Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Karolina Kisielewicz, Sędzia WSA Agnieszka Góra-Błaszczykowska, Sędzia WSA Piotr Borowiecki (spr.), , Protokolant starszy specjalista Bogumiła Kobierska, po rozpoznaniu na rozprawie w dniu 5 kwietnia 2022 r. sprawy ze skargi S. Z. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] kwietnia 2021 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę

Zaskarżoną decyzją z dnia [...] kwietnia 2021 r., nr [...], Prezes Urzędu Ochrony Danych Osobowych (dalej także: "Prezes UODO" lub "organ nadzorczy"), działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (tekst jednolity Dz. U. z 2021 r., poz. 735 ze zm. - dalej także: "k.p.a.") oraz art. 7 ust. 1 i ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (tekst jednolity Dz. U. z 2019 r., poz. 1781 - dalej także: "u.o.d.o."), a także art. 5, art. 6 ust. 1 lit. e, art. 28 oraz art. 58 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. EU L 119 z dnia 4 maja 2016 r., str. 1 oraz Dz. Urz. UE L 127 z dnia 23 maja 2018, str. 2 ze zm. - dalej także: "RODO"), po przeprowadzeniu postępowania administracyjnego w sprawie zainicjowanej skargą wniesioną przez S.Z. (dalej także: "skarżący" lub "strona skarżąca") na nieprawidłowości w procesie przetwarzania danych osobowych jego małoletniej córki Z.Z. przez Szkołę Podstawową nr [...] im. [...] w J. (dalej także: "Szkoła" lub "administrator danych") polegające na przetwarzaniu danych osobowych małoletniej Z.Z. za pośrednictwem platformy MS Teams podczas prowadzenia zdalnego nauczania bez podstawy prawnej - zgody rodziców, a w konsekwencji udostępnienia jej danych podmiotowi nieuprawnionemu - operatorowi platformy MS Teams oraz przetwarzaniu jej danych osobowych za pośrednictwem powyższej platformy bez spełnienia obowiązków informacyjnych wynikających z art. 13 i art. 14 RODO - odmówił uwzględnienia wniosku.

Zaskarżona decyzja Prezesa UODO została wydana w następującym stanie faktycznym.

W piśmie z dnia [...] listopada 2020 r. do Prezesa Urzędu Ochrony Danych Osobowych wpłynęła skarga S.Z. na nieprawidłowości w procesie przetwarzania danych osobowych jego małoletniej córki Z.Z. przez Szkołę Podstawową nr [...] im. [...] w J. polegające na przetwarzaniu danych osobowych małoletniej Z.Z. za pośrednictwem platformy MS Teams podczas prowadzenia zdalnego nauczania bez podstawy prawnej - zgody rodziców, a w konsekwencji udostępnienia jej danych podmiotowi nieuprawnionemu - operatorowi platformy MS Teams oraz przetwarzaniu jej danych osobowych za pośrednictwem powyższej platformy bez spełnienia obowiązków informacyjnych wynikających z art. 13 i art. 14 RODO.

W związku z wniesioną skargą, Prezes Urzędu Ochrony Danych Osobowych przeprowadził postępowanie wyjaśniające, w toku którego zwrócił się o stosowne wyjaśnienia zarówno do Szkoły, jako administratora danych, jak i do skarżącego, jako wnoszącego skargę.

W piśmie z dnia [...] grudnia 2020 r. Szkoła wyjaśniła, że przetwarza dane osobowe Z.Z. za pośrednictwem platformy MS Teams w kategorii danych obejmujących imię oraz nazwisko. Szkoła poinformowała, że przetwarzanie powyższych danych jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO) w związku z realizacją przez Szkołę określonych w przepisach prawa zadań dydaktycznych, wychowawczych i opiekuńczych takich, jak: realizacja procesu nauczania, ewidencjonowanie uczniów na potrzeby procesu nauczania, prowadzenie dziennika lekcyjnego, realizacja zajęć dodatkowych, zadań z zakresu BHP, żywienia uczniów, wypożyczania książek z biblioteki szkolnej, realizacji zajęć w świetlicy szkolnej. Szkoła stwierdziła, że przetwarzanie danych osobowych dzieci oraz ich rodziców odbywa się zgodnie z przepisami ustawy z dnia 7 września 1991 r. o systemie oświaty (tekst jednolity Dz. U. z 2021 r., poz. 1915 ze zm.) i rozporządzenia Ministra Edukacji Narodowej z dnia 25 sierpnia 2017 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (Dz.U. z 2017 r., poz. 1646 ze zm.), a także ustawy z dnia 14 grudnia 2016 r. - Prawo oświatowe (tekst jednolity Dz. U. z 2021 r., poz. 1082 ze zm.). Ponadto, z wyjaśnień Szkoły wynikało również, że podanie danych osobowych w celu wykonania obowiązku prawnego ciążącego na administratorze jest wymogiem ustawowym, a niewskazanie omawianych danych skutkowałoby niemożnością realizowania zadań oświatowych wobec ucznia.

Szkoła wyjaśniła ponadto, że w roku szkolnym 2020/2021 nauczanie zdalne jest prowadzone w Szkole w czasie rzeczywistym, zgodnie z planem lekcji, w większości za pomocą platformy MS Teams. Jednocześnie, Szkoła wskazała, że zdalne nauczanie zostało wprowadzone w oparciu o przepisy rozporządzeń Ministra Edukacji Narodowej odpowiednio z 20 marca 2020 r. oraz z dnia 12 sierpnia 2020 r. w sprawie czasowego ograniczenia funkcjonowania jednostek systemu oświaty w związku z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19 (odpowiednio: Dz. U. z 2020 r., poz. 493 ze zm. oraz Dz. U z 2020 r., poz. 1394 ze zm. - dalej także: rozporządzenie MEN z dnia 20 marca 2020 r. oraz rozporządzenie MEN z dnia 12 sierpnia 2020 r.), zgodnie z którymi w roku szkolnym 2020/2021 ogranicza się w całości lub w części funkcjonowanie publicznych i niepublicznych jednostek systemu oświaty, w których wszystkie lub poszczególne zajęcia zostały zawieszone na podstawie przepisów wydanych na podstawie odpowiednio: art. 95a ustawy o systemie oświaty, w brzmieniu obowiązującym przed dniem 1 września 2017 r., a także art. 32 ust. 11 oraz art. 47 ust. 3 pkt 1 ustawy - Prawo oświatowe. Szkoła wskazała, że powyższe rozwiązanie wprowadzono w związku z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19.

Ponadto, Szkoły wyjaśniła, że w celu prowadzenia zdalnego nauczania przetwarza dane osobowe małoletniej Z.Z. jedynie w kategorii zwykłych danych osobowych, tj. imienia i nazwiska. Szkoła oświadczyła jednocześnie, że nie zawierała osobnej (w wersji papierowej) umowy na przetwarzanie danych z operatorem platformy MS Teams. Wskazała jednocześnie, że umową powierzenia danych są dokumenty "Postanowienia Dotyczące Usług Online" (OST) oraz "Dodatek dotyczący Ochrony Danych w ramach Usług Online Microsoft" (DPA).

Ustosunkowując się do kwestii realizacji obowiązku informacyjnego wobec skarżącego i jego małoletniej córki, Szkoła wskazała, że klauzula informacyjna o podstawowych zasadach i zakresie zbierania danych oraz administratorze została przekazana przez platformę MS Teams podczas zakładania konta oraz logowania. Ponadto, Szkoła wskazała, że skarżący otrzymał informację o klauzuli informacyjnej także w wiadomości przesłanej poprzez dziennik elektroniczny z dnia [...] października 2020 r. o treści.: "informuję, że korzystanie z platformy Microsoft Teams jest zgodne z prawem. Administratorem danych pozostaje Dyrektor szkoły, a Microsoft Teams przejmuje rolę Procesora. Dane wykorzystane do założenia konta to: imię nazwisko dziecka oraz klasa. Proszę, aby Z. zalogowała się na platformie Teams i uczestniczyła w lekcjach online jak pozostałe dzieci w naszej szkole". Szkoła zauważyła jednocześnie, iż nie przesyłała odrębnych klauzul informacyjnych poza uzyskanymi we wcześniejszym toku edukacji (tj. przy zapisaniu do szkoły, czy też wejściu w życie przepisów RODO).

Ponadto, Szkoła wyjaśniła, że skarżący nie zwracał się z wnioskiem o zaprzestanie przetwarzania danych osobowych jego małoletniej córki za pośrednictwem platformy MS Teams.

Z kolei w piśmie z dnia [...] lutego 2021 r. Szkoła poinformowała organ nadzorczy, że przy rejestracji nie były wykorzystywane prywatne adresy e-mail uczniów (w tym córki skarżącego). Szkoła zauważyła jednocześnie, że za pośrednictwem własnego serwera wygenerowała skrzynki i adresy mailowe uczniów, które zostały użyte do rejestracji na platformie MS Teams.

W wyniku analizy zgromadzonego materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych - działając na podstawie przepisów art 104 § 1 k.p.a. oraz art. 7 ust. 1 i ust. 2 u.o.d.o., a także art. 5, art. 6 ust. 1 lit. e, art. 28 oraz art. 58 ust. 2 RODO - wydał w dniu [...] kwietnia 2021 r. decyzję nr [...], na mocy której odmówił uwzględnienia wniosku skarżącego S.Z. zawartego w jego skardze z dnia [...] listopada 2020 r.

W uzasadnieniu decyzji Prezes UODO zauważył na wstępie, że przedmiotem postępowania jest zarzut przetwarzania danych osobowych małoletniej córki skarżącego w zakresie jej imienia, nazwiska oraz adresu e-mail (utworzonego przez Szkołę) oraz numeru klasy. W tej sytuacji, jak podniósł organ nadzorczy, bezprawne przetwarzanie danych osobowych we wskazanym zakresie miało polegać m.in. na udostępnieniu tych danych podmiotowi nieuprawnionemu, a zatem sprawa dotyczy danych z zakresu tzw. "danych zwykłych", których przetwarzanie regulowane jest w art. 6 ust. 1 RODO, zgodnie z którym przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie.

Organ nadzorczy podkreślił jednocześnie, że proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO, do których to zasad zalicza się między innymi ograniczenie celu przetwarzania (art. 5 ust. 1 lit. b RODO), jak również minimalizacja przetwarzanych danych (art. 5 ust. 1 lit. c RODO). Organ nadzorczy wskazał, że wspomniane wyżej zasady wymagają, by proces przetwarzania był ukierunkowany na konkretny, wyraźny i prawnie uzasadniony cel, a także by zakres danych osobowych przetwarzanych w określonym celu był ograniczony do jak najmniejszego.

Przechodząc do analizy stanu faktycznego rozstrzyganej sprawy, Prezes UODO organ nadzorczy wskazał, że ze zgromadzonego w sprawie materiału dowodowego wynika, że Szkoła, jako administrator danych, przetwarza dane osobowe małoletniej córki skarżącego w celu prowadzenia zdalnego nauczania za pośrednictwem platformy Microsoft Teams w związku z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19.

Organ nadzorczy zauważył, że zgodnie z art. 35 ust. 1 i 2 ustawy - Prawo oświatowe, nauka jest obowiązkowa do ukończenia 18 roku życia, a obowiązek szkolny dziecka rozpoczyna się z początkiem roku szkolnego w roku kalendarzowym, w którym dziecko kończy 7 lat, a trwa do ukończenia szkoły podstawowej, nie dłużej jednak niż do ukończenia 18. roku życia.

Powołując się z kolei na przepis art. 30b ustawy - Prawo oświatowe, organ nadzorczy wskazał, że w przypadkach uzasadnionych nadzwyczajnymi okolicznościami zagrażającymi życiu lub zdrowiu dzieci i młodzieży minister właściwy do spraw oświaty i wychowania, w drodze rozporządzenia, może czasowo ograniczyć lub czasowo zawiesić funkcjonowanie jednostek systemu oświaty na obszarze kraju lub jego części, uwzględniając stopień zagrożenia na danym obszarze.

Ponadto, organ nadzorczy powołał się na brzemiennie art. 30c ustawy - Prawo oświatowe, zgodnie z którym w przypadku, o którym mowa w art. 30b, minister właściwy do spraw oświaty i wychowania, w drodze rozporządzenia, może wyłączyć stosowanie niektórych przepisów niniejszej ustawy, ustawy o systemie oświaty oraz ustawy o finansowaniu zadań oświatowych w odniesieniu do wszystkich lub niektórych jednostek systemu oświaty, o których mowa w przepisach wydanych na podstawie art. 30b, w szczególności w zakresie przeprowadzania postępowania rekrutacyjnego, oceniania, klasyfikowania i promowania uczniów, przeprowadzania egzaminów, organizacji roku szkolnego i organizacji pracy tych jednostek, a także wprowadzić w tym zakresie odrębne unormowania, tak aby zapewnić prawidłową realizację celów i zadań tych jednostek.

Jednocześnie, Prezes UODO wskazał na przepis § 1 rozporządzenia Ministra Edukacji Narodowej z dnia 20 marca 2020 r. w sprawie szczególnych rozwiązań w okresie czasowego ograniczenia funkcjonowania jednostek systemu oświaty w związku z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, w świetle którego przewidziano, iż w okresie czasowego ograniczenia funkcjonowania jednostek systemu oświaty w związku z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, dyrektor jednostki systemu oświaty odpowiada za organizację realizacji zadań tej jednostki z wykorzystaniem metod i technik kształcenia na odległość lub innego sposobu realizacji tych zadań, zgodnie z przepisami wydanymi na podstawie art. 30b ustawy - Prawo oświatowe.

Z kolei, odwołując się do przepisu § 1 ust. 1 rozporządzenia Ministra Edukacji Narodowej z dnia 12 sierpnia 2020 r. w sprawie czasowego ograniczenia funkcjonowania jednostek systemu oświaty w związku z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, organ nadzorczy zauważył, że w świetle tego przepisu w roku szkolnym 2020/2021 ogranicza się w całości lub w części funkcjonowanie publicznych i niepublicznych jednostek systemu oświaty, w których odpowiednio wszystkie lub poszczególne zajęcia zostały zawieszone na podstawie przepisów wydanych na podstawie odpowiednio: art. 95a ustawy o systemie oświaty, w brzmieniu obowiązującym przed dniem 1 września 2017 r., art. 32 ust. 11 oraz art. 47 ust. 3 pkt 1 ustawy - Prawo oświatowe, w związku z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19.

Organ wskazał ponadto, że zgodnie § 1 ust. 2 cyt. rozporządzenia Ministra Edukacji Narodowej z dnia 12 sierpnia 2020 r. zdecydowano, iż ograniczenie, o którym mowa w ust. 1, wprowadza się na czas, na jaki zostały zawieszone odpowiednio wszystkie lub poszczególne zajęcia.

Mając na uwadze powyższe, Prezes UODO stwierdził, że Szkoła przetwarza dane osobowe małoletniej córki skarżącego w zakresie imienia, nazwiska i adresu e-mail (stworzonego przez Szkołę) na potrzeby zdalnego nauczania, a więc zgodnie z art. 6 ust. 1 lit. e RODO.

Prezes UODO uznał, że dane osobowe małoletniej córki skarżącego są przetwarzane przez Szkołę w celu realizacji obowiązku nauki w formie zdalnej w związku z art. 35 i art. 30c ustawy - Prawo oświatowe w związku z § 1 ust. 1 rozporządzenia Ministra Edukacji Narodowej z dnia 12 sierpnia 2020 r. w sprawie czasowego ograniczenia funkcjonowania jednostek systemu oświaty w związku z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19 oraz w związku z § 1 rozporządzenia Ministra Edukacji Narodowej z dnia 20 marca 2020 r. w sprawie szczególnych rozwiązań w okresie czasowego ograniczenia funkcjonowania jednostek systemu oświaty w związku z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19.

Ustosunkowując się do kwestionowanego przez skarżącego udostępnienia danych osobowych jego małoletniej córki przez Szkołę na rzecz operatora platformy Microsoft Teams - firmy Microsoft Corporation, organ nadzorczy wskazał, że zgodnie z art. 28 ust. 3 RODO przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.

Prezes UODO podniósł, odwołując się do treści wspomnianego art. 28 ust. 3 RODO, że umowa ta lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający:

a) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora - co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej - chyba, że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;

b) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;

c) podejmuje wszelkie środki wymagane na mocy art. 32 RODO;

d) przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 i 4;

e) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;

f) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32-36 RODO;

g) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;

h) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji i przyczynia się do nich.

Mając na względzie powyższe, Prezes UODO wskazał, że umowa z Microsoft Corporation na świadczenie usług online, podobnie jak licencja na oprogramowanie, ma charakter standardowy i nie podlega negocjacjom. W tej sytuacji, organ nadzorczy podkreślił, że Szkoła rozpoczynając korzystanie z usługi Microsoft Teams powinna odnotować, w celu rozliczalności procesu przetwarzania, te czynności, jakie zostały dokonane w momencie uruchomienia usługi. Prezes UODO zauważył jednocześnie, że umową powierzenia danych przez Szkołę z Microsoft Corporation są dokumenty "Postanowienia Dotyczące Usług Online" (OST) oraz "Dodatek dotyczący Ochrony Danych w ramach Usług Online Microsoft" (DPA).

W związku z powyższym, Prezes UODO stwierdził, że udostępnienie danych małoletniej córki skarżącego przez Szkołę znajduje oparcie w art. 28 ust. 3 RODO oraz było zgodne z art. 5 ust. 1 lit. c RODO.

Tym samym, jak uznał organ nadzorczy, nie doszło w przedmiotowej sprawie do naruszenia ochrony danych osobowych małoletniej córki skarżącego poprzez udostępnienie jej danych przez Szkołę na rzecz podmiotów nieuprawnionych.

Odnosząc się z kolei do zarzutu skarżącego dotyczącego niespełnienia przez Szkołę obowiązku informacyjnego w związku z przetwarzaniem danych osobowych jego małoletniej córki, Prezes UODO wskazał, że zgodnie z art. 13 ust. 3 RODO, jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż ten, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2 przywołanego przepisu. Ponadto organ nadzorczy zauważył, że zgodnie z art. 13 ust. 4 RODO, przepisy wyrażone w art. 13 ust. 1, ust. 2 2 i ust. 3 nie mają zastosowania, gdy osoba, której dane dotyczą, dysponuje już tymi informacjami.

W tej sytuacji, Prezes UODO podkreślił zatem, że Szkoła miała obowiązek poinformować skarżącego o sposobie realizacji nauki zdalnej, a także korzystając z nowych narzędzi lub usług świadczonych przez podmioty zewnętrzne była zobowiązana poinformować o tym, jak w tym zakresie będą przetwarzane dane osobowe.

W konsekwencji, organ nadzorczy stwierdził, że ze zgromadzonego w sprawie materiału dowodowego wynika, że Szkoła spełniła wobec skarżącego wskazany obowiązek informacyjny w związku z prowadzeniem zdalnego nauczania za pośrednictwem platformy Microsoft Teams w wiadomości przesłanej poprzez dziennik elektroniczny w dniu [...] października 2020 r., w której - zdaniem organu nadzorczego - prawidłowo wskazała narzędzie wykorzystywane do prowadzenia nauczania, zakres przetwarzanych danych małoletniej córki skarżącego oraz role podmiotów przetwarzających dane.

Tym samym, Prezes UODO stwierdził, że Szkoła prawidłowo spełniła wobec skarżącego obowiązek informacyjny wynikający z art. 13 ust. 3 RODO.

W piśmie z dnia [...] maja 2021 r. skarżący, działając za pośrednictwem organu nadzorczego, wniósł do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na w/w decyzję Prezesa UODO z dnia [...] kwietnia 2021 r.

W petitum skargi strona skarżąca wniosła o uchylenie zaskarżonej decyzji w całości oraz przekazanie organowi sprawy do ponownego rozpoznania.

W uzasadnieniu skargi strona skarżąca zarzuciła, że nie zgadza się z organem nadzorczym, jakoby Szkoła była uprawniona do przetwarzania danych osobowych jego małoletniej córki bez zgody opiekuna prawnego, za pośrednictwem programu MS Teams, w warunkach gdy dane ucznia są przechowywane na serwerze zewnętrznym należącym do prywatnej spółki Microsoft, mającej siedzibę poza terytorium Unii Europejskiej.

Skarżący uznał, że żaden z przywołanych w spornej decyzji przez Prezesa UODO przepisów prawnych nie daje Szkole uprawnienia do przetwarzania danych osobowych uczniów we wskazywanym zakresie.

Skarżący zauważył, że jeśli chodzi o przywołany przez organ przepis art. 35 ustawy - Prawo oświatowe, to stwierdzić należy, iż wprowadza on wyłącznie obowiązek szkolny. Według skarżącego, z przepisu tego nie wynika, w jaki sposób i przy wykorzystaniu jakich technik ma się odbywać edukacja dzieci w wieku szkolnym. Jednocześnie, skarżący podkreślił, że przepis ten nie reguluje również, że obowiązek ten ma się odbywać w przypadku tzw. zdalnego nauczania (termin potoczny, chodzi o "nauczanie przy wykorzystaniu technik i metod nauczania na odległość") przy wykorzystaniu narzędzi informatycznych oferowanych przez prywatną spółkę wchodzącą w skład korporacji Microsoft.

Ponadto, skarżący stwierdził, że również przywoływany przez organ nadzorczy art. 30c ustawy - Prawo oświatowe nie stanowi o powyższym, a zawiera wyłącznie delegację dla ministra do wydania określonych tym przepisem regulacji prawnych.

Skarżący uznał, że także przepisy przywołanych przez organ rozporządzeń wykonawczych, a więc zarówno § 1 ust. 1 rozporządzenia Ministra Edukacji Narodowej z dnia 12 sierpnia 2020 r. w sprawie czasowego ograniczenia funkcjonowania jednostek systemu oświaty w związku z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, jak również § 1 rozporządzenia Ministra Edukacji Narodowej z dnia 20 marca 2020 r. w sprawie szczególnych rozwiązań w okresie czasowego ograniczenia funkcjonowania jednostek systemu oświaty w związku z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19 - nie wprowadzają obowiązkowej nauki przy wykorzystaniu oprogramowania MS Teams oraz nie upoważniają szkół do przetwarzania danych osobowych uczniów bez zgody ich prawnych opiekunów w szerszym zakresie niż typowy.

Skarżący zauważył wprawdzie, że § 1 ust. 1 pkt 1 cyt. rozporządzenia Ministra Edukacji Narodowej z dnia 20 marca 2020 r. nakłada na dyrektora, we współpracy z nauczycielami, ustalenia "technologii informacyjno-komunikacyjnych wykorzystywanych przez nauczycieli do realizacji zajęć", niemniej - jak podniósł skarżący - nie wynika z tego bynajmniej, że ów przepis nakłada obowiązek korzystania z określonych technologii. Co więcej, zdaniem skarżącego, z regulacji tej nie wynika nawet to, że muszą być to technologie on-line, tj. umożliwiające kontakt audio i wideo czasie rzeczywistym.

Według skarżącego, oznacza to, że zdalne nauczanie może się odbywać poprzez wykorzystywanie szeregu rozwiązań informatycznych, które nie wymagają podawania danych osobowych uczniów, a nawet nie wymagają założenia konta użytkownika. Jako przykład skarżący wskazał komunikator Skype, na którym wystarczające jest przesłanie tzw. linka umożliwiające udział w komunikacji grupowej (szkolenie, narada, czy też lekcja). Skarżący zauważył, że takich oprogramowań jest wiele. Na marginesie skarżący podniósł, iż możliwe było też korzystanie w konwersacji zbiorowej on-line przez MS Teams bez zakładania konta, a więc odbywa się to wówczas w analogiczny sposób, jak korzystanie z aplikacji Skype (uczestnik otrzymuje linka przez, który sam loguje się do MS Teams).

Ponadto, skarżący zwrócił w tym miejscu uwagę na rozwiązanie oferowane również przez samo Ministerstwo Edukacji i Nauki, wskazując na Zintegrowaną Platformę Edukacyjną, która jako narzędzie rekomendowana jest przez MEiN (skarżący powołał się na informację zawartą na stronie internetowej Centrum Edukacji Informatycznej - https://cie.gov.pl/zpe/). Skarżący stwierdził, że jest to profesjonalne, przyjazne i bezpieczne dla użytkowników narzędzie rekomendowane przez Ministerstwo Edukacji i Nauki do wykorzystywania przez szkoły w nauczaniu na odległość. Jednocześnie, skarżący zauważył, że platforma ta nie wymaga wprowadzania danych osobowych uczniów, które są importowane z zasobów z Systemu Informacji Oświatowej.

W związku z powyższym, skarżący podkreślił, że żaden przepis prawa nie upoważnia szkół do przetwarzania danych osobowych uczniów za pośrednictwem MS Teams, a tym bardziej do przekazywania danych osobowych uczniów spółce Microsoft.

W tym miejscu skarżący zwrócił uwagę na praktykę Szkoły. I tak, podniósł on, że podczas pierwszej fali pandemii Szkoła korzystała z programu MS Teams. Nie było to jednak obligatoryjne, jak zauważył skarżący, a więc rodzice mogli wyrazić na to zgodę, ale również mogli jej nie wyrazić i wówczas dane ucznia nie były przetwarzane w systemie Microsoftu. Mimo to, jak wskazał skarżący, nauczanie zdalne w Szkole się jednak odbywało, a więc było zatem możliwe zorganizowanie nauczania w sposób taki, by nie przetwarzać w sposób budzący kontrowersje danych osobowych uczniów.

Niezależenie od powyższego, skarżący stwierdził, że - wbrew ustaleniom organu nadzorczego - nie wnosił on o zaprzestanie przetwarzania danych osobowych. Skarżący wskazał, że w wiadomości przesłanej przez Librus do dyrekcji Szkoły w dniu [...] października 2020 napisał, że "Prewencyjnie oświadczam, że nie wyrażam zgody na przekazanie danych osobowych mojego dziecka do przetwarzania na serwerach podmiotu zewnętrznego udostępniającego oprogramowanie MS Teams z wszelkimi tego konsekwencjami". Z kolei, jak podniósł skarżący, w dniu [...] października 2020 r. napisał w dzienniku elektronicznym, że "Proszę zwrócić [uwagę], że nie wyraziłem sprzeciwu przeciw nauczaniu przy wykorzystaniu MS Teams. Pytałem, czy nauczanie takie jest nadal nieobowiązkowe. Wyraziłem natomiast sprzeciw przeciwko przekazaniu danych osobowych operatorowi MS Teams". Jednak mimo to, jak podkreślił skarżący, Szkoła założyła jego córce konto na platformie MS Teams, które jest utrzymywane do momentu wniesienia skargi do Sądu.

Ponadto, skarżący zarzucił, że Prezes UODO niewłaściwie ocenił, że Szkoła wypełniła obowiązek informacyjny określony w art. 13 i art. 14 RODO, przesyłając w dniu [...] października 2020 r., za pośrednictwem dziennika elektronicznego, wiadomość o treści: "(...) informuję, że korzystanie z platformy Microsoft Teams jest zgodne z prawem. Administratorem danych pozostaje Dyrektor Szkoły, a Microsoft Teams przejmuje rolę Procesora. Dane wykorzystane do założenia konta to: imię, nazwisko dziecka oraz klasa. Proszę, aby Z. zalogowała się na platformie Teams i uczestniczyła w lekcjach online, jak pozostałe dzieci w naszej szkole".

Skarżący wskazuje przy tym, że nie rozumie pojęcia Procesor, który to termin - jako pozaustawowy - nie ma definicji legalnej. Informacja taka, jak zauważył skarżący, stanowi jedynie jakiś nieoficjalny żargon specjalistów z wąskiej branży danych osobowych, który nie jest zrozumiały dla przeciętnego odbiorcy.

W tej sytuacji, w ocenie skarżącego, Szkoła nie dopełniła obowiązku informacyjnego przewidzianego w art. 13 i art. 14 RODO.

Powołując się na brzmienie obu wskazanych powyżej przepisów RODO, skarżący uznał, że już pobieżna analiza ich treści wskazuje na to, iż - wbrew rozstrzygnięciu organu nadzorczego - w wielu punktach obowiązek informacyjny nie został zrealizowany przez Szkołę. W konsekwencji, skarżący stwierdził, że można odnieść wrażenie, iż w niniejszej sprawie rozchodzi się wyłącznie o obronę majestatu jednostki publicznej, jaką jest szkoła pozostająca w systemie edukacji publicznej.

Skarżący nadmienił jednocześnie, że wspomniana wyżej wiadomość ze strony Szkoły została nadana dopiero na żądanie skarżącego.

Ponadto, strona skarżąca podkreśliła, że w kwietniu 2020 r., przy pierwszej fali pandemii Szkoła przesyłała klauzule informacyjne rodzicom, którzy wyrazili gotowość korzystania z MS Teams w formie bardziej tradycyjnej i niebudzącej kontrowersji. W tej sytuacji, skarżący stwierdził, że nie wiadomo, co stało na przeszkodzie, by zastosować w tym przypadku klauzulę analogiczną.

W odpowiedzi na skargę Prezes UODO wniósł o jej oddalenie, podtrzymując swoje dotychczasowe stanowisko wyrażone w uzasadnieniu zaskarżonej decyzji.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.

Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (tekst jednolity Dz. U. z 2021 r., poz. 137 ze zm.), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.

W świetle powołanych przepisów cyt. ustawy, Wojewódzki Sąd Administracyjny w Warszawie, w zakresie swojej właściwości, ocenia zaskarżoną decyzję administracyjną, postanowienie, czy też inny akt lub czynność z zakresu administracji publicznej dotyczącą uprawnień lub obowiązków wynikających z przepisów prawa, z punktu widzenia ich zgodności z prawem materialnym i przepisami postępowania administracyjnego, według stanu faktycznego i prawnego obowiązującego w dacie wydania tego aktu lub podjęcia spornej czynności. Chodzi więc o kontrolę aktów lub czynności z zakresu administracji publicznej dokonywaną wyłącznie pod względem ich zgodności z prawem materialnym i przepisami procesowymi, nie zaś według kryteriów słuszności, czy też zgodności z zasadami współżycia społecznego.

Ponadto, co wymaga podkreślenia, Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną (vide: art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi - tekst jednolity Dz. U. z 2022 r., poz. 329 ze zm. - dalej także: "P.p.s.a.").

Należy jednocześnie wyraźnie zaznaczyć, że od dnia wejścia w życie Traktatu Akcesyjnego z dnia 16 kwietnia 2003 r. (Dz. U. z 2004 r. Nr 90, poz. 864), na mocy którego Polska stała się państwem członkowskim Unii Europejskiej, kontrola sądu administracyjnego obejmuje również zgodność rozstrzygnięć organów administracji publicznej z prawem europejskim (prawem Unii Europejskiej), rozumianym, jako całokształt dorobku prawnego Unii Europejskiej (acquis communautaire), w tym zasad ogólnych prawa europejskiego, interpretowanych oraz stosowanych w sposób jednolity na całym obszarze Unii Europejskiej.

W tej sytuacji, Wojewódzki Sąd Administracyjny w Warszawie, dokonując oceny legalności zaskarżonej decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] kwietnia 2021 r., zobowiązany był zbadać jej zgodność przede wszystkim z przepisami prawa europejskiego, w tym w szczególności z regulacjami prawnymi zawartymi w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych - zwane także: "RODO").

W ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie, analizowana pod tym kątem skarga S.Z. nie zasługuje na uwzględnienie, albowiem zaskarżona decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] kwietnia 2021 r., nr [...] - nie narusza obowiązujących przepisów prawa.

Sąd uznał bowiem, że Prezes UODO, wydając sporną decyzję administracyjną z dnia [...] kwietnia 2021 r., nie dopuścił się naruszenia zarówno wiążących Polskę przepisów prawa europejskiego, jak i regulacji prawa krajowego, w stopniu mającym istotny wpływ na końcowy wynik sprawy zakończonej wydaniem wspomnianej wyżej decyzji.

Analizując niniejszą sprawę, Sąd uznał, że organ nadzorczy, wydając sporną decyzję administracyjną, przede wszystkim nie dopuścił się - mogącego mieć zasadniczy wpływ na wynik sprawy - naruszenia przepisów procedury administracyjnej, w szczególności art. 7 k.p.a., art. 77 § 1 k.p.a. i art. 80 k.p.a. w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (tekst jednolity Dz. U. z 2019 r., poz. 1781), albowiem - wbrew zarzutom strony skarżącej - w sposób wyczerpujący zebrał i rozpatrzył cały istotny materiał dowodowy, a także podjął wszelkie kroki niezbędne do dokładnego wyjaśnienia stanu faktycznego i załatwienia sprawy, co w konsekwencji skutkowało uzasadnionym nieuwzględnieniem skargi S.Z. z dnia [...] listopada 2020 r.

W ocenie Sądu, organ nadzorczy wyjaśnił wszystkie okoliczności istotne dla prawidłowego i pełnego rozstrzygnięcia sprawy, a także dokonał właściwej oceny zebranego w sprawie materiału dowodowego, przeprowadzając jednocześnie ową ocenę w kontekście właściwie zastosowanych przepisów prawa materialnego.

Ponadto, Sąd stwierdził, że w uzasadnieniu zaskarżonej decyzji Prezesa UODO z dnia [...] kwietnia 2021 r. wyjaśnione zostały w sposób dostatecznie jasny i przekonywujący motywy jej podjęcia, zaś przytoczona w tym zakresie argumentacja jest wyczerpująca i w pełni odnosząca się do stanowiska strony skarżącej podniesionego zarówno w skardze z dnia [...] listopada 2020 r., jak i na dalszym etapie postępowania wyjaśniającego.

W ocenie Sądu, przyjąć należy, iż odmawiając uwzględnienia wniosku zawartego w inicjującej postępowanie administracyjne skardze S.Z. z dnia [...] listopada 2020 r., Prezes UODO nie naruszył obowiązujących przepisów prawa materialnego, albowiem - wbrew zarzutom skargi - prawidłowo przyjął, że w niniejszej sprawie Szkoła Podstawowa nr [...] im. [...] w J., jako administrator danych, nie naruszył przepisów RODO w zakresie przetwarzania danych osobowych małoletniej córki skarżącego.

Według składu Sądu orzekającego w niniejszej sprawie, uznać należy, że organ nadzorczy nie dopuścił się naruszenia przepisów prawa materialnego, w tym w szczególności naruszenia art. 6 ust. 1 lit. e RODO, zasadnie przyjmując w zaskarżonej decyzji, że Szkoła legitymuje się przesłanką legalnego przetwarzania danych osobowych małoletniej córki skarżącego wynikającą ze wskazanego powyżej przepisu RODO w związku z odpowiednio przywołanymi przepisami prawa krajowego, w tym art. 35 i art. 30c ustawy z dnia 14 grudnia 2016 r. - Prawo oświatowe w związku z § 1 rozporządzenia Ministra Edukacji Narodowej z dnia 20 marca 2020 r. w sprawie szczególnych rozwiązań w okresie czasowego ograniczenia funkcjonowania jednostek systemu oświaty w związku z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, a także w związku z § 1 ust. 1 rozporządzenia Ministra Edukacji Narodowej z dnia 12 sierpnia 2020 r. w sprawie czasowego ograniczenia funkcjonowania jednostek systemu oświaty w związku z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19.

Jednocześnie, Sąd stwierdził, że Prezes UODO, wydając zaskarżoną decyzję, nie dopuścił się istotnego naruszenia art. 13 i art. 14 RODO, albowiem zasadnie przyjął, że Szkoła prawidłowo wypełniła wobec strony skarżącej stosowny obowiązek informacyjny.

Ponadto, w wyniku analizy legalności spornej decyzji organu nadzorczego, Wojewódzki Sąd Administracyjny w Warszawie uznał, że Prezes UODO, odmawiając uwzględnienia skargi z dnia [...] listopada 2020 r., zasadnie przyjął, że Szkoła nie dopuściła się również naruszenia art. 28 ust. 3 RODO, albowiem udostępnienie danych osobowych małoletniej córki skarżącego – Z.Z. przez Szkołę, jako administratora danych, podmiotowi zewnętrznemu - firmie Microsoft Corporation, jako świadczącemu usługę MS Teams, znajduje oparcie w art. 28 ust. 3 RODO oraz było jednocześnie zgodne z zasadą "minimalizacji danych", o której mowa w art. 5 ust. 1 lit. c RODO. Tym samym, stwierdzić należy, że - wbrew zarzutom strony skarżącej - nie doszło w przedmiotowej sprawie do naruszenia ochrony danych osobowych małoletniej Z.Z. poprzez udostępnienie jej danych przez Szkołę na rzecz podmiotów nieuprawnionych.

Tym samym, Sąd uznał, że Prezes Urzędu Ochrony Danych Osobowych, wydając sporną decyzję administracyjną - nie dopuścił się w powyższym zakresie istotnego naruszenia zasady praworządności wyrażonej w przepisach art. 6 k.p.a. i art. 7 in principio k.p.a. w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych oraz art. 7 Konstytucji RP.

Mając powyższe na względzie, Sąd uznał, że w analizowanej sprawie brak było podstawy faktycznej i prawnej do skorzystania przez organ nadzorczy wobec Szkoły, jako administratora danych osobowych skarżącego, uprawnień naprawczych, o których mowa w art. 58 ust. 2 RODO, czy też nałożenia na ten podmiot administracyjnej kary pieniężnej na mocy art. 83 RODO.

Przechodząc do merytorycznej oceny legalności spornej decyzji z dnia [...] kwietnia 2021 r., należy na wstępie wyraźnie wskazać, że Prezes Urzędu Ochrony Danych Osobowych jest organem właściwym w sprawie ochrony danych osobowych (art. 34 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych) i jednocześnie organem nadzorczym, w rozumieniu rozporządzenia 2016/679 (art. 34 ust. 2 u.o.d.o.).

Jak stanowi art. 57 ust. 1 lit. a i lit. f RODO, bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia, a także rozpatruje skargi wniesione przez osobę, której dane dotyczą.

Nie ulega wątpliwości, że rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) stanowi kompleksową regulację dotyczącą ochrony danych osobowych, która nie wymaga implementacji ustawą krajową, aby mogła być stosowana w danym państwie.

Jednocześnie, państwom członkowskim Unii Europejskiej pozostawiono jednak pewien zakres swobody w zakresie regulacji na poziomie krajowym, aby niektóre zagadnienia doprecyzować (np. w przypadku organu nadzorczego, czy odpowiedzialności za naruszenie zasad ochrony danych osobowych), czy też dostosować zasady wprowadzone przez RODO do innych obowiązujących w danym porządku prawnym zasad.

Ze wskazanych wyżej przepisów art. 57 ust. 1 lit. a i lit. f RODO wynika m.in., iż procedura, w ramach której prowadzone są postępowania zainicjowane skargą wniesioną przez osobę, której dane dotyczą, określana jest przez poszczególne państwa członkowskie Unii Europejskiej. Pozostawienie w tym zakresie państwom członkowskim autonomii jest wyrazem realizacji zasady autonomii proceduralnej państw członkowskich. W tej sytuacji, skargi są wnoszone i rozpatrywane na podstawie przepisów proceduralnych obowiązujących w danym państwie członkowskim UE.

Art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych stanowi, że postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych, zwane dalej "postępowaniem", jest prowadzone przez Prezesa Urzędu.

Nie ulega wątpliwości, że postępowanie w sprawie naruszenia przepisów o ochronie danych jest jednym z postępowań administracyjnych przed Prezesem Urzędu Ochrony Danych Osobowych. O takim jego charakterze rozstrzyga art. 7 ust. 1 ustawy o ochronie danych osobowych, który postępowanie z rozdziału 7 kwalifikuje jako administracyjne i przewiduje w sprawach w niej nieuregulowanych stosowanie do tego postępowania Kodeksu postępowania administracyjnego. Warto przy tym zauważyć, że ustawodawca w art. 7 ust. 1 cyt. ustawy nie przewiduje stosowania odpowiedniego, oznacza to zatem stosowanie przepisów ogólnej procedury administracyjnej wprost, z modyfikacjami wynikającymi z regulacji ustawy o ochronie danych osobowych.

Użyte w art. 60 u.o.d.o. określenie "naruszenie przepisów o ochronie danych osobowych" ma zakres szeroki i obejmuje naruszenia wszystkich przepisów o ochronie danych, zarówno zawartych w unijnym rozporządzeniu, jak i w przepisach krajowych, które uzupełniają lub modyfikują regulacje unijne.

Zgodnie z art. 7 ust. 1 u.o.d.o., w sprawach nieuregulowanych w ustawie do postępowań administracyjnych przed Prezesem Urzędu Ochrony Danych Osobowych, o których mowa w rozdziale 4-7 i 11 (a więc również w rozdziale 7 dotyczącym postępowania w sprawie naruszenia przepisów o ochronie danych osobowych), stosuje się przepisy Kodeksu postępowania administracyjnego.

Zdaniem Sądu, nie ulega zatem wątpliwości, że związanie rygorami procedury administracyjnej oznacza, iż Prezes UODO jest obowiązany m.in. do przestrzegania zasady pogłębiania zaufania obywateli do organów praworządnego Państwa (art. 8 § 1 k.p.a.). W tej sytuacji, organ nadzorczy, uwzględniając powyższą zasadę, zobowiązany jest przede wszystkim dokładnie wyjaśnić okoliczności sprawy, konkretnie ustosunkować się do żądań i twierdzeń strony skarżącej oraz uwzględnić w decyzji zarówno interes społeczny, jak i słuszny interes strony skarżącej. Organ nadzorczy jest ponadto obowiązany w sposób wyczerpujący zebrać i ocenić cały materiał dowodowy (art. 7, art. 77 § 1 i art. 80 k.p.a.) oraz uzasadnić swoje rozstrzygnięcie według wymagań określonych w przepisie art. 107 § 3 k.p.a.

Jeżeli zatem określona osoba zgłasza Prezesowi Urzędu Ochrony Danych Osobowych nieprawidłowości w zakresie przetwarzania swoich danych osobowych, organ ten jest zobligowany do wszczęcia postępowania wyjaśniającego, którego zadaniem jest ustalenie, czy dane osobowe są w istocie przetwarzane, a jeżeli tak, to w jakim celu i czy proces ten następuje z poszanowaniem przepisów zarówno RODO, jak i ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.

Taka sytuacja miała miejsce w rozpoznawanej sprawie. Otóż, Prezes Urzędu Ochrony Danych Osobowych, rozpatrując skargę z dnia [...] listopada 2020 r., zobowiązany był dokonać oceny, czy w sprawie doszło w ogóle do przetwarzania danych osobowych małoletniej córki skarżącego, a w konsekwencji, czy ewentualnie sporne przetwarzanie - o ile do niego rzeczywiście doszło - było zgodne z prawem, przy jednoczesnym uwzględnieniu okoliczności przetwarzania tych danych, jeśli miało ono miejsce, a także przy uwzględnieniu całokształtu zgromadzonego w sprawie materiału dowodowego oraz w kontekście odpowiednio zastosowanych przepisów prawa, w tym przede wszystkim przepisów RODO oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.

Należy zauważyć, iż w świetle przepisu art. 4 pkt 2 RODO, przez "przetwarzanie" rozumie się operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

W tej sytuacji, mając na względzie powyższą definicję przetwarzania, Prezes Urzędu Ochrony Danych Osobowych, jako organ nadzorczy, zobowiązany był, analizując wniesioną w dniu [...] listopada 2020 r. skargę, przeprowadzić stosowne postępowanie wyjaśniające i na podstawie całokształtu zgromadzonego materiału dowodowego ustalić, czy powoływane przez skarżącego naruszenia praw wynikających z RODO zostały udowodnione.

Z uwagi na fakt, iż zarówno RODO, jak i ustawa o ochronie danych osobowych nie regulują kwestii postępowania dowodowego i powinności organu nadzorczego związanych z czynieniem ustaleń faktycznych, zastosowanie w tym zakresie znajdują reguły i zasady określone w Kodeksie postępowania administracyjnego.

Organ nadzorczy, rozstrzygając sprawę zainicjowaną wspomnianą skargą S.Z., zobowiązany był w tej sytuacji uwzględnić fakt, iż dowodami w postępowaniu mogą być w szczególności dokumenty, zeznania świadków, opinie biegłych oraz oględziny (art. 75 § 1 k.p.a.).

Celem postępowania administracyjnego jest rozstrzygnięcie sprawy administracyjnej dotyczącej konkretnie wskazanego adresata. Jednym ze stadiów postępowania jest stadium wyjaśniające, które pozwala ustalić dokładny stan faktyczny w danej sprawie. W wyniku postępowania wyjaśniającego organ administracji publicznej ma dojść do wskazanej w art. 7 k.p.a. prawdy obiektywnej, co czyni za pomocą środków dowodowych.

Warto przy tym zauważyć, że Kodeks postępowania administracyjnego nie wskazuje dowodów "mocniejszych" oraz "słabszych", przyjmując zasadę równej mocy środków dowodowych.

Kodeks postępowania administracyjnego nie określa również zamkniętego katalogu środków dowodowych, jakie mogą być stosowane w toku postępowania administracyjnego. Ustawodawca posłużył się jedynie przykładowym wyliczeniem, wskazując, że w szczególności mogą nimi być dokumenty, zeznania świadków, opinie biegłych oraz oględziny. Jako dowód może natomiast posłużyć wszystko, co jest zgodne z prawem i może przyczynić się do wyjaśnienia sprawy. Należy podkreślić, że chodzi tu o sprzeczność zarówno z prawem materialnym, jak i proceduralnym. Przyjęta w art. 75 § 1 k.p.a. koncepcja wskazuje, że wymienione przykładowo w tym przepisie dowody powinny zostać uznane za podstawowe i najczęściej stosowane w postępowaniu administracyjnym.

Warto jednocześnie zauważyć, że o ile postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych, którego dotyczy rozdział 7 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, jest postępowaniem administracyjnym, do którego - na podstawie art. 7 ust. 1 u.o.d.o. - znajdują zastosowanie przepisy Kodeksu postępowania administracyjnego i w ramach którego to postępowania prowadzący je organ jest związany kodeksowymi standardami prowadzenia postępowania wyjaśniającego, o tyle Prezes UODO, jako organ nadzorczy, może ponadto skorzystać z możliwość posłużenia się w procesie gromadzenia dowodów takim instrumentem, jakim jest przeprowadzenie kontroli przestrzegania przepisów, o której mowa w art. 68 ust. 1 u.o.d.o.

Zgodnie z art. 68 ust. 1 u.o.d.o., jeżeli w toku postępowania zajdzie konieczność uzupełnienia dowodów, Prezes Urzędu może przeprowadzić postępowanie kontrolne.

Wspomniany przepis art. 68 ust. 1 u.o.d.o. pozwala organowi nadzorczemu dopuścić, jako dowód, materiały uzyskane w rezultacie przeprowadzonej kontroli. W ramach tego postępowania, kontrolujący ustala stan faktyczny na podstawie dowodów zabranych w postępowaniu kontrolnym, a w szczególności dokumentów, przedmiotów, oględzin oraz ustnych lub pisemnych wyjaśnień i oświadczeń (art. 87 u.o.d.o.). Kontrolujący może także przesłuchać w charakterze świadka pracownika kontrolowanego (art. 86 ust. 1 u.o.d.o.).

W tym miejscu, należy oczywiście wyraźnie zauważyć, że postępowanie kontrolne jest postępowaniem odrębnie uregulowanym w ustawie, nie mają do niego zastosowania przepisy Kodeksu postępowania administracyjnego, albowiem art. 7 ust. 1 u.o.d.o. nie wymienia postępowania uregulowanego w rozdziale 9 cyt. ustawy. Niemniej jednak, wskazać trzeba, że zebrany w toku kontroli materiał dowodowy będzie materiałem podlegającym ocenie w postępowaniu, dla potrzeb którego został zebrany, czyli postępowaniu o charakterze administracyjnym, do którego zastosowanie znajdują przepisy Kodeksu postępowania administracyjnego i zgodnie z kodeksowymi zasadami oceny materiału dowodowego (tak również: I. Bogucka /w:/ Ustawa o ochronie danych osobowych. Komentarz, pod red. D. Lubasza, WKP 2019, teza 4 komentarza do art. 68 u.o.d.o.).

Mając na względzie powyższe, należy uznać, że Prezes UODO, przeprowadzając sporne postępowanie wyjaśniające nie był zmuszony do wykorzystania wszelkich możliwych instrumentów prawnych, jakie dawała mu ustawa o ochronie danych osobowych, albowiem uzasadniając swoje stanowisko w decyzji z dnia [...] kwietnia 2021 r., w sposób przekonywujący przyjął na podstawie wystarczającego materiału dowodowego, że Szkoła prawidłowo wywiązała się z obowiązków wynikających z RODO. Należy stwierdzić jednocześnie, że - wbrew zarzutom strony skarżącej - rozstrzygając w niniejszej sprawie organ nadzorczy nie oparł się wyłącznie na piśmie wyjaśniającym Szkoły, jako administratora danych, lecz wydał sporną decyzję w oparciu zarówno o dowody przesłane przez ten podmiot, jak i samego skarżącego, co jednoznacznie wykazał w uzasadnieniu zaskarżonej decyzji.

Podstawowym zadaniem Sądu w niniejszej sprawie było zbadanie, w kontekście zarzutów strony skarżącej, czy organ nadzorczy zasadnie przyjął, że administrator danych należycie wypełnił wszelkie obowiązki, do których należy przetwarzanie danych osobowych z zachowaniem przesłanek określonych w RODO.

Warto zauważyć w tym miejscu, iż prawodawca unijny, wymagając w art. 5 ust. 1 lit. a RODO, aby dane były przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dotyczą, zawarł w tym przepisie dwie zasady, tj. zasadę rzetelności i legalności oraz zasadę przejrzystości, które mają ugruntowane miejsce w systemie ochrony danych osobowych od początku jego kształtowania się. Zasada rzetelności i legalności (zgodności z prawem) wymaga, by dane były przetwarzane rzetelnie, czyli uczciwie oraz zgodnie z prawem. Wymóg zapewnienia zgodności z prawem operacji przetwarzania danych oznacza nie tylko konieczność spełnienia przesłanek legalności przetwarzania danych, które zostały określone w art. 6 i art. 9 RODO, lecz także konieczność zapewnienia zgodności z pozostałymi przepisami o ochronie danych osobowych. Wymóg ten oznacza również konieczność zapewnienia zgodności z całokształtem przepisów regulujących działalność podmiotów przetwarzających dane osobowe (por. m.in. P. Drobek /w:/ RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, pod red. E. Bielak-Jomaa i D. Lubasza, WKP 2018, teza 6 komentarza do art. 5 RODO).

Zgodnie z art. 6 ust. 1 lit. a RODO, przetwarzanie jest zgodne z prawem, gdy osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów.

Niemniej, wyraźnie należy wskazać, że zgoda nie jest jedyną, ani nawet zasadniczą, spośród kilku równorzędnych, samodzielnych przesłanek dopuszczalności przetwarzania danych osobowych. Nie ulega wątpliwości, że przesłanki wskazane w art. 6 ust. 1 RODO mają charakter samoistny, autonomiczny i niezależny, tzn. dla uznania przetwarzania danych za prawnie dopuszczalne wystarczy istnienie jednej z nich. Zasadniczo przesłanki te mają charakter równoważny, tzn. dla dopuszczalności przetwarzania nie jest istotne, w oparciu o którą podstawę dokonywane jest przetwarzanie danych. W konsekwencji, oparcie przetwarzania danych na jednej z przesłanek wskazanych w art. 6 ust. 1 RODO stanowi przejaw realizacji zasady zgodności z prawem (legalności) przetwarzania danych, wyrażonej w art. 5 ust. 1 lit. a RODO (por. P. Fajgielski, Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, WKP 2018, komentarz do art. 6 RODO).

Zgodnie z art. 6 ust. 1 lit. a RODO, podstawę przetwarzania może stanowić zgoda osoby, której dane dotyczą. Niezależnie jednak od zgody osoby, której dane dotyczą, przetwarzanie danych osobowych jest dopuszczalne, gdy przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e RODO).

Dodatkowo, proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO. Do zasad tych zalicza się między innymi zasadę ograniczenia celu przetwarzania (art. 5 ust. 1 lit. b RODO), jak również zasadę minimalizacja przetwarzanych danych (art. 5 ust. 1 lit. c RODO). Wspomniane zasady wymagają, by proces przetwarzania był ukierunkowany na konkretny, wyraźny i prawnie uzasadniony cel, a także by zakres danych osobowych przetwarzanych na rzecz określonego celu był ograniczony do jak najmniejszego.

Według Sądu, organ nadzorczy - opierając się na ustaleniach dokonanych w toku postępowania wyjaśniającego - zasadnie uznał, że w rozpatrywanej sprawie ze zgromadzonego w sprawie materiału dowodowego wynika jednoznacznie, iż Szkoła przetwarza dane osobowe małoletniej skarżącego – Z.Z. w celu prowadzenia zdalnego nauczania za pośrednictwem platformy Microsoft Teams w związku z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19.

Uzasadniając legalność przetwarzania powyższych danych małoletniej córki skarżącego, Szkoła powołała się na przepisy art. 35 ust. 1 i 2 ustawy - Prawo oświatowe, zgodnie z którymi nauka jest obowiązkowa do ukończenia 18 roku życia, a obowiązek szkolny dziecka rozpoczyna się z początkiem roku szkolnego w roku kalendarzowym, w którym dziecko kończy 7 lat oraz trwa do ukończenia szkoły podstawowej, nie dłużej jednak niż do ukończenia 18 roku życia.

Ponadto, administrator danych wskazał na przepis art. 30b ustawy - Prawo oświatowe, w świetle którego przyjmuje się, że w przypadkach uzasadnionych nadzwyczajnymi okolicznościami zagrażającymi życiu lub zdrowiu dzieci i młodzieży minister właściwy do spraw oświaty i wychowania, w drodze rozporządzenia, może czasowo ograniczyć lub czasowo zawiesić funkcjonowanie jednostek systemu oświaty na obszarze kraju lub jego części, uwzględniając stopień zagrożenia na danym obszarze.

Zgodnie natomiast z powołanym dodatkowo przez Szkołę przepisem art. 30c ustawy - Prawo oświatowe przyjmuje się, że w przypadku, o którym mowa w art. 30b, minister właściwy do spraw oświaty i wychowania, w drodze rozporządzenia, może wyłączyć stosowanie niektórych przepisów niniejszej ustawy, ustawy o systemie oświaty oraz ustawy o finansowaniu zadań oświatowych w odniesieniu do wszystkich lub niektórych jednostek systemu oświaty, o których mowa w przepisach wydanych na podstawie art. 30b, w szczególności w zakresie przeprowadzania postępowania rekrutacyjnego, oceniania, klasyfikowania i promowania uczniów, przeprowadzania egzaminów, organizacji roku szkolnego i organizacji pracy tych jednostek, a także wprowadzić w tym zakresie odrębne unormowania, tak aby zapewnić prawidłową realizację celów i zadań tych jednostek.

Nie ulega wątpliwości, że od dnia 20 marca 2020 r. w Polsce obowiązywał stan epidemii w związku z zakażeniami wirusem SARS-CoV-2, w trakcie którego podejmowane były różnorodne działania celem przeciwdziałania rozwojowi pandemii, w tym zmieniające sposób funkcjonowania placówek oświatowych.

W tym miejscu, warto podkreślić, że Szkoła, jako administrator danych, uzasadniając legalność przetwarzania danych osobowych uczniów - powołała się dodatkowo na przepis § 1 rozporządzenia Ministra Edukacji Narodowej z dnia 20 marca 2020 r. w sprawie szczególnych rozwiązań w okresie czasowego ograniczenia funkcjonowania jednostek systemu oświaty w związku z zapobieganiem, przeciwdziałaniem i zwalczaniem COVlD-19. Przepis ten przewidział, że w okresie czasowego ograniczenia funkcjonowania jednostek systemu oświaty w związku z zapobieganiem, przeciwdziałaniem i zwalczaniem COVlD-19 dyrektor jednostki systemu oświaty odpowiada za organizację realizacji zadań tej jednostki z wykorzystaniem metod i technik kształcenia na odległość lub innego sposobu realizacji tych zadań, zgodnie z przepisami wydanymi na podstawie art. 30b ustawy z dnia 14 grudnia 2016 r. - Prawo oświatowe.

Ponadto, administrator danych wskazał na przepis § 1 ust. 1 rozporządzenia Ministra Edukacji Narodowej z dnia 12 sierpnia 2020 r. w sprawie czasowego ograniczenia funkcjonowania jednostek systemu oświaty w związku z zapobieganiem, przeciwdziałaniem i zwalczaniem COVlD-19, w który z kolei minister przewidział, że w roku szkolnym 2020/2021 ogranicza się w całości lub w części funkcjonowanie publicznych i niepublicznych jednostek systemu oświaty, w których odpowiednio wszystkie lub poszczególne zajęcia zostały zawieszone na podstawie przepisów wydanych na podstawie odpowiednio art. 95a ustawy z dnia 7 września 1991 r. o systemie oświaty, w brzmieniu obowiązującym przed dniem 1 września 2017 r., art. 32 ust. 11 oraz art. 47 ust. 3 pkt 1 ustawy z dnia 14 grudnia 2016 r. - Prawo oświatowe, w związku z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19. Ograniczenie, o którym mowa w ust. 1, wprowadza się na czas, na jaki zostały zawieszone odpowiednio wszystkie lub poszczególne zajęcia (§ 1 ust. 2).

Owszem, w ocenie Sądu, nie sposób nie zauważyć, że powyższe regulacje prawne zawarte w przepisach cyt. rozporządzenia Ministra Edukacji Narodowej z dnia 12 sierpnia 2020 r. nie tylko pozostawiały dużą dowolność szkołom w organizacji nauczania, ale jednocześnie nie ograniczały, ani też nie zabraniały wykorzystania stosownych narzędzi, w tym również tych, które wymagały powierzenia przetwarzania danych osobowych uczniów innym podmiotom.

Tym samym, uznać należy, że organ nadzorczy zasadnie stwierdził w spornej decyzji, iż Szkoła mogła w spornym przypadku wykorzystywać dowolne narzędzia celem prowadzenia zdalnego nauczania uczniów w dobie pandemii COVID-19, zachowując oczywiście przy tym odpowiednią ochronę przetwarzanych danych osobowych.

Mając powyższe na względzie, stwierdzić należy - zdaniem Sądu - że Szkoła, przetwarzając jako administrator dane osobowe małoletniej córki skarżącego Z.Z. w zakresie imienia, nazwiska oraz adresu e-mail stworzonego przez Szkołę na potrzeby zdalnego nauczania za pośrednictwem platformy MS Teams, działała zgodnie z art. 6 ust. 1 lit. e RODO w celu realizacji obowiązku nauki w formie zdalnej w związku z wymogami wyrażonymi w powołanych wyżej przepisach art. 35 i art. 30c ustawy - Prawo oświatowe oraz przepisach § 1 cyt. rozporządzenia Ministra Edukacji Narodowej z dnia 20 marca 2020 r. i § 1 ust. 1 cyt. rozporządzenia Ministra Edukacji Narodowej z dnia 12 sierpnia 2020 r.

W ocenie Sądu, istotne jest to, że powyższa podstawa przetwarzania przez Szkołę danych osobowych uczniów, w tym małoletniej córki skarżącego, nie była oderwana od norm kompetencyjnych regulujących funkcjonowanie tego podmiotu. W konsekwencji, uznać należy, że działanie Szkoły zgodne było również z motywem 45 preambuły do RODO, zgodnie z którym jeżeli przetwarzanie odbywa się w celu wypełnienia obowiązku prawnego, któremu podlega administrator, lub jeżeli jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej, podstawę przetwarzania powinno stanowić prawo Unii lub prawo państwa członkowskiego, które powinno także określać cel przetwarzania danych. W odniesieniu do Szkoły nie ulega zatem wątpliwości, że - w świetle art. 6 ust. 1 lit. e RODO - taka podstawa do przetwarzania danych osobowych wynikała ze wskazanych powyżej przepisów prawa krajowego, w których wskazano obowiązek przetwarzania określonych danych oraz wskazano zadania, do realizacji których niezbędne jest przetwarzanie danych osobowych.

Ponadto, zgodzić się należy z Prezesem UODO, który stwierdził w uzasadnieniu zaskarżonej decyzji, iż niezależnie od spełnienia powyższej przesłanki legalizującej proces przetwarzania danych osobowych, proces przetwarzania danych osobowych dokonywany przez Szkołę był dodatkowo zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO, które - co należy wyraźnie podkreślić - odgrywają szczególną rolę wśród norm prawnych dotyczących ochrony danych osobowych zawartych w RODO. Przyjmuje się bowiem, że zasady te nie są jedynie postulatami odczytywanymi z całokształtu przepisów o ochronie danych osobowych, ale mają wręcz charakter normatywny - są wiążącymi normami prawa, wyznaczającymi określony sposób postępowania, mając szczególne znaczenie dla stosowania i interpretacji przepisów o ochronie danych osobowych (por. P. Fajgielski /w:/ Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, WKP 2018).

Organ nadzorczy zasadnie uznał zatem, że przetwarzanie spornych danych małoletniej córki skarżącego przez Szkołę było zgodne m.in. z zasadą minimalizacji danych, o której mowa w art. 5 ust. 1 lit. c RODO. Przepis ten stanowi, że dane osobowe muszą być: adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane ("minimalizacja danych").

Warto w tym miejscu zauważyć jednocześnie, że motyw 39 Preambuły RODO stanowi, że "(...) Dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. Wymaga to w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum. Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami (...)".

Zasada minimalizacji danych wprowadza kryteria limitacyjne ograniczające zbieranie i dalsze przetwarzanie danych osobowych, co prowadzi do ograniczenia zakresu przetwarzania danych opartego na kryterium niezbędności, co oznacza, by przetwarzać tylko takie dane osobowe, bez których nie da się osiągnąć zamierzonego celu przetwarzania.

Koresponduje to ze wspomnianym wyżej motywem 39 Preambuły RODO, który wskazuje, że dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami.

Przyjmuje się, że w myśl omawianej zasady, dane muszą być odpowiednie i stosowne do osiągnięcia celu ich zebrania, lecz zarazem nie mogą być nadmierne. Dane mogą być więc przetwarzane tylko w takim zakresie, który jest niezbędny dla osiągnięcia celu ich zebrania. Tym samym, przetwarzanie danych w zakresie zbędnym dla osiągnięcia celu będzie oznaczało naruszenie przepisów rozporządzenia. Zasadę minimalizacji danych należy rozpatrywać łącznie z pozostałymi zasadami, w szczególności z zasadą ograniczenia celu. Realizacja proporcjonalności przetwarzania danych jest zależna od prawidłowości określenia celu przetwarzania, który wyznacza zakres zbieranych danych niezbędnych dla osiągnięcia tego celu. Przetwarzanie danych w sposób proporcjonalny oznacza bowiem obowiązek zagwarantowania, aby dane osobowe zebrane przez administratora były odpowiednie do celów przetwarzania oraz odpowiadające im pod względem ilościowym, treściowym i zakresowym (por. Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, pod red. dr. Marleny Sakowskiej-Baryła, wyd. 1, Wydawnictwo C.H. Beck, Warszawa 2018, t. 6 komentarza do art. 5 RODO i cyt. tam literatura).

W konsekwencji, przyjmuje się, że aby ustalić, czy przetwarzana ilość danych lub ich zakres wykraczają poza zakres adekwatnych danych, należy najpierw zdefiniować cel przetwarzania, ponieważ odpowiednio określony cel będzie determinował, jakie dane są niezbędne do jego osiągnięcia (por. D. Lubasz /w:/ MERITUM. Ochrona danych osobowych, pod red. dr. D. Lubasza, wyd. 1, Wydawnictwo Wolters Kluwer, Warszawa 2020, s. 114).

W tej sytuacji, mając na względzie zasadę minimalizacji danych, Sąd zgodził się z Prezesem UODO, że przetwarzanie danych uczniów na potrzeby korzystania z platformy MS Teams było niezbędne dla osiągnięcia celu, jakim jest przeprowadzenie zdalnego nauczania uczniów w dobie pandemii SARS-CoV-2 i obostrzeń związanych z COVID-19.

W ocenie Sądu, zaprezentowana przez organ nadzorczy wykładnia art. 5 ust. 1 lit. c RODO i wyrażonej w nim zasady minimalizacji danych jest zasadna, gdyż w sposób właściwy uwzględnia w ramach jej oceny istotny aspekt adekwatności i stosowności.

Otóż, należy zauważyć, że użyte w przepisie art. 5 ust. 1 lit. c RODO określenie "adekwatne" oznacza "odpowiednie, zgodne, proporcjonalne, nienadmierne" i może być traktowane jako synonim słowa "stosowne". Adekwatność i stosowność rozumieć można jako konieczność zachowania odpowiednich proporcji zakresu danych do celów przetwarzania i przetwarzanie tylko takich danych, które są potrzebne dla realizacji określonych celów.

Dalsza część przepisu art. 5 ust. 1 lit. c RODO zawiera wymóg, aby dane były ograniczone do tego, co niezbędne do celów, w których są przetwarzane.

Według Sądu, uznać należy wprawdzie, że dane osobowe, które są zbędne do realizacji celu, nie powinny być przetwarzane. Niemniej jednak, co trzeba wyraźnie podkreślić, odczytywanie z analizowanego przepisu normy nakazującej ograniczenie danych jedynie do niezbędnego minimum i przetwarzanie tylko takich danych, bez których nie da się osiągnąć celu (taka właśnie wykładnia została zaprezentowana przez Prezesa UODO), uznać należy za interpretacją zbyt daleko idącą.

Zdaniem Sądu, wymóg niezbędności należy odczytywać łącznie z wymogiem adekwatności i stosowności, co powinno pozwolić na uwzględnienie okoliczności i dopuszczenie przetwarzania danych, które w istotny sposób mogą pomóc osiągnąć cele przetwarzania.

W tym miejscu zauważyć należy, iż w praktyce często zdarza się, że cel można osiągnąć łatwiej, szybciej i taniej, wykorzystując dane, bez których osiągnięcie podstawowego celu jest możliwe. Niemniej jednak, w ocenie Sądu, przyjęcie tak restrykcyjnej wykładni, jaką sugeruje skarżący, uniemożliwiałoby w praktyce przetwarzanie jakichkolwiek innych danych, niż tylko te, bez których cel nie może zostać osiągnięty.

Również w literaturze zwraca się uwagę, że zasada wyrażona w art. 5 ust. 1 lit. c RODO została skrótowo określona jako "minimalizacja danych", co nie do końca odpowiada jej istocie i może być powodem restrykcyjnej interpretacji, prowadzącej do różnorodnych wątpliwości i problemów (problem ten zauważył m.in. prof. P. Fajgielski /w:/ Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, WKP 2018).

W doktrynie przyjmuje się, że wspomniana zasada odnoszona do ustalenia zależności między celem a zakresem przetwarzania danych, oznacza dwa wymogi: 1) ograniczenie zbierania danych jedynie do tych, które są niezbędne do osiągnięcia celu, oraz 2) konieczność usunięcia danych, gdy staną się one zbędne do osiągnięcia celu przetwarzania (por. M. Jagielski, Prawo do ochrony danych osobowych. Standardy europejskie, Warszawa 2010, s. 87).

W tej sytuacji, starając się literalnie odczytać wymogi adekwatności i minimalizacji, można dojść do wniosku, że w praktyce nie jest łatwo je ze sobą pogodzić, albowiem adekwatność zakłada dokonanie oceny przydatności określonego rodzaju danych do realizacji celu, natomiast minimalizacja prowadzi do uznania, że jeśli cel można osiągnąć bez przetwarzania określonego rodzaju danych, to nie należy takich danych przetwarzać.

Wojewódzki Sąd Administracyjny w Warszawie, rozstrzygając w niniejszej sprawie, stwierdził jednak, podzielając w pełni stanowisko prof. P. Fajgielskiego zaprezentowane we wskazanej powyżej publikacji, że można pogodzić ze sobą te dwa nie do końca spójne wymogi, uznając, że ich spełnienie należy oceniać łącznie, co w konsekwencji oznacza, że nie powinno się przyznawać prymatu minimalizacji kosztem adekwatności. W tej sytuacji, Sąd stwierdził, że za dopuszczalne uznać należy przetwarzanie danych w nieco szerszym zakresie, niż tylko - jak sugeruje skarżący - konieczne minimum, pod warunkiem, że przetwarzane dane mają ścisły związek z realizacją celu (np. ułatwiają jego osiągnięcie).

W konsekwencji, Sąd uznał, że nie można zgodzić się z sugestią strony skarżącej, jakoby przetwarzanie przez Szkołę danych osobowych uczniów na potrzeby nauczania zdalnego przy użyciu instrumentu w postaci platformy MS Teams było niezgodne z zasadą minimalizacji, o której mowa w art. 5 ust. 1 lit. c RODO.

Ponadto, warto zauważyć, że w doktrynie wskazuje się, że administrator powinien być w stanie wykazać i uzasadnić istnienie uzasadnionego związku między celem przetwarzania a ustalonym przez niego zakresem danych, które planuje przetwarzać (por. D. Lubasz /w:/ MERITUM. Ochrona danych osobowych, pod red. dr. D. Lubasza, wyd. 1, Wydawnictwo Wolters Kluwer, Warszawa 2020, s. 114).

Zdaniem Sądu, nie ulega wątpliwości, że Szkoła, jako administrator spornych danych, uzasadniła w toku postępowania wyjaśniającego istnienie uzasadnionego związku między celem przetwarzania a ustalonym przez nią zakresem danych, które planuje przetwarzać.

W ocenie Sądu, nie sposób zgodzić się również z zarzutem strony skarżącej, jakoby Szkoła, udostępniając dane osobowe małoletniej córki skarżącego na rzecz operatora platformy Microsoft Teams - firmy Microsoft Corporation, naruszyła regulację prawną przewidzianą w art. 28 ust. 3 RODO.

W tym miejscu należy zauważyć, że art. 28 RODO reguluje instytucję powierzenia przetwarzania danych osobowych.

Zgodnie z art. 28 ust. 1 RODO, w ramach powierzenia przetwarzania danych, tj. przetwarzania w imieniu administratora przez inny podmiot, administrator może korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.

Takie brzmienie przepisów RODO wskazuje na to, że administrator powinien dokonać uprzedniego zbadania, czy podmiot przetwarzający spełnia wymogi określone w art. 28 ust. 1 RODO. Jak wskazuje również motyw 81 preambuły do RODO, administrator powinien korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje - w szczególności, jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby - wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom RODO, w tym wymogom bezpieczeństwa przetwarzania.

Nie ulega wątpliwości, że powyższe warunki zostały w niniejszej sprawie spełnione, albowiem wybór przez Szkołę platformy MS Teams prowadzonej przez profesjonalny podmiot, jakim jest renomowana Microsoft Corporation, która stanowić będzie w tym przypadku procesora (czyli podmiot, który - w ramach powierzenia przetwarzania danych - przetwarza w imieniu administratora dane przez niego powierzone), z całą pewnością gwarantuje stosowanie przez podmiot przetwarzający środków organizacyjnych i technicznych, o których mowa w art. 28 ust. 1 RODO.

Ogólne rozporządzenie o ochronie danych w art. 28 ust. 3 wskazuje na dwie możliwe podstawy prawne dla powierzenia przetwarzania danych. Są to:

1) umowa;

2) inny instrument prawny, który podlega prawu Unii lub prawu państwa członkowskiego i który wiąże podmiot przetwarzający i administratora.

Zgodnie z art. 28 ust. 9 RODO umowa lub inny akt prawny, wiążący administratora z procesorem, powinny mieć formę pisemną, w tym formę elektroniczną.

W niniejszej sprawie umowa powierzenia przetwarzania danych osobowych zawarta przez Szkołę spełniała ten wymóg.

Należy zauważyć, że w odniesieniu do obu z wymienionych w art. 28 ust. 3 RODO podstaw prawnych powierzenia RODO wymaga, by określały one:

1) przedmiot przetwarzania;

2) czas trwania przetwarzania;

3) charakter i cel przetwarzania;

4) rodzaj danych osobowych;

5) kategorie osób, których dane dotyczą;

6) obowiązki i prawa administratora.

Ponadto, art. 28 ust. 3 zd. 2 RODO określa zakres minimalny obowiązków podmiotu przetwarzającego (procesora), który powinien zostać określony w umowie lub innym instrumencie prawnym.

Przepis ten stanowi, że podmiot przetwarzający:

a) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora - co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej - chyba, że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;

b) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;

c) podejmuje wszelkie środki wymagane na mocy art. 32 RODO;

d) przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 i 4 art. 28 RODO;

e) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;

f) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32-36 RODO;

g) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;

h) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

W ocenie Sądu, powyższe przesłanki zostały w niniejszej sprawie spełnione, przy czym - co istotne - wskazać należy, że umowa z Microsoft Corporation na świadczenie usług online miała charakter standardowy i nie podlegała negocjacjom. W tej sytuacji, Szkoła rozpoczynając korzystanie z usługi Microsoft Teams miała zatem za zadanie odnotowanie, w celu rozliczalności procesu przetwarzania, tych czynności, jakie zostały dokonane w momencie uruchomienia usługi.

Nie ulega wątpliwości, że w niniejszej sprawie potwierdzeniem zawarcia przez Szkołę umowy powierzenia danych procesorowi - firmie Microsoft Corporation są dokumenty w postaci: "Postanowienia Dotyczące Usług Online" (OST) oraz "Dodatek dotyczący Ochrony Danych w ramach Usług Online Microsoft" (DPA).

W związku z powyższym, stwierdzić należy, że - wbrew zarzutom strony skarżącej - udostępnienie powyższemu procesorowi przez Szkołę danych małoletniej córki skarżącego miało oparcie w regulacji prawnej wyrażonej w art. 28 ust. 3 RODO, co w konsekwencji oznacza, że nie doszło w przedmiotowej sprawie do naruszenia ochrony danych osobowych wspomnianej wyżej uczennicy poprzez udostępnienie jej danych przez Szkołę na rzecz podmiotów nieuprawnionych.

Nie sposób zgodzić się również ze skarżącym, że skorzystał skutecznie w niniejszej sprawie z prawa do złożenia sprzeciwu wobec przetwarzania danych osobowych opartego na przepisie art. 6 ust. 1 lit. e RODO.

Otóż zgodnie z art. 21 ust. 1 RODO, elementem sprzeciwu wobec przetwarzania danych osobowych opartego na art. 6 ust. 1 lit. e RODO powinno być wykazanie istnienia po stronie wnioskodawcy szczególnej sytuacji, która uzasadnia wniesienie sprzeciwu. W ocenie Sądu, za sytuację szczególną należy uznać każdy stan faktyczny, w którym potrzeba ochrony prywatności podmiotu danych powinna przeważyć nad potrzebą przetwarzania tych danych przez administratora. Z taką sytuacją nie mieliśmy do czynienia w niniejszej sprawie.

Sąd nie podzielił ponadto zarzutu strony skarżącej dotyczącego niespełnienia wobec niego obowiązku informacyjnego przez Szkołę w związku z przetwarzaniem danych małoletniej Z.Z. w celu prowadzenia zdalnego nauczania.

Zdaniem Sądu, wskazać należy, że zgodnie z art. 13 ust. 3 RODO, jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.

Niemniej jednak, zgodnie z art. 13 ust. 4 RODO, powyższy przepis nie ma zastosowania, gdy - i w zakresie, w jakim - osoba, której dane dotyczą, dysponuje już tymi informacjami.

Mając powyższe na względzie, zauważyć należy, że w toku postępowania wyjaśniającego Szkoła wykazała w wyjaśnieniach z dnia [...] grudnia 2020 r. oraz z dnia [...] lutego 2021 r., że przy zapisaniu do szkoły oraz wejściu w życie przepisów RODO spełniony został wobec skarżącego i jego małoletniej córki obowiązek informacyjny, czego skarżący nie zakwestionował zarówno w toku postępowania, jak i w skardze wniesionej do Sądu.

W tej sytuacji, uznać należy, że Szkoła mogła - korzystając z uprawnień wynikających z art. 13 ust. 4 RODO - odstąpić od realizacji obowiązku informacyjnego poprzez wskazanie wszystkich informacji, o których mowa w art. 13 ust. 1, 2 i 3 RODO, a jedynie wskazać informacje nowe, które nie były udzielane skarżącemu, a więc miała obowiązek poinformować skarżącego o sposobie realizacji nauki zdalnej, a korzystając z nowych narzędzi lub usług świadczonych przez podmioty zewnętrzne - była zobowiązana także poinformować o tym, jak w tym zakresie będą przetwarzane dane osobowe. W ocenie Sądu, ze zgromadzonego materiału dowodowego wynika, że w związku z prowadzeniem zdalnego nauczania za pośrednictwem platformy MS Teams w wiadomości przesłanej poprzez dziennik elektroniczny z dnia [...] października 2020 r. Szkoła prawidłowo wskazała narzędzie wykorzystywane do prowadzenia nauczania, zakres przetwarzanych danych małoletniej córki skarżącego oraz role podmiotu przetwarzającego te dane. Tym samym, wbrew twierdzeniom strony skarżącej, uznać należy, że Szkoła prawidłowo spełniła wobec niego obowiązek informacyjny wynikający z art. 13 ust. 3 RODO.

Ponadto, w ocenie Sądu, niezależnie od powyższego, należy zauważyć, że art. 6 ust. 1 lit. c RODO stanowi, że przetwarzanie jest zgodne z prawem w przypadku, gdy jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.

Przepis art. 6 ust. 1 lit. c RODO samodzielnie nie stanowi podstawy legalizacyjnej przetwarzania, należy bowiem go odnieść do odpowiedniego przepisu prawa, któremu podlega administrator. Zazwyczaj będzie to przepis prawa krajowego, choć w rachubę mogą tu wchodzić także przepisy prawa unijnego, a nawet przepisy RODO.

Zgodnie z tym przepisem, przetwarzanie powinno być niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.

RODO nie nakłada wymogu, aby dla każdego indywidualnego przetwarzania istniało szczegółowe uregulowanie prawne. Wystarczyć może to, że dane uregulowanie prawne stanowi podstawę różnych operacji przetwarzania wynikających z obowiązku prawnego, któremu podlega administrator, lub że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym (tak m.in. /w:/ Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, pod red. M. Sakowskiej-Baryła, wyd. 1, Wydawnictwo C.H. Beck, Warszawa 2018).

W tej sytuacji, uznać należy, że Szkoła przetwarza dane osobowe córki skarżącego w szczególności w celu wypełniania obowiązków wynikających z powołanych w spornej decyzji przepisów ustawy - Prawo oświatowe.

W tej sytuacji, nie ulega wątpliwości, że wedle stanu faktycznego obowiązującego na dzień wydania zaskarżonej decyzji z dnia [...] kwietnia 2021 r. organ nadzorczy nie miał podstaw do zastosowania wobec Szkoły, jako administratora danych, instrumentu prawnego służącego zapewnieniu zgodności procesu przetwarzania danych osobowych z przepisami obowiązującego prawa.

W związku z powyższym, Sąd uznał również, że brak było podstaw do nałożenia na Szkołę administracyjnej kary pieniężnej.

Mając na względzie wskazane ustalenia, stwierdzić należy, że z materiału dowodowego zgromadzonego w toku postępowania wyjaśniającego wynika, iż - wbrew zarzutom strony skarżącej - organ nadzorczy zasadnie uznał w uzasadnieniu zaskarżonej decyzji, iż zarzuty skarżącego skierowane wobec Szkoły opierały się na przepisach RODO oraz przepisach prawa krajowego, które nie zostały w niniejszej sprawie naruszone, a więc tym samym nie mogły w żadnym razie stanowić podstawy do nałożenia przez organ nadzorczy jakichkolwiek obowiązków na administratora danych, które wskazano w skardze z dnia [...] listopada 2020 r.

W ocenie Sądu, należy uznać, że w rozpoznawanej sprawie Prezes Urzędu Ochrony Danych Osobowych przeprowadził postępowanie dowodowe w zakresie niezbędnym do jej rozstrzygnięcia.

Sąd stwierdził, iż ustalenia faktyczne, jakich dokonał organ nadzorczy, pozwoliły na wyprowadzenie wniosków końcowych, które uznać należy za prawidłowe i zgodne z obowiązującymi zasadami postępowania.

Według Sądu, przeciwne twierdzenia skarżącego nie zostały dostatecznie wykazane i poparte istotnymi dowodami oraz przepisami prawa zarówno w skardze inicjującej postępowanie, jak i na późniejszym etapie postępowania, a także w skardze złożonej do Sądu, a których to dowodów, czy też regulacji prawnych nie uwzględniłby lub nie omówił w swej decyzji organ nadzorczy.

Mając powyższe na uwadze, należy uznać, że wydając sporną decyzję administracyjną z dnia [...] kwietnia 2021 r., Prezes UODO nie dopuścił się w toku postępowania jakichkolwiek istotnych uchybień formalnych, które uniemożliwiłyby Sądowi dokonanie prawidłowej oceny zarzutów skargi i wypowiedzenie się co do legalności podjętego rozstrzygnięcia.

Zdaniem Sądu, nie ulega wątpliwości, że związanie rygorami procedury administracyjnej oznacza, iż organ nadzorczy jest obowiązany m.in. do przestrzegania zasady pogłębiania zaufania obywateli do organów praworządnego Państwa (art. 8 § 1 k.p.a.). W tej sytuacji, organ nadzorczy, uwzględniając powyższą zasadę, zobowiązany jest przede wszystkim dokładnie wyjaśnić okoliczności sprawy, konkretnie ustosunkować się do żądań i twierdzeń strony skarżącej oraz uwzględnić w decyzji zarówno interes społeczny, jak i słuszny interes strony skarżącej. Organ nadzorczy jest ponadto obowiązany w sposób wyczerpujący zebrać i ocenić cały materiał dowodowy (art. 7, art. 77 § 1 i art. 80 k.p.a.) oraz uzasadnić swoje rozstrzygnięcie według wymagań określonych w przepisie art. 107 § 3 k.p.a.

Mając na uwadze powyższe, Sąd uznał, że organ nadzorczy nie uchybił wskazanym wyżej obowiązkom.

W ocenie Sądu, uzasadnienie zaskarżonej decyzji spełnia wymogi przewidziane przez ustawodawcę w przepisie art. 107 § 3 k.p.a., gdyż w jej treści organ nadzorczy wyraźnie wskazał, dlaczego - pomimo podniesionych przez stronę skarżącą argumentów i przedłożonych materiałów dowodowych - nie wykazano, aby doszło do niezgodnego z prawem przetwarzania danych osobowych i jednoczesnego zignorowania obowiązków informacyjnych, a w konsekwencji, by administrator danych dopuścił się istotnego naruszenia przepisów o ochronie danych osobowych.

W konsekwencji, w ocenie Sądu, wbrew twierdzeniom strony skarżącej, prawidłowe ustalenia faktyczne poczynione w toku postępowania wyjaśniającego przez Prezesa UODO dały temu organowi pełną podstawę do wydania zaskarżonej decyzji z dnia [...] kwietnia 2021 r. odmawiającej uwzględnienia wniosku strony skarżącej zawartego w jej skardze z dnia [...] listopada 2020 r.

Biorąc powyższe pod uwagę, Wojewódzki Sąd Administracyjny w Warszawie - działając na podstawie art. 151 P.p.s.a. - orzekł, jak w sentencji wyroku.