Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Góraj, Sędzia WSA Agnieszka Góra-Błaszczykowska, Sędzia WSA Tomasz Szmydt (spr.), , Protokolant starszy specjalista Bogumiła Kobierska, , po rozpoznaniu na rozprawie w dniu 5 czerwca 2023 r. sprawy ze skargi […] Sp. j. z siedzibą w […] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia […] lipca 2022 r. nr […] w przedmiocie przetwarzania danych osobowych

1. uchyla zaskarżoną decyzję w całości,

2. umarza postępowanie przed Prezesem Urzędu Ochrony Danych Osobowych,

3. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz […] Sp. j. z siedzibą w […] kwotę 697 zł (sześćset dziewięćdziesiąt siedem złotych), tytułem zwrotu kosztów postępowania.

Przedmiotem skargi […] P. C., M. C. Sp.j. z siedzibą w […] (dalej: “Spółka”) do Wojewódzkiego Sądu Administracyjnego w Warszawie jest decyzja Prezesa Urzędu Ochrony Danych Osobowych (dalej: “Organ”, “PUODO”), nr […], z […] marca 2022 r., którą to Organ, działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735) zw. z art. 7 ust 1 ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz. U. z 2019 r. poz. 1781), art. 5 ust. 1, art. 6 ust. 1 i art. 58 st. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23,05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), po przeprowadzeniu postępowania administracyjnego w sprawie skargi D. K. (dalej: “Skarżący), na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Spółkę polegające na udostępnieniu jego danych w zakresie imienia i nazwiska oraz adresu poczty elektronicznej i numeru telefonu, osobom nieuprawnionym, podczas identyfikacji jego uprawnienia do skorzystania z usługi przewozowej:

– w pkt. 1 decyzji udzielił Spółce upomnienia za naruszenie art. 6 ust 1 art. w zw. z art. 5 ust. 1 lit f w zw. z rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35, polegające na udostępnieniu osobom nieuprawnionym danych Skarżącego w zakresie jego imienia i nazwiska osobom nieuprawnionym, podczas identyfikacji jego uprawnienia do skorzystania z usługi przewozowej;

– w pkt 2 decyzji odmówił uwzględnienia wniosku w pozostałym zakresie.

Z akt postępowania wynikało, że Skarżący wniósł do Prezesa UODO skargę na nieprawidłowości w procesie przetwarzania jego danych osobowych przez […] P. C., M. C. Sp.j. z siedzibą w […] polegające na udostępnieniu jego danych w zakresie imienia i nazwiska oraz adresu poczty elektronicznej i numeru telefonu, osobom nieuprawnionym, podczas identyfikacji jego uprawnienia do skorzystania z usługi przewozowej.

Prezes UODO ustalił, że:

1. Spółka pozyskała dane osobowe Skarżącego w zakresie imienia, nazwiska, adresu poczty elektronicznej, numeru telefonu oraz numeru konta bankowego, na podstawie dobrowolnego ich udostępnienia przez Skarżącego w związku z zakupem biletów autobusowych za pośrednictwem strony internetowej https: […] m.in. bilet na trasie […] z dnia […].01.2021 r., bilet na trasie […] z dnia […].01.2021 r., bilet na trasie […] z dnia […].12.2020 r., bilet na trasie […] z dnia […].12.2020 r., bilet na trasie […] z dnia […].12.2020 r., bilet na trasie […] z dnia […].11.2020 r., bilet na trasie […] z dnia […].11.2020 r., bilet na trasie […] z dnia […].11.2020 r., bilet na trasie […] z dnia […].11.2020 r., bilet na trasie […] z dnia […].09.2020 r., bilet na trasie […] z dnia […].09.2020 r., bilet na trasie […] z dnia […].09.2020 r., bilet na trasie Katowice-Wrocław z dnia 22.09.2020 r., bilet na trasie […] z dnia […].08. 2020 r. (dowód: wyjaśnienia Spółki z […] stycznia 2021 r.);

2. Spółka wskazała, że przetwarza dane osobowe Skarżącego na podstawie art. 6 ust. 1 lit. b rozporządzenia 2016/679 w celu zawarcia bądź realizacji umowy przewozu osób lub rzeczy, dla wykonania której przetwarzanie danych jest niezbędne oraz na podstawie art. 6 lit. f rozporządzenia 2016/679 w celu realizacji prawnie uzasadnionego interesu w postaci konieczności rozpoznania zgłoszonej przez Skarżącego reklamacji usługi przewozowej oraz z uwagi na prowadzone postępowanie sądowo – administracyjne pod sygn. II SA Wa 1801/20 przed Wojewódzkim Sądem Administracyjnym w Warszawie (dowód: wyjaśnienia Spółki z […] stycznia 2021 r.);

3. Spółka wyjaśniła, że pasażer, który zakupił bilet za pośrednictwem systemu internetowego Spółki ma obowiązek okazać kierowcy zakupiony bilet, a kierowca weryfikuje dane na nim widniejące z danymi zamieszczonymi na liście podróżnych, w tym datę i godzinę kursu jak również miejsce podróży, celem potwierdzenia prawa do przejazdu oraz dla uniknięcia sytuacji, w których pasażer omyłkowo pomylił autobus, datę, godzinę lub trasę konkretnego kursu. Podstawą prawną przyjętej przez Spółkę regulacji usługi przewozowej jest – jej zdaniem – art. 16 ustawy z dnia 15 listopada 1984 r. Prawo przewozowe (Dz. U. z 2020 r., poz. 8) oraz wewnętrzny Regulamin Przewozów (dowód: wyjaśnienia Spółki z dnia 16 maja 2019 r.). Lista podróżnych, zawierająca imię i nazwisko podróżnego, bez numeru telefonu i adresu poczty elektronicznej, dostępna jest – zdaniem Spółki – wyłącznie do wglądu kierowcy, który posiada stosowne upoważnienie i przechowuje ją w materiałowej, zamykanej teczce, niedostępnej dla osób trzecich, w której przewozi wszystkie dokumenty dotyczące danego kursu, a po kursie, listy przekazywane są upoważnionym pracownikom. Kierowcy nie mają dostępu do innych danych, poza tymi zawartymi na powierzonej im liście pasażerów, tj. imieniem oraz nazwiskiem, w szczególności do danych o szczególnym, tj. wrażliwym charakterze (dowód: wyjaśnienia Spółki z […] stycznia 2021 r.);

4. Spółka oświadczyła, że nie odnotowała przypadku objętego skargą Skarżącego i nie potwierdza, aby wskazane przez niego rozmowy prowadzące do udostępnienia jego danych, utrwalone na nagraniach głosowych, miały miejsce w autobusie Spółki. Kierowca – zdaniem Spółki – nie żąda podania głośno nazwiska pasażera ani żadnych innych jego danych, nie czyta również głośno listy pasażerów ani ich nie wywołuje, bowiem podróżny zobowiązany jest do okazania kierowcy biletu, który konfrontowany jest przez kierowcę z listą pasażerów, natomiast osoba, która wejdzie na pokład autobusu może dobrowolnie się przedstawić. Jeżeli pasażer nie życzy sobie, aby jego dane widniały na iście pasażerów, ma możliwość zakupienia biletu bezpośrednio u kierowcy (dowód: wyjaśnienia Spółki z […] stycznia 2021 r. oraz […] maja 2021 r.);

5. Skarżący w trakcie wsiadania do autobusu został poproszony przez kierowcę o wskazanie swojego imienia i nazwiska, które ten dobrowolnie mu podał wypowiadając je na głos, w innym zaś przypadku kierowca pierwszy ujawnił dane osobowe Skarżącego; – nagranie dźwiękowe o nazwie “[…].mp3” rozpoczyna się od niezrozumiałych słów, następnie słychać szum oraz silnik pojazdu, po czym pada wymiana zdań: “Dzień dobry, na jakie nazwisko? “Na nazwisko K. szukamy”; “D., nie?”; “Tak”; “Do […], tak?”; “Dokładnie”; “Dobra, gra”; “Na górę tylko, tak? “Tak, tak”, po czym, słychać szum, niezrozumiale głosy i nagranie kończy się; nagranie dźwiękowe o nazwie “[…].mp3” rozpoczyna się od niezrozumiałych słów, po czym pada wymiana zdań: “Pana nazwisko”; “K. D.”; “Dziękuję bardzo”; “Dziękuję” – następnie przez dłuższy czas słychać niezrozumiałe głosy i nagranie kończy się; – nagranie dźwiękowe o nazwie “[…].m4a” rozpoczyna się od słów: “Nazwisko?”; “D.”; “Proszę bardzo”; “Też z kasy czy..?”; “Z Internetu” “Na nazwisko?”; “K., tak?”; “Proszę”; “Dziękuję” – następnie przez dłuższy czas słychać niezrozumiałe głosy i nagranie kończy się. (dowód: nagrania dźwiękowe stanowiące załącznik do skargi z […] września 2020 r., notatka urzędowa z […] stycznia 2021 r.);

6. Skarżący nie zwracał się do Spółki z żądaniem zaprzestania przetwarzania jego danych osobowych (dowód: wyjaśnienia Spółki z […] stycznia 2021 r.);

7. Prezes UODO prowadził postępowanie administracyjne pod sygn. […], w wyniku którego udzielił Spółce upomnienia za naruszenie art. 5 ust. 1 lit. f w zw, z art. 6 ust. 1 b rozporządzenia 2016/679, polegającego na udostępnieniu osobom nieuprawnionym danych Skarżącego w zakresie imienia i nazwiska, podczas identyfikacji jego uprawnienia do skorzystania z usługi przewozowej (dowód: pismo Skarżącego z […] listopada 2020 r., wyjaśnienia Spółki z […] stycznia 2021 r.).

Wydając zaskarżoną decyzję Prezes UODO wyjaśnił, że zgodnie z definicją przetwarzania danych osobowych, ujętą wart. 4 pkt 2 rozporządzenia 2016/679, pod pojęciem przetwarzania należy rozumieć operację lub zestaw operacji wykonywanych na danych osobowych lub ich zestawach w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Prawodawca uznał, że czynność przetwarzania dotyczy jakichkolwiek operacji wykonywanych na danych osobowych, w tym ich: zbierania, utrwalania, przechowywania, czy udostępniania, a zwłaszcza tych, które wykonuje się w systemach informatycznych. Nie ma natomiast znaczenia czy będą dokonywane automatycznie, czy w sposób niezautomatyzowany. Sposób zdefiniowania pojęcia przetwarzania danych wskazuje, że intencją ustawodawcy było objęcie tym terminem bardzo szerokiej gamy czynności na danych osobowych. Wyróżnienie zaś automatycznego przetwarzania danych osobowych miało na celu wyróżnienie go wobec postępu technologicznego i nadania w rozporządzeniu 2016/679 dodatkowych dyspozycji odnośnie chociażby profilowania danych. Tak ujęta definicja przetwarzania danych opiera się na założeniu o braku możliwości odgórnego wskazania konkretnych operacji, które jako jedyne mogą być wykonywane na danych osobowych.

Dlatego też, zdaniem Prezesa UODO, wszelkie działania podejmowane przez Spółkę, w tym przez pracowników Spółki w ramach realizacji usług, które za przedmiot mają informacje osobowe winny być zakwalifikowane jako przetwarzanie danych.

W myśl rozporządzenia 2016/679, aby przetwarzanie danych osobowych było zgodne z prawem, administrator jest zobowiązany przetwarzać dane osobowe na podstawie przesłanek określonych w art. 6 rozporządzenia 2016/679.

Przepis art. 5 ust. 1 lit. f rozporządzenia 2016/679 stanowi, iż dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową Utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (“integralność i poufność”).

Zgodnie z motywem 10 rozporządzenia 2016/679, danymi wrażliwymi są szczególne kategorie danych osobowych, enumeratywnie wymienione w art. 9 rozporządzenia 2016/679, tj.: dane ujawniające pochodzenie rasowe lub etniczne, dane ujawniające poglądy polityczne, dane ujawniające przekonania religijne lub światopoglądowe, dane ujawniające przynależność do związków zawodowych, dane genetyczne, dane biometryczne, dane dotyczące zdrowia oraz dane dotyczące seksualności lub orientacji seksualnej. Dane osobowe w postaci imienia, nazwiska, numeru telefonu i adresu poczty elektronicznej nie znajdują się w tym katalogu. Za chybiony, Prezes UODO uznał zarzut Skarżącego, że Spółka przetwarza jego wrażliwe dane osobowe. Spółka uprawniona była do przetwarzania danych Skarżącego na podstawie art. 6 ust, 1 lit. b rozporządzenia 2016/679, do czasu zrealizowania każdej z zawartych umów, a także z uwagi na toczące się postępowanie sądowoadministracyjne, była uprawniona do przetwarzania danych osobowych do czasu prawomocnego zakończenia postępowania.

Jednakże, organ uznał, że ze zgromadzonego materiału dowodowego wynika, że Spółka udostępniła dane Skarżącego w zakresie jego imienia i nazwiska osobom nieuprawnionym, podczas identyfikacji jego uprawnienia do skorzystania z usługi przewozowej.

Skarżący nie tylko został poproszony o podanie nazwiska, które zostało przez kierowcę powtórzone na głos, lecz także pracownik Spółki – kierowca – sam, z własnej inicjatywy podjął dialog ze Skarżącym w którym pierwszy ujawnił jego nazwisko.

Doszło zatem do przetwarzania danych Skarżącego bez podstawy prawnej, z naruszeniem zasady poufności, w tym ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem. Choć Spółka oświadczyła, że nie odnotowała przypadku objętego skargą i nie potwierdza, aby wskazane przez niego rozmowy prowadzące do udostępnienia jego danych, utrwalone na nagraniach głosowych, miały miejsce w autobusie Spółki, to organ nie dał jej wiary wyjaśnieniom, z uwagi na zgromadzony w sprawie materiał dowodowy, w tym oświadczenie Skarżącego poparte przedłożonymi nagraniami głosowymi, pozostającymi w logicznym ciągu z postawionymi przez niego względem Spółki zarzutami. Organ ustalił, że Spółka przetwarzała dane osobowe Skarżącego, zaś pracownik Spółki – wymagając od Skarżącego podania jego imienia i nazwiska podczas weryfikacji jego uprawnienia do skorzystania z usługi przewozowej – zamiast dokonania wglądu w zakupiony przez Skarżącego bilet, udostępnił je na rzecz osób nieupoważnionych naruszając ich ochronę, powtarzając je na głos wśród osób nieupoważnionych do pozyskania informacji o jego tożsamości. Skarżący, jako pasażer, zobowiązany jest do okazania kierowcy biletu, nie zaś do przedstawienia się. Zebrany materiał dowodowy nie pozwolił przyjąć, iż Skarżący godził się na przetwarzanie przez kierowcę jego danych w kwestionowany przez niego sposób, który doprowadził do udostępnienia ich na rzecz osób trzecich, tj. pozostałych pasażerów autobusu.

W ocenie Prezesa UODO nie sposób przyjąć, że w sprawie doszło do naruszenia ochrony danych osobowych Skarżącego w zakresie udostępnienia osobom nieupoważnionym jego danych, znajdujących się na liście pasażerów. Poza oświadczeniem Skarżący nie przedstawił żadnych innych dowodów potwierdzających podniesiony zarzut, a przeprowadzone postępowanie nie doprowadziło do ustalenia, że takie naruszenie miało miejsce, zaś Spółka słusznie wskazała, iż operacje przetwarzania danych w postaci weryfikacji przez kierowcę autobusu danych osobowych widniejących na bilecie z listą pasażerów są niezbędne oraz proporcjonalne w stosunku do celów przetwarzania.

Powyższa decyzja stała się przedmiotem skargi Spółki […] P. C., M. C. Sp. J. z siedzibą w […] do Wojewódzkiego Sądu Administracyjnego w Warszawie. Spółka wniosła o uchylenie zaskarżonej decyzji w całości i o umorzenie postępowania; ewentualnie w przypadku nie stwierdzenia podstaw do umorzenia postępowania, wniosła o uchylenie zaskarżonej decyzji w części (tj. pkt. 1 Decyzji); nadto wniosła o zasądzenie od Organu na rzecz Spółki zwrotu kosztów postępowania wraz z kosztami zastępstwa procesowego oraz o przeprowadzenie dowodów w postaci:

– wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z 11 maja 2021 r. sygn. akt II SA/Wa 1801/20;

– postanowienia z dnia 28 lipca 2022 r. wraz z uzasadnieniem;

– pisma Spółki z dnia […] czerwca 2021 r.

Spółka zarzuciła organowi naruszenie przepisów postępowania administracyjnego – ustawy z dnia 14 czerwca 1960 r, – Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 755 ze zm., dalej: “k.p.a.”), które miało istotny wpływ na wynik sprawy tj.:

1. art. 61 §1 w zw. z art 61a k.p.a. oraz art 105 k.p.a. poprzez brak odmowy wydania orzeczenia o odmowie wszczęcia postępowania, a w razie jego wszczęcia – umorzenia postępowania jako bezprzedmiotowego, podczas gdy wymienienie przez D. K. jego imienia i nazwiska, a później ich hipotetyczne powtórzenie przez kierowcę pojazdu nie mogłyby być traktowane jako przetworzenie danych osobowych w rozumieniu RODO, wyspecjalizowany Organ – Prezes Urzędu Zamówień Publicznych nie był więc właściwy dla oceny legalności tych zdarzeń, z uwagi że wypowiedzenie imienia i nazwiska przez D. K. nie pozostawało w żadnym związku z procesem mechanicznego przetwarzania danych bądź posługiwanie się danymi mogącymi stanowić wyodrębnioną bazę, jako zespół informacji uporządkowanych wedle pewnych kryteriów w dniu zdarzenia, ponadto regulacje RODO nie dotyczą możliwości poznania imienia i nazwiska określonej osoby.

2. art. art 58 ust. 2 RODO w zw. z art. art. 34 ust 2 oraz art. 60 ustawy o danych osobowych poprzez wydanie przez Organ decyzji udzielającej upomnienia Skarżącemu w zakresie naruszenia art. 6 ust.1 w zw. art. 5 usL1 lit. f) RODO, polegające na udostępnieniu osobom nieuprawnionym danych D. K. w zakresie jego imienia i nazwiska, podczas identyfikacji jego uprawnienia do skorzystania z usługi przewozowej, podczas z uwagi na brak naruszenia przepisów RODO – Prezes UODO nie jest podmiotem właściwym w tym zakresie, zaznaczyć należy iż w kwestii ochrony dóbr osobistych w rozumieniu art. 23 i 24 k.c. właściwe są sady powszechne, nie zaś organy administracji.

3. Naruszenie art. 2 ust. 1 RODO w zw. z art. 4 pkt. 6 w zw. z art. 4 ust. 2 RODO – poprzez przyjęcie iż przez czynność przedstawienia się/ wypowiedzenia imienia i nazwiska doszło do przetwarzania danych osobowych przez skarżącego, podczas gdy: w orzecznictwie podnosi się że wobec wyartykułowanych celów przyjęcia RODO i treści jego regulacji wstępnych – akt ten dotyczy zdarzeń związanych z przetwarzaniem informacji (gromadzenie, transfer itp.) gdzie możliwe jest mechaniczne odnajdywanie informacji o osobach – ich danych osobowych – w szczególności w ramach systemów teleinformatycznych, nie dotyczy ono zaś zdarzeń, pozostających w związku z ujawnieniem (a więc przetworzeniem) danych osobowych, w innych sytuacjach – np. możliwości poznania imienia i nazwiska określonej osoby, wobec głośnego jego wypowiedzenia (przez kierowcę czy pasażera autobusu), nawet gdy znajduje się ono równocześnie w określonym zbiorze informacji (liście pasażerów), choćby prowadzono ją w formie elektronicznej.

4. Naruszenie art. 2 ust. 1 RODO w zw. z art. w zw. z art. 4 pkt. 6 w zw. z art. 4 ust. 2 RODO poprzez przyjęcie iż doszło do udostępnienia danych osobowych podczas gdy, udostępnianiem danych osobowych będziemy mieli do czynienia wyłącznie wtedy, gdy odbiorcą danych jest inny administrator danych, a więc podmiot decydujący o celach i środkach przetwarzania danych osobowych, w sprawie niniejszej, wypowiedzenie przez D. K. własnego imienia i nazwiska wobec innych pasażerów autobusu, które są osobami fizycznymi – nie spowodowało że osoby te stały się administratorem danych osobowych D. K., wymienienie przez Skarżącego imienia i nazwiska, a później ich powtórzenie przez Kierowcę pojazdu nie mogły być traktowane jako przetworzenie danych osobowych w rozumieniu RODO, nie pozostawało to w żadnym związku z procesem mechanicznego przetwarzania danych osobowych bądź posługiwanie się danymi mogącymi stanowić wyodrębnioną bazę jako zespół informacji uporządkowanych wedle pewnych kryteriów w dniu zdarzenia.

Dalej Spółka wskazała, że na skutek powyższych naruszeń, Organ prowadził postępowanie administracyjne, podczas gdy nie był właściwy do jego prowadzenia z uwagi na brak zastosowania RODO w sprawie, konsekwencji postępowanie przez Organem powinno zostać w umorzone. Ponadto podniósł również zarzuty naruszenia przepisów postępowania, które miały istotny wpływ na wynik sprawy, tj.:

1. Naruszenie 7 k.p.a., art. 77 k.p.a. i art. 107 § 3 k.p.a. w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych – poprzez niepodjęcie przez organ wszystkich czynności niezbędnych do ustalenia stanu faktycznego i wyjaśnienia sprawy, w szczególności w zakresie: jakim konkretnym osobom udostępniono dane osobowe, w jaki sposób ustalono że były to osoby nieuprawnione, kto konkretnie usłyszał dane osobowe D. K. w postaci imienia i nazwiska oraz czy D. K. mógł odmówić wypowiedzenia swojego imienia i nazwiska – co w konsekwencji doprowadziło do błędnego ustalenia, że doszło do udostępnienia przez Spółkę osobom nieuprawnionym danych osobowych w postaci imienia i nazwiska D. K. oraz że Skarżący przetwarza dane osobowe w sposób niezapewniający im odpowiedniego bezpieczeństwa, w tym ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem.

2. Naruszenie 7 k.p.a., art. 77 k.p.a. w zw. z art. 80 k.p.a. w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych poprzez błędne przyjęcie iż Spółka udostępniła dane osobowe osobom nieupoważnionym, podczas gdy to D. K. – wypowiedział swoje imię i nazwisko na głos, tym samym do “wypowiedzenia i udostępnienia na głos imienia i nazwiska D. K. doszło bezpośrednio przez D. K., nie zaś przez Spółkę

3. Naruszenie 7 k.p.a., art. 77 k.p.a. i art. 107 § 3 k.p.a. w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych – poprzez niepodjęcie przez organ wszystkich czynności niezbędnych do ustalenia stanu faktycznego i wyjaśnienia sprawy, w szczególności braku ustalenia jakie ryzyko naruszenia praw i wolności D. K. – wiąże się z wypowiedzeniem na głos imienia i nazwiska D. K.

4. Naruszenie 7 k.p.a., art. 77 k.p.a. w zw. z art. 80 k.p.a. poprzez ustalenie stanu faktycznego w oparciu o dołączone przez D. K. “nagrania dźwiękowe” podczas gdy nagrania te nie są autentyczne, nie wiadomo w jakim miejscu i w jakiej dacie zostały one nagrane oraz czy w nagraniu brał udział kierowca będący pracownikiem spółki, tym bardziej iż Spółka oraz jej pracownicy – przeczą aby brali udział w rozmowach opisanych w pkt. 5 na stronie nr 4 Decyzji. tym bardziej iż D. K. nigdy nie poinformował spółki o nagrywaniu jakichkolwiek rozmów z kierowcą. Organ oparł się wyłącznie na twierdzeniach D. K., co więcej Spółce nie udostępniono plików zawierających zarejestrowane nagrania

5. Art. 10 § 1 k.p.a. w zw. z art 73 § 1 k.p.a. w zw. z art 73 § 3 k.p.a. poprzez brak zapewnienia stronie czynnego udziału w każdym stadium postępowania, w tym brak udostępnienia zapisów rejestrujących rozmowy, stanowiące nagrania załączone do skargi D. K., pomimo złożenia wniosku Spółki w tym zakresie.

Dalej Spółka wskazała, że w konsekwencji powyższych naruszeń, Prezes UODO wydał decyzję udzielającą upomnienia Spółce za naruszenie z art. 6 ust. 1 w zw. z art. 5 ust.1 lit f w zw. RODO, polegające na udostępnieniu osobom nieuprawnionym danych D. K., w zakresie imienia i nazwiska, podczas identyfikacji jego uprawnienia do skorzystania z usługi przewozowej. Spółka podniosła również zarzuty naruszenia przepisów prawa materialnego, które miało wpływ na wynik sprawy:

6. Naruszenie art 5 ust. 1 lit f w zw. z art 6 ust. 1 lit b RODO poprzez przyjęcie że Spółka naruszyła ww. przepisy i przetwarza dane osobowe w sposób niezapewniający odpowiedniego bezpieczeństwa danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem podczas gdy Spółka przetwarza dane osobowe Pasażerów, zapewniając odpowiednie bezpieczeństwo tych danych, dane osobowe Pasażerów nie są wyczytywane na głos publicznie wobec wszystkich Pasażerów oraz nie są udostępniane w sposób do których osoba nieuprawniona miałaby do nich dostęp.

7. Naruszenie art 5 ust 1 lit. f RODO w z art 32 ust 2 RODO w zw. z art. 4 pkt 12) RODO poprzez przyjęcie iż Spółka przetwarza dane osobowe w sposób niezapewniający odpowiedniego bezpieczeństwa danych osobowych oraz iż doszło do naruszenia ochrony danych osobowych D. K., podczas gdy D. K. wchodząc do Autobusu dobrowolnie podał swoje imię i nazwisko kierowcy podczas identyfikacji.

8. art. 6 ust. 1 lit b) RODO w zw. z art. 16 ustawy z dnia 15 listopada 1984 r. Prawo przewozowe – poprzez błędne przyjęcie, że wypowiedzenie na głos imienia i nazwiska było przejawem naruszenia bezpieczeństwa i ochrony danych osobowych, podczas gdy D. K. był jednym z pasażerów Spółki, który nabył bilet na przejazd za pośrednictwem strony internetowej – zatem jego przedstawienie się podczas wchodzenia do autobusu przed rozpoczęciem przewozu, było związane wyłącznie z realizacją umowy przewozu, tj. w celu identyfikacji iż taka osoba widnieje na liście pasażerów i faktycznie kupiła bilet.

9. art 6 ust 1 lit. a) RODO poprzez jego niezastosowanie i przyjęcie że Spółka w sposób nieuprawniony udostępniła dane osobowe D. K., podczas gdy D. K. nie odmówił podania swoich danych osobowych, a dobrowolnie podał swoje imię i nazwisko kierowcy, uznać zatem należy iż D. K. podając swoje imię i nazwisko – dobrowolnie wyraził zgodę na wypowiedzenie swojego imienia i nazwiska oraz zgodę aby ewentualnie osoby, znajdujące się w pobliżu mogły usłyszeć te dane.

Dalej Spółka wskazała, że konsekwencji powyższych naruszeń, Prezes UODO wydał Decyzję udzielającą upomnienia Skarżącemu za naruszenie art. 6 ust. 1 w zw. z arb 5 ust 1 lit f RODO, polegające na udostępnieniu osobom nieuprawnionym danych D. K., w zakresie imienia i nazwiska, podczas identyfikacji jego uprawnienia do skorzystania z usługi przewozowej.

W obszernym uzasadnieniu skargi Spółka rozwinęła przedstawione wyżej zrzuty przytaczając szereg poglądów doktryny i orzecznictwa.

W odpowiedzi na skargę Prezes UODO wniósł o jej oddalenie omawiając niezasadność podniesionych zarzutów.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Skarga zasługuje na uwzględnienie, chociaż należy mieć na względzie, iż w związku z art. 134 § 1 ustawy – Prawo o postępowaniu przed sądami administracyjnymi – Sąd nie jest związany zarzutami i wnioskami skargi.

Za trafne Sąd uznał zarzuty Spółki negujące stanowisko organu, jakoby w rozpoznawanym przypadku doszło do bezprawnego ujawnienia danych osobowych w rozumieniu RODO. Rozpoznając niniejszą sprawę Sąd miał na uwadze jej następujące uwarunkowania formalnoprawne.

W myśl art. 1 ust. 1 ustawy o danych, jej przepisy stosuje się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w zakresie określonym w art. 2 i 3 RODO, zaś – wobec art. 1 ust. 2 pkt 4 i 5 tej ustawy – określa ona m.in.: organ właściwy w sprawie ochrony danych osobowych i same reguły postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych. Uzasadnia to wniosek, że ramy materialnoprawne, co do właściwości przedmiotowej wyspecjalizowanego organu – jest nim wedle art. 60 ustawy o danych Prezes Urzędu Ochrony Danych Osobowych – zakreślają wyczerpująco postanowienia RODO.

Już z treści preambuły do tego aktu wynika, że generalnie celem jego ustanowienia, jest przyczynienie się do “tworzenia przestrzeni wolności, bezpieczeństwa i sprawiedliwości oraz unii gospodarczej, do postępu społeczno-gospodarczego, do wzmacniania i konwergencji gospodarek na rynku wewnętrznym, a także do pomyślności ludzi.” (tak motyw 2 zd. 2). Z kolei, w motywie 3 preambuły – posłużono się tam jeszcze nomenklaturą, zaczerpniętą z dyrektywy zastępowanej przez RODO – wskazano, że celem regulacji jest “zharmonizowanie ochrony podstawowych praw i wolności osób fizycznych w związku z czynnościami przetwarzania oraz zapewnienie swobodnego przepływu danych osobowych między państwami członkowskimi”. W motywie 6 przywołano natomiast wprost następujące przesłanki przyjęcia regulacji: “Szybki postęp techniczny i globalizacja przyniosły nowe wyzwania w dziedzinie ochrony danych osobowych. Skala zbierania i wymiany danych osobowych znacząco wzrosła. Dzięki technologii zarówno przedsiębiorstwa prywatne, jak i organy publiczne mogą na niespotykaną dotąd skalę wykorzystywać dane osobowe w swojej działalności. Osoby fizyczne coraz częściej udostępniają informacje osobowe publicznie i globalnie. Technologia zmieniła gospodarkę i życie społeczne i powinna nadal ułatwiać swobodny przepływ danych osobowych w Unii oraz ich przekazywanie do państw trzecich i organizacji międzynarodowych, równocześnie zaś powinna zapewniać wysoki stopień ochrony danych osobowych.”.

Same sformułowane przez prawodawcę cele ustanowienia danej regulacji uzasadniają wprawdzie konkluzję, że generalnie RODO ma się przyczynić do lepszej ochrony danych osobowych obywateli państw członkowskich Unii Europejskiej. Rozporządzenie to nie stanowi jednakże aktu, służącemu pełnemu, ramowemu uregulowaniu ochrony praw w danym zakresie. Dotyczy jedynie komponentu danych, które podlegają automatycznemu przetworzeniu bądź mogą podlegać takiemu przetworzeniu, jako baza informacji o osobach.

Konkluzję taką potwierdza wprost treść normatywna przepisów wstępnych RODO. W myśl art. 2 ust. 1, akt ten znajduje zastosowanie wyłącznie “do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych”. Z kolei – wobec art. 4 pkt 6 RODO – zbiór danych to “uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie”.

Oznacza to, że przepisy RODO nie znajdują zastosowania do wszelkich przypadków przetwarzania danych osobowych (formą przetwarzania jest ich upublicznienie – tak art. 4 pkt 3 RODO), lecz tylko gdy chodzi o te, objęte zakresem danej regulacji. Dotyczy to danych przetwarzanych w sposób całkowicie lub częściowo zautomatyzowany, zaś pozostałych tylko, gdy stanowią zbiór lub mogą stanowić część zbioru danych. Z kolei potencjalny zbiór danych to jedynie ich zestaw dostępny według określonych kryteriów. Oceny takiej nie zmienia to, że przetwarzanie (w tym ujawnienie) może – w myśl art. 4 pkt 3 RODO – nastąpić automatycznie lub także w inny sposób. Brzmienie danej definicji nie prowadzi do poszerzenia zakresu danych podlegających regułom RODO wedle treści art. 2 ust. 1. Mianowicie – gdy chodzi o dane przetwarzane w sposób inny niż zautomatyzowany – dotyczy ono tylko tych, które stanowią część zbioru danych lub mogą stanowić część zbioru danych, w rozumieniu art. 4 pkt 6 RODO.

Odmienne rozumienie przepisów RODO prowadziłoby do trudnych do przypisanie racjonalnemu prawodawcy wniosków – jakoby danym rozporządzeniem uregulowano w sposób szczególny wszelkie zasady ochrony danych osobowych, w zakresie, gdzie może to prowadzić m.in. do naruszenia dóbr osobistych. Wobec przyznania w RODO kompetencji rozstrzygania spraw na tym gruncie wyspecjalizowanym organom administracji państw członkowskich (tak art. 58 ust. 2 RODO i odpowiednio art. 34 ust. 2 oraz art. 60 ustawy o danych), oznaczałoby to ukształtowanie alternatywnej drogi ochrony praw przez wszystkie osoby, których dobra osobiste naruszono – ujawniając jakkolwiek równocześnie ich dane osobowe w dowolny sposób.

Wobec przywołanych uwarunkowań uzasadniony jest wniosek, że – wobec wyartykułowanych celów przyjęcia RODO i treści jego regulacji wstępnych – akt ten dotyczy zdarzeń związanych z przetwarzaniem informacji (gromadzenie, transfer itp.) gdzie możliwe jest mechaniczne odnajdywanie informacji o osobach – ich danych osobowych – w szczególności w ramach systemów teleinformatycznych. Nie dotyczy ono zaś zdarzeń, pozostających w związku z ujawnieniem (a więc przetworzeniem) danych osobowych, w innych sytuacjach – np. możliwości poznania imienia i nazwiska określonej osoby, wobec głośnego jego wypowiedzenia (przez kierowcę czy pasażera autobusu), nawet gdy znajduje się ono równocześnie w określonym zbiorze informacji (liście pasażerów), choćby prowadzono ją w formie elektronicznej. Inna ocena dotyczyć mogłaby wprawdzie przypadku, gdy określone informacje upowszechniane byłyby w takiej postaci, że technicznie możliwe byłoby ich niekontrolowane gromadzenie przez osoby nieuprawnione – bez wiedzy zainteresowanych. Sytuacja taka – co bezsporne – nie miała jednak miejsca w rozpatrywanej sprawie.

Przy przyjęciu odmiennego rozumienia regulacji RODO, także np. delikty w postaci bezpodstawnego publicznego przedstawienia osoby z imienia i nazwiska, stanowiłoby przypadek podlegający rozpoznawaniu przez wyspecjalizowane organy administracji – w ramach procedur, przewidzianych danym rozporządzeniem. Nie sposób racjonalnemu prawodawcy przypisać intencji przeniesienia tego typu spraw do rozstrzygania na drodze administracyjnej. Prowadzi to do konkluzji, że generalnie w RODO uregulowano tylko zagadnienia pozostające w bezpośrednim związku z pozyskiwaniem informacji z konkretnych zbiorów danych bądź tworzeniem zbiorów, umożliwiających uzyskanie określonych informacji o osobach. Nie jest zaś kwestią kluczową (przesądzającą), czy sprawa dotyczy danych osobowych. RODO ingeruje bowiem w tą problematykę wyłącznie w kontekście określonych form przetwarzanie danych osobowych. Mylna byłaby więc konstatacja, jakoby wystarczającym dla ustalenia właściwości wyspecjalizowanego organu było ustalenie, że sprawa dotyczyła wykorzystania danych osobowych Wnioskodawcy, co organ utożsamił z ich przetworzeniem, w rozumieniu RODO.

W rozpoznawanej sprawie są poza sporem jej istotne okoliczności faktyczne, w tym zakresie, że w skardze do wyspecjalizowanego organu przywołano zdarzenie, które nie dotyczyły publicznego ujawnienia określonego zbioru danych osobowych (za taki można by uznać listę pasażerów dla określonego kursu), lecz wykorzystania imienia i nazwiska konkretnego pasażera dla identyfikacji osoby, uprawnionej do przejazdu (nabywcy biletu). Sporne jest natomiast, czy było to dla danego celu niezbędne lub wymagane. Organ zresztą nie wyjaśnił w pełni tej kwestii. Nie zajął jednoznacznego stanowiska, czy posługiwanie się w danym przypadku – przy identyfikacji pasażerów, nabywających bilet drogą elektroniczną – imieniem i nazwiskiem jest praktyka konieczną, w kontekście twierdzenia Skarżącego, jakoby identyfikacja możliwa była przy pomocy kodu, umieszczonego na bilecie. Nie jest to jednak istotne w granicach sprawy, pozostającej w kompetencjach danego, wyspecjalizowanego organu administracji. Jak bowiem wskazano wcześniej, wymienienie przez Skarżącego jego imienia i nazwiska, a później ich powtórzenie przez kierowcę pojazdu nie mogły być traktowane jako przetworzenie danych osobowych w rozumieniu RODO. Wyspecjalizowany organ nie był więc właściwy da oceny legalności tych zdarzeń.

Uzasadniona jest bowiem stwierdzenie, że nie pozostawało to w żadnym związku z procesem mechanicznego przetwarzania danych bądź posługiwanie się danymi mogącymi, stanowić wyodrębnioną bazę, jako zespół informacji, uporządkowanych wedle pewnych kryteriów w dniu zdarzenia.

Wypada odnotować, że w skardze adresowanej do organu, zarzucano też domniemaną publiczną dostępność listy pasażerów, którą posługuje się kierowca pojazdu, weryfikując uprawnienie do przyjazdu. Wedle oceny organu nie ma to jednak w istocie miejsca. Nie ujawniono więc w sprawie żadnych zdarzeń, związanych z przetwarzaniem danych osobowych w rozumieniu RODO. Wykluczało to, aby działania Spółki (jej pracowników), pozostające w związku ze zdarzeniem opisanym w skardze Wnioskodawcy, były przedmiotem oceny przez dany wyspecjalizowany organ administracji.

Jeżeli, wedle twierdzeń Skarżącego – wobec nieuprawnionej praktyki Spółki, posługiwanie się przez realizujących na jej rzecz przewozy kierowców danymi osobowymi pasażerów w celu ich identyfikacji – doszło do naruszenia jego praw osobistych, np. prawa do prywatności, poszkodowanemu przysługują stosowne roszczenia względem sprawcy naruszeń. Właściwymi do rozstrzygania spraw w danym zakresie są sądy powszechne. To właśnie te kwestie są zaś w istocie osią sporu między stronami. Wyspecjalizowany organ administracji nie ma natomiast kompetencji do rozstrzygania danej sprawy. Przetwarzanie danych w tym przypadku (ich ewentualne ujawnienie) nie jest objęte regułami RODO, determinującym ramy kompetencji do rozstrzygania spraw w trybie administracyjnym. Właściwości organu administracji nie można przy tym wykładać rozszerzająco, wobec treści art. 2 § 3 ustawy z dnia 17 listopada 1964 r. – Kodeks postępowania cywilnego (Dz.U. z 2020, poz. 1575 ze zm.). Wynika zeń, że właściwość organu administracji musi być wskazana wprost. W kwestii ochrony dóbr osobistych – w rozumieniu art. 23 i 24 ustawy – Kodeks cywilny – do których zaliczają się dane osobowe, właściwe są zaś sądy powszechne, co odnotowano zresztą w uzasadnieniu zaskarżonej decyzji.

Nie do zaakceptowania w państwie prawnym byłaby natomiast koncepcja, jakoby określoną kwestię – legalność posłużenia się imieniem i nazwiskiem Skarżącego w celu weryfikacji uprawnienia do przejazdu (a więc jego danymi osobowymi) – można byłoby oceniać równolegle w dwóch trybach – w postępowaniach prowadzonych przez wyspecjalizowany organ administracji i sąd powszechny. Umożliwiałoby to sformułowanie w ostatecznych orzeczeniach – znajdujących się równocześnie w obiegu prawnym – odmiennych ocen, w kontekście legalności działania Spółki. Wobec tego, hipotetyczna koncepcja przyznanie wyspecjalizowanemu organowi administracji prawa oceny w rozpatrywanym przypadku, czy wykorzystanie danych osobowych było legalne, musiałoby wyłączyć w danym zakresie kompetencję sądu powszechnego. Rozszerzająca wykładnia przepisów RODO, zakreślających w istocie kompetencje wyspecjalizowanego organu, nie jest wobec tego dopuszczalna. Zasadna jest zaś wykładnia wąska. W sprawach cywilnych istnieje bowiem przywołana wcześniej reguła domniemania właściwości sądów powszechnych, zaś ochrona praw osobistych stanowi generalnie domenę prawa cywilnego.

W tej sytuacji – wobec bezsporności faktów, istotnych w kontekście oceny, czy organ administracji jest kompetentny do zastosowania środków, przewidzianych w RODO, w świetle reguł ustawy o danych – nie było podstaw do orzekania w sprawie, co do meritum. Nie mógł więc także organ wykonać kompetencji, określonych art. 58 ust. 2 lit. b (patrz: zarzuty Spółki). Orzekając w sprawie naruszono więc dany przepis prawa materialnego, zakreślający kompetencje organu, poprzez bezpodstawne zastosowanie, wobec art. 2 ust. 1, w zw. z art. 4 pkt 6 ustawy o danych.

Wobec wskazanych uwarunkowań, pozostaje poza granicami sprawy (a więc także oceną Sądu), podnoszona w skardze kwestia, czy ujawnienie danych osobowych Wnioskodawcy było w danym przypadku działaniem dobrowolnym, czy też wynikało z przyjętej w danym zakresie praktyki Spółki (jej pracowników – kierowców) – wymogu potwierdzenie uprawnienia do przejazdu w taki sposób, bez możliwości alternatywnego przedstawienia potwierdzenia zakupu biletu, opatrzonego możliwym do weryfikacji kodem.

Powyższe konstatacje prowadza do wniosku, że w sprawie występowały przesłanki wydanie orzeczenia o odmowie wszczęcia postępowania, a w razie jego wszczęcia – wobec określonych wątpliwości, czy sprawa pozostaje w kompetencjach wyspecjalizowanego organu (np. w kwestii ogólnej dostępności przewożonych przez kierowców list pasażerów) – umorzenia postępowania, jako bezprzedmiotowego. Przy uwzględnieniu treści skierowanej do organu skargi, jego rolą było zbadanie wpierw, czy jest właściwy w sprawie – chodzi o przetwarzanie danych osobowych wnoszącego skargę podmiotu, w zakresie podlegającym – w myśl RODO – nadzorowi danego, wyspecjalizowanego organu administracji. Niewłaściwość organu (bądź oczywisty brak interesu prawnego danego Wnioskodawcy), stanowi przesłankę odmowy wszczęcia postępowania. O ile treść skargi wskazywałaby bezpośrednio właściwość sądu powszechnego, podanie winno by być zwrócone w formie postanowienia (art. 66 § 3 K.p.a.). W danej sprawie jednak – w kwestii skargi na przetwarzanie danych osobowych – właściwości takiej nie było. Nie jest z kolei zadaniem organu instruowanie stron, co do środków prawnych, jakie mogą wykorzystać dla ochrony swoich praw przed sądami powszechnymi.

Reasumując, w rozpatrywanej sprawie nie wystąpiły przesłanki prowadzenia postępowania przed danym organem i winno być ono umorzone, co Sąd uwzględnił w orzeczeniu.

Z przytoczonych wyżej przyczyn – na podstawie art. 145 § 1 pkt 1 lit. a oraz §. 3 ustawy – Prawo o postępowaniu przed sądami administracyjnymi – orzeczono jak w pkt 1 i 2 sentencji. O zwrocie kosztów postępowania Sąd orzekł jak w pkt 3 sentencji. Do zasądzonych na rzecz Spółki kosztów zaliczono wynagrodzenie jej pełnomocnika w kwocie 480 zł, oraz wpis sądowy od skargi w kwocie 200 zł, a także 17 zł tytułem uiszczonej opłaty skarbowej od pełnomocnictwa.

The Provincial Administrative Court of Warsaw, in the following composition: Chairman Judge WSA Andrzej Góraj, Judge WSA Agnieszka Góra-Błaszczykowska, Judge WSA Tomasz Szmydt (spr.), , Protokolanta Senior Specialist Bogumiła Kobierska, , having examined at the hearing on 5 June 2023 the case from the complaint of […] Sp. j. with its registered office in […] against the decision of the President of the Office for Personal Data Protection of […] July 2022 no. […] on the processing of personal data

1. annuls the contested decision in its entirety,

2. discontinues the proceedings before the President of the Office for Personal Data Protection,

3. orders the President of the Office for Personal Data Protection to pay to […] Sp. j. with registered office in […] the amount of PLN 697 (six hundred and ninety-seven zlotys) as reimbursement of the costs of the proceedings.

The subject of the complaint by […] P. C., M. C. Sp.j. with its registered office in […] (hereinafter: “the Company”) to the Voivodship Administrative Court in Warsaw is the decision of the President of the Office for Personal Data Protection (hereinafter: “the Organ”, “the PUODO”), No. […], of […] March 2022, which the Authority, acting pursuant to Article 104 § 1 of the Act of 14 June 1960 Code of Administrative Procedure (Journal of Laws of 2021, item 735) in conjunction with Article 7(1) of the Act on Personal Data Protection of 10 May 2018. (Journal of Laws of 2019, item 1781), Article 5(1), Article 6(1) and Article 58 st. 2(b) of Regulation EU 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data and repealing Directive 95/46/EC (General Data Protection Regulation) (Dz. Official Journ al of the EU L 119 of 4.05.2016, p. 1, Official Journ al of the EU L 127 of 23.05.2018, p. 2 and Official Journ al of the EU L 74 of 4.03.2021, p. 35), having conducted administrative proceedings on the complaint of D. K. (hereinafter: “the Complainant”), about irregularities in the processing of his personal data by the Company consisting in the disclosure of his data in the scope of his name and surname, as well as his e-mail address and telephone number, to unauthorised persons when identifying his entitlement to use the transport service:

– in para. 1 of the decision, he issued a warning to the Company for breach of Article 6(1) Art. 5(1)(f) in conjunction with Regulation EU 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data and repealing Directive 95/46/EC (General Data Protection Regulation) (Dz. Official Journ al of the EU L 119 of 4.05.2016, p. 1, Official Journ al of the EU L 127 of 23.05.2018, p. 2 and Official Journ al of the EU L 74 of 4.03.2021, p. 35, consisting in making the Complainant’s data in respect of his name available to unauthorised persons when identifying his entitlement to use the transport service;

– in point 2 of the decision refused to grant the application for the remainder.

It emerged from the case file that the Complainant complained to the President of the Office for Harmonisation in the Internal Market (the Office) about irregularities in the processing of his personal data by […] P. C., M. C. Sp.j. with its registered office in […] consisting in the disclosure of his data in the scope of his name and surname, e-mail address and telephone number to unauthorised persons when identifying his entitlement to use the transport service.

The President of the Office for Harmonisation in the Internal Market established that:

1. The Company obtained the Complainant’s personal data in terms of name, surname, e-mail address, telephone number and bank account number on the basis of their voluntary provision by the Complainant in connection with the purchase of bus tickets via the https website: […], inter alia, a ticket for route […] dated […].01.2021, a ticket for route […] dated […].01.2021, a ticket for route […].12.2020, ticket on route […] of […].12.2020, ticket on route […] of […].12.2020, ticket on route […] of […].11.2020, ticket on route […] of […].11.2020, ticket on route […] of […].11.2020, ticket on route […] of […].11.2020, ticket on route […] of […].09.2020, ticket on route […] of […].09.2020, ticket on the […] route of […].09.2020, ticket on the Katowice-Wrocław route of 22.09.2020, ticket on the […] route of […].08.2020. (evidence: explanations from the Company dated […] January 2021);

2. The Company indicated that it processes the Complainant’s personal data on the basis of Article 6(1)(b) of Regulation 2016/679 for the purpose of entering into or performing a contract of carriage of passengers or goods, for the performance of which the processing of the data is necessary, and on the basis of Article 6 lit. f of Regulation 2016/679 in order to fulfil its legitimate interest in the form of the necessity to recognise the Complainant’s transport service complaint and in view of the administrative court proceedings under ref. II SA Wa 1801/20 before the Voivodship Administrative Court in Warsaw (evidence: explanations of the Company of […] January 2021);

3. The Company explained that a passenger who purchased a ticket via the Company’s Internet system is obliged to present the purchased ticket to the driver, and the driver verifies the data on the ticket with the data on the list of travellers, including the date and time of the course as well as the place of travel, in order to confirm the right to travel and to avoid situations in which the passenger mistakenly confuses the bus, date, time or route of a particular course. The legal basis for the regulation of the transport service adopted by the Company is, in its opinion, Article 16 of the Act of 15 November 1984 Transport Law (Journal of Laws of 2020, item 8) and the Internal Regulations of Transport (evidence: explanations of the Company dated 16 May 2019). The list of travellers, containing the name of the traveller, without telephone number and e-mail address, is available – according to the Company – only for inspection by the driver, who is duly authorised and keeps it in a material, lockable folder, inaccessible to third parties, in which he carries all documents relating to the course in question, and after the course, the lists are handed over to authorised employees. The drivers do not have access to any other data other than that contained in the passenger list entrusted to them, i.e. name and surname, in particular data of a specific, i.e. sensitive nature (evidence: explanations of the Company of […] January 2021);

4. The Company stated that it had not recorded the case covered by the Complainant’s complaint and does not confirm that the conversations indicated by the Complainant leading to the sharing of his data, recorded on voice recordings, took place on the Company’s bus. The driver – according to the Company – does not ask aloud for the passenger’s name or any other passenger data, nor does he read aloud the list of passengers or call them, as the passenger is obliged to show the driver the ticket, which is confronted by the driver with the list of passengers, while the person who boards the bus may voluntarily introduce himself. If the passenger does not wish his/her details to appear on the passenger list, he/she has the option to purchase the ticket directly from the driver (evidence: explanations of the Company of […] January 2021 and […] May 2021);

5. The Complainant, when boarding the bus, was asked by the driver to state his name, which the driver voluntarily gave him by saying it aloud, in another case the driver first revealed the Complainant’s personal data; – the audio recording named “[…].mp3” starts with unintelligible words, then the noise and the vehicle’s engine are heard, followed by an exchange of sentences: “Good morning, what name? “In the name of K. we are looking for”; “D., no?”; “Yes”; “To […], yes?”; “Exactly”; “Okay, game”; “Upstairs only, yes?” “Yes, yes”; after which, a noise is heard, unintelligible voices are heard and the recording ends; an audio recording called “[…].mp3” begins with unintelligible words, followed by an exchange of sentences: “Your name”; “K. D.”; “Thank you very much”; “Thank you” – then unintelligible voices are heard for an extended period of time and the recording ends; – the audio recording named “[…].m4a” begins with the words: “Name?”; “D.”; “Here you go”; “Also from the cash register or…?”; “From the Internet” “By name?”; “K., yes?”; “Please”; “Thank you” – then unintelligible voices are heard for a long time and the recording ends. (evidence: sound recordings attached to the complaint of […] September 2020, official note of […] January 2021);

6. The complainant did not request the Company to stop processing his personal data (evidence: explanations from the Company of […] January 2021);

7. The President of the UODO conducted administrative proceedings under the reference […], as a result of which he issued a warning to the Company for infringement of Article 5(1)(f) in conjunction with Article 6(1)(b) of Regulation 2016/679, consisting in the disclosure of the Complainant’s data to unauthorised persons, in the scope of name and surname, when identifying his entitlement to use the transport service (evidence: Complainant’s letter of […] November 2020, Company’s explanations of […] January 2021).

When issuing the contested decision, the President of the Office for Harmonisation in the Internal Market explained that, according to the definition of the processing of personal data contained in Art. 4(2) of Regulation 2016/679, processing should be understood as an operation or set of operations performed on personal data or sets of personal data in an automated or non-automated manner, such as collection, recording, organisation, organisation, storage, adaptation or modification, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction. The legislator considered that the processing activity refers to any operations performed on personal data, including their collection, recording, storage, or disclosure, especially those performed in IT systems. It is irrelevant whether they are performed automatically or in a non-automated manner. The way the notion of data processing is defined indicates that the intention of the legislator was to cover with this term a very wide range of operations on personal data. In turn, the distinction of automatic processing of personal data was intended to distinguish it in the face of technological progress and to give in Regulation 2016/679 additional instructions regarding, for example, data profiling. Such a definition of data processing is based on the assumption of the impossibility of top-down indication of specific operations which alone can be performed on personal data.

Therefore, in the opinion of the President of the Office for Harmonisation in the Internal Market, any operations performed by the Company, including those performed by the Company’s employees as part of the performance of services which have personal information as their subject matter, should be qualified as data processing.

Pursuant to Regulation 2016/679, in order for the processing of personal data to be lawful, the controller is obliged to process personal data on the grounds set out in Article 6 of Regulation 2016/679.

Article 5(1)(f) of Regulation 2016/679 provides that personal data must be processed in a manner that ensures appropriate security of personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, by means of appropriate technical or organisational measures (“integrity and confidentiality”).

According to recital 10 of Regulation 2016/679, sensitive data are the special categories of personal data enumerated in Article 9 of Regulation 2016/679, i.e.: data revealing racial or ethnic origin, data revealing political opinions, data revealing religious or philosophical beliefs, data revealing trade union membership, genetic data, biometric data, health data and data concerning sexuality or sexual orientation. Personal data in the form of name, surname, telephone number and e-mail address are not included in this catalogue. The President of the Office for Harmonisation in the Internal Market (OHIM) considered the Complainant’s allegation that the Company was processing his sensitive personal data as misconceived. The Company was entitled to process the Complainant’s data on the basis of Article 6(1)(b) of Regulation 2016/679, until each of the concluded agreements had been fulfilled, and, due to the pending administrative court proceedings, was entitled to process personal data until the proceedings were legally concluded.

However, the authority considered that the evidence gathered showed that the Company had made the Complainant’s data in respect of his name available to unauthorised persons when identifying his entitlement to a transport service.

Not only was the Complainant asked to give his name, which was repeated aloud by the driver, but the Company employee – the driver – himself, on his own initiative, entered into a dialogue with the Complainant in which he first disclosed his name.

There was therefore a processing of the Complainant’s data without a legal basis, in breach of the principle of confidentiality, including protection against unauthorised or unlawful processing. Although the Company stated that it had no record of the incident covered by the complaint and does not confirm that the conversations he indicated leading to the disclosure of his data, recorded on the voice recordings, took place on the Company’s bus, the authority did not give credence to his explanations, given the evidence gathered in the case, including the Complainant’s statement supported by the submitted voice recordings, remaining in a logical sequence with the allegations he made against the Company. The Body established that the Company processed personal data of the Complainant, and the employee of the Company – requiring the Complainant to provide his name and surname when verifying his entitlement to use the transport service – instead of reviewing the ticket purchased by the Complainant, made it available to unauthorised persons violating its protection by repeating it aloud among persons not authorised to obtain information about his identity. The Complainant, as a passenger, is obliged to show the ticket to the driver, not to introduce himself. The evidence gathered did not allow it to be assumed that the Complainant consented to his data being processed by the driver in the manner he questioned, which led to it being made available to third parties, i.e. other passengers on the bus.

In the opinion of the President of the Office for Harmonisation in the Internal Market, it is impossible to assume that in the case there was a violation of the protection of the Complainant’s personal data in the scope of making his data, included in the list of passengers, available to unauthorised persons. Apart from the Complainant’s statement, the Complainant did not present any other evidence confirming the allegation raised, and the conducted proceedings did not lead to the establishment that such a violation occurred, while the Company rightly indicated that the data processing operations in the form of verification by the bus driver of the personal data appearing on the ticket with the list of passengers are necessary and proportionate in relation to the purposes of the processing.

The above decision became the subject of a complaint by the Company […] P. C., M. C. Sp. J. with its seat in […] to the Voivodship Administrative Court in Warsaw. The Company requested that the contested decision be annulled in its entirety and that the proceedings be discontinued; alternatively, in the event that no grounds for discontinuance are found, it requested that the contested decision be annulled in part (i.e. paragraph 1 of the Decision); moreover, it requested that the Authority award the Company reimbursement of the costs of the proceedings, including the costs of lawyers’ fees, and that evidence be taken in the form of:

– the judgment of the Provincial Administrative Court in Warsaw of 11 May 2021, ref. no. II SA/Wa 1801/20;

– order of 28 July 2022 with justification;

– the Company’s letter of […] June 2021.

The Company alleged that the authority violated the provisions of the administrative procedure – the Act of 14 June 1960, – Code of Administrative Procedure (Journal of Laws of 2021, item 755, as amended, hereinafter: ‘the Code of Administrative Procedure’), which had a significant impact on the outcome of the case, i.e:

1. article 61 §1 in connection with Article 61a of the Code of Administrative Procedure and Article 105 of the Code of Administrative Procedure by failing to refuse to issue a ruling on the refusal to initiate proceedings and, in the event of its initiation, to discontinue the proceedings as pointless, while the mention by D. K. his name and surname and their subsequent hypothetical repetition by the driver of the vehicle could not be regarded as the processing of personal data within the meaning of RODO, the specialised body – the President of the Public Procurement Office – was therefore not competent to assess the legality of these events, given that the utterance of the name and surname by D. K. was in no way related to the process of mechanical data processing or the handling of data that could constitute a separate database, as a set of information organised according to certain criteria on the date of the event, moreover, the RODO regulations do not concern the possibility of knowing the name and surname of a certain person.

2. article 58(2) of the RODO in conjunction with Article 34(2) and Article 60 of the Act on Personal Data, in so far as the Authority issued a decision admonishing the Complainant for breach of Article 6(1) article 6(1) in conjunction with Article 5 usL1(f) of the RODO Act by disclosing to unauthorised persons D. K.’s data concerning his name and surname when identifying his entitlement to use the transport service, while in the absence of an infringement of the provisions of the RODO Act, the President of the Office for Harmonisation in the Internal Market is not competent in this regard, it should be noted that in the matter of protection of personal rights under Articles 23 and 24 of the Civil Code, common courts are competent, not administrative authorities.

3. Violation of Article 2(1) RODO in conjunction with Art. 4 para. 6 in conjunction with Article 4(2) RODO – by assuming that by the act of introducing oneself/speaking one’s name the applicant’s personal data were processed, whereas: it is submitted in the case law that, in view of the articulated objectives of the adoption of the RODO and the content of its introductory regulations – this act concerns events related to the processing of information (collection, transfer, etc.) where it is possible to mechanically find information about persons – their personal data – in particular within the framework of information and communication systems, but it does not concern events, remaining in connection with the disclosure (and thus processing) of personal data, in other situations – e.g. the possibility of finding out the name of a certain person when it is uttered aloud (by the bus driver or passenger), even if it is simultaneously included in a specific set of information (passenger list), even if it is kept in electronic form.

4. Breach of Article 2(1) of the RODO, in conjunction with Art. 4 para. article 4(6) in conjunction with Article 4(2) of the RODO by assuming that there was a disclosure of personal data, while the disclosure of personal data occurs only when the recipient of the data is another controller, i.e. the entity which decides on the purposes and means of the processing of personal data; in the present case, the disclosure by D. K. of his own name and surname to other bus passengers who are natural persons – did not result in those persons becoming the controller of D. K.’s personal data, the mentioning of his name by the Applicant and its subsequent repetition by the driver of the vehicle could not be regarded as processing of personal data within the meaning of the RODO, it was in no way related to the mechanical processing of personal data or the handling of data which could constitute a separate database as a set of information organised according to certain criteria on the date of the incident.

The Company further pointed out that, as a result of the above violations, the Authority conducted administrative proceedings when it was not competent to conduct them due to the inapplicability of the RODO in the case; consequently, the proceedings before the Authority should be discontinued. Moreover, it also raised allegations of infringement of procedural provisions that had a significant impact on the outcome of the case, viz:

1. Violation of Article 7 of the Code of Administrative Procedure, Article 77 of the Code of Administrative Procedure and Article 107(3) of the Code of Administrative Procedure in conjunction with Article 7(1) of the Act of 10 May 2018 on the Protection of Personal Data – by the Authority’s failure to take all the steps necessary to establish the facts and clarify the case, in particular as regards: which specific persons were provided with access to personal data, how it was established that they were unauthorised persons, who specifically heard the personal data of D. K. in the form of his name and whether D. K. could have refused to say his name – with the result that it was wrongly established that personal data in the form of D. K.’s name had been made available to unauthorised persons by the Company and that the Applicant was processing the personal data in a manner which did not provide adequate security, including protection against unauthorised or unlawful processing.

2. Infringement of Article 7 of the Code of Civil Procedure, Article 77 of the Code of Civil Procedure, in conjunction with Article 80 of the Code of Civil Procedure, in conjunction with Article 7(1) of the Act of 10 May 2018 on the Protection of Personal Data, by wrongly assuming that the Company made personal data available to unauthorised persons, while it was D. K. – uttered his name aloud, thus the ‘utterance and release aloud of D. K.’s name occurred directly by D. K. and not by the Company

3. Infringement of Article 7 of the Code of Administrative Procedure, Article 77 of the Code of Administrative Procedure and Article 107(3) of the Code of Administrative Procedure in connection with Article 7(1) of the Act of 10 May 2018 on the protection of personal data – by the authority’s failure to take all the necessary steps to establish the facts and clarify the case, in particular by failing to establish what risk of infringement of the rights and freedoms of D. K. – is associated with speaking aloud the name of D. K.

4. Infringement of Article 7 of the Code of Administrative Procedure, Article 77 of the Code of Administrative Procedure in connection with Article 80 of the Code of Administrative Procedure by establishing the facts on the basis of the “sound recordings” attached by D. K., while these recordings are not authentic, it is not known in what place and on what date they were recorded and whether a driver who is an employee of the Company took part in the recording, all the more so as the Company and its employees – deny that they took part in the conversations described in para. 5 on page 4 of the Decision. especially as D. K. never informed the company that any conversations with the driver were recorded. The Authority relied solely on D. K.’s assertions; moreover, the Company was not provided with the files containing the recorded conversations

5. Article 10 § 1 of Kodeks Postępowania Aywilnego (the Code of Administrative Procedure) in connection with Article 73 § 1 of Kodeks Postępowania Aywilnego (the Code of Administrative Procedure) in connection with Article 73 § 3 of Kodeks Postępowania Aywilnego (the Code of Administrative Procedure) by failing to ensure a party’s active participation at each stage of the proceedings, including by failing to provide access to the files containing the recorded conversations which constitute the recordings attached to D. K.’s complaint, despite the fact that the Company filed a motion for the same. K., despite the Company’s request in this regard.

The Company further indicated that, as a consequence of the above violations, the President of UODO issued a decision admonishing the Company for violation of Article 6(1) in conjunction with Article 5(1)(f) in conjunction with RODO, consisting in making available to unauthorised persons D. K.’s data, in the scope of first and last name, when identifying his entitlement to use the transport service. The company also raised allegations of a breach of substantive law that affected the outcome of the case:

6. Infringement of Article 5(1)(f) in conjunction with Article 6(1)(b) of the RODO by assuming that the Company breached the aforementioned. by assuming that the Company breached the above-mentioned provisions and processes personal data in a manner that does not ensure adequate security of personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, while the Company processes personal data of Passengers, ensuring adequate security of such data, personal data of Passengers are not read out loud publicly to all Passengers and are not made available in a manner to which an unauthorised person would have access to them.

7. Infringement of Article 5(1)(f) of the RODO in conjunction with Article 32(2) of the RODO in conjunction with Article 4(12) of the RODO by assuming that the Company processes personal data in a manner that does not ensure adequate security of personal data and that the protection of D. K.’s personal data has been breached, while D. K., entering the Bus, voluntarily provided his name and surname to the driver during identification.

8. article 6(1)(b) of the RODO in conjunction with Article 16 of the Act of 15 November 1984 – by wrongly assuming that uttering the name and surname aloud was a manifestation of a breach of security and protection of personal data, while D. K. was one of the Company’s passengers who had purchased a ticket for a journey through the website – therefore, his presentation when entering the bus before the start of the carriage was solely related to the performance of the contract of carriage, i.e. for the purpose of identifying that such person appeared on the passenger list and had actually purchased a ticket.

9. article 6(1)(a) of the RODO by failing to apply it and assuming that the Company unlawfully disclosed D. K.’s personal data. K., whereas D. K. did not refuse to provide his personal data and voluntarily provided his name and surname to the driver, therefore it should be concluded that D. By providing his name, Mr K. voluntarily consented to the utterance of his name and surname and to the possibility that persons in the vicinity might hear the data.

The Company further indicated that, as a consequence of the above violations, the President of the Office for Competition and Consumer Protection issued a Decision admonishing the Applicant for violation of Article 6(1) in conjunction with Article 5(1)(f) of the RODO, consisting in the disclosure to unauthorised persons of D. K.’s data, in the scope of his first and last name, when identifying his entitlement to use the transport service.

In a comprehensive statement of reasons for the complaint, the Company elaborated on the aforementioned grievances by citing a number of doctrinal and case law views.

In his response to the complaint, the President of the Office for Harmonisation in the Internal Market (OHIM) requested that the complaint be dismissed, discussing the unfoundedness of the allegations raised.

The Provincial Administrative Court in Warsaw considered the following:

The complaint deserves to be taken into account, although it should be borne in mind that in connection with Article 134 § 1 of the Act – Law on Proceedings before Administrative Courts – the Court is not bound by the allegations and conclusions of the complaint.

The Court found the allegations of the Company negating the position of the authority that in the case at hand there was an unlawful disclosure of personal data within the meaning of RODO accurate. When considering the present case, the Court took into account its following formal and legal conditions.

Pursuant to Article 1(1) of the Data Protection Act, its provisions apply to the protection of natural persons in relation to the processing of personal data within the scope of Article 2 and 3 of the RODO, while – in view of Article 1(2)(4) and (5) of the Act – it determines, inter alia: the authority competent for the protection of personal data and the very rules of the procedure for the infringement of personal data protection provisions. This justifies the conclusion that the substantive legal framework as to the subject-matter jurisdiction of the specialised authority – which, according to Article 60 of the Data Protection Act, is the President of the Office for Personal Data Protection – is exhaustively specified by the provisions of the RODO.

It follows already from the preamble to the Act that, in general, the purpose of its establishment is to contribute to “the establishment of an area of freedom, security and justice and of an economic union, to social and economic progress, to the strengthening and the convergence of the economies in the internal market, and to the well-being of the people.” (so recital 2 sentence 2). Recital 3 of the preamble – which still uses nomenclature from the directive replaced by the RODO – indicates that the purpose of the regulation is ‘to harmonise the protection of fundamental rights and freedoms of natural persons in relation to processing activities and to ensure the free flow of personal data between Member States’. Recital 6, on the other hand, explicitly cites the following rationale for the adoption of the regulation: “Rapid technological progress and globalisation have brought new challenges to the protection of personal data. The scale of the collection and exchange of personal data has increased significantly. Technology has enabled both private companies and public authorities to use personal data on an unprecedented scale in their activities. Individuals increasingly share personal information publicly and globally. Technology has transformed the economy and social life and should continue to facilitate the free flow of personal data within the Union and its transfer to third countries and international organisations, while ensuring a high level of protection of personal data.”

Although the objectives formulated by the legislator for the establishment of the regulation itself justify the conclusion that, in general, the RODO is intended to contribute to a better protection of personal data of citizens of the Member States of the European Union. However, this regulation does not constitute an act, which serves as a full, framework regulation of the protection of rights in a given area. It only deals with a component of data that is or may be subject to automated processing, as a database of information about individuals.

This conclusion is explicitly confirmed by the normative content of the introductory provisions of the RODO. According to Article 2(1), the act applies only “to the processing of personal data by wholly or partly automated means and to the processing otherwise than by automated means of personal data which form part of a filing system or are intended to form part of a filing system”. In turn – in view of Article 4(6) of the RODO – a filing system is “a structured set of personal data which are accessible according to specific criteria, whether that set is centralised, decentralised or dispersed on a functional or geographical basis”.

This means that the provisions of the RODO do not apply to all processing of personal data (the form of processing is to make it public – so Article 4(3) of the RODO), but only when it comes to those covered by the scope of the regulation in question. This applies to data processed in a fully or partially automated manner, and to the others only when they constitute a data set or may form part of a data set. A potential dataset, on the other hand, is only a set of data accessible according to specific criteria. This assessment is not altered by the fact that the processing (including disclosure) may – under Article 4(3) RODO – occur automatically or also by other means. The wording of the given definition does not lead to the expansion of the scope of data subject to the RODO rules according to the content of Article 2(1). Namely, when it comes to data processed otherwise than by automated means, it refers only to those which constitute or may constitute part of a data filing system, within the meaning of Article 4(6) RODO.

A different interpretation of the provisions of the RODO would lead to conclusions which are difficult to attribute to a rational legislator – as if the regulation in question specifically regulates all principles of personal data protection, to the extent that it may lead, inter alia, to the infringement of personal rights. In view of the fact that the RODO Regulation confers the competence to resolve cases on this ground on specialised administrative bodies of Member States (so Article 58(2) of the RODO Regulation and Article 34(2) and Article 60 of the Data Protection Act respectively), it would mean the formation of an alternative way of protection of rights by all persons whose personal rights have been infringed – at the same time disclosing their personal data in any way.

In view of the mentioned conditions, it is justified to conclude that – in view of the articulated objectives of the adoption of the RODO Act and the content of its introductory regulations – this act concerns events related to the processing of information (collection, transfer, etc.) where it is possible to mechanically find information about persons – their personal data – in particular within IT systems. It does not concern events, which are related to disclosure (and thus processing) of personal data, in other situations – e.g. the possibility to know the name of a certain person, if it is uttered aloud (by a bus driver or passenger), even if it is simultaneously included in a particular set of information (passenger list), even if it is kept in electronic form. A different assessment could be made, however, if certain information were disseminated in such a form that it would be technically possible for it to be collected in an uncontrolled manner by unauthorised persons – without the knowledge of those concerned. However, such a situation – which is indisputable – did not occur in the case at hand.

Under a different understanding of the RODO regulation, also e.g. the tort of unlawful public presentation of a person by name would constitute a case subject to recognition by specialised administrative bodies – under the procedures provided for by the regulation in question. It is not possible to attribute to a rational legislator the intention to transfer this type of cases to administrative adjudication. This leads to the conclusion that, in general, the RODO regulates only the issues directly related to the obtaining of information from specific data filing systems or to the creation of data filing systems which make it possible to obtain specific information about individuals. It is not a key (prejudging) issue whether the matter concerns personal data. RODO interferes in this matter only in the context of specific forms of personal data processing. Thus, it would be misleading to conclude that it would be sufficient for the determination of the competence of the specialised body to establish that the case concerned the use of the Applicant’s personal data, which the body equated with their processing, within the meaning of the RODO.

In the case at hand, its material facts are beyond dispute, to the extent that the complaint to the specialised body cited an event that did not concern the public disclosure of a specific set of personal data (the passenger list for a specific course could be considered as such), but the use of the name of a specific passenger to identify the person entitled to travel (the ticket purchaser). What is disputed is whether this was necessary or required for the purpose in question. Moreover, the authority has not fully clarified this issue. It did not take a clear position on whether the use of the name and surname in identifying passengers who purchase a ticket electronically was, in the present case, a necessary practice, in the context of the complainant’s claim that identification was possible by means of a code on the ticket. However, this is not relevant within the limits of the case, which is within the competence of the specialised administrative body concerned. Indeed, as indicated earlier, the Complainant’s mention of his name and surname and their subsequent repetition by the driver of the vehicle could not be regarded as the processing of personal data within the meaning of the RODO. The specialised authority was therefore not competent to assess the lawfulness of these events.

Indeed, it is reasonable to conclude that there was no connection whatsoever with the mechanical processing of data or the handling of data that could constitute a separate database, as a set of information, structured according to certain criteria on the date of the event.

It should be noted that, in the complaint addressed to the authority, it was also alleged that the list of passengers used by the driver of the vehicle when verifying entitlement to arrival was allegedly publicly available. However, according to the authority’s assessment, this is not in fact the case. Thus, no incidents involving the processing of personal data within the meaning of the RODO were disclosed in the case. This ruled out that the actions of the Company (its employees), which are related to the event described in the Applicant’s complaint, should be assessed by the specialised administrative body concerned.

If, according to the Applicant’s allegations – in view of the Company’s unauthorised practice of using passengers’ personal data by drivers carrying out transport on its behalf in order to identify them – his/her personal rights, e.g. the right to privacy, were violated, the aggrieved party is entitled to appropriate claims against the infringer. The ordinary courts of law have jurisdiction in this respect. It is these issues, in turn, that are essentially the axis of the dispute between the parties. In contrast, a specialised administrative body has no jurisdiction to settle the case. The processing of data in this case (their possible disclosure) is not covered by the rules of the RODO, determining the framework of the competence to resolve cases in an administrative procedure. At the same time, the competence of the administrative body cannot be interpreted broadly, in view of the content of Article 2 § 3 of the Act of 17 November 1964. – Code of Civil Procedure (Journal of Laws of 2020, item 1575, as amended). It follows from it that the jurisdiction of the administrative body must be indicated explicitly. In the issue of protection of personal rights – within the meaning of Articles 23 and 24 of the Act – Civil Code – which include personal data, the competent courts are, in turn, common courts, which was also noted in the justification of the contested decision.

What would not be acceptable in a state governed by the rule of law would be the idea that a certain issue – legality of using the first and last name of the Appellant to verify the right to travel (and thus his personal data) – could be assessed in parallel in two modes – in proceedings conducted by a specialised administrative body and a common court. This would make it possible to formulate different assessments in the final judgments – which are in legal circulation at the same time – in the context of the legality of the Company’s action. Thus, the hypothetical concept of granting a specialised administrative body the right to assess in the case at hand whether the use of personal data was legal would have to exclude the competence of the common court in the given scope. An expansive interpretation of the provisions of the RODO, which in fact define the competence of the specialised body, is therefore not acceptable. A narrow interpretation is justified. In civil matters, there is the aforementioned rule of presumption of jurisdiction of common courts, and the protection of personal rights is generally the domain of civil law.

In this situation – given the undisputed facts, which are relevant in the context of assessing whether the administrative body is competent to apply the measures provided for in the RODO in the light of the rules of the Data Act – there were no grounds for ruling on the merits of the case. The authority could therefore also not exercise the competence, as set out in Article 58(2)(b) (see the Company’s allegations). In ruling on the case, the substantive law provision in question, which delineates the authority’s competence, was therefore violated by unjustifiably applying, in view of Article 2(1), in conjunction with Article 4(6) of the Data Act.

In view of the conditions indicated, it remains outside the boundaries of the case (and therefore also beyond the Court’s assessment), the question raised in the complaint as to whether the disclosure of the personal data of the Applicant in the given case was a voluntary action, or whether it resulted from the practice of the Company (its employees – drivers) adopted in the given scope – the requirement to confirm the entitlement to travel in such a manner, without the possibility of an alternative proof of purchase of a ticket, bearing a verifiable code.

The above-mentioned considerations lead to the conclusion that in the case there were premises for issuing a decision on refusal to initiate proceedings, and in the case of its initiation – in the face of certain doubts as to whether the case remains within the competence of a specialised body (e.g. on the issue of general accessibility of the lists of passengers carried by the drivers) – discontinuing the proceedings as pointless. Taking into account the content of the complaint addressed to the authority, its role was to first examine whether it was competent in the case – it was about the processing of the complainant’s personal data to the extent subject – under the RODO – to the supervision of the specialised administrative body concerned. The non-competence of the authority (or the obvious lack of a legal interest of the concerned Complainant), is a premise for the refusal to initiate proceedings. If the content of the complaint would directly indicate the competence of a common court, the application should be returned in the form of a decision (Article 66 § 3 of the Code of Administrative Procedure). However, in the case in question – with regard to the complaint about the processing of personal data – there was no such jurisdiction. In turn, it is not the task of the authority to instruct the parties as to the legal remedies they may use to protect their rights before the common courts.

To sum up, in the case at hand, the prerequisites for conducting proceedings before the given authority did not occur and the proceedings should be discontinued, which the Court took into account in its ruling.

For the reasons cited above – pursuant to Article 145 § 1 item 1 letter a and §. 3 of the Act – Law on Proceedings before Administrative Courts – it was adjudicated as in points 1 and 2 of the operative part. The Court ruled on the reimbursement of the costs of the proceedings as in point 3 of the operative part. The costs adjudged in favour of the Company included the remuneration of its attorney in the amount of PLN 480 and the court fee on the complaint in the amount of PLN 200, as well as PLN 17 for the stamp duty paid on the power of attorney.