Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA – Ewa Pisula – Dąbrowska Sędzia WSA – Iwona Dąbrowska Sędzia WSA – Olga Żurawska – Matusiak (spr.) Protokolant – specjalista Ewa Kielak po rozpoznaniu na rozprawie w dniu 4 marca 2016 r. sprawy ze skargi K. C. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] maja 2015 r. nr [...] w przedmiocie ochrony danych osobowych 1. uchyla zaskarżoną decyzję w całości, 2. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz skarżącego K. C. kwotę 326 zł (słownie trzysta dwadzieścia sześć złotych), tytułem zwrotu kosztów postępowania.

Decyzją z [...] maja 2015 r., nr [...] Generalny Inspektor Ochrony Danych Osobowych, na podstawie art. 138 § 1 pkt 1 K.p.a. w zw. z art 12 pkt 2, art. 22, art. 23 ust. 1 pkt 2, 3 i 5 ustawy o ochronie danych osobowych (Dz.U. 2015 r. poz. 2135) utrzymał w mocy swoją wcześniejszą decyzję odmawiająca uwzględnienia wniosku w sprawie skargi dotyczącej udostępnienia danych osobowych K. C. przez [...] na rzecz H. O. oraz radcy prawnego M. S., zawartych w fakturach wystawionych mu przez Spółkę za zabiegi rehabilitacyjne w latach 2007/2008.

W uzasadnieniu powyższej decyzji organ wskazała na następujące okoliczności faktyczne i prawne sprawy.

Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga K. C. (dalej jako skarżący), dotycząca udostępnienia jego danych osobowych przez [...], z siedzibą: [...] (dalej jako Spółka), na rzecz H. O. oraz radcy prawnego M. S., zawartych w fakturach wystawionych mu przez Spółkę za zabiegi rehabilitacyjne w latach 2007/2008. W treści skargi skarżący podniósł, iż w latach 2007/2008 był pacjentem Spółki, gdzie korzystał z zabiegów rehabilitacyjnych, natomiast w 2009 roku współwłaścicielka Spółki - A. W. przekazała faktury zawierające dane osobowe, jakie Spółka wystawiła za zabiegi, H. O., który następnie posługiwał się tymi fakturami między innymi podczas przesłuchania w charakterze świadka w Komendzie Powiatowej Policji w [...] 5 czerwca 2009 r. Nadto w tym samym rok A. W. przekazała przedmiotowe faktury radcy prawnemu - M. S., który reprezentując jej prywatne interesy wykorzystał te faktury w skierowanym do Sądu Okręgowego [...] w [...] pozwie przeciwko T. W. Skarżący wniósł o zbadanie czy zachowanie A. W. nie nosi znamion udostępnienia danych osobowych osobom nieuprawnionym i nie stanowi naruszenia przepisów ustawy

o ochronie danych osobowych. W piśmie z 23 kwietnia

2012 r. skarżący doprecyzował, że osobami, na rzecz których doszło do udostępnienia danych osobowych są H. O. - małżonek współwłaścicielki Spółki [...] i M. S.

W toku czynności wyjaśniających organ ustalił, że M. S. faktury za zabiegi skarżącego, jak i dostęp do całej dokumentacji księgowej NZOZ [...] A. W. T. W. Spółka Jawna w [...] pozyskał od A. W., wspólnika ww. Spółki upoważnionego zgodnie z umową spółki z [...] września 2006 r. oraz postanowieniami ustawy z dnia 15 września 2000 r. - Kodeks spółek handlowych do samodzielnego reprezentowania Spółki w stosunkach zewnętrznych oraz upoważnionego do podejmowania wszelkich działań w stosunkach wewnętrznych, w związku z prowadzonym postępowaniem przed Sądem Okręgowym Wydział [...] w [...], pod sygn. akt [..]. A. W. powierzając Kancelarii reprezentowanie jej w sprawie o rozwiązanie spółki jawnej, wraz z wnioskiem o przyznanie wspólnikowi prawa do przejęcia majątku spółki oraz z wnioskiem o zabezpieczenie powództwa (wyłączenia wspólnika), przekazała następujące dowody księgowe: kopię faktury [...] z [...] marca 2008 r., kopię faktury [...] z [...] marca 2008 r., kopię faktury [...] z [...] maja 2008 r., kopię faktury Nr [...] z [...] sierpnia 2008 r. Faktury za zabiegi skarżącego przedłożone zostały do akt postępowania sądowego przed Sądem Okręgowym Wydział [...] w [...], pod sygn. akt [...]. Powyższe znajduje potwierdzenie w zawartej 1 listopada 2008 r. pomiędzy radcą prawnym M. S., a A. W., działającą jako wspólnicy [...] A. W. T. W. Spółka Jawna z siedzibą w [...] przy ul. [...], umowie w sprawie zapewnienia obsługi prawnej.

Organ ustalił także, iż H. O. przedłożył do akt postępowania toczącego się przed Prokuratura Rejonową w [...] kserokopie faktur nr [...] za usługi rehabilitacyjne skarżącego, które zostały włączone do akt postępowania.

W tym stanie faktycznym Generalny Inspektor Ochrony Danych Osobowych [...] lipca 2013 r. wydał decyzję nr [...] na mocy której odmówił uwzględnienia wniosku.

We wniosku o ponowne rozpatrzenie sprawy skarżący zarzucił organowi, że bezpodstawnie uznał legalność udostępnienia jego danych osobowych przez A. W. na rzecz radcy prawnego M. S. Jednocześnie wskazał, że radca prawny M. S. nie reprezentował Spółki tylko prywatne interesy A. W. Nadto skarżący podniósł, że pełnomocnik współwłaścicielki spółki mógł wnioskować w pozwie o dopuszczenie dowodu z faktur spółki, wówczas faktury te zostałyby przez Sąd pozyskane i dalej przez Sąd przetwarzane, a nie przez kancelarię prawną. Wskazał również adres zamieszkania H. O. w celu pozyskania przez organ oświadczenia na okoliczność pozyskania przez niego przedmiotowych faktur.

Wskazaną na wstępie decyzją organ utrzymał w mocy zaskarżone rozstrzygniecie.

Uzasadniając swoje stanowisko organ przywołał treść art. 23 ustawy o ochronie danych osobowych i wskazał, iż udostępnienie przez Spółkę danych skarżącego zawartych w ww. fakturach wystawionych mu przez Spółkę za usługi rehabilitacyjne na rzecz radcy prawnego M. S. odbyło się w wykonaniu umowy z 1 listopada 2008 r., zawartej między A. W., działającą jako wspólnik Spółki oraz radcą prawnym M. S., której przedmiotem była obsługa prawna w zakresie rozwiązania ww. Spółki oraz przyznania wspólnikowi Spółki A. W. prawa do przejęcia majątku Spółki, zgodnie z dyspozycją art. 66 Kodeksu spółek handlowych, a zatem znalazło swe oparcie w art. 23 ust. 1 pkt 3 ustawy.

Udostępnienie danych osobowych skarżącego zawartych w ww. fakturach znalazło także oparcie w art. 23 ust. 1 pkt 5 ww. ustawy, jako działanie w prawnie usprawiedliwionym celu Spółki.

Organ podkreślił, że ze zgromadzonego materiału dowodowego wynika, że radca prawny M. S. reprezentował interesy wspólnika Spółki, tj. A. W. na podstawie udzielonego mu pełnomocnictwa. Istota tego pełnomocnictwa polegała na reprezentowaniu wspólnika Spółki w zakresie wskazanym w ww. umowie, tzn. w zakresie rozwiązania Spółki oraz przyznania wspólnikowi Spółki A. W. prawa do przejęcia majątku Spółki, w ramach którego ww. wspólnik Spółki upoważnił radcę prawnego do wglądu w dokumentację księgowo - rachunkową Spółki oraz do wykonywania z jej zasobów niezbędnych odpisów, wyciągów czy też kopii. To z kolei wiązało się z przetwarzaniem danych osobowych poszczególnych klientów Spółki (w tym skarżącego) zawartych w dokumentach wytworzonych przez Spółkę. Wykorzystanie ww. faktur przez M. S. w postępowaniu przed sądem gospodarczym było działaniem w imieniu Spółki i miało oparcie w art, 23 ust. 1 pkt 5 ustawy, jako działanie w prawnie usprawiedliwionym celu Spółki, którym jest w szczególności dochodzenie określonych praw przed sądem.

Odwołując się do treści decyzji z [...] lipca 2013 r. organ zwrócił uwagę, iż w decyzji tej wyraźnie stwierdził, że okoliczności sprawy wskazują na naruszenie przepisów ustawy w zakresie udostępnienia danych osobowych skarżącego przez A. W. na rzecz H. O., z uwagi na to, że przedmiotowe faktury zawierające dane skarżącego zostały złożone przez ww. osobę do akt postępowania prokuratorskiego o sygn. akt [...] i stały się przedmiotem ww. postępowania, Generalny Inspektor Ochrony Danych Osobowych nie jest jednak władny do wydania jakiegokolwiek z nakazów, o którym mowa w art. 18 ust. 1 ustawy.

Jednocześnie organ wskazał, że Prokuratura dysponuje zdecydowanie szerszymi instrumentami prawnymi niż organ do spraw ochrony danych osobowych zarówno do zbadania tej kwestii, jak i wyciągnięcia konsekwencji karnych z rozdziału 8 ustawy. Organ nie zgromadził bowiem dostatecznych dowodów uzasadniających, że w istocie pozyskanie danych skarżącego przez H. O., wynikających z ww. faktur, miało miejsce z naruszeniem przepisów ustawy. Dodatkowo organ uznał, że odebranie wyjaśnień od H. O. nie miałoby znaczenia dla sprawy, a w konsekwencji na jej rozstzrygnięcie.

W skardze na powyższą decyzję, która wpłynęła do Wojewódzkiego Sądu Administracyjnego w Warszawie, skarżący wniósł o uchylenie zaskarżonej decyzji i decyzji ją poprzedzającej i zwrot kosztów postępowania.

Skarżący zarzucił, iż organ bezpodstawnie przyjął, że udostępnienie danych osobowych skarżącego przez A. W. na rzecz Kancelarii Radców Prawnych [...] Spółka Partnerska, w wyniku realizacji umowy z [...] listopada 2008 r., na podstawie art. 23 ust. 1 pkt 3 ww. ustawy było prawnie dopuszczalne. Zgodnie bowiem z tym przepisem radca prawny M. S. mógł przetwarzać dane osobowe A. W. na potrzeby umowy jaką z tą osobą zawarł, nie zaś dane osobowe skarżącego.

W ocenie skarżącego organ dokonał nierzetelnych ustaleń w zakresie wykazania, że udostępnienie faktur za zabiegi radcy prawnemu M. S. było niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych na podstawie art. 23 ust. 1 pkt 5 ww. ustawy. W ocenie skarżącego w tym zakresie należało ustalić, czy udzielenie pełnomocnictwa kancelarii Radców Prawnych - M. S. J. Z. przez A. W. upoważniło jednocześnie tę kancelarię do pełnego dostępu do dokumentacji księgowej spółki, a tym samym do danych osobowych skarżącego i wielu innych osób. Skarżący wskazał, iż przedstawione przez niego w toku postępowania dokumenty z akt rejestrowych spółki wskazują na prywatny charakter tego pełnomocnictwa. Skarżący stwierdził ponadto, że uzyskanie pełnego dostępu do dokumentacji spółki może być sprzeczne z przepisami Rozdziału 3 - Stosunki wewnętrzne spółki, Działu I - Spółka Jawna ustawy z dnia 15 września 2000 r. Kodeks spółek handlowych (t. j. Dz. U. z 2013 r., poz. 1030 ze zm., zwanej dalej Kodeksem spółek handlowych), gdyż w wielu przepisach tego rozdziału ustawodawca mówi o jednomyślności, wspólnych uchwałach wspólników, wymaganych zgodach wszystkich wspólników itd. Skarżący zwrócił uwagę na art. 43 Kodeksu spółek handlowych, zgodnie z którym w sprawach przekraczających zakres zwykłych czynności spółki wymagana jest zgoda wszystkich wspólników. Jednocześnie Skarżący zarzucił organowi brak dopuszczenia dowodu z przesłuchania T. W. na okoliczność udzielonych przez spółkę pełnomocnictw i udostępnienia dokumentacji księgowej spółki, a jedynie odebranie wyjaśnień od Likwidatora Spółki. Skarżący zarzucił także rażące naruszenie Kodeksu postępowania administracyjnego, polegającego na wezwaniu skarżącego pismem z 7 stycznia 2013 r. pod rygorem pozostawienia części skargi bez rozpoznania, do wskazania w terminie 7 dni adresu H. O., zauważając jednocześnie, że podał w późniejszym terminie ten adres, a pomimo to organ nie wykorzystał go.

W ocenie skarżący organ dokonał nadinterpretacji skargi inicjującej niniejsze postępowanie, bowiem przedmiotem postępowania zgodnie z jego wolą było udostępnienie dokumentów rachunkowych przez A. W. na rzecz H. O., a nie udostępnienie tych dokumentów przez H. O. na rzecz Prokuratury i ich dalszy przetwarzanie w toku prowadzonego śledztwa. Jednocześnie Skarżący podniósł, iż organ miał obowiązek skierowania do organu ścigania zawiadomienia o popełnieniu przestępstwa.

W dalszej kolejności skarżący wskazał, że decyzja wydana w drugiej instancji merytorycznie nie różni się od decyzji wydanej w pierwszej instancji oraz zarzucił organowi ochrony danych osobowych, że nie powiadomił strony o zakończeniu postępowania dowodowego, o możliwości zapoznania się z materiałami sprawy i wypowiedzenia się w kwestii zebranych dowodów przed wydaniem końcowej decyzji.

Skarżący zarzucił organowi niedopełnienie obowiązków, o których mowa w Kodeksie postępowania administracyjnego, ustawie o ochronie danych osobowych i kodeksie postępowania karnego, w szczególności wynikających z przepisów: art. 6, 7, 8, 9, 10 § 1, 12 § 1, 35 § 1, 35 § 3, 36 § 1, 75 § 1 K.p.a., art. 19 ustawy o ochronie danych osobowych oraz art. 304 § 2 kodeksu postępowania karnego.

W odpowiedzi na skargę organ wniósł o jej oddalenie, w całości podtrzymując swoje dotychczasowe stanowisko.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Uprawnienia wojewódzkich sądów administracyjnych, określone przepisami m.in. art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.) oraz art. 3 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2012 r. poz. 270 ze zm., dalej jako P.p.s.a.), sprowadzają się do kontroli działalności administracji publicznej pod względem zgodności z prawem, tj. kontroli zgodności zaskarżonego aktu z przepisami prawa procesowego, a także prawidłowości zastosowania i wykładni norm prawa materialnego. W myśl art. 134 § 1 P.p.s.a. sąd rozstrzyga w granicach danej sprawy nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną.

Dokonując oceny zasadności skargi K. C. na decyzję Generalnego Inspektora Ochrony Danych Osobowych, Sąd doszedł do przekonania, że skarga zasługuje na uwzględnienie, choć nie ze wszystkimi zarzutami w niej podniesionymi można się zgodzić.

Przechodząc do meritum sprawy, zaznaczyć należy, iż zadaniem ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych nie jest jedynie stanie na straży interesów tych, których przetwarzane dane osobowe dotyczą. Naczelną zasadą ustawy nie jest bezwzględny zakaz przetwarzania danych osobowych, lecz przestrzeganie zakresu i trybu ich przetwarzania. Przepis art. 1 ust. 2 ww. ustawy stwierdza, że przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonym ustawą.

Zgodnie natomiast z treścią art. 7 pkt 2 ww. ustawy, przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Przetwarzanie danych osobowych w powyższym rozumieniu może być zatem uznane za zgodne z prawem wówczas, gdy administrator danych wykaże spełnienie co najmniej jednej z materialnych przesłanek przetwarzania danych. Przesłanki te odnośnie zwykłych danych osobowych określone zostały art. 23 ust. 1 ustawy, a odnośnie tzw. wrażliwych danych osobowych w art. 27 ust. 2 powołanej ustawy o ochronie danych osobowych.

W rozpoznawanej sprawie skarżący, wnioskiem z 7 marca 2011 r., zwrócił się do Generalnego Inspektora Ochrony Danych Osobowych o zbadanie czy zachowanie A. W., wspólnika "[...]" A. W. T. W. Spółka jawna, polegające na przekazaniu faktur za usługi rehabilitacyjne, zawierające dane osobowe skarżącego, na rzecz H. O. i radcy prawnego M. S., nie nosi znamion udostępnienia danych osobowych osobom nieuprawnionym i nie stanowi naruszenia przepisów ustawy o ochronie danych osobowych.

Żądanie określone w powyższym wniosku wyznaczyło przedmiot postępowania. Oznacza to, że postępowanie przed Generalnym Inspektorem Ochrony Danych Osobowych zostało zainicjowane na wniosek, o jakim mowa w art. 18 ust. 1 ustawy o ochronie danych osobowych.

Zgodnie z tym przepisem w przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności:

1. usunięcie uchybień,

2. uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnianie danych osobowych,

3. zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,

4. wstrzymanie przekazywania danych osobowych do państwa trzeciego,

5. zabezpieczenie danych lub przekazanie ich innym podmiotom,

6. usunięcie danych osobowych.

Jak wskazał Naczelny Sąd Administracyjny w wyroku z 2 grudnia 2015 r., I OSK 703/14 (dostępny w internetowej bazie orzeczeń pod adresem cbois.nsa.gov.pl, dalej jako CBOSA), który to pogląd Sąd w składzie rozpoznającym przedmiotową sprawę w pełni podziela, na gruncie stosowania przywołanego przepisu wyróżnić należy co do zasady trzy rodzaje sytuacji:

1. organ stwierdza, że stan naruszenia przepisów o ochronie danych osobowych ma miejsce w dacie wydania decyzji – wówczas wydaje decyzję stosując jeden ze środków wskazanych w punktach 1-6 art. 18 ust. 1 ustawy o ochronie danych osobowych;

2. organ stwierdza, że naruszenie przepisów o ochronie danych osobowych nie ma miejsca w dacie wydania decyzji i nie dochodziło do niego w sprawie również w przeszłości – wówczas wydaje decyzję odmawiającą zastosowania środków wskazanych w punktach 1-6 art. 18 ust. 1 ustawy o ochronie danych osobowych (odmawiającą uwzględnienia skargi) z uwagi na brak spełnienia przesłanek ku temu wynikających z tego przepisu (tj. brak naruszenia przepisów o ochronie danych osobowych);

3. organ stwierdza, że miało miejsce naruszenie przepisów o ochronie danych osobowych, ale naruszenie to nie występuje już w dacie wydania decyzji – wydaje wówczas na podstawie art. 105 § 1 K.p.a. decyzję o umorzeniu postępowania jako bezprzedmiotowego z uwagi na brak możliwości zastosowania przez organ środków określonych w pkt 1-6 art. 18 ust. 1 ustawy o ochronie danych osobowych. W takim przypadku Generalny Inspektor Ochrony Danych Osobowych musi w uzasadnieniu decyzji wyraźnie wskazać, że naruszenie przepisów o ochronie danych osobowych miało miejsce, określić w jakim okresie i na czym polegało, oraz kiedy i dlaczego ustało.

Także w doktrynie prezentowany jest pogląd, iż organ – w sytuacji stwierdzenia w sprawie naruszenia przepisów o ochronie danych osobowych w przeszłości, nie mającego już jednak miejsca w dacie rozstrzygania – powinien umorzyć wszczęte postępowanie jako bezprzedmiotowe z uwagi na brak możliwości zastosowania środka z punktów 1-6 art. 18 ust. 1 ustawy o ochronie danych osobowych (por. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Warszawa 2015, s. 383; G. Sibiga, Postępowanie w sprawach ochrony danych osobowych, Warszawa 2003, s. 151). Podobne zapatrywanie przyjęto również w orzecznictwie Naczelnego Sądu Administracyjnego (zob. wyrok NSA z 10 listopada 2011 r., I OSK 1974/10, dostępny CBOSA).

Wybór jednego z przedstawionych wyżej typów rozstrzygnięć zależy od ustaleń organu co do stanu faktycznego, które muszą być tym samym dokładne i wyczerpujące w myśl art. 7 i art. 77 § 1 K.p.a.

W przywołanym wcześniej wyroku z 2 grudnia 2015 r., Naczelny Sąd Administracyjny podkreślił, że konieczność dokładnego wyjaśnienia i opisania w uzasadnieniu decyzji przez Generalnego Inspektora Ochrony Danych Osobowych stanu faktycznego sprawy, w szczególności tego, czy miało miejsce naruszenie przepisów o ochronie danych osobowych – ma istotne znaczenie z uwagi na potencjalną możliwość dochodzenia przez stronę naruszenia dóbr osobistych (art. 23 i art. 24 Kodeksu cywilnego). Podobnie z art. 19 ustawy o ochronie danych osobowych, ustanawiającego obowiązek GIODO – w razie stwierdzenia, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej będącej administratorem danych wyczerpuje znamiona przestępstwa określonego w ustawie – skierowania do organu powołanego do ścigania przestępstw zawiadomienia o popełnieniu przestępstwa, nie można wywodzić, że inne podmioty nie mogą do tych organów złożyć podobnego zawiadomienia. Ustalenie zatem przez GIODO nie tylko tego, czy naruszenie przepisów o ochronie danych osobowych ma miejsce w dacie wydania decyzji, ale również, czy miało miejsce w przeszłości – ma istotne znaczenie dla realizacji przez niego obowiązku z art. 19 ustawy, jak też dla możliwości zawiadomienia o przestępstwie z art. 49-54 ustawy przez stronę zainteresowaną. Zarówno zatem w przypadku postępowania o naruszenie dóbr osobistych dotyczących danych osobowych, jak i w przypadku zawiadomienia o popełnieniu przestępstwa z art. 49-54 ww. ustawy, ustalenia poczynione w uzasadnieniu decyzji administracyjnej przez fachowy organ powołany do ochrony danych osobowych, determinujące osnowę tej decyzji, mają ważkie znaczenie prawne.

Przenosząc powyższe uwagi natury ogólnej na grunt rozpoznawanej sprawy Sąd uznał, że organ nie zrealizował określonych powyżej obowiązków w odniesieniu do udostępnienia danych osobowych skarżącego na rzecz H. O.

Organ stanął na stanowisku, że skoro faktury zawierające dane skarżącego zostały złożone przez H. O. do akt postępowania prokuratorskiego, to organ ochrony danych osobowych nie jest władny do wydawania jakiegokolwiek nakazu, o których mowa w art. 18 ust. 1 ustawy. Jednocześnie organ stwierdził, że analiza materiału dowodowego wykazała, iż istnieje prawdopodobieństwo, że rzeczywiście do udostępnienia danych osobowych skarżącego na rzecz H. O. mogło dojść z naruszeniem przepisów ustawy, lecz brak jest dostatecznych dowodów to potwierdzających.

W świetle tego co powiedziano powyżej, takie stanowisko organu nie zasługuje na aprobatę. Nie może zostać uznane za działanie prawidłowe odesłanie skarżącego do Prokuratury w celu poszukiwania ochrony prawnej, skoro zwrócił się on do wyspecjalizowanego organu ochrony danych osobowych o zbadanie, czy nie doszło do nieuprawnionego udostępnienia jego danych osobowych.

Wobec jednoznacznego stanowiska skarżącego w tym zakresie wyrażonego w jego skardze, zgodnie z zasadami wynikającymi z art. 7 i 77 § K.p.a., obowiązkiem organu było poczynienie ustaleń faktycznych istotnych z uwagi na treść skargi, tak aby organ w formie stanowczej mógł orzec, czy do udostępnienia danych osobowych skarżącego na rzecz H. O. doszło z naruszenie przepisów ustawy o ochronie danych osobowych, czy też naruszenie zasad wynikających z ustawy nie miało miejsca. Nie do przyjęcia jest sytuacja, gdy organ określa jedynie, że istnieje prawdopodobieństwo, że rzeczywiście do udostępnienia danych skarżącego mogło dojść z naruszeniem przepisów ustawy, nie podając nawet na czym swoje przypuszczania opiera. Stanowisko organu winno być stanowcze, oparte na ustalonych dokładnie i wszechstronnie w toku postępowania okolicznościach sprawy, tak aby w zależności od rezultatów tego postępowania wyjaśniającego, tj. ustalonego stanu faktycznego, możliwe było wydanie rozstrzygnięcia stosownie do przedstawionej wyżej przez Sąd interpretacji modelu stosowania art. 18 ust. 1 ustawy o ochronie danych osobowych. Podkreślenia przy tym wymaga w odwołaniu do stanowiska Naczelnego Sądu Administracyjnego wyrażonego w wyroku z 10 grudnia 2015 r. (I OSK 1284/14, dostępny CBOSA), że postępowanie prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych nie ogranicza się tylko do postępowania gabinetowego opartego na listownej korespondencji z podmiotami. Przeciwnie, organ, z uwagi na art. 22 ustawy, ma obowiązek korzystać w danej sprawie ze wszystkich tych środków dowodowych określonych w art. 75-86 K.p.a., które mogą przyczynić się do wyjaśnienia stanu faktycznego sprawy. Przepisy ustawy o ochronie danych osobowych nie wprowadzają modyfikacji względem art. 7, 77 § 1 K.p.a.

Sąd zauważa, że skarżący w początkowej fazie postępowania nie wskazał adresu miejsca zamieszkania H. O., co jednak, jak słusznie wskazuje skarżący, nie mogło stanowić podstawy zwrotu skargi, do czego ostatecznie nie doszło, jednakże adres ten został podany przez skarżącego we wniosku o ponowne rozpatrzenie sprawy. Co najmniej zatem od tego momentu organ miał możliwość odebrania wyjaśnień od H. O., bądź też podjęcia innych działań określonych w art. 14 ustawy o ochronie danych osobowych, gdyby wyjaśnienia te okazały się niewystarczające dla ustalenia pełnego stanu faktycznego sprawy. W tych okolicznościach nieprawidłowe jest stanowisko organu zawarte w zaskarżonej decyzji, że odebranie wyjaśnień od H. O. nie miałoby znaczenia dla sprawy, a w konsekwencji dla jej rozstrzygnięcia. W świetle tego co powiedziano powyżej ustalenia faktyczne w omawianym zakresie miałyby bezpośredni wpływ na treść rozstrzygnięcia, jak i na możliwość realizacji przez skarżącego przysługujących mu uprawnień.

Rozpoznając ponownie sprawę organ uwzględni przedstawioną powyżej interpretację modelu stosowania art. 18 ustawy i odniesie ją do poczynionych w sprawie ustaleń faktycznych odnoszących się do udostępnienia danych osobowych skarżącego na rzecz H. O.

W przypadku, gdy ustalenia faktyczne poczynione w sprawie będą wskazywać na to, iż działanie lub zaniechanie administratora danych nosi znamiona przestępstwa, GIODO ma obowiązek skierowania zawiadomienia o popełnieniu przestępstwa do organu powołanego do ścigania przestępstw. Nie dokonuje tego jednak, jak w przypadku art. 18 ustawy w drodze decyzji administracyjnej, lecz w drodze wystąpienia, które stanowi realizację jego kompetencji w tej sprawie. Wskazuje na to zarówno wyraźne określenie formy decyzji w art. 18 ustawy, a brak tego określenia w art. 19 ustawy, jak i istota oraz znaczenie decyzji administracyjnej. Nakłada ona bowiem na stronę pewne uprawnienie lub obowiązek lub odmawia jego przyznania. Tymczasem wystąpienie do prokuratury z informacją o podejrzeniu przestępstwa nie ma takiego charakteru. Osoba dochodząca ochrony swych praw w trybie ustawy o ochronie danych osobowych nie jest podmiotem postępowania obliczonego na wydanie decyzji o zawiadomieniu stosownego organu o przestępstwie w zakresie przetwarzania danych osobowych i nie może się tego domagać od GIODO w administracyjno – prawnych formach przewidzianych ustawą. Sposób załatwienia sprawy co do meritum reguluje art. 18 ustawy, przyznając GIODO uprawnienia w zakresie nakazania administratorowi winnemu naruszeń przywrócenia stanu zgodnego z prawem.

Kierowanie zawiadomień o popełnieniu przestępstwa do organów ścigania należy do autonomicznych, samodzielnych kompetencji Generalnego Inspektora Ochrony Danych Osobowych, realizowanych przez niego z urzędu – a nie na wniosek osób zainteresowanych, na co wskazuje przepis art. 19 ustawy, stanowiąc "w razie stwierdzenia" i nie ma zapisów, które mówiłyby o wystosowywaniu takich zawiadomień na wniosek strony postępowania. Dlatego też zarzuty skarżącego w tym zakresie Sąd uznał za chybione.

Sąd nie podzielił również zasadniczych zarzutów skarżącego odnoszących się do udostępnienia danych osobowych skarżącego M. S., choć część z nich nie jest pozbawiona usprawiedliwionych podstaw, co jednak nie mogło skutkować częściowym oddaleniem skargi z uwagi na konstrukcję wydanej w sprawie decyzji.

W sprawie nie jest sporne, że pomiędzy wspólnikami spółki [...] A. W. T. W. zaistniał konflikt, który doprowadził do sprawy sądowej mającej na celu rozwiązanie Spółki i przyznanie wspólnikowi A. W. prawa do przejęcia majątku Spółki, które to roszczenia znajdują oparcie w art. 63 i 66 ustawie z 15 września 2000 r. Kodeks spółek handlowych. Prowadzenie tej sprawy A. W., jako wspólnik Spółki, której sprawa dotyczy, zleciła radcy prawnemu M. S., co w sposób jednoznaczny wynika z zawartej 1 listopada 2008 r. umowy. W ramach zawartej umowy pełnomocnikowi został umożliwiony dostęp do dokumentacji księgowo-rachunkowej ww. Spółki i do dokonania z jej zasobów odpisów, wyciągów i kopii. Kopie faktur zawierających dane osobowe skarżącego M. S. uzyskał realizując zapisy przywołanej umowy i przedłożył w Sądzie celem wykazania w zestawieniu z innymi dowodami przesłanek wynikających z art. 63 i 66 Kodeksu spółek handlowych. Faktury te zostały zaliczone w poczet materiału dowodowego sprawy. Z istoty zawartej [...] listopada 2008 r. umowy wynika, że nie mogła być ona zawarta przez oboje wspólników Spółki [...], jak i nie można wymagać jej potwierdzenia przez drugiego wspólnika. Pełnomocnictwo udzielone radcy prawnemu M. S. jest ściśle związane z konfliktem pomiędzy wspólnikami, który to konflikt ostatecznie rozstrzygał Sąd. A. W. i T. W., choć sprawa dotyczy założonej przez nich Spółki, są w istocie przeciwnikami procesowymi. Uprawnione było zatem przyjęcie przez organ, że udostępnienie danych osobowych skarżącego przez A. W. M. S. znajdowało oparcie w przesłance legalizującej z art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.

Zgodnie z przepisem art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, przetwarzanie danych osobowych jest dopuszczalne, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Prawnie usprawiedliwionym celem w przedmiotowej sprawie było dochodzenie określonych praw przed sądem, który faktury przedłożone przez pełnomocnika, dopuścił jako dowód w sprawie i było to, w zaistniałych okolicznościach faktycznych, działanie na rzecz Spółki. Brak jednocześnie podstaw by przyjąć, że proces przetwarzania danych osobowych skarżącego wiązał się z naruszeniem jakichkolwiek jego praw, czy wolności. Na podkreślenie zasługuje także, że GIODO nie miał podstaw, aby kwestionować istnienie stosunku umownego między stronami i wynikających stąd praw, jak i badać stosunki istniejące między wspólnikami. Uprawniony był do przeanalizowania umowy z [...] listopada 2008 r., co też uczynił.

Jako nieprawidłowe Sąd uznał natomiast stanowisko organu, stosownie do którego udostępnienie danych osobowych skarżącego radcy prawnemu M. S. znajdowało oparcie w art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych. Zgodnie z tym przepisem przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. Dopuszczalne jest zatem przetwarzanie danych osobowych danej osoby przez jej kontrahenta, w taki sposób i w takim zakresie, w jakim jest to niezbędne do wywiązania się z umowy, bądź też w trakcie różnorakich procedur prowadzących do zawarcia umowy. Nie ulega wątpliwości, że skarżący nie był stroną umowy z [...] listopada 2008 r., a zatem ta przesłanka legalizująca nie mogła mieć w sprawie zastosowania. Jako jednak, że każda z wymienionych w art. 23 ustawy o ochronie danych osobowych okoliczności usprawiedliwiających przetwarzanie danych ma charakter autonomiczny i niezależny, w sprawie dla uznania legalności przekazania danych radcy prawnemu M. S., wystarczające było zaistnienie przesłanki określonej w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.

W odniesieniu do zarzutu rażącego naruszenia przepisów postępowania w zakresie terminów załatwienia sprawy, tj. art. 35 § 1 i 3 oraz art. 36 § 1 K.p.a. oraz naruszenia praw strony wynikających z art. 10 § 1 K.p.a., wskazać należy, że aby możliwe było uchylenie decyzji z uwagi na naruszenie przepisów postępowania, koniecznym jest wykazanie istotnego wpływu tego rodzaju uchybień na wynik sprawy. W rozpoznawanej sprawie, co jest okolicznością niekwestionowaną przez organ, nastąpiło znaczne przekroczenie terminów, w jakich organ sprawę winien był załatwić. Uchybienie to nie ma jednak jakiegokolwiek wpływu na wynik sprawy, na który to wpływ nie wskazuje sam skarżący. W zakresie zawiadomienia strony o zakończeniu postępowania dowodowego, możliwości zapoznania się z aktami sprawy i wypowiedzenia się w kwestii zebranych dowodów przed wydaniem decyzji w II instancji, zwrócić należy uwagę, że organ zrealizował powyższy obowiązek, na co wskazuje treść pisma z 4 grudnia 2013 r., odebranego przez skarżącego 12 grudnia 2013 r. Wprawdzie decyzja została wydana prawie półtora roku później, ale ta okoliczność nie może świadczyć o naruszeniu art. 10 K.p.a.

Mając wszystkie powyższe okoliczności na uwadze Sąd, na zasadzie art. 145 § 1 pkt 1 lit a i c P.p.s.a., orzekł jak w pkt 1 sentencji wyroku. O zwrocie kosztów postępowania obejmujących uiszczony wpis sądowy i koszty przejazdu do Sądu, Sąd orzekł na podstawie art. 200 w zw. z art. 205 § 1 P.p.s.a.