Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Tamara Dziełakowska (sprawozdawca) Sędziowie: sędzia NSA Zbigniew Ślusarczyk sędzia del. WSA Tadeusz Kiełkowski Protokolant asystent sędziego Adam Płusa po rozpoznaniu w dniu 9 kwietnia 2026 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Prezesa Urzędu Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 22 marca 2023 r. sygn. akt II SA/Wa 1906/22 w sprawie ze skargi P. Sp. z o.o. z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 26 sierpnia 2022 r. nr DS.523.1197.2022.WP.MWY w przedmiocie przetwarzania danych osobowych 1. oddala skargę kasacyjną, 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz skarżącej P. Sp. z o.o. z siedzibą w W. kwotę 600 (sześćset) złotych tytułem zwrotu kosztów postępowania kasacyjnego.

Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z 22 marca 2023 r. (II SA/Wa 1906/22), po rozpoznaniu skargi A. Sp. z o.o. z siedzibą w W., na podstawie art. 145 § 1 pkt 1 lit. a i c ustawy z 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2023 r., poz. 259 ze zm.; dalej także: "p.p.s.a.") w pkt 1 uchylił zaskarżoną decyzję Prezesa Urzędu Ochrony Danych Osobowych z 26 sierpnia 2022 r. w przedmiocie przetwarzania danych osobowych, a w pkt 2 w oparciu o art. 200 i art. 205 § 2 p.p.s.a. zasądził od organu na rzecz skarżącej kwotę 697 zł tytułem zwrotu kosztów postępowania.

Orzeczenie to wydane zostało w następującym stanie faktycznym sprawy.

Wnioskiem z 12 października 2021 r. Komendant Straży Miejskiej w Sopocie, powołując się na przepisy art. 161 ust. 1 pkt 1 ustawy z 16 lipca 2004 r. Prawo telekomunikacyjne (Dz.U. z 2021 r., poz. 576 ze zm.; dalej także: "p.t.") w zw. z art. 10a ust. 1 pkt 1 oraz art. 12 ust. 1 pkt 5 ustawy z 29 sierpnia 1997 r. o strażach gminnych (Dz.U. z 2021 r., poz. 1763 ze zm.; dalej także: "s.g.") zwrócił się do spółki A. Sp. z o.o. o udostępnienie danych osobowych abonenta o podanym numerze telefonu w zakresie imienia i nazwiska oraz adresu zamieszkania/zameldowania, wskazując na możliwość popełnienia przez niego wykroczenia i prowadzone w tym przedmiocie czynności wyjaśniające.

W odpowiedzi na wniosek spółka odmówiła udostępnienia żądanych danych, podnosząc brak wykazania jednoznacznej podstawy prawnej zwalniającej ją z obowiązku zachowania tajemnicy telekomunikacyjnej, o której mowa w art. 159 ust. 1 pkt 1 p.t.

Kolejnym wnioskiem z 2 grudnia 2021 r. Komendant ponownie zwrócił się do A. Sp. z o.o. o udostępnienie danych abonenta, informując o prowadzonych czynnościach wyjaśniających w sprawie o wykroczenie i powołując się na art. 161 ust. 1 pkt 1 i art. 159 ust. 2 pkt 4 p.t., art. 10a ust. 1 pkt 1 oraz art. 12 ust. 1 pkt 5 s.g., art. 54 § 1 i art. 56 § 2 ustawy z 24 sierpnia 2001 r. Kodeks postępowania w sprawach o wykroczenia (Dz.U. z 2021 r., poz. 457 ze zm.; dalej także: "k.p.w."), art. 23 ust. 1 pkt 2 i 4 ustawy o ochronie danych osobowych.

Odpowiadając pismem z 17 grudnia 2021 r. spółka ponownie odmówiła przekazania wnioskowanych danych, podtrzymując wcześniejsze stanowisko.

W wyniku skargi Komendanta Straży Miejskiej w Sopocie, Prezes UODO decyzją z 26 sierpnia 2022 r. po przeprowadzeniu czynności wyjaśniających, na podstawie art. 104 § 1 ustawy z 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2021 r., poz. 735 ze zm.; dalej także: "k.p.a.") oraz art. 5 ust. 1 pkt 8, art. 8 ust. 2 pkt 2 w zw. z art. 12 i art. 13 ust. 1 ustawy z 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz.U. z 2019 r., poz. 125 ze zm.; dalej także: "ustawą lub "ustawą z 14 grudnia 2018 r.") oraz art. 161 ust. 2 p.t. nakazał spółce udostępnienie Komendantowi danych abonenta wskazanego numeru telefonu w zakresie imienia i nazwiska oraz adresu zamieszkania.

Uzasadniając swoją decyzję organ powołał się na brzmienie przepisów art. 159 ust. 2 pkt 4 i art. 161 ust. 1 p.t., które jego zdaniem uprawniają do udostępnienia danych objętych tajemnicą telekomunikacyjną, gdy stanowią tak przepisy odrębne do których organ zaliczył art. 161 ust. 2 p.t. (nakazujący stosowanie przepisów ustawy o ochronie danych osobowych w stosunku do użytkownika będącego osobą fizyczną w zakresie danych innych niż wskazane w art. 159 ust. 1 pkt 2-5 p.t.) w powiązaniu z art. 13 ust. 1 ustawy, który uprawnia do przetwarzania danych osobowych właściwe organy w zakresie niezbędnym dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Prezes przywołał również przepisy ustawy o strażach gminnych, wskazując na zadania jakie zostały im powierzone do realizacji wraz z opisem czynności podejmowanych w ich ramach, a wynikających z art. 10 ust. 1 i art. 12 ust. 1 pkt 5 s.g. Dodatkowo, jak wyjaśnił, strażom gminnym jako oskarżycielom publicznym (art. 17 k.p.w.), przysługuje prawo do prowadzenia czynności wyjaśniających, których celem jest ustalenie czy istnieją podstawy do wystąpienia z wnioskiem o ukaranie, w tym zebrania danych niezbędnych do sporządzenia takiego wniosku, jak imię i nazwisko czy adres obwinionego oraz inne dane niezbędne do ustalenia jego tożsamości (art. 57 § 2 pkt 1 k.p.w.). Przepisy s.g. wprost uprawniają straże gminne do przetwarzania danych osobowych w związku z realizacją powierzonych im zadań, zgodnie z art. 10a ust. 1 s.g., co potwierdza uprawnienie Komendantów tych formacji do zwracania się do operatorów telekomunikacyjnych o przekazanie niezbędnych danych. Straż miejska wykonuje zadania związane z ochroną porządku publicznego, a w tym celu konieczne jest ustalanie sprawców wykroczeń i kierowanie do sądu wniosków o ukaranie, stąd też organ straży gminnej legitymuje się podstawą prawną do uzyskania takich informacji na mocy art. 161 ust. 2 p.t. oraz art. 13 ust. 1 ustawy z 14 grudnia 2018 r.

Konkludując, Prezes UODO uznał za zasadne skorzystanie z dyspozycji art. 8 ust. 2 pkt 2 ustawy z 14 grudnia 2018 r., nakazując spółce przekazanie Komendantowi Straży Miejskiej w Sopocie określonych w decyzji informacji na temat abonenta.

Uchylając opisaną wyżej decyzję WSA stwierdził, że organ naruszył w stopniu mającym wpływ na wynik sprawy art. 8 ust. 2 pkt 2 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości poprzez jego błędne zastosowanie, gdyż – jak wyjaśnił - w przedmiotowej sprawie nie zostały spełnione elementy hipotezy i dyspozycji normy prawnej zawartej w jego treści. Przepis ten wskazuje, że "[w] przypadku naruszenia przepisów o ochronie danych osobowych zbieranych w celach, o których mowa w art. 1 pkt 1, Prezes Urzędu, w drodze decyzji administracyjnej, nakazuje administratorowi lub podmiotowi przetwarzającemu przywrócenie stanu zgodnego z prawem, a w szczególności uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych". Sąd stwierdził, że odmowa udostępnienia przez przedsiębiorcę telekomunikacyjnego komendantowi straży gminnej danych osobowych abonenta objętych tajemnicą telekomunikacyjną nie jest sytuacją "naruszenia przepisów o ochronie danych osobowych". Prezes UODO nie wskazał w decyzji jaką normę prawną – w przedmiocie ochrony danych osobowych - naruszyła spółka; nie powołał też żadnego przepisu, który nakazywałby temu podmiotowi (statuował obowiązek prawny) przekazanie żądanych danych. Sąd wyjaśnił, że dane abonenta nie zostały zgromadzone przez spółkę w celach opisanych w art. 1 ust. 1 ustawy z 14 grudnia 2018 r., a ponadto jej przepisy nie mają zastosowania do takich podmiotów jak A. Sp. z o.o., w szczególności nie jest ona administratorem, o którym mowa w jej art. 4 pkt 1. Decyzja znajdująca oparcie w art. 8 ust. 2 pkt 2 ustawy może zostać wydana wyłącznie względem "administratora" w rozumieniu art. 4 pkt 1 ustawy. Przy tym definicja "administratora" użyta w ustawie jest odmienną od definicji "administratora" użytej w art. 4 pkt 7 RODO. A. Sp. z o.o. nie jest zatem administratorem na gruncie ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, stąd jej przepisy nie mogą być źródłem jej obowiązku prawnego.

W ocenie Sądu pierwszej instancji skuteczne okazały się również zarzuty skargi dotyczące wykładni przepisów ustawy Prawo telekomunikacyjne. Brak jest bowiem przepisu rangi ustawowej, który obligowałby przedsiębiorcę telekomunikacyjnego do udostępnienia straży gminnej informacji na temat abonenta, zwalniając go tym samym z obowiązku zachowania tajemnicy telekomunikacyjnej. Żaden z powołanych przez organ w decyzji przepisów nie reguluje zasad udostępniania takich danych. Brak szczegółowego uzasadnienia podstawy prawnej decyzji stanowił z kolei – zdaniem Sądu pierwszej instancji - o naruszeniu art. 107 § 1 pkt 6 i § 2 k.p.a.

Odnośnie do powołanych przez Prezesa UODO orzeczeń NSA, Sąd stwierdził, że dotyczyły one odmiennego stanu prawnego, kiedy nie obowiązywała jeszcze ani ustawa z 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, ani RODO (tj. rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE). Sąd nie podzielił natomiast poglądu zaprezentowanego w orzeczeniu WSA w Warszawie w analogicznej sprawie o sygn. akt II SA/Wa 109/21.

W skardze kasacyjnej do Naczelnego Sądu Administracyjnego, zaskarżając wyrok WSA w całości, organ wniósł o jego uchylenie w całości i rozpoznanie skargi w przypadku uznania, że istota sprawy jest dostatecznie wyjaśniona lub też uchylenie w całości zaskarżonego wyroku i przekazanie sprawy do ponownego rozpoznania, a także rozpoznanie sprawy na rozprawie i zasądzenie kosztów postępowania, według norm przepisanych, w tym kosztów zastępstwa prawnego, zarzucając:

1) naruszenie przepisów postępowania mające istotny wpływ na wynik sprawy, tj.: art. 145 § 1 pkt 1 lit. c p.p.s.a. w zw. z art. 107 § 1 pkt 6 i § 2 k.p.a. poprzez niezasadne uznanie, że Prezes UODO niedostatecznie wyjaśnił podstawę prawną nakazu zawartego w decyzji z 26 sierpnia 2022 r., co w konsekwencji doprowadziło do uchylenia zaskarżonej decyzji,

2) naruszenie przepisów prawa materialnego, tj. art. 8 ust. 2 pkt 2 w zw. z art. 1 pkt 1 i art. 4 pkt 1 ustawy z 14 grudnia 2018 r., poprzez ich błędną wykładnię, polegającą na przyjęciu, że Spółka nie jest administratorem danych osobowych abonenta telefonu nr (wskazanego we wniosku Komendanta Straży Miejskiej) w rozumieniu art. 4 pkt 1 ustawy, a tym samym art. 8 ust. 2 pkt 2 ustawy nie stanowi podstawy prawnej dla wydania wobec spółki nakazu udostępnienia Komendantowi tych danych,

3) naruszenie przepisów prawa materialnego, tj. art. 161 ust. 1 i ust. 2 w zw. z art. 159 ust. 1 pkt 1 p.t. oraz w zw. z art. 13 ust. 1 ustawy, art. 10a s.g., art. 17 § 3, art. 54 § 1 i art. 56 § 2 k.p.w. poprzez ich błędną wykładnię, polegającą na wadliwym przyjęciu, iż przepisy te nie stanowią podstawy prawnej do udostępnienia Komendantowi przez spółkę danych osobowych abonenta, objętych tajemnicą telekomunikacyjną, a tym samym, że brak jest przepisu rangi ustawowej, który zobowiązywałby spółkę do udostępnienia Komendantowi danych osobowych abonenta i tym samym zwalniał go z obowiązku zachowania tajemnicy telekomunikacyjnej.

Uzasadniając swoje stanowisko organ zarzucił, że WSA dokonał błędnej wykładni art. 8 ust. 2 pkt 2 ustawy, przyjmując, że skarżąca nie jest administratorem danych osobowych abonenta wskazanego nr telefonu w rozumieniu jej art. 4 pkt 1. Wyjaśnił, że potrzeba uzyskania żądanych przez Komendanta danych wynikała z faktu prowadzenia czynności wyjaśniających w kierunku popełnienia wykroczenia, co mieści się w ramach zadań powierzonych strażom gminnym na gruncie odpowiednich przepisów oraz, że dane te nie zostały przekazane przez skarżącą. Wobec tego, jak dalej argumentował organ, że dane osobowe w niniejszej sprawie zbierane są w celach, o których mowa w art. 1 pkt 1 ustawy z 14 grudnia 2018 r., to wydając decyzję obowiązany był do stosowania jej przepisów i skorzystania z instrumentu o charakterze naprawczym, o którym mowa w jej art. 8 ust. 2 pkt 2 poprzez nakazanie skarżącej udostępnienia Komendantowi żądanych danych. Odwołując się do definicji "administratora" zawartej w art. 4 pkt 1 ustawy organ wywiódł, że nie budzi wątpliwości, iż operator telekomunikacyjny jakim jest skarżąca jest administratorem w rozumieniu ustawy Prawo telekomunikacyjne. Jednocześnie nie sposób zgodzić się z twierdzeniem WSA, że pojęcie administratora w ustawie z 14 grudnia 2018 r. zostało zastrzeżone jedynie dla właściwych organów państwa powołanych do zapobiegania i zwalczania przestępczości, a także dla innych podmiotów wyznaczonych w prawie Unii lub w prawie krajowym, jeżeli z przepisów tego prawa wynika wyznaczenie takiego podmiotu do działania w celu zapobiegania i zwalczania przestępczości. Zdaniem organu, pozbawione podstaw jest także twierdzenie Sądu, że odmowa przez spółkę udostępnienia danych abonenta nie jest sytuacją "naruszenia przepisów o ochronie danych" oraz że brak jest przepisu rangi ustawowej, który zobowiązywałby skarżącą do udostępnienia danych abonenta i tym samym zwalniał ją z obowiązku zachowania tajemnicy telekomunikacyjnej. W odniesieniu do powyższego organ odwołał się do treści przepisów ustawy o strażach gminnych i wyjaśnił, że zgodnie z jej art. 10 ust. 1 straż wykonuje zadania w zakresie ochrony porządku publicznego wynikające z ustaw i aktów prawa miejscowego. Stosownie zaś do art. 10a ust. 1 s.g. straż w celu realizacji ustawowych zadań może przetwarzać dane osobowe, z wyłączeniem danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, bez wiedzy i zgody osoby, której dane dotyczą. Dane te mogą być uzyskane w wyniku wykonywania czynności podejmowanych w postępowaniu w sprawach o wykroczenia lub z rejestrów, ewidencji i zbiorów, do których straż posiada dostęp na podstawie odrębnych przepisów. Organ wskazał także na przepis art. 12 ust. 1 pkt 5 s.g. zgodnie z którym strażnik wykonując zadania, o których mowa w art. 10 i 1, ma prawo m. in. do dokonywania czynności wyjaśniających, kierowania wniosków o ukaranie do sądu, oskarżania przed sądem i wnoszenia środków odwoławczych – w trybie i w zakresie określonych w Kodeksie postępowania w sprawach o wykroczenia. W myśl zaś art. 17 § 3 tego Kodeksu straż gminna (miejska) jest jednym z oskarżycieli publicznych, któremu przysługuje prawo do przeprowadzenia czynności wyjaśniających w celu ustalenia, czy istnieją podstawy do wystąpienia z wnioskiem o ukaranie (art. 54-56 ustawy). Zgodnie zaś z art. 57 § 2 pkt 1 K.p.w. wniosek o ukaranie powinien zawierać imię, nazwisko oraz adres obwinionego, a także inne dane niezbędne do ustalenia jego tożsamości. Z cytowanych przepisów ustawy o strażach gminnych wynika zatem, że komendant tej straży ma prawo zwrócić się do operatora telekomunikacyjnego o udostępnienie niezbędnych danych osobowych, zaś operator ten powinien – mając na względzie fakt realizacji obowiązku czuwania przez straż gminną nad przestrzeganiem prawa przez obywateli – udostępnić jej informacje we wnioskowanym zakresie. W takiej sytuacji dochodzi bowiem do realizacji dyspozycji z art. 161 ust. 1 in fine Prawa telekomunikacyjnego. Zdaniem organu, udostępnieniu danych osobowych abonenta nie stoją na przeszkodzie przepisy art. 159 ust. 2 i 4 tej ustawy i w tym zakresie organ ponownie odwołał się do poglądów wyrażonych w orzecznictwie sądowoadministracyjnym. Organ nie zgodził się również ze stanowiskiem Sądu pierwszej instancji, że wydana decyzja narusza art. 107 § 1 pkt 6 i § 2 k.p.a., albowiem zawiera ona zarówno powołanie podstawy prawnej, jak też i uzasadnienie faktyczne oraz prawne.

W odpowiedzi na skargę kasacyjną skarżąca wniosła o jej oddalenie i zasądzenie na jej rzecz kosztów postępowania kasacyjnego, według norm przepisanych, podtrzymując dotychczasową argumentację.

Naczelny Sąd Administracyjny zważył, co następuje:

Skarga kasacyjna nie zawiera usprawiedliwionych podstaw.

W pierwszej kolejności wyjaśnić należy, że ze względu na treść art. 183 § 1 p.p.s.a. przedmiotem niniejszej sprawy w postępowaniu kasacyjnym nie jest rozstrzygnięcie zagadnienia czy w systemie prawnym istnieje podstawa prawna do udostępnienia przez przedsiębiorcę telekomunikacyjnego straży gminnej danych abonenta, lecz wyłącznie ocena poprawności stanowiska Sądu pierwszej instancji, który w wyniku kontroli zaskarżonej decyzji doszedł do wniosku, że powołana w niej podstawa prawna i powołane przepisy nie uprawniały organu do nałożenia na skarżącą obowiązku udostępnienia danych objętych tajemnicą telekomunikacyjną.

Na wstępie należało też podzielić stanowisko Sądu pierwszej instancji, że powoływane w sprawie przez organ wyroki Naczelnego Sądu Administracyjnego (z 14 marca 2019 r. o sygn. akt I OSK 1429/17 i z 6 marca 2019 r. o sygn. akt I OSK 2677/16), nie są przydatne dla rozstrzygnięcia niniejszej sprawy z tego względu, że odnoszą się do innego stanu prawnego, w którym nie obowiązywała ani ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, która weszła w życie 6 lutego 2019 r. i stanowiła implementację dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającej decyzję ramową Rady 2008/977/WSiSW (Dz. Urz. UE L 119 z 04.05.2016, str. 89), ani powołane wcześniej rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. UE .L 119 z 4 maja 2016 r.; dalej także: "RODO"). Moc prawną utraciła też ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r. poz. 388 ), której przepisy stanowiły podstawę prawną wydanych decyzji w sprawach rozstrzyganych przez NSA o ww. sygnaturach. Z dniem wejścia w życie ustawy z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. z 2019 r., poz. 730) doszło także do zmian przepisów prawnych wprowadzających różne reżimy ochrony danych wchodzących w zakres tajemnicy telekomunikacyjnej wynikającej z art. 159 Prawa telekomunikacyjnego. Zgodnie z art. 79 pkt 4 tejże ustawy przepis art. 161 ust. 2 p.t. otrzymał następujące brzmienie: "Przetwarzanie danych osobowych użytkownika – innych niż wskazane w art. 159 ust. 1 pkt 2-5 – będącego osobą fizyczną odbywa się na podstawie przepisów o ochronie danych osobowych". Zmiana stanu prawnego, a zwłaszcza wejście w życie ustawy z 14 grudnia 2018 r., której przepisy stanowiły podstawę prawną zaskarżonej w niniejszej sprawie decyzji uniemożliwia proste odwoływanie się do wywodów zawartych w dotychczasowym orzecznictwie bez szczegółowych analiz porównawczych powoływanych w nich przepisów i ich ówczesnego systemowego otoczenia prawnego.

Zdaniem Naczelnego Sądu Administracyjnego w składzie rozpoznającym niniejszą sprawę pogląd Sądu pierwszej instancji, że przepisy ustawy z 14 grudnia 2018 r. nie znajdują zastosowania do przedsiębiorcy telekomunikacyjnego, a tym samym że jej art. 8 ust. 2 pkt 2 nie mógł stanowić podstawy nakazu udostępnienia danych osobowych abonenta komendantowi straży gminnej jest prawidłowy.

Jak wynika z uzasadnienia projektu ww. ustawy zawartego w druku sejmowym nr 2989: "Ustawodawca europejski celowo wyłączył z zakresu stosowania rozporządzenia 2016/679 przetwarzanie danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom, regulując te kwestie – ze względu na szczególny charakter takich czynności – w akcie prawnym innej rangi, to jest dyrektywie 2016/680. Dyrektywa bowiem, jako akt prawny zobowiązujący państwa członkowskie do ustanowienia danego porządku prawnego – w przeciwieństwie do rozporządzenia, którego przepisy mają zastosowanie wprost – pozwala na uwzględnienie w przygotowywanych na jej podstawie przepisach różnorodności i odmienności krajowych regulacji w zakresie zapobiegania i zwalczania przestępczości. Przykładem tego rodzaju odmienności jest chociażby dokonane przez polskiego ustawodawcę rozróżnienie czynów karalnych na przestępstwa i wykroczenia, którego źródłem jest ocena szkodliwości społecznej czynów, co w konsekwencji przekłada się na zróżnicowanie dotkliwości sankcji za przestępstwa i wykroczenia. Tego rodzaju systematyka czynów zabronionych nie jest jednak powszechna w Unii Europejskiej. Istotnym powodem dla przyjęcia takiego rozwiązania była z jednej strony konieczność zapewnienia spójnego, wysokiego stopnia ochrony danych osobowych osób fizycznych, z drugiej zaś ułatwienie wymiany danych osobowych między właściwymi organami państw członkowskich umożliwiającej zapewnienie skutecznej współpracy w sprawach karnych i współpracy policyjnej, a także zapewnienie możliwości przekazania danych do państwa trzeciego, pod warunkiem że celem takiego działania będzie ściganie przestępstw przy jednoczesnym zapewnieniu przez państwo trzecie odpowiedniego poziomu ochrony danych. Jednocześnie dyrektywa do organów właściwych – oprócz organów władzy publicznej takich jak policja lub inne organy ścigania – zalicza również wszelkie inne organy lub podmioty, którym prawo państwa członkowskiego powierza sprawowanie władzy publicznej i wykonywanie uprawnień publicznych w celach określonych w dyrektywie 2016/680. Kryterium celu przetwarzania jest zatem kluczowe dla ustalenia, czy zastosowanie będzie miała dyrektywa 2016/680 czy rozporządzenie 2016/679. Jednocześnie rozporządzenie 2016/679 ma zastosowanie również wtedy, gdy organ lub podmiot zbiera dane osobowe do innych celów, a następnie dalej te dane przetwarza w celu realizacji obowiązku prawnego, któremu podlega".

Z uzasadnienia projektu ustawy wynika zatem jednoznacznie, że wraz z jej wejściem w życie dokonano wyraźnego rozdzielenia dwóch "reżimów prawnych":

- dla przetwarzania danych osobowych w celach związanych ze zwalczaniem przestępczości (co reguluje owa ustawa i dyrektywa 2016/680)

oraz odrębnie

- dla przetwarzania danych osobowych dla innych celów (co reguluje RODO lub inne przepisy szczególne".

Potwierdza to także powoływany przez skarżącą spółkę motyw 11 dyrektywy 2016/580:

"Należy zatem odnieść się do tych dziedzin w odrębnej dyrektywie, która stanowi szczególne przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym do celów ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom, z zachowaniem szczególnego charakteru takich czynności. Do takich właściwych organów mogą należeć nie tylko organy publiczne - takie jak organy sądowe, policja lub inne organy ścigania - ale też wszelkie inne organy lub podmioty, którym prawo państwa członkowskiego powierza sprawowanie władzy publicznej i wykonywanie uprawnień publicznych do celów niniejszej dyrektywy. Jeżeli taki organ lub podmiot przetwarza dane osobowe do celów innych niż cele niniejszej dyrektywy, zastosowanie ma rozporządzenie (UE) 2016/679. Rozporządzenie (UE) 2016/679 ma zatem zastosowanie wtedy, gdy organ lub podmiot zbiera dane osobowe do innych celów, a następnie dalej te dane przetwarza w celu realizacji obowiązku prawnego, któremu podlega. Przykładowo do celów postępowania przygotowawczego, wykrywania lub ścigania czynów zabronionych określone instytucje finansowe zatrzymują przetwarzane przez siebie dane osobowe i udostępniają takie dane osobowe tylko właściwym organom krajowym w konkretnych sytuacjach i w zgodzie z prawem państwa członkowskiego. Organ lub podmiot, który w imieniu takich organów przetwarza dane osobowe w ramach niniejszej dyrektywy, powinien podlegać umowie lub innemu aktowi prawnemu oraz przepisom mającym zgodnie z niniejszą dyrektywą zastosowanie do podmiotu przetwarzającego, podczas gdy w odniesieniu do przetwarzania danych osobowych przez podmiot przetwarzający spoza zakresu niniejszej dyrektywy zastosowanie rozporządzenia (UE) 2016/679 pozostaje niezmienione".

Słuszne jest zatem stanowisko skarżącej, że powyższy motyw oraz inne przepisy dyrektywy wskazują, że ustawa z 14 grudnia 2018 r. ma zastosowanie tylko do organów lub innych podmiotów, które na mocy przepisów mają uprawnienia władcze w dziedzinie zapobiegania lub zwalczania przestępczości.

Powyższe znajduje przełożenie także w treści art. 1 ust. 1 tej ustawy, gdzie określony został jej zakres, który obejmuje m.in. "zasady i warunki ochrony danych osobowych przetwarzanych przez właściwe organy w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, w tym zagrożeń dla bezpieczeństwa i porządku publicznego, a także wykonywania tymczasowego aresztowania, kar, kar porządkowych i środków przymusu skutkujących pozbawieniem wolności". Wedle jej art. 13 ust. 1: "Właściwe organy przetwarzają dane osobowe wyłącznie w zakresie niezbędnym dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa", przy czym "dopuszcza się przetwarzanie danych osobowych w innych celach niż określone w art. 1 pkt 1, jeżeli przepisy prawa zezwalają na ich przetwarzanie" (art. 13 ust. 3 ustawy).

Powyższego wniosku nie podważa także definicja administratora zawarta w ustawie z 14 grudnia 2018 r. "Administratorem" zgodnie z definicją wynikającą z jej art. 4 pkt 1 jest "właściwy organ, który samodzielnie lub wspólnie z innym właściwym organem lub właściwymi organami ustala cele i sposoby przetwarzania danych osobowych, podmiot wskazany przez ustawę jako administrator, jeżeli cele i sposoby przetwarzania danych osobowych są określone w ustawie, albo podmiot wskazany przez prawo Unii Europejskiej albo prawo państwa członkowskiego Unii Europejskiej lub podmiot wyznaczony zgodnie z kryteriami określonymi w prawie tego państwa". Nie ma racji organ, że skarżąca spółka wpisuje się w tę definicję jako administrator w rozumieniu Prawa telekomunikacyjnego. Ustawa Prawo telekomunikacyjne nie zawiera definicji administratora. Status skarżącej jako administratora wynika z RODO, które nie jest ustawą, a poza tym jak wyjaśniono wyżej oba reżimy ochrony danych są rozdzielne. Dodatkowo pojęcie "administratora" z art. 4 pkt 1 ustawy powinno być odczytywane w kontekście definicji "administratora" zawartej w art. 3 pkt 4 Dyrektywy 2016/680 w którym wskazano, że "oznacza właściwy organ, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby przetwarzania są określone prawem Unii lub prawem państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania".

Na gruncie powyższej definicji nie ulega wątpliwości, że pojęcie "administratora" w dyrektywie i ustawie zostało zastrzeżone wyłącznie dla właściwych organów państwa powołanych do zapobiegania i zwalczania przestępczości, a także dla innych podmiotów wyznaczonych w prawie Unii lub w prawie krajowym, jeżeli z przepisów tego prawa wynika "wyznaczenie" takiego podmiotu do działania w celu zapobiegania i zwalczania przestępczości.

Powyższe przekonuje, że skorzystanie przez organ w stosunku do skarżącej z cytowanego wcześniej art. 8 ust. 2 pkt 2 ustawy dla wydania jej nakazu udostępnienia danych osobowych nie było prawidłowe. Spółka nie ma statusu administratora w rozumieniu ustawy, nie gromadzi danych abonentów na cele wskazane w jej art. 1 pkt 1, a ponadto w okolicznościach sprawy nie doszło do "naruszenia ochrony danych osobowych", zgodnie z definicją wyrażoną w art. 4 pkt 6 ustawy. Przepis ten stanowi, że przez naruszenie ochrony danych osobowych rozumie się "naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.’ Sytuacja nieudostępnienia danych osobowych abonenta objętych tajemnicą telekomunikacyjną (art. 159 ust. 1 pkt 1 p.t.) nie wpisuje się w charakter tego naruszenia.

Z tych względów zarzut opisany w pkt 2 skargi kasacyjnej nie był usprawiedliwiony.

Pozbawiony zasadności okazał się także zarzut z punktu 3. Wprawdzie przepisy art. 10a ust. 1 w zw. z art. 10 ustawy o strażach gminnych uprawniają tę formację do przetwarzania danych osobowych w związku z realizacją jej ustawowych zadań w zakresie ochrony porządku publicznego, jednakże nie stanowią one podstawy prawnej do pozyskania danych objętych tajemnicą telekomunikacyjną. Ustawa o strażach gminnych nie zawiera w swej treści żadnego wyraźnego unormowania, które uprawniałoby straż gminną do pozyskania danych objętych tajemnicą telekomunikacyjną. Porównanie tych ogólnych regulacji zawartych w jej art. 10a ust. 1 w zw. z art. 10 z przepisami innych ustaw, które w sposób wyraźny określają uprawnienia Policji, Straży Granicznej, Żandarmerii Wojskowej czy Agencji Bezpieczeństwa Wewnętrznego do pozyskiwania danych objętych tajemnicą telekomunikacyjną, określają także zakres ich udostępniania, tryb ich pozyskiwania i ochrony (por. art. 20c ustawy z 6 kwietnia 1990 r. o Policji, art. 10b ust. 1 ustawy z 12 października 1990 r. o Straży Granicznej, art. 30 ust. 1 ustawy z 24 sierpnia 2001 r. o Żandarmerii Wojskowej i wojskowych organach porządkowych, czy art. 28 ust. 1 pkt 1 ustawy z 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego i Agencji Wywiadu (wszystkie w brzmieniu na dzień wydania zaskarżonej decyzji tj. 26 sierpnia 2022), powoduje, że nie można uznać, aby stanowiły one wystarczającą podstawę do pozyskania danych objętych tajemnicą telekomunikacyjną mającą swoje źródło w ustawie zasadniczej (art. 45 Konstytucji RP).

Trafnie, w ocenie Naczelnego Sądu Administracyjnego, skarżąca zwróciła uwagę, że ww. regulacja "branżowa" zawarta w poszczególnych ustawach pozostaje spójna także z przepisami Prawa telekomunikacyjnego. Katalog organów (służb), którym przedsiębiorca telekomunikacyjny obowiązany jest udostępnić dane abonenta został "symetrycznie" odzwierciedlony w jej Dziale VIII zatytułowanym "Obowiązki na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego". W art. 180 d p.t wskazano, że "[p]rzedsiębiorcy telekomunikacyjni są obowiązani do zapewnienia warunków dostępu i utrwalania oraz do udostępniania uprawnionym podmiotom, a także sądowi i prokuratorowi, na własny koszt, przetwarzanych przez siebie danych, o których mowa w art. 159 ust. 1 pkt 1 i 3-5, w art. 161 oraz w art. 179 ust. 9, związanych ze świadczoną usługą telekomunikacyjną, na zasadach i przy zachowaniu procedur określonych w przepisach odrębnych". Dla porządku tylko należy wskazać, że dane abonenta objęte tajemnicą to dane, o których mowa w wymienionym w tym przepisie art. 159 ust. 1 pkt 1. Z kolei w art. 179 ust. 3 pkt 1 lit. a p.t zawarta jest legalna definicja "uprawnionych podmiotów" mogących pozyskiwać od przedsiębiorcy telekomunikacyjnego dane, o których mowa w art. 159 ust. 1 pkt 1 i 3-5, w art. 161 oraz w art. 179 ust. 9 p.t. Podmiotami tymi są: Policja, Biuro Nadzoru Wewnętrznego, Straż Graniczna, Służba Ochrony Państwa, Agencja Bezpieczeństwa Wewnętrznego, Służba Kontrwywiadu Wojskowego, Żandarmeria Wojskowa, Centralne Biuro Antykorupcyjne i Krajowa Administracja Skarbowa. Wśród wymienionych podmiotów brak jest straży gminnej. Rację ma zatem skarżąca, zwracając uwagę, że powyższe oddaje rzeczywiste stanowisko ustawodawcy, który w tych obszarach, w których uznał potrzebę zapewnienia dostępu organów powołanych do zwalczania przestępczości do danych osobowych abonentów, tam w treści przepisów odniósł się do tych potrzeb, wyraźnie określając w nich uprawnienia organów i obowiązki przedsiębiorcy telekomunikacyjnego.

Prawidłowo więc WSA zaznaczył, że w ustawie o strażach gminnych brak jest przepisu rangi ustawowej, który zobowiązywałby przedsiębiorcę telekomunikacyjnego do udostępnienia straży miejskiej danych osobowych abonenta jednocześnie zwalniając go z obowiązku zachowania tajemnicy telekomunikacyjnej. Żaden z powołanych przez Prezesa UODO w decyzji przepisów s.g. lub innego aktu prawnego – nie reguluje zasad udostępniania komendantowi straży miejskiej przez przedsiębiorcę telekomunikacyjnego danych abonenta objętych tajemnicą telekomunikacyjną.

Należy zwrócić uwagę, że straż gminna (miejska) jest formacją umundurowaną, a nie zaś służbą mundurową, jak choćby policja czy straż graniczna, którą powołuje do życia rada gminy (miasta) w drodze uchwały po zasięgnięciu opinii właściwego komendanta wojewódzkiego policji (art. 2 ust. 1 i 2 s.g.), w celu ochrony porządku publicznego na terenie danej gminy, podlegająca wójtowi (burmistrzowi, prezydentowi). Jest to zatem jednostka lokalna o zdecydowanie mniejszym spektrum kompetencji i zasięgu, a przede wszystkim uprawnień, aniżeli inne służby mundurowe. Już tylko te względy legły u podstaw założenia, że ustawodawca w sposób celowy pominął straż gminną, nie przyznając tej formacji uprawnień do pozyskiwania danych objętych tajemnicą telekomunikacyjną, która swe podwaliny znajduje w ustawie zasadniczej.

Zaznaczyć wszakże trzeba, że w świetle art. 49 Konstytucji RP ograniczenie tajemnicy komunikowania może nastąpić wyłącznie w przypadkach i w sposób określony w ustawie, na podstawie przepisów wyraźnie przewidujących po stronie operatora taki obowiązek oraz precyzyjnie opisujących tryb udostępnienia. Przepisy określające jedynie obowiązki danego podmiotu, których wykonanie pośrednio uzasadnia potrzebę dostępu do danych objętych tajemnicą komunikowania się, nie wyczerpują przesłanek wymaganych przez Konstytucję i nie mogą stanowić podstawy udostępnienia danych przez operatora.

Tajemnica komunikowania, jak wskazuje art. 159 ust. 1 ust. 1 p.t. obejmuje m.in. dane dotyczące użytkownika, z zastrzeżeniem art. 161 ust. 2 p.t. Wówczas to przetwarzanie tego typu danych następuje w oparciu o przepisy o ochronie danych osobowych. Do takich przepisów należą ustawa o ochronie danych osobowych z 10 maja 2018 r., uchwalona w celu stosowania rozporządzenia 2016/679 z 27 kwietnia 2016 r. (RODO). Pierwszy z wymienionych aktów prawnych nie wskazuje przypadków kiedy przetwarzanie danych jest zgodne z prawem, w przeciwieństwie do przepisów RODO, gdzie w art. 6 ust. 1 określone zostały tego typu sytuacje. W myśl tego przepisu "przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków:

a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań".

"Przetwarzaniem" jest także udostępnianie danych, zgodnie z definicją zawartą w art. 4 pkt 2 RODO. Analizowany akt prawny zawiera również definicję "administratora", zgodnie z którą "oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania" (art. 4 pkt 7 RODO).

Z powyższego wynika, że skarżąca jest administratorem danych abonentów w oparciu o RODO oraz, że w sposób legalny – zgodny z prawem przetwarza tak pozyskane dane osobowe w oparciu o art. 6 pkt 1 lit. a i/lub b RODO, które możliwe są do udostępnienia wyłącznie w przypadkach określonych w tymże przepisie. Przy czym, zarówno straż miejska we wniosku skierowanym do skarżącej, jak i organ nie powołali się na żadną z okoliczności wymienionych w sygnalizowanym przepisie. Kwestia ta zatem nie mogła podlegać badaniu w niniejszym postępowaniu.

Zakresem art. 161 ust. 2 p.t. objęte są również przepisy ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, ale wyłącznie w przypadkach i względem podmiotów określonych tym aktem, a więc do administratora lub podmiotu przetwarzającego. Osoby fizyczne, jak też m.in. spółki prawa handlowego nie są objęte zakresem stosowania ustawy z 14 grudnia 2018 r., co wynika wprost z definicji administratora wyrażonej w art. 4 pkt 1.

W konsekwencji słusznie Sąd pierwszej instancji wytknął organowi, że w treści wydanej decyzji niedostatecznie wyjaśniona została podstawa prawna nałożonego na skarżącą nakazu, co stanowiło naruszenie art. 107 § 1 pkt 6 i § 2 k.p.a., ponieważ takiej podstawy nie może stanowić art. 8 ust. 2 pkt 2 ustawy, bowiem skarżąca, jak wyjaśniono wcześniej, nie jest administratorem danych w świetle tego aktu prawnego, a także nie zostało wykazane, iż doszło do naruszenia przepisów o ochronie danych osobowych. Uchybienie to było na tyle istotne, że miało wpływ na wynik sprawy, dlatego też ostatecznie jako chybiony oceniony został zarzut naruszenia przepisów postępowania opisany w pkt 1 skargi kasacyjnej, a finalnie także i zarzut z pkt 3 w zakresie prawa materialnego.

Nie znajdując zatem podstaw do uwzględnienia skargi kasacyjnej, także z przyczyn branych pod uwagę z urzędu (art. 183 § 2 p.p.s.a. i art. 189 p.p.s.a.) orzeczono o jej oddaleniu stosownie do art. 184 p.p.s.a.

Koszty postępowania kasacyjnego zasądzono w oparciu o art. 204 pkt 2 p.p.s.a.