyników wyszukiwania to nie tylko pogrupowanie najważniejszych informacji, w sposób umożliwiający największe skupienie przy zapoznawaniu się z tymi informacjami, ale także dużo więcej. Na pierwszym planie widać przypisane do orzeczenia, czy dokumentu konkretne artykuły rozporządzenia o ochronie danych, które są interaktywne i grupują tematycznie dokumenty. Tagi umieszczone bezpośrednio pod artykułami pozwalają przejrzeć wszystkie dokumenty dotyczące treści tagu np. zgody marketingowej czy kar pieniężnych.

Dokumenty z podobnych tagów

Kolejną funkcjonalnością serwisu Judykatura.pl jest możliwość bezpośredniego zapoznania się z dokumentami odpowiadającymi zakresowi tematycznemu czytanego orzeczenia czy decyzji. Dokumenty znajdujące się w serwisie Judykatura.pl skategoryzowane są także ze względu na tag, który przypisywane jest przez autora serwisu.

Taka funkcjonalność pozwala na natychmiastowe przejście do dokumentów powiązanych tematycznie, a pochodzących z kilkunastu źródeł. W jednym miejscu znajdują się informacje o podobnych sprawach prowadzonych przez europejskie organy nadzorcze czy też krajowe sądy powszechne.

Podczas zakupy Subskrypcji 30-dniowej czy Aktualności Plus podaj kod:

BlackFriday25

Kwota pierwszej płatności za wybraną subskrypcję zmniejszy się automatycznie.

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
179
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
1933
 PLN z VAT
2148
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Subskrypcja 180 dni
Przez 180 dni masz dostęp do wszystkich elementów subskrypcji 30 dni:
1020
 PLN z VAT
1074
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualną konsultację z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (1 konsultacja w ramach obowiązującej subskrypcji)
Wybieram

Aktualności Plus to:

Aktualności Plus to 30-dniowa subskrypcja najnowszych aktualności związanych z ochroną danych osobowych. Dzięki tej usłudze osoby, odpowiedzialne za utrzymywanie zgodności z ochroną danych osobowych w organizacji, będą na bieżąco z najnowszymi orzeczeniami, decyzjami i stanowiskami. Nie czekaj na branżowe, miesięczne podsumowania informacji – u nas przeczytasz o tym jako pierwszy od razu po publikacji orzeczenia w serwisie Judykatura.pl.

Każda aktualność to szybkie, fachowe i czytelne podsumowanie omawianego orzeczenia wraz z dostępem do jego treści w serwisie Judykatura.pl, który często ma jako jedyny dane orzeczenie oraz tez z niego wynikających. W jednym miejscu zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi.

To dzięki Aktualności Plus dowiesz się jak Prezes UODO, Sądy Administracyjne czy Powszechne, Trybunał Sprawiedliwości argumentuje swoje stanowisko, co umożliwi utrzymanie zgodności Twojej organizacji z przepisami o ochronie danych osobowych.

Dzięki temu, że Aktualności Plus są dostępne w serwisie Judykatura.pl, a nie przesyłane w wiadomościach e-mail, nie wpadną do spamu i będą cały czas dostępne w jednym miejscu.

Podczas zakupy Subskrypcji 30-dniowej czy Aktualności Plus podaj kod:

BlackFriday25

Kwota pierwszej płatności za wybraną subskrypcję zmniejszy się automatycznie.

Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
34.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

Naczelny Sąd Administracyjny opublikował uzasadnienie do orzeczenia oddalającego skargę kasacyjną Prezesa Urzędu Ochrony Danych Osobowych. Sprawa jaka zawisła przed NSA ma bardzo skomplikowaną historię. Otóż to w marcu 2017 r. R.S. występuje do Generalnego Inspektora Ochrony Danych o wszczęcie postępowania wobec spółki X w związku z:

uniemożliwieniem uzyskania informacji o treści nagrania sprzedażowej rozmowy telefonicznej z […] lipca 2016 r., podczas której doszło do ustalenia danych osobowych oraz warunków umowy

Osoba ta, według stanowiska administratora danych, nie chciała skorzystać z prawa do kontroli przetwarzania danych, które jej dotyczyły, zawartych w zbiorach danych na podstawie obowiązującego wtedy art. 32 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, a jedynie wnosiła o uzyskanie kopii nagrań przedmiotowej rozmowy telefonicznej. Według administratora danych:

Tego rodzaju nagrania nie są udostępniane w powyższy sposób, lecz istnieje możliwość zapoznania się z nagraniem w siedzibie spółki.

W dniu marca 2018 r. organ poinformował skarżącego oraz administratora danych o zebraniu materiału wystarczającego do wydania decyzji administracyjnej, a także pouczył o treści art. 10 § 1 oraz art. 73 § 1 i § 1a k.p.a. Skarżący, w maju 2018 r, w odpowiedzi na to zawiadomienie, wystąpił na podstawie art. 73 k.p.a. do organu o doręczenie fotokopii wszystkich dokumentów bądź nagrań, które zostały nadesłane przez spółkę. W lipcu 2018 r. zażądał On od organu odpowiedzi na wniosek z maja 2018 r., a w sierpniu 2018 r. wezwał organ do usunięcia naruszenia prawa, tj. bezczynności w rozpoznaniu jego skargi dotyczącej nieprawidłowości w procesie przetwarzania danych osobowych.

Skarżący, w październiku 2018 r., złożył do WSA w Warszawie skargę na bezczynność i przewlekłe postępowanie już Prezesa UODO.

W skardze tej przedstawiono następujący “harmonogram” wydarzeń:

  • dopiero po upływie 4 miesięcy i 27 dni (od daty wpływu wniosku) Skarżący został wezwany do uiszczenia opłaty skarbowej;
  • po upływie 5 miesięcy i 5 dni od pobrania opłaty skarbowej organ nadzorczy przystąpił do czynności wyjaśniających;
  • zaś wniosek o udostępnienie akt sprawy rozpoznał w terminie 2 miesięcy i 23 dni od złożenia tego wniosku;
  • pomimo upływu 7 miesięcy i 1 dnia od zawiadomienia stron o zgromadzeniu materiału wystarczającego do wydania decyzji administracyjnej nie wydał aktu kończącego postępowanie, jak również nie informował o przyczynach niezałatwienia sprawy w terminie.

W kwietniu 2019 r. WSA w Warszawie stwierdził, że:

  1. Prezes Urzędu Ochrony Danych Osobowych dopuścił się przewlekłego prowadzenia postępowania w przedmiocie wniosku z dnia […] marca 2017 r.,
  2. stwierdza, że przewlekłe prowadzenie postępowania przez Prezesa Urzędu Ochrony Danych Osobowych nie miało miejsca z rażącym naruszeniem prawa,
  3. oddala skargę w pozostałym zakresie,
  4.  zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz skarżącego […] kwotę 100 (słownie: sto) złotych tytułem zwrotu kosztów postępowania.

Jednak to orzeczenie nie uzyskało waloru prawomocności, gdyż Naczelny Sąd Administracyjny, w kwietniu 2020 r.:

  1. uchyla punkt 2 i 3 zaskarżonego wyroku i w tym zakresie przekazuje sprawę do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie,
  2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz R.Ś. kwotę 100 (słownie: sto) zł tytułem zwrotu kosztów postępowania kasacyjnego.

WSA w Warszawie rozpoznając ponownie skargę obywatela stwierdza:

  1. że przewlekłe prowadzenie postępowania przez Prezesa Urzędu Ochrony Danych Osobowych miało miejsce z rażącym naruszeniem prawa;
  2. przyznaje od Prezesa Urzędu Ochrony Danych Osobowych na rzecz skarżącego R. S. sumę pieniężną w kwocie 5.000 (słownie: pięć tysięcy) złotych.

I teraz możemy przejść do wspomnianego na początku wpisu orzeczenia NSA.  Sąd ten jasno i precyzyjnie wskazuję, że powyższe orzeczenie WSA w Warszawie jest prawidłowe i oddala skargę kasacyjną organu nadzorczego wskazując, że:

Skarżący kasacyjnie organ wywodził, że obok szybkości postępowania na względzie należy mieć obowiązek dokładnego rozpoznania sprawy, a czynności w sprawie podejmowane były bez zbędnej zwłoki, tymczasem jak wynika z akt sprawy pierwszą czynność (wezwanie do uiszczenia opłaty skarbowej) organ podjął po upływie 4 miesięcy i 27 dni od daty wpływu wniosku.

Organ nie podał żadnych racjonalnych powodów mających wpływ na przekroczenie terminów prowadzonego postępowania. Nie mogą ich stanowić ogólnikowe, nie poparte żadnymi konkretnymi danymi, twierdzenia o brakach etatowych i zwiększonej ilości wpływających spraw.

Tym samym za prawidłowe uznać należy stanowisko Sądu I instancji, że stwierdzona przewlekłość miała miejsce z rażącym naruszeniem prawa, o czym zgodnie z ugruntowanym orzecznictwem przesądza brak jakiegokolwiek racjonalnego uzasadnienia w poważnym opóźnieniu podejmowanych czynności.

oraz

W orzecznictwie przyjmuje się, że przyznanie podmiotowi skarżącemu od organu określonej sumy pieniężnej stanowi nie tylko sankcję dla organu za wadliwe prowadzenie postępowania, lecz przede wszystkim rekompensatę dla strony za wszelkiego rodzaju dolegliwości i niedogodności, jakich doznała na skutek bezczynności organu lub przewlekłego prowadzenia postępowania.

Skład orzekający w niniejszej sprawie w pełni podziela stanowisko (…), że skoro z woli ustawodawcy przyznanie stronie skarżącej odpowiedniej sumy pieniężnej na podstawie art. 149 § 2 p.p.s.a., a więc w przypadku uwzględnienia jej skargi na bezczynność lub przewlekłe prowadzenie postępowania, zależy od uznania sądu i ustawodawca nie przewidział w tym zakresie żadnych ograniczeń, to nie ma podstaw do uzależnienia możliwości przyznania sumy pieniężnej od przytoczenia przez stronę okoliczności uzasadniających to przyznanie i to jeszcze w konkretny sposób, a mianowicie przez nawiązanie do doznanej krzywdy.

Ustawodawca w ogóle nie wskazał, że suma pieniężna z art. 149 § 2 p.p.s.a. ma być przyznawana celem naprawienia poniesionej przez stronę szkody majątkowej bądź niemajątkowej, wprowadzając instytucję “sumy pieniężnej” jako całkowicie odrębną od występujących w kodeksie cywilnym “odszkodowania” i “zadośćuczynienia”. W związku z tym, przyznanie sumy pieniężnej na podstawie art. 149 § 2 p.p.s.a. nie wyklucza możliwości dochodzenia przez stronę w postępowaniu cywilnym naprawienia szkody wynikłej z bezczynności organu lub przewlekłości prowadzonego postępowania. Dopiero w takim postępowaniu strona byłaby zobligowana do wykazania wystąpienia po jej stronie określonego uszczerbku majątkowego bądź niemajątkowego. Natomiast w postępowaniu w przedmiocie skargi na bezczynność lub przewlekłe prowadzenie postępowania nie ma miejsca na prowadzenie postępowania dowodowego co do zaistniałej szkody czy krzywdy.

To prawomocne orzeczenie Wojewódzkiego Sądu Administracyjnego w Warszawie porusza problem prawidłowego zabezpieczenia tradycyjnej korespondencji. Sąd uchylił decyzję Prezesa UODO nakładająca karę upomnienia na Bank:

w związku z naruszeniem art. 5 ust. 1 lit. 1, art. 24 ust. 1 i art. 32 ust. 1 i 2 RODO, polegającym na niewłaściwym zabezpieczeniu przesyłek zawierających dane osobowe A. M.

Decyzja organu właściwego w sprawie ochrony danych osobowych pochodzi z czerwca 2021 r. Samo postępowanie zostało wszczęte w odpowiedzi na skargę osoby, której dane dotyczą w zakresie nieprawidłowości przetwarzania jej danych osobowych przez bank:

Skarżący wskazał, że do naruszenia ochrony jego danych osobowych doszło dwukrotnie. Pierwsze naruszenie nastąpiło dnia […] grudnia 2018 r., po około tygodniu od wskazanej daty Skarżący otrzymał telefon z Banku, że doszło do kolejnego wycieku danych zawartych w dokumentach, gdyż do Centrali Banku ponownie zostały dostarczone dokumenty w uszkodzonej, otwartej kopercie.

Skarżący podniósł, że niezrozumiałym i niedopuszczalnym jest, że po pierwszym incydencie Bank nie zapobiegł wystąpieniu kolejnemu. Skarżący wskazał na treść art. 34 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679. Informacja Banku o naruszeniu była spóźniona i nie zawierała danych kontaktowych inspektora ochrony danych, nie wskazywała możliwych konsekwencji naruszenia ochrony danych osobowych, ani nie opisywała środków zastosowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych.

Skarżący wyjaśnił, że koperta z jego danymi osobowymi dotarła do Centrali Banku otwarta, a Bank winą za sytuację obarcza podmiot świadczący usługi kurierskie – jako odpowiedzialnego za naruszenie. Skarżący podkreślił, że to Bank jako administrator danych jest odpowiedzialny za winę w wyborze podmiotu świadczącego usługi kurierskie. Bank umożliwił skarżącemu korzystanie z usługi BIK Alert celem obserwowania konta bankowego. Jednak – zdaniem strony – zaoferowany środek ochrony jest nieefektywny i spóźniony. Skarżący podkreślił, że żyje w strachu, że padnie ofiarą oszustw, zdając sobie sprawę, że utracił kontrolę nad jego danymi i nie ma wpływu na to, kto, kiedy i jak może je wykorzystać. Po opisanych wydarzeniach otrzymuje zwiększoną ilość kontaktów telefonicznych i tekstowych sms od nieznanych mu firm marketingowych.

Bank wyjaśnił, że w przypadku zdarzenia, o którym powziął informację w grudniu 2018 r.:

przesyłka (foliopak), w której znajdowały się dokumenty, na których widniały dane osobowe skarżącego została uszkodzona w trakcie transportu realizowanego za pośrednictwem spółki XYZ sp. z o.o. z siedzibą w W. i zabezpieczona przez ww. Spółkę taśmą w trakcie transportu przesyłki, przed doręczeniem jej do Banku.

wszystkie dokumenty dotarły do Centrali Banku. Bank przeanalizował to zdarzenie zgodnie z przyjętą metodologią.

Podobnie bank postąpił z incydentem z lutego 2019 r. Przy tym zdarzeniu bank wskazał, że:

przesyłka (foliopak), w której znajdowały się dokumenty, na których widniały dane skarżącego: imię i nazwisko, PESEL, seria, numer i nazwa dokumentu tożsamości, CIF, została prawdopodobnie nieprawidłowo zabezpieczona taśmą przez pracownika Banku.

dokumenty, o których mowa powyżej dotarły do Centrali Banku, niemniej z uwagi na uszkodzenie przesyłki Bank przeanalizował zdarzenie zgodnie z przyjętą metodologią.

Bank oświadczył, że w celu przygotowania przesyłki należy zapakować dokumenty do kopert wielokrotnego adresowania, a następnie umieścić ją w foliopaku dostarczonym przez firmę realizującą transport danej przesyłki. Transport dokumentów, na których widniały dane osobowe skarżącego, realizowany był przez […] sp. z o.o. w W., z którą ma zawartą umowę na świadczenie tego typu usług, w której m.in. znajdują się zapisy dotyczące zachowania poufności oraz zobowiązanie do należytego zabezpieczenia danych przez niepowołanym dostępem.

WSA w Warszawie uchylając decyzję Prezesa UODO wskazał na zasadniczą rolę uzasadnienia decyzji administracyjnej:

uzasadnienie faktyczne decyzji powinno w szczególności zawierać wskazanie faktów, które organ uznał za udowodnione, dowodów, na których się oparł oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej, zaś uzasadnienie prawne – wyjaśnienie podstawy prawnej decyzji, z przytoczeniem przepisów prawa.

rolą uzasadnienia wynikającą z art. 107 § 3 k.p.a. jest objaśnienie toku myślenia, który doprowadził organ administracji do zastosowania lub niezastosowania przepisu prawa w konkretnej sprawie

Według Sądu uzasadnienie przedmiotowej decyzji nie pozwalało na odtworzeniu powyższego toku i naruszało wskazany art. 107 k.p.a.:

w analizowanej sprawie Prezes UODO udzielił upomnienia Bankowi […] S.A. z siedzibą w W., w związku z naruszeniem art. 5 ust. 1 lit. 1, art. 24 ust. 1 i art. 32 ust. 1 i 2 RODO, polegającym na niewłaściwym zabezpieczeniu przesyłek zawierających dane osobowe A. M.

Uzasadniając swe rozstrzygnięcie, organ nie wyjaśnił jednak, na czym polegało owe niewłaściwe zabezpieczenie przez Bank przesyłek, wskazując jedynie, że dotarły one do miejsca docelowego uszkodzone (str. 9 decyzji). Prezes UODO dodał nadto, iż “(…) w procesie przetwarzania danych osobowych skarżącego przez Bank niewątpliwie doszło do uchybień polegających na niewłaściwym zabezpieczeniu przesyłek zawierających dane osobowe skarżącego. W wyniku powyższego działania Banku danym osobowym skarżącego, które zawierały przesyłki, nie została zapewniona odpowiednia ochrona przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową ich utratę” (str. 10 decyzji).

Z powyżej przedstawionego lakonicznego wywodu organu nie wynika, na czym polegało naruszenie przez Bank wskazanych przepisów RODO. W badanej przez organ sprawie niewątpliwie doszło do uszkodzenia dwóch przesyłek Banku, w dniach […] grudnia 2018 r. i […] lutego 2019 r. i dostarczenia dokumentów skarżącego z oddziału Banku do Centrali Banku w uszkodzonych kopertach. Organ nie wyjaśnił jednak, na czym polegało, stanowiące podstawę do udzielenia Bankowi upomnienia, niewłaściwe zabezpieczenie przez Bank tychże przesyłek.

Sąd zauważył rozbieżność między uzasadnieniem decyzji a odpowiedzą na skargę. W tym drugim stanowisku organ nadzorczy:

(Prezes UODO) podjął próbę wyjaśnienia motywów swego rozstrzygnięcia, wskazując, iż “(…) Bank w sposób niewystarczający dokonał oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych znajdujących się w dokumentach dostarczanych klientom Banku za pośrednictwem podmiotu świadczącego usługi kurierskie, co stanowi naruszenie art. 24 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679” (str. 11 odpowiedzi na skargę).

w dalszej części tego pisma procesowego organ wskazał, że “(…) Bank, jako administrator danych, pomimo zawartej umowy z podmiotem świadczącym usługi kurierskie nie sprawował w pełni należytego nadzoru w tym obszarze, co w konsekwencji doprowadziło do dwukrotnego naruszenia zabezpieczenia przesyłek zawierających dane osobowe Skarżącego” (str. 12 odpowiedzi na skargę).

Według Sadu:

przytoczone uwagi organu wydają się zatem wskazywać na inny, aniżeli w zaskarżonej decyzji, sposób naruszenia przez Bank wskazanych przepisów RODO. W odpowiedzi na skargę jest bowiem mowa o braku sprawowania przez Bank należytego nadzoru nad sposobem wykonywania usług kurierskich przez podmiot wykonujący te usługi. Nie wiadomo zatem i nie wynika to z treści zaskrażonej decyzji, czy w sprawie doszło do naruszenia przepisów RODO na skutek braku należytego nadzoru ze strony Banku, czy też wskutek innych działań Banku polegających na niewłaściwym zabezpieczeniu przez Bank przedmiotowych przesyłek.

Pod koniec października br. Trybunał Sprawiedliwości wydał orzeczenie w sprawie Proximus’a, który jest jednym z większych operatorów telekomunikacyjnych w Belgi. Podmiot ten prowadził spis abonentów, które są zasilane danymi swoich klientów jak też danymi otrzymywanymi od innych operatorów telekomunikacyjnych. Podmiot ten prowadził kilka storn internetowych umożliwiających przeszukiwanie baz teleadresowych – podjął decyzję o ich zamknięciu ze skutkiem na 31 grudnia 2022 r.

We wniosku Sądu Apelacyjnego w Brukseli skierowanym do Trybunału Sprawiedliwości UE odnajdujemy cztery pytania prejudycjalne, które poruszają zagadnienie:

  • wyrażenia zgody,
  • prawa do bycia zapomnianym
  • obowiązku administratora do wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających poinformowanie innych administratorów o cofnięciu przez osoby zainteresowane zgody na przetwarzanie ich danych osobowych

Spór, jak zazwyczaj, zaczął się od abonenta, który nie chciał, aby jego dane teleadresowe były publicznie dostępne. Proximus wskazał, że rozróżnia dane wprowadzane do bazy:

w jej bazach danych, a także w bazach danych osób trzecich, czyni się rozróżnienie między abonentami, których dane kontaktowe mają być umieszczane w spisach, a abonentami, których dane nie są w nich uwzględniane. Gdy dane kontaktowe mają być ujęte w spisie, odnośny parametr przypisany do rekordu abonenta przyjmuje wartość „NNNNN”. Gdy dane kontaktowe mają zostać pominięte, odnośny parametr przyjmuje wartość „XXXXX”.

Istotne w sprawie jest też to, że Skarżący jest abonentem korzystającym z usług telekomunikacyjnych świadczonych przez spółkę Telenet, czyli operatora telekomunikacyjnego działającego na rynku belgijskim. Spółka Telenet nie jest dostawcą spisów abonentów. Przekazuje ona dane kontaktowe swoich abonentów między innymi spółce Proximus.

Osoba, której dane dotyczą przekazała do Proximusa, w styczniu 2019 r., wniosek o nieumieszczanie jej danych w ogólnodostępnym spisie. Proximus jeszcze w tym samym miesiącu zmienił wartość parametru przypisanego do rekordu skarżącego z „NNNNN” na „XXXXX”.

Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
34.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

Niestety 31 stycznia 2019 r. spółka Proximus otrzymała od spółki Telenet przekazywane rutynowo powiadomienie o aktualnych danych abonenckich. W tym powiadomieniu znajdowały się nowe dane kontaktowe skarżącego. Wskazano w nim również, że dane kontaktowe skarżącego mają zostać umieszczone w spisach abonentów („NNNNN”). Spółka Proximus automatycznie przetworzyła to powiadomienie. W rezultacie dane kontaktowe skarżącego stały się publicznie dostępne.

W dniu 14 sierpnia 2019 r. skarżący, ustaliwszy, że jego numer telefonu figuruje w elektronicznych spisach abonentów www.1207[.]be i www.1307[.[be oraz w szeregu innych elektronicznych spisów abonentów, skontaktował się ze spółką Proximus z wykorzystaniem formularza kontaktowego udostępnionego na stronie internetowej www.1207[.]be i zwrócił się do niej o „nieumieszczanie” jego numeru telefonu „na stronie www.1207[.]be”.

W tym samym dniu pracownik spółki Proximus wystosował do niego następującą odpowiedź: „Zgodnie ze złożonym wnioskiem usunęliśmy Twój wpis, co oznacza, że Twoje dane (numer telefonu, nazwisko, adres) nie będą już wykorzystywane na potrzeby spisów abonentów ani biur numerów. W przeciągu kilku dni Twoje dane przestaną być udostępniane na stronach www.1207[.]be i www.1307[.]be oraz w biurach numerów (1207, 1307). Skontaktujemy się także z firmą Google i poprosimy ją o usunięcie odpowiednich łączy do naszej strony internetowej. Zgodnie z obowiązującymi przepisami Twoje dane zostały też przekazane innym biurom numerów i spisom abonentów, których dostawcy zwrócili się do [spółki Proximus] o przekazywanie im danych abonenckich, mianowicie do serwisów www.wittegids.be, www.infobel[.]com, www.de1212[.]be i www.opendi.be. Informacja na temat złożonego przez Ciebie wniosku o zaprzestanie wykorzystywania Twoich danych zostanie podana do wiadomości tych podmiotów w przesyłanej im comiesięcznie aktualizacji”.

Skarżący złożył jednocześnie skargę do Gegevensbeschermingsautoriteit (organu ochrony danych, Belgia, zwanego dalej „OOD”). Zawierała ona następujące stwierdzenia: „Mimo złożonego przeze mnie na piśmie i jednoznacznie sformułowanego wniosku o nieumieszczanie mojego (nowego) numeru telefonu i moich danych w spisie »Witte Gids«, na stronie, dzisiaj, po odebraniu połączenia od firmy, która nie dysponuje moim numerem telefonu, [okazało się, że] mój numer telefonu został jednak udostępniony na stronach www.1207[.]be, www.1307[.]be, www.wittegids[.]be, www.infobel[.]be i www.de1212[.]be, a najprawdopodobniej także w odpowiednich telefonicznych biurach numerów 1207 i 1307 oraz w wersjach papierowych spisu »Witte Gids« i na stronie www.opendi[.]be.”.

W dniu 27 sierpnia 2019 r. służba pierwszego kontaktu OOD uznała tę skargę za dopuszczalną i przekazała ją do Geschillenkamer van de Gegevensbeschermingsautoriteit (izby ds. rozstrzygania sporów organu ochrony danych, Belgia, zwanej dalej „izbą ds. rozstrzygania sporów OOD”).

W dniu 30 lipca 2020 r. po przeprowadzeniu postępowania kontradyktoryjnego izba ds. rozstrzygania sporów wydała decyzję, w której nakazała spółce Proximus podjęcie środków naprawczych i nałożyła na nią karę w wysokości 20 000 EUR za naruszenie między innymi art. 6 RODO w związku z jego art. 7 oraz za naruszenie art. 5 ust. 2 tego rozporządzenia w związku z jego art. 24.

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
179
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni 
1933
 PLN z VAT
2148
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Subskrypcja 180 dni
Przez 180 dni masz dostęp do wszystkich elementów subskrypcji 30 dni:
1020
 PLN z VAT
1074
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualną konsultację z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (1 konsultacja w ramach obowiązującej subskrypcji)
Wybieram

W szczególności przede wszystkim nakazała spółce Proximus podjęcie odpowiednich i niezwłocznych działań w z związku z wycofaniem zgody przez odnośnego abonenta oraz zastosowanie się do żądań tego abonenta zmierzających do wykonania jego prawa usunięcia dotyczących go danych. Następnie nakazała ona Proximusowi podjęcie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia, by dokonywane przez nią przetwarzanie danych osobowych było zgodne z przepisami RODO. Wreszcie, nakazała ona Proximusowi zaprzestanie przekazywania tych danych niezgodnie z prawem innym dostawcom spisów abonentów.

Trybunał Sprawiedliwości UE udzielił odpowiedzi na wszystkie zadane pytania. 

Pierwsze pytanie dotyczyło tego jak należy interpretować art. 12 ust. 2 dyrektywy 2002/58/WE w związku z art. 2 lit. f) tej dyrektywy i art. 95 RODO w zakresie dopuszczenia, przez przepisy krajowe, wymogu zgody abonenta na publiczne udostępnienie danych w rozumieniu zgody przewidzianej w RODO (art. 4 pkt. 11).

Trybunał podkreślił, że:

W niniejszym przypadku spór w postępowaniu głównym toczy się wyłącznie pomiędzy osobą fizyczną i spółką, która nie jest jej operatorem usług telefonicznych, w przedmiocie sposobu, w jaki owa spółka przetwarzała dane osobowe tej osoby w związku z publikowaniem spisów abonentów.

Wymóg uzyskania zgody odnośnego abonenta na opublikowanie tych danych w spisach abonentów został potwierdzony w art. 12 ust. 3 dyrektywy 2002/58, zgodnie z którym państwa członkowskie mogą wymagać, aby dla jakiegokolwiek celu publicznego spisu abonentów innego niż przeszukiwanie danych kontaktowych osoby na podstawie jej nazwiska „wymagana była dodatkowa zgoda abonentów”.

i udzielił odpowiedzi na to pytanie wskazując, że:

art. 12 ust. 2 dyrektywy 2002/58 w związku z art. 2 akapit drugi lit. f) tej dyrektywy i z art. 95 RODO należy interpretować w ten sposób, że wymagana jest „zgoda”, w rozumieniu art. 4 pkt 11 RODO, abonenta operatora usług telefonicznych, aby dane osobowe tego abonenta zostały umieszczone w spisach abonentów publikowanych przez dostawców innych niż ten operator, przy czym zgoda ta może zostać udzielona bądź wspomnianemu operatorowi, bądź jednemu z tych dostawców.

Pytanie drugie dotyczyło ustalenia, czy art. 17 RODO należy interpretować w ten sposób, że złożone przez abonenta żądanie wycofania jego danych ze spisów abonentów stanowi skorzystanie z „prawa do usunięcia danych” w rozumieniu tego artykułu.

Tutaj Trybunał powiedział, że:

gdy abonent żąda, aby jego dane nie były już zawarte w spisie abonentów, wycofuje on swoją zgodę na opublikowanie tych danych. Na podstawie wycofania swojej zgody uzyskuje on, wobec braku innej podstawy prawnej takiego przetwarzania, prawo do żądania usunięcia jego danych osobowych z tego spisu abonentów na podstawie art. 17 ust. 1 lit. b) RODO lub, w przypadku gdy administrator nadal publikuje wspomniane dane w sposób niezgodny z prawem, na podstawie art. 17 ust. 1 lit. d) tego rozporządzenia.

w niniejszym zaś przypadku żądanie wycofania danych abonenta znajdujących się w spisie abonentów nie zmierza do zastąpienia nieprawidłowych danych danymi prawidłowymi ani do uzupełnienia niekompletnych danych, lecz do wycofania publikacji prawidłowych danych.

udzielił nastepujące odpowiedzi:

art. 17 RODO należy interpretować w ten sposób, że złożone przez abonenta żądanie wycofania jego danych osobowych ze spisów abonentów stanowi skorzystanie z „prawa do usunięcia danych” w rozumieniu tego artykułu.

Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
34.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

W trzecim pytaniu Sądu Apelacyjnego w Brukseli chodziło o ustalenia, czy art. 5 ust. 2 i art. 24 RODO należy interpretować w ten sposób, że krajowy organ nadzorczy może wymagać, aby dostawca spisów abonentów, jako administrator, podjął odpowiednie środki techniczne i organizacyjne w celu poinformowania administratorów będących osobami trzecimi, mianowicie operatora usług telefonicznych, który przekazał mu dane osobowe swojego abonenta, a także innych dostawców spisu abonentów, którym sam dostarczył takie dane, o wycofaniu zgody tego abonenta.

W tym pytaniu Trybunał postawił sobie pytanie czy dostawca spisów abonentów, taki jak Proximus, gdy abonent operatora usług telefonicznych wycofuje swoją zgodę na bycie umieszczonym w spisach tego dostawcy, powinien nie tylko zaktualizować własną bazę danych w celu uwzględnienia tego wycofania, lecz musi również poinformować o owym wycofaniu operatora usług telefonicznych, który przekazał mu te dane, jak również innych dostawców spisów abonentów, którym sam przekazał takie dane.

Trybunał przygotowując odpowiedź na to pytanie wskazał, że:

rzecznik generalny w pkt 67 opinii, w art. 5 ust. 2 i art. 24 RODO nałożono na administratorów danych osobowych ogólne wymogi dotyczące rozliczalności i przestrzegania przepisów. W szczególności przepisy te wymagają od administratorów wprowadzenia odpowiednich środków mających na celu zapobieżenie ewentualnym naruszeniom uregulowań przewidzianych w RODO w celu zapewnienia prawa do ochrony danych.

W tym kontekście art. 19 RODO przewiduje w szczególności, że administrator informuje każdego odbiorcę, któremu ujawniono dane osobowe, o usunięciu danych osobowych dokonanym zgodnie z art. 17 ust. 1, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Skoro dostawca spisów abonentów może się powołać na zgodę na przetwarzanie danych wyrażoną przez abonenta wobec innego dostawcy lub wobec swojego operatora usług telefonicznych, to abonent, w celu wycofania swojej zgody, powinien móc zwrócić się do dowolnego dostawcy spisów abonentów lub do tego operatora w celu uzyskania wycofania swoich danych kontaktowych ze spisów abonentów publikowanych przez wszystkie osoby powołujące się na jednokrotne wyrażenie jego zgody.

Trybunał, w odpowiedzi na trzecie pytanie, wskazał, że:

art. 5 ust. 2 i art. 24 RODO należy interpretować w ten sposób, że krajowy organ nadzorczy może wymagać, aby dostawca spisów abonentów, jako administrator, podjął odpowiednie środki techniczne i organizacyjne w celu poinformowania administratorów będących osobami trzecimi, mianowicie operatora usług telefonicznych, który przekazał mu dane osobowe swojego abonenta, a także innych dostawców spisu abonentów, którym dostarczył takie dane, o wycofaniu zgody tego abonenta.

Przy czwartym pytaniu sąd odsyłający dąży w istocie do ustalenia, czy art. 17 ust. 2 RODO należy interpretować w ten sposób, że sprzeciwia się on temu, aby krajowy organ nadzorczy nakazał dostawcy spisu abonentów, od którego abonent operatora usług telefonicznych zażądał zaprzestania publikowania dotyczących go danych osobowych, aby podjął on rozsądne działania służące poinformowaniu dostawców wyszukiwarek internetowych o tym żądaniu usunięcia danych.

Każdy zdaje sobie sprawę z tego jak trudno zostać “zapomnianym” przez wyszukiwarkę internetową. Krajowy organ nadzorczy, w trakcie swojego postępowania, wskazał, że w drugim kwartale 2020 r. liczba dostawców wyszukiwarek internetowych działających w Belgii była ograniczona. W szczególności firma Google posiadała udział w rynku wynoszący 90%, jeśli chodzi o wyszukiwania dokonane na komputerach stacjonarnych, i 99%, jeśli chodzi o wyszukiwania dokonane na smartfonach i tabletach.

W związku z powyższym Trybunał jasno wskazał, że:

art. 17 ust. 2 RODO należy interpretować w ten sposób, że nie sprzeciwia się on temu, aby krajowy organ nadzorczy nakazał dostawcy spisów abonentów, od którego abonent operatora usług telefonicznych zażądał zaprzestania publikowania dotyczących go danych osobowych, aby podjął on „rozsądne działania”, w rozumieniu tego przepisu, służące poinformowaniu dostawców wyszukiwarek internetowych o tym żądaniu usunięcia danych.

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
179
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni 
1933
 PLN z VAT
2148
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Subskrypcja 180 dni
Przez 180 dni masz dostęp do wszystkich elementów subskrypcji 30 dni:
1020
 PLN z VAT
1074
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualną konsultację z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (1 konsultacja w ramach obowiązującej subskrypcji)
Wybieram

W tej, jak by się wydawało prostej sprawie, WSA w Warszawie uchylając decyzję Prezesa UODO wskazał jasno, że w trakcie postępowania administracyjnego organ ma obowiązek badania statusu administratora danych, a już szczególnie, gdy wobec niego chce wydać decyzję administracyjną.

Sprawa ta, jak większość rozpoznawanych spraw przez Prezesa UODO, ma swoje źródło w skardze osoby, której dane dotyczą. Osoba ta zaznaczyła w swojej skardze, że dwie spółki przetwarzają jej dane osobowe bez podstawy prawnej oraz z naruszeniem obowiązków informacyjnych.

“Pierwsza” decyzja Prezesa UODO została wydana w marcu 2020 r., ale sam organ wskazał, że jest ona dotknięta wadą nieważności:

w ocenie Prezesa Urzędu jedyną przesłanką wskazującą na nieważność ww. decyzji jest okoliczność, iż zaskarżona decyzja została wydana przez Prezesa Urzędu z rażącym naruszeniem prawa art. 156 § 1 pkt 2 in fine k.p.a., tj. z naruszeniem przepisu art. 58 ust. 2 RODO.

Takie stanowisko Prezesa UODo wynikało z tego, że:

organ rozpoznając skargę A. G., uznał bezprzedmiotowość postępowania z uwagi na brak, w momencie podejmowania przez organ decyzji kończącej postępowanie, procesu przetwarzania danych osobowych przez obie Spółki.

Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
34.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

Jednak po dwóch latach organ nadzorczy doszedł do wniosku, że

stosownie do art. 58 ust 2 RODO w zw. art. 57 ust. 1 lit. f RODO oraz art. 77 RODO organ nadzorczy po rozpoznaniu skargi wniesionej przez osobę, której dane dotyczą, może w każdym przypadku, gdy stwierdzi, że doszło do nieprawidłowości w procesie przetwarzania danych osobowych osoby, która złożyła indywidualną skargę, skorzystać z nadanych mu uprawnień naprawczych, niezależnie od faktu usunięcia tych nieprawidłowości przez podmiot skarżony w późniejszym czasie.

przepisy prawa obligują zatem organ do zbadania prawidłowości procesu przetwarzania w każdej sytuacji, gdy proces tej miał miejsce. Organ stwierdził, iż jedna ze Spółek przetwarzała dane osobowe A. G. i następnie je usunęła. Organ całkowicie zaniechał jednak dokonania oceny, czy doszło do nieprawidłowości w procesie przetwarzania danych osobowych i uznał, że od powyższego zwalnia go nieprzetwarzanie przez obie Spółki danych osobowych Skarżącej w chwili wydawania decyzji w sprawie.

powyższe zaniechanie stanowi naruszenie art. 58 ust. 2 RODO i w ocenie Prezesa nosi znamiona rażącego naruszenie prawa, o którym mowa w art. 156 § 1 pkt 2 k.p.a.

Jednak autorefleksja Prezesa UODO nie spotkała się z aprobatą WSA w Warszawie z zupełnie innych powodów niż wykładania art. 156 kpa.

Do Sądu w październiku 2021 r. wpłynęło pismo spółki jawnej, wskazującej, że to ona jest uczestnikiem postępowania, a nie spółka z ograniczoną odpowiedzialnością spółka komandytowa, gdyż ta spółka nie istniała w dniu wydania decyzji administracyjnej.

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
179
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
1933
 PLN z VAT
2148
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Subskrypcja 180 dni
Przez 180 dni masz dostęp do wszystkich elementów subskrypcji 30 dni:
1020
 PLN z VAT
1074
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualną konsultację z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (1 konsultacja w ramach obowiązującej subskrypcji)
Wybieram

W ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie, analizowana pod tym kątem skarga spółki z ograniczoną odpowiedzialnością zasługuje na uwzględnienie, albowiem zaskarżona decyzja Prezesa Urzędu Ochrony Danych Osobowych z kwietnia 2021 r., narusza obowiązujące przepisy prawa:

w niniejszej sprawie, jak wynika z pisma procesowego uczestnika postępowania spółki jawnej, w okresie pomiędzy zawiadomieniem o wszczęciu postępowania w sprawie, a wydaniem w kwietniu 2021 r. zaskarżonej decyzji, nastąpiło przekształcenie […] Sp. z o.o. sp. k. w […] sp. j.

z dniem […] marca 2021 r. spółka […] Sp. z o.o. sp. k. została wykreślona z rejestru przedsiębiorców.

wpis o wykreśleniu tego podmiotu z rejestru przedsiębiorców uprawomocnił się w dniu […] marca 2021 r.

Według Sądu:

rację ma uczestnik postępowania, twierdząc, iż fakt ten powinien być znany organowi z urzędu z uwagi na jawność rejestrów publicznych, w tym Krajowego Rejestru Sądowego.

tymczasem zaskarżona decyzja, jak wynika ze zwrotnego potwierdzenia odbioru, skierowania została do Zarządu […] Sp. z o.o., a więc do Spółki, która zarówno w dacie wydania zaskarżonej decyzji ([…] kwietnia 2021 r.), jak i w dacie jej doręczenia ([…] maja 2021 r.) już nie istniała, a jej prawa i obowiązki przejęła spółka […] sp. j.

zgodnie bowiem z art. 553 § 1 i 3 Kodeksu spółek handlowych spółce przekształconej przysługują wszystkie prawa i obowiązki spółki przekształcanej, a wspólnicy spółki przekształcanej stają się z dniem przekształcenia wspólnikami spółki przekształconej. Oznacza to, że prawidłowym adresatem zaskarżonej decyzji powinna być spółka […] sp. j., jak trafnie wskazuje uczestnik postępowania.

spółka ta winna również brać udział w postępowaniu zakończonym zaskarżoną decyzją, co nie nastąpiło, jako że organ nie dostrzegł opisanych powyżej przekształceń.

Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
34.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

To orzeczenie WSA w Warszawie może wprowadzić pewne zamieszanie w przyjętej przez praktykę relacji w przetwarzaniu danych między taką instytucją jak Bank a Biurem Informacji Kredytowej.

Na pierwszy rzut oka sprawa wydaje się podobna do setek innych dotyczących przetwarzania danych “dłużnika” przez BIK na podstawie art. 105a ust. 3 prawa bankowego.

Prezes UODO decyzją z sierpnia 2021 r. udzielił upomnienia Bakowi, a nie BIK’owi:

za naruszenie art. 6 ust. 1 RODO polegające na przetwarzaniu danych osobowych M. F. dotyczących umowy z września 2009 r. o kredyt gotówkowy w celu oceny zdolności kredytowej i analizy ryzyka kredytowego w okresie od […] stycznia 2019 r. do […] listopada 2019 r. i umowy nr […] z dnia […] marca 2009 r. o kredyt gotówkowy w celu oceny zdolności kredytowej i analizy ryzyka kredytowego w okresie od […] kwietnia 2019 r. do […] listopada 2019 r. w systemie Biura Informacji Kredytowej S.A. z uwagi na brak spełnienia przesłanek z art. 105a ust. 3 Prawa bankowego.

Główną osią sprawy – jak w większości spraw dotyczących art. 105a ust. 2 prawa bankowego – jest udowodnienie przez Bank “poinformowania tej osoby” o omawianym przetwarzaniu danych.

Jednak w tej sprawie ciekawe jest dokonane przez Sąd wtrącenie odnoszące się do roli Biura Informacji Kredytowej jako podmiotu przetwarzającego dane osobowe w celach i sposobach Banku:

ponieważ zaskarżoną decyzją udzielono Bankowi upomnienia w związku z przetwarzaniem danych osobowych M. F. w systemie Biura Informacji Kredytowej S.A. z siedzibą w […] (dalej “BIK”) należy zaznaczyć, że przetwarzanie danych osobowych klientów banków przez BIK odbywa się zgodnie z art. 28 ust. 3 RODO, na podstawie zawartej z będącym administratorem danych Bankiem umowy powierzenia przetwarzania danych osobowych.

BIK jest natomiast instytucją utworzoną w oparciu o art. 105 ust. 4 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2020 r. poz. 1896 ze zm. – dalej “Prawo bankowe”).

Takie stanowisko może trochę dziwić – szczególnie, że w postępowaniu administracyjnym, które dotyczyło Banku to właśnie ten podmiot był wzywany do udzielenia wyjaśnień:

jak wynika z akt sprawy, w odpowiedzi na wezwanie PUODO z 3 listopada 2020 r. Bank w piśmie z 13 listopada 2020 r. stwierdził, że “(…) w związku z wystąpieniem zwłoki w spłacie ww. zobowiązań w dniu […].04.2011 r. wygenerowane zostały do Skarżącego zawiadomienia o zamiarze przetwarzania danych osobowych bez jego zgody po wygaśnięciu zobowiązania. Przedmiotowa korespondencja generowana jest automatycznie w ramach korespondencji masowej […]”.

dalej Bank wywiódł, że “[…] korespondencja kierowana do klientów dotycząca zawiadomienia o zamiarze przetwarzania danych po wygaśnięciu zobowiązań została wysłana listem zwykłym – z uwagi na brak wymogu wysyłki korespondencji w przedmiotowym zakresie listem poleconym lub za potwierdzeniem odbioru […]”..

do pisma z 13 listopada 2020 r. dołączono wzór dokumentu, który wedle twierdzenia Banku był kierowany do jego klientów w kwietniu 2011 r. w związku z realizacją obowiązku wynikającego z art. 105a ust. 3 Prawa bankowego.

Sąd wskazał także, że:

Mając powyższe na uwadze, należy stwierdzić, że jakkolwiek w art. 105a ust. 3 Prawa bankowego nie określono szczegółowych wymogów formalnych, co do sposobu i treści poinformowania klienta lub byłego klienta banku o zamiarze przetwarzania danych bez jego zgody, to bynajmniej nie oznacza to, że dopuszczono dowolność w tym zakresie.

Jak podkreśla się w orzecznictwie sądów administracyjnych, chociaż ustawodawca w żaden sposób nie ograniczył sposobów i form takiego powiadomienia, to w każdym wypadku sposób ten powinien umożliwić zweryfikowanie faktu poinformowania klienta banku o zamierzonym przetwarzaniu jego danych osobowych lub też przynajmniej potwierdzenie, że klientowi umożliwiono zapoznanie się z taką informacją.

W tym zakresie nie mogą mieć miejsca jakiekolwiek domniemania faktyczne. W celu weryfikacji dopuszczalności przetwarzania danych osobowych na podstawie art.105a ust. 3 Prawa bankowego, PUODO musi zatem dysponować stosownymi dowodami na rzeczywiste wykonanie wymienionego w tym przepisie obowiązku poinformowania i w tym zakresie nie może opierać się wyłącznie na oświadczeniu Banku.

Sąd podkreślił też, że:

Bank, pomimo skierowanego przez PUODO wezwania, nie przedstawił jakichkolwiek dowodów potwierdzających, że faktycznie – jak utrzymuje – […] kwietnia 2011 r. poinformował M. F. o zamiarze przetwarzania danych osobowych bez jego zgody na podstawie art. 105a ust. 3 Prawa bankowego. Takim dowodem z pewnością nie jest wzór pisma nieopatrzony jakimikolwiek danymi identyfikującymi, który miał być wykorzystywany w celu realizacji obowiązku wynikającego z art. 105a ust. 3 Prawa bankowego.

Bank nie przedstawił w toku postępowania ani dowodu doręczenia M. F. skierowanego do niego pisma zawierającego informacje zgodną z art. 105a ust. 3 Prawa bankowego, ani dowodu nadania takiego pisma, ani nawet kopii samego pisma (zawierającego jakiekolwiek zindywidualizowane dane), które miało być wystosowane do M. F..

W istocie nie wykazał więc, że dopełnił obowiązku warunkującego dopuszczalność przetwarzania danych osobowych na podstawie art. 105a ust. 3 Prawa bankowego, bowiem – jak powyżej wywiedziono – samo oświadczenie, iż “(…) takie działania (…) podjął (…)”, nie mogło stanowić podstawy do przyjęcia przez PUODO, że rzeczywiście miało to miejsce.

Podstawę uchylenia zaskarżonej decyzji mogłyby zatem stanowić art. 145 § 1 pkt 1 lit. b P.p.s.a. w zw. a z art. 145 § 1 pkt 5 K.p.a. (wyjdą na jaw istotne dla sprawy nowe okoliczności faktyczne lub nowe dowody istniejące w dniu wydania decyzji, nieznane organowi, który wydał decyzję), pod warunkiem jednak, że wyżej wymienne pisma stanowiłyby dowód dopełnienia przez Bank obowiązku poinformowania M. F. o zamiarze przetwarzania jego danych osobowych na podstawie art. 105a ust. 3 Prawa bankowego.

Wszystkim, w branży ochrony danych osobowych, znana jest doskonale sprawa dotycząca postępowania Prezesa Urzędu Ochrony Danych Osobowych w zakresie przetwarzania przez administratora danych zbieranych za pomocą plików cookies czy też w zakresie informacji, jakie ten administrator pozyskiwał z powodu wyświetlania strony internetowej tj. numer IP. Teraz mamy dostęp do uzasadnienia orzeczenia WSA w Warszawie w przedmiotowej sprawie.

Organ nadzorczy zakończył swoje rozważania dotyczące zbierania danych osobowych na odesłaniu do orzeczeń Trybunału Sprawiedliwości UE w sprawie p. Breyer (C-582/14) oraz w sprawie Planet 49 (C-673/17).

I jak łatwo się domyślić było to zdecydowanie za mało dla WSA w Warszawie.

Sąd ten wskazał, że z lektury akt postępowania administracyjnego jasno wynika naruszenie, przez Prezesa UODO, m.in. art. 107 § 3 k.p.a.:

Uzasadnienie faktyczne decyzji powinno w szczególności zawierać wskazanie faktów, które organ uznał za udowodnione, dowodów, na których się oparł, oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej, zaś uzasadnienie prawne – wyjaśnienie podstawy prawnej decyzji, z przytoczeniem przepisów prawa

Naruszenie to mogło, zdaniem Sądu, mieć istotny wpływ na wynik sprawy. Sąd administracyjny wskazał swoje wątpliwości, co do stwierdzenia, że w przedmiotowej sprawie doszło do przetwarzania danych osobowych:

Organ nadzorczy stwierdził bowiem, że skarżąca przetwarzała bez podstawy prawnej dane osobowe J. O.. Nie ustalił jednak uprzednio – z poszanowaniem obowiązków płynących dlań z powołanych przepisów postępowania – czy informacje objęte rozstrzygnięciem zaskarżonej decyzji, tj. adres IP oraz sztucznie nadany ID z cookies w istocie stanowią dane osobowe uczestnika postępowania.

Także uzasadnienie zaskarżonej decyzji, jakkolwiek formalnie poprawne, nie pozwala Sądowi na zweryfikowanie w realiach rozpoznanej sprawy poprawności kwalifikacji wymienionych identyfikatorów internetowych jako danych osobowych.

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
179
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
1933
 PLN z VAT
2148
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Subskrypcja 180 dni
Przez 180 dni masz dostęp do wszystkich elementów subskrypcji 30 dni:
1020
 PLN z VAT
1074
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualną konsultację z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (1 konsultacja w ramach obowiązującej subskrypcji)
Wybieram

Według Sądu organ nadzorczy nie wyjaśnił, na jakiej podstawie ustalił, że istnieje “uzasadnione prawdopodobieństwo zidentyfikowania” J. O. w powiązaniu z tymi danymi, tj. adresem IP oraz ID plików cookies:

zaprezentowana natomiast przezeń odwołująca się do wyroku Naczelnego Sądu Administracyjnego z 19 maja 2011 r. sygn. akt I OSK 1079/10 – ocena prawna, po pierwsze jednoznacznie wskazuje na to, że adres IP nie zawsze może być traktowany jako dane osobowe. Taka konstatacja pominięta w zacytowanym przez PUODO fragmencie powołanego wyroku – została wprost wyrażona przez Naczelny Sąd Administracyjne (“[…] Adres IP nie zawsze wobec tego może być traktowany jako dane osobowe w rozumieniu art. 6 ust. 1 i 2 ustawy […]”).

Po drugie, zgodnie z przyjętym w tym wyroku stanowiskiem, uznanie adresu IP za dane osobowe determinowane jest przypisaniem go na dłuższy okres lub na stałe do konkretnego urządzenia.

WSA w Warszawie jasno wskazał, że:

wywiedziona przez PUODO w uzasadnieniu zaskarżonej decyzji kwalifikacja adresu IP jako danej osobowej odnosi się więc do tzw. stałego (statycznego) adresu IP, a nie zmiennego (dynamicznego) adresu IP. Tylko bowiem pierwszy z wymienionych jest niezmienny i umożliwia stałą identyfikację urządzenia podłączonego do sieci. Adresy dynamiczne są natomiast tymczasowe, przydzielane każdemu połączeniu z Internetem i zastępowane podczas kolejnych połączeń. Nie może zatem być mowy o ich przypisaniu – jak stwierdzono w powołanym przez PUODO wyroku Naczelnego Sądu Administracyjnego – na dłuższy czas lub na stałe do konkretnego urządzenia [zob. wyrok Trybunału Sprawiedliwości z 19 października 2016 r. w sprawie C-582/14 Breyer (pkt 36), opinia rzecznika generalnego w tej sprawie (punkty 1 – 4)].

oraz

trzeba zatem zastrzec (o czym szerzej w dalszej części uzasadnienia), że niewątpliwie także zmienny (dynamiczny) adres IP może (ale nie w każdej sytuacji) stanowić daną osobową.

w uzasadnieniu zaskarżonej decyzji brak jednak ustaleń tak co do przyjętego w niej przez PUODO kryterium kwalifikacji adresu IP jako danej osobowej (tj. przypisania go na dłuższy czas lub na stałe do konkretnego urządzenia), jak i co do określonych w art. 4 pkt 1 w powiązaniu z motywami 26 i 30 RODO warunków uznania tego identyfikatora za daną osobową. Także z akt sprawy nie wynika, by w tym zakresie prowadzono postępowanie wyjaśniające. Na ich podstawie można stwierdzić, że już w pierwszym piśmie (z 7 lipca 2021 r.) wystosowanym do skarżącej w trybie art. 58 ust. 1 lit. a i lit. e RODO z żądaniem udzielania informacji i złożenia wyjaśnień, organ nadzorczy niejako “z góry” założył, że zarówno adres IP, jak i sztucznie nadany ID z cookies stanowią dane osobowe J. O.. Spółka w odpowiedzi z 13 sierpnia 2021 r. wyraziła stanowisko, że numer IP/ID użytkownika nie daje jej możliwości zidentyfikowania osoby odwiedzającej jej stronę internetową, a co za tym idzie, że nie przetwarzała danych osobowych uczestnika postępowania w tym zakresie, bowiem informacje te nie stanowią dla niej danych osobowych.

niewyjaśnienie tej istotnej, w świetle przyjętych w zaskarżonej decyzji kryteriów uznania adresu IP za daną osobową, okoliczności (stałego lub zmiennego charakteru adresu IP interfejsu sieciowego urządzenia, z którego korzystał J. O.) nie mogłoby mieć istotnego wpływu na wynik sprawy, gdyby dopuszczalne w świetle przepisów RODO było przyjęcie, że adres IP jest daną osobową w rozumieniu art. 4 pkt 1 RODO niezależnie od tego, czy jest adresem stałym, czy zmiennym oraz niezależnie od tego, w czyim znajduje się posiadaniu oraz jakie możliwości posiada dysponent tej informacji w celu dokonania identyfikacji.

Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
34.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

Dla administratorów danych ważne jest też to, że:

taki wniosek nie znajduje jednak oparcia ani w przepisach RODO, ani w stanowisku Trybunału Sprawiedliwości Unii Europejskiej odnoszącym się wprawdzie do dyrektywy Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. UE. L. z 1995 r. Nr 281, str. 31 ze zm.), które jednak w istotnej dla przedmiotowej sprawy części zachowuje aktualność na tle przepisów RODO.

oraz istotna jest treść motywu 26 RODO:

przede wszystkim należy zauważyć, że RODO nie rozstrzyga, czy same identyfikatory internetowe, takie jak adresy IP, czy identyfikatory plików cookies powinny zawsze być traktowane jako dane osobowe, czy jako jeden z czynników (“śladów”), które mogą pozwolić na identyfikację osoby fizycznej. W powołanym wyżej motywie 30 stwierdza się bowiem, że ich wykorzystanie “(…) może (…) skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób […]”.

w art. 4 pkt 1 RODO stanowi zaś, że możliwa do zidentyfikowania osoba fizyczna, to taka którą można bezpośrednio lub pośrednio zidentyfikować w szczególności na podstawie identyfikatora internetowego.

swoisty test możliwości identyfikacji osoby fizycznej przewidziano w motywie 26 RODO, który wskazuje, że “[…] aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane (ang. wers. jęz.: all the means reasonably likely to be used – przyp. Sądu) przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej

aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany (ang. wers. jęz.: whether means are reasonably likely to be used – przyp. Sądu) do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny […]”.

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
179
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
1933
 PLN z VAT
2148
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Subskrypcja 180 dni
Przez 180 dni masz dostęp do wszystkich elementów subskrypcji 30 dni:
1020
 PLN z VAT
1074
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualną konsultację z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (1 konsultacja w ramach obowiązującej subskrypcji)
Wybieram

Stanowisko Sądu co do uchyleniu przedmiotowej decyzji Prezesa UODO było także spowodowane tym, że:

w uzasadnieniu zaskarżonej decyzji organ w ogóle nie odnosił się do kwestii możliwości prawnych zwrócenia się przez skarżącą do właściwego organu w celu uzyskania od dostawcy dostępu do Internetu informacji pozwalających – w połączeniu z adresem IP – na identyfikację osoby, której skarga wszczęła postępowanie przed PUODO. Z akt sprawy wynika, że organ nadzorczy – pomimo podnoszonej w toku postępowania argumentacji skarżącej wskazującej na brak możliwości identyfikacji – nie rozważał też tej kwestii w toku postępowania.

rozstrzygnięciem zaskarżonej decyzji objęto nie tylko adres IP, ale także “sztucznie nadany ID z cookies”. Konstatację, że “zarówno adres IP Skarżącego, jak również ID plików cookies, z uwagi na uzasadnione prawdopodobieństwo zidentyfikowania Skarżącego w powiązaniu z tymi danymi, stanowią jego dane osobowe” poprzedzono jednak wyjaśnieniem podstawy prawnej decyzji w zakresie kwalifikacji jako danej osobowej (w świetle art. 4 pkt 1 i motywu 30 RODO) wyłącznie adresu IP.

na stronie 7 zaskarżonej decyzji PUODO przywołał wprawdzie pkt 67 wyroku Trybunału Sprawiedliwości Unii Europejskiej z 1 października 2019 r. w sprawie C-673/17 – Planet49, stwierdzając, że Trybunał wskazał, iż “(…) instalowanie plików cookie, o którym mowa w postępowaniu głównym, wiąże się z przetwarzaniem danych osobowych […]”.

zacytowane stwierdzenie zostało jednak oparte na ustaleniach zawartych w punkcie 45 wyroku Trybunału, gdzie stwierdzono, że “(…) pliki cookie, które mogą być instalowane na urządzeniu końcowym użytkownika uczestniczącego w loterii promocyjnej zorganizowanej przez spółkę Planet49, zawierają numer przypisany do danych rejestracyjnych tego użytkownika, który w formularzu uczestnictwa w tej grze musi wpisać swoje imię i nazwisko oraz adres. Sąd odsyłający dodaje, że skojarzenie tego numeru z tymi danymi powoduje personalizację danych przechowywanych przez pliki cookie, gdy użytkownik korzysta z Internetu, wobec czego zbieranie tych danych za pomocą plików cookie jest przetwarzaniem danych osobowych […]”.

w okolicznościach sprawy zakończonej zaskarżoną decyzją nie doszło do sytuacji, w której J. O. wypełnił jakikolwiek formularz na stronie internetowej skarżącej, a tym bardziej taki, w którym podałby swoje imię, nazwisko lub adres. Skarżąca w piśmie z 13 sierpnia 2021 r. wyjaśniała natomiast, że właściciel domeny […], to dostawca oprogramowania dla Spółki służącego do przesyłania wiadomości on-line podczas wizyty na stronie lub zamówienia rozmowy telefonicznej, oraz że w przypadku, gdy nie zostanie rozpoczęty czat, żadne informacje poza adresem IP odwiedzającego stronę nie są przekazywane temu dostawcy. Ponadto, jak utrzymywała […], wszystkie inne domeny wymienione przez J. O. wynikają z wykorzystywania plików cookies analitycznych na stronie Spółki. Spółka zaznaczała, że wysyłane jest jedynie zapytanie dotyczące cookie ID, a nie historia przeglądania. Wywodziła też, że za pomocą unikalnego identyfikatora, który został przekazany za pomocą cookies analitycznego, nie można dokonać identyfikacji użytkownika końcowego, którym jest uczestnik postępowania.

Ten wyrok jest jednym z lepiej uzasadnionych orzeczeń, z jakimi udało mi się zapoznać! Jednak co skład Sędziowski to zupełni inna “jakość” rozważań prawnych – czyta się każde zdanie z ogromnym zaciekawieniem. 

W niby błahej sprawie, skargi rodzina na przetwarzanie przez Szkołę Podstawą danych jego małoletniej córki, Sąd administracyjny pokazał swój kunszt. Każdy element czy zagadnienie decyzji organu nadzorczego zostało obszernie wyjaśnione, czy też zaopiniowane.

Stan faktyczny prezentuje się tak, że S.Z. złożył do Prezesa UODO skargę na:

nieprawidłowości w procesie przetwarzania danych osobowych jego małoletniej córki Z.Z. przez Szkołę Podstawową nr […] im. […] w J. polegające na przetwarzaniu danych osobowych małoletniej Z.Z. za pośrednictwem platformy MS Teams podczas prowadzenia zdalnego nauczania bez podstawy prawnej – zgody rodziców, a w konsekwencji udostępnienia jej danych podmiotowi nieuprawnionemu – operatorowi platformy MS Teams oraz przetwarzaniu jej danych osobowych za pośrednictwem powyższej platformy bez spełnienia obowiązków informacyjnych wynikających z art. 13 i art. 14 RODO.

Prezes UODO zwrócił się do Szkoły z żądaniem wyjaśnienia przedmiotowego przetwarzania danych osobowych.

Szkoła, w pełni profesjonalnie, przygotowała odpowiedź informując o tym, że:

przetwarza dane osobowe Z.Z. za pośrednictwem platformy MS Teams w kategorii danych obejmujących imię oraz nazwisko. Szkoła poinformowała, że przetwarzanie powyższych danych jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO) w związku z realizacją przez Szkołę określonych w przepisach prawa zadań dydaktycznych, wychowawczych i opiekuńczych

przetwarzanie danych osobowych dzieci oraz ich rodziców odbywa się zgodnie z przepisami ustawy z dnia 7 września 1991 r. o systemie oświaty (tekst jednolity Dz. U. z 2021 r., poz. 1915 ze zm.) i rozporządzenia Ministra Edukacji Narodowej z dnia 25 sierpnia 2017 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (Dz.U. z 2017 r., poz. 1646 ze zm.), a także ustawy z dnia 14 grudnia 2016 r. – Prawo oświatowe (tekst jednolity Dz. U. z 2021 r., poz. 1082 ze zm.).

zdalne nauczanie zostało wprowadzone w oparciu o przepisy rozporządzeń Ministra Edukacji Narodowej odpowiednio z 20 marca 2020 r. oraz z dnia 12 sierpnia 2020 r. w sprawie czasowego ograniczenia funkcjonowania jednostek systemu oświaty w związku z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19 (odpowiednio: Dz. U. z 2020 r., poz. 493 ze zm. oraz Dz. U z 2020 r., poz. 1394 ze zm. – dalej także: rozporządzenie MEN z dnia 20 marca 2020 r. oraz rozporządzenie MEN z dnia 12 sierpnia 2020 r.), zgodnie z którymi w roku szkolnym 2020/2021 ogranicza się w całości lub w części funkcjonowanie publicznych i niepublicznych jednostek systemu oświaty, w których wszystkie lub poszczególne zajęcia zostały zawieszone na podstawie przepisów wydanych na podstawie odpowiednio: art. 95a ustawy o systemie oświaty, w brzmieniu obowiązującym przed dniem 1 września 2017 r., a także art. 32 ust. 11 oraz art. 47 ust. 3 pkt 1 ustawy – Prawo oświatowe. Szkoła wskazała, że powyższe rozwiązanie wprowadzono w związku z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19.

Sąd oddalając skargę rodzica zwrócił uwagę, że:

Prezes UODO nie naruszył obowiązujących przepisów prawa materialnego, albowiem – wbrew zarzutom skargi – prawidłowo przyjął, że w niniejszej sprawie Szkoła Podstawowa nr […] im. […] w J., jako administrator danych, nie naruszył przepisów RODO w zakresie przetwarzania danych osobowych małoletniej córki skarżącego.

Według składu Sądu orzekającego w tej prawie podstawą prawną przetwarzania danych osobowych jest:

Według składu Sądu orzekającego w niniejszej sprawie, uznać należy, że organ nadzorczy nie dopuścił się naruszenia przepisów prawa materialnego, w tym w szczególności naruszenia art. 6 ust. 1 lit. e RODO, zasadnie przyjmując w zaskarżonej decyzji, że Szkoła legitymuje się przesłanką legalnego przetwarzania danych osobowych małoletniej córki skarżącego wynikającą ze wskazanego powyżej przepisu RODO w związku z odpowiednio przywołanymi przepisami prawa krajowego, w tym art. 35 i art. 30c ustawy z dnia 14 grudnia 2016 r. – Prawo oświatowe w związku z § 1 rozporządzenia Ministra Edukacji Narodowej z dnia 20 marca 2020 r. w sprawie szczególnych rozwiązań w okresie czasowego ograniczenia funkcjonowania jednostek systemu oświaty w związku z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, a także w związku z § 1 ust. 1 rozporządzenia Ministra Edukacji Narodowej z dnia 12 sierpnia 2020 r. w sprawie czasowego ograniczenia funkcjonowania jednostek systemu oświaty w związku z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19.

W zakresie powierzenia przetwarzania danych osobowych WSA wskazał, że:

Prezes UODO, odmawiając uwzględnienia skargi z dnia […] listopada 2020 r., zasadnie przyjął, że Szkoła nie dopuściła się również naruszenia art. 28 ust. 3 RODO, albowiem udostępnienie danych osobowych małoletniej córki skarżącego – Z.Z. przez Szkołę, jako administratora danych, podmiotowi zewnętrznemu – firmie Microsoft Corporation, jako świadczącemu usługę MS Teams, znajduje oparcie w art. 28 ust. 3 RODO oraz było jednocześnie zgodne z zasadą “minimalizacji danych”, o której mowa w art. 5 ust. 1 lit. c RODO.

powyższe warunki zostały w niniejszej sprawie spełnione, albowiem wybór przez Szkołę platformy MS Teams prowadzonej przez profesjonalny podmiot, jakim jest renomowana Microsoft Corporation, która stanowić będzie w tym przypadku procesora (czyli podmiot, który – w ramach powierzenia przetwarzania danych – przetwarza w imieniu administratora dane przez niego powierzone), z całą pewnością gwarantuje stosowanie przez podmiot przetwarzający środków organizacyjnych i technicznych, o których mowa w art. 28 ust. 1 RODO.

W ocenie Sądu, powyższe przesłanki zostały w niniejszej sprawie spełnione, przy czym – co istotne – wskazać należy, że umowa z Microsoft Corporation na świadczenie usług online miała charakter standardowy i nie podlegała negocjacjom. W tej sytuacji, Szkoła rozpoczynając korzystanie z usługi Microsoft Teams miała zatem za zadanie odnotowanie, w celu rozliczalności procesu przetwarzania, tych czynności, jakie zostały dokonane w momencie uruchomienia usługi.

Nie ulega wątpliwości, że w niniejszej sprawie potwierdzeniem zawarcia przez Szkołę umowy powierzenia danych procesorowi – firmie Microsoft Corporation są dokumenty w postaci: “Postanowienia Dotyczące Usług Online” (OST) oraz “Dodatek dotyczący Ochrony Danych w ramach Usług Online Microsoft” (DPA).

W przedmiotowej sprawie Sąd poruszył też wykładnię prawa do sprzeciwu wobec przetwarzania danych na postawie ich niezbędności do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi:

otóż zgodnie z art. 21 ust. 1 RODO, elementem sprzeciwu wobec przetwarzania danych osobowych opartego na art. 6 ust. 1 lit. e RODO powinno być wykazanie istnienia po stronie wnioskodawcy szczególnej sytuacji, która uzasadnia wniesienie sprzeciwu. W ocenie Sądu, za sytuację szczególną należy uznać każdy stan faktyczny, w którym potrzeba ochrony prywatności podmiotu danych powinna przeważyć nad potrzebą przetwarzania tych danych przez administratora. Z taką sytuacją nie mieliśmy do czynienia w niniejszej sprawie.

Sąd nie podzielił ponadto zarzutu strony skarżącej dotyczącego niespełnienia wobec niego obowiązku informacyjnego przez Szkołę w związku z przetwarzaniem danych małoletniej Z.Z. w celu prowadzenia zdalnego nauczania.

 

 

Jeżeli zastanawiasz się nad subskrypcją serwisu Judykatura.pl – to teraz jest na to najlepszy czas! Od 21 października 2022 r. podnosimy ceny nowych subskrypcji!

Kup dowolną subskrypcję do 21 października 2022 r.:

judykatura.pl odliczanie

 

Gwarantuję Ci to otrzymanie obecnych cen:

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
179
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
1933
 PLN z VAT
2148
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Subskrypcja 180 dni
Przez 180 dni masz dostęp do wszystkich elementów subskrypcji 30 dni:
1020
 PLN z VAT
1074
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualną konsultację z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (1 konsultacja w ramach obowiązującej subskrypcji)
Wybieram

 

Orzecznictwo RODO w jednym miejscu

Judykatura.pl to wyszukiwarka zawierająca prawie 3000 orzeczeń, wytycznych oraz decyzji administracyjnych związanych z Ochroną Danych Osobowych (RODO). Ta unikatowa platforma łączy orzecznictwo sądów administracyjnych, sądów powszechnych, trybunałów z decyzjami administracyjnymi organów nadzorczych, opiniami oraz wytycznymi.

W serwisie Judykautra.pl znajdziesz argumenty do swojej sprawy dotyczącej RODO. Wszystko dzięki możliwości przeszukania ponad 850 wyroków Wojewódzkiego Sądu Administracyjnego w Warszawie oraz prawie 340 wyroków Naczelnego Sądu Administracyjnego.

Aktualizowana na bieżąco baza orzeczeń zawiera obecnie także ponad 80 wyroków Trybunału Sprawiedliwości Unii Europejskiej z zakresu ochrony danych osobowych oraz prywatności.

Możliwość przeszukania, w jednym miejscu, ponad 25 wytycznych, opinii i pism Grupy Roboczej art. 29,  Europejskiej Rady Ochrony Danych i Europejskiego Inspektora Ochrony Danych w błyskawiczny sposób doprowadzi Cię do poszukiwanego rozwiązania skomplikowanego stanu faktycznego dotyczącego przetwarzania danych osobowych.

Aktywny monitoring orzecznictwa RODO

Bądź na bieżąco z najnowszym orzecznictwem. Zastosowaliśmy najnowsze rozwiązania technologiczne monitorujące orzecznictwo. Dzięki temu Judykatura.pl reaguje błyskawicznie i codziennie aktualizuje serwis.

Dodatkowo, nasze systemy monitorują kilkanaście źródeł orzecznictwa, abyś w jednym miejscu mógł znaleźć konkretny argument w swojej sprawie. Judykatura.pl to platforma wiedzy, która powstała dla Inspektorów Ochrony Danych oraz specjalistów odpowiedzialnych za przestrzeganie prawa ochrony danych osobowych.

Przyjazna nawigacja i posortowane wyniki

Wyniki wyszukiwania w Judykatura.pl zostają automatycznie posortowane i oznaczone odpowiednią ikoną oraz kolorem. Dla przykładu: czerwona ikona z literą “W” oznacza “Wyrok”, natomiast zielone “W” to “Wytyczne”. “Postanowienie”, “Wytyczne”, “Decyzja”, “Uchwała”, itd. Pracę z wynikami wyszukiwania wspomaga również rozbudowany system tagów oraz powiązań orzeczeń z poszczególnymi artykułami m.in. RODO, UŚUDE, Prawa bankowego…

Dzięki automatycznemu systemowi sortowania dostajesz to czego szukasz. Od razu.

Judykatura.pl zawiera kilkanaście rodzajów dokumentów, od wyroków sądów po decyzje administracyjne krajowych i zagranicznych organów nadzorczych. Dzięki nim zgromadzisz niezbędne argumenty wsparte konkretami, co pomoże Ci skutecznie wdrożyć oraz egzekwować wymogi RODO. Przeszukuj zasoby serwisu poprzez wskazanie konkretnego organu wydającego orzeczenie, decyzję czy wytyczną. Możesz także wybrać konkretny artykuł RODO w celu wskazania wszystkich dotyczących go dokumentów.

Bazę prawie 2000 orzeczeń i decyzji możesz również przeszukiwać z użyciem eksperckich tagów, co pozwala na błyskawiczne zawężenie wyników researchu.

Kup dowolną subskrypcję do 21 października 2022 r.:

judykatura.pl odliczanie

Gwarantuję Ci to otrzymanie obecnych cen:

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
179
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
1933
 PLN z VAT
2148
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Subskrypcja 180 dni
Przez 180 dni masz dostęp do wszystkich elementów subskrypcji 30 dni:
1020
 PLN z VAT
1074
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualną konsultację z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (1 konsultacja w ramach obowiązującej subskrypcji)
Wybieram

Serwis Judykatura.pl pozwala także na błyskawiczne odnalezienie poszukiwanych argumentów z zakresu prawa ochrony danych osobowych. Praca z wynikami wyszukiwania czy treścią szukanego dokumentu jest szybka i intuicyjna.

Ze względu na szereg funkcjonalności wdrożonych w serwisie Użytkownik na pierwszy rzut oka może zapoznać się z takimi informacjami jak oznaczenie sprawy, organ rozpoznający sprawę, datę wydania orzeczenia czy decyzji, jej status odnoszący się do wyniku orzeczenia (uchylono, oddalono skargę, oddalono skargę kasacyjna) oraz prawomocności takiego orzeczenia lub jej braku.

Funkcjonalności serwisu Judykatura.pl

Powiązane dokumenty w wyniku wyszukiwania

W tym widoku Użytkownik może także zapoznać się z powiązanymi dokumentami. W widocznym miejscu umieszczono interaktywny link do treści decyzji administracyjnej, czy wyroku, który stanowiły podstawę wydania orzeczenia znajdującego się w wyniku wyszukiwania. To pozwala na natychmiastowe prześledzenie całego “cyklu” sprawy tj. od wydania decyzji administracyjnej po orzeczenie sądu pierwszej oraz drugiej instancji.

W niektórych przypadkach powiązane dokumenty odnoszą się do innych orzeczeń sądu pierwszej instancji czy Trybunału Sprawiedliwości związanych tematycznie z przedmiotem rozpoznawanym przez organ.

Jak widać przejrzystość wyników wyszukiwania to nie tylko pogrupowanie najważniejszych informacji, w sposób umożliwiający największe skupienie przy zapoznawaniu się z tymi informacjami, ale także dużo więcej. Na pierwszym planie widać przypisane do orzeczenia, czy dokumentu konkretne artykuły rozporządzenia o ochronie danych, które są interaktywne i grupują tematycznie dokumenty. Tagi umieszczone bezpośrednio pod artykułami pozwalają przejrzeć wszystkie dokumenty dotyczące treści tagu np. zgody marketingowej czy kar pieniężnych.

Dokumenty z podobnych tagów

Kolejną funkcjonalnością serwisu Judykatura.pl jest możliwość bezpośredniego zapoznania się z dokumentami odpowiadającymi zakresowi tematycznemu czytanego orzeczenia czy decyzji. Dokumenty znajdujące się w serwisie Judykatura.pl skategoryzowane są także ze względu na tag, który przypisywane jest przez autora serwisu.

Taka funkcjonalność pozwala na natychmiastowe przejście do dokumentów powiązanych tematycznie, a pochodzących z kilkunastu źródeł. W jednym miejscu znajdują się informacje o podobnych sprawach prowadzonych przez europejskie organy nadzorcze czy też krajowe sądy powszechne.

Nie spodziewałem się takiego orzeczenia WSA w Warszawie. Kilka dni temu opublikowano uzasadnienie orzeczenia, w którym oddalono skargę Pana S.J. na pewną decyzję Prezesa UODO odmawiającą uwzględniania wniosku.

Stan faktyczny wyglądał następująco:

  • w dniu […] grudnia 2019 r. do Urzędu Ochrony Danych Osobowych wpłynęła skarga S. J., prowadzącego działalność gospodarczą pod firmą […], na nieprawidłowości w przetwarzaniu jego danych osobowych przez […] Sp. z o.o. z siedzibą w […], polegające na bezprawnym przetwarzaniu jego danych osobowych w celach marketingowych bez podstawy prawnej.
  • Organ ustalił, że Spółka pozyskała dane osobowe skarżącego w zakresie wynikającym z prowadzonej przez niego działalności gospodarczej (imię, nazwisko, adres, nazwa firmy, numer telefonu) w 2017 r. ze źródeł ogólnodostępnych, tj. z należącej do niego strony internetowej, w celu przedstawienia oferty marketingowej.
  • W toku postępowania Spółka wskazała: “W roku 2017 nasi pracownicy wykonali telefon do pana J.. Podczas rozmowy poprosił on o usunięcie jego danych z naszych baz, co też niezwłocznie zostało uczynione. Niestety system komputerowy, z którego wówczas korzystaliśmy umożliwiał trwałe skasowanie danych, ale nie jednoczesne ich zablokowanie. Oznacza to, że po roku 2017 danych pana J. nie posiadaliśmy, ale istniała teoretyczna możliwość, że kiedyś się pojawią, zostaną wprowadzone ponownie. Istniała taka techniczna możliwość

W listopadzie 2019 r. Spółka ponownie pozyskała numer telefonu skarżącego ze źródeł ogólnodostępnych, tj. z należącej do niego strony internetowej, w zakresie danych wynikających z prowadzonej przez niego działalności gospodarczej. Spółka prowadzi doradztwo biznesowe w zakresie możliwości pozyskiwania środków unijnych. Połączenie telefoniczne na wskazany na stronie internetowej skarżącego numer telefonu Spółka wykonała w celu – jak określiła – spełnienia obowiązku informacyjnego i nawiązania współpracy. W trakcie rozmowy telefonicznej skarżący zażądał usunięcia jego danych osobowych, co też Spółka niezwłocznie uczyniła.

Spółka oświadczyła, że jej zdaniem strona internetowa skarżącego “zachęca do współpracy”, co wynika z treści rodzaju: “znajdź nas” i podania przy tym numeru telefonu kontaktowego.

Od listopada 2019 r. Spółka nie przetwarza danych osobowych skarżącego.

Uwzględniając powyższe Prezes UODO stwierdził, że przedmiotowa sprawa dotyczy danych osobowych z zakresu tzw. “danych zwykłych”, których przetwarzanie uregulowane jest w art. 6 ust. 1 ogólnego rozporządzenia o ochronie danych. Przepis ten stanowi, że przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z określonych w nim przesłanek legalizujących proces przetwarzania danych.

Oznacza to, że przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. W myśl art. 6 ust. 1 lit. f ww. rozporządzenia przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych.

Organ wskazał, iż w listopadzie 2019 r. Spółka pozyskała numer telefonu skarżącego ze źródeł ogólnodostępnych, tj. z należącej do niego strony internetowej w zakresie danych, wynikających z prowadzonej przez niego działalności gospodarczej. Spółka prowadzi doradztwo biznesowe w zakresie możliwości pozyskiwania środków unijnych. Połączenie telefoniczne na wskazany na stronie internetowej skarżącego numer telefonu Spółka wykonała w celu nawiązania z nim współpracy biznesowej stosownie do treści zachęcających ku temu na jego stronie internetowej.

Prezes UODO tak napisał w decyzji:

W ocenie organu, za realizowany przez Spółkę – jako administratora – prawnie uzasadniony interes, o którym mowa w art. 6 ust. 1 lit. ogólnego rozporządzenia o ochronie danych, należy uznać prowadzenie działalności marketingowej. Potwierdza to również motyw 47 preambuły ww. rozporządzenia, który wskazuje, że za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego. Brak jest zatem podstaw do przyjęcia, że realizacja ww. prawnie uzasadnionego interesu Spółki, polegającego na wykonaniu połączenia telefonicznego w celu przedstawienia propozycji współpracy, musiała ustąpić wobec nadrzędnych w stosunku do niej interesów lub podstawowych praw i wolności skarżącego, w tym wymagających ochrony danych osobowych. Przetwarzane w kwestionowany przez skarżącego sposób dane osobowe, są bowiem danymi związanymi z prowadzoną przez niego działalnością gospodarczą i w związku z tym są przez niego udostępniane, do kontaktu.

Poniższe ustalenie Prezesa UODO jest niesamowite:

Wprawdzie Spółki i skarżącego w chwili wykonania do niego połączenia nie łączyły żadne relacje biznesowe, jednak wobec tak sformułowanej na jego stronie internetowej zachęty nie mógł on przyjmować, że ofert marketingowych drogą elektroniczną nie będzie otrzymywał.

Spółka wykazała przy tym, że jej intencją było w pierwszej kolejności wypełnienie obowiązku informacyjnego, o którym mowa w art. 14 ogólnego rozporządzenia o ochronie danych.

Uznać należy, że w przedmiotowych okolicznościach przetwarzanie przez Spółkę jawnych danych osobowych, dotyczących działalności gospodarczej i widniejących na należącej do skarżącego stronie internetowej jako jego dane kontaktowe, znajduje oparcie w przytoczonym art. 6 ust. 1 lit. f ww. rozporządzenia. Zatem ich pozyskanie i przetwarzanie, w ocenie organu, było zgodne z prawem.

Organ wskazał również, że w trakcie rozmowy telefonicznej skarżący zażądał usunięcia jego danych osobowych, co też Spółka niezwłocznie uczyniła, w związku z czym od listopada 2019 r. nie przetwarza ww. danych.

W ocenie organu nie ma podstaw, aby stwierdzić, że doszło w tym zakresie do naruszenia przepisów dotyczących ochrony danych osobowych. Nie ma także podstaw do zastosowania przepisu art. 58 ust. 2 ww. rozporządzenia stanowiącego o uprawnieniach naprawczych organu, a zatem rozstrzygnięcie o odmowie uwzględnienia wniosku skarżącego jest uzasadnione.

Z akt sprawy wynika:

że w listopadzie 2019 r. […] Sp. z o.o. z siedzibą w […] pozyskała numer telefonu skarżącego – S. J. z należącej do niego, ogólnodostępnej strony internetowej, w zakresie danych wynikających z prowadzonej przez niego działalności gospodarczej i w celu przedstawienia oferty współpracy. Spółka jest firmą doradczą i prowadzi doradztwo biznesowe w zakresie możliwości pozyskiwania środków unijnych (sporządza wnioski dla polskich przedsiębiorców). Realizacja ww. działalności była powodem przetwarzania danych skarżącego. Potwierdzają to zarówno wyjaśnienia Spółki złożone do organu w dniu […] czerwca 2020 r. jak i załączone do nich wydruki ze stron internetowych wraz z wewnętrzną korespondencją Spółki (k. 16 i nast. akt admin, k. 39 – 40 akt admin.).

Wprawdzie, jak trafnie zauważył organ, w chwili wykonania połączenia telefonicznego do skarżącego nie łączyły go ze Spółką żadne relacje gospodarcze czy biznesowe, jednak wobec sformułowanej na jego stronie internetowej “zachęty do kontaktu” skarżący nie mógł wykluczyć, że nie będzie otrzymywać ofert marketingowych drogą elektroniczną.

Ponadto, z ww. materiału dowodowego wynika, że w trakcie rozmowy telefonicznej z pracownikiem Spółki skarżący zażądał usunięcia jego danych osobowych. Spółka dokonała niezwłocznie usunięcia ww. danych i od listopada 2019 r. nie przetwarza tychże danych.

Zdaniem Sądu:

organ prawidłowo uznał, że podstawę przetwarzania danych osobowych skarżącego stanowił art. 6 ust. 1 lit. f ogólnego rozporządzenia o ochronie danych, przy czym za realizowany przez Spółkę prawnie uzasadniony interes, o którym mowa w ww. przepisie, należało uznać prowadzenie działalności marketingowej. Prawidłowo również organ powołał się na motyw 47 ww. rozporządzenia, zgodnie z którym “za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych dla celów marketingu bezpośredniego”.

W konsekwencji organ zasadnie uznał, iż pozyskanie i przetwarzanie jawnych danych osobowych skarżącego było zgodne z prawem, a tym samym brak było podstaw do zastosowania przez organ uprawnień naprawczych określonych w art. 58 ust. 2 ww. rozporządzenia.

Odnośnie kwestii wypełnienia obowiązku informacyjnego wskazać należy, że:

w wyjaśnieniach z dnia […] czerwca 2020 r. Spółka stwierdziła, że “celem rozmowy w 2019 r. było spełnienie obowiązku informacyjnego, a następnie przedstawienie (…) oferty współpracy”. Następnie, w wyjaśnieniach z dnia […] października 2020 r., Spółka potwierdziła, że w dniu […] listopada 2019 r. podczas rozmowy telefonicznej spełniła obowiązek podania informacji w przypadku zbierania danych w sposób inny niż od osoby, której dane dotyczą.

Informacja ta obejmowała źródło pochodzenia oraz zakres posiadanych danych. Jednocześnie Spółka wyjaśniła, że nie posiada nagrania z rozmowy ze skarżącym, bowiem zostało ono skasowane zgodnie z jego prośbą.

Według Sądu stwierdzić należy, że organ nie miał podstaw do tego aby kwestionować oświadczenie Spółki co do wypełnienia obowiązku informacyjnego przy pierwszym kontakcie z podmiotem danych, tj. podczas ww. rozmowy telefonicznej ze skarżącym.

Wbrew twierdzeniom skargi organ, stosownie do wymogów art. 7, art. 77 § 1 i art. 80 k.p.a., w sposób wyczerpujący zebrał i ocenił zgromadzony w sprawie materiał dowodowy. Ocena ta nie ma charakteru arbitralnego. W aktach sprawy brak jest dowodów, które skutecznie podważałyby poczynione przez organ ustalenia oraz ich ocenę. Brak jest zatem podstaw aby przyjąć, że organ dopuścił się naruszenia zasady rozliczalności określonej w art. 4 ust. 2 ogólnego rozporządzenia o ochronie danych w kontekście oceny spełnienia przez Spółkę obowiązku informacyjnego względem skarżącego.

Według Sądu:

Nie jest również trafny zarzut naruszenia art. 21 ust. 3 ww. rozporządzenia wobec – jak podnosił skarżący – przetwarzania jego danych osobowych do celów marketingu bezpośredniego pomimo wniesionego sprzeciwu.

Z ustaleń poczynionych przez organ wynika bowiem, że do pozyskania i przetwarzania danych osobowych skarżącego przez Spółkę oraz do wniesienia przez skarżącego sprzeciwu doszło pierwotnie w 2017 r., kiedy to obowiązywała ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Proces ten nie był przedmiotem oceny organu ochrony danych osobowych. Natomiast skarga w niniejszej sprawie została skierowana przez skarżącego do organu w dniu […] grudnia 2019 r. i dotyczyła odrębnego, nowego procesu przetwarzania danych osobowych skarżącego mającego miejsce w listopadzie 2019 r. pod rządami ogólnego rozporządzenia o ochronie danych, które ma zastosowanie od dnia 25 maja 2018 r. Zatem w zakresie pozyskania i przetwarzania danych skarżącego w listopadzie 2019 r., a także wniesienia przez niego sprzeciwu, miały zastosowanie wyłącznie przepisy ww. rozporządzenia.

Natomiast pierwotny proces przetwarzania danych osobowych skarżącego został zakończony przed dniem 25 maja 2018 r., a więc dla rozstrzygnięcia niniejszej sprawy nie ma istotnego znaczenia wniesienie przez skarżącego sprzeciwu wobec mającego miejsce uprzednio (w czasie obowiązywania u.o.d.o. z 1997 r.) procesu przetwarzania danych.

Według Sądu organ nadzorczy prawidłowo:

uwzględnił bowiem wyjaśnienia Spółki, z których wynika, że wobec wniesienia przez skarżącego sprzeciwu w oparciu o art. 21 ust. 2 ww. rozporządzenia, Spółka niezwłocznie usunęła jego dane, a więc zaprzestała przetwarzania stosownie do art. 21 ust. 3 rozporządzenia.

Nieuzasadniony jest wobec tego zarzut skarżącego dotyczący naruszenia art. 13 ust. 3 ww. rozporządzenia poprzez pominięcie w sprawie oceny obowiązków administratora danych do podjęcia działań w wyniku wniesionego przez skarżącego sprzeciwu. Organ ustalił bowiem w oparciu o wyjaśnienia Spółki, że wobec wniesienia przez skarżącego sprzeciwu, Spółka trwale zaprzestała przetwarzania jego danych osobowych.

Sądowi z urzędu znana jest okoliczność, że:

prawomocnym postanowieniem z dnia 16 czerwca 2021 r. sygn. akt II SA/Wa 2403/20 Wojewódzki Sąd Administracyjny w Warszawie uchylił postanowienie Prezesa UODO z dnia […] października 2020 r. nr […] odmawiające uwzględnienia wniosku skarżącego z dnia […] września 2020 r. o udostępnienie kopii stanowiska Spółki z dnia […] czerwca 2020 r.

Sąd zaakceptował stanowisko, w którym organ bowiem prawidłowo uznał w zaskarżonej decyzji, że przetwarzanie danych osobowych skarżącego znajdowało oparcie w art. 6 ust. 1 lit. f ogólnego rozporządzenia o ochronie danych.