Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Joanna Kube (spr.), Sędzia WSA Tomasz Szmydt, Sędzia WSA Ewa Marcinkowska, po rozpoznaniu na posiedzeniu niejawnym w dniu 11 marca 2021 r. sprawa ze skargi [...] z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] marca 2020 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę

Do Prezesa Urzędu Ochrony Danych Osobowych, dalej: "Prezes Urzędu",

w dniu [...] sierpnia 2019 r. wpłynęła skarga M. P., dalej jako "skarżący", na przetwarzanie jego danych osobowych przez D. sp. z o.o. sp. k. z siedzibą w W., dalej jako Spółka. Skarżący zarzucił Spółce przetwarzanie jego danych osobowych w sposób niezgodny z prawem w związku z zawartą w dniu [...] marca 2018 r. umową najmu samochodu (w tym za pomocą kopii/skanu jego dowodu osobistego i prawa jazdy).

W uzupełnieniu skargi, w imieniu skarżącego jego pełnomocnik, pismem z dnia [...] grudnia 2018 r., wniósł o nakazanie Spółce zaprzestania przetwarzania jego danych osobowych, w tym dalszego ich udostępniania innym podmiotom oraz nakazanie Spółce usunięcia jego danych osobowych ze wszystkich baz danych Spółki.

Prezes Urzędu podjął czynności w celu wyjaśnienia sprawy zainicjowanej skargą i ustalił co następuje.

1. Spółka prowadzi działalność polegającą na wynajmowaniu samochodów osobowych i aut dostawczych.

2. W dniu [...] marca 2018 r. skarżący zawarł ze Spółką umowę najmu samochodu osobowego marki [...]

3. Skarżący od byłego współpracownika otrzymał wiadomość sms zawierającą skan wiadomości wysłanej z numeru + [...]. Wiadomość ta zawierała skan dowodu osobistego oraz skan prawa jazdy skarżącego.

4. Skarżący korzystał z usług innej wypożyczalni samochodów, tj. B. Sp. z o.o. Skarżący kontaktował się z byłym współpracownikiem oraz pracownikami B. Sp. z o.o. w celu ustalenia kto i w jakim celu posługuje się skanem dowodu osobistego i skanem prawa jazdy skarżącego. Zgodnie z oświadczeniem pełnomocnika cyt.: "(...) skarżącemu nie udało się ustalić, kto i w jakim celu posługuje się skanami jego dowodu osobistego i prawa jazdy".

5. Pełnomocnik skarżącego skierował do Spółki, pismami z dnia [...] maja i z dnia [...] czerwca 2018 r., wezwanie do zaniechania przetwarzania danych osobowych skarżącego w postaci skanu dowodu osobistego i prawa jazdy oraz zwrócił się z wnioskiem o udzielenie informacji na podstawie art. 12 ust. 3 w zw. z art. 15 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1 oraz Dz. Urz. L 127 z 23.05.2018 str. 2, dalej jako "rozporządzenie 2016/679");

6. Spółka, pismem skierowanym do pełnomocnika skarżącego w dniu [...] czerwca 2018 r., wskazała, iż nie przetwarza danych osobowych skarżącego w kwestionowany przez niego sposób, tj. poprzez posiadanie kopii/skanu dowodu osobistego skarżącego.

7. Spółka wskazała, iż dane osobowe skarżącego uzyskała od niego samego w związku z zawarciem umowy najmu samochodu marki [...] w dniu [...] marca 2018 r. w zakresie jego imienia, nazwiska, adresu, numeru dowodu osobistego, numeru prawa jazdy, numeru telefonu, które aktualnie przetwarza w systemie informatycznym, tj. w programie firm S. przeznaczonym do kompleksowej obsługi wypożyczalni samochodów (wyjaśnienia Spółki z dnia [...] lutego 2019 r.).

8. Spółka wskazała, iż pracownik Spółki nie wykonał skanu ani fotokopii dowodu osobistego oraz prawa jazdy skarżącego, tym samym nie udostępniła ich na rzecz osób trzecich (wyjaśnienia Spółki z dnia [...] lutego 2019 r.).

Po przeprowadzeniu postępowania administracyjnego, Prezes Urzędu decyzją z dnia [...] marca 2020 r. nr [...], na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r., poz. 2096 z późn. zm.), dalej: "k.p.a.", w zw. z art. 7 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781 z późn. zm.), dalej: "u.o.d.o.", art. 6 ust. 1 rozporządzenie 2016/679, nakazał D. sp. z o.o. sp. k. z siedzibą w W., usunięcie danych osobowych M. P. w zakresie imienia, nazwiska, adresu, numeru dowodu osobistego, numeru prawa jazdy.

Uzasadniając rozstrzygnięcie organ wskazał, że skarżący udostępnił Spółce swoje dane osobowe dobrowolnie, w związku z zawarciem umowy najmu samochodu.

Co do przetwarzania danych osobowych skarżącego w postaci kopii/skanu dowodu osobistego oraz prawa jazdy przez Spółkę, Prezes Urzędu stwierdził, iż przeprowadzone postępowanie nie wykazało, iż Spółka lub jej pracownik wykonał kopię/skan dowodu osobistego i prawa jazdy skarżącego, albowiem brak jest na tę okoliczność dowodu. Przy czym zwrócił uwagę, że twierdzenie to opiera się jedynie na przypuszczeniu skarżącego.

Przesłanki zgodności z prawem przetwarzania danych osobowych określa art. 6 ust. 1 rozporządzenia 2016/679. Przetwarzanie danych osobowych jest uprawnione, gdy spełniona zostanie którakolwiek z przesłanek wymienionych w art. 6 ust. 1 rozporządzenia 2016/679. Przetwarzanie było dopuszczalne z uwagi na zawarcie i wykonywanie umowy najmu samochodu z dnia [...] marca 2018 r., której stroną był skarżący. Spółka podniosła, iż aktualnie przetwarza dane osobowe skarżącego wyłącznie w celu ewentualnego ustalenia, dochodzenia lub obrony przed roszczeniami związanymi z wynajęciem samochodu, na podstawie art. 6 ust 1 lit. f rozporządzenia 2016/679.

Prezes Urzędu zakwestionował wskazywaną przez Spółkę podstawę przetwarzania danych osobowych skarżącego, ponieważ z zebranego materiału dowodowego nie wynika by skarżący wystąpił z roszczeniem wobec Spółki, bądź też, by Spółka dochodziła jakichkolwiek roszczeń od skarżącego na drodze sądowej, które uzasadniałyby uprawnienie Spółki do zachowania i przetwarzania jego danych osobowych w związku z ich zabezpieczeniem i dochodzeniem przez skarżącego lub Spółkę.

W ocenie Prezesa Urzędu, brak jest zatem spełnienia wskazywanej przez Spółkę przesłanki niezbędności do celów wynikających z prawnie usprawiedliwionych interesów realizowanych przez administratora odnośnie przetwarzania danych osobowych skarżącego.

Przesłanka z art. 6 ust. 1 lit. f rozporządzenia 2016/679 dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem.

Prezes Urzędu stwierdził, że skoro przeprowadzone postępowanie administracyjne nie wykazało, aby skarżący oprócz niniejszego postępowania, skierował wobec Spółki jakiekolwiek roszczenie, to Spółka przetwarza dane osobowe skarżącego w ww. celu wyłącznie "na zapas", aby zabezpieczyć się przed ewentualnym przyszłymi i niepewnymi roszczeniami skarżącego.

Zwrócił uwagę na fakt, że skarżący jedynie zapowiedział lecz nie zrealizował swoich zapowiedzi odnośnie skierowania sprawy na drogę sądową. Stąd też Spółka, nie może przetwarzać danych osobowych skarżącego tylko w celu zabezpieczenia się przed ewentualnym przyszłym i niepewnym roszczeniem skarżącego.

W ocenie Prezesa Urzędu, w związku z tym, że Spółka nie wskazała roszczenia, którego zaspokojenia domaga się od niej skarżący, jak również nie toczy się obecnie spór miedzy skarżącym, a Spółką w zakresie stosunku zobowiązaniowego, brak jest celu uzasadniającego przetwarzanie danych osobowych skarżącego w rozumieniu art. 6 ust. 1 lit. f rozporządzenia 2016/679.

W tych warunkach, Prezes Urzędu, uznając przetwarzanie danych osobowych skarżącego w celu zabezpieczenia i dochodzenia lub obrony przed ewentualnymi, przyszłymi i niepewnymi roszczeniami za zbędne i niezgodne z obowiązującymi przepisami o ochronie danych osobowych, nakazał Spółce zaprzestanie przetwarzania danych osobowych skarżącego w ww. celu.

Pismem z dnia [...] czerwca 2020 r. D. sp. z o.o. sp. k. z siedzibą w W. wniosła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na decyzję Prezesa Urzędu z dnia z dnia [...] marca 2020 r. nr [...] zarzucając jej naruszenie:

1. art. 6 ust. 1 lit. f w zw. z motywem 4 w zw. z motywem 39 rozporządzenia 2016/679, wobec nakazania skarżącej Spółce usunięcia danych osobowych M. P. w zakresie imienia, nazwiska, adresu, numeru dowodu osobistego, numeru prawa jazdy w związku z uznaniem, że brak jest spełnienia przesłanki niezbędności przetwarzania danych do celów wynikających z prawnie usprawiedliwionych interesów realizowanych przez administratora z powodu braku istniejącego roszczenia pomiędzy stronami, w sytuacji gdy kryterium niezbędności przetwarzania danych winno być ujmowane w rozsądnych granicach wymuszonych przez potrzeby obrotu gospodarczego i stwarzać możliwość zabezpieczenia interesów prawnych skarżącej spółki, jako podmiotu świadczącego odpłatne usługi najmu pojazdów i udostępniającego najemcom pojazdy stanowiące mienie Spółki, wobec trwającej możliwości narażenia Spółki na poniesienie straty lub utracenie korzyści w związku z działaniem lub zaniechaniem najemcy i wynikłej w przyszłości konieczności dochodzenia roszczeń przed sądem powszechnym lub innym organem,

2. art. 7, art. 77, art. 80, art. 107 § 3 k.p.a., wobec:

a. braku wyczerpującego zebrania materiału dowodowego w sprawie przez organ, chociażby z uwagi na brak zebrania dowodów w postaci liczby postępowań sądowych toczących się z powództwa D. sp. z o.o. sp.k. w W. przeciwko najemcom skarżącej Spółki, na okoliczność realnej konieczności zabezpieczenia interesów skarżącej Spółki, jako podmiotu wynajmującego pojazdy, uzasadniającej niezbędność przetwarzania danych najemców w odpowiednim zakresie,

b. braku wyczerpującego rozpatrzenia całokształtu materiału dowodowego zgromadzonego w sprawie przez organ wobec pominięcia okoliczności minimalnego zakresu danych przetwarzanych przez skarżącą Spółkę na podstawie art. 6 ust. 1 lit. f rozporządzenia 2016/679;

Spółka wniosła o uchylenie zaskarżonej decyzji w całości oraz zasądzenie zwrotu kosztów postępowania, w tym kosztów zastępstwa prawnego według norm przepisanych.

Uzasadniając skargę, Spółka przedstawiła argumentację na okoliczność błędnego - jej zdaniem - przyjęcia przez Prezesa Urzędu, iż po stronie skarżącej Spółki nie została spełniona przesłanka niezbędności przetwarzania danych do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora, wobec uznania, że przesłanka z art. 6 ust. 1 lit. f rozporządzenia 2016/679 dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia potrzeby dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem.

W odpowiedzi na skargę, Prezes Urzędu podtrzymał stanowisko, zawarte w zaskarżonej decyzji z dnia [...] marca 2020 r. W ocenie organu, zarzuty skargi są bezzasadne i nie zasługują na uwzględnienie.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Sąd administracyjny wykonuje wymiar sprawiedliwości, poddając kontroli decyzje wydawane przez organy administracji publicznej pod względem ich zgodności z prawem, badając czy właściwie zastosowano przepisy prawa materialnego i przestrzegano przepisów proceduralnych w postępowaniu administracyjnym. Sąd jest władny wzruszyć zaskarżoną decyzję jedynie w przypadku stwierdzenia naruszenia prawa. Przepis art. 145 ustawy z dnia 30 sierpnia 2002 r. - Prawo postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2019 r., poz. 2325 z późn. zm.), dalej: "p.p.s.a.", określa, w jakich sytuacjach decyzje lub postanowienia podlegają uchyleniu.

Oceniając zaskarżoną decyzję w świetle powyższych kryteriów Sąd stwierdził, iż skarga nie zasługuje na uwzględnienie.

Przypomnieć należy, iż od dnia 25 maja 2018 r. w polskim porządku prawnym obowiązuje ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), dalej: "u.o.d.o.", jak również rozporządzenie 2016/679, które stosuje się bezpośrednio.

Zgodnie z art. 4 pkt 1 rozporządzenia 2016/679 dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Natomiast w myśl art. 4 pkt 2 rozporządzenia 2016/679, przetwarzanie danych osobowych oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Ponadto należy zaznaczyć, że zgodnie z art. 4 pkt 7 rozporządzenia 2016/679, "administrator" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Sposób postępowania przy przetwarzaniu danych osobowych wyznacza art. 5 ust. 1 rozporządzenia 2016/679, ujmując je w formę podstawowych obowiązków administratora. Z jego treści wynika, że dane osobowe muszą być: a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (zgodność z prawem, rzetelność i przejrzystość), b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (ograniczenie celu), c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (minimalizacja danych), d) prawidłowe i w razie potrzeby uaktualniane, a dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, muszą być niezwłocznie usunięte lub sprostowane (prawidłowość), e) przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane (ograniczenie przechowywania), f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (integralność i poufność). Zgodnie z ust. 2 omawianego przepisu, administrator jest odpowiedzialny za przestrzeganie powyższych zasad i musi być w stanie wykazać ich przestrzeganie (rozliczalność).

Należy zaznaczyć, że przetwarzanie danych osobowych uważa się za legalne, jeśli ich administrator spełni co najmniej jedną z przesłanek wskazanych w art. 6 ust. 1 rozporządzenia 2016/679, tzn.: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów, b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Podstawa prawna przetwarzania danych osobowych wymieniona w przepisie art. 6 ust. 1 lit. f RODO ma zastosowanie w sytuacji, gdy administrator nie posiada zgody osoby, której dane dotyczą, nie istnieje żaden przepis, który mógłby stanowić podstawę do przetwarzania danych osobowych oraz gdy administrator nie może powołać się na realizację umowy, a mimo to przetwarzanie danych należy uznać za legalne z uwagi na "prawnie uzasadniony interes" administratora lub strony trzeciej. Przesłanka ta ma charakter dodatkowy, uzupełniający pozostałe podstawy dopuszczalności przetwarzania.

Oparcie przetwarzania danych osobowych na przepisie art. 6 ust. 1 lit. f rozporządzenia 2016/679 wymaga kumulatywnego spełnienia dwóch przesłanek pozytywnych. Po pierwsze, musi występować prawnie uzasadniony interes, który jest realizowany przez administratora lub przez stronę trzecią. Po drugie, niezbędna jest weryfikacja, czy przetwarzanie danych osobowych jest niezbędne dla realizacji celu wynikającego z prawnie uzasadnionych interesów. Nie wystarczy zatem samo występowanie takich interesów, lecz dodatkowo ich realizacja musi wymagać przetwarzania danych osobowych.

Następnie należy ocenić, czy nie jest spełniona przesłanka o charakterze negatywnym w postaci występowania w danym stanie faktycznym interesów lub podstawowych praw i wolności podmiotu danych, które mają charakter nadrzędny wobec prawnie uzasadnionych interesów administratora lub strony trzeciej. Stosowanie tej negatywnej przesłanki polega w istocie na wyważeniu dwóch dóbr chronionych prawem, tj. prawnie uzasadnionego interesu administratora lub strony trzeciej z jednej strony i interesów, podstawowych praw oraz wolności podmiotu danych - z drugiej. Z treści motywu 47 wynika, że aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu.

Wobec powyższego w przypadku, gdyby administrator chciał skorzystać z tej podstawy przetwarzania danych, powinien przeprowadzić tzw. test równowagi, tzn. dokonać oceny, czy interes administratora lub strony trzeciej, przemawiający za przetwarzaniem danych, jest prawnie uzasadniony, czy przetwarzanie jest niezbędne do realizacji celu wynikającego z tego interesu, a następnie rozważyć, czy interesy lub podstawowe prawa i wolności osoby, której dane dotyczą nie przeważają nad prawnie uzasadnionym interesem administratora lub strony trzeciej.

Kluczowe dla wydania przez Prezesa Urzędu decyzji, nakazującej Spółce usunięcie danych osobowych skarżącego, ma fakt, iż Spółka nie wykazała, poza koniecznością ochrony roszczeń mogących powstać w przyszłości, innej prawnie uzasadnionej podstawy dalszego przetwarzania danych osobowych skarżącego. Spółka, powołując się na art. 6 ust. 1 lit f rozporządzenia 2016/679, wskazywała jako wyłączną podstawę przetwarzania danych osobowych skarżącego w programie komputerowym Spółki ochronę przed przyszłymi niepewnymi roszczeniami.

Zdaniem Sądu, w rozstrzyganej sprawie, organ prawidłowo przyjął, że nie została spełniona przez Spółkę przesłanka niezbędności do celów wynikających z prawnie usprawiedliwionych interesów realizowanych przez administratora odnośnie przetwarzania danych osobowych M. P., ponieważ z ustaleń faktycznych nie wynika, aby wymieniony wystąpił z roszczeniem wobec Spółki, bądź też, by Spółka dochodziła jakichkolwiek roszczeń od niego na drodze sądowej, które uzasadniałyby uprawnienie Spółki do zachowania i przetwarzania jego danych osobowych w związku z ich zabezpieczeniem i dochodzeniem roszczeń. Tak więc Spółka przetwarza jego dane osobowe w ww. celu wyłącznie "na zapas", aby zabezpieczyć się przed ewentualnym przyszłymi i niepewnymi roszczeniami.

Rację ma Prezes Urzędu, że przesłanka z art. 6 ust. 1 lit. f rozporządzenia 2016/679 dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem.

Analiza przesłanek legalizujących, ujętych w art. 6 ust. 1 rozporządzenia 2016/679, dopuszczających przetwarzanie danych osobowych, prowadzi do wniosku, iż zgoda osoby, której dane dotyczą, będzie zawsze legalizowała przetwarzanie jej danych osobowych przez podmiot, który taką zgodę uzyskał. Natomiast zgoda osoby, której dane dotyczą, na przetwarzanie jej danych osobowych, nie jest wymagana wówczas, gdy administrator danych potrafi wskazać przepis prawa legalizujący dokonywanie czynności, o których mowa w art. 6 ust. 1 rozporządzenia 2016/679.

Skoro w okolicznościach przedmiotowej sprawy, M. P. nie wyraził zgody na przetwarzanie jego danych osobowych przez Spółkę, stosownie do art. 6 ust. 1 lit. a rozporządzenia 2016/679, a administrator danych nie wykazał innej podstawy legalizującej czynności przetwarzania, to Prezes Urzędu miał podstawę nakazać Spółce usunięcie jego danych osobowych w zakresie imienia, nazwiska, adresu, numeru dowodu osobistego, numeru prawa jazdy.

W ocenie Sądu, w sprawie nie został naruszony przepis art. 7, art. 77 § 1 k.p.a., art. 80 oraz art. 107 § 3 k.p.a. Prezes Urzędu w sposób wyczerpujący zebrał i rozpatrzył cały materiał dowodowy. Natomiast uzasadnienie zaskarżonej decyzji zawiera wskazania faktów, które organ uznał za udowodnione, dowodów, na których się oparł, oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności należyte wyjaśnienia podstawy prawnej podjętego rozstrzygnięcia.

W tych okolicznościach, Wojewódzki Sąd Administracyjny w Warszawie, uznając skargę za niezasadną, na podstawie art. 151 p.p.s.a., orzekł, jak w sentencji wyroku.

Sprawa została rozpoznana na posiedzeniu niejawnym w oparciu o zarządzenie Przewodniczącego Wydziału II z dnia 17 lutego 2021 r., wydane na podstawie art. 15zzs4 ust. 3 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz. U. z 2020 r., poz. 1842 z późn. zm.).