UZASADNIENIE
Prezes Urzędu Ochrony Danych Osobowych (dalej: “Prezes UODO”, “organ”) postanowieniem z dnia […] lutego 2022 r. nr […], na podstawie art. 61a § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t.j. Dz. U. z 2021 r. poz. 735 z późn. zm.), dalej: “k.p.a.”, w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz. U. z 2019 r. poz. 1781), dalej “u.o.d.o.”, oraz w zw. z art. 1 ust 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej: “RODO”, odmówił wszczęcia postępowania w sprawie skargi B. P., dalej: “skarżący”, dotyczącej przetwarzania danych spółek […] S.A., […] Sp. z o.o. oraz […] Sp. z o.o. przez Polskie Towarzystwo […] z siedzibą w […].
Skarżący w skardze do Prezesa UODO wskazał, że skarżony podmiot wysłał na adresy poczty elektronicznej należące do spółek […] S.A., […] Sp. z o.o. ([…], […], […] oraz […]) oraz […] Sp. z o.o. ([…], […], […]) ponad 200 maili o treści marketingowej.
Organ uzasadniając ww. postanowienie wskazał, że od dnia 25 maja 2018 r. bezpośrednie zastosowanie w polskim porządku prawnym mają przepisy RODO (art. 99). Ponadto w dniu 25 maja 2018 r. weszła w życie ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych. Ustawę tę stosuje się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w zakresie określonym w art. 2 i art. 3 RODO (art. 1 ust. 1 u.o.d.o.).
Podkreślił, że wymienione akty normatywne dotyczą ochrony osób fizycznych. W przypadku RODO świadczy o tym już sama nazwa tego rozporządzenia, a przedmiot jego regulacji określa art. 1 ust. 1: “W niniejszym rozporządzeniu ustanowione zostają przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych”. W art. 1 ust. 2 prawodawca unijny wskazał: “Niniejsze rozporządzenie chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych”. Rownież w pierwszym zdaniu motywu 14. RODO napisano: “Ochrona zapewniana niniejszym rozporządzeniem powinna mieć zastosowanie do osób fizycznych – niezależnie od ich obywatelstwa czy miejsca zamieszkania – w związku z przetwarzaniem ich danych osobowych”. Zdanie drugie zaś wskazuje, że RODO nie dotyczy przetwarzania danych osobowych osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej. Osobowość prawną mają zaś w Polsce podmioty wpisane do Krajowego Rejestru Sądowego, m.in. spółki. Powyższe dotyczy także reprezentantów (np. członków zarządu) osób prawnych, gdyż ich dane osobowe traktowane są jako dane osoby prawnej. Zakres przedmiotowy u.o.d.o. został określony w jej art. 1 ust. 1.
Prezes UODO, odwołując się do wskazanych wyżej przepisów, stwierdził, że przewidziana w nich ochrona nie obejmuje przetwarzania danych – w tym przypadku adresów poczty elektronicznej ([…], […], […], […], […], […], […]) – wskazanych spółek, ktorych skarżący jest prezesem. Adresy imienne poczty elektronicznej: […] oraz […] również są adresami związanymi z osobą prawną i nie zmienia tego fakt, że nie są one publicznie (łatwo) dostępne.
Nie zmienia istoty danych, tj. tego, że pozostają one danymi wskazanych osób prawnych, fakt, że maile wysyłane na adresy mailowe spółek są kierowane do konkretnych osób, oraz że cel przetwarzania widniejących na stronie internetowej spółek […] S.A. oraz […] Sp. z o.o. adresów mailowych został jasno określony. Również skierowanie do skarżącego – prezesa spółek – maili z ofertą przeznaczoną dla Zarządu spółki nie zmienia faktu, że wykorzystano do tego dane firmy.
W ocenie organu, stosownie do brzmienia art. 61a § 1 k.p.a., gdy żądanie, o którym mowa w art. 61 k.p.a., zostało wniesione przez osobę niebędącą stroną lub z innych uzasadnionych przyczyn postępowanie nie może być wszczęte, organ administracji publicznej wydaje postanowienie o odmowie wszczęcia postępowania.
Prezes UODO rozpatruje bowiem skargi wniesione przez osoby, których dane dotyczą, i w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg. W niniejszej sprawie skarżący zwrócił się do Prezesa UODO ze skargą dotyczącą przetwarzania danych podmiotów, które – jako osoby prawne – nie są objęte ochroną z zakresu przetwarzania danych osobowych.
Odnosząc się zaś do żądania skarżącego, dotyczącego nałożenia na skarżony podmiot administracyjnej kary pieniężnej, wskazał, że wprawdzie w zakresie uprawnień przysługujących Prezesowi UODO znajduje się nakładanie administracyjnych kar pieniężnych, jednak decyzja o nałożeniu kary pieniężnej w postępowaniu administracyjnym należy wyłącznie do kompetencji Prezesa UODO (art. 58 ust. 2 lit. i RODO). Osoba składająca skargę nie może żądać od Prezesa UODO nałożenia kary pieniężnej na administratora w postępowaniu zainicjowanym jej skargą. W związku z powyższym organ uznał, że takie żądanie nie należy do żądań realizowanych na wniosek osoby wnoszącej skargę.
B. P. pismem z dnia 19 lutego 2022 r. skierował do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na postanowienie Prezesa UODO z dnia […] lutego 2022 r. nr […], wnosząc o jego uchylenie w całości i zasądzenie kosztów postępowania.
Skarżący zarzucił organowi:
1. naruszenie przepisów prawa materialnego, tj. art. 1 ust. 2 RODO w zw. z art. 1 ust. 1 u.o.d.o. poprzez ich niezastosowanie i błędne uznanie, że imienny adres e-mail w domenie spółki prawa handlowego nie jest daną osobową identyfikującą osobę fizyczną, ale jest daną osoby prawnej – co doprowadziło do wydania postanowienia o odmowie wszczęcia postępowania;
2. naruszenie przepisów prawa materialnego, tj. art. 4 pkt 1 RODO poprzez błędne uznanie, że adres e-mail składający się z pierwszej litery imienia i całego nazwiska nie może zostać uznany za daną identyfikującą osobę fizyczną, jeżeli wykorzystywany jest w działalności osoby prawnej, co doprowadziło do uznania, że skarga nie dotyczy osoby fizycznej;
3. naruszenie przepisów postępowania, tj. art. 61a § 1 k.p.a. poprzez niewłaściwe zastosowanie i uznanie, że skarżący nie jest stroną postępowania, mimo iż adresy e-mail, których dotyczyła skarga, są daną osobową, gdyż identyfikują osobę fizyczną, co miało istotny wpływ na wynik sprawy, gdyż doprowadziło do wydania postanowienia o odmowie wszczęcia postępowania;
4. naruszenie przepisów postępowania, tj. art. 8 § 1 i § 2 k.p.a. poprzez sprzeczność treści postanowienia z utrwaloną praktyką Urzędu Ochrony Danych Osobowych i informacjami publikowanymi przez ten organ w materiałach edukacyjnych i informacyjnych, podczas gdy dotychczasowa praktyka organu wskazywała jednoznacznie, że adresy imienne w domenie spółek prawa handlowego stanowią dane osobowe, a zatem niedozwolone jest bez zgody osoby wysyłanie na takie adresy treści o charakterze marketingowym, co miało istotny wpływ na wynik sprawy, gdyż w konsekwencji organ uznał, że skarżący nie jest stroną postępowania, wobec czego wydał postanowienie o odmowie wszczęcia postępowania;
5. naruszenie przepisów postępowania, tj. art. 7 i art. 77 k.p.a. poprzez błędną i wybiórczą ocenę materiału dowodowego oraz treści skargi, niepodjęcie próby wyjaśnienia istoty sprawy i stanu faktycznego oraz poprzez brak dążenia do merytorycznego rozstrzygnięcia sprawy, co miało istotny wpływ na wynik postępowania, podczas gdy wyczerpująca ocena zgromadzonego materiału dowodowego oraz odpowiednie rozważenie treści skargi i stanu faktycznego w niej przedstawionego, a także dotychczasowa praktyka organu, prowadzi jednoznacznie do uznania, że merytoryczne podjęcie postępowania i załatwienie sprawy jest zasadne i konieczne.
Skarżący, argumentując przytoczył definicję danych osobowych uregulowaną w art. 4 pkt 1 RODO. Według tego przepisu “dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (“osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna, to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Skarżący stwierdził, że w niniejszej sprawie, mamy do czynienia z adresem e-mail złożonym z pierwszej litery imienia oraz pełnego nazwiska, a także domeny, będącej jednocześnie nazwą (firmą) spółki. Taki zakres informacji pozwala jednoznacznie zidentyfikować konkretną osobą fizyczną – choćby w sposób pośredni – wraz z informacją o powiązaniu ze spółką, na którą wskazywała domena w adresie mailowym. Wskazał, że zarówno w przypadku spółki […] Sp. z o.o., jak i […] Sp. z o.o., pełnił rolę prezesa zarządu, co ujawnione jest w KRS zgodnie z obowiązującymi przepisami.
Zdaniem skarżącego, interpretacja przepisów dokonana przez Prezesa UODO jest błędna i sprzeczna z ugruntowanym stanowiskiem doktryny, a także informacjami rozpowszechnianymi przez sam Urząd, co stanowi naruszenie zasady zaufania do władzy publicznej. W literaturze z zakresu ochrony danych osobowych bezdyskusyjnie wskazuje się na możliwość powiązania danych identyfikujących osobę prawną z danymi osoby fizycznej, szczególnie w przypadkach dotyczących członków organów osób prawnych: “O ile w motywie 14 expressis verbis przesądzono, iż co do zasady rozporządzenie nie ma dotyczyć przetwarzania danych dotyczących osób prawnych, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej, o tyle nie można wykluczyć takich sytuacji, w których jednak dane o charakterze osobowym będą związane z danymi dotyczącymi osób prawnych. Przykładem tego mogą być dane osób fizycznych, w szczególności w przypadku, gdy w skład firmy wchodzi imię i nazwisko wspólnika, czy też w zakresie dotyczącym członków organów. Spełnienie przesłanki identyfikowalności przesądzić bowiem powinno o objęciu zakresem ochronnym rozporządzenia danych osobowych również w takich konfiguracjach” (D. Lubasz [w:] E. Bielak-Jomaa, D. Lubasz (red.), RODO. Ogólne Rozporządzenie o Ochronie Danych. Komentarz, Warszawa 2018, art. 4 pkt 1, nb. 9, str. 169). Stanowisko to nie jest nowością w doktrynie, gdyż prezentowane było również na gruncie uprzednio obowiązujących przepisów ustawy o ochronie danych osobowych z 1997 r. (por. P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz, wyd. 4, Warszawa 2016, art. 6, nb. 9, str. 80-81).
Ponadto nad problemem danych osobowych osób prawnych pochyliła się również Grupa Robocza Art. 29 w opinii 4/2007, w której jako przykład powyższej sytuacji wprost wskazano imienny adres e-mail wykorzystywany w ramach działalności osoby prawnej: “Informacje o osobach prawnych można również uznać w niektórych przypadkach za “dotyczące” osób fizycznych indywidualnie, zgodnie z kryteriami przedstawionymi w niniejszym dokumencie. Może tak być, jeśli nazwa osoby prawnej pochodzi od nazwiska osoby fizycznej. Innym przypadkiem może być poczta elektroniczna firmy, używana zazwyczaj przez pewnego pracownika, lub też informacje o małym przedsiębiorstwie (z punktu widzenia prawa chodzi tu raczej o “rzecz” niż o osobę prawną), które mogą opisywać zachowanie jego właściciela. We wszystkich tych przypadkach, jeżeli kryteria “treść”, “cel” lub “skutek” dozwalają na uznanie informacji o osobie prawnej lub o przedsiębiorstwie za “dotyczącą” osoby fizycznej, należy uznać je za dane osobowe i stosować przepisy dotyczące ochrony danych” (Opinia 4/2007 w sprawie pojęcia danych osobowych z 20.06.2007 r., WP 136, s. 24, […], dostęp:11.02.2022 r.).
Odnośnie adresów e-mail i ich oceny jako danych osobowych wypowiada się również dr hab. P. F. wskazując, że “(…) właściwe jest stanowisko pośrednie uzależniające status adresu e-mail jako danych osobowych od faktycznej możliwości ustalenia tożsamości osoby, która posługuje się tym adresem. Jeżeli administrator ma możliwość zidentyfikowania osoby, która korzysta z konta poczty elektronicznej (np. posiada oprócz adresu e-mail także inne informacje o tej osobie bądź możliwość identyfikacji osoby wynika z kontekstu, w jakim ta informacja występuje), to powinien traktować adres poczty elektronicznej jako dane osobowe.
Nie jest przy tym wymagane, aby w adresie e-mail zawarte były informacja w postaci imienia i nazwiska, gdyż sama nazwa użytkownika może mieć charakter fantazyjny, co jednak nie przesądza o braku możliwości identyfikacji użytkownika w sytuacji, gdy administrator posiada inne informacje na jego temat” (P. Fajgielski, Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. 2, Warszawa 2022, art. 4 pkt 1, nb. 15, str. 119-120).
Jak więc wynika z przedstawionych powyżej stanowisk, z punktu widzenia ochrony danych osobowych nie jest istotne, czy adres e-mail wykorzystywany jest w ramach działalności osoby prawnej, o ile spełnia definicję danych osobowych z art. 4 pkt 1 RODO i pozwala zidentyfikować osobę fizyczną.
Co więcej, sam Urząd Ochrony Danych Osobowych dotychczas prezentował tożsame stanowisko w wielu materiałach edukacyjnych oraz komunikatach kierowanych m.in. do inspektorów ochrony danych osobowych. Jako przykład skarżący wskazał poradnik “Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców” z października 2018 r. (źródło: […], dostęp: 14.02.2022 r.), gdzie na stronie 25, w ramach odpowiedzi na pytanie o wykorzystanie adresu e-mail byłego pracownika wskazano, że: “Powszechną praktyką jest nadawanie pracownikom adresów e-mailowych, składających się z imienia i nazwiska, pierwszej litery imienia i nazwiska lub w niektórych przypadkach z pseudonimu. Zarówno taki adres mailowy, jak też pozbawiony imienia i nazwiska, ale powiązany z konkretną osobą, uznawany jest za dane osobowe związane z zatrudnieniem” Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców, Urząd Ochrony Danych Osobowych, październik 2018 r., […], dostęp: 14.02.2022 r.). W cytowanym fragmencie wprost wskazano, że adres e-mail składający się z imienia i nazwiska lub pierwszej litery imienia i nazwiska stanowi daną osobową, pozwala bowiem zidentyfikować osobę fizyczną.
Odnośnie argumentu podniesionego w zaskarżonym postanowieniu, że dane osobowe członków organów osoby prawnej uznane powinny zostać za dane kontaktowe osoby prawnej, skarżący zwrócił uwagę, że dotychczas Urząd stał na stanowisku, że dane osób upoważnionych do reprezentacji spółek (np. członków zarządu) są danymi osobowymi.
W ramach informacji publikowanych na stronie internetowej, zawierających odpowiedzi na najistotniejsze zagadnienia dotyczące zadań inspektorów ochrony danych osobowych, pojawiło się pytanie odnośnie wykonywania obowiązku informacyjnego wobec członków zarządu osób prawnych (źródło: […], dostęp: 10.02.2022 r.). W treści wprost wskazano, że: “W przypadku osób fizycznych pełniących funkcję członków organów osoby prawnej możliwość ich identyfikacji wynika w szczególności z faktu, iż dane takich osób ujawniane są w KRS. Oznacza to, że należy odmiennie odnosić się do informacji o osobach prawnych i osobach fizycznych reprezentujących osoby prawne”.
Ponadto zacytowano także odpowiedź Komisji Europejskiej na zapytanie członka Parlamentu Europejskiego w analogicznej sprawie, która dotyczyła danych pełnomocników i pracowników osób prawnych. Jak wskazano: “(…) motyw 14 RODO wyjaśnia, że rozporządzenie nie ma zastosowania do przetwarzania danych osobowych, które dotyczą osób prawnych, w tym nazwy i formy osoby prawnej oraz danych kontaktowych osoby prawnej. Adres e-mail osoby prawnej, taki jak […], nie wchodzi w zakres rozporządzenia. Jednak dane osobowe pracowników osoby prawnej, w tym ich profesjonalne adresy e-mail, byłyby objęte zakresem rozporządzenia (np. […]) (odp. KE z dnia 21 lutego 2018 dostępna pod linkiem: […], dostęp: 14.02.2022 r.).
W komunikacie UODO powołano się również na wyrok z 9 marca 2017 r. w sprawie C-398/15, w którym Trybunał Sprawiedliwości Unii Europejskiej – jak wskazuje UODO – “orzekł, że z dotychczasowego orzecznictwa Trybunału wynika, że okoliczność, iż informacje wpisują się ramy działalności zawodowej, nie oznacza, że nie można ich scharakteryzować jako dane osobowe. Definicja danych osobowych odnosi się zatem do osób fizycznych bez względu na rolę, jaką odgrywają (czy są konsumentami, przedsiębiorcami czy pracownikami itd.)”.
Skarżący podniósł, że w przedmiotowej sprawie organ nie badał kto i do kogo kierował korespondencję i jaki charakter ta korespondencja miała (czy dotyczyła informacji dotyczących spółki czy też miała charakter osobisty), a przecież to najistotniejsza kwestia, nawet jeżeli […] był dostępny publicznie, np. w zakładce relacje inwestorskie, to dopóki jest ten mail wykorzystywany do celu do jakiego został opublikowany (np.: pytania od inwestorów dotyczące spółki), dotyczy osoby prawnej, natomiast gdy zostanie użyty niezgodnie z przeznaczeniem (np. wysyłka informacji dotyczących promocji pieluszek w Biedronce, z którą spółka nie ma nic wspólnego), wówczas dochodzi do przetwarzania danych osobowych i na administratorze ciążą wszystkie obowiązki wynikające z przepisów prawa.
Skarżący podkreślił, że organ nie rozważył, jaka była treść wysyłanych maili o charakterze marketingowym, nie rozważył istotnych okoliczności faktycznych, iż treści marketingowe były skierowane do osoby fizycznej, jak również tego, że treści marketingowe były wysyłane bez uzyskania uprzedniej zgody, a więc bez podstawy prawnej.
Reasumując stwierdził, że postanowienie o odmowie wszczęcia postępowania pozbawiło go ochrony prawnej w związku z naruszeniem ochrony jego danych osobowych przez podmiot zewnętrzny, który w sposób niezgodny z prawem wysyłał na jego adres mailowy (będący adresem osoby fizycznej) treści o charakterze marketingowym. Tym samym, zdaniem skarżącego, organ naruszył art. 61a § 1 k.p.a., gdyż odmówił wszczęcia postępowania w sytuacji oczywistej zasadności skargi oraz przedstawionych w niej zarzutów.
W odpowiedzi na skargę Prezes UODO wniósł o jej oddalenie, podtrzymując stanowisko zajęte w zaskarżonym postanowieniu.
W ocenie organu, adresy imienne poczty elektronicznej (tak samo jak wskazanych w załączniku do skargi dodatkowo […], […], […]) spółek, których skarżący jest Prezesem, tj.: […] oraz […], również są adresami związanymi z istnieniem osoby prawnej. Świadczy o tym cel ich stosowania, tj. wykorzystywanie przez osobę prawną do kontaktu przy prowadzeniu przez skarżącego działalności gospodarczej, w tym do kontaktu skarżącego z podmiotami zewnętrznymi oraz prowadzenia działań na rzecz pozyskania nowych klientów. Również skierowanie do skarżącego – prezesa spółek – maili z ofertą przeznaczoną dla Zarządu spółki nie zmienia faktu, że wykorzystano do tego dane firmy.
W ocenie organu, skarżący błędnie stawia tezę, że Prezes UODO uznał, iż adres e-mail, składający się z pierwszej litery imienia i całego nazwiska, nie może zostać uznany za daną identyfikującą osobę fizyczną, jeżeli wykorzystywany jest w działalności osoby prawnej, co doprowadziło do stwierdzenia, że skarga nie dotyczy osoby fizycznej. Prezes UODO uznał jedynie, że kwestionowane przetwarzanie adresów e-mail, stanowiących dane kontaktowe osoby prawnej, wyklucza traktowanie ich w postępowaniu administracyjnym w oparciu o przepisy RODO, jako wyłącznie danych osobowych osoby fizycznej.
Organ podkreślił, że wydane rozstrzygnięcie odnosi się do przedstawionego przez skarżącego stanu faktycznego, z którego jasno wynika, że ww. adresy e-mail są adresami związanymi z osobą prawną. Powołując się na treść motywu 14 RODO, stwierdził, że RODO nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi,
w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej. Wynika z tego, że podmiotom innym niż osoby fizyczne nie przysługuje prawo do prywatności.
Prezes UODO wskazał, że konstrukcja osób prawnych uregulowana została w przepisach ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny (Dz. U. z 2020 r., poz. 1740 z późn. zm.). Szczegółowe uregulowania w tym zakresie zawiera ustawa z dnia 15 września 2000 r. Kodeks spółek handlowych (Dz. U. z 2020 r. poz. 1526 t.j.) [art. 201 i kolejne odnośnie spółki z ograniczoną odpowiedzialnością, art. 368 i następne odnośnie spółki akcyjnej].
Jedną z cech osób prawnych jest działalność poprzez organy. W przypadku spółki z ograniczoną odpowiedzialnością, czy spółki akcyjnej jest to m. in. zarząd. Adresy email, czy to imienne, czy też nie, zamieszczone na stronach internetowych każdej z ww. spółek, stanowią więc dane osoby prawnej. Nie zmienia tego faktu ich konstrukcja, w postaci pierwszej litery imienia oraz nazwiska członka zarządu, bowiem to zarząd prowadzi sprawy spółki, wykorzystując ku temu “dane osobowe dotyczące osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym dane (…) kontaktowe osoby prawnej” [tak stanowi ww. motyw 14 RODO].
Prezes UODO wskazał, że skarżący, używając imiennych adresów e-mail, jako prezes zarządu wskazanych powyżej spółek, działa w imieniu osoby prawnej, co zostało wyraźnie określone w treści zaskarżonego postanowienia. Dlatego, wobec stwierdzenia, że adresy e-mail, których dotyczyła złożona skarga, są adresami związanymi z osobą prawną, organ był zobowiązany wydać zaskarżone postanowienie. Przy czym zwrócił uwagę, że wydając – na podstawie art. 61a § 1 ust. 1 k.p.a. – przedmiotowe orzeczenie oparł się na przesłance “innych uzasadnionych przyczyn”.
Podkreślił, że niniejsza sprawa nie mogłaby zakończyć się wydaniem merytorycznej decyzji administracyjnej (por. wyrok WSA z 17 marca 2022 r. w sprawie o sygn. akt II SA/Wa 1400/21). Skarżący miał w tej sprawie bezsprzecznie interes faktyczny, lecz okoliczności sprawy przesądziły już na pierwszy rzut oka, że w ramach kompetencji Prezesa UODO niemożliwym było wydanie takiej decyzji.
W szczególności, nieprawidłowym byłoby ograniczenie wyłączenia stosowania RODO w oparciu o uznaniowość Prezesa UODO, której przejawem byłoby zakwalifikowanie wskazanych przez skarżącego danych do katalogu tych, o ktorych stanowi art. 4 pkt 1 RODO. “Organy administracji bowiem załatwiają sprawę przez wydanie decyzji, o ktorych mowa w art. 104 k.p.a., ale tylko “w należących do właściwości tych organów sprawach indywidualnych” (art. 1 § 1 pkt 1 k.p.a.)” [tak.: wyrok NSA we Wrocławiu z 7 września1982 r., sygn. akt SA/Wr 363/82, ONSA 1982/2, poz. 82].
Zdaniem organu, można założyć, iż w innym stanie faktycznym możliwe jest nadanie adresowi imiennemu poczty elektronicznej przymiotu danych osobowych, lecz stan ten musiałby dotyczyć sfery niezwiązanej wprost z działalnością określonych spółek prawa handlowego.
Prezes UODO stwierdził, iż powoływanie się w skardze na wyroki: TS z dnia 20 maja 2003 r. w sprawie C-465/0G C-138/01 w sprawie C-139/01 Rechnungshol przeciwko Osterrekhiscber Rundfiink i in. oraz Christa Neukomm i Joseph Tauermann przeciwko Osterrekhischer Rundfiink, EUrC:2003:294, pkt 73, ETPC:
w sprawie 27798/95 Amann. pkt 65 oraz z dnia 4 maja 2000 r: w sprawie 28341/95 Rotaru przeciwko Rumunii, HUDOC, pkt 43, nie jest trafne. Każdy z nich rozstrzygał w zakresie odmiennym, niż istota przedmiotowej sprawy. Co prawda skarżący odwołuje się do fragmentów, które – jego zdaniem – bezsprzecznie stanowią o konieczności uznania przez Prezesa UODO objęcia wskazanych przez niego danych ochroną wynikającą z RODO, jednak żaden z nich nie stanowi o błędnym, czy też zamierzonym nieuwzględnieniu jego żądania przez organ. Stany faktyczne bowiem każdego z tych wyroków odnoszą się do sytuacji związanych z życiem zawodowym, ale jedynie pośrednio.
Prezes UODO dodatkowo podkreślił, iż skarżący znajduje się w innej sytuacji zawodowej niż chociażby zatrudnieni w danym podmiocie pracownicy. W wyroku z dnia 1 grudnia 2009 r. o sygn. akt I OSK 249/09 (dotyczącym wprawdzie przetwarzania przez pracodawcę danych biometrycznych w oparciu o wyrażoną przez pracownika zgodę, jednak mogącym być w tym przypadku cenną wskazówką interpretacyjną) Naczelny Sąd Administracyjny stwierdził, iż “(…) brak równowagi w relacji pracodawca – pracownik stawia pod znakiem zapytania dobrowolność wyrażenia zgody na pobieranie i przetwarzanie danych osobowych (biometrycznych) (…)”. Z wyrokiem tym Prezes UODO w pełni się zgadza. Skarżący, co jest istotne
w tej sprawie, jest prezesem zarządu spółki, zatem on sam zdecydował, że dotyczące go dane osobowe zostały wskazane, jako dane kontaktowe tego podmiotu, który jedynie reprezentuje.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
W pierwszej kolejności należy wyjaśnić, że przedmiotowa skarga została przez Sąd rozpoznana na posiedzeniu niejawnym w trybie uproszczonym, na podstawie art. 119 pkt 3 ustawy z 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (j.t. Dz. U. z 2022 r., poz. 329 z późn. zm.; dalej: “p.p.s.a.”), zgodnie z którym sprawa może być rozpoznana w trybie uproszczonym, jeżeli przedmiotem skargi jest postanowienie wydane w postępowaniu administracyjnym, na które służy zażalenie albo kończące postępowanie, a także postanowienie rozstrzygające sprawę co do istoty oraz postanowienia wydane w postępowaniu egzekucyjnym i zabezpieczającym, na które służy zażalenie. Oznacza to, że w przypadku skargi na takie postanowienie organu administracji publicznej w obecnym stanie prawnym skierowanie ich do rozpoznania w trybie uproszczonym na posiedzeniu niejawnym nie jest uzależnione od wniosku strony.
Zgodnie z art. 1 § 1 ustawy z 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (j.t. Dz. U. z 2021 r., poz. 137 z późn. zm.), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym ta kontrola, stosownie do § 2 powołanego artykułu, sprawowana jest pod względem zgodności z prawem. Sąd w ramach swojej właściwości dokonuje zatem kontroli aktów z zakresu administracji publicznej z punktu widzenia ich zgodności z prawem materialnym, jak i prawem procesowym. Sąd rozstrzyga przy tym w granicach danej sprawy nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną (art. 134 § 1 p.p.s.a.).
W ocenie Sądu, analizowana pod tym kątem skarga nie zasługuje na uwzględnienie, albowiem wydając zaskarżone postanowienie, Prezes UODO prawidłowo zastosował przepisy art. 61a § 1 k.p.a. w związku z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych oraz w zw. z art. 1 ust 1 i 2 RODO.
Zgodnie z art. 61a § 1 k.p.a., gdy żądanie, o którym mowa w art. 61 zostanie wniesione przez osobę niebędącą stroną lub z innych uzasadnionych przyczyn postępowanie nie może być wszczęte, organ administracji publicznej wydaje postanowienie o odmowie wszczęcia postępowania. Z treści powołanego przepisu wynika obowiązek organu przeprowadzenia wstępnej analizy wniosku pod względem ewentualnego wystąpienia okoliczności uniemożliwiających merytoryczne jego rozpatrzenie. Samo złożenie wniosku nie jest tożsame z wszczęciem postępowania w sprawie, lecz uruchamia etap wstępny, w ramach którego właściwy organ ocenia podmiotową i przedmiotową dopuszczalność wykorzystania instytucji procesowej. Przy czym przez inne uzasadnione przyczyny odmowy wszczęcia postępowania, o których mowa w art. 61a § 1 k.p.a., rozumie się sytuacje, które w sposób oczywisty stanowią przeszkodę do wszczęcia postępowania, np. gdy w tej samej sprawie postępowanie administracyjne już się toczy albo w sprawie takiej zapadło już rozstrzygnięcie, albo gdy w przepisach prawa brak jest podstawy materialnoprawnej do rozpatrzenia żądania w trybie administracyjnym.
Zgodnie z konstytucyjną zasadą legalizmu, w oparciu o którą muszą działać wszystkie podmioty publiczne, Prezes UODO będąc podmiotem publicznym może podejmować wyłącznie takie działania, które znajdują swoje źródło w przepisach obowiązującego prawa.
Aby więc Prezes UODO mógł podjąć określone działania, musi mieć do tego stosowne umocowanie ustawowe. Stąd, jeśli do organu wpłynie wniosek o wszczęcie postępowania, do którego to działania brak jest podstawy prawnej, to adresat takiego wniosku winien odmówić wszczęcia takiego postępowania.
Prezes UODO, w celu realizacji swoich kompetencji w zakresie ochrony danych osobowych, został wyposażony w uprawnienia z art. 58 RODO, które można podzielić na:
1. uprawnienia prowadzenia kontroli,
2. uprawnienia naprawcze i do nakładania kar,
3. uprawnienia do udzielania zezwoleń i doradcze,
4. uprawnienia do zgłaszania naruszeń RODO do sądów, w szczególności w przypadku skarg osób fizycznych oraz uczestniczenia w postępowaniach.
W ramach uprawnień naprawczych, organowi nadzorczemu przysługuje nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy RODO.
Zgodnie z art. 1 ust. 2 RODO, regulacja ta chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych. Motyw 14 RODO wyjaśnia natomiast, że ochrona zapewniana przez RODO dotyczy “osób fizycznych, niezależnie od ich obywatelstwa lub miejsca zamieszkania, w związku z przetwarzaniem ich danych osobowych”.
Zgodnie z definicją zawartą w art. 4 pkt 1 RODO, “dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
W zdaniu drugim motywu 14 RODO wyjaśniono, że RODO nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej. W związku z powyższym RODO chroni dane osobowe możliwych do zidentyfikowania osób fizycznych i wyklucza spod tej ochrony dane dotyczące osób prawnych. Wynika to z faktu, że podmiotom innym niż osoby fizyczne nie przysługuje prawo do prywatności.
Istota sprawy w niniejszym postępowaniu sprowadza się do oceny, czy adresy imienne poczty elektronicznej skarżącego: […] oraz […] należy zakwalifikować do katalogu danych, o których stanowi art. 4 pkt 1 RODO.
Zdaniem Sądu, rację ma Prezes UODO stwierdzając w zaskarżonym postanowieniu, że kwestionowane przetwarzanie adresów e-mail, jako danych kontaktowych osoby prawnej, wyklucza traktowanie ich w postępowaniu administracyjnym w oparciu o przepisy RODO, jako wyłącznie danych osobowych osoby fizycznej. Ww. adresy e-mail są bowiem adresami związanymi z istnieniem osoby prawnej, ponieważ utworzone zostały w ramach działalności osoby prawnej do kontaktu z podmiotami zewnętrznymi oraz w celu prowadzenia działań na rzecz pozyskania nowych klientów.
To, że do skarżącego – prezesa spółek – skierowano maile z ofertą przeznaczoną dla Zarządu spółki, nie zmienia faktu, że wykorzystano do tego dane firmy.
W takiej sytuacji imienny adres e-mail nie może zostać uznany za daną identyfikującą osobę fizyczną, ponieważ jest wykorzystywany w działalności osoby prawnej, i tym samym należało przyjąć, że kwestionowane przetwarzanie adresów e-mail, stanowiących dane kontaktowe osoby prawnej, wyklucza traktowanie ich w postępowaniu administracyjnym w oparciu o RODO, jako wyłącznie danych osobowych osoby fizycznej.
Osoba prawna, jako podmiot prawa cywilnego, została zdefiniowana w przepisach ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny (t.j. Dz. U. z 2020 r., poz. 1740 z późn. zm.). Szczegółowe uregulowania w tym zakresie zawiera ustawa z dnia 15 września 2000 r. Kodeks spółek handlowych (t.j. Dz. U. z 2020 r. poz. 1526). Jedną z cech osób prawnych jest działalność poprzez organy – w przypadku spółki z ograniczoną odpowiedzialnością, czy spółki akcyjnej jest to m. in. zarząd. Adresy email, czy to imienne, czy też nie, zamieszczone na stronach internetowych każdej z ww. spółek, stanowią więc dane osoby prawnej. Nie zmienia tego faktu ich konstrukcja, w postaci pierwszej litery imienia oraz nazwiska członka zarządu, bowiem to zarząd prowadzi sprawy spółki, wykorzystując ku temu “dane osobowe dotyczące osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym dane (…) kontaktowe osoby prawnej” (motyw 14 RODO).
Skarżący, używając imiennych adresów e-mail, jako prezes zarządu wskazanych powyżej spółek, działa w imieniu osoby prawnej, co zostało prawidłowo wykazane w treści zaskarżonego postanowienia.
Prezes UODO prawidłowo przyjął, iż powoływane przez skarżącego wyroki TS rozstrzygały w zakresie odmiennym, niż istota przedmiotowej sprawy.
Skarżący, jako prezes zarządu spółki, niewątpliwie znajduje się w innej sytuacji zawodowej niż osoby posiadające status pracowniczy, ponieważ – jak słusznie zauważył organ – wyłącznie on sam zadecydował o tym, że jego dane osobowe mają być wskazane, jako dane kontaktowe podmiotu, który reprezentuje.
W rozpoznawanej sprawie, jako przesłankę zastosowania art. 61a § 1 k.p.a., wskazano inną uzasadnioną przyczynę, z powodu której postępowanie nie może być wszczęte. Wobec stwierdzenia, że adresy e-mail, których dotyczyła złożona skarga, są adresami związanymi z osobą prawną, stanowisko organu należy uznać za prawidłowe.
Jak słusznie zwrócił uwagę Prezes UODO, można założyć, iż w innym stanie faktycznym możliwe jest nadanie adresowi imiennemu poczty elektronicznej przymiotu danych osobowych, jednakże stan faktyczny przedmiotowej sprawy przesądził już na pierwszy rzut oka, że w ramach kompetencji Prezesa UODO niemożliwym było wydanie w przedmiotowej sprawie merytorycznego rozstrzygnięcia. Biorąc pod uwagę obowiązek działania organów na podstawie i w granicach prawa, brak podstaw prawnych dla Prezesa UODO do działania w zakresie materii objętej wnioskiem skarżącego stanowi – w ocenie Sądu – właśnie oczywistą przeszkodę do wszczęcia postępowania, niewymagającą przeprowadzenia w tym zakresie postępowania.
Podejmując sporne rozstrzygnięcie, Prezes UODO prawidłowo więc zastosował art. 61a § 1 k.p.a. Uzasadnienie zaskarżonego postanowienia odpowiada zaś dyspozycji art. 107 § 3 k.p.a.
W tym stanie sprawy, nie podzielając argumentów zawartych w złożonej skardze, Wojewódzki Sąd Administracyjny w Warszawie orzekł, jak w sentencji wyroku, na podstawie art. 151 w związku z art. 119 pkt 3 i art. 120 p.p.s.a. |