WSA o podstawie umorzenia postępowania oraz o mocy oświadczenia administratora

W jednym orzeczeń WSA w Warszawie sąd poruszył dwie istotne dla każdego administratora kwestie.

Pierwsza z nich dotyczy podstaw umorzenia postępowania przed organem nadzorczym w przypadku zdarzenia dotyczącego ochrony danych osobowych, które rozpoczęło i zakończyło się przed datą stosowania RODO. Druga kwestia dotyczy oświadczeń administratora strony dokonywanych w odpowiedzi na żądanie wyjaśnienia skargi skierowanej do organu nadzorczego.

Na marginesie warto też zasygnalizować, że w skardze do WSA w Warszawie kolejny raz pojawia się wniosek o skierowanie do Trybunału Sprawiedliwości Unii Europejskiej pytania prejudycjalnego – o skutkach tego wniosku napisałem na końcu wpisu.

W przedmiotowej sprawie Prezes UODO w marcu 2021 r.:

nakazał PNP usunięcie przetwarzanych bez podstawy prawnej danych osobowych Pana P. K. w zakresie: imion, nazwiska, adresu zameldowania, adresu do korespondencji, numeru PESEL, adresu e-mail, numeru telefonu, numeru rachunku bankowego prowadzonego przez I. B. oraz informacji o kwocie pieniędzy, którą dysponował wyżej wymieniony,

w pozostałym zakresie umorzył postępowanie.

Stan faktyczny dotyczył sytuacji, w której Bank uzyskał od Klienta informacje dotyczącego zainteresowania Skarżącego produktem oferowanym przez PDM, Bank przekazał dane Skarżącego do tego podmiotu w zakresie niezbędnym do skorzystania z oferty i umożliwiającym nawiązanie kontaktu ze Skarżącym w postaci: imienia, nazwiska, numeru telefonu, adresu poczty elektronicznej.

Dalszą bezpośrednią korespondencję z PDM Skarżący prowadził osobiście. Bank wskazał, że przekazanie danych Skarżącego nastąpiło w oparciu o art. 23 ust. 1 pkt 3 – obowiązującej w chwili przedmiotowego przekazania – ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), dalej zwanej ustawą z 1997 r. Bank zaprzeczył, by działał wbrew woli Skarżącego i wskazał, że Skarżący po otrzymaniu korespondencji z PDM, postępował zgodnie z instrukcjami PDM, w tym dokonał wpłaty kwoty, za którą zadeklarował nabycie obligacji, na wskazany przez oferenta numer rachunku bankowego. O zakończonej transakcji PDM bezpośrednio poinformował Skarżącego przydziałem obligacji.

Podmiotowi, który “obracał” instrumentami finansowymi Prezes Komisji Nadzoru Finansowej cofnął zezwolenie na prowadzenie działalności maklerskiej, co spowodowało zdaniem Prezesa UODO:

tym samym odpadła przesłanka określona w art. 6 ust. 1 lit. b RODO, która legalizowała kwestionowany przez Skarżącego proces przetwarzania jego danych osobowych przez PDM w celu zawarcia i wykonania umowy nabycia obligacji oferowanych przez PDM. Ponadto, pomimo wezwań kierowanych przez organ do PDM w toku niniejszego postępowania, podmiot ten nie wykazał istnienia jakiejkolwiek innej podstawy prawnej, która stanowiłaby obecnie o legalności procesu przetwarzania danych osobowych Skarżącego. Ponownie organ wskazał, że obowiązkiem administratora, w myśl określonej w art. 5 ust. 2 RODO zasady rozliczalności jest wykazanie, że prowadząc procesy przetwarzania danych osobowych przestrzega zasad określonych w art. 5 ust. 1, w tym, że przetwarzanie danych osobowych odbywa się w sposób zgodny z prawem.

Wojewódzki Sąd Administracyjny w uzasadnieniu orzeczenia wskazał, że w przypadku pierwszej kwestii dotyczącej umorzenia postępowania:

przeprowadzona przez Sąd, w granicach tak określonej kognicji, kontrola legalności zaskarżonej decyzji w części wskazanej w pkt 2 jej sentencji, wykazała, że została ona wydana bez naruszenia przepisów prawa procesowego i materialnego w stopniu uzasadniającym jej uchylenie, o co wnosił Skarżący w skardze.

tytułem wyjaśnienia Sąd wskazuje, że Skarżący skargą objął jedynie tę część decyzji Prezesa UODO, którą organ umorzył postępowanie w zakresie zarzutu udostępnienia przez Bank danych osobowych Skarżącego bez podstawy prawnej na rzecz PDM.

odnosząc się do powyższego, niejako ubocznie, w związku z zakresem zaskarżenia określonym przez Skarżącego w skardze, Sąd wskazuje, że do powyżej określonego procesu zastosowanie znajdują obecnie przepisy obowiązujące w czasie wydawania rozstrzygnięcia niniejszej sprawy, tj. rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

opisane w treści skargi zdarzenie, polegające na udostępnieniu przez Bank danych Skarżącego na rzecz PDM, nie może być rozpatrywane w toku postępowania administracyjnego zmierzającego do wydania decyzji w oparciu o przepisy RODO.

Kwestionowany przez Skarżącego proces przetwarzania danych osobowych przez Bank rozpoczął się i zakończył przed 25 maja 2018 r., na co wskazują ustalenia poczynione przez organ, a przywołane w części historycznej niniejszego uzasadnienia. Przepis art. 99 ust. 1 RODO wprost wskazuje, że niniejsze rozporządzenie ma zastosowanie od dnia 25 maja 2018 r. W związku z tym, przepisy RODO mają zastosowanie wyłącznie w sprawach, w których skargę wniesiono od 25 maja 2018 r. i w tej dacie kwestionowany proces przetwarzania danych osobowych trwał.

Kwestia ta została podsumowana:

Z uwagi na fakt, że kwestionowane w skardze zdarzenie miało miejsce i zakończyło się w czasie, gdy obowiązywały przepisy ustawy z 1997 r., a postępowanie administracyjne przed organem nadzorczym zostało zainicjowane w czasie, gdy zaczęły obowiązywać przepisy ustawy z dnia 10 maja 2018 r., do rozstrzygnięcia przedmiotowej sprawy nie mogły również zostać zastosowane przepisy ustawy z 1997 r.

Tym samym Prezes UODO nie miał możliwości prowadzenia postępowania administracyjnego w oparciu o przepisy ustawy z 1997 r., gdyż postępowanie w przedmiotowej sprawie zostało wszczęte po dniu wejścia w życie ustawy z dnia 10 maja 2018 r. Nie istniały również podstawy do skorzystania przez Prezesa UODO z uprawnień przewidzianych w uchylonej ustawie z 1997 r. w tym do oceny zgodności zachowania administratora z ww. przepisami w przypadku, gdy skarżony proces przetwarzania nie był kontynuowany po 25 maja 2018 r. Organ nie mógł również dokonać oceny zgodności kwestionowanych w skardze działań administratora z RODO, ponieważ zdarzenie będące przedmiotem skargi ma charakter zakończony i nie było kontynuowane po 25 maja 2018 r. Ponadto brak jest obecnie przepisów kompetencyjnych uprawniających organ do prowadzenia postępowania w przedmiocie oceny zgodności działania administratora z przepisami ustawy z 1997 r.

W zakresie drugiej kwestii tj. mocy dowodowej oświadczeń administratora składanej w odpowiedzi na żądanie organu nadzorczego Sąd wskazał:

Oświadczenia stron postępowania stanowią dowód równoprawny innym dowodom.

Dowód taki podlega zatem swobodnej ocenie organu prowadzącego postępowanie administracyjne (por. wyrok WSA w Warszawie z dnia 26 września 2019 r., sygn. akt II SA/Wa 850/19). W związku z powyższym, sposób działania organu był zdeterminowany spoczywającym na nim, na mocy art. 77 § 1 Kpa., obowiązkiem wyczerpującego zebrania oraz rozpatrzenia całego materiału dowodowego.

Zdaniem Sądu wydanie decyzji przez Prezesa UODO zostało poprzedzone dokładnym zbadaniem okoliczności faktycznych sprawy oraz zebraniem niezbędnego i wystarczającego materiału dowodowego. Prezes UODO prowadząc postępowanie w tej sprawie podjął niezbędne i wystarczające działania, konieczne dla wyjaśnienia stanu faktycznego sprawy. Ponadto na podstawie art. 10 Kpa. organ zapewnił stronom czynny udział w każdym stadium postępowania, a przed wydaniem decyzji umożliwił im wypowiedzenie się co do zebranych dowodów i materiałów oraz zgłoszonych żądań.

I tak jak wskazałem – na marginesie warto pokazać wniosek o wystąpienie przez Sąd z pytaniem prejudycjalnym:

Skarżący uznał, że w związku z powyższym na podstawie art. 267 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) zasadne wydaje się zwrócenie z pytaniem prejudycjalnym do TSUE w celu uzyskania odpowiedzi czy wydane przez organ administracji publicznej decyzje o umorzeniu postępowań bądź odmowie ich wszczęcia poprzez wskazanie, że w oparciu o art. 99 RODO, nie istnieje organ posiadający kompetencje do rozstrzygania spraw, które miały miejsce przed wejściem w życie ustawy RODO (tj. przed 25 maja 2018 roku), a co do których skargi w zakresie naruszeń ochrony danych osobowych zostały wniesione po dacie 25 maja 2018 roku, są zgodne z art. 16 ust. 1 TFUE oraz art. 8 ust. 1 Karty Praw Podstawowych, a jeżeli takie rozstrzygnięcie byłoby uznane za nieprawidłowe, to w oparciu o jakie przepisy (obowiązujące w chwili naruszenia przepisów o ochronie danych osobowych czy też aktualnie obowiązujące) powinny być stosowane.