WSA o braku prawnie uzasadnionego interesu w pobieraniu i publikowaniu danych osobowych

W niedawno opublikowanym uzasadnieniu orzeczenia WSA w Warszawie poruszono – kolejny raz – kwestię pobierania danych osobowych z ogólnodostępnych, publicznych rejestrów oraz ich dalszego rozpowszechniania.

Jak wskazał WSA w Warszawie:

główna oś sporu w niniejszej sprawie dotyczy tego czy Spółka, która pozyskała dane osobowe uczestniczki postepowania z ogólnopolskiego Rejestru Praktyk Zawodowych […] prowadzonego przez […], uprawniona była do ich przetwarzania na prowadzonym przez nią portalu […] pl w oparciu o przesłankę wskazaną w art. 6 ust. 1 lit f RODO. Ten cel w toku postępowania przed organem Spółka określiła jako publikacja danych w ogólnodostępnym portalu internetowym.

Sprawa ta rozpoczęła się od skargi fizjoterapeuty, którego dane osobowe w poniższym zakresie zostały pobrane przez administratora danych z Rejestru Praktyk Zawodowych:

imienia, nazwiska, nr telefonu komórkowego, nr PWZ, NIP oraz adresu siedziby działalności gospodarczej, prowadzonej przez skarżącą.

Przyczyną skargi były zapewne negatywne komentarze wprowadzane w serwisie administratora, a nie sam fakt, że opublikował on wskazane powyżej dane osobowe.

Jednak skarga to skarga.

https://judykatura.pl/szkolenia/

 

Prezes UODO decyzją ze stycznia 2023 r. nakazał administratorowi:

usunięcie danych osobowych A. P., w zakresie imienia, nazwiska, numeru telefonu komórkowego, numeru PWZ oraz numeru NIP z portalu internetowego – […] pl.

Administrator danych w swojej skardze do WSA w Warszawie wskazywał następujące argumenty, które jego zdaniem przeczyły rozstrzygnięciu:

niewyczerpujące zebranie materiału dowodowego sprawy i nieustalenie, jakie są możliwości publikacji komentarzy na stronie https://[…].pl;

błędną ocenę materiału dowodowego sprawy i uznanie, że administrator błędnie wykonał test równowagi i nie wykazał niezbędności (potrzeby) przetwarzania;

niedoniesienie się w treści sporządzonego uzasadnienia do kwestii podnoszonych przez Spółkę, w tym do kwestii występowania negatywnej przesłanki do uwzględnienia żądania usunięcia danych gdy przetwarzanie to służy zapewnieniu wolności słowa i informacji (art. 17 ust. 3 RODO ), a także poprzez nieuzasadnienie choćby w minimalnym zakresie, z jakich względów organ uznał, że test równowagi przeprowadzony został nieprawidłowo i dlaczego przyjął, że prawo osoby której dane dotyczą są nadrzędne;

wybiórcze zebranie materiału dowodowego i ogólnikową jego analizę, co doprowadziło do uznania, że nadrzędny jest interes osoby której dane dotyczą, podczas gdy taka ocena organu nie została uzasadniona, a administrator nie jest w stanie z treści uzasadnienia wyprowadzić konstruktywnych wniosków, pozwalających uniknąć podobnych sytuacji w przyszłości.

Nadto administrator wskazywał na naruszenie przepisów prawa materialnego:

a) art. 47 ust. 1 Konstytucji RP poprzez błędną wykładnię i przyjęcie, że publicznie dostępne dane o zawodzie zaufania publicznego, wykonywanego przez osobę której dane dotyczą, stanowią element sfery prywatności tej osoby i podlegają wzmożonej ochronie mimo że informacje te nie wchodzą w zakres prawa do prywatności;

b) art. 54 ust. 1 Konstytucji RP w zw. z art. 17 ust. 3 oraz art. 17 ust. 1 pkt c RODO poprzez ich niezastosowanie i pominięcie aspektu wolności słowa i swobody przepływu informacji w analizowanym procesie przetwarzania;

c) art. 6 ust. 1 lit f RODO poprzez błędną i wybiórczą wykładnię pojęcia “uzasadnionego interesu” oraz art. 5 ust. 1 lit b RODO poprzez błędną wykładnię pojęcia “celowości” przetwarzania.

 

https://judykatura.pl/szkolenia/

Sąd wskazał, że:

tworzenie rejestrów publicznych regulowane jest odpowiednimi aktami prawnymi, które stanowią podstawę do przetwarzania danych w zakresie w nich wskazanym. Rejestry takie tworzone są przez uprawnione organy państwowe, z których to rejestrów mogą korzystać inne podmioty. Rejestr Praktyk Zawodowych […] jest częścią Rejestru Podmiotów Wykonujących Działalność Leczniczą (RPWDL), który jest elektronicznym rejestrem prowadzonym zgodnie z ustawą z dnia 15 kwietnia 2011 r. o działalności leczniczej (Dz.U. z 2023 r. poz. 991, z późn. zm.). Zamieszczenie danych osobowych w tego rodzaju rejestrze nie oznacza jednak, że inne podmioty korzystając z danych osobowych zawartych w tych rejestrach są wolne od poszanowania praw osób, których dane taki rejestr zawiera, tylko z uwagi na fakt, że dane te zostały w takim rejestrze upublicznione. Ponadto, co istotne, tylko taki rejestr pełni zarówno funkcję informacyjną, jak też ochronną (po. Wyrok WSA w Warszawie z dnia 4 lutego 2019 r., z 29 stycznia 2014 r., sygn. akt II SA/Wa 1819/13 oraz z 2 sierpnia 2018 r., sygn. akt II SA/Wa 1997/17, orzeczenia.nsa.gov.pl).

w konsekwencji stwierdzić należy, że słusznie organ podnosi w odpowiedzi na skargę, iż dane osób fizycznych, będących przedsiębiorcami, w tym dane, dotyczące prowadzonej przez nich działalności gospodarczej stanowią dane osobowe w rozumieniu art. 4 pkt 2 RODO i są objęte zakresem stosowania jego przepisów.

spółka jako podstawę przetwarzania danych osobowych uczestniczki postępowania wskazała art. 6 ust. 1 lit f RODO, który to przepis stanowi, że przetwarzanie jest zgodne z prawem wyłącznie w przypadku, gdy – i w takim zakresie, w jakim przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

słusznie organ zauważa w zaskarżonej decyzji, że prawnie uzasadniony interes nie powinien być rozumiany wąsko, jedynie jako interes wprost wynikający z przepisu prawa (przyznającego podmiotowi określone uprawnienie). Pojęcie to należy interpretować szerzej, jako różnego rodzaju interes, który znajduje swoje uzasadnienie w przepisach. Może być to zatem interes faktyczny, gospodarczy lub prawny, ale taki, który jest zgodny z prawem. Prawodawca unijny w motywie 47 i 49 RODO, jako przykłady tego typu interesów wskazał: marketing bezpośredni, zapobieganie oszustwom, czy zapewnienie bezpieczeństwa usług oferowanych lub udostępnianych poprzez sieci i systemy.

zdaniem Sądu w niniejszej sprawie Spółka nie legitymuje się tak rozumianym “prawnie uzasadnionym interesem”. Spółka nie wykazała bowiem żeby między nią a uczestniczką postępowania istniały jakiekolwiek powiązania. Uczestniczka postępowania nie jest klientem Spółki. Nie miała ona zatem żadnych rozsądnych przesłanek aby spodziewać się, że jej dane osobowe mogą być przetwarzane przez Spółkę.

przypomnieć należy, że w toku postepowania przed organem Spółka wskazywała, że jej prawne usprawiedliwiony interes w przetwarzaniu danych osobowych uczestniczki postępowania polega na publikacji tych danych w ogólnodostępnym portalu internetowym. Nawet gdyby przyjąć, że zachodzi tak rozumiany prawnie usprawiedliwiony interes, zauważyć należy, że Spółka nie wykazała, iż przetwarzanie danych osobowych uczestniczki postępowania jest “niezbędne” dla realizacji tego celu. Opublikowanie przez Spółkę danych osobowych uczestniczki choć jest zgodne z przedmiotem jej działalności gospodarczej, to jednak nie znajduje oparcia w ww. przesłance legalizującej przetwarzanie danych. Sam zaś “zgodność” z przedmiotem prowadzonej przez dany podmiot działalności gospodarczej nie jest tożsama z “niezbędnością” przetwarzania danych osobowych w rozumieniu ww. przepisu (por. powołany już wyżej wyrok WSA w Warszawie z dnia 4 lutego 2019 r., sygn. akt II SA/Wa 1129/18, orzeczenia.nsa.gov.pl).

https://judykatura.pl/szkolenia/

Co również ważne Sąd podniósł, że:

jak już wyżej podnoszono dane osób fizycznych, będących przedsiębiorcami, w tym dane, dotyczące prowadzonych przez nich działalności gospodarczych stanowią dane osobowe w rozumieniu art. 4 pkt 2 RODO i są objęte zakresem stosowania jego przepisów. Spółka jako administrator powinna wykazać, że przetwarzanie danych w tym przypadku następowało zgodnie z prawem. W sprawie organ ustalił, że Spółka nie spełniła przesłanki określonej w art. art. 6 ust. 1 lit. f RODO.

aby możliwe było zastosowanie art. 17 ust. 3 dalsze przetwarzanie danych osobowych musi być niezbędne do korzystania z prawa do wolności wypowiedzi i informacji. Ponadto chodzi w tym przypadku przede wszystkim o zapobieżenie sytuacji, gdy żądanie usunięcia danych stanowiłoby ingerencję w wolność prasy i prowadziłoby do usuwania danych z archiwów prasowych, a także swoistej cenzury represyjnej dotyczącej opublikowanych danych osobowych (zob. P. Fajgielski, “Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II”, komentarz do art. 17, Lex.). Tego rodzaju sytuacje nie zachodziły zaś w niniejszej sprawie. Ponadto w art. 17 ust. 1 lit c, poprzez odesłanie do art. 21 ust. 1 i 2 RODO, dotyczy przetwarzania danych osobowych osoby, która wniosła sprzeciw, w sytuacji gdy dane osobowe tej osoby były przetwarzane na podstawie art. 6 ust. 1 lit. e) lub f) RODO lub na potrzeby marketingu bezpośredniego. Żadna z takich sytuacji nie wystąpiła w niniejszej sprawie. W konsekwencji w sprawie nie mógł mieć zastosowania art. 17 ust. 3 w zw. z art. 17 ust. 1 lit c RODO.

zasadnicza konkluzja organu, iż Spółka nie legitymowała się żadną z przesłanek z art. 6 ust. 1 RODO uprawniającą ją do przetwarzania danych osobowych uczestniczki postępowania jest zatem prawidłowa, choć uzasadnienie zaskarżonej decyzji jest częściowo błędne. Organ skupił się bowiem na tym, że poprzez brak możliwości ustosunkowania się do zamieszczanych na portalu komentarzy “cel przetwarzania danych A. P. przez Spółkę ma charakter jednostronny oraz stanowi realne zagrożenie jej podstawowych praw i wolności”. W skardze Spółka wykazała, że uczestniczka postępowania, jak każdy inny użytkownik portalu, ma możliwość zamieszczania komentarzy. Organ w tym zakresie nie dokonał wyczerpujących ustaleń. Kwestia ta nie była jednak kluczowa w niniejszej sprawie i w związku z tym uchybienie organu nie miało istotnego wpływu na wynik sprawy. Tak jak już podniesiono wyżej uczestniczka postępowania nie jest klientem Spółki, nie korzysta z jej usług i w związku z tym Spółka nie była uprawniona do przetwarzania jej danych osobowych. Prawidłowo organ ocenił, że interes uczestniczki postępowania, jakim jest zapewnienie ochrony jej danych osobowych przez Spółkę przewyższa interes Spółki, jakim była publikacja danych osobowych uczestniczki postępowania na portalu […] pl.

prawidłowo zatem organ zastosował przysługujące mu uprawnienia naprawcze i nakazał Spółce spełnienia żądania uczestniczki postępowania w oparciu o art. 58 ust 2 lit. c RODO, tj. usunięcie jej danych osobowych w zakresie imienia i nazwiska, numeru telefonu komórkowego, numeru PWZ oraz numeru NIP.

Zapisz się do newslettera
X

Podając swój adres e-mail oraz zatwierdzając zapis do newslettera wyrażasz zgodę na otrzymywanie od Piotra Liwszica informacji marketingowych. Zgodę możesz wycofać w każdym czasie wysyłając e-mail na adres kontakt@judykatura.pl. Administratorem danych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP- 521-332-36-17. Dane osobowe przetwarzane są w celu przesyłania informacji marketingowych. Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu prawach, znajduje się w Polityce prywatności