Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący: Sędzia WSA Eugeniusz Wasilewski Sędzia WSA Ewa Grochowska - Jung (spr.) Sędzia WSA Ewa Pisula - Dąbrowska Protokolant ref. staż. Eliza Kusy po rozpoznaniu na rozprawie w dniu 1 grudnia 2010 r. sprawy ze skargi T. W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] czerwca 2010 r. nr [...] w przedmiocie ochrony danych osobowych 1. uchyla zaskarżoną decyzję oraz poprzedzającą ją decyzję z dnia [...] maja 2008 r. 2. zaskarżona decyzja nie podlega wykonaniu w całości. 3. Przyznaje ze środków budżetowych Wojewódzkiego Sądu Administracyjnego w Warszawie na rzecz adwokata K. C. kwotę 240 (dwieście czterdzieści) złotych powiększoną o kwotę 52,80 (pięćdziesiąt dwa złote 80/100) stanowiącą 22% podatku VAT tytułem nieopłaconej pomocy prawnej przyznanej z urzędu.

Generalny Inspektor Ochrony Danych Osobowych, działając na podstawie art. 138 § 1 pkt 2 kpa oraz art. 12 pkt 2 i art. 22 i art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), decyzją z dnia [...] czerwca 2010 r. nr [...], po przeprowadzeniu postępowania administracyjnego w sprawie skargi T. W. dotyczącej przetwarzania jego danych osobowych przez N. Sp. z o.o. z siedzibą w W., uchylił swoją wcześniejszą decyzję z dnia [...] maja 2008 r. nr [...] i odmówił uwzględnienia wniosku.

W uzasadnieniu organ wskazał na następujący stan faktyczny. T. W. zwrócił się w dniu [...] stycznia 2008 r. do Generalnego Inspektora Ochrony Danych Osobowych ze skargą w sprawie przetwarzania jego danych osobowych przez N. Sp. z o.o. z siedzibą w W., właściciela strony internetowej [...]. Skarżący poinformował, iż na stronie internetowej [...] zamieszczono zdjęcie klasowe, na którym on się znajduje. Pod zdjęciem wymieniono imiona i nazwiska znajdujących się na nim osób (również skarżącego), w sposób pozwalający na ustalenie wizerunku skarżącego na powyższej fotografii. W związku z powyższym skarżący kilkakrotnie zwracał się do portalu [...] z żądaniem usunięcia podpisu pod zdjęciem. Spotkał się jednak z brakiem reakcji ze strony ww. podmiotu. W wyniku przeprowadzonego postępowania Generalny Inspektor Ochrony Danych Osobowych ustalił, iż w dniu [...] grudnia 2007 r. zarejestrowany użytkownik ww. portalu opublikował tam zdjęcie klasowe uczniów [...]. Następnie inny zarejestrowany użytkownik, tego samego dnia, umieścił pod ww. fotografią imiona i nazwiska części osób znajdujących się tam - w tym dane skarżącego. Skarżący bezskutecznie żądał w dniu [...] stycznia 2008 r. od N. Sp. z o.o. usunięcia jego danych osobowych. Organ, powołując się na treść przepisów ustawy o ochronie danych osobowych, stwierdził, iż informacje o imieniu i nazwisku skarżącego oraz szkole i klasie, do której uczęszczał w połączeniu z jego wizerunkiem są danymi osobowymi, zaś administratorem tych danych jest N. Sp. z o.o. Należy jednak mieć na uwadze, iż podmiot ten na podstawie ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204 z późn. zm.) świadczy na rzecz zarejestrowanych użytkowników portalu usługę drogą elektroniczną, polegającą na przechowywaniu danych tychże użytkowników w systemie teleinformatycznym. Ta działalność Spółki stanowi przesłankę legalizującą przetwarzania danych osobowych, zgodnie z art. 23 ust. 1 pkt 5 ustawy. Ponadto organ stwierdził, iż w niniejszej sprawie nie zostały naruszone prawa skarżącego, ponieważ dostęp do jego danych jest ograniczony do grupy osób zarejestrowanych na powyższym portalu.

W dniu [...] czerwca 2008 r. T. W. wniósł o ponowne rozpatrzenie sprawy. W uzasadnieniu skarżący wskazał, iż uzasadnienie decyzji I instancji zawiera wiele sprzeczności, nieścisłości i jest niejednoznaczne. Zarzucił organowi pobieżne i lakoniczne potraktowanie jego sprawy. Ponownie podkreślił, iż jego dane osobowe zostały opublikowane na portalu [...] bez jego wiedzy i zgody, co narusza jego prawa i wolności obywatelskie.

Po rozpoznaniu powyższego wniosku Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] września 2008 r. nr [...] uchylił zaskarżoną decyzję z dnia [...] maja 2008 r. oraz umorzył postępowanie. W uzasadnieniu organ wskazał, iż ponowna analiza sprawy prowadzi do wniosku, że kwestionowane informacje o skarżącym nie mieszczą się w definicji danych osobowych. Należy bowiem wziąć pod uwagę, iż imię i nazwisko skarżącego zostało podane pod jego wizerunkiem sprzed wielu lat. Stąd też samo zestawienie zdjęcia z dalekiej przeszłości wraz z imieniem i nazwiskiem określonej osoby oraz szkoły podstawowej, do której uczęszczała nie pozwala na identyfikację tej osoby bez nadmiernych kosztów i czasu.

Powyższa decyzja stała się przedmiotem skargi T. W. do Wojewódzkiego Sądu Administracyjnego w Warszawie, który wyrokiem z dnia 3 marca 2009 r. sygn. akt II SA/Wa 1495/08 uchylił zaskarżona decyzję. W uzasadnieniu Sąd wskazał, iż dane osobowe, w myśl art. 6 ust. 2 ustawy o dostępie do informacji publicznej, to nie tylko wiadomości dotyczące aktualnej sytuacji osoby fizycznej, ale także informacje odnoszące się do tego, co robiła i kim była w przeszłości. Oznacza to, że również takie dane podlegają ochronie przewidzianej w ustawie o ochronie danych osobowych. Stąd też ujawnione na portalu internetowym [...] informacje o skarżącym są danymi osobowymi, podlegającymi ochronie z ustawy z dnia 29 sierpnia 1997 r., bowiem na ich podstawie można zidentyfikować osobę. Naczelny Sąd Administracyjny, po rozpatrzeniu skargi kasacyjnej Spółki N. Sp. z o.o. z siedzibą w W, wyrokiem z dnia 18 listopada 2009 r. sygn. akt I OSK 667/09, utrzymał w mocy wyrok Sądu I instancji.

Biorąc powyższe wytyczne Sądów pod uwagę Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] czerwca 2010 r. nr [...], uchylił swoją wcześniejszą decyzję z dnia [...] maja 2008 r. nr [...] i odmówił uwzględnienia wniosku. W uzasadnieniu organ wskazał, iż dane osobowe skarżącego w zakresie utrwalonym na fotografii publikowanej na stronie [...] oraz podpisie do niej nie są aktualnie podawane przez Spółkę do publicznej wiadomości, ponieważ zostały one usunięte z podanego adresu i nie podlegają upublicznieniu. Jednak organ zaznaczył, iż Spółka nadal przetwarza te dane w celach dowodowych, ponieważ zachowała je na serwerze oraz w pamięci systemu. W ocenie organu, spółka jako administrator powyższych danych przetwarza je obecnie na podstawie art. 23 ust 1 pkt 5 ustawy o ochronie danych osobowych, tj. przetwarzanie danych skarżącego jest dopuszczalne ponieważ jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Dalej organ stwierdził, iż zgłoszone przez skarżącego w stosunku do spółki zastrzeżenia odnośnie legalności przetwarzania jego danych i zapowiedzi skierowania sprawy na drogę sądową uprawniały spółkę do utrwalenia tych danych i zachowania ich dla celów dowodowych na wypadek dochodzenia przez skarżącego ewentualnych roszczeń. Ponadto organ podał, iż usprawiedliwionym powodem przetwarzania danych osobowych skarżącego jest możliwość ustalenia odpowiedzialności usługobiorcy za naruszenie regulaminu usługodawcy. Wyjaśnił, że skoro, jak twierdzi skarżący, jego dane osobowe zostały umieszczone na portalu przez osobę trzecią (usługobiorcę portalu), która w ten sposób naruszyła regulamin usługodawcy, to Spółka zachowując te dane, będzie mogła na podstawie art. 21 ust 1 ustawy o świadczeniu usług drogą elektroniczną określić odpowiedzialność usługobiorcy. Stąd też biorąc pod uwagę fakt, iż dane skarżącego są przetwarzane przez spółkę w celach dowodowych i archiwalnych, zdaniem organu bezzasadnym byłoby uwzględnienie żądania skarżącego.

W skardze na powyższą decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie T. W. zarzucił organowi, iż jego rozstrzygnięcie jest sprzeczne z wyrokiem Wojewódzkiego i Naczelnego Sądu Administracyjnego. W piśmie uzupełniającym skargę skarżący zarzucił organowi naruszenie prawa procesowego oraz prawa materialnego, poprzez uznanie, iż zgromadzone na portalu dane skarżącego nie są danymi objętymi ochroną na podstawie ustawy o ochronie danych osobowych.

W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując stanowisko przedstawione w zaskarżonej decyzji.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Zgodnie z treścią art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.) sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.

Skarga T. W. analizowana pod tym kątem zasługuje na uwzględnienie.

Istota sporu w niniejszej sprawie sprowadza się do ustalenia, czy administrator portalu [...] jest administratorem danych osobowych T. W., a w związku z tym, czy jest uprawniony do przetwarzania jego danych na podstawie art. 23 ust 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (DZ. U. z 2002 r. Nr 101, poz. 926 ze zm.).

Na wstępnie rozważań należy wyjaśnić kim jest administrator danych osobowych. Stosownie do definicji zawartej w art. 7 ust 4 w zw. z art. 3 cytowanej ustawy administratorem danych jest organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych. Powołany przepis w swej treści posługuje się pojęciem "przetwarzania danych osobowych", a zatem konieczne jest także odwołanie się do ustawowej definicji tego pojęcia, gdyż "cele" i "środki" należy odnosić do procesu przetwarzania danych osobowych. Zgodnie z art. 7 pkt 2 ustawy o ochronie danych osobowych przez przetwarzanie danych - rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Rozpatrując niniejszą sprawę z tego punku widzenia należy wskazać, iż N. Sp. z o.o. z siedzibą w W., właściciel strony internetowej [...] jest administratorem danych osobowych T. W., ponieważ przetwarza je, poprzez przechowywanie.

Należy jednak pamiętać, iż ochrona danych osobowych polega przede wszystkim na określeniu kiedy dozwolone, a kiedy zabronione jest ich przetwarzanie. Omawiana ustawa wskazuje zasady przetwarzania danych osobowych (rozdz. 3 ustawy). W art. 23 § 1 ustawy zostały wymienione przesłanki legalizujące przetwarzanie danych osobowych. Zgodnie z jego treścią tego przepisu:

Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,

2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,

3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,

4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,

5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

W niniejszej sprawie organ wskazał, iż Spółka przetwarza dane osobowe skarżącego na podstawie art. 23 ust 1 pkt 5 cytowanej powyżej ustawy, stąd też przesłanka ta wymaga bliższej analizy.

Powyższa przesłanka legalizacyjna przetwarzanie danych osobowych wprowadza klauzule o charakterze ogólnym, w ramach której ustawodawca dla przyjęcia, że przetwarzanie danych osobowych bez zgody osoby, której dane dotyczą jest dopuszczalne w przypadku zaistnienia łącznie następujących okoliczności:

a) przetwarzanie jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów administratora danych lub odbiorcy danych,

b) przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą (por. P. Barta, P. Litwiński Ustawa o ochronie danych osobowych. Komentarz, Wydawnictwo C.H. BECK, Warszawa 2009 r., str. 228 i nast.)

Termin "prawnie usprawiedliwione cele" jest pojęciem niedookreślonym, które daje administratorowi pewien luz decyzyjny, a z drugiej strony nakłada nań obowiązek i ryzyko oceny czy jego działalność jest prawnie dopuszczalna. Natomiast Generalny Inspektor Ochrony Danych Osobowych oceniając występowanie tej podstawy legalizacyjnej obowiązany jest kierować się oceną indywidualną konkretnej sytuacji, a także pewnymi zasadami nie skonkretyzowanymi przepisami prawa (tamże). Ponadto w literaturze podnosi się, iż ocenie powinien podlegać cel, który administrator zamierza osiągnąć – czy jest usprawiedliwiony, tj. czy znajduje swoje gospodarcze i prawne uzasadnienie. Ponadto ustawodawca w ust. 4 art. 23 ustawy wskazuje, że za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności:

1) marketing bezpośredni własnych produktów lub usług administratora danych,

2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

Z kolei mówiąc o naruszeniu praw i wolności obywatelskich należy odnieść się do katalogu tych praw i wolności szeroko uwzględnionych w Konstytucji RP.

Kończąc analizę przesłanki art. 23 ust 1 pkt 5 ustawy należy wskazać, iż sprowadza się ona do wyważenia interesów administratora danych i osoby, której dane dotyczą, związanych z jednej strony z realizacją prawnie usprawiedliwionych celów administratora, z drugiej natomiast z ochroną prywatności osoby, której dane dotyczą.

W niniejszej sprawie, organ podniósł, iż skarżący kierował pod adresem spółki zastrzeżenia odnośnie legalności przetwarzania jego danych i zapowiedzi skierowania sprawy na drogę sądową. Stąd też spółka uprawniona była do utrwalenia danych skarżącego i zachowania ich dla celów dowodowych na wypadek dochodzenia przez skarżącego ewentualnych roszczeń. Zdaniem Sądu, powyższe okoliczności nie wypełniają przesłanki prawnie usprawiedliwionych celów przetwarzania danych skarżącego. Należy bowiem zwrócić uwagę, iż przesłanka z art. 23 ust 1 pkt 5 ustawy dotyczy sytuacji już istniejącej i pewnej, a więc przypadku, gdy istnieje potrzeba udowodnienia, potrzeba dochodzenia roszczenia z tytułu prowadzonej działalności gospodarczej, nie zaś sytuacji, gdy dane są przetwarzane na wypadek ewentualnego procesu i ewentualnej potrzeby udowodnienia, iż dane osobowe pozyskane bez zgody osoby, której dotyczą są przetwarzane zgodnie z prawem. Należy również podkreślić, iż skarżący jedynie zapowiedział i nie zrealizował swoich zapowiedzi odnośnie skierowania sprawy na drogę sądową. Stąd też spółka, zdaniem Sądu, nie może przetwarzać danych osobowych skarżącego tylko w celu zabezpieczenia się przed ewentualnym przyszłym i niepewnym roszczeniem skarżącego. W przeciwnym bowiem razie może pojawić się wątpliwość jak długo należy przetwarzać dane osobowe skarżącego jeżeli nie zrealizuje on swoich zapowiedzi.

Ponadto okoliczność, w jakich spółka weszła w posiadanie danych osobowych skarżącego jest niesporna między stronami. Stąd też, zdaniem Sądu, nie istnieje dodatkowa potrzeba udowadniana tego faktu, tym bardziej, iż spór dotyczy usunięcia tych danych, które spółka pozyskała bez zgody skarżącego.

Powyższe okoliczności uprawniają też do stwierdzenia, iż w niniejszej sprawie doszło do naruszenia prawa do prywatności skarżącego. Co prawda jest to przesłanka wymagająca każdorazowego udowodnienia przez stronę, której dane dotyczą, jednak organ również jest zobowiązany, co wskazano powyżej, kierować się oceną indywidualną konkretnej sytuacji, a także pewnymi zasadami nie skonkretyzowanymi przepisami prawa. W niniejszej sprawie dane osobowe skarżącego zostały udostępnione bez jego zgody, a jego wyraźny sprzeciw spowodował dalsze nielegalne przetwarzanie tych danych. Na portalu zaczęły bowiem pojawiać się – na co wskazał pełnomocnik skarżącego, dalsze niekorzystne dla skarżącego opinie i wypowiedzi. Tymczasem organ w ogóle nie wziął pod uwagę powyższych okoliczności wskazując jedynie, że skoro pierwotna skarga, na podstawie której zostało wszczęte postępowanie przed organem, dotyczyła umieszczenia jednego zdjęcia z wizerunkiem skarżącego i podpisu pod tym zdjęciem, to organ w postępowaniu może ograniczyć się jedynie do tej okoliczności. Powyższe działanie organu nie wypełnia obowiązku dokładnego zbadania całokształtu sprawy i dokładnego wyjaśnienia okoliczności sprawy.

Odnosząc się natomiast do twierdzenia organu, iż dane skarżącego spółka przechowuje dla celów wskazanych w art. 21 ust 1 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204), tj. dla określenia odpowiedzialność usługobiorcy, należy wskazać, iż również w tym wypadku zdaniem Sądu nie zachodzą przesłanki usprawiedliwiające przetwarzanie danych osobowych skarżącego. Zgodnie z art. 21 ust 1 cytowanej ustawy w przypadku uzyskania przez usługodawcę wiadomości o korzystaniu przez usługobiorcę z usługi świadczonej drogą elektroniczną niezgodnie z regulaminem lub z obowiązującymi przepisami (niedozwolone korzystanie), usługodawca może przetwarzać dane osobowe usługobiorcy w zakresie niezbędnym do ustalenia odpowiedzialności usługobiorcy, pod warunkiem, że utrwali dla celów dowodowych fakt uzyskania oraz treść tych wiadomości. Powyższe uregulowane wyraźnie określa krąg podmiotów, który dotyczy – usługodawcę i usługobiorcę. Tymczasem skarżący w tym kręgu się nie mieści, nie jest bowiem usługobiorcą spółki, przeciwnie jego dane osobowe znalazły się na portalu wbrew jego woli i wiedzy. Z tego powodu powyższe uregulowanie nie może mieć zastosowania do przetwarzania danych skarżącego. Zdaniem Sądu nie można też przyjąć, iż dane osobowe skarżącego z uwagi na treść wskazanego powyżej przepisu są przechowywane jako "dowód naruszenia regulaminu przez usługobiorcę". Dla powyższego celu – w ocenie Sądu, wystarczający jest sam fakt zamieszczenia danych osoby bez jej zgody i wiedzy np. z opisaniem okoliczności zdarzenia, daty i miejsca, bez przechowywania samych danych osobowych.

Reasumując, przytoczone okoliczności świadczą o zaniedbaniu organu w ustaleniu rzeczywistego stanu faktycznego w sprawie. Stąd też ponownie rozpoznając sprawę organ uwzględni rozważania Sądu w zakresie przetwarzania danych osobowych skarżącego przez Spółkę.

Z tych względów Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit. c w związku z art. 152 ustawy z 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 z późn. zm.), orzekł jak w sentencji.