![]() |
Centralna Baza Orzeczeń Sądów Administracyjnych
|
| drukuj zapisz |
647 Sprawy związane z ochroną danych osobowych, Ochrona danych osobowych, Generalny Inspektor Ochrony Danych Osobowych, Oddalono skargę, II SA/Wa 1241/13 - Wyrok WSA w Warszawie z 2013-11-19, Centralna Baza Orzeczeń Naczelnego (NSA) i Wojewódzkich (WSA) Sądów Administracyjnych, Orzecznictwo NSA i WSA
II SA/Wa 1241/13 - Wyrok WSA w Warszawie
|
|
|||
|
2013-06-27 | |||
|
Wojewódzki Sąd Administracyjny w Warszawie | |||
|
Eugeniusz Wasilewski /przewodniczący/ Ewa Grochowska-Jung Jacek Fronczyk /sprawozdawca/ |
|||
|
647 Sprawy związane z ochroną danych osobowych | |||
|
Ochrona danych osobowych | |||
|
I OSK 1166/14 - Wyrok NSA z 2015-12-03 | |||
|
Generalny Inspektor Ochrony Danych Osobowych | |||
|
Oddalono skargę | |||
|
Dz.U. 2002 nr 101 poz 926 art. 23 ust. 1 pkt 5, art. 7 pkt 2, art. 25 ust. 1, art. 33 Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - tekst jedn. |
|||
|
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Eugeniusz Wasilewski, Sędziowie WSA Ewa Grochowska-Jung, Jacek Fronczyk (spr.), Protokolant Starszy sekretarz sądowy Sylwia Mikuła, po rozpoznaniu na rozprawie w dniu 19 listopada 2013 r. sprawy ze skargi R. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] kwietnia 2013 r. nr [...] w przedmiocie przetwarzania danych osobowych - oddala skargę - |
||||
|
Uzasadnienie
W dniu [...] września 2010 r. A.S. wystąpiła do Generalnego Inspektora Ochrony Danych Osobowych ze [...], zarzucając Spółce naruszenie przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j.: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), poprzez bezprawne pozyskanie jej danych osobowych i wykorzystanie ich do sformułowania skierowanych do niej ofert wykupu przez R. należących do zainteresowanej akcji W. S.A. z siedzibą [...]. A.S. zażądała, by GIODO nakazał Spółce R. przywrócenie stanu zgodnego z prawem i doprowadził do usunięcia jej danych osobowych, w tym jej imienia, nazwiska oraz adresu, przechowywanych i przetwarzanych przez Spółkę R. i jej Prezesa Zarządu. Decyzją z dnia [...] grudnia 2011 r. nr [...] Generalny Inspektor Ochrony Danych Osobowych odmówił uwzględnienia wniosku A.S., wskazując, że Spółka R. pozyskała dane osobowe zainteresowanej w sposób legalny, gdyż dostęp do jej danych jest możliwy w oparciu o akta znajdujące się w Krajowym Rejestrze Sądowym, dotyczące W. [...], z których wynika, że wśród założycieli Spółki została wymieniona A.S. Ponieważ akta rejestrowe są jawne i każdy może je przeglądać, wobec tego Spółka R. nie naruszyła – zdaniem GIODO – prawnych podstaw przetwarzania danych, jako że jej przedmiotem działalności jest skupowanie akcji innych spółek, celem zapewnienia sobie nad nimi kontroli. R. pozyskała i przetwarza dane osobowe zainteresowanej legalnie, realizując swój prawnie usprawiedliwiony cel, wynikający z przedmiotu jej działalności, nie naruszając przy tym praw i wolności A.S., co – w ocenie organu – świadczy o bezzasadności jej żądania zawartego w skardze. Powyższą decyzję A.S. uczyniła przedmiotem wniosku o ponowne rozpatrzenie sprawy, zarzucając naruszenie art. 23 ww. ustawy o ochronie danych osobowych, poprzez jego błędną wykładnię, polegającą na przyjęciu, że przedmiot działalności Spółki R. wypełnia prawnie usprawiedliwiony cel pozyskania danych zainteresowanej; art. 25 ww. ustawy o ochronie danych osobowych, poprzez jego niezastosowanie, zważywszy że Spółka R. nie spełniła obowiązku, o którym mowa w tym przepisie; art. 32 ww. ustawy o ochronie danych osobowych, poprzez jego niezastosowanie i niedostrzeżenie, że Spółka R. uchybiła prawom przysługującym zainteresowanej, o których stanowi ten przepis; art. 43 ust. 1 pkt 9 ww. ustawy o ochronie danych osobowych, poprzez błędne uznanie, że dane osobowe pozostające w aktach rejestrowych są danymi powszechnie dostępnymi, i że zbiór tego rodzaju danych nie podlega obowiązkowi rejestracji; art. 18, art. 49 i art. 54 w związku z art. 19 ww. ustawy o ochronie danych osobowych, poprzez ich niezastosowanie. Formułując przedstawione zarzuty, zainteresowana wniosła o uchylenie zaskarżonej decyzji. Decyzją z dnia [...] marca 2012 r. nr [...] Generalny Inspektor Ochrony Danych Osobowych uchylił zaskarżoną decyzję, wyjaśniając, że we wniosku o ponowne rozpatrzenie sprawy A.S., podnosząc zarzuty naruszenia przepisów ustawy o ochronie danych osobowych, w szczególności w zakresie niespełnienia przez Spółkę R. obowiązku informacyjnego względem niej, de facto rozszerzyła zakres swego pierwotnego żądania, co skutkuje koniecznością przeprowadzenia na nowo postępowania administracyjnego. Decyzją z dnia [...] grudnia 2012 r. nr [...] Generalny Inspektor Ochrony Danych Osobowych, stosując art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (t. j.: Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.) oraz art. 12 pkt 2, art. 22, art. 18 ust. 1 pkt 1 w związku z art. 25 ust. 1 i art. 33 ust. 1 ww. ustawy o ochronie danych osobowych, w punkcie pierwszym – nakazał Spółce R. spełnienie wobec A.S. obowiązku informacyjnego, określonego w art. 25 ust. 1 ww. ustawy o ochronie danych osobowych; w punkcie drugim – nakazał Spółce R. spełnienie wobec A.S. obowiązku informacyjnego, określonego w art. 33 ust. 1 ww. ustawy o ochronie danych osobowych, poprzez poinformowanie zainteresowanej, w jaki sposób i w jakim celu Spółka pozyskała jej dane osobowe oraz w jakim celu i zakresie dane te przetwarza; w punkcie trzecim – w pozostałym zakresie odmówił uwzględnienia wniosku. W motywach decyzji GIODO podał, że przepisy ustawy z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym (t. j.: Dz. U. z 2007 r. Nr 168, poz. 1186 ze zm.) statuują podstawową zasadę tego rejestru, tj. zasadę jego formalnej jawności. Oznacza to – zdaniem organu – że każdy zainteresowany ma prawo wglądu do akt rejestrowych danego podmiotu, a tym samym także dostęp do zawartych w nich danych. Spółka R. pozyskała dane osobowe A.S. z powszechnie dostępnego źródła, jakim jest ww. rejestr, dla wypełnienia prawnie usprawiedliwionego celu, wynikającego z przedmiotu jej działalności, zaś kierując do zainteresowanej ofertę odkupienia posiadanych przez nią akcji W. S.A. z siedzibą [...], nie naruszyła praw i wolności osoby, której dane dotyczą (art. 23 ust. 1 pkt 5 ww. ustawy o ochronie danych osobowych). Organ ochrony danych uznał więc, że Spółka R. w sposób legalny i prawnie dopuszczalny pozyskała i przetwarza dane osobowe A.S. Choć aktualnie R. nie kieruje do zainteresowanej ofert zakupu akcji, których składania zainteresowana sobie nie życzy, to nie zmienia to faktu, że pozyskane dane Spółka przechowuje, co świadczy, że je przetwarza, bowiem dysponuje kopią aktu notarialnego, zawiązującego W. S.A. z siedzibą [...], z dnia [...] listopada 1993 r., w którym widnieje imię, nazwisko i adres zamieszkania zainteresowanej. W ocenie GIODO, pozyskując dane i je przetwarzając, Spółka R. stała się ich administratorem (art. 7 pkt 4 ww. ustawy o ochronie danych osobowych), co obligowało ją i obliguje do spełnienia względem A.S. obowiązków informacyjnych, wynikających z art. 25 ust. 1 ww. ustawy o ochronie danych osobowych i z art. 33 ust. 1 tej ustawy, zważywszy że Spółka R. pozyskała dane nie od zainteresowanej i miała obowiązek poinformowania jej o okolicznościach przetwarzania danych, a także o tym, w jaki sposób i w jakim celu Spółka pozyskała jej dane osobowe oraz w jakim celu i zakresie dane te przetwarza. A.S. i Spółka R. powyższą decyzję GIODO uczyniły przedmiotem swych wniosków o ponowne rozpatrzenie sprawy. Spółka postawiła zarzut błędnych ustaleń faktycznych, przyjętych w decyzji, jak również zarzut nieprzeprowadzenia dowodów na okoliczność, czy przetwarzała i przetwarza dane osobowe zainteresowanej. Natomiast A.S. zarzuciła naruszenie stosowanych przez GIODO przepisów prawa materialnego, nie zgadzając się z przyjętą oceną organu, że Spółka w sposób legalny pozyskała jej dane osobowe i w taki też sposób je przetwarza. Wniosła, by Generalny Inspektor Ochrony Danych Osobowych zobowiązał Spółkę do usunięcia jej danych osobowych z bazy danych, a także, by zawiadomił organy ścigania o popełnieniu przez Spółkę przestępstw, stypizowanych w rozdziale 8 ww. ustawy o ochronie danych osobowych. Decyzją z dnia [...] kwietnia 2013 r. nr [...] Generalny Inspektor Ochrony Danych Osobowych, mając za podstawę art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (t. j.: Dz. U. z 2013 r., poz. 267) oraz art. 12 pkt 2, art. 22, art. 18 ust. 1 pkt 1 w związku z art. 25 ust. 1 i art. 33 ust. 1 ww. ustawy o ochronie danych osobowych, utrzymał w mocy zaskarżoną decyzję, nie znajdując podstaw do uwzględnienia złożonych wniosków. W uzasadnieniu decyzji organ wyjaśnił, że ustalenia faktyczne poczynione w sprawie nie budzą jego wątpliwości i w tym zakresie odpowiadają zastosowanym w kwestionowanej decyzji przepisom prawa, natomiast osoba dochodząca ochrony swych praw na podstawie ustawy o ochronie danych osobowych, domagając się od GIODO wydania decyzji w przedmiocie ochrony jej danych osobowych, nie może żądać, by ten w tym trybie zawiadamiał właściwy organ ścigania o przestępstwie w zakresie przetwarzania danych osobowych. Powyższą decyzję przedmiotem skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie uczyniła Spółka R., wnosząc o jej uchylenie i umorzenie postępowania w sprawie. Spółka zarzuciła naruszenie przepisów prawa materialnego, a to art. 7 pkt 2, art. 25 ust. 1 i art. 18 ust. 1 ww. ustawy o ochronie danych osobowych, poprzez uznanie, że przetwarza ona dane osobowe A.S., przechowując je, co powoduje – zdaniem organu – konieczność spełnienia obowiązków informacyjnych względem zainteresowanej, podczas gdy skarżąca nie przetwarza żadnych danych osobowych A.S. i żadne obowiązki informacyjne wobec niej po jej stronie nie powstały. W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, argumentując tak, jak to czynił w uzasadnieniach obu podjętych w sprawie decyzji. A.S., będąca uczestnikiem niniejszego postępowania, wniosła o oddalenie skargi, jako bezzasadnej, oraz o zasądzenie kosztów postępowania, w tym kosztów zastępstwa procesowego, według obowiązujących norm. W piśmie procesowym z dnia [...] listopada 2013 r. Spółka R. podtrzymała swoje zarzuty, twierdzenia i wnioski zawarte w skardze, zwracając uwagę, że organ błędnie przyjmuje, iż Spółka przetwarza dane osobowe A.S., gdyż kopia strony [...] aktu notarialnego, zawiązującego W. S.A. z siedzibą [...], na której znajdują się dane osobowe zainteresowanej, została pozyskana przez Spółkę dla celów prowadzonego przez GIODO postępowania, bowiem organ sam nie zwrócił się o ten dowód do sądu rejestrowego. W opinii Spółki, takie działanie organu ochrony danych osobowych nie mieści się w definicji działań Państwa prawnego, o którym mowa w art. 2 Konstytucji Rzeczypospolitej Polskiej. Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje: Stosownie do treści art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującymi w dacie jej wydania. Innymi słowy, sąd administracyjny kontroluje legalność rozstrzygnięcia zapadłego w postępowaniu z punktu widzenia jego zgodności z prawem materialnym i obowiązującymi przepisami prawa procesowego. Skarga analizowana pod tym kątem nie zasługuje na uwzględnienie. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j.: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) jest regulacją stwarzającą prawne podstawy stosowania ochrony państwowej w sytuacjach nielegalnego przetwarzania danych osobowych obywateli przez zarówno podmioty prawa publicznego, jak i podmioty prawa prywatnego, posługujące się ich danymi osobowymi. W celu realizacji tej ochrony organ ochrony danych osobowych został wyposażony w kompetencje władcze, umożliwiające mu sankcjonowanie stwierdzanych nieprawidłowości w procesie przetwarzania danych osobowych. Generalny Inspektor Ochrony Danych Osobowych może więc – w drodze decyzji administracyjnej – nakładać stosowne nakazy bądź zakazy, których zasadniczą rolą jest przywrócenie stanu zgodnego z prawem. Nie powinno budzić wątpliwości, że ocena stanu faktycznego sprawy, dokonywana przez organ ochrony danych osobowych, bez względu na to, czy postępowanie zostało wszczęte wnioskiem strony, czy też prowadzone jest z urzędu, winna w tego rodzaju sprawach odbywać się pod kątem przesłanek legalnego przetwarzania danych osobowych. GIODO jest bowiem zobowiązany do rozstrzygania w kwestii – jak wskazuje sam tytuł przedmiotowej ustawy – ochrony danych osobowych, nie jest natomiast uprawniony do oceny innych zagadnień natury prawnej, jakie na gruncie sprawy mogą wystąpić, a które nie mają wymiaru ochrony danych osobowych. GIODO, oceniając stan sprawy i dokonując subsumpcji, stwierdza, czy kwestionowane przetwarzanie danych osobowych znajduje oparcie choćby w jednej z legalnych podstaw przetwarzania danych osobowych i w zależności od występujących w sprawie ustaleń – albo wydaje nakaz lub zakaz, albo odmawia uwzględnienia wniosku, ewentualnie umarza postępowanie. Wydanie nakazu usunięcia uchybień w procesie przetwarzania danych osobowych następuje wówczas, gdy organ ochrony danych osobowych stwierdza naruszenie norm w zakresie przetwarzania danych osobowych. Jedną z przesłanek legalizujących przetwarzanie danych osobowych jest prawnie usprawiedliwiony cel administratora danych. Przepis art. 23 ust. 1 pkt 5 ww. ustawy o ochronie danych osobowych stwarza bowiem prawną możliwość przetwarzania danych osobowych, jeżeli jest to niezbędne dla wypełnienia prawnie usprawiedliwionego celu realizowanego przez administratora danych albo odbiorcę danych, przy jednoczesnym zastrzeżeniu, że przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą. Na tle tego przepisu należy zaznaczyć kilka kwestii. Po pierwsze, dotyczy on administratorów danych. Po drugie, przetwarzanie na podstawie omawianego przepisu musi być konieczne do osiągnięcia prawnie usprawiedliwionego celu. Po trzecie, w przypadku przetwarzania danych osobowych stwierdzenie istnienia usprawiedliwionego celu powinno dotyczyć administratora danych. Po czwarte, przetwarzanie danych do tego celu musi być "niezbędne". Po piąte, przetwarzanie danych nie może naruszać praw i wolności osoby, której dane dotyczą (J. Barta, P. Fajgielski, R. Markiewicz, Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2011). Cel, jaki stanowił podstawę pozyskania i dalszego przetwarzania danych osobowych A.S. przez Spółkę R., wiąże się z realizacją statutowych dążeń Spółki, mieszczących się w przedmiocie jej działalności, którym jest skupowanie akcji innych spółek, celem zapewnienia sobie nad nimi kontroli. Ze sprawy wynika, że Spółka R. pozyskała dane osobowe zainteresowanej z akt rejestrowych W. S.A. z siedzibą [...], których A.S. jest akcjonariuszem. Przepisy ustawy z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym (t. j.: Dz. U. z 2013 r., poz. 1203 ze zm.) statuują podstawową zasadę tego rejestru, tj. zasadę jego formalnej jawności (art. 8 tej ustawy). Zatem każdy zainteresowany ma prawo wglądu do akt rejestrowych danego podmiotu, a tym samym także dostęp do zawartych w nich danych. Akta rejestrowe zawierają różnego rodzaju informacje o podmiocie gospodarczym, w tym także dane osobowe założycieli czy akcjonariuszy spółek prawa handlowego, co jest konieczne dla określenia sytuacji prawnej takiego podmiotu. W myśl art. 51 ust. 1 Konstytucji Rzeczypospolitej Polskiej, nikt nie może być obowiązany inaczej, niż na podstawie ustawy, do ujawniania informacji dotyczących jego osoby. Tym samym więc przepisy ww. ustawy o Krajowym Rejestrze Sądowym stały się podstawą zgromadzenia w aktach rejestrowych W. S.A. z siedzibą [...] danych osobowych A.S., które to dane z kolei w trybie przepisów tej samej ustawy pozyskała Spółka R. Dane osobowe A.S. zostały zatem pozyskane z powszechnie dostępnego źródła, zaś sama Spółka uczyniła to dla wypełnienia prawnie usprawiedliwionego celu, co było niezbędne dla zrealizowania dążeń wynikających z przedmiotu jej działalności, wszak w inny sposób nie mogłaby skierować do zainteresowanej swojej oferty odkupienia od niej akcji, chyba że pozyskałaby dane zainteresowanej za jej zgodą. Realizując cel wynikający ze statutowych założeń i dążeń, podmiot prowadzący działalność gospodarczą niewątpliwie wypełnia swój prawnie usprawiedliwiony cel, natomiast pozyskując dane osobowe w trybie przepisów ww. ustawy o Krajowym Rejestrze Sądowym, które są mu potrzebne dla zrealizowania tego celu, legitymuje się prawną przesłanką przetwarzania tych danych, pod warunkiem wszakże, że przetwarzanie w tym zakresie nie narusza praw i wolności osoby, której dane dotyczą, o czym w dalszej części rozważań. Inna ocena statutowego celu realizowanego przez podmiot prowadzący działalność gospodarczą mogłaby doprowadzić do naruszenia art. 22 Konstytucji Rzeczypospolitej Polskiej, który wskazuje, że ograniczenie wolności działalności gospodarczej jest dopuszczalne tylko w drodze ustawy i tylko ze względu na ważny interes publiczny. Badając w sprawie istnienie przesłanek z art. 23 ust. 1 pkt 5 ww. ustawy o ochronie danych osobowych, konieczne jest każdorazowe dokonanie wyważenia interesów administratora danych i interesu osoby, której dane dotyczą, w aspekcie jej praw i wolności, przy uwzględnieniu celu ustawy o ochronie danych osobowych, którym jest ochrona prywatności. Z jej art. 1 wynika, że każdy ma prawo do ochrony dotyczących go danych osobowych, a przetwarzanie tych danych, w znaczeniu, o którym mowa w art. 7 pkt 2 ustawy, dopuszczalne jest tylko ze względu na określone dobra i tylko w zakresie i trybie określonym ustawą. Przetwarzanie danych nie może zatem opierać się jedynie na przesłance prawnie usprawiedliwionego celu realizowanego przez administratora danych, wymagane jest bowiem, by było ono podyktowane niezbędnością i nie naruszało praw i wolności osoby, której dane dotyczą. Zatem ocena ta ma służyć wyważeniu racji i interesów, z jednej strony osoby, której dane dotyczą, mającej objęty ochroną prawną interes, aby jej dane osobowe nie były przetwarzane bez jej zgody, a z drugiej strony – administratora danych, który ma także objęty ochroną prawną interes polegający na tym, że ma prawo realizować prawnie usprawiedliwione cele i uprawnienia. Ustawa o ochronie danych osobowych służy ochronie danych osobowych. Jeśli zasadą jest, że dane osobowe mogą być przetwarzane za zgodą osoby, której dotyczą, to wszelkie wyjątki od niej muszą być – co warto podkreślić – interpretowane ściśle. Ustawa wprowadza wiele rozwiązań, które umożliwiają swobodne i zarazem dopuszczalne przetwarzanie danych osobowych w różnych sytuacjach. Z drugiej zaś strony, dokonując wykładni przepisów ustawy o ochronie danych osobowych, należy również wziąć pod uwagę cele i podstawowe jej założenia, określone w art. 1 ust. 2, gdzie wskazano, iż przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą lub dobro osób trzecich. Mając na uwadze powyższe, stosując przepisy tej ustawy, należy za każdym razem wyważać dobra, które legły u jej podstaw. Prawo do ochrony danych osobowych, jako jeden z elementów prawa do ochrony własnej prywatności, ma swoje źródło w przepisach art. 47, art. 49, art. 50 i art. 51 Konstytucji Rzeczypospolitej Polskiej. W praktyce prawo do ochrony danych osobowych ulega ograniczeniu z uwagi na interes publiczny lub usprawiedliwiony interes innych osób, czyli nie jest to prawo o charakterze absolutnym, jak większość praw chronionych konstytucyjnie. Kierując do A.S. ofertę odkupienia posiadanych przez nią akcji W. S.A. z siedzibą [...], Spółka R. winna przed dokonaniem tej czynności, a najpóźniej równolegle z nią, wypełnić względem zainteresowanej obowiązek informacyjny, wynikający z art. 25 ust. 1 ww. ustawy o ochronie danych osobowych, gdyż przepis ten wymaga, by administrator danych (art. 7 pkt 4 ww. ustawy), a takim stała się Spółka z chwilą uzyskania danych osobowych A.S., bezpośrednio po utrwaleniu danych, które uzyskał nie od osoby, której one dotyczą, poinformował osobę zainteresowaną o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych, 3) źródle danych, 4) prawie dostępu do treści swoich danych oraz ich poprawiania, 5) o uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8 ww. ustawy o ochronie danych osobowych. Spółka R. obowiązku tego nie dopełniła, a była zobowiązana to uczynić i to nie tylko ze względu na wypełnienie swego prawnie usprawiedliwionego celu, w rozumieniu art. 23 ust. 1 pkt 5 przedmiotowej ustawy, ale także, by realizując ten cel, nie doszło do naruszenia praw i wolności osoby zainteresowanej, o których mowa w tym przepisie. Spełnienie bowiem obowiązku informacyjnego z art. 25 ust. 1 ww. ustawy o ochronie danych osobowych, bezpośrednio po uzyskaniu danych przez Spółkę, pozostawałoby w zgodzie z treścią art. 32 ust. 1 ww. ustawy o ochronie danych osobowych, który określa, że każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, a w szczególności: 1) uzyskania wyczerpującej informacji, czy istnieje zbiór danych, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna – jej miejsca zamieszkania oraz imienia i nazwiska, 2) uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze, 3) uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych, 4) uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie w tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej, 5) uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane, 5a) uzyskania informacji o przesłankach podjęcia rozstrzygnięcia, o którym mowa w art. 26a ust. 2. O potrzebie spełnienia tegoż obowiązku stanowi także art. 33 ust. 1 ww. ustawy o ochronie danych osobowych. Zatem poprzez poinformowanie zainteresowanej, w jaki sposób i w jakim celu Spółka pozyskała jej dane osobowe oraz w jakim celu i zakresie dane te przetwarza, Spółka R. poszanowałaby prawo, jakie przysługuje A.S. na mocy powołanych przepisów, które to prawo należy także oceniać w kategoriach praw i wolności osoby, której dane dotyczą, o czym stanowi art. 23 ust. 1 pkt 5 ww. ustawy o ochronie danych osobowych. Toteż, podejmując decyzję nakazową w tym względzie, GIODO de facto sankcjonuje uchybienia w procesie przetwarzania danych osobowych zainteresowanej dla przyjęcia prawnej (legalnej) podstawy ich przetwarzania (art. 23 ust. 1 pkt 5 ww. ustawy) przez Spółkę. Nałożone przez GIODO nakazy w istocie leżą w interesie Spółki R., jako że niewypełnienie przez nią obowiązku informacyjnego mogłoby prowadzić do odmiennej konstatacji na gruncie art. 23 ust. 1 pkt 5 ww. ustawy o ochronie danych osobowych w kontekście oceny naruszenia praw i wolności osoby, której dane dotyczą, czego Spółka R. zdaje się nie dostrzegać. Do katalogu praw i wolności, o których mowa w powyższym przepisie, należy z pewnością obowiązek informacyjny, wynikający z treści art. 25 ust. 1 i art. 33 ust. 1 ww. ustawy o ochronie danych osobowych, zważywszy że art. 51 ust. 3 i 4 Konstytucji Rzeczypospolitej Polskiej stanowi, że każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych, zaś ograniczenie tego prawa może określić ustawa, każdy też ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. Skierowane więc do Spółki R. nakazy uwzględniają uchybienia w procesie przetwarzania danych osobowych A.S., wobec której zaniechano wypełnienia obowiązku informacyjnego, a w konsekwencji nakazy te w rzeczy samej zmierzają w celu przyjęcia legalnej przesłanki przetwarzania jej danych osobowych, a wynikającej z art. 23 ust. 1 pkt 5 ww. ustawy o ochronie danych osobowych. Zastosowana przez GIODO konstrukcja osnowy decyzji, w której pierwsze dwa punkty stanowią o nałożonych na Spółkę obowiązkach informacyjnych względem zainteresowanej, spełnienie których pozwala na uznanie legalności przetwarzania jej danych osobowych, dopiero w efekcie tego mogła prowadzić do przyjęcia trzeciego rozstrzygnięcia o odmowie uwzględnienia wniosku. Organ ochrony danych prawidłowo przyjął, że Spółka R. w sposób legalny i prawnie dopuszczalny pozyskała i przetwarza dane osobowe A.S., aczkolwiek dla takiego przyjęcia konieczne jest wypełnienie przez Spółkę obowiązku informacyjnego. Jakkolwiek aktualnie Spółka R. nie kieruje do zainteresowanej ofert zakupu akcji, których składania zainteresowana sobie nie życzy, to nie zmienia to faktu, że Spółka pozyskała jej dane, a kierując do niej swoją ofertę, przetwarzała je, nie spełniwszy jednak obowiązku informacyjnego. Pozyskując dane i je przetwarzając, Spółka R. stała się ich administratorem, co obligowało ją i obliguje do spełnienia względem A.S. obowiązków informacyjnych, wynikających z art. 25 ust. 1 ww. ustawy o ochronie danych osobowych i z art. 33 ust. 1 tej ustawy, zwłaszcza że Spółka R. pozyskała dane nie od zainteresowanej i miała obowiązek poinformowania jej o okolicznościach przetwarzania danych, a także o tym, w jaki sposób i w jakim celu pozyskała jej dane osobowe oraz w jakim celu i zakresie dane te przetwarza. Zasadności i konieczności spełnienia przez Spółkę R. zaległego obowiązku informacyjnego względem zainteresowanej, a nałożonego na Spółkę przez GIODO, nie mogą podważać jej twierdzenia o nieprzetwarzaniu w chwili obecnej danych osobowych zainteresowanej, bowiem dla oceny legalności procesu przetwarzania jej danych osobowych i przyjęcia w sprawie istnienia przesłanki z art. 23 ust. 1 pkt 5 ww. ustawy o ochronie danych osobowych obowiązek ten powinien być wykonany, zaś spełniając go, Spółka R. winna usunąć dane osobowe A.S. dla wypełnienia jej woli i zrealizowania własnych twierdzeń o ich nieprzetwarzaniu, o czym także może poinformować zainteresowaną w kierowanej do niej informacji w wykonaniu decyzji nakazowej GIODO. W takim stanie rzeczy, podjęte w sprawie decyzje należy uznać za prawidłowe, zaś zarzuty zawarte w skardze za nieuzasadnione, mające jedynie charakter polemiczny. Sąd nie stwierdził naruszeń prawa, które skutkowałyby koniecznością uwzględnienia skargi. Z tych względów, uznając skargę za nieuzasadnioną, Wojewódzki Sąd Administracyjny w Warszawie, działając na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (t. j.: Dz. U. z 2012 r., poz. 270 ze zm.), orzekł, jak w sentencji wyroku. Odnosząc się także do zawartego w odpowiedzi na skargę wniosku zainteresowanej o zasądzenie kosztów postępowania w przypadku oddalenia skargi, należy wskazać, że stosownie do przepisów działu V ww. ustawy – Prawo o postępowaniu przed sądami administracyjnymi, regulującego kwestię kosztów postępowania, przed sądem administracyjnym pierwszej instancji wyłączone zostało stosowanie zasady odpowiedzialności za wynik postępowania. Koszty postępowania zasądza się jedynie w razie uwzględnienia skargi i tylko na rzecz skarżącego (art. 200 ww. ustawy). |
||||