Teza wyroku
- W dniu 31 sierpnia 2022 r. D. K. (dalej: “wnioskodawca”) wniósł do organu skargę na nieprawidłowości w procesie przetwarzania danych osobowych przez skarżącą, polegające na udostępnieniu osobom nieuprawnionym jego danych w zakresie imienia i nazwiska oraz adresu poczty elektronicznej i numeru telefonu, podczas identyfikacyjnego uprawnienia do skorzystania z usługi przewozowej.
- W uzasadnieniu decyzji organ wskazał, że skarżąca pozyskała dane osobowe wnioskodawcy w zakresie jego imienia, nazwiska, adresu poczty elektronicznej, numeru telefonu oraz numeru konta bankowego w związku z zawarciem szeregu umów o zakup biletów uprawniających go do skorzystania z usługi transportowej.
- Następnie, jak wynika z nagrań rozmów z kierowcą autobusu realizującego dany kurs, podczas identyfikacji uprawnienia wnioskodawcy do skorzystania z usługi przewozowej, nie tylko poproszono go o podanie nazwiska, które niezwłocznie zostało powtórzone na głos przez kierowcę, lecz także pracownik spółki sam z własnej inicjatywy podjął dialog w którym pierwszy ujawnił jego nazwisko.
- Sąd uznał, że wymienienie przez D. K. jego imienia i nazwiska, a później ich powtórzenie przez kierowcę pojazdu nie mogły być traktowane jako przetworzenie danych osobowych w rozumieniu RODO, gdyż akt ten dotyczy zdarzeń związanych z przetwarzaniem informacji (gromadzenie, transfer itp.) gdzie możliwe jest mechaniczne odnajdywanie informacji o osobach – ich danych osobowych – w szczególności w ramach systemów teleinformatycznych.
- WSA stanął na stanowisku, że przetwarzanie danych w tym przypadku (i ich ewentualne ujawnienie) nie jest objęte regułami RODO, determinującym ramy kompetencji do rozstrzygania spraw w trybie administracyjnym. Właściwości organu administracji nie można przy tym wykładać rozszerzająco, wobec treści art. 2 § 3 ustawy z dnia 17 listopada 1964 r. – Kodeks postępowania cywilnego (Dz.U. z 2020, poz. 1575 ze zm., dalej: “K.p.c.”) z którego wynika, że właściwość organu administracji musi być wskazana wprost.
- W realiach niniejszej sprawy metodologiczna poprawność wymaga, aby w pierwszej kolejności rozważyć zarzut naruszenia art. 2 ust. 1 w zw. z art. 4 pkt 2 i 6 RODO.
- W sprawie nie jest kwestionowane, że skarżąca Spółka pełniła rolę administratora danych osobowych wnioskodawcy. Jest bezsporne, że skarżąca Spółka pozyskała dane osobowe wnioskodawcy w zakresie imienia, nazwiska, adresu zamieszkania, adresu e-mail, loginu, numeru telefonu oraz numeru konta bankowego, na podstawie dobrowolnego ich udostępnienia w związku z zakupem biletu autobusowego za pośrednictwem strony internetowej. Żadna ze stron nie neguje, że Spółka przetwarzała dane osobowe wnioskodawcy na podstawie art. 6 ust. 1 lit. b RODO, tj. w celu zawarcia i realizacji umowy przewozu osób lub rzeczy.
- Nie można wobec powyższego podzielić oceny WSA, że w niniejszej sprawie przetwarzanie danych osobowych wnioskodawcy nie mieści się w zakresie stosowania RODO, albowiem nie ma charakteru całkowicie lub częściowo zautomatyzowanego, względnie nie jest niezautomatyzowanym przetwarzaniem danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych – art. 2 ust. 1 RODO.
- O ile zatem zwrócenie się samym imieniem i nazwiskiem do osoby w miejscu publicznym i to nawet w obecności innych osób nie musi wiązać się z naruszeniem RODO, gdyż dotyczy ujawnienia danych osobowych nie stanowiących zbioru danych, albo niemogących stanowić części zbioru danych z uwagi na kontekst ich ujawnienia – spotkanie towarzyskie, przedstawienie osoby fizycznej na oficjalnym spotkaniu, to już powiązanie tych danych z innymi informacjami może takie naruszenie kreować.
Treść wyroku
|
|
|||
|
2023-10-03 | |||
|
Naczelny Sąd Administracyjny | |||
|
Maciej Kobak /sprawozdawca/ Piotr Korzeniowski /przewodniczący/ Teresa Zyglewska |
|||
|
647 Sprawy związane z ochroną danych osobowych | |||
|
Ochrona danych osobowych | |||
|
Generalny Inspektor Ochrony Danych Osobowych | |||
|
Uchylono zaskarżony wyrok i przekazano sprawę do ponownego rozpoznania przez Wojewódzki Sąd Administracyjny | |||
|
Dz.U. 2023 poz 259 art. 145 par 1 pkt 1 lit. a oraz par 3 Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi – t.j. Dz.U. 2019 poz 1781 art. 1 ust. 22 pkt 4 i 5 oraz art. 60 Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (t. j.) Dz.U. 2021 poz 735 art. 61 par 1 Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego – tekst jedn. Dz.U. 2020 poz 1575 art. 2 par 3 Ustawa z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego – t.j. |
|||
|
Sentencja
Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Piotr Korzeniowski Sędziowie sędzia NSA Teresa Zyglewska sędzia del. WSA Maciej Kobak (spr.) Protokolant asystent sędziego Krzysztof Książek po rozpoznaniu w dniu 11 lutego 2025 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Prezesa Urzędu Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 5 czerwca 2023 r. sygn. akt II SA/Wa 1818/22 w sprawie ze skargi N. sp.j. z siedzibą w N. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 28 lipca 2022 r. nr DS.523.5173.2020.PR.AK./178379 w przedmiocie przetwarzania danych osobowych I. uchyla zaskarżony wyrok i przekazuje sprawę do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie; II. zasądza od N. sp.j. z siedzibą w N. na rzecz Prezesa Urzędu Ochrony Danych Osobowych kwotę 580 (pięćset osiemdziesiąt) złotych tytułem zwrotu kosztów postępowania kasacyjnego. |
||||
|
Uzasadnienie
Wyrokiem z dnia 5 czerwca 2023 r. sygn. akt II SA/Wa 1818/22 Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu skargi N. sp. j. z siedzibą w N. (dalej: “skarżąca”) na decyzję Prezesa Urzędu Ochrony Danych Osobowych (dalej: “organ”) z dnia 28 lipca 2022 r. nr DS.523.5173.2020.PR.AK/178379 w przedmiocie przetwarzania danych osobowych
Powyższy wyrok zapadł w następujących okolicznościach faktycznych i prawnych sprawy. W dniu 31 sierpnia 2022 r. D. K. (dalej: “wnioskodawca”) wniósł do organu skargę na nieprawidłowości w procesie przetwarzania danych osobowych przez skarżącą, polegające na udostępnieniu osobom nieuprawnionym jego danych w zakresie imienia i nazwiska oraz adresu poczty elektronicznej i numeru telefonu, podczas identyfikacyjnego uprawnienia do skorzystania z usługi przewozowej. Decyzją z 28 lipca 2022 r. na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735, dalej: “K.p.a.”) w zw. z art. 7 ust 1 ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz. U. z 2019 r. poz. 1781, dalej: “u.o.d.o.”), art. 5 ust. 1, art. 6 ust. 1 i art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46WE (ogólne rozporządzenie o ochronie danych osobowych, Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23,05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35, dalej: “RODO”) organ udzielił skarżącej upomnienia za naruszenie art. 6 ust 1 art. w zw. z art. 5 ust. 1 lit f RODO i odmówił uwzględnienia wniosku w pozostałym zakresie. W uzasadnieniu decyzji organ wskazał, że skarżąca pozyskała dane osobowe wnioskodawcy w zakresie jego imienia, nazwiska, adresu poczty elektronicznej, numeru telefonu oraz numeru konta bankowego w związku z zawarciem szeregu umów o zakup biletów uprawniających go do skorzystania z usługi transportowej. Następnie, jak wynika z nagrań rozmów z kierowcą autobusu realizującego dany kurs, podczas identyfikacji uprawnienia wnioskodawcy do skorzystania z usługi przewozowej, nie tylko poproszono go o podanie nazwiska, które niezwłocznie zostało powtórzone na głos przez kierowcę, lecz także pracownik spółki sam z własnej inicjatywy podjął dialog w którym pierwszy ujawnił jego nazwisko. Powyższa decyzja stała się przedmiotem skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie. W odpowiedzi na skargę organ wniósł o jej oddalenie omawiając niezasadność podniesionych zarzutów. Opisanym na wstępie wyrokiem WSA w Warszawie uwzględnił skargę. Sąd uznał, że wobec bezsporności faktów istotnych w kontekście oceny, czy organ administracji jest kompetentny do zastosowania środków przewidzianych w RODO, w świetle reguł ustawy o danych zabrakło podstaw do orzekania w sprawie co do meritum. W takim układzie organ nie mógł wykonać kompetencji określonych w art. 58 ust. 2 lit. b. Orzekając w sprawie naruszył więc dany przepis prawa materialnego zakreślający kompetencje organu, poprzez bezpodstawne zastosowanie, wobec art. 2 ust. 1 w zw. z art. 4 pkt 6 u.o.d.o.. W ocenie Sądu w rozpatrywanej sprawie nie wystąpiły przesłanki prowadzenia postępowania przed danym organem i winno być ono umorzone. Sąd uznał, że wymienienie przez D. K. jego imienia i nazwiska, a później ich powtórzenie przez kierowcę pojazdu nie mogły być traktowane jako przetworzenie danych osobowych w rozumieniu RODO, gdyż akt ten dotyczy zdarzeń związanych z przetwarzaniem informacji (gromadzenie, transfer itp.) gdzie możliwe jest mechaniczne odnajdywanie informacji o osobach – ich danych osobowych – w szczególności w ramach systemów teleinformatycznych. Nie dotyczy ono zaś zdarzeń, pozostających w związku z ujawnieniem (a więc przetworzeniem) danych osobowych, w innych sytuacjach – np. możliwości poznania imienia i nazwiska określonej osoby, wobec głośnego jego wypowiedzenia (przez kierowcę czy pasażera autobusu), nawet gdy znajduje się ono równocześnie w określonym zbiorze informacji (liście pasażerów), choćby prowadzono ją w formie elektronicznej. WSA stanął na stanowisku, że przetwarzanie danych w tym przypadku (i ich ewentualne ujawnienie) nie jest objęte regułami RODO, determinującym ramy kompetencji do rozstrzygania spraw w trybie administracyjnym. Właściwości organu administracji nie można przy tym wykładać rozszerzająco, wobec treści art. 2 § 3 ustawy z dnia 17 listopada 1964 r. – Kodeks postępowania cywilnego (Dz.U. z 2020, poz. 1575 ze zm., dalej: “K.p.c.”) z którego wynika, że właściwość organu administracji musi być wskazana wprost. Organ zaskarżył powyższy wyrok w całości zarzucając mu naruszenie: 1. przepisów prawa procesowego, tj.: art. 145 § 1 pkt 1 lit. a oraz § 3 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r. poz. 259, dalej: “P.p.s.a.”) w zw. z art. 1 ust. 2 pkt 4 i 5 oraz art. 60 u.o.d.o, w zw. z art. 61 § 1 K.p.a. i w zw. z art. 58 ust. 2 lit. b RODO, poprzez jego zastosowanie w wyniku błędnego uznania, że organ nie był właściwy do rozpoznania i wydania rozstrzygnięcia w przedmiotowej sprawie administracyjnej zgodnie z przysługującymi mu kompetencjami, co miało istotny wpływ na wynik sprawy; 2. prawa materialnego, tj.: art. 2 ust. 1 w zw. z art. 4 pkt 2 i 6 RODO poprzez ich błędną wykładnię i w efekcie niezastosowanie z powodu uznania, że w tej sprawie nie doszło do ujawnienia danych osobowych ze zbioru danych, tym samym ich przetworzenia, co miało istotny wpływ na wynik sprawy. W oparciu o powyższe zarzuty wniesiono o uchylenie wyroku w całości i rozpoznanie skargi kasacyjnej przez Naczelny Sąd Administracyjny, ewentualnie, o uchylenie wyroku w całości i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie, oraz o zasądzenie zwrotu kosztów postępowania na rzecz organu, w tym kosztów zastępstwa procesowego i rozpoznanie skargi kasacyjnej na rozprawie. W odpowiedzi na skargę kasacyjną skarżąca wniosła o jej oddalenie w całości, zasądzenie od organu na rzecz skarżącej zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego, oświadczając iż nie sprzeciwia się rozpoznaniu sprawy na posiedzeniu niejawnym. Naczelny Sąd Administracyjny zważył, co następuje:Stosownie do art. 183 § 1 P.p.s.a., Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania. W rozpoznawanej sprawie nie zachodzi żadna z okoliczności skutkujących nieważnością postępowania, o jakich mowa w art. 183 § 2 P.p.s.a. i nie zachodzi żadna z przesłanek, o których mowa w art. 189 P.p.s.a., które Naczelny Sąd Administracyjny rozważa z urzędu dokonując kontroli zaskarżonego skargą kasacyjną wyroku. Wobec tego Naczelny Sąd Administracyjny przeszedł do zbadania zarzutów kasacyjnych. Skarga kasacyjna podlega uwzględnieniu. W realiach niniejszej sprawy metodologiczna poprawność wymaga, aby w pierwszej kolejności rozważyć zarzut naruszenia art. 2 ust. 1 w zw. z art. 4 pkt 2 i 6 RODO. Konstruując oceny prawne w oparciu o powołane przepisy WSA doszedł bowiem do przekonania, że w realiach sprawy nie doszło do przetwarzania danych osobowych na zasadach normowanych przepisami RODO, co zastępczo doprowadziło Sąd do stwierdzenia, że PUODO nie posiadał kompetencji do jej wszczęcia, prowadzenia i decyzyjnego rozstrzygnięcia. Kierunek weryfikacji zarzutu naruszenia art. 2 ust. 1 w zw. z art. 4 pkt 2 i 6 RODO determinuje więc zasadność zarzutu naruszenia art. 145 § 1 pkt 1 lit. a oraz § 3 P.p.s.a. w zw. z art. 1 ust. 2 pkt 4 i 5 oraz art. 60 u.o.d.o, w zw. z art. 61 § 1 K.p.a. i w zw. z art. 58 ust. 2 lit. b RODO, w ramach którego zakwestionowano stanowisko WSA o braku właściwości (kompetencji) PUODO do rozstrzygnięcia niniejszej sprawy. Traktat o Unii Europejskiej (dalej TUE) wskazuje, że UE może podejmować tylko takie działania, do których Unia została wyraźnie upoważniona przez państwa członkowskie (art. 5 TUE). Podział kompetencji pomiędzy UE a państwa członkowskie został dokonany w przepisach art. 2-6 Traktatu o funkcjonowaniu Unii Europejskiej (dalej TFUE). Rozdział ich nastąpił przy zastosowaniu bardzo ogólnych kategorii pojęciowych. Sama analiza tych przepisów jest zatem niewystarczająca dla ustalenia zakresu kompetencji legislacyjnych UE. W zakresie przedmiotowo istotnym z punktu widzenia rozpoznawanej sprawy konieczne jest odwołanie się do art. 16 TFUE. Zgodnie z art. 16 ust. 1 TFUE każda osoba ma prawo do ochrony danych osobowych jej dotyczących. Z ust. 2 wynika z kolei, że Parlament Europejski i Rada, stanowiąc zgodnie ze zwykłą procedurą ustawodawczą, określają zasady dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii oraz przez Państwa Członkowskie w wykonywaniu działań wchodzących w zakres zastosowania prawa Unii, a także zasady dotyczące swobodnego przepływu takich danych. Przestrzeganie tych zasad podlega kontroli niezależnych organów. Prawo to uregulowane zostało także w art. 8 ust. 1 Karty Praw Podstawowych UE, zgodnie z którym każdy ma prawo do ochrony danych osobowych, które go dotyczą. Unia Europejska była zatem kompetentna w zakresie wprowadzenia przepisów RODO. Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest bowiem jednym z praw podstawowych, a ich ochrona jest sensem funkcjonowania UE. Zatem ochrona prawa do prywatności, w tym ochrona osób fizycznych w zakresie przetwarzania danych osobowych, jest działalnością objętą zakresem prawa Unii w rozumieniu art. 2 ust. 2a RODO. Przedmiotowy zakres zastosowania przepisów RODO w aspekcie pozytywnym określony został w przepisie art. 2 ust. 1 RODO. W art. 2 ust. 1 RODO przyjęto, że rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych. Zatem “zgodnie z brzmieniem art. 2 ust. 1 rozróżnić należy dwa rodzaje relewantnych procesów przetwarzania danych osobowych kwalifikujących je do objęcia zakresem ochronnym rozporządzenia. Pierwszy to przetwarzanie danych osobowych odbywające się w sposób zautomatyzowany lub częściowo zautomatyzowany bez związku z tym, czy dane w ten sposób przetwarzane staną się lub mają (mogą) stać się częścią zbioru. Drugi natomiast to przetwarzanie w sposób inny niż zautomatyzowany, jednakże wówczas, gdy dane w ten sposób przetwarzane stanowią część zbioru danych lub mają (mogą) stanowić część zbioru danych” (zob. D. Lubosz, RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Warszawa 2018, s. 125). Z przepisu tego wynika więc, że przetwarzanie danych, które odbywa się w sposób niezautomatyzowany (ręcznie), a jednocześnie przetwarzane dane nie stanowią (lub nie mają stanowić) zbioru, nie jest objęte zakresem przedmiotowym RODO. Nadto RODO nie znajduje zastosowania także do przetwarzania danych osobowych: a) w ramach działalności nieobjętej zakresem prawa Unii; b) przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdział 2 TUE; c) przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze; d) przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom (art. 2 ust. 2 RODO). Z utrwalonego orzecznictwa wynika, że ochrona prawa podstawowego do prywatności, zagwarantowanego przez art. 7 Karty Praw Podstawowych, UE wymaga, aby odstępstwa od ochrony danych osobowych i jej ograniczenia były stosowane jedynie wtedy, gdy jest to absolutnie konieczne, a wykładnia regulujących je przepisów powinna być dokonywana przez pryzmat praw podstawowych zawartych w Karcie i w sposób ścisły. Przetwarzanie, o którym mowa w art. 2 ust. 1 RODO zostało definicyjnie ujęte szeroko i czynnościowo w art. 4 pkt 2 RODO. W rozumieniu tego przepisu “przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Jednocześnie “zbiór danych” to uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie (art. 4 pkt 6 RODO). W świetle tej definicji zbiorem danych jest zestaw informacji spełniające następujące kryteria: – musi to być zestaw informacji stanowiących dane osobowe w rozumieniu przepisu art. 4 pkt 1 RODO, – zestaw tych danych musi być uporządkowany, a zatem musi mieć określoną strukturę, – dane osobowe zawarte w tym zestawie informacji dostępne być muszą według określonych kryteriów. Dopełnieniem przedstawionych powyżej kryteriów jest wskazanie, iż na fakt istnienia zbioru danych nie ma wpływu to czy “zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie”. Przy współczesnych możliwościach technicznych kwestia miejsca faktycznego położenia danych tworzących zbiór nie ma charakteru zasadniczego, podobnie jak podział funkcjonalny. Zbiór może być scentralizowany, tzn., dane mogą być skupione w jednym miejscu albo zdecentralizowany, tzn. dane mogą być skupione w różnych miejscach, co nie przeszkadza ich traktować jako jeden zbiór danych. Wskazać należy także, że do przetwarzania danych osobowych wykorzystywane są tzw. rozproszone bazy danych, których charakterystyczną cechą jest to, iż mimo, że dane znajdują się w wielu miejscach, to traktowane są one jako jedna logiczna całość. Zatem aby określone dane mogły być kwalifikowane jako zbiór lub jako jego część muszą być nośnikiem informacji charakterystycznych lub specyficznych dla tego zbioru np. dane dotyczące imienia i nazwiska, miejsca zamieszkania, numeru PESEL, adresu email, numeru telefonu. W sprawie nie jest kwestionowane, że skarżąca Spółka pełniła rolę administratora danych osobowych wnioskodawcy. Jest bezsporne, że skarżąca Spółka pozyskała dane osobowe wnioskodawcy w zakresie imienia, nazwiska, adresu zamieszkania, adresu e-mail, loginu, numeru telefonu oraz numeru konta bankowego, na podstawie dobrowolnego ich udostępnienia w związku z zakupem biletu autobusowego za pośrednictwem strony internetowej. Żadna ze stron nie neguje, że Spółka przetwarzała dane osobowe wnioskodawcy na podstawie art. 6 ust. 1 lit. b RODO, tj. w celu zawarcia i realizacji umowy przewozu osób lub rzeczy. W przekonaniu Naczelnego Sądu Administracyjnego nie ma wątpliwości, że zakres informacji posiadanych przez skarżącą Spółkę stanowi zbiór danych, o jakim mowa w art. 4 pkt 6 RODO. Bez wątpienia są to informacje o zidentyfikowanej osobie fizycznej w rozumieniu art. 4 pkt 1 RODO. Są to również informacje uporządkowane i dostępne według określonych kryteriów, a więc podzielone i przyporządkowane takim identyfikatorom jak: imię, nazwisko, adres zamieszkania, adres e-mail, login, numer telefonu oraz numer konta bankowego. Nie można wobec powyższego podzielić oceny WSA, że w niniejszej sprawie przetwarzanie danych osobowych wnioskodawcy nie mieści się w zakresie stosowania RODO, albowiem nie ma charakteru całkowicie lub częściowo zautomatyzowanego, względnie nie jest niezautomatyzowanym przetwarzaniem danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych – art. 2 ust. 1 RODO. W doktrynie zauważono, że podstawowe dane osobowe człowieka (imię i nazwisko) są jego dobrem osobistym, ale jednocześnie są dobrem powszechnym w tym znaczeniu, że istnieje publiczna zgoda na posługiwanie się nimi w życiu społecznym (towarzyskim, urzędowym, handlowym itd.) – zob. M. Pieńczykowski, Ochrona danych osobowych jako negatywna przesłanka udostępniania informacji publicznej, Zeszyty Naukowe Sądownictwa Administracyjnego z 2018 r., nr 2, str. 64 i n. Wprawdzie zgodzić się należy z ogólnym poglądem wyrażonym w uzasadnieniu zaskarżonego wyroku, iż posłużenie się imieniem i nazwiskiem, a więc ujawnienie (przetworzenie) danych osobowych określonej osoby przy zwróceniu się do niej w miejscu publicznym nie musi jeszcze stanowić samo w sobie naruszenia RODO, lecz wyrażony przez Sąd I instancji wniosek jest jednak zbyt ogólny, aby miał charakter uniwersalny i pozwalał tym samym na oddalenie skargi. Problem ten może być rozstrzygnięty jedynie na tle konkretnych okoliczności sprawy, na tle ustalonego stanu faktycznego. Istotne jest powiązanie tych danych osobowych tj. imienia i nazwiska ze wspomnianymi wyżej specyficznymi cechami zbioru, który w realiach niniejszej sprawy obejmował dane osobowe: imię, nazwisko, adres zamieszkania, adres e-mail, login, numer telefonu oraz numer konta bankowego, pozyskane w celu realizacji zawartej z wnioskodawcą umowy. O ile zatem zwrócenie się samym imieniem i nazwiskiem do osoby w miejscu publicznym i to nawet w obecności innych osób nie musi wiązać się z naruszeniem RODO, gdyż dotyczy ujawnienia danych osobowych nie stanowiących zbioru danych, albo niemogących stanowić części zbioru danych z uwagi na kontekst ich ujawnienia – spotkanie towarzyskie, przedstawienie osoby fizycznej na oficjalnym spotkaniu, to już powiązanie tych danych z innymi informacjami może takie naruszenie kreować. Istotny jest więc kontekst treściowy i sytuacyjny, w ramach którego administrator danych użył imienia i nazwiska zwracając się do konkretnej osoby w miejscu publicznym oraz w obecności innych osób (jak wskazano wyżej nie dotyczy to użycia tych danych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze). W realiach niniejszej sprawy należy zatem przesądzić, że skarżąca Spółka była administratorem danych osobowych wnioskodawcy i przetwarzała je w ramach zbioru danych, o którym mowa w art. 2 ust. 1 w zw. z art. 4 pkt 6 RODO. Dokonana przez WSA wykładnia powołanych przepisów była wadliwa, albowiem w sposób nieuprawniony wyłączała z zakresu stosowania RODO przetwarzanie danych osobowych wnioskodawcy. Sporne jest to, czy skarżąca Spółka, jako administrator danych, doprowadziła do nieuprawnionego ujawnienia/rozpowszechnienia/udostępnienia danych osobowych wnioskodawcy, a zatem, czy nie przetwarzała tych danych z naruszeniem RODO. Konsekwencją przyjętej oceny prawnej musi być potwierdzenie zasadności zarzutu naruszenia art. 145 § 1 pkt 1 lit. a oraz § 3 P.p.s.a. w zw. z art. 1 ust. 2 pkt 4 i 5 oraz art. 60 u.o.d.o, w zw. z art. 61 § 1 K.p.a. i w zw. z art. 58 ust. 2 lit. b RODO. Działający w niniejszej sprawie organ posiadał kompetencje ustrojowe, procesowe i materialnoprawne do wydania decyzji administracyjnej. W tym stanie rzeczy Naczelny Sąd Administracyjny, działając na podstawie art. 185 § 1 p.p.s.a. uchylił w całości zaskarżony wyrok i przekazał sprawę Wojewódzkiemu Sądowi Administracyjnemu w Warszawie do ponownego rozpoznania. Rolą Sądu pierwszej instancji będzie skontrolować legalność kwestionowanej skargą decyzji PUODO przy założeniu, że w sprawie znajdowały zastosowanie przepisy RODO, a PUODO był umocowany do jej rozstrzygnięcia w formie decyzji administracyjnej. O kosztach postępowania kasacyjnego orzeczono na podstawie art. 203 pkt 2 i art. 205 § 2 P.p.s.a. |
||||
Tłumaczenie wyroku
|
|
|||
|
2023-10-03 | |||
|
Supreme Administrative Court | |||
|
Maciej Kobak /rapporteur/ Piotr Korzeniowski /chairman/ Teresa Zyglewska |
|||
|
647 Data protection cases | |||
|
Personal data protection | |||
|
Inspector General for the Protection of Personal Data | |||
|
The contested judgment was overturned and the case was referred back to the Provincial Administrative Court for re-examination | |||
|
Dz.U. 2023 item 259 art. 145 para. 1 item 1 letter a and para. 3 Act of 30 August 2002. Law on proceedings before administrative courts – i.j. Dz.U. 2019 poz 1781 art 1 para 22 item 4 and 5 and art 60 Act of 10 May 2018 on the protection of personal data (t.j.) Journal of Laws. 2021 poz 735 art. 61 par 1 Act of 14 June 1960 Code of administrative proceedings – unified text. Journal of Laws. 2020 poz 1575 art. 2 par 3 Act of 17 November 1964 Code of Civil Procedure – uniform text. |
|||
|
Sentence
The Supreme Administrative Court, composed of: President: judge NSA Piotr Korzeniowski Judges judge NSA Teresa Zyglewska judge del. WSA Maciej Kobak (spr.) Protokolanta asystent sędzia Krzysztof Książek having examined, on 11 February 2025 at a hearing in the General Administrative Chamber, the cassation appeal of the President of the Office for the Protection of Personal Data against the judgment of the Voivodship Administrative Court in Warsaw of 5 June 2023, ref. no. II SA/Wa 1818/22 in the case filed by N. sp.j. with its registered office in N. against the decision of the President of the Office for the Protection of Personal Data of 28 July 2022, ref. no. DS.523.5173.2020.PR.AK./178379 on the processing of personal data I. reverses the appealed judgment and remands the case for reconsideration to the Voivodship Administrative Court in Warsaw; II. orders N. sp.j. with its registered office in N. to pay to the President of the Office for Personal Data Protection the amount of PLN 580 (five hundred and eighty) as reimbursement of the costs of the cassation proceedings. |
||||
|
Justification
In a judgment of 5 June 2023, ref. no. II SA/Wa 1818/22, the Provincial Administrative Court in Warsaw, having examined a complaint by N. sp. j. with its registered office in N. (hereinafter: ‘the applicant’) against the decision of the President of the Office for Personal Data Protection (hereinafter: ‘the authority’) of 28 July 2022 No DS.523.5173.2020.PR.AK/178379 concerning the processing of personal data
The above judgment was delivered in the following factual and legal circumstances of the case. On 31 August 2022. D. K. (“the applicant”) complained to the authority about irregularities in the applicant’s processing of his personal data, consisting in his name, e-mail address and telephone number being made available to unauthorised persons during the identification of his entitlement to a transport service. By decision of 28 July 2022, pursuant to Article 104 § 1 of the Act of 14 June 1960, the Code of Administrative Procedure (Journal of Laws of 2021, item 735, hereinafter: ‘K.p.a.’), in conjunction with Article 7(1) of the Act on the Protection of Personal Data of 10 May 2018. (Journal of Laws of 2019, item 1781, hereinafter: ‘C.P.A.’), Article 5(1), Article 6(1) and Article 58(2)(b) of Regulation EU 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data and repealing Directive 95/46/EC (General Data Protection Regulation, Dz. Official Journal of the European Union L 119 of 4.05.2016, p. 1, Official Journal of the European Union L 127 of 23.05.2018, p. 2 and Official Journal of the European Union L 74 of 4.03.2021, p. 35, hereinafter: ‘RODO’), the authority issued a warning to the applicant for breach of Article 6(1) Art. in conjunction with Article 5(1)(f) RODO and refused to grant the application for the remainder. In support of the decision, the authority indicated that the applicant had obtained personal data of the applicant in terms of his name, surname, email address, telephone number and bank account number in connection with the conclusion of a number of ticketing contracts entitling him to use the transport service. Subsequently, as is evident from the recordings of conversations with the driver of the bus carrying out the course in question, when identifying the applicant’s entitlement to use the transport service, not only was the applicant asked to state his name, which was immediately repeated aloud by the driver, but the company employee also entered into a dialogue on his own initiative in which he first disclosed his name. The above decision was the subject of a complaint to the Voivodship Administrative Court in Warsaw. In its response to the complaint, the authority requested that it be dismissed, discussing the unfoundedness of the allegations raised. In the judgment described at the outset, the WSA in Warsaw upheld the complaint. The Court held that in view of the indisputability of the facts relevant in the context of assessing whether the administrative body was competent to apply the measures provided for in RODO, there were no grounds for ruling on the merits of the case in the light of the rules of the Data Act. As such, the authority could not exercise the competence under Article 58(2)(b). Thus, in ruling on the case, it violated the given provision of substantive law defining the authority’s competences by unjustifiably applying, in view of Article 2(1) in conjunction with Article 4(6) of the Data Act. In the Court’s assessment, the prerequisites for conducting proceedings before the given authority did not occur in the case under consideration and the proceedings should be discontinued. The Court held that the mention of his name and surname by D. K. and their later repetition by the driver of the vehicle could not be treated as processing of personal data within the meaning of the RODO, as this act concerns events related to information processing (collection, transfer, etc.) where it is possible to mechanically find information about persons – their personal data – in particular within ICT systems. It does not apply to events, which are related to the disclosure (and thus processing) of personal data, in other situations – e.g. the possibility to know the name of a certain person, if it is uttered out loud (by a bus driver or passenger), even if it is simultaneously contained in a specific set of information (passenger list), even if it is kept in electronic form. The WSA took the view that the processing of data in this case (and its possible disclosure) is not covered by the rules of the RODO, determining the framework of the competence to resolve cases in an administrative procedure. At the same time, the competence of the administrative body cannot be interpreted broadly, in view of the content of Article 2 § 3 of the Act of 17 November 1964. – Code of Civil Procedure (Journal of Laws of 2020, item 1575, as amended, hereinafter: “K.p.c.”), from which it follows that the competence of the administrative body must be indicated explicitly. The authority appealed against the above judgment in its entirety, accusing it of infringement: 1. procedural law provisions, i.e.: Article 145 § 1 item 1 letter a and § 3 of the Act of 30 August 2002. Law on Proceedings before Administrative Courts (Journal of Laws of 2023, item 259, hereinafter: “P.p.s.a.”), in connection with Article 1(2)(4) and (5) and Article 60 of the AIA, in connection with Article 61(1) of the C.P.A. and in connection with Article 58(2)(b) of the RODO, through its application. b of the RODO, by its application as a result of the erroneous finding that the authority was not competent to investigate and rule on the administrative case in question in accordance with its powers, which had a significant impact on the outcome of the case; 2. substantive law, i.e.: Article 2(1) in conjunction with Article 4(2) and (6) of the RODO by their misinterpretation and, as a result, their non-application due to the recognition that, in this case, there was no disclosure of personal data from the filing system and, thus, their processing, which had a significant impact on the outcome of the case. Based on the above allegations, it was requested that the judgment be overturned in its entirety and the cassation appeal be examined by the Supreme Administrative Court, or, alternatively, that the judgment be overturned in its entirety and the case be referred back to the Provincial Administrative Court in Warsaw for re-examination, and that the costs of the proceedings be awarded to the body, including the costs of legal representation, and that the cassation appeal be examined at a hearing. In response to the cassation appeal, the applicant requested that it be dismissed in its entirety and that the authority be ordered to reimburse the applicant for the costs of the proceedings, including the costs of legal representation, stating that it did not object to hearing the case in closed session. The Supreme Administrative Court held as follows:Pursuant to Article 183 § 1 of the P.p.s.a., the Supreme Administrative Court considers the case within the limits of the cassation appeal, taking into account ex officio only the invalidity of the proceedings. In the case under consideration, none of the circumstances resulting in the invalidity of the proceedings referred to in Article 183 § 2 of the P.p.s.a. and none of the prerequisites referred to in Article 189 of the P.p.s.a., which the Supreme Administrative Court considers ex officio when reviewing the judgment appealed against in cassation, occurs. In view of this, the Supreme Administrative Court proceeded to examine the cassation charges. The cassation appeal is subject to consideration. In the realities of this case, methodological correctness requires that the allegation of a breach of Article 2(1) in conjunction with Article 4(2) and (6) of the RODO be considered first. Constructing legal assessments on the basis of the cited provisions, the WSA came to the conviction that in the realities of the case no processing of personal data took place in accordance with the principles governed by the provisions of RODO, which alternatively led the Court to conclude that the PUODO was not competent to initiate, conduct and decide the case. The direction of verification of the allegation of infringement of Article 2(1) in conjunction with Article 4(2) and (6) of the RODO thus determines the merits of the allegation of infringement of Article 145(1)(a) and (3) of the P.p.s.a. in conjunction with Article 1(2)(4) and (5) and Art. 60 of the AIA, in conjunction with Article 61 § 1 of the Code of Civil Procedure and in conjunction with Article 58(2)(b) of the RODO, which challenges the position of the WSA on the lack of jurisdiction (competence) of the PUODO to resolve the present case. The Treaty on European Union (hereinafter TEU) indicates that the EU may only take such action as the Union has been expressly authorised to do by the Member States (Article 5 TEU). The division of competences between the EU and the Member States is made in the provisions of Articles 2 to 6 of the Treaty on the Functioning of the European Union (hereinafter TFEU). They were distributed using very general conceptual categories. An analysis of these provisions alone is therefore insufficient to determine the scope of the EU’s legislative competence. With regard to the material scope relevant to the case at hand, it is necessary to refer to Article 16 TFEU. According to Article 16(1) TFEU, every person has the right to the protection of personal data concerning him or her. It follows from paragraph 2 that the European Parliament and the Council, acting in accordance with the ordinary legislative procedure, shall determine the rules relating to the protection of individuals with regard to the processing of personal data by Union institutions, bodies, offices and agencies, and by the Member States when carrying out activities which fall within the scope of Union law, and the rules relating to the free movement of such data. Compliance with these rules is subject to control by independent authorities. This right is also regulated by Article 8(1) of the EU Charter of Fundamental Rights, according to which everyone has the right to the protection of personal data concerning him or her. The European Union was therefore competent to introduce the provisions of the RODO. Indeed, the protection of individuals in relation to the processing of personal data is one of the fundamental rights and its protection is the meaning of the functioning of the EU. Therefore, the protection of the right to privacy, including the protection of individuals with regard to the processing of personal data, is an activity that falls within the scope of Union law within the meaning of Article 2(2a) of the RODO. The material scope of application of the provisions of the RODO in positive terms is set out in the provision of Article 2(1) of the RODO. Article 2(1) RODO assumes that the Regulation applies to the processing of personal data by wholly or partly automated means and to the processing otherwise than by automated means of personal data which form part of a filing system or are intended to form part of a filing system. Thus, “according to the wording of Article 2(1), two types of relevant processing of personal data qualifying for the protective scope of the Regulation should be distinguished. The first one is the processing of personal data carried out by automated or semi-automated means, without regard to whether the data so processed become or are (are likely to become) part of a filing system. The second, on the other hand, is processing by means other than automated, however, where the data so processed form part of the data filing system or are intended (likely) to form part of the data filing system” (see D. Lubosz, RODO. General Data Protection Regulation. Commentary, Warsaw 2018, p. 125). Thus, it follows from this provision that data processing that takes place in a non-automated (manual) manner, while at the same time the processed data do not constitute (or are not intended to constitute) a filing system, does not fall within the subject matter of the RODO. Furthermore, the RODO also does not apply to the processing of personal data: (a) in the course of an activity which falls outside the scope of Union law; (b) by Member States in the exercise of activities falling within the scope of Title V, Chapter 2 TEU; (c) by a natural person in the course of an activity of a purely personal or domestic nature; (d) by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of penalties, including the protection against and prevention of threats to public security (Article 2(2) RODO). It follows from established case law that the protection of the fundamental right to privacy, guaranteed by Article 7 of the Charter of Fundamental Rights, EU requires that derogations from and limitations to the protection of personal data should only be applied when absolutely necessary and that the provisions governing them should be interpreted through the prism of the fundamental rights contained in the Charter and in a strict manner. The processing referred to in Article 2(1) RODO is defined broadly and operationally in Article 4(2) RODO. Under this provision, ‘processing’ means an operation or set of operations which is performed upon personal data or sets of personal data, whether or not by automated means, such as collection, recording, organisation, organisation, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction. At the same time, a “data filing system” is a structured set of personal data accessible according to specific criteria, regardless of whether that set is centralised, decentralised or functionally or geographically dispersed (Article 4(6) RODO). In the light of this definition, a dataset is a set of information that meets the following criteria: – it must be a set of information which constitutes personal data within the meaning of the provision of Article 4(1) RODO, – the set of these data must be structured and therefore have a specific structure, – the personal data contained in that set of information must be accessible according to specific criteria. The criteria outlined above are complemented by the indication that the existence of a data filing system is not influenced by whether “the filing system is centralised, decentralised or functionally or geographically dispersed”. With today’s technical possibilities, the question of where the data constituting the set are actually located is not fundamental, nor is the functional division. A filing system may be centralised, i.e., the data may be concentrated in one place, or decentralised, i.e., the data may be concentrated in different places, which does not prevent them from being treated as a single filing system. It should also be pointed out that the processing of personal data uses so called distributed databases, the characteristic feature of which is that, although the data are located in many places, they are treated as one logical whole. Therefore, in order for certain data to be qualified as a set or as a part of it, it has to be a carrier of information which is characteristic or specific for this set, e.g. data concerning name and surname, place of residence, PESEL number, e-mail address, telephone number. In the case, it is not disputed that the applicant Company acted as a controller of the applicant’s personal data. It is undisputed that the Applicant Company obtained the Applicant’s personal data in terms of name, surname, residential address, email address, login, telephone number and bank account number, on the basis of their voluntary provision in connection with the purchase of a bus ticket through the website. Neither party denies that the Company processed the applicant’s personal data on the basis of Article 6(1)(b) of the RODO, i.e. for the purpose of concluding and performing the contract of carriage of passengers or goods. In the view of the Supreme Administrative Court, there is no doubt that the scope of information held by the applicant Company constitutes a data set as referred to in Article 4(6) of the RODO. There is no doubt that this is information about an identified natural person within the meaning of Article 4(1) RODO. It is also information that is structured and accessible according to specific criteria, and therefore divided and allocated to identifiers such as name, surname, residential address, email address, login, telephone number and bank account number. In view of the above, the assessment of the WSA that, in the present case, the processing of the applicant’s personal data does not fall within the scope of application of the RODO cannot be shared, because it is not of a wholly or partly automated nature or is not the non-automated processing of personal data forming part of a data filing system or intended to form part of a data filing system – Article 2(1) RODO. It has been noted in the doctrine that a person’s basic personal data (name and surname) is his/her personal good, but at the same time it is a common good in the sense that there is a public consent to use it in social life (social, official, commercial, etc.) – see M. Pieńczykowski, Protection of personal data as a negative premise for making public information available, Zeszyty Naukowe Sądownictwa Administracyjnego of 2018, No. 2, pp. 64 et seq. While it is true that one should agree with the general view expressed in the justification of the contested judgment that the use of the name and surname and thus the disclosure (processing) of personal data of a specific person when addressing him or her in a public place does not yet have to constitute in itself a violation of the RODO, the conclusion expressed by the Court of First Instance is nevertheless too general to be of a universal nature and thus allow the complaint to be dismissed. This issue can only be resolved against the specific circumstances of the case, against the background of the established facts. It is important to link the personal data, i.e. name and surname, with the aforementioned specific features of the filing system, which in the reality of the case included personal data: name, surname, address of residence, e-mail address, login, telephone number and bank account number, obtained for the purpose of performance of the agreement concluded with the applicant. Therefore, while addressing a person by name alone in a public place and even in the presence of other people does not necessarily involve a violation of the RODO, because it concerns the disclosure of personal data which do not constitute a data set or which cannot constitute part of a data set due to the context of their disclosure – a social meeting, presentation of an individual at an official meeting, the association of these data with other information may create such a violation. What is important is the content and situational context within which the data controller used the name and surname when addressing a specific person in a public place and in the presence of other persons (as indicated above, this does not apply to the use of such data by an individual in the framework of an activity of a purely personal or domestic nature). Therefore, in the realities of the present case, it should be determined that the applicant Company was the controller of the applicant’s personal data and processed them within the framework of the data filing system referred to in Article 2(1) in conjunction with Article 4(6) of the RODO. The WSA’s interpretation of the cited provisions was flawed because it unlawfully excluded the processing of the applicant’s personal data from the scope of application of the RODO. What is in dispute is whether the applicant Company, as a data controller, led to the unauthorised disclosure/dissemination/access of the applicant’s personal data and, therefore, whether it processed such data in breach of the RODO. The consequence of the accepted legal assessment must be the confirmation of the legitimacy of the allegation of the infringement of Article 145(1)(1)(a) and (3) of the PDPA in conjunction with Article 1(2)(4) and (5) and Article 60 of the PDPA, in conjunction with Article 61(1) of the C.P.A. and in conjunction with Article 58(2)(b) of the RODO. The authority acting in the present case had the constitutional, procedural and substantive legal competence to issue an administrative decision. In this state of affairs, the Supreme Administrative Court, acting pursuant to Article 185 § 1 p.p.s.a., repealed the appealed judgment in its entirety and referred the case to the Voivodship Administrative Court in Warsaw for re-examination. The role of the Court of first instance will be to review the legality of the PUODO decision challenged by the complaint, assuming that the provisions of the RODO were applicable in the case and that the PUODO was authorised to resolve it in the form of an administrative decision. The costs of the cassation proceedings were decided pursuant to Article 203(2) and Article 205(2) of the P.p.s.a. |
||||
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.Dokumenty z podobnymi tagami:
Dla tagu dane osobowe
Dla tagu zakres stosowania RODO