Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym:
Przewodniczący Sędzia WSA Sławomir Antoniuk
Sędzia WSA Agnieszka Góra-Błaszczykowska
Sędzia WSA Łukasz Krzycki
po rozpoznaniu na posiedzeniu niejawnym w dniu 23 lutego 2021 r.
sprawy ze skargi Główny Geodeta Kraju
na decyzję Prezes Urzędu Ochrony Danych Osobowych
z dnia 2 lipca 2020 r. nr DKE.561.3.2020.
w przedmiocie przetwarzanie danych osobowych
oddala skargę
UZASADNIENIE
Decyzją z dnia 2 lipca 2020 r. Prezes Urzędu Ochrony Danych Osobowych (dalej jako organ, Prezes, PUODO), stwierdził naruszenie przez Głównego Geodetę Kraju (dalej jako GGK) przepisów art. 31 oraz 58 ust. 1 lit. e) i f) Rozporządzenia 2016/679, polegające na niezapewnieniu, w trakcie kontroli przestrzegania przepisów o ochronie danych osobowych, dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych oraz dostępu do danych osobowych i informacji niezbędnych Prezesowi do realizacji jego zadań, a także na braku współpracy z nim w trakcie tej kontroli. Z tej przyczyny nałożył na GGK administracyjną karę pieniężną w kwocie 100.000 złotych.
Podstawą prawną decyzji był art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256, dalej jako k.p.a.) oraz art. 7 ust 1 i ust. 2, art. 60 i art. 102 ust. 1 pkt 1 i ust. 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) w związku z art. 31, art. 57 ust. 1 lit. a), art. 58 ust 1 lit. e) i f) oraz art. 58 ust. 2 lit. i) w związku z art. 83 ust. 1 i 2, art. 83 ust. 4 lit. a) oraz art. 83 ust. 5 lit. e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm.) (zwanego dalej ,,Rozporządzeniem 2016/679″).
Na uzasadnienie decyzji podano, że w dniach XX lutego 2020 r. Prezes przeprowadził kontrolę przetwarzania danych osobowych w Starostwie Powiatowym w J . W toku kontroli ustalono, że Starosta J nie publikuje na tym portalu danych osobowych z ewidencji gruntów i budynków, lecz – na podstawie stosownego porozumienia – przekazuje je (w tym numery ksiąg wieczystych) GGK, który następnie pozyskane dane udostępnia na portalu GEOPORTAL2. Z uwagi na to PUODO zdecydował o konieczności przeprowadzenia u GGK kontroli przetwarzania danych osobowych, w zakresie udostępniania za pośrednictwem portalu GEOPORTAL2 danych osobowych z ewidencji gruntów i budynków. O zaplanowanej kontroli GGK został poinformowany […] marca 2020 r. telefonicznie oraz pismem doręczonym tego dnia drogą elektroniczną (e-mail).
W dniu […] marca 2020 r. kontrolujący (upoważnieni przez Prezesa pracownicy Urzędu Ochrony Danych Osobowych) udali się do Głównego Urzędu Geodezji i Kartografii celem rozpoczęcia zaplanowanej kontroli. Kontrolujący okazali Głównemu Geodecie Kraju legitymacje służbowe oraz przedłożyli imienne upoważnienia, w których w następujący sposób określony został szczegółowy zakres kontroli: ” Kontrola obejmie udostępnianie przez Głównego Geodetę Kraju za pośrednictwem portalu internetowego GEOPORTAL2, danych osobowych z ewidencji gruntów i budynków, poprzez ustalenie: 1. Podstawy prawnej przetwarzania, w tym udostępniania danych osobowych; 2. Źródła pozyskania danych osobowych; 3. Zakresu i rodzaju udostępnianych danych osobowych; 4. Sposobu oraz celu udostępniania danych osobowych; 5. Czy przetwarzania danych osobowych odbywa się na podstawie upoważnienia nadanego przez administratora danych osobowych lub podmiot przetwarzający (art. 29 rozporządzenia 2016/679); 6. Czy Główny Geodeta Kraju wdrożył odpowiednie środki techniczne i organizacyjne, aby zapewnić odpowiedni stopień bezpieczeństwa danych objętych ochroną (art. 32, art.24 ust.1 i 2 rozporządzenia 2016/679); 7. Czy Główny Geodeta Kraju wyznaczył inspektora ochrony danych (art. 37 rozporządzenia 2016/679).”
Po okazaniu legitymacji i przedłożeniu upoważnienia do przeprowadzenia kontroli, GGK oświadczył, że nie podpisze przedłożonych upoważnień i odmawia wyrażenia zgody na przeprowadzenie czynności kontrolnych w zakresie wynikającym z przedłożonych upoważnień. Na przedłożonych upoważnieniach GGK zamieścił pisemną adnotację o treści: ,,Odmawiam wyrażenia zgody na przeprowadzenie czynności kontrolnych w zakresie przedstawionego upoważnienia (punkt od 1 do 5) ze względu na bezprzedmiotowość kontroli, co uzasadniam w piśmie […] z dnia 03.2020 r, najkrócej wynika to z faktu, że zakres kontroli ma się skupić na numerze księgi wieczystej co nie jest daną osobową w rozumieniu przepisów Prawo geodezyjne i kartograficzne. Wnoszę o doprecyzowanie zakresu kontroli zgodnie z podstawą jej wszczęcia.”
GGK oświadczył następnie, że wyraża zgodę na przeprowadzenie czynności kontrolnych tylko w zakresie, jaki wynika z punktów 6 i 7 upoważnień imiennych kontrolujących. Dopiero wtedy podpisał upoważnienia imienne kontrolujących umieszczając przy podpisie adnotację ,,Podpisane zgodnie z oświadczeniem poniżej”. Zgodnie z przytoczonym wyżej oświadczeniem GGK przedstawił do akt kontroli pismo o sygnaturze […], w którym wskazane zostały m.in. podstawy prawne zakwalifikowania numeru księgi wieczystej jako danej przedmiotowej, to jest art. 20 ust. 1 pkt 1 Prawa geodezyjnego i kartograficznego oraz § 73 rozporządzenia Ministra Rozwoju Regionalnego i Budownictwa z dnia 29 marca 2001 r. w sprawie ewidencji gruntów i budynków.
Wobec jednoznacznie wyrażenia braku zgody GGK na przeprowadzenie czynności kontrolnych w zakresie określonym w punktach 1-5 upoważnień imiennych, kontrolujący odstąpili od czynności w tym zakresie, dokonując ustalenia jedynie w zakresie, o którym mowa w punktach 6 i 7 upoważnienia. Kontrolujący zdecydowali o zakończeniu w dniu […] marca 2020 r kontroli. W tym dniu sporządzony został przez kontrolujących protokół kontroli, podpisany następnie przez GGK (bez żadnych zastrzeżeń).
W związku z uniemożliwieniem przeprowadzenia kontroli przetwarzania przez GGK danych osobowych z ewidencji gruntów i budynków w portalu GEOPORTAL2, wszczęto zostało z urzędu postępowanie w przedmiocie nałożenia na GGK administracyjnej kary pieniężnej za naruszenie art. 31 oraz art. 58 ust. 1 lit. e) i f) Rozporządzenia 2016/679, polegające na braku współpracy z Prezesem UODO w ramach wykonywania przez niego jego zadań, uniemożliwieniu przeprowadzenia kontroli w zakresie przetwarzania danych osobowych, a także niezapewnieniu Prezesowi UODO dostępu do pomieszczeń i sprzętu i środków do przetwarzania danych osobowych, oraz dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań.
O wszczęciu postępowania i zgromadzeniu materiału dowodowego w sprawie. GGK poinformowany został pismem z […] marca 2020 r., doręczonym mu drogą elektroniczną za pośrednictwem platformy ePUAP.
Pismem z […] kwietnia 2020 r. (doręczonym Prezesowi UODO […] kwietnia 2020 r.) pełnomocnik GGK wniósł o umożliwienie jego pełnomocnikom wglądu w akta sprawy oraz sporządzanie ich fotokopii, ewentualnie o udostępnienie kopii całości akt sprawy drogą elektroniczną.
W odpowiedzi na wniosek, kopie całości akt sprawy przedstawione zostały pełnomocnikowi GGK drogą pocztową, pismem z […] maja 2020 r., doręczonym pełnomocnikowi […] maja 2020 r. Pismem z […] maja 2020 r. (doręczonym Prezesowi UODO […] maja 2020 r.) pełnomocnik GGK przedstawił stanowisko wskazując, że „wszczęcie i prowadzenie postępowania przez Prezesa UODO w niniejszej sprawie jest bezprzedmiotowe i z tego powodu powinno zostać umorzone w całości”.
Po rozpatrzeniu całości materiału dowodowego zebranego w sprawie, Prezes UODO wydał opisaną na wstępie decyzję, w której stwierdził:
Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679 – ma za zadanie na swoim terytorium monitorować oraz egzekwować stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO ma za zadanie m.in. prowadzić postępowania w sprawie stosowania Rozporządzenia 2016/679 (art. 57 ust. 1 lit. f). Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych wart. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a), uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e) oraz uprawnienie do uzyskania dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych, zgodnie z procedurami określonymi w prawie unijnym lub w prawie państwa członkowskiego (art. 58 ust. 1 lit. f).
Naruszenie przepisów Rozporządzenia 2016/679, polegające na niezapewnieniu przez organ publiczny, będący administratorem lub podmiotem przetwarzającym, dostępu do danych i informacji, o których mowa powyżej, skutkującym naruszeniem uprawnień organu, określonych w art. 58 ust. 1 Rozporządzenia 2016/679 (w tym uprawnień do uzyskania danych osobowych i informacji niezbędnych do realizacji jego zadań oraz do uzyskania dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych), podlegać może – zgodnie z art. 83 ust. 5 lit e) in fine Rozporządzenia 2016/679 w związku z art. 102 ust. 1 i 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwanej dalej ,,u.o.d.o.” – administracyjnej karze pieniężnej w wysokości do 100 000 złotych.
PUODO podkreślił, że administrator i podmiot przetwarzający obowiązani są współpracować z organem nadzorczym w ramach wykonywania przez niego zadań, o czym stanowi art. 31 Rozporządzenia 2016/679. Niewywiązanie się z tego obowiązku również zagrożone jest – zgodnie z art. 83 ust. 4 lit. a) Rozporządzenia 2016/679 w związku z art. 102 ust. 1 i 3 u.o.d.o. – administracyjną karą pieniężną w wysokości do 100 000 złotych.
Wskazaną w art. 58 ust. 1 lit. f) Rozporządzenia 2016/679 ,,procedurą określoną w prawie unijnym lub w prawie państwa członkowskiego” służącego realizacji uprawnienia organu nadzorczego do uzyskania dostępu pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych, jest na gruncie prawa polskiego, opisana w Rozdziale 9 u.o.d.o. (art. 78 – 91), procedura ,,kontroli przestrzegania przepisów o ochronie danych osobowych”. Zgodnie z art. 78 u.o.d.o. Prezes UODO przeprowadza kontrolę przestrzegania przepisów o ochronie danych osobowych (ust. 1), a kontrola ta prowadzona być może ,,zgodnie z zatwierdzonym przez Prezesa Urzędu planem kontroli lub na podstawie uzyskanych przez Prezesa Urzędu informacji lub w ramach monitorowania przestrzegania stosowania rozporządzenia 2016/679″ (ust. 2).
Kontrolującym (upoważnionym pracownikom Urzędu Ochrony Danych Osobowych) przysługuje – o czym stanowi art. 84 ust. 1 u.o.d.o. – prawo: 1. wstępu w godzinach od 6.00 do 22.00 na grunt oraz do budynków, lokali lub innych pomieszczeń, 2. wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli, 3. przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych, 4. żądania złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchania w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego, 5. zlecania sporządzania ekspertyz i opinii. Kontrolujący ustala stan faktyczny na podstawie dowodów zebranych (z wykorzystaniem wskazanych powyżej uprawnień) w postępowaniu kontrolnym, a w szczególności dokumentów, przedmiotów, oględzin oraz ustnych lub pisemnych wyjaśnień i oświadczeń (art. 87 u.o.d.o.).
Prezes stwierdził, że na w.w. podstawach prawnych, miał uprawnienie do wszczęcia i przeprowadzenia u GGK kontroli przetwarzania danych osobowych; miał również uzasadnienie dla dokonania ustaleń w tego rodzaju postępowaniu (postępowaniu kontrolnym uregulowanym w rozdziale 9 u.o.d.o.).
Uprawnienia kontrolne Prezesa UODO sformułowane zostały szeroko w przytoczonych powyżej przepisach Rozporządzenia 2016/679 oraz u.o.d.o.; ich stosowanie ograniczone jest jedynie celem: sprawdzeniem czy przestrzegane są przepisy o ochronie danych osobowych. Warunkiem przeprowadzenia takiej kontroli nie jest nawet uzasadnione podejrzenie stwierdzenia naruszenia. Ustawodawca wyraźnie dopuszcza w art. 78 ust. 2 u.o.d.o. możliwość przeprowadzania kontroli ,,zgodnie z planem kontroli”, a więc bez wcześniejszych informacji, wskazujących na nieprawidłowości w zakresie przetwarzania danych osobowych, mających miejsce w konkretnym podmiocie, a nawet bez informacji wskazujących, na to czy dany podmiot w ogóle przetwarza dane osobowe (kontrola takiego podmiotu w pierwszej kolejności musiałaby jednak ustalić taką okoliczność – przed podjęciem dalszych ustaleń dotyczących np. legalności i zgodności z prawem przetwarzania).
Ogólne i szerokie określenie zadania, do realizacji którego zobowiązany jest Prezes UODO (,,monitorowanie i egzekwowanie stosowania rozporządzenia”, o którym mowa w art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, ,,kontrola przestrzegania przepisów o ochronie danych osobowych”, o której mowa w art. 78 ust. 1 u.o.d.o.), pozostawia Prezesowi UODO swobodę określania zarówno kręgu podmiotów kontrolowanych, jak i zakresu przeprowadzanych kontroli. Zadanie to należy bowiem rozumieć szeroko – nie tylko jako sprawdzenie czy konkretny podmiot w konkretnej sprawie narusza w konkretny sposób przepisy o ochronie danych osobowych, ale także jako zadanie podejmowane w celu zidentyfikowania rodzajów, obszarów występowania i skali problemów związanych ze stosowaniem przepisów o ochronie danych osobowych (w szczególności Rozporządzenia 2016/679), ich eliminowania oraz zapobiegania im na przyszłość.
W kontekście swobody pozostawionej Prezesowi UODO w określeniu podmiotu poddanego kontroli i zakresu tej kontroli stwierdzono, że w sprawie Prezes UODO miał szczególnie uzasadnioną podstawę do wszczęcia i przeprowadzenia u GGK kontroli w zakresie, który uznał za niezbędny dla realizacji zadania monitorowania stosowania Rozporządzenia 2016/679. Wskutek kontroli przeprowadzonej w dniach […] lutego 2020 r. w Starostwie Powiatowym w J pozyskał bowiem informację o przekazywaniu GGK przez Starostę J danych osobowych z ewidencji gruntów i budynków (w tym numerów ksiąg wieczystych) i dalszym przetwarzaniu ich (udostępnianiu) za pośrednictwem portalu GEOPORTAL2. Sam fakt dysponowania tymi danymi przez Głównego Geodetę Kraju stanowi wystarczającą podstawę przeprowadzenia u niego kontroli mającej na celu – o czym stanowi art. 87 u.o.d.o. – jedynie zebranie dowodów pozwalających ustalić stan faktyczny sprawy, a nie ocen prawną tego stanu (która w przypadku podejrzenia zaistnienia naruszenia następuje w odrębnym postępowaniu administracyjnym). Z tak rozumianej istoty kontroli wynika, że podmiot kontrolowany nie może kwestionować – na etapie wszczęcia i prowadzenia kontroli -jej zasadności ani jej zakresu.
Miejscem na kwestionowanie oceny prawnej stanu faktycznego sprawy (a do tego w niniejszej sprawie sprowadza się w istocie kwestionowanie przez Głównego Geodetę Kraju zakresu kontroli, związane z twierdzeniem, że numer księgi wieczystej nie stanowi danej osobowej) jest ewentualne postępowanie w przedmiocie naruszenia, wszczęte w oparciu o dowody zebrane w trakcie postępowania kontrolnego.
Uprawnienia kontrolne Prezesa UODO ograniczone są celem kontroli, którym jest sprawdzenie przestrzegania przepisów o ochronie danych osobowych. Dlatego za niedopuszczalne uznał działania GGK, mające na celu udaremnienie lub utrudnienie kontroli, w szczególności że oparte są one wyłącznie na subiektywnej ocenie prawnej kontrolowanego (nawet jeśli są one wsparte wybranymi, niereprezentatywnymi głosami doktryny i orzeczeniami sądowymi). Takie działanie prowadziłoby do nieakceptowalnej sytuacji, polegającej na tym, że uniemożliwiając ustalenia stanu faktycznego sprawy, kontrolowany odbiera niezależnemu organowi kontrolującemu możliwość dokonania własnej, rzetelnej i wszechstronnej oceny prawnej sytuacji, która to ocena mogłaby być poddana w razie konieczności późniejszej weryfikacji przez właściwe organy sądowoadministracyjne.
Ocena, czy GGK pełni w procesie przetwarzania danych w portalu GEOPRTAL2 rolę administratora (czy tez może współadministratora, ewentualnie podmiotu przetwarzającego), stanowi element stanu faktycznego, który miał zostać ustalony w toku kontroli. W chwili wszczęcia kontroli Prezes UODO dysponował informacjami, ze w portalu GEOPORTAL2, którego administratorem jest GGK, przetwarzane są informacje stanowiące (lub mogące stanowić) dane osobowe, w szczególności numery ksiąg wieczystych przypisane do prezentowanych w portalu nieruchomości. Powyższe potwierdzone zostało wynikami kontroli przeprowadzonej w Starostwie Powiatowym w J , z których wynikało, że GGK pozyskiwał z ewidencji gruntów i budynków, prowadzonej przez Starost J , dane (w tym numery ksiąg wieczystych) celem ich dalszego przetwarzania za pośrednictwem portalu GEOPORTAL2. Dodatkowo, w Regulaminie serwisu www.geoportal[.]gov.pl (zamieszczonego na stronie internetowej www[]geoportal [.]gov[]pl) znajduje się informacja wprost wskazująca, że administratorem danych osobowych przetwarzanych w portalu GEOP0RTAL2 jest GGK. Takie informacje uzasadniały właśnie potrzeb przeprowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych, m.in. w celu ustalenia roli GGK w tym procesie przetwarzania danych.
Błędne jest stanowisko GGK (w piśmie z […] maja 2020 r.), że podmiotem podlegającym kontroli Prezesa UODO może być jedynie podmiot decydujący o celach i sposobach przetwarzania czyli administrator (którym GGK we własnej ocenie nie jest). Wbrew twierdzeniom GGK, obowiązek zapewnienia dostępu do danych osobowych i informacji niezbędnych do realizacji zadań Prezesa UODO oraz dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych, o którym to obowiązku mowa jest w art. 58 ust 1 lit. e) i f), spoczywa nie tylko na administratorze, ale i na współadministratorze oraz na podmiocie przetwarzającym dane osobowe. Zaprzeczając swojej roli administratora GGK zdaje się nie wykluczać, że przetwarza dane osobowe pochodzące z ewidencji gruntów i budynków jako podmiot przetwarzający, w imieniu administratorów (starostów), na podstawie umów, które w istocie można by ocenić jako umowy, o których mowa w art. 28 ust. 3 Rozporządzenia 2016/679). Powyższy brak pewności co do roli pełnionej w procesie przetwarzania w portalu GEOPORTAL2 danych pozyskanych z ewidencji gruntów i budynków, który mógłby zostać usunięty w toku przeprowadzonej kontroli, świadczy o zasadności przeprowadzenia u GGK kontroli w pełnym zakresie. Podobnie, jeśli chodzi o określony w art. 31 Rozporządzenia 2016/679 obowiązek współpracy z organem nadzorczym, to skierowany on jest nie tylko do administratora, ale i do podmiotu przetwarzającego.
PUODO odniósł się do twierdzenia, że ,,kontrola […) prowadzona była nie u Głównego Geodety Kraju, ale w Głównym Urzędzie Geodezji i Kartografii, który z punktu widzenia przepisów RODO jest odrębnym administratorem danych osobowych”, i stwierdził, że wskazał Główny Urząd Geodezji i Kartografii jak miejsce, w których miały być (były) przeprowadzone czynności kontrolne w związku z tym, że to w Głównym Urzędzie Geodezji i Kartografii jako jednostce organizacyjnej, przy pomocy której Główny Geodeta Kraju realizuje swoje zadania, znajdują się dane osobowe oraz źródła informacji, pomieszczenia, sprzęt i środki studzące przetwarzaniu danych osobowych, do których dostęp niezbędny był Prezesowi UODO celem zebrania dowodów w sprawie.
Cel kontroli związany był z realizacją ustawowego zadania GGK, jakim jest stworzenie i utrzymywanie portalu GEOPORTAL2, sformatowane w przepisach art. 5 ustawy z dnia 17 maja 1989 r. Prawo geodezyjne i kartograficzne (Dz. U. z 2020 r. poz. 276 ze zm.) oraz art. 13 ust. 1 ustawy z dnia 4 marca 2010 r. o infrastrukturze informacji przestrzennej (Dz. U. z 2020 r. poz. 177 ze zm.). Ten ostatni przepis stanowi, że GGK tworzy i utrzymuje geoportal infrastruktury informacji przestrzennej jako centralny punkt dostępu do usług, dotyczących zbiorów i usług danych przestrzennych; nie przewiduje natomiast żadnego udziału w tym zadaniu dla Głównego Urzędu Geodezji i Kartografii. Powyższy zapis określający kompetencje i odpowiedzialność w zakresie funkcjonowania portalu GEOPORTAL2, w połączeniu ze wskazywanym przez Prezesa UODO przedmiotem i zakresem kontroli, nie powinien pozostawiać (szczególnie centralnemu organowi właściwemu w sprawach geodezji i kartografii) żadnych wątpliwości co do określenia podmiotu podlegającego kontroli.
GGK, zarówno w chwili rozpoczęcia kontroli, jak i w jej trakcie, nie podnosił żadnych zastrzeżeń co do wskazania podmiotu kontrolowanego, chociaż miał taką możliwość. Dlatego w ocenie Prezesa UODO zastrzeżenie co do wskazania podmiotu kontrolowanego, sformatowane zostało przez GGK post factum i wyłącznie na potrzeby uzasadnienia dokonanego przez siebie naruszenia przepisów o ochronie danych osobowych.
Prezes UODO podkreślił, że uzasadnienie odmowy wyrażenia zgody na przeprowadzenie kontroli przetwarzania przez niego danych osobowych, nie zasługuje w żadnym punkcie na akceptację, gdyż miał prawo i uzasadnienie dla przeprowadzenia kontroli u GGK. Zakres tej kontroli mieści się w celach określonych w art. 57 ust. 1 lit. a) Rozporządzenia 2016/679 (,,monitorowanie i egzekwowanie stosowania rozporządzenia”) oraz w art. 78 ust. 1 u.o.d.o. (,,kontrola przestrzegania przepisów o ochronie danych osobowych”). Działanie GGK jako kontrolowanego, polegające na odmowie wyrażenia zgody na przeprowadzenie kontroli w zakresie określonym w punktach 1-5 upoważnień imiennych, uniemożliwiło w pełnym zakresie przeprowadzenie czynności kontrolnych w tym obszarze i spowodowało odstąpienie przez kontrolujących od czynności w tym zakresie.
Zdaniem PUODO, na tle obowiązków nałożonych przepisami Rozporządzenia 2016/679 na administratora i podmiot przetwarzający, a dotyczących ich stosunku do organu nadzorczego GGK, w trakcie postępowania kontrolnego o sygn. DKN.5112.13.2020, swoim działaniem naruszył:
art. 58 ust. 1 lit. e) Rozporządzenia 2016/679, nakładający na niego obowiązek zapewnienia Prezesowi UODO dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych organowi nadzorczemu do realizacji jego zadań,
art. 58 ust. 1 lit. f) Rozporządzenia 2016/679, nakładający na niego obowiązek zapewnienia Prezesowi dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych, zgodnie z procedurami określonymi w prawie unijnym lub w prawie państwa członkowskiego,
art. 31 Rozporządzenia 2016/679, nakładający na niego obowiązek współpracy z Prezesem UODO, na jego żądanie, w ramach wykonywania przez niego jego zadań.
W związku z tymi naruszeniami Prezes UODO stwierdził, że w sprawie zaistniały przesłanki uzasadniające nałożenie na GGK – na mocy art. 83 ust. 4 lit. a) oraz art. 83 ust. 5 lit. e) in fine Rozporządzenia 2016/679 – administracyjnej kary pieniężnej w związku z niezapewnieniem dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych oraz dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań, a także z brakiem współpracy z Prezesem UODO w trakcie tej kontroli.
Stosownie do treści art. 83 ust. 2 Rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się zależnie od okoliczności każdego indywidualnego przypadku. Decydując o nałożeniu w niniejszej sprawie na GGK administracyjnej kary pieniężnej oraz ustalając jej wysokość, Prezes UODO wziął pod uwagę następujące okoliczności wpływające obciążające na ocenę naruszenia:
Charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) Rozporządzenia 2016/679). Naruszenie podlegające administracyjnej karze pieniężnej w niniejszej sprawie godzi w system, mający na celu ochron jednego z podstawowych praw osoby fizycznej, którym jest prawo do ochrony jej danych osobowych, czy też szerzej – do ochrony jej prywatności. Istotnym elementem tego systemu, którego ramy określone zostały Rozporządzeniem 2016/679, są organy nadzorcze, na które nałożone zostały zadania związane z ochroną i egzekwowaniem praw osób fizycznych w tym zakresie. W celu umożliwienia realizacji tych zadań organy nadzorcze wyposażone zostały w szereg uprawnień kontrolnych, uprawnień umożliwiających prowadzenie postępowań administracyjnych oraz uprawnień naprawczych. Natomiast na administratorów i podmioty przetwarzające nałożone zostały, skorelowane z uprawnieniami organów nadzorczych, określone obowiązków, w tym obowiązek współpracy z organami nadzorczymi oraz obowiązek zapewnienia tym organom dostępu do danych osobowych oraz innych informacji niezbędnych do realizacji ich zadań, a także dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych.
Działania GGK w trakcie kontroli, mające na celu udaremnienie jej przeprowadzenia w zakresie wskazanym w punktach 1-5 oraz w pkt 6 (w odniesieniu do środków technicznych wdrożonych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa) upoważnień imiennych kontrolujących, a skutkujące brakiem dostępu do dowodów wskazujących na legalność i zgodność z prawem przetwarzania przez GGK danych osobowych, pochodzących z ewidencji gruntów i budynków, PUODO uznał za godzące w cały system ochrony danych osobowych, i z tego względu mające dużą wagę i naganny charakter. Wagę naruszenia zwiększa dodatkowo okoliczność, że dokonane przez GGK naruszenie, jakkolwiek jednorazowe (miało miejsce w dniach […] marca 2020 r.), wywołało skutki trwające do chwili obecnej. Brak współpracy GGK, wyrażający się w odmowie uznania prawa Prezesa UODO do dokonania kontroli zgodności z przepisami przetwarzania przez niego danych osobowych pochodzących z ewidencji gruntów i budynków w portalu GEOPRTAL2, jest aktualny, co potwierdza stanowisko GGK, wyrażone w piśmie jego pełnomocnika z dnia […] maja 2020 r.
Jako obciążającą wskazano ponadto okoliczność, że naruszenia dopuścił się organ publiczny – GGK. Od organu publicznego, w ocenie Prezesa UODO, należy oczekiwać szczególnego, większego niż w przypadku podmiotów prywatnych, zrozumienia i szacunku dla działań podejmowanych przez inne organy w ramach ich ustawowo określonych zadań, oraz większego stopnia współpracy w realizacji tych zadań.
Umyślny charakter naruszenia (art. 83 ust. 2 lit. b) Rozporządzenia 2016/679).
W ocenie Prezesa UODO po stronie GGK istnieje intencjonalny brak woli współpracy w zapewnieniu organowi wszelkich informacji (dowodów) niezbędnych do ustalenia, czy stanowiące przedmiot kontroli procesy przetwarzania danych mają podstawę prawną i przetwarzane są zgodnie z prawem. Brak zgody GGK na przeprowadzenie kontroli i jego deklaracja braku współpracy w tym zakresie wyrażone zostały w sposób jednoznaczny i stanowczy. Argumentacja przedstawiona na uzasadnienie stanowiska GGK jest całkowicie niezasadna i w dużym stopniu stworzona została post factum, w celu usprawiedliwienia braku woli poddania się uzasadnionemu i zgodnemu z prawem badaniu niezależnego organu kontrolnego. Zważywszy, że GGK jest podmiotem publicznym (a dodatkowo organem centralnym w strukturze służb geodezyjno-kartograficznych), podmiotem na dużą skalę przetwarzającym w ramach swoich kompetencji dane osobowe obywateli, przyjąć ponadto, że miał on (i ma do chwili obecnej) świadomość, że jego postępowanie może stanowić naruszenie przepisów Rozporządzenia 2016/679, i godzi się z tym stanem.
Brak współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) Rozporządzenia 2016/679).
W toku niniejszego postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej GGK podtrzymał swój brak zgody na przeprowadzenie kontroli w kwestionowanym zakresie i nie wyraził w żadnym stopniu chęci współpracy z Prezesem UODO w celu usunięcia naruszenia.
Pozostałe przesłanki wymiaru administracyjnej kary pieniężnej, wskazane w art. 83. ust. 2 Rozporządzenia 2016/679 nie miały wpływu (obciążającego lub łagodzącego) na dokonaną przez Prezesa UODO ocenę naruszenia lub też, ze względu na specyficzny charakter naruszenia, nie mogły być wzięte pod uwagę w niniejszej sprawie.
Stosownie do brzmienia art. 83 ust. 1 Rozporządzenia 2016/679 nałożona przez organ nadzorczy administracyjna kara pieniężna powinna być w każdym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. W ocenie Prezesa UODO, kara nałożona na GGK w niniejszym postępowaniu spełnia te kryteria. Zdyscyplinuje GGK do prawidłowej współpracy z Prezesem UODO w postępowaniach prowadzonych w przyszłości. Nałożona niniejsza decyzja kara w maksymalnej, określonej w art. 102 ust. 1 u.o.d.o., wysokości jest – w ocenie Prezesa UODO – uzasadniona i proporcjonalna do wagi stwierdzonego naruszenia. Kara ta spełni ponadto funkcję odstraszającą; będzie jasnym sygnałem zarówno dla GGK jak i dla innych podmiotów zobowiązanych na mocy przepisów Rozporządzenia 2016/679 do współpracy z Prezesem UODO, że lekceważenie obowiązków związanych ze współpracą z nim (w szczególności utrudnianie kontroli przestrzegania przepisów o ochronie danych osobowych) stanowi naruszenie o dużej wadze i jako takie podlegać będzie sankcjom finansowym.
W sprawie zastosowanie znajdują przepisy art. 102 ust. 1 i 3 u.o.d.o. zgodnie z którymi wysokość administracyjnej kary pieniężnej nakładanej określonych w art. 83 Rozporządzenia 2016/679 na podstawie i na warunkach na jednostkę sektora finansów publicznych w rozumieniu ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2019 r. poz. 869 ze zm.), ograniczona jest do kwoty 100 000 złotych.
W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie GGK zaskarżył w całości wskazaną decyzję Prezesa UODO, zarzucając jej:
naruszenie art. 83 ust. 4 lit a) i art 83 ust. 5 lit e) RODO w zw. z art. 31 RODO w zw. z art. 58 ust. 1 lit. e) RODO w zw. z art. 58 ust. 1 lit. f) RODO w zw. z art. 102 ust. 1 pkt 1) ustawy z dnia 10 maja 2018 r. (u.o.d.o) w zw. z art. 102 ust. 3 u.o.d.o. poprzez skierowanie do GGK Decyzji w przedmiocie nałożenia administracyjnej kary pieniężnej z tytułu naruszenia obowiązków w zakresie zapewnienia współpracy podczas wykonywania zadań przez organ, w szczególności określonych w art. 58 ust. 1 lite) i f) RODO podczas gdy podmiotem w stosunku do którego prowadzona była kontrola i wykonywane były zadania organu nie był GGK, a Główny Urząd Geodezji i Kartografii, będący odrębnym od GGK administratorem danych osobowych i będący zatem podmiotem praw i obowiązków w zakresie kontroli, w tym również obowiązku zapewnienia współpracy, co w konsekwencji doprowadziło do wydania Decyzji wobec podmiotu, który nie mógł być stroną postępowania w przedmiocie braku zapewnienia współdziałania, co stanowi podstawę do stwierdzenia nieważności Decyzji, o której mowa wart. 156 § 1 pkt k.p.a.;
mogące mieć istotny wpływ na wynik sprawy naruszenie przepisów postępowania, tj.:
art. 78 ust. 1 RODO w zw. z art. 6 ust. 1 Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności (dalej: ,,EKPCz”) oraz art. 13 EKPCz przez uniemożliwienie wniesienia i rozpoznania skutecznego środka ochrony prawnej przed sądem;
art. 47 Karty Praw Podstawowych poprzez uniemożliwienie Skarżącemu rozpatrzenia sprawy przez sąd mający pełną jurysdykcję w sprawie, tj. mogący co najmniej ustalać stan faktyczny oraz modyfikować rozstrzygnięcie, co godzi w prawo Skarżącego do rzetelnego procesu;
art. 7 k.p.a., art. 8 k.p.a., 75 § 1 k.p.a., 77 § 1 k.p.a., 80 k.p.a. poprzez poczynienie przez organ ustaleń faktycznych co do braku zapewnienia przez GGK dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych oraz dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań, a także na braku współpracy z Prezesem UODO w trakcie tej kontroli w oparciu o niepełny materiał dowodowy, zgromadzony w sprawie w sposób wybiórczy, jako że w aktach sprawy administracyjnej nie zostały uwzględnione liczne dokumenty składane przez GGK do akt sprawy, w tym w szczególności załączniki do protokołu kontroli z dnia marca 2020 r., jak również sama treść protokołu kontroli nie uwzględniała faktu uzyskania przez kontrolujących dostępu do pomieszczeń oraz systemu informatycznego służącego do obsługi serwisu www[]geoportal[]gov[]pl, podczas gdy uwzględnienie przedmiotowych dokumentów w materiale dowodowym i ich prawidłowa ocena doprowadziłaby do ustalenia, że podczas kontroli GGK zapewnił dostęp do wszelkich materiałów istotnych z perspektywy przeprowadzonej kontroli, a tym samym nie dopuścił się braku współpracy z Prezesem UODO;
art. 88 ust. 1 u.o.d.o. w zw. z art. 88 ust. 2 pkt 6) u.o.d.o. w zw. z art. 7 k.p.a., w zw. z 75 § 1 k.p.a., 77 § 1 k.p.a., 80 k.p.a. poprzez brak wskazania w protokole kontroli faktu odbycia przez kontrolujących oględzin systemu informatycznego służącego do obsługi serwisu www[]geoportal[]gov[]pl, podczas gdy w trakcie kontroli kontrolujący w obecności Urzędu Geodezji Kartografii dokonali oraz pracowników Głównego szczegółowych oględzin systemu informatycznego służącego do obsługi serwisu www[]geoportal[]gov[]pl, co nie zostało udokumentowane w aktach postępowania i w konsekwencji nie zostało uwzględnione przez organ podczas wydawania Decyzji, podczas gdy prawidłowa ocena kompletnego protokołu kontroli musiałaby doprowadzić organ do wniosku, że GGK zapewnił dostęp do systemu informatycznego w zakresie istotnym z perspektywy przeprowadzonej kontroli, a tym samym nie dopuścił się braku współpracy z Prezesem UODO;
art. 7 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a. w kontekście spełnienia przez Skarżącego wymogów określonych wart. 31 ust. 1 oraz art. 58 ust. 1 lit. e) i f) RODO w zw. z art. 83 ust 5 lit e) RODO, poprzez brak wszechstronnej oraz merytorycznej oceny zgromadzonego materiału dowodowego, tj. protokołu kontroli wraz z załącznikami, którego wszechstronna ocena powinna doprowadzić organ do ustalenia, że skarżący współpracował z Prezesem UODO w trakcie kontroli, w szczególności w zakresie żądanym przez Prezesa UODO udzielił dostępu do pomieszczeń, sprzętu oraz środków służących do przetwarzania danych osobowych oraz dostępu do danych i innych informacji w zakresie jaki Prezes UODO uznał za niezbędny do wyjaśnienia sprawy, co w konsekwencji doprowadziło do błędnego ustalenia stanu faktycznego sprawy, przede wszystkim w zakresie okoliczności mających wpływ na ocenę spełnienia przez skarżącego obowiązków wynikających z art. 31 RODO oraz art. 58 ust. 1 lit. e) i f) RODO,
art. 107 § 1 pkt 6) k.p.a. oraz art. 107 § 3 k.p.a., poprzez sporządzenie uzasadnienia w sposób niezrozumiały, niezgodny z obowiązkami nałożonymi na organ w zakresie sporządzenia uzasadnienia, polegający na braku wyczerpującego wskazania przez organ faktów, które organ uznał za udowodnione, dowodów, na których się oparł, oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej, a przyjmowaniu przez organ założeń nie popartych ani dowodami ani uzasadnieniem logicznym, lub dokumentami nie stanowiącymi materiału dowodowego zgromadzonego w sprawie ani nie będących źródłami prawa, poprzez m.in.: co w konsekwencji spowodowało bezzasadne wymierzenie kary oraz uniemożliwia realną kontrolę merytoryczną Decyzji”.
Ponadto, ,,warunkowo akceptując sentencję Decyzji oraz ustalony stan faktyczny – przy czym Skarżący kategorycznie nie akceptuje go”, zaskarżonej decyzji zarzucono:
mające wpływ na wynik sprawy naruszenie przepisów prawa materialnego, tj.:
art. 31 RODO, 58 ust. 1 lit. e) RODO, 58 ust. 1 lit. f) RODO, poprzez ich błędną wykładnię i przyjęcie, że GGK, który w ramach prowadzonej kontroli nie był podmiotem kontrolowanym występującym w roli administratora, podmiotu przetwarzającego, ani przedstawiciela, jest zobowiązany do współpracy z organem nadzorczym i jest zobowiązany do umożliwienia organowi uzyskania dostępu do danych osobowych, informacji, pomieszczenia, sprzętu i środków, podczas gdy GGK jako podmiot wobec którego nie była, prowadzona kontrola nie był adresatem obowiązków przewidzianych wart. 31 RODO, 58 ust. 1 lit. e) RODO, 58 ust. 1 lit. f) RODO, które to obowiązki mogą być w trakcie trwania kontroli nakładane wyłącznie na podmiot kontrolowany, występujący w roli administratora, podmiotu przetwarzającego lub przedstawiciela,
art. 31 RODO, 58 ust. 1 lit. e) RODO, 58 ust. 1 lit. f) RODO, poprzez ich błędną wykładnię i przyjęcie, że GGK, który w ramach prowadzonej kontroli nie był podmiotem kontrolowanym występującym w roli administratora, podmiotu przetwarzającego, ani przedstawiciela, jest zobowiązany do współpracy z organem nadzorczym i jest zobowiązany do umożliwienia organowi uzyskania dostępu do danych osobowych, informacji, pomieszczeń, sprzętu i środków, podczas gdy GGK jako podmiot, który nie mógł być ani administratorem ani podmiotem przetwarzającym w stosunku do informacji objętych kontrolą nie był adresatem obowiązków przewidzianych w art. 31, 58 ust. 1 lit. e, 58 ust. 1 lit. e RODO, które to obowiązki mogą być w trakcie trwania kontroli nakładane wyłącznie na podmiot kontrolowany, który może występować w roli administratora, podmiotu przetwarzającego lub przedstawiciela w stosunku do informacji będących przedmiotem kontroli,
art. 31 RODO, poprzez jego błędną wykładnię i przyjęcie, że zamieszczenie przez GGK na upoważnieniach do przeprowadzenia kontroli adnotacji o odmowie wyrażenia zgody na przeprowadzenie czynności kontrolnych w odniesieniu do części wskazanego w upoważnieniach zakresu kontroli stanowiło brak współpracy z Prezesem UODO w ramach wykonywania przez niego zadań, podczas gdy zamieszczenie takiej adnotacji nie ma charakteru w żaden sposób wiążącego dla Prezesa UODO oraz w żaden sposób nie wpłynęło to na faktyczną możliwość realizowania swoich czynności kontrolnych przez Prezesa UODO, który miał możliwość uzyskania wszelkich danych osobowych i informacji od GGK i pracowników UGGiK oraz uzyskał dostęp do wszelkich pomieszczeń, sprzętu, środków, systemów informatycznych oraz dokumentacji dotyczącej ochrony danych osobowych, w zakresie o który wnioskował w trakcie wykonywania czynności kontrolnych, w konsekwencji czego adnotacja o odmowie wyrażenia zgody może być traktowana wyłącznie jako wyrażenie przez GGK krytycznej opinii na temat określonego przez organ nadzorczy zakresu kontroli, a nie jako rzeczywisty przejaw braku współpracy z Prezesem UODO, który mimo zapewnienia pełnej współpracy przez kontrolowanego i możliwości prowadzenia dalszych czynności kontrolnych, zrezygnował z jej kontynuowania,
art. 58 ust. 1 lit. e) RODO, poprzez jego błędną wykładnię i przyjęcie, że zamieszczenie przez GGK na upoważnieniach do przeprowadzenia kontroli adnotacji o odmowie wyrażenia zgody na przeprowadzenie czynności kontrolnych w odniesieniu do części wskazanego w upoważnieniach zakresu kontroli doprowadziło do niezapewnienia Prezesowi UODO możliwości uzyskania dostępu do wszelkich danych osobowych i informacji niezbędnych do realizacji swoich zadań, podczas gdy, zamieszczenie takiej adnotacji nie ma charakteru w żaden sposób wiążącego dla Prezesa UODO oraz w żaden sposób nie wpłynęło to na faktyczną możliwość uzyskania przez niego dostępu do wszelkich danych osobowych i informacji od GGK i pracowników UGGiK w trakcie realizowania czynności kontrolnych przez Prezesa UODO, w zakresie o który wnioskował w trakcie wykonywania czynności kontrolnych, w konsekwencji czego adnotacja o odmowie wyrażenia zgody może być traktowana wyłącznie jako wyrażenie przez GGK krytycznej opinii na temat określonego przez organ nadzorczy zakresu kontroli, a nie jako rzeczywisty przejaw utrudniania lub uniemożliwiania przeprowadzenia kontroli przez Prezesa UODO,
art. 58 ust. 1 lit. f) RODO, poprzez jego błędną wykładnię przyjęcie, że zamieszczenie przez GGK na upoważnieniach do przeprowadzenia kontroli adnotacji o odmowie wyrażenia zgody na przeprowadzenie czynności kontrolnych w odniesieniu do części wskazanego w upoważnieniach zakresu kontroli doprowadziło do niezapewnienia Prezesowi UODO możliwości uzyskania dostępu do wszelkich pomieszczeń, sprzętu i środków służących do przetwarzania danych, podczas gdy zamieszczenie takiej adnotacji nie ma charakteru w żaden sposób wiążącego dla Prezesa UODO oraz w żaden sposób nie wpłynęło na faktyczną możliwość uzyskania przez niego w trakcie realizowania czynności kontrolnych przez Prezesa UODO uzyskania dostępu do wszelkich pomieszczeń, sprzętu i środków stających do przetwarzania danych, w zakresie o który wnioskował w trakcie wykonywania czynności kontrolnych, w konsekwencji czego adnotacja o odmowie wyrażenia zgody może być traktowana wyłącznie jako wyrażenie przez GGK krytycznej opinii na temat określonego przez organ nadzorczy zakresu kontroli, a nie jako rzeczywisty przejaw utrudniania lub uniemożliwiania przeprowadzenia kontroli przez Prezesa UODO,
Na wypadek uznania, że ,,GGK dopuścił się zarzucanego naruszenia, czemu Skarżący stanowczo zaprzecza”, pełnomocnicy Skarżącego zarzucili zaskarżonej decyzji naruszenie:
art. 83 ust. 2 lit. b) RODO poprzez przyjęcie przez Prezesa UODO, że rzekome naruszenie, którego miał dopuścić się GGK miało charakter umyślny, podczas gdy nawet w przypadku uznania, że GGK dopuścił się naruszenia, naruszenie to miało charakter nieumyślny z uwagi na umotywowane przekonanie GGK co do braku uprawnień Prezesa UODO do przeprowadzenia kontroli w zakwestionowanym przez GGK zakresie;
art. 83 ust. 2 lit. i) RODO w zw. z art. 31 RODO poprzez przyjęcie przez Prezesa UODO, że rzekomy brak współpracy GGK w trakcie kontroli oraz ,,brak wyrażenia chęci współpracy z Prezesem UODO” stanowią przesłankę mającą wpływ na wysokość nałożonej kary administracyjnej, podczas gdy nawet w przypadku uznania, że GGK dopuścił się naruszenia, w przypadku przesłanki wysokości kary, o której mowa art. 83 ust. 2 lit. f RODO znaczenie ma wyłącznie stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków oraz zgodnie z art. 31 RODO obowiązek współpracy powstaje na żądanie organu, a w trakcie postępowania organ nie nakładał na GGK żadnych zobowiązań, co w konsekwencji musi doprowadzić do wniosku, że GGK nie dopuścił się i nie mógł się dopuścić braku współpracy z organem;
art. 83 ust 1 RODO poprzez wymierzenie kary pieniężnej w maksymalnej możliwej wysokości, nieproporcjonalnej do rozmiarów rzekomego naruszenia, a zatem wymierzonej z naruszeniem wyrażonej w tym przepisie zasady proporcjonalności podczas gdy nawet w przypadku przyjęcia, ze Skarżący dopuścił się naruszenia, polegającego na braku współpracy w Prezesem UODO w trakcie kontroli, to naruszenie miało nieistotny charakter, a w konsekwencji nałożona kara powinna być istotnie niższa i pozostawać w odpowiedniej proporcji do naruszenia”.
Pełnomocnicy Skarżącego wnieśli o:
zwrócenie się przez Sąd – przed rozpoznaniem zarzutów – do Trybunału Sprawiedliwości Unii Europejskiej z wnioskiem o wydanie w trybie prejudycjalnym orzeczenia w odpowiedzi na pytanie: ,,Czy sądy administracyjne w Polsce, które dokonują kontroli legalności zaskarżonego aktu z perspektywy uwzględniającej faktyczne podstawy jego wydania, tj. kontroli realizacji i przestrzegania przez organ orzekający w sprawie wiążących go reguł proceduralnych (tj. w szczególności nie ustalają stanu faktycznego, nie orzekają merytorycznie i nie mają możliwości wydania wyroku reformatoryjnego), zapewniają skuteczną ochronę prawną przed sądem przeciwko prawnie wiążącej decyzji organu nadzorczego, tj. wykonują pełną jurysdykcję w sprawie, w tym w zakresie ustalenia okoliczności faktycznych i prawnych mających znaczenie dla rozstrzygnięcia sprawy, o której mowa w art. 78 ust. 1 RODO oraz w motywie (143) preambuły RODO, w sytuacji, w której postępowanie przed Prezesem UODO jest jednoinstancyjne i brak jest organu lub sądu który oceni rozstrzygnięcie Prezesa UODO merytorycznie lub ma kompetencje do dokonywania ustaleń faktycznych, zaś zgodnie z art. 6 Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności oraz art. 47 Karty Praw Podstawowych podmiot ukarany powinien mieć prawo do rozstrzygnięcia sprawy przez sąd posiadający pełną jurysdykcję w sprawie?”,
dopuszczenie i przeprowadzenie dowodu z dokumentów załączony do skargi, celem wykazania faktów wskazanych w treści uzasadnienia skargi,
rozpoznanie skargi na rozprawie,
stwierdzenie nieważności zaskarżonej decyzji w całości na podstawie art. 145 § 1 pkt 2 p.p.s.a.,
uchylenie zaskarżonej decyzji w całości na podstawie art. 145 § 1 pkt 1 lit a) i c) p.p.s.a. – ewentualnie, w przypadku niestwierdzenia nieważności decyzji,
zasądzenie od Prezesa UODO na rzecz Skarżącego zwrotu kosztów sądowych. Prezes UODO stwierdza, że przedstawione przez Skarżącą zarzuty są całkowicie niezasadne i w pełni podtrzymuje swoje stanowisko przedstawione w zaskarżonej decyzji administracyjnej.
W odpowiedzi na skarg Prezes UODO wniósł o jej oddalenie, w uzasadnieniu szczegółowo argumentując swoje stanowisko.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Skarga okazała się całkowicie bezzasadna.
Sąd orzekający w składzie niniejszym całkowicie podziela stanowisko i argumenty PUODO wyrażone w zaskarżonej decyzji i odpowiedzi na skarg , dla porządku jednak Sąd odniesie się do nich poniżej.
Po pierwsze, nie miała miejsca nieważność postępowania w sprawie, upatrywana w przeprowadzeniu kontroli w Głównym Urzędzie Geodezji i Kartografii, który zdaniem skarżącego jest odrębnym adresatem obowiązków (vide: skarga oraz pismo procesowe skarżącego z dnia lutego 2021 r.). Sąd podkreśla, że Główny Urząd Geodezji i Kartografii jest jednostką organizacyjną, przy pomocy której GGK realizuje swoje ustawowe zadania. Powyższe wynika chociażby z informacji na oficjalnej stronie internetowej Urzędu, gdzie w zakładce ,,kierownictwo” znajduje się informacja, że Urzędem kieruje Główny Geodeta Kraju (http[]//www.gugik.gov[.]pl/urzad/kierownictwo). Kontrola została więc prawidłowo, zgodnie ze strukturą organizacyjną skarżącego i jego kierowniczą rolą w tej strukturze.
Nie budzi żadnych wątpliwości Sądu, że administrator i podmiot przetwarzający obowiązani są współpracować z organem nadzorczym w ramach wykonywania przez niego zadań, o czym stanowi art. 31 Rozporządzenia 2016/679. Niewywiązanie się z tego obowiązku również zagrożone jest – zgodnie z art. 83 ust. 4 lit. a) Rozporządzenia 2016/679 w związku z art. 102 ust. 1 i 3 u.o.d.o. – administracyjną karą pieniężną w wysokości do 100 000 złotych.
Z istoty uprawnień PUODO i możliwości prowadzenia przez niego kontroli (opartej nawet tylko na planie kontroli) wynika, że żaden podmiot kontrolowany, a tym bardziej będący organem publicznym, nie może kwestionować jej zasadności ani jej zakresu (na etapie wszczęcia i prowadzenia kontroli).
Oceny tej nie może zmienić mało logiczne twierdzenie w skardze, że ,,zamieszczenie przez GGK na upoważnieniach do przeprowadzenia kontroli adnotacji o odmowie wyrażenia zgody na przeprowadzenie czynności kontrolnych nie wpłynie to na faktyczną możliwość uzyskania przez niego w trakcie realizowania czynności kontrolnych przez Prezesa UODO uzyskania dostępu do wszelkich pomieszczeń, sprzętu i środków służących do przetwarzania danych”, oraz że ,,adnotacja o odmowie wyrażenia zgody może być traktowana wyłącznie jako wyrażenie przez GGK krytycznej opinii na temat określonego przez organ nadzorczy zakresu kontroli, a nie jako rzeczywisty przejaw utrudniania lub uniemożliwiania przeprowadzenia kontroli przez Prezesa UODO”.
Zaistniały zatem przesłanki wydania decyzji w przedmiocie nałożenia kary.
Zdaniem Sądu w kontrolowanej sprawie nie doszło do ,,uniemożliwienia wniesienia i rozpoznania skutecznego środka ochrony prawnej przed sądem”, ani do rozpoznania sprawy przez sąd nieposiadającym pełnej jurysdykcji.
Zarzuty w tym zakresie są o tyle niezrozumiałe, że stawia je polski organ publiczny, którego decyzje są także przedmiotem kontroli przez sądy administracyjne i który chociażby z tego powodu powinien mieć wiedzę o zakresie i podstawach prawnych działania sądownictwa administracyjnego w Polsce. Z tej samej przyczyny GGK powinien mieć wiedzę na temat europejskich aktów prawnych, dających PUODO upoważnienie do działania, także wobec innych organów publicznych, w ramach nawet planu kontroli, tj. bez potrzeby uprzedniego naruszenia przepisów RODO.
Sąd nie ma wątpliwości, że organ nie naruszył art. 78 ust. 1 Rozporządzenia 2016/679 w związku z art. 6 ust. 1 Konwencji Rady Europy o Ochronie Praw Człowieka i Podstawowych Wolności, zwanej dalej ,,EKPCZ”) ani do naruszenia art. 47 Karty Praw Podstawowych Unii Europejskiej.
Wniosek o skierowanie pytania prejudycjalnego do Trybunału Sprawiedliwości Unii Europejskiej (,,TSUE”), zdaniem Sądu, był wyłącznie próbą przedłużenia postępowania w sprawie i odwrócenia uwagi Sądu od istoty sprawy, który było uniemożliwienie PUODO kontroli, dokonane przez organ publiczny – Głównego Geodety Kraju. Od organu publicznego wymagane jest współdziałanie w realizacji zadań innego organu publicznego.
Nie do wyobrażenia wręcz w państwie prawa, będącym państwem członkowskim Unii Europejskiej, jest uniemożliwienie kontroli, bojkotowanie i kwestionowanie uprawnień PUODO. Organ publiczny, jakim jest GGK, powinien też znać przepisy prawa i wiedzieć o tym, nawet bez konieczności uzyskiwania stosownych dokumentów, jakie uprawnienia posiada PUODO i jakie są podstawy prawne jego działań. Jeżeli przepisów tych nie zna GGK i tylko z tej przyczyny kwestionuje kontroli PUODO, to jak mają zachowywać się obywatele czy indywidualne podmioty, do których kierowana jest kontrola?
Nadto wniosek o skierowanie pytania do TSUE jest o tyle niezrozumiały, że kwestie, które miałyby być przez niego rozstrzygane, dawno już zostały przeanalizowane zarówno przez Trybunał Konstytucyjny, polskie sądy administracyjne jak i Europejski Trybunał Praw Człowieka. Również tego rodzaju informacje powinny być znane GGK z urzędu (jako organowi publicznemu), skoro w wielu zakresach swojej działalności z dorobku orzecznictwa wskazanych Sądów korzysta, a przynajmniej powinien.
Poważny niepokój Sądu budzi w tej sprawie wykazywana, a wręcz dowodzona w skardze, nieznajomość przepisów prawa przez GGK. O ile jest oczywiste, że ogólny poziom znajomości przepisów prawa nie jest wysoki, o tyle dziwi, gdy powołuje czy podkreśla go organ publiczny, w dodatku w skardze na decyzję innego organu publicznego, działającego w tym samym państwie.
GGK powinien wiedzieć (co mu wskazał Prezes UODO), że w polskim systemie prawnym kontrola decyzji PUODO odbywa się w drodze skargi do Wojewódzkiego Sądu Administracyjnego. Ustawodawcy krajowemu (na podstawie przepisu art. 78 ust. 1 Rozporządzenia 2016/679), pozostawiono swobodę ustanowienia odpowiednich środków prawnych, dlatego ustawą z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwaną dalej ,,u.o.d.o.”, wprowadzono model kontroli sądów administracyjnych nad decyzjami Prezesa UODO. Taki model kontroli odpowiada standardom i jest zgodny z regulacjami unijnymi (Kartą Praw) i międzynarodowymi (EKPCz).
Polski Trybunał Konstytucyjny zaakceptował co do zasady poddanie administracyjnych kar pieniężnych (orzekanych przez różne organy administracji publicznej na gruncie wielu różnych ustaw, w tym również mających oparcie w regulacjach Unii Europejskiej), kontroli sądów administracyjnych (patrz powołany w odpowiedzi na skarg wyrok TK z 7 lipca 2009 r., sygn. akt K 13/08). TK (w wyroku z 18 kwietnia 2000 r., sygn. K. 23/99) zwrócił też uwagę na odmienność pojęcia “kary” w przepisach karnych od “kary” jako sankcji administracyjnej. Ta druga może zostać nałożona zarówno na osobę, jak i na osob prawną, stosowana jest automatycznie, z tytułu odpowiedzialności obiektywnej i ma mieć przede wszystkim funkcję prewencyjną. Kara administracyjna ma również charakter dyscyplinująco-represyjny.
Kary pieniężne mogą wynikać z decyzji administracyjnych poddanych kontroli sądownictwa administracyjnego (wyrok Trybunału Konstytucyjnego z 4 lipca 2002 r., sygn. P 12/01, OTK ZU nr 4/A/2002, poz. 50), a nie tylko z przepisów prawa karnego.
GGK, jako organ publiczny, wydający decyzje administracyjne, również o tym powinien wiedzieć.
Sądy administracyjne tak samo jak sądy powszechne i sądy wojskowe sprawują w Polsce wymiar sprawiedliwości. Zgodnie z art. 184 Konstytucji należy do nich – w zakresie ustalonym w ustawie – kontrola działalności administracji publicznej. W wyniku zaskarżenia decyzji administracyjnej sąd ten nie przejmuje “sprawy administracyjnej” do załatwienia, lecz jedynie kontroluje działalność organu, który decyzję wydał Sąd administracyjny, co do zasady, nie zastępuje organu administracji, a jego orzeczenia – w razie uwzględnienia skargi – tylko uchylają alba stwierdzają nieważność decyzji oraz nakazują organowi administracji określone dalsze działania.
Kontrola działań organów administracji publicznej (w tym także GGK) przez sądy administracyjne – zgodnie z art. 1 § 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269, ze zm.) dokonywana jest na podstawie kryterium zgodności z prawem, o ile ustawy nie stanowic:1 inaczej.
Sąd orzekający w składzie niniejszym w pełni podziela stanowisko PUODO, że sankcje w postaci administracyjnych kar pieniężnych nie mają charakteru karnego. Nie ma w związku z tym wymogu stosowania do nich najwyższych standardów wypracowanych przez orzecznictwo ETPCz i TSUE wobec sankcji o charakterze ściśle karnym (w tym w szczególności wymogu poddania ich kontroli sprawowanej przez Sądy posiadające ,,pełną jurysdykcji ” rozumianą w skardze jako możliwość ,,przejęcia sprawy” przez sąd i rozstrzygnięcie jej zamiast organu administracyjnego).
Na temat sądu ,,pełnej jurysdykcji” wielokrotnie wypowiadał się ETPCz (np. w sprawach Sigma Radio Television Ltd v. Cyprus, Chevrol v. France, oba i więcej dostępne na stronie https://hudoc.echr.coe.int/). Jakkolwiek nie wszystkie orzeczenia dostępne są w polskiej wersji językowej Sąd zakłada, że GGK dysponuje odpowiednimi służbami, orzeczenia te przetłumaczyć w razie potrzeby. ETPCz podkreślił w nich (i w wielu innych), ze w pojęciu ,,pełnej jurysdykcji” chodzi o ,,wystarczającą jurysdykcję (,,sufficient jurisdiction”) oraz o sąd sprawujący wystarczającą kontrolę (,,sufficient review”). W pojęciu tym nie chodzi o prowadzenie pełnego postępowania dowodowego w każdej sprawie, jak to błędnie rozumie GGK.
Nietrafne jest zatem utożsamianie pojęcia pełnej jurysdykcji z konieczności prowadzenia postępowania dowodowego, skoro w niektórych sprawach w systemie prawnym, nie jest niezbędne, aby każdy sąd działający w tym kraju prowadził postępowanie dowodowe w każdej sprawie poddanej mu pod osąd. Wiele europejskich systemów prawnych nie przewiduje w ogóle możliwości złożenia apelacji od wyroku Sądu pierwszej instancji, nie mówiąc już o prowadzeniu postępowania dowodowego w każdej sprawie. Jest to tyle istotne, że polskie sądy administracyjne rozpoznają skargi od decyzji organów administracji, czyli kontrolując już uprzednio przeprowadzone postępowanie administracyjne. W takiej sytuacji ograniczenie ich roli do kontroli legalności decyzji nie wydaje się w żadnej mierze ograniczać możliwości reagowania na ewentualne naruszenia prawa.
W sprawie niniejszej sytuacja była jednak zupełnie precedensowa: kontrolowany organ publiczny uniemożliwił przeprowadzenie kontroli przez inny, publiczny organ państwa. Z tej przyczyny postępowanie GGK i zarzuty skargi w szczególności świadczyć o braku rozumienia przepisów prawa przez organ, który w swej działalności prawo to stosuje.
Zupełnie niezrozumiałe jest posługiwanie się w skardze argumentami dotyczącymi tzw. ,,kryteriów Engel” (wyrok ETPC z 8 czerwca 1986 r. w sprawie Engel i inni przeciwko Holandii). Analiza przepisów Rozporządzenia 2016/679 wskazuje, że przewidziane w nich administracyjne kary pieniężne mają przede wszystkim charakter naprawczy, restytucyjny, prewencyjny i dyscyplinujący, dopiero w dalszej kolejności represyjny. lch celem jest przede wszystkim doprowadzenie do usunięcia naruszenia (stanu niezgodnego z prawem). Świadczy o tym, jak trafnie zauważył PUODO, m.in. zaliczenie – w art. 58 ust. 2 Rozporządzenia 2016/679 – uprawnienia organu nadzorczego do zastosowania administracyjnej kary pieniężnej do tzw. ,,uprawnień naprawczych” (ang. ,,corrective powers”).
Trafny jest też argument PUODO, że gdyby intencją autorów Rozporządzenia 2016/679 było nadanie administracyjnym karom pieniężnym charakteru karnego, jednoczesne dopuszczenie możliwości nakładania na podmioty odpowiedzialne za naruszenie dodatkowych – poza administracyjnymi karami pieniężnymi – sankcji karnych, prowadziłoby w ocenie Prezesa UODO automatycznie do naruszenia zasady ne bis in idem, które to naruszenie jest niedopuszczalne. Charakter naprawczy i dyscyplinujący administracyjnych kar pieniężnych, orzekanych przez Prezesa UODO, szczególnie widoczny jest w sprawach naruszeń związanych z uprawnieniami organu nadzorczego w zakresie prowadzonych postępowań (w tym art. 58 ust 1 lit. e) i f) Rozporządzenia 2016/679) oraz obowiązkami administratorów i podmiotów przetwarzających wobec organu nadzorczego (w tym art. 31 Rozporządzenia 2016/679).
Za takie właśnie naruszenia w niniejszej sprawie nałożona została Skarżącego administracyjna kara pieniężna – zgodnie z oczekiwaniami Prezesa UODO wyrażonymi w uzasadnieniu zaskarżonej decyzji – ,,zdyscyplinuje GGK do prawidłowej współpracy z Prezesem UODO w postępowaniach prowadzonych w przyszłości”.
Sąd nie ma wątpliwości, że omawiana kara pieniężna została nałożona w związku z naruszeniem przepisów Rozporządzenia 2016/679, określających obowiązki administratora lub podmiot przetwarzający wobec Prezesa UODO ma charakter środka przymuszającego do wykonania szeroko rozumianych obowiązków procesowych; mieści się w ramach kompetencji władczych Prezesa UODO służących zapewnieniu prawidłowego przebiegu prowadzonego przez niego postępowania (kontrolnego i – na następnym etapie – administracyjnego w przedmiocie naruszenia przepisów Rozporządzenia 2016/679). Nie świadczy o karnym charakterze administracyjnej kary pieniężnej w niniejszej sprawie jej rodzaj ani ,,surowość”.
Nałożona na Skarżącego kara faktycznie orzeczona została w maksymalnej wysokości, jednakże było to uzasadnione okolicznościami sprawy. Ukaranym jest organ administracji publicznej, który zablokował możliwość działania – wykonania kontroli – przez inny organ publiczny.
Kary pieniężne, nakładane na podstawie Rozporządzenia 2016/679 i u.o.d.o., nie leżą w sferze uznania Prezesa UODO. lch nałożenie oraz ich wysokość uzasadniona powinna być bowiem w każdym indywidualnym przypadku okolicznościami sprawy (przesłankami szczegółowo wskazanymi w art. 83 ust. 2 Rozporządzenia 2016/679). Uwzględnienie tych okoliczności w rozstrzygnięciu o karze pieniężnej podlega zaś kontroli sądu. Sąd orzekający w sprawie niniejszej stwierdza, że uzasadnienie wysokości nałożonej kary jest logiczne i zostało wyczerpująco wyjaśnione.
Z przedstawionych wyżej przyczyn bezzasadne jest podniesione w skardze zarzuty naruszenia art. 78 ust. 1 Rozporządzenia 2016/679 w związku z art. 6 ust. 1 Konwencji oraz art. 47 Karty Praw. Nie zachodzi również konieczność kierowania do TSUE wnioskowanego przez pełnomocników Skarżących pytania prejudycjalnego.
Zupełnie bezzasadny jest zarzut naruszenia art. 83 ust. 4 lit a) i art 83 ust. 5 lit e) w zw. z art. 31 w zw. z art. 58 ust. 1 lit. e) w zw. z art. 58 ust. 1 lit. f) Rozporządzenia 2016/679 w zw. z art. 102 ust. 1 pkt 1) u.o.d.o. w zw. z art. 102 u.o.d.o. poprzez skierowanie zaskarżonej decyzji do Głównego Geodety Kraju podczas gdy podmiotem w stosunku do którego prowadzona była kontrola i wykonywane były zadania organu nie był Główny Geodeta Kraju, a Główny Urząd Geodezji i Kartografii. Sąd podziela argumentację Prezesa, że wskazanie Głównego Urzędu Geodezji i Kartografii w części dokumentacji dotyczącej kontroli miało na celu jedynie wskazanie miejsca przeprowadzenia czynności kontrolnych i podkreślenie, że w trakcie kontroli działalności Skarżącego Prezes UODO może prowadzić czynności kontrolne w odniesieniu do wszystkich – związanych z zakresem kontroli – zasobów (informacyjnych, ludzkich, technicznych, dokumentacyjnych) znajdujących się w dyspozycji Głównego Urzędu Geodezji i Kartografii jako jednostki organizacyjnej, przy pomocy której GGK realizuje swoje ustawowe zadania). Oczywistym jest bowiem, że GGK nie dysponuje osobiście wszystkim informacjami dotyczącymi zakresu kontroli, gdyż realizuje swoje ustawowe zadania przy pomocy urzędu. Przedmiot kontroli został precyzyjnie określony i nie ma żadnych wątpliwości co do określenia podmiotu podlegającego kontroli.
Również bezzasadny jest zarzut naruszenia art. 7 k.p.a., art. 8 k.p.a., 75 § 1 k.p.a., 77 § 1 k.p.a., 80 k.p.a. poprzez dokonanie ustalenia faktycznych ,,w oparciu o niepełny materiał dowodowy, zgromadzony w sprawie w sposób wybiórczy”. Sąd podziela stanowisko organu, że wskazane przez pełnomocników Skarżącego w skardze dokumenty, nie mają znaczenia w niniejszej sprawie. Jak zaznaczył Prezes, mogą one mieć znaczenie w równolegle toczącej się sprawie o naruszenie przepisów Rozporządzenia 2016/679 związane z publikowaniem na portalu GEOPORTAL2 danych z ewidencji gruntów i budynków. W szczególności dotyczy to dokumentów dotyczących merytorycznej kwestii kwalifikacji numeru księgi wieczystej jako danej osobowej. Jedyny załącznik do protokołu istotny dla sprawy ze względu na swoją treść – podpisany przez Skarżącego protokół jego przesłuchania z marca 2020 r. został włączony do materiału dowodowego. Natomiast odmowa podpisania przez świadka protokołu zeznań stanowi dowód nieprawidłowej współpracy z Prezesem UODO oraz niezapewnienia mu dostępu do wszelkich posiadanych w zakresie kontroli informacji, a więc ostatecznie świadczy na niekorzyść skarżącego.
Zdaniem Sądu w sprawie nie doszło do naruszenia art. 88 ust. 1 u.o.d.o. w zw. z art. 88 ust. 2 pkt 6) u.o.d.o. w zw. z art. 7 k.p.a., w zw. z 75 § 1 k.p.a., 77 § 1 k.p.a., 80 k.p.a. ,,poprzez brak wskazania w protokole kontroli faktu odbycia przez kontrolujących oględzin systemu informatycznego służącego do obsługi serwisu www[]geoportal[]gov[]pl, podczas gdy w trakcie kontroli kontrolujący w obecności W. I. oraz pracowników Głównego Urzędu Geodezji i Kartografii dokonać szczegółowych oględzin systemu informatycznego służącego do obsługi serwisu www[]geoportal[]gov[]pl”. Prezes UODO zaprzeczył, aby w toku kontroli miały miejsce oględziny systemu informatycznego w którym przetwarzane są dane osobowe pochodzące z ewidencji gruntów i budynków. Nie został sporządzony protokół dokonania oględzin. ,,Prezentacja elementów geoportalu krajowego, np. forum witryny Geoportalu” (cytat z przedstawionego w załączeniu skargi oświadczenia Dyrektora Departamentu PZGiK z sierpnia 2020 r.), dokonana przez pracownika Skarżącego (bez aktywnego udziału kontrolujących) w żaden sposób nie może być traktowana jako rzetelne i prawidłowo przeprowadzone oględziny. Prezes zaznaczył też, że wgląd w system informatyczny Skarżącego byt kompletnie nieistotny z punktu widzenia możliwości dokonania istotnych ustaleń (dlatego też nie został potwierdzony protokołem oględzin), gdyż na forum portalu GEOPRTAL2 nie Są przetwarzane dane osobowe pochodzić z ewidencji gruntów i budynków, a jedynie dane osobowe użytkowników tego forum. Przetwarzanie danych osobowych użytkowników forum nie było objęte zakresem kontroli. W odpowiedzi na skarg ustosunkowując się do tego zarzutu, Prezes podkreślił, że czynności kontrolujących i dokonane w tym zakresie ustalenia dotyczyły pkt 6 zakresu kontroli – wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić odpowiedni stopień bezpieczeństwa danych objętych ochroną (art. 32, art.24 ust.1 i 2 Rozporządzenia 2016/679). W zakresie dotyczącym przetwarzania danych osobowych innych niż pochodzących z ewidencji gruntów i budynków Prezes UODO nie zarzucił Skarżącemu braku współpracy ani niezapewnienia dostępu do danych osobowych, informacji, systemów informatycznych.
Nie doszło też w sprawie do naruszenia art. 7 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a. ,,poprzez brak wszechstronnej oraz merytorycznej oceny zgromadzonego materiału dowodowego, tj. protokołu kontroli wraz z załącznika, którego wszechstronna ocena powinna doprowadzić organ do ustalenia, że Skarżący współpracował z Prezesem UODO w trakcie kontroli, w szczególności w zakresie przez Prezesa UODO udzielił dostępu do pomieszczeń, sprzętu oraz środków służących do przetwarzania danych osobowych oraz dostępu do danych i innych informacji w zakresie jaki Prezes UODO uznać za niezbędny do wyjaśnienia sprawy”.
Prezes UODO dokonał wszechstronnej i merytorycznej oceny tego materiału dowodowego, której jednoznacznym efektem jest stwierdzenia naruszenia przez Skarżącego obowiązków, o których mowa w art. 31 oraz art. 58 ust. 1 lit. e) i f) Rozporządzenia 2016/679.
Zdaniem Sądu organ sporządził prawidłowe, logiczne i wyczerpujące uzasadnienie decyzji, spełniające wymogi z art. 107 § 1 pkt 6) k.p.a. oraz art. 107 § 3 k.p.a. Prezes wskazał dowody, w oparciu o które został ustalony stan faktyczny. W toku postępowania zakończonego wydaniem zaskarżonej decyzji Skarżący nie zgłaszał żadnych wniosków dowodowych, skupiając się na polemice z Prezesem w sferze wykładni prawa i zasadności przeprowadzenia kontroli, a nie próbie odtworzenia rzeczywistego przebiegu zdarzeń, których efektem jest wymierzona w zaskarżonej decyzji administracyjna kara pieniężnej.
Nie doszło do naruszenia art. 31 oraz art. 58 ust. 1 lit. e) i f) Rozporządzenia 2016/679, polegającego na przyjęciu, że w toku kontroli Główny Geodeta Kraju występował w roli administratora, podmiotu przetwarzającego albo przedstawiciela, mógł więc być poddany kontroli w zakresie przestrzegania przepisów o ochronie danych osobowych, i tym samym zobowiązany był do współpracy z organem nadzorczym i do umożliwienia organowi uzyskania dostępu do danych osobowych, informacji, pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych. GGK przetwarza bowiem dane, pochodzące z ewidencji gruntów i budynków i w stosunku do tych nich występuje w roli administratora (ewentualnie współadministratora) przetwarzającego je w oparciu o określoną podstaw prawnych lub bez takiej podstawy alba w roli podmiotu przetwarzającego. Ponieważ skarżący uniemożliwił dostęp do informacji, które pomogłyby ustalić tę okoliczność, nie można było zweryfikować tego założenia, któremu m.in. miała służyć kontrola. Jak jednak trafnie zauważył Prezes, obowiązki, o których mowa wart. 31 oraz art. 58 ust. 1 lit. e) i f) Rozporządzenia 2016/679, oraz odpowiedzialność za ich naruszenie (realizowana w niniejszym postępowaniu w przedmiocie nałożenia administracyjnej kary pieniężnej), są bowiem identyczne dla administratora i podmiotu przetwarzającego.
Zdaniem Sądu w sprawie nie doszło do naruszenia art. 31 oraz art. 58 ust. 1 lit. e) i f) Rozporządzenia 2016/679, poprzez jego błędną wykładnię i przyjęcie, że zamieszczenie przez Skarżącego na upoważnieniach do przeprowadzenia kontroli adnotacji o odmowie wyrażenia zgody na przeprowadzenie czynności kontrolnych w odniesieniu do części wskazanego w upoważnieniach zakresu kontroli doprowadziło do naruszenia wskazanych przepisów, ,,podczas gdy zamieszczenie takiej adnotacji nie ma charakteru w żaden sposób wiążącego dla Prezesa UODO oraz w żaden sposób nie wpłynęło na faktyczne możliwość uzyskania przez niego w trakcie realizowania czynności kontrolnych przez Prezesa UODO uzyskania dostępu do wszelkich pomieszczeń, sprzętu i środków służących do przetwarzania danych, w zakresie o który wnioskował w trakcie wykonywania czynności kontrolnych, w konsekwencji czego adnotacja o odmowie wyrażenia zgody może być traktowana wyłącznie jako wyrażenie przez GGK krytycznej opinii na temat określonego przez organ nadzorczy zakresu kontroli, a nie jako rzeczywisty przejaw utrudniania lub uniemożliwiania przeprowadzenia kontroli przez Prezesa UODO”. Sąd odniósł się do tego zarzutu we wstępnej części uzasadnienia. Jakkolwiek więc zamieszczenie przez GGK na upoważnieniach imiennych adnotacji ,,Odmawiam wyrażenia zgody na przeprowadzenie czynności kontrolnych w zakresie” nie jest wiążące dla Prezesa UODO; jednak bez współpracy pracowników Urzędu nie byłoby możliwe prawidłowe przeprowadzenie kontroli. Sąd podziela stanowisko Prezesa, że oświadczenie o treść ,,odmawiam wyrażenia zgody” jest oświadczeniem woli, a nie oświadczeniem wiedzy. Taka interpretacja oświadczenia GGK była uzasadniona w świetle całokształtu jego postawy w trakcie kontroli oraz po, np. przed podpisaniem protokołu kończącego kontrolę GGK mógł zaproponować kontynuowanie kontroli w pełnym zakresie.
Oceniając wymiar i wysokość administracyjnej kary pieniężnej Sąd również podzielił stanowisko Prezesa UODO w całości. W szczególności organ nie naruszył art. 83 ust. 2 lit. b) Rozporządzenia 2016/679. Skarżący świadomy był, że PUODO konsekwentnie przyjmuje, iż numery ksiąg wieczystych stanowią dane osobowe w rozumieniu przepisów ustawy o ochronie danych osobowych (vide decyzja z dnia 9 stycznia 2012 r sygn. DOLiS/DEC-16/12, decyzja z dnia 14 lutego 2014 r. sygn. DOLiS/DEC-16/14, orzeczenia sądów administracyjnych, np. wyrok WSA w Krakowie z dnia 14 maja 2014 r. – II SA/Kr 126/14, wyrok WSA we Wrocławiu z dnia 2 grudnia 2010 r. – sygn. II SA/Wr 546/10, wyrok NSA z dnia 18 lutego 2014 r. – I OSK 1839/12 oraz stanowisko doktryny).
Nie doszło też w sprawie do naruszenia art. 83 ust. 2 lit. i) Rozporządzenia 2016/679. Aby przesłankę ,,stopnia współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków”. Odmowa współpracy z Prezesem UODO, wyrażona nie tylko w treści adnotacji na upoważnieniach kontrolujących, ale i w dalszym jego postępowaniu w trakcie kontroli (np. w przypadku odmowy podpisania protokołu zeznań z marca 2020 r.), jak w również w całkowitym i kategorycznym kwestionowaniu stanowiska Prezesa UODO co do charakteru numeru księgi wieczystej jako danej osobowej (zanegowaniem więc z góry samej możliwości popełnienia stwierdzonego przez Prezesa UODO w sprawie naruszenia), wykluczyły współpracę także po popełnieniu naruszenia.
Organ nie naruszył art. 83 ust. 1 Rozporządzenia 2016/679 ,,poprzez wymierzenie kary pieni znej w maksymalnej możliwej wysokości, nieproporcjonalnej do rozmiarów rzekomego naruszenia, a zatem wymierzonej z naruszeniem wyrażonej w tym przepisie zasady proporcjonalności”. Sąd podziela stanowisko Prezesa, że kara w wysokości niższej niż 100 000 zt, nie spełnia swojej funkcji odstraszającej, o której mowa w art. 83 ust. 1 Rozporządzenia 2016/670; kara w takiej wysokości ma charakter dyscyplinujący i prewencyjny. Gdyby kara pieniężna wymierzana była w ramach ogólnego, określonego w art. 83 ust. 5 Rozporządzenia 2016/679, zagrożenia karą pieniężną mogła wynieść maksymalnie 20 000 000 EUR.
Z przedstawionych wyżej przyczyn należy uznać skargę za całkowicie bezzasadną, a podniesione w niej zarzuty za zupełnie nietrafne. Dlatego Sąd oddalił skargę na podstawie art.151 p.p.s.a.
Sąd pominął wnioski dowodowe skarżącego jako nieistotne dla rozpoznania sprawy niniejszej. Jak wyżej zaznaczono, miałyby one (być może) znaczenie dla merytorycznej oceny ksiąg wieczystych jako danych osobowych, jednak sprawa niniejsza nie dotyczyła (wbrew stanowisku skargi) kwestii merytorycznych, lecz nałożenie kary pieniężnej na organ.
O rozpoznaniu skargi na posiedzeniu niejawnym zarządził przewodniczący wydziału, mając na uwadze zarządzenie I Prezesa NSA z dnia października 2020 r. Wniosek skarżącego o skierowanie sprawy na rozprawę (m.in. w ostatnim piśmie z dnia lutego 2021 r.), byt o tyle chybiony, że miałyby być ustalane na niej kwestie m.in. struktury i powiązań między GGK a Głównym Urzędem Geodezji i Kartografii, oczywiste, dostępne w internecie na oficjalnych, powszechnie dostępnych stronach. Fakty znane powszechnie oraz znane urzędowo nie podlegają dowodzeniu.
Również pozostałe zagadnienia, zdaniem skarżącego predysponujące do wyznaczenia rozprawy w sprawie, nie mogły być potraktowane jako faktycznie wskazujące na konieczność wyznaczenia rozprawy, zwłaszcza w czasie pandemii. Ocena faktów i kontrola zaskarżonej decyzji nie wymagają prowadzenia rozprawy, skoro Sąd (zdaniem skarżącego) miał ocenić m.in. czy uzasadnienie w sprawie zostało sporządzone prawidłowo. O bezzasadności wniosku skierowania pytania do TSUE Sąd wypowiedział się w początkowej części uzasadnienia.
