Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Iwona Maciejuk, Sędzia WSA Andrzej Góraj (spr.), Asesor WSA Joanna Kruszewska-Grońska, po rozpoznaniu na posiedzeniu niejawnym w dniu 18 grudnia 2020 r. sprawy ze skargi [...] sp. z o. o. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] marca 2020 r. nr [...] w przedmiocie umorzenia postępowania oddala skargę

UZASADNIENIA

Do Urzędu Ochrony Danych Osobowych w dniu 18 września 2018 r. wpłynęła skarga [...] Sp. z o.o. z siedzibą w [...] (dalej jako: "Spółka" lub "skarżąca") o nakazanie [...] Sp. z o.o. z siedzibą w [...] udostępnienia danych osobowych w zakresie imienia, nazwiska, adresu IP komputera osoby, która w dniu [...] grudnia 2017 r. o godz. 22:04 wysłała z adresu poczty elektronicznej [...] wiadomość na adres [...].

W treści skargi skarżąca wskazała, że w dniu [...] grudnia 2017 r. osoba, której udostępnienia danych osobowych żąda, zawiadomiła drogą elektroniczną Wojewódzką Stację Sanitarno-Epidemiologiczną w [...] o tym, że skarżąca produkuje szkodliwe produkty kosmetyczne i lecznicze. Skarżąca wskazała, że ww. zawiadomienie narusza jej dobre imię, wiarygodność oraz reputację. Skarżąca podniosła, że udostępnienie danych osobowych jest niezbędne w celu prowadzenia postępowania sądowego. W dniu 29 czerwca 2018 r. skarżąca bezskutecznie zażądała od skarżonej udostępnienia przedmiotowych danych osobowych.

Prezes Urzędu Ochrony Danych Osobowych decyzją z dnia [...] marca 2020 r. nr [...] działając na podstawie art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256) oraz art. 58 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianą ogłoszoną w Dz. Urz, UE L 127 z 23,05,2018, str. 2) w zw. z art. 7 ust. 1 ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku (Dz. U. z 2019 r. poz. 1781), po przeprowadzeniu postępowania administracyjnego w sprawie skargi [...] Sp. z o. o. z siedzibą w [...], umorzył postępowanie.

Organ w uzasadnieniu decyzji wskazał, że przepis art. 58 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i

w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej także jako: "ogólne rozporządzenie o ochronie danych" (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianą ogłoszoną w Dz. Urz. UE L 127 z 23.05.2018, str. 2), dalej jako: "rozporządzenie 2016/679", określa uprawnienia organu nadzorczego. Przepisy art. 58 ust. 1, 2 i 3 rozporządzenia 2016/679 wyliczają uprawnienia przysługujące każdemu organowi nadzorczemu - uprawnienia do prowadzenia postępowań, uprawnienia naprawcze i do nakładania kar, uprawnienia do udzielania zezwoleń i uprawnienia doradcze oraz uprawnienia do zgłaszania naruszeń organom wymiaru sprawiedliwości oraz do udziału w postępowaniu sądowym. Prezes Urzędu Ochrony Danych Osobowych nie ma natomiast uprawnienia do nakazania administratorowi lub podmiotowi przetwarzającemu ujawnienia danych osobowych osobie trzeciej. Przepis art. 58 ust. 6 rozporządzenia 2016/679 stanowi bowiem, że każde państwo członkowskie może przewidzieć w swoich przepisach, że jego organowi nadzorczemu przysługują poza uprawnieniami określonymi w ust. 1, 2 i 3 także inne uprawnienia. Wykonywanie tych uprawnień nie może utrudniać skutecznego stosowania przepisów rozdziału VII.

Podał, że dla przedmiotowej sprawy organ nadzorczy nie znajduje takich przepisów - nie zostały one przewidziane w obecnym stanie prawnym. Zgodnie natomiast z art. 58 ust. 2 lit. c rozporządzenia 2016/679 Prezesowi UODO przysługuje uprawnienie naprawcze w postaci prawa do nakazania administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia. Tym żądaniem może być prawo dostępu do danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do przenoszenia danych oraz prawo do sprzeciwu i niepodleganiu decyzjom opartym na zautomatyzowanym przetwarzaniu. Powyższe przepisy ujmują prawa osób, których dane dotyczą, w sposób wyczerpujący. Żądanie udostępnienia danych osobowych osoby trzeciej także nie zostało ujęte wśród praw osób, których dane dotyczą.

Jednocześnie organ wskazał, że zgodnie z zasadą jednolitości prawa Unii Europejskiej oraz motywem 129 rozporządzenia 2016/679, aby zapewnić spójne monitorowanie i egzekwowanie niniejszego rozporządzenia w całej Unii, organy nadzorcze powinny mieć w każdym państwie członkowskim te same zadania i faktyczne uprawnienia, w tym uprawnienia do prowadzenia postępowań wyjaśniających, naprawcze, uprawnienia do nakładania kar oraz do udzielania zezwoleń i doradcze, w szczególności w przypadku skarg osób fizycznych, i - bez uszczerbku dla uprawnień organów prokuratorskich na mocy prawa państwa członkowskiego - uprawnienia do zgłaszania naruszeń niniejszego rozporządzenia organom wymiaru sprawiedliwości oraz do udziału w postępowaniu sądowym. Zasada jednolitości oznacza, że prawo unijne jest w całości i jednakowo stosowane we wszystkich państwach członkowskich. Jednolitość zapewnia taki sam sposób stosowania prawa unijnego na terenie całej Unii Europejskiej i stanowi realizację wymogu spójnego porządku prawnego. W oparciu o ww. zasadę organy nadzorcze innych państw Unii Europejskiej (hiszpański, rumuński, francuski, bułgarski, estoński, włoski i szwedzki) zgodnie przyjęły brak możliwości wydawania rozstrzygnięć nakazujących udostępnienie danych osobowych osób trzecich w oparciu o przepisy rozporządzenia 2016/679. Przed 25 maja 2018 r. polski organ nadzorczy uznawał się za kompetentny do wydawania ww. nakazów na podstawie art. 18 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.). Obecnie polska ustawa o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz. U. z 2019 r. poz. 1781) nie zawiera podobnych przepisów.

Prezes UODO podkreślił, że decydujące znaczenie dla rozstrzygnięcia, jakie musi być wydane w przedmiotowej sprawie, ma okoliczność, że Prezes UODO nie ma kompetencji umożliwiających nakazanie udostępnienia danych osobowych osoby trzeciej. W związku z tym postępowanie staje się bezprzedmiotowe. Zgodnie z art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 2020 r. poz. 256 - zwanej dalej "K.p.a."), gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe, organ administracji wydaje decyzję o umorzeniu postępowania. Przedmiot postępowania wiąże się ze stosowaniem przez organ publiczny przepisów materialnego prawa administracyjnego. Organ powołując się na doktrynę wskazał, że "bezprzedmiotowość postępowania administracyjnego, o której stanowi art. 105 § 1 k.p.a., oznacza, że brak jest któregoś z elementów materialnego stosunku prawnego, a wobec tego nie można wydać decyzji załatwiającej sprawę przez rozstrzygnięcie jej co do istoty. Przesłanka umorzenia postępowania może istnieć jeszcze przed wszczęciem postępowania, co zostanie ujawnione dopiero w toczącym się postępowaniu, a może ona powstać także w czasie trwania postępowania, a więc w sprawie już zawisłej przed organem administracyjnym.". Ustalenie przez organ publiczny zaistnienia przesłanki, o której mowa w art. 105 § 1 K.p.a., zobowiązuje go do umorzenia postępowania, nie ma bowiem w sytuacji zaistnienia tej przesłanki podstaw do rozstrzygnięcia sprawy co do istoty, a dalsze prowadzenie postępowania w takim przypadku stanowiłoby o jego wadliwości, mającej istotny wpływ na wynik sprawy. Bezprzedmiotowość postępowania może być także wynikiem zmiany stanu faktycznego sprawy.

Reasumując prezes UODO podkreślił, że postępowanie administracyjne prowadzone przez Prezesa Urzędu Ochrony Danych Osobowych służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej na podstawie art. 58 ust. 2 rozporządzenia 2016/679. W oparciu o obowiązujące przepisy o ochronie danych osobowych niemożliwym jest nakazanie udostępnienia na rzecz skarżącej danych osobowych osoby trzeciej.

Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] marca 2020 r. stała się przedmiotem skargi [...] Sp. z o.o. z siedzibą w [...], reprezentowanej przez pełnomocnika, do Wojewódzkiego Sądu Administracyjnego w Warszawie.

Spółka zaskarżonej decyzji zarzuciła:

- naruszenie prawa materialnego tj. przepisu art. 6 ust. 1 pkt f rozporządzenia Parlamentu Europejskiego i Rady UE nr 679/2016 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) w zw. z przepisem art. 58 ust. 1 pkt a rozporządzenia, poprzez pominięcie że na gruncie niniejszej sprawy skarżąca ma podstawy do uzyskania danych osobowych, o które zawnioskowała, zaś Prezes Urzędu Ochrony Danych Osobowych ma uprawnienie do nakazania Wojewódzkiej Stacji Sanitarno-Epidemiologicznej w [...] dostarczenia tych danych, jako "wszelkich informacji potrzebnych organowi nadzorczemu do realizacji swoich zadań"

- naruszenie prawa materialnego tj. przepisu art. 6 ust. 1 pkt f rozporządzenia Parlamentu Europejskiego i Rady UE nr 679/2016 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) w zw. z przepisem art. 58 ust. 2 pkt c rozporządzenia, poprzez błędne przyjęcie że Prezesowi Urzędu Ochrony Danych Osobowych nie przysługuje kompetencja umożliwiająca nakazanie udostępnienia na rzecz skarżącej danych osobowych osoby trzeciej.

Mając na uwadze powyższe zarzuty, Spółka wniosła o uchylenie w całości zaskarżonej decyzji.

Skarżąca w uzasadnieniu skargi wskazała, że wbrew temu co twierdzi organ administracyjny, istnieje podstawa do domagania się od organu żądania nakazania udostępnienia danych osobowych.

W ocenie Spółki organ administracji pominął przepis art. 6 ust. 1 pkt f rozporządzenia Parlamentu Europejskiego i Rady UE nr 679/2016 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zgodnie z którym "przetwarzanie (w tym udostępnianie) danych osobowych jest zgodne z prawem, gdy jest ono niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez osobę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych. Skarżąca bowiem ma podstawy do uzyskania danych w zakresie: imienia, nazwiska i adresu IP komputera użytkownika, który posłużył się adresem mailowym: [...]. W przedmiotowej sprawie podstawą taką jest ochrona prawa skarżącej, w tym szczególnie jej dobrego imienia, którego zamierza dochodzić przed sądem. Skoro przetwarzanie (w tym udostępnianie) informacji o osobie, która naruszyła dobra osobiste skarżącej jest niezbędne do realizacji celów wynikających z prawnie uzasadnionych interesów Spółki, zaś Prezes Urzędu Ochrony Danych Osobowych jest organem nadzorczym, a więc odpowiedzialnym za kontrolę przestrzegania przepisów o ochronie danych osobowych, to w myśl przepisu art. 58 ust. 1 pkt a rozporządzenia ma on uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu, dostarczenia wszelkich informacji potrzebnych organowi nadzorczemu do realizacji swoich zadań. Zdaniem skarżącej, na gruncie niniejszej sprawy dane w zakresie imienia, nazwiska i adresu IP komputera osoby, która w dniu [...] grudnia 2017 r. wysłała z adresu mailowego: [...] wiadomość na adres: [...] stanowią tą niezbędną "informacją". Skarżąca w piśmie z dnia 10 września 2018 r. uzasadniła bowiem swój wniosek zamiarem wystąpienia przeciwko autorowi tego wpisu na drogę sądową i niezbędnością żądanych danych z punktu widzenia możliwości dochodzenia wobec tej osoby roszczeń na drodze sądowej z zakresu ochrony dóbr osobistych (jak również możliwość wystąpienia z aktem oskarżenia o zniesławienie).

Prezes Urzędu Ochrony Danych Osobowych w odpowiedzi na skargę wniósł o jej oddalenie, podtrzymując argumentację zawartą w zaskarżonej decyzji. Organ podał, że pewne kompetencje, które przysługiwały polskiemu organowi nadzorczemu przed dniem 25 maja 2018 r., już mu nie przysługują. Dotyczy to również kompetencji do nakazywania udostępnienia danych osobowych osób trzecich, która wynikała wprost z art 18 ust. 1 pkt 2 ustawy z 1997 r., a obecnie nie znajduje odzwierciedlenia w przepisach rozporządzenia 2016/679. Przepis art. 58 rozporządzenia 2016/679 bowiem nie wskazuje, aby taka kompetencja była we właściwości Prezesa UODO. Normy kompetencyjnej nie można zaś domniemywać.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Zgodnie z treścią przepisu art.1 par. 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. z 2019 r., poz. 2167 z późn. zm.) Sąd Administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem skarżonej decyzji administracyjnej. Jest więc to kontrola legalności rozstrzygnięcia zapadłego w postępowaniu administracyjnym, z punktu widzenia jego zgodności z prawem materialnym i procesowym. Oceniając przedmiotową decyzję według powyższych kryteriów, uznać należy, iż nie narusza ona prawa.

Istota sprawy w niniejszym postępowaniu sprowadzała się do oceny tego, czy przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (...) lub przepisy ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) przyznają Prezesowi Urzędu Ochrony Danych Osobowych uprawnienie, do zobowiązywania administratora danych osobowych, do udostępniania będących w jego posiadaniu danych osobowych osobie trzeciej, na potrzeby ewentualnego wytoczenia przez ową osobę trzecią powództwa cywilnego o ochronę dóbr osobistych.

W ocenie tut. Sądu odpowiedź na tak postawione pytanie może być wyłącznie negatywna.

Przede wszystkim należy mieć na względzie to, iż zgodnie z Konstytucyjną zasadą legalizmu, w oparciu o którą muszą działać wszystkie podmioty publiczne, Prezes UODO będąc podmiotem publicznym może podejmować wyłącznie takie działania, które znajdują swoje źródło w przepisach obowiązującego prawa.

Aby więc Prezes UODO mógł podjąć określone działania, musi mieć do tego stosowne umocowanie ustawowe. Stąd, jeśli do organu wpłynie wniosek o wszczęcie postępowania, do których to działań brak jest podstawy prawnej, to adresat takiego wniosku winien odmówić wszczęcia takiego postępowania, a jeśli już je podjął, to winien je umorzyć.

Przechodząc do analizy przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (...) wskazać należało, iż co do zasady uprawnienia proceduralne i materialne rozporządzenie to przyznaje wyłącznie osobom, których danych osobowych dotyczy ochrona. Osobami tymi są więc te, których dane osobowe są chronione przez powyższy akt prawny, a nie jakiekolwiek inne osoby trzecie.

Z przepisów RODO nie wynikają żadne uprawnienia osobom trzecim, czyli innym niż te, których danych osobowych dotyczy ochrona. W szczególności art. 15 RODO przyznaje prawo dostępu do danych osobowych wyłącznie tej osobie, której danych dotyczą. Takie ukształtowanie omawianych przepisów pozostaje w zgodzie z art. 8 ust. 1 Karty Praw Podstawowych Unii Europejskiej, oraz z art.16 ust.1 Traktatu o funkcjonowaniu Unii Europejskiej. Ochrona danych osobowych stanowi bowiem jedno z podstawowych praw.

Stąd uprawniona jest konkluzja, że z punktu widzenia gwarancyjnego, jedynym celem RODO jest zawarowanie osobie fizycznej odpowiedniej ochrony jej danych osobowych a nie przyznawanie uprawnień informacyjnych innym podmiotom.

W szczególności przepisy RODO nie dają uprawnień informacyjnych podmiotom, które zamierzają wytaczać powództwa osobom fizycznym, których dane osobowe objęte są ochroną. Mało tego, przepisy analizowanej regulacji nie dają takich uprawnień także organowi nadzoru. Prezes UODO nie może więc żądać od administratora danych osobowych ich ujawnienia osobie trzeciej, na potrzeby ewentualnego postępowania sądowego.

Wbrew twierdzeniom strony skarżącej takiego uprawnienia nie sposób też wywieść z art. 6 ust.1 pkt. f RODO. Ten przepis stanowiłby dla skarżącego podstawę prawną do przetwarzania konkretnych danych osobowych w sytuacji, gdyby skarżący był już w posiadaniu tych danych. Powyższa norma nie daje jednak skarżącemu uprawnienia do pozyskania takich danych osobowych bezpośrednio, czy też za pośrednictwem Prezesa UODO.

Uprawnienie o jakim mówi skarżący nie wynika nadto z treści art. 58 ust. 1 pkt. a RODO. Ten przepis dotyczy wyłącznie zakresu zadań organu nadzorczego. Nie precyzuje jednak tych zadań a w szczególności nie sposób z niego wywieść, by organ nadzorczy mógł zobowiązywać administratora danych do ich ujawniania osobom trzecim.

W ocenie tut. Sądu omawianego uprawnienia nie osób również skutecznie wyczytać z treści art.58 ust.2 pkt. c RODO. Analizowane rozporządzenie z 27 kwietnia 2016 r. zajmuje się przecież prawem do ochrony danych osobowych, a nie dóbr osobistych. Stąd użyte w w/w przepisie sformułowanie "osoby, której dane dotyczą" musi być rozumiane w ten sposób, że chodzi tu o osobę, której dane są przetwarzane, a nie o jakąkolwiek inną osobę trzecią. Prawodawca w przedmiotowym przepisie zajmował się przecież materią żądania osoby, wynikającego z praw przysługujących tej osobie na mocy RODO (czyli praw do ochrony danych osobowych a nie czci).

Na marginesie wyjaśnić także należało, iż uprawnienie jakiego dotyczyło żądanie wnioskodawcy, nie przysługiwało Prezesowi UODO także na podstawie przepisów ustawy z 10 maja 2018r. o ochronie danych osobowych (Dz. U. z 2019r. poz. 1781).

W świetle powyższego jako poprawne jawiły się konkluzje organu o bezprzedmiotowości niniejszego postępowania. Skoro bowiem przepisy prawa uniemożliwiały organowi merytoryczne rozpoznanie wniosku inicjującego postępowanie, to oczywistym i logicznym było, że organ nie mógł wydać decyzji zobowiązującej administratora danych osobowych do podjęcia działań żądanych przez wnioskodawcę.

Jedynym więc racjonalnym zachowaniem organu było wydanie decyzji umarzającej postępowanie w sprawie. Po stronie organu istniałby obowiązek prowadzenia merytorycznego postępowania tylko wtedy, gdyby stan faktyczny sprawy i stan prawny, umożliwiał mu podjęcie takich działań merytorycznych.

W tym stanie sprawy, nie podzielając argumentów zawartych w złożonej skardze, oraz uznając iż organ w sposób prawidłowy zebrał i ocenił materiał dowodowy, oraz iż przy wykonywaniu tych czynności nie naruszył przepisów prawa, Wojewódzki Sad Administracyjny w Warszawie orzekł jak w sentencji wyroku na podstawie art.151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r., poz. 2325 z późn. zm.).