Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Sławomir Antoniuk, Sędzia WSA Agnieszka Góra-Błaszczykowska (spr.), Sędzia WSA Łukasz Krzycki, po rozpoznaniu na posiedzeniu niejawnym w dniu 23 lutego 2021 r. sprawy ze skargi [...] na decyzję Prezes Urzędu Ochrony Danych Osobowych z dnia [...] lipca 2020 r. nr [...] w przedmiocie przetwarzanie danych osobowych oddala skargę.

Decyzją z dnia [...] lipca 2020 r. Prezes Urzędu Ochrony Danych Osobowych (dalej jako organ, Prezes, PUODO), stwierdził naruszenie przez [...] (dalej jako [...]) przepisów art. 31 oraz 58 ust. 1 lit. e) i f) Rozporządzenia 2016/679, polegające na niezapewnieniu, w trakcie kontroli przestrzegania przepisów o ochronie danych osobowych, dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych oraz dostępu do danych osobowych i informacji niezbędnych Prezesowi do realizacji jego zadań, a także na braku współpracy z nim w trakcie tej kontroli. Z tej przyczyny nałożył na [...] administracyjną karę pieniężną w kwocie 100.000 złotych.

Podstawą prawną decyzji był art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256, dalej jako k.p.a.) oraz art. 7 ust 1 i ust. 2, art. 60 i art. 102 ust. 1 pkt 1 i ust. 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) w związku z art. 31, art. 57 ust. 1 lit. a), art. 58 ust 1 lit. e) i f) oraz art. 58 ust. 2 lit. i) w związku z art. 83 ust. 1 i 2, art. 83 ust. 4 lit. a) oraz art. 83 ust, 5 lit. e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm.) (zwanego dalej "Rozporządzeniem 2016/679").

Na uzasadnienie decyzji podano, że w dniach 10-14 lutego 2020 r. Prezes przeprowadził kontrolę przetwarzania danych osobowych w Starostwie Powiatowym w J.. W toku kontroli ustalono, że Starosta [...] nie publikuje na tym portalu danych osobowych z ewidencji gruntów i budynków, lecz - na podstawie stosownego porozumienia - przekazuje je (w tym numery ksiąg wieczystych) [...], który następnie pozyskane dane udostępnia na portalu[...]. Z uwagi na to PUODO zdecydował o konieczności przeprowadzenia u [...] kontroli przetwarzania danych osobowych, w zakresie udostępniania za pośrednictwem portalu [...] danych osobowych z ewidencji gruntów i budynków. O zaplanowanej kontroli [...] został poinformowany został [...] marca 2020 r. telefonicznie oraz pismem doręczonym tego dnia drogą elektroniczną (e-mail).

W dniu [...] marca 2020 r. kontrolujący (upoważnieni przez Prezesa pracownicy Urzędu Ochrony Danych Osobowych) udali się do Głównego [...] celem rozpoczęcia zaplanowanej kontroli. Kontrolujący okazali [...] legitymacje służbowe oraz przedłożyli imienne upoważnienia, w których w następujący sposób określony został szczegółowy zakres kontroli: "Kontrola obejmie udostępnianie przez [...] za pośrednictwem portalu internetowego [...], danych osobowych z ewidencji gruntów i budynków, poprzez ustalenie: 1. Podstawy prawnej przetwarzania, w tym udostępniania danych osobowych; 2. Źródła pozyskania danych osobowych; 3. Zakresu i rodzaju udostępnianych danych osobowych; 4. Sposobu oraz celu udostępniania dennych osobowych; 5. Czy przetwarzania danych osobowych odbywa się na podstawie upoważnienia nadanego przez administratora danych osobowych lub podmiot przetwarzający (art. 29 rozporządzenia 2016/679); 6. Czy [...] wdrożył odpowiednie środki techniczne i organizacyjne, aby zapewnić odpowiedni stopień bezpieczeństwa danych objętych ochroną (art. 32, art.24 ust.1 i 2 rozporządzenia 2016/679); 7. Czy [...] wyznaczył inspektora ochrony danych (art. 37 rozporządzenia 2016/679)."

Po okazaniu legitymacji i przedłożeniu upoważnień do przeprowadzenia kontroli, [...] oświadczył, że nie podpisze przedłożonych upoważnień i odmawia wyrażenia zgody na przeprowadzenie czynności kontrolnych w zakresie wynikającym z przedłożonych upoważnień. Na przedłożonych upoważnieniach [...] zamieścił pisemną adnotację o treści: "Odmawiam wyrażenia zgody na przeprowadzenie czynności kontrolnych w zakresie przedstawionego upoważnienia (punkt od 1 do 5) ze względu na bezprzedmiotowość kontroli, co uzasadniam w piśmie [...] z dnia [...].03.2020 r, najkrócej wynika to z faktu, że zakres kontroli ma się skupić na numerze księgi wieczystej co nie jest daną osobową w rozumieniu przepisów Prawo geodezyjne i kartograficzne. Wnoszę o doprecyzowanie zakresu kontroli zgodnie z podstawą jej wszczęcia."

[...] oświadczył następnie, że wyraża zgodę na przeprowadzenie czynności kontrolnych tylko w zakresie, jaki wynika z punktów 6 i 7 upoważnień imiennych kontrolujących. Dopiero wtedy podpisał upoważnienia imienne kontrolujących umieszczając przy podpisie adnotację "Podpisane zgodnie z oświadczeniem poniżej". Zgodnie z przytoczonym wyżej oświadczeniem [...] przedstawił do akt kontroli pismo o sygnaturze [...], w którym wskazane zostały m.in. podstawy prawne zakwalifikowania numeru księgi wieczystej jako danej przedmiotowej, to jest art. 20 ust. 1 pkt 1 Prawa geodezyjnego i kartograficznego oraz § 73 rozporządzenia Ministra Rozwoju Regionalnego i Budownictwa z dnia 29 marca 2001 r. w sprawie ewidencji gruntów i budynków.

Wobec jednoznacznie wyrażonego braku zgody [...] na przeprowadzenie czynności kontrolnych w zakresie określonym w puntach 1-5 upoważnień imiennych, kontrolujący odstąpili od czynności w tym zakresie, dokonując ustaleń jedynie w zakresie, o którym mowa w punktach 6 i 7 upoważnień. Kontrolujący zdecydowali o zakończeniu w dniu [...] marca 2020 r kontroli. W tym dniu sporządzony został przez kontrolujących protokół kontroli, podpisany następnie przez [...] (bez żadnych zastrzeżeń).

W związku z uniemożliwieniem przeprowadzenia kontroli przetwarzania przez [...] danych osobowych z ewidencji gruntów i budynków w portalu [...], wszczęte zostało z urzędu postępowanie w przedmiocie nałożenia na [...] administracyjnej kary pieniężnej za naruszenie art. 31 oraz art. 58 ust. 1 lit. e) i f) Rozporządzenia 2016/679, polegające na braku współpracy z Prezesem UODO w ramach wykonywania przez niego jego zadań, uniemożliwieniu przeprowadzenia kontroli w zakresie przetwarzania danych osobowych, a także niezapewnieniu Prezesowi UODO dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych, oraz dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań.

O wszczęciu postępowania i o zgromadzeniu materiału dowodowego w sprawie. [...] poinformowany został pismem z [...] marca 2020 r., doręczonym mu drogą elektroniczną za pośrednictwem platformy ePUAP.

Pismem z [...] kwietnia 2020 r. (doręczonym Prezesowi UODO [...] kwietnia 2020 r.) pełnomocnik [...] wniósł o umożliwienie jego pełnomocnikom wglądu w akta sprawy oraz sporządzenie ich fotokopii, ewentualnie o udostępnienie kopii całości akt sprawy drogą elektroniczną.

W odpowiedzi na wniosek, kopie całości akt sprawy przedstawione zostały pełnomocnikowi [...] drogą pocztową, pismem z [...] maja 2020 r., doręczonym pełnomocnikowi [...] maja 2020 r. Pismem z [...] maja 2020 r. (doręczonym Prezesowi UODO [...] maja 2020 r.) pełnomocnik GGK przedstawił stanowisko wskazując, że "wszczęcie i prowadzenie postępowania przez Prezesa UODO w niniejszej sprawie jest bezprzedmiotowe i z tego powodu powinno zostać umorzone w całości".

Po rozpatrzeniu całości materiału dowodowego zebranego w sprawie, Prezes UODO wydał opisaną na wstępie decyzję, w której stwierdził:

Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO - jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679 - ma za zadanie na swoim terytorium monitorować oraz egzekwować stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO ma za zadanie m.in. prowadzić postępowania w sprawie stosowania Rozporządzenia 2016/679 (art. 57 ust. 1 lit. f). Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a), uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e) oraz uprawnienie do uzyskania dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych, zgodnie z procedurami określonymi w prawie unijnym lub w prawie państwa członkowskiego (art. 58 ust. 1 lit. f).

Naruszenie przepisów Rozporządzenia 2016/679, polegające na niezapewnieniu przez organ publiczny, będący administratorem lub podmiotem przetwarzającym, dostępu do danych i informacji, o których mowa powyżej, skutkującym naruszeniem uprawnień organu, określonych w art. 58 ust. 1 Rozporządzenia 2016/679 (w tym uprawnień do uzyskania danych osobowych i informacji niezbędnych do realizacji jego zadań oraz do uzyskania dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych), podlegać może - zgodnie z art. 83 ust. 5 lit e) in fine Rozporządzenia 2016/679 w związku z art. 102 ust. 1 i 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwanej dalej "u.o.d.o." - administracyjnej karze pieniężnej w wysokości do 100 000 złotych.

PUODO podkreślił, że administrator i podmiot przetwarzający obowiązani są współpracować z organem nadzorczym w ramach wykonywania przez niego zadań, o czym stanowi art. 31 Rozporządzenia 2016/679. Niewywiązanie się z tego obowiązku również zagrożone jest - zgodnie z art. 83 ust. 4 lit. a) Rozporządzenia 2016/679 w związku z art. 102 ust. 1 i 3 u.o.d.o. - administracyjną karą pieniężną w wysokości do 100 000 złotych.

Wskazaną w art. 58 ust. 1 lit. f) Rozporządzenia 2016/679 "procedurą określoną w prawie unijnym lub w prawie państwa członkowskiego" służącą realizacji uprawnienia organu nadzorczego do uzyskania dostępu do pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych, jest na gruncie prawa polskiego, opisana w Rozdziale 9 u.o.d.o. (art. 78 - 91), procedura "kontroli przestrzegania przepisów o ochronie danych osobowych". Zgodnie z art. 78 u.o.d.o. Prezes UODO przeprowadza kontrolę przestrzegania przepisów o ochronie danych osobowych (ust. 1), a kontrola ta prowadzona być może "zgodnie z zatwierdzonym przez Prezesa Urzędu planem kontroli lub na podstawie uzyskanych przez Prezesa Urzędu informacji lub w ramach monitorowania przestrzegania stosowania rozporządzenia 2016/679" (ust. 2).

Kontrolującym (upoważnionym pracownikom Urzędu Ochrony Danych Osobowych) przysługuje - o czym stanowi art. 84 ust. 1 u.o.d.o. - prawo: 1. wstępu w godzinach od 6.00 do 22.00 na grunt oraz do budynków, lokali lub innych pomieszczeń, 2. wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli, 3. przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych, 4. żądania złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchania w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego, 5. zlecania sporządzania ekspertyz i opinii. Kontrolujący ustala stan faktyczny na podstawie dowodów zebranych (z wykorzystaniem wskazanych powyżej uprawnień) w postępowaniu kontrolnym, a w szczególności dokumentów, przedmiotów, oględzin oraz ustnych lub pisemnych wyjaśnień i oświadczeń (art. 87 u.o.d.o.).

Prezes stwierdził, że na w.w. podstawach prawnych, miał uprawnienie do wszczęcia i przeprowadzenia u [...] kontroli przetwarzania danych osobowych; miał również uzasadnienie dla dokonania ustaleń w tego rodzaju postępowaniu (postępowaniu kontrolnym uregulowanym w rozdziale 9 u.o.d.o.).

Uprawnienia kontrolne Prezesa UODO sformułowane zostały szeroko w przytoczonych powyżej przepisach Rozporządzenia 2016/679 oraz u.o.d.o.; ich stosowanie ograniczone jest jedynie celem: sprawdzeniem czy przestrzegane są przepisy o ochronie danych osobowych. Warunkiem przeprowadzenia takiej kontroli nie jest nawet uzasadnione podejrzenie stwierdzenia naruszenia. Ustawodawca wyraźnie dopuszcza w art. 78 ust. 2 u.o.d.o. możliwość przeprowadzania kontroli "zgodnie z planem kontroli", a więc bez wcześniejszych informacji, wskazujących na nieprawidłowości w zakresie przetwarzania danych osobowych, mających miejsce w konkretnym podmiocie, a nawet bez informacji wskazujących, na to czy dany podmiot w ogóle przetwarza dane osobowe (kontrola takiego podmiotu w pierwszej kolejności musiałaby jednak ustalić taką okoliczność - przed podjęciem dalszych ustaleń dotyczących np. legalności i zgodności z prawem przetwarzania).

Ogólne i szerokie określenie zadania, do realizacji którego zobowiązany jest Prezes UODO ("monitorowanie i egzekwowanie stosowania rozporządzenia", o którym mowa w art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, "kontrola przestrzegania przepisów o ochronie danych osobowych", o której mowa w art. 78 ust. 1 u.o.d.o.), pozostawia Prezesowi UODO swobodę określania zarówno kręgu podmiotów kontrolowanych, jak i zakresu przeprowadzanych kontroli. Zadanie to należy bowiem rozumieć szeroko - nie tylko jako sprawdzenie czy konkretny podmiot w konkretnej sprawie narusza w konkretny sposób przepisy o ochronie danych osobowych, ale także jako zadanie podejmowane w celu zidentyfikowania rodzajów, obszarów występowania i skali problemów związanych ze stosowaniem przepisów o ochronie danych osobowych (w szczególności Rozporządzenia 2016/679), ich eliminowania oraz zapobiegania im na przyszłość.

W kontekście swobody pozostawionej Prezesowi UODO w określeniu podmiotu poddanego kontroli i zakresu tej kontroli stwierdzono, że w sprawie Prezes UODO miał szczególnie uzasadnioną podstawę do wszczęcia i przeprowadzenia u [...] kontroli w zakresie, który uznał za niezbędny dla realizacji zadania monitorowania stosowania Rozporządzenia 2016/679. Wskutek kontroli przeprowadzonej w dniach [...]-[...] lutego 2020 r. w Starostwie Powiatowym w J. pozyskał bowiem informację o przekazywaniu GGK przez Starostę [...] danych osobowych z ewidencji gruntów i budynków (w tym numerów ksiąg wieczystych) i dalszym przetwarzaniu ich (udostępnianiu) za pośrednictwem portalu [...]. Sam fakt dysponowania tymi danymi przez [...] stanowi wystarczającą podstawę przeprowadzenia u niego kontroli mającej na celu - o czym stanowi art. 87 u.o.d.o. - jedynie zebranie dowodów pozwalających ustalić stan faktyczny sprawy, a nie ocenę prawną tego stanu (która w przypadku podejrzenia zaistnienia naruszenia następuje w odrębnym postępowaniu administracyjnym). Z tak rozumianej istoty kontroli wynika, że podmiot kontrolowany nie może kwestionować - na etapie wszczęcia i prowadzenia kontroli -jej zasadności ani jej zakresu.

Miejscem na kwestionowanie oceny prawnej stanu faktycznego sprawy (a do tego w niniejszej sprawie sprowadza się w istocie kwestionowanie przez [...] zakresu kontroli, związane z twierdzeniem, że numer księgi wieczystej nie stanowi danej osobowej) jest ewentualne postępowanie w przedmiocie naruszenia, wszczęte w oparciu o dowody zebrane w trakcie postępowania kontrolnego.

Uprawnienia kontrolne Prezesa UODO ograniczone są celem kontroli, którym jest sprawdzenie przestrzegania przepisów o ochronie danych osobowych. Dlatego za niedopuszczalne uznał działania [...], mające na celu udaremnienie lub utrudnienie kontroli, w szczególności że oparte są one wyłącznie na subiektywnej ocenie prawnej kontrolowanego (nawet jeśli są one wsparte wybranymi, niereprezentatywnymi głosami doktryny i orzeczeniami sądowymi). Takie działanie prowadziłoby do nieakceptowalnej sytuacji, polegającej na tym, że uniemożliwiając ustalenia stanu faktycznego sprawy, kontrolowany odbiera niezależnemu organowi kontrolującemu możliwość dokonania własnej, rzetelnej i wszechstronnej oceny prawnej sytuacji, która to ocena mogłaby być poddana w razie konieczności późniejszej weryfikacji przez właściwe organy sądowoadministracyjne.

Ocena, czy [...] pełni w procesie przetwarzania danych w portalu [...] rolę administratora (czy też może współadministratora, ewentualnie podmiotu przetwarzającego), stanowi element stanu faktycznego, który miał zostać ustalony w toku kontroli. W chwili wszczęcia kontroli Prezes UODO dysponował informacjami, że w portalu [...], którego administratorem jest [...], przetwarzane są informacje stanowiące (lub mogące stanowić) dane osobowe, w szczególności numery ksiąg wieczystych przypisane do prezentowanych w portalu nieruchomości. Powyższe potwierdzone zostało wynikami kontroli przeprowadzonej w Starostwie Powiatowym w J., z których wynikało, że [...] pozyskiwał z ewidencji gruntów i budynków, prowadzonej przez Starostę J., dane (w tym numery ksiąg wieczystych) celem ich dalszego przetwarzania za pośrednictwem portalu [...]. Dodatkowo, w Regulaminie serwisu [....](zamieszczonego na stronie internetowej [...]) znajduje się informacja wprost wskazująca, że administratorem danych osobowych przetwarzanych w portalu [...] jest [...]. Takie informacje uzasadniały właśnie potrzebę przeprowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych, m.in. w celu ustalenia roli [...] w tym procesie przetwarzania danych.

Błędne jest stanowisko [...] (w piśmie z [...] maja 2020 r.), że podmiotem podlegającym kontroli Prezesa UODO może być jedynie podmiot decydujący o celach i sposobach przetwarzania czyli administrator (którym [...] we własnej ocenie nie jest). Wbrew twierdzeniom [...], obowiązek zapewnienia dostępu do danych osobowych i informacji niezbędnych do realizacji zadań Prezesa UODO oraz dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych, o którym to obowiązku mowa jest w art. 58 ust 1 lit. e) i f), spoczywa nie tylko na administratorze, ale i na współadministratorze oraz na podmiocie przetwarzającym dane osobowe. Zaprzeczając swojej roli administratora [...] zdaje się nie wykluczać, że przetwarza dane osobowe pochodzące z ewidencji gruntów i budynków jako podmiot przetwarzający, w imieniu administratorów (starostów), na podstawie umów, które w istocie można by ocenić jako umowy, o których mowa w art. 28 ust. 3 Rozporządzenia 2016/679). Powyższy brak pewności co do roli pełnionej w procesie przetwarzania w portalu [...] danych pozyskanych z ewidencji gruntów i budynków, który mógłby zostać usunięty w toku przeprowadzonej kontroli, świadczy o zasadności przeprowadzenia u GGK kontroli w pełnym zakresie. Podobnie, jeśli chodzi o określony w art. 31 Rozporządzenia 2016/679 obowiązek współpracy z organem nadzorczym, to skierowany on jest nie tylko do administratora, ale i do podmiotu przetwarzającego.

PUODO odniósł się do twierdzenia, że "kontrola [...] prowadzona była nie u [...], ale w [...], który z punktu widzenia przepisów RODO jest odrębnym administratorem danych osobowych", i stwierdził, że wskazał [...] jak miejsce, w których miały być (były) przeprowadzone czynności kontrolne w związku z tym, że to w [...] jako jednostce organizacyjnej, przy pomocy której [...] realizuje swoje zadania, znajdują się dane osobowe oraz źródła informacji, pomieszczenia, sprzęt i środki służące przetwarzaniu danych osobowych, do których dostęp niezbędny był Prezesowi UODO celem zebrania dowodów w sprawie.

Cel kontroli związany był z realizacją ustawowego zadania [...], jakim jest stworzenie i utrzymywanie portalu [...], sformułowane w przepisach art. 5 ustawy z dnia 17 maja 1989 r. Prawo geodezyjne i kartograficzne (Dz. U. z 2020 r. poz. 276 ze zm.) oraz art. 13 ust. 1 ustawy z dnia 4 marca 2010 r. o infrastrukturze informacji przestrzennej (Dz. U. z 2020 r. poz. 177 ze zm.). Ten ostatni przepis stanowi, że [...] tworzy i utrzymuje [...] infrastruktury informacji przestrzennej jako centralny punkt dostępu do usług, dotyczących zbiorów i usług danych przestrzennych; nie przewiduje natomiast żadnego udziału w tym zadaniu dla [...]. Powyższy zapis określający kompetencje i odpowiedzialność w zakresie funkcjonowania portalu [...], w połączeniu ze wskazywanym przez Prezesa UODO przedmiotem i zakresem kontroli, nie powinien pozostawiać (szczególnie centralnemu organowi właściwemu w sprawach [...]) żadnych wątpliwości co do określenia podmiotu podlegającego kontroli.

[...], zarówno w chwili rozpoczęcia kontroli, jak i w jej trakcie, nie podnosił żadnych zastrzeżeń co do wskazania podmiotu kontrolowanego, chociaż miał taką możliwość. Dlatego w ocenie Prezesa UODO zastrzeżenie co do wskazania podmiotu kontrolowanego, sformułowane zostało przez [...] post factum i wyłącznie na potrzeby uzasadnienia dokonanego przez siebie naruszenia przepisów o ochronie danych osobowych.

Prezes UODO podkreślił, że uzasadnienie odmowy wyrażenia zgody na przeprowadzenie kontroli przetwarzania przez niego danych osobowych, nie zasługuje w żadnym punkcie na akceptację, gdyż miał prawo i uzasadnienie dla przeprowadzenia kontroli u [...]. Zakres tej kontroli mieścił się w celach określonych w art. 57 ust. 1 lit. a) Rozporządzenia 2016/679 ("monitorowanie i egzekwowanie stosowania rozporządzenia") oraz w art. 78 ust. 1 u.o.d.o. ("kontrola przestrzegania przepisów o ochronie danych osobowych"). Działanie [...] jako kontrolowanego, polegające na odmowie wyrażenia zgody na przeprowadzenie kontroli w zakresie określonym w punktach 1-5 upoważnień imiennych, uniemożliwiło w pełnym zakresie przeprowadzenie czynności kontrolnych w tym obszarze i spowodowało odstąpienie przez kontrolujących od czynności w tym zakresie.

Zdaniem PUODO, na tle obowiązków nałożonych przepisami Rozporządzenia 2016/679 na administratora i podmiot przetwarzający, a dotyczących ich stosunku do organu nadzorczego [...], w trakcie postępowania kontrolnego o sygn.[...], swoim działaniem naruszył:

1. art. 58 ust. 1 lit. e) Rozporządzenia 2016/679, nakładający na niego obowiązek zapewnienia Prezesowi UODO dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych organowi nadzorczemu do realizacji jego zadań,

2. art. 58 ust. 1 lit. f) Rozporządzenia 2016/679, nakładający na niego obowiązek zapewnienia Prezesowi dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych, zgodnie z procedurami określonymi w prawie unijnym łub w prawie państwa członkowskiego,

3. art. 31 Rozporządzenia 2016/679, nakładający na niego obowiązek współpracy z Prezesem UODO, na jego żądanie, w ramach wykonywania przez niego jego zadań.

W związku z tymi naruszeniami Prezes UODO stwierdził, że w sprawie zaistniały przesłanki uzasadniające nałożenie na [...] - na mocy art. 83 ust. 4 lit. a) oraz art. 83 ust. 5 lit. e) in fine Rozporządzenia 2016/679 - administracyjnej kary pieniężnej w związku z niezapewnieniem dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych oraz dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań, a także z brakiem współpracy z Prezesem UODO w trakcie tej kontroli.

Stosownie do treści art. 83 ust. 2 Rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się zależnie od okoliczności każdego indywidualnego przypadku. Decydując o nałożeniu w niniejszej sprawie na [...] administracyjnej kary pieniężnej oraz ustalając jej wysokość, Prezes UODO wziął pod uwagę następujące okoliczności wpływające obciążające na ocenę naruszenia:

1. Charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) Rozporządzenia 2016/679). Naruszenie podlegające administracyjnej karze pieniężnej w niniejszej sprawie godzi w system, mający na celu ochronę jednego z podstawowych praw osoby fizycznej, którym jest prawo do ochrony jej danych osobowych, czy też szerzej - do ochrony jej prywatności. Istotnym elementem tego systemu, którego ramy określone zostały Rozporządzeniem 2016/679, są organy nadzorcze, na które nałożone zostały zadania związane z ochroną i egzekwowaniem praw osób fizycznych w tym zakresie. W celu umożliwienia realizacji tych zadań organy nadzorcze wyposażone zostały w szereg uprawnień kontrolnych, uprawnień umożliwiających prowadzenie postępowań administracyjnych oraz uprawnień naprawczych. Natomiast na administratorów i podmioty przetwarzające nałożone zostały, skorelowane z uprawnieniami organów nadzorczych, określone obowiązki, w tym obowiązek współpracy z organami nadzorczymi oraz obowiązek zapewnienia tym organom dostępu do danych osobowych oraz innych informacji niezbędnych do realizacji ich zadań, a także dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych.

Działania [...] w trakcie kontroli, mające na celu udaremnienie jej przeprowadzenia w zakresie wskazanym w punktach 1-5 oraz w pkt 6 (w odniesieniu do środków technicznych wdrożonych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa) upoważnień imiennych kontrolujących, a skutkujące brakiem dostępu do dowodów wskazujących na legalność i zgodność z prawem przetwarzania przez [...] danych osobowych, pochodzących z ewidencji gruntów i budynków, PUODO uznał za godzące w cały system ochrony danych osobowych, i z tego względu mające dużą wagę i naganny charakter. Wagę naruszenia zwiększa dodatkowo okoliczność, że dokonane przez [...] naruszenie, jakkolwiek jednorazowe (miało miejsce w dniach [...]-[...] marca 2020 r.), wywołało skutki trwające do chwili obecnej. Brak współpracy [...], wyrażający się w odmowie uznania prawa Prezesa UODO do dokonania kontroli zgodności z przepisami przetwarzania przez niego danych osobowych pochodzących z ewidencji gruntów i budynków w portalu [...], jest aktualny, co potwierdza stanowisko [...], wyrażone w piśmie jego pełnomocnika z dnia [...] maja 2020 r.

Jako obciążającą wskazano ponadto okoliczność, że naruszenia dopuścił się organ publiczny – [...]. Od organu publicznego, w ocenie Prezesa UODO, należy oczekiwać szczególnego, większego niż w przypadku podmiotów prywatnych, zrozumienia i szacunku dla działań podejmowanych przez inne organy w ramach ich ustawowo określonych zadań, oraz większego stopnia współpracy w realizacji tych zadań.

2. Umyślny charakter naruszenia (art. 83 ust. 2 lit. b) Rozporządzenia 2016/679).

W ocenie Prezesa UODO po stronie [...] istnieje intencjonalny brak woli współpracy w zapewnieniu organowi wszelkich informacji (dowodów) niezbędnych do ustalenia, czy stanowiące przedmiot kontroli procesy przetwarzania danych mają podstawę prawną i przetwarzane są zgodnie z prawem. Brak zgody [...] na przeprowadzenie kontroli i jego deklaracja braku współpracy w tym zakresie wyrażone zostały w sposób jednoznaczny i stanowczy. Argumentacja przedstawiona na uzasadnienie stanowiska [...] jest całkowicie niezasadna i w dużym stopniu stworzona została post factum, w celu usprawiedliwienia braku woli poddania się uzasadnionemu i zgodnemu z prawem badaniu niezależnego organu kontrolnego. Zważywszy, że [...] jest podmiotem publicznym (a dodatkowo organem centralnym w strukturze służb [...]), podmiotem na dużą skalę przetwarzającym w ramach swoich kompetencji dane osobowe obywateli, przyjąć należy ponadto, że miał on (i ma do chwili obecnej) świadomość, że jego postępowanie może stanowić naruszenie przepisów Rozporządzenia 2016/679, i godzi się z tym stanem.

3. Brak współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) Rozporządzenia 2016/679).

W toku niniejszego postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej [...] podtrzymał swój brak zgody na przeprowadzenie kontroli w kwestionowanym zakresie i nie wyraził w żadnym stopniu chęci współpracy z Prezesem UODO w celu usunięcia naruszenia.

Pozostałe przesłanki wymiaru administracyjnej kary pieniężnej, wskazane w art. 83. ust. 2 Rozporządzenia 2016/679 nie miały wpływu (obciążającego lub łagodzącego) na dokonaną przez Prezesa UODO ocenę naruszenia lub też, ze względu na specyficzny charakter naruszenia, nie mogły być wzięte pod uwagę w niniejszej sprawie.

Stosownie do brzmienia art. 83 ust. 1 Rozporządzenia 2016/679 nałożona przez organ nadzorczy administracyjna kara pieniężna powinna być w każdym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. W ocenie Prezesa UODO, kara nałożona na [...] w niniejszym postępowaniu spełnia te kryteria. Zdyscyplinuje [...] do prawidłowej współpracy z Prezesem UODO w postępowaniach prowadzonych w przyszłości. Nałożona niniejszą decyzją kara w maksymalnej, określonej w art. 102 ust. 1 u.o.d.o., wysokości jest - w ocenie Prezesa UODO - uzasadniona i proporcjonalna do wagi stwierdzonego naruszenia. Kara ta spełni ponadto funkcję odstraszającą; będzie jasnym sygnałem zarówno dla [...] jak i dla innych podmiotów zobowiązanych na mocy przepisów Rozporządzenia 2016/679 do współpracy z Prezesem UODO, że lekceważenie obowiązków związanych ze współpracą z nim (w szczególności utrudnianie kontroli przestrzegania przepisów o ochronie danych osobowych) stanowi naruszenie o dużej wadze i jako takie podlegać będzie sankcjom finansowym.

W sprawie zastosowanie znajdują przepisy art. 102 ust. 1 i 3 u.o.d.o. zgodnie z którymi wysokość administracyjnej kary pieniężnej nakładanej określonych w art. 83 Rozporządzenia 2016/679 na podstawie i na warunkach na jednostkę sektora finansów publicznych w rozumieniu ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2019 r. poz. 869 ze zm.), ograniczona jest do kwoty 100 000 złotych.

W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie [...] zaskarżył w całości wskazaną decyzję Prezesa UODO, zarzucając jej:

1) naruszenie art. 83 ust. 4 lit a) i art 83 ust. 5 lit e) RODO w zw. z art. 31 RODO w zw. z art. 58 ust. 1 lit. e) RODO w zw. z art. 58 ust. 1 lit. f) RODO w zw. z art. 102 ust. 1 pkt 1) ustawy z dnia 10 maja 2018 r. (u.o.d.o) w zw. z art. 102 ust. 3 u.o.d.o. poprzez skierowanie do [...] Decyzji w przedmiocie nałożenia administracyjnej kary pieniężnej z tytułu naruszenia obowiązków w zakresie zapewnienia współpracy podczas wykonywania zadań przez organ, w szczególności określonych w art. 58 ust. 1 lit e) i f) RODO podczas gdy podmiotem w stosunku do którego prowadzona była kontrola i wykonywane były zadania organu nie był [...], a [...], będący odrębnym od [...] administratorem danych osobowych i będący zatem podmiotem praw i obowiązków w zakresie kontroli, w tym również obowiązku zapewnienia współpracy, co w konsekwencji doprowadziło do wydania Decyzji wobec podmiotu, który nie mógł być stroną postępowania w przedmiocie braku zapewnienia współdziałania, co stanowi podstawę do stwierdzenia nieważności Decyzji, o której mowa w art. 156 § 1 pkt k.p.a.;

2) mogące mieć istotny wpływ na wynik sprawy naruszenie przepisów postępowania, tj.:

a) art. 78 ust. 1 RODO w zw. z art. 6 ust. 1 Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności (dalej: "EKPCz") oraz art. 13 EKPCz przez uniemożliwienie wniesienia i rozpoznania skutecznego środka ochrony prawnej przed sądem;

b) art. 47 Karty Praw Podstawowych poprzez uniemożliwienie Skarżącemu rozpatrzenia sprawy przez sąd mający pełną jurysdykcję w sprawie, tj. mogący co najmniej ustalać stan faktyczny oraz modyfikować rozstrzygnięcie, co godzi w prawo Skarżącego do rzetelnego procesu;

c) art. 7 k.p.a., art. 8 k.p.a., 75 § 1 k.p.a., 77 § 1 k.p.a., 80 k.p.a. poprzez poczynienie przez organ ustaleń faktycznych co do braku zapewnienia przez [...] dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych oraz dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań, a także na braku współpracy z Prezesem UODO w trakcie tej kontroli w oparciu o niepełny materiał dowodowy, zgromadzony w sprawie w sposób wybiórczy, jako że w aktach sprawy administracyjnej nie zostały uwzględnione liczne dokumenty składane przez [...] do akt sprawy, w tym w szczególności załączniki do protokołu kontroli z dnia [...] marca 2020 r., jak również sama treść protokołu kontroli nie uwzględniała faktu uzyskania przez kontrolujących dostępu do pomieszczeń oraz systemu informatycznego służącego do obsługi serwisu www.geoportal.gov.pl, podczas gdy uwzględnienie przedmiotowych dokumentów w materiale dowodowym i ich prawidłowa ocena doprowadziłyby do ustalenia, że podczas kontroli [...] zapewnił dostęp do wszelkich materiałów istotnych z perspektywy przeprowadzonej kontroli, a tym samym nie dopuścił się braku współpracy z Prezesem UODO;

d) art. 88 ust. 1 u.o.d.o. w zw. z art. 88 ust. 2 pkt 6) u.o.d.o. w zw. z art. 7 k.p.a., w zw. z 75 § 1 k.p.a., 77 § 1 k.p.a., 80 k.p.a. poprzez brak wskazania w protokole kontroli faktu odbycia przez kontrolujących oględzin systemu informatycznego służącego do obsługi serwisu www.geoportal.gov.pl, podczas gdy w trakcie kontroli kontrolujący w obecności W. I. oraz pracowników [...] dokonali szczegółowych oględzin systemu informatycznego służącego do obsługi serwisu www.geoportal.gov.pl, co nie zostało udokumentowane w aktach postępowania i w konsekwencji nie zostało uwzględnione przez organ podczas wydawania Decyzji, podczas gdy prawidłowa ocena kompletnego protokołu kontroli musiałaby doprowadzić organ do wniosku, że [...] zapewnił dostęp do systemu informatycznego w zakresie istotnym z perspektywy przeprowadzonej kontroli, a tym samym nie dopuścił się braku współpracy z Prezesem UODO;

e) art. 7 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a. w kontekście spełnienia przez Skarżącego wymogów określonych w art. 31 ust. 1 oraz art. 58 ust. 1 lit. e) i f) RODO w zw. z art. 83 ust 5 lit e) RODO, poprzez brak wszechstronnej oraz merytorycznej oceny zgromadzonego materiału dowodowego, tj. protokołu kontroli wraz z załącznikami, którego wszechstronna ocena powinna doprowadzić organ do ustalenia, że skarżący współpracował z Prezesem UODO w trakcie kontroli, w szczególności w zakresie żądanym przez Prezesa UODO udzielił dostępu do pomieszczeń, sprzętu oraz środków służących do przetwarzania danych osobowych oraz dostępu do danych i innych informacji w zakresie jaki Prezes UODO uznał za niezbędny do wyjaśnienia sprawy, co w konsekwencji doprowadziło do błędnego ustalenia stanu faktycznego sprawy, przede wszystkim w zakresie okoliczności mających wpływ na ocenę spełnienia przez skarżącego obowiązków wynikających z art. 31 RODO oraz art. 58 ust. 1 lit. e) i f) RODO,

f) art. 107 § 1 pkt 6) k.p.a. oraz art. 107 § 3 k.p.a., poprzez sporządzenie uzasadnienia w sposób niezrozumiały, niezgodny z obowiązkami nałożonymi na organ w zakresie sporządzenia uzasadnienia, polegający na braku wyczerpującego wskazania przez organ faktów, które organ uznał za udowodnione, dowodów, na których się oparł, oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej, a przyjmowaniu przez organ założeń nie popartych ani dowodami ani uzasadnieniem logicznym, lub dokumentami nie stanowiącymi materiału dowodowego zgromadzonego w sprawie ani nie będących źródłami prawa, poprzez m.in.: co w konsekwencji spowodowało bezzasadne wymierzenie kary oraz uniemożliwia realną kontrolę merytoryczną Decyzji".

Ponadto, "warunkowo akceptując sentencję Decyzji oraz ustalony stan faktyczny – przy czym Skarżący kategorycznie nie akceptuje go", zaskarżonej decyzji zarzucono:

3) mające wpływ na wynik sprawy naruszenie przepisów prawa materialnego, tj.:

a) art. 31 RODO, 58 ust. 1 lit. e) RODO, 58 ust. 1 lit. f) RODO, poprzez ich błędną wykładnię i przyjęcie, że GGK, który w ramach prowadzonej kontroli nie był podmiotem kontrolowanym występującym w roli administratora, podmiotu przetwarzającego, ani przedstawiciela, jest zobowiązany do współpracy z organem nadzorczym i jest zobowiązany do umożliwienia organowi uzyskania dostępu do danych osobowych, informacji, pomieszczeń, sprzętu i środków, podczas gdy [...] jako podmiot wobec którego nie była, prowadzona kontrola nie był adresatem obowiązków przewidzianych w art. 31 RODO, 58 ust. 1 lit. e) RODO, 58 ust. 1 lit. f) RODO, które to obowiązki mogę być w trakcie trwania kontroli nakładane wyłącznie na podmiot kontrolowany, występujący w roli administratora, podmiotu przetwarzającego lub przedstawiciela,

b) art. 31 RODO, 58 ust. 1 lit. e) RODO, 58 ust. 1 lit. f) RODO, poprzez ich błędną wykładnię i przyjęcie, że [...], który w ramach prowadzonej kontroli nie był podmiotem kontrolowanym występującym w roli administratora, podmiotu przetwarzającego, ani przedstawiciela, jest zobowiązany do współpracy z organem nadzorczym i jest zobowiązany do umożliwienia organowi uzyskania dostępu do danych osobowych, informacji, pomieszczeń, sprzętu i środków, podczas gdy [...] jako podmiot, który nie mógł być ani administratorem ani podmiotem przetwarzającym w stosunku do informacji objętych kontrolą nie był adresatem obowiązków przewidzianych w art. 31, 58 ust. 1 lit. e, 58 ust. 1 lit. e RODO, które to obowiązki mogą być w trakcie trwania kontroli nakładane wyłącznie na podmiot kontrolowany, który może występować w roli administratora, podmiotu przetwarzającego lub przedstawiciela w stosunku do informacji będących przedmiotem kontroli,

c) art. 31 RODO, poprzez jego błędną wykładnię i przyjęcie, że zamieszczenie przez [...] na upoważnieniach do przeprowadzenia kontroli adnotacji o odmowie wyrażenia zgody na przeprowadzenie czynności kontrolnych w odniesieniu do części wskazanego w upoważnieniach zakresu kontroli stanowiło brak współpracy z Prezesem UODO w ramach wykonywania przez niego zadań, podczas gdy zamieszczenie takiej adnotacji nie ma charakteru w żaden sposób wiążącego dla Prezesa UODO oraz w żaden sposób nie wpłynęło na faktyczną możliwość realizowania swoich czynności kontrolnych przez Prezesa UODO, który miał możliwość uzyskania wszelkich danych osobowych i informacji od [...] i pracowników [...] oraz uzyskał dostęp do wszelkich pomieszczeń, sprzętu, środków, systemów informatycznych oraz dokumentacji dotyczącej ochrony danych osobowych, w zakresie o który wnioskował w trakcie wykonywania czynności kontrolnych, w konsekwencji czego adnotacja o odmowie wyrażenia zgody może być traktowana wyłącznie jako wyrażenie przez [...] krytycznej opinii na temat określonego przez organ nadzorczy zakresu kontroli, a nie jako rzeczywisty przejaw braku współpracy z Prezesem UODO, który mimo zapewnienia pełnej współpracy przez kontrolowanego i możliwości prowadzenia dalszych czynności kontrolnych, zrezygnował z jej kontynuowania,

d) art. 58 ust. 1 lit. e) RODO, poprzez jego błędną wykładnię i przyjęcie, że zamieszczenie przez [...] na upoważnieniach do przeprowadzenia kontroli adnotacji o odmowie wyrażenia zgody na przeprowadzenie czynności kontrolnych w odniesieniu do części wskazanego w upoważnieniach zakresu kontroli doprowadziło do niezapewnienia Prezesowi UODO możliwości uzyskania dostępu do wszelkich danych osobowych i informacji niezbędnych do realizacji swoich zadań, podczas gdy, zamieszczenie takiej adnotacji nie ma charakteru w żaden sposób wiążącego dla Prezesa UODO oraz w żaden sposób nie wpłynęło na faktyczną możliwość uzyskania przez niego dostępu do wszelkich danych osobowych i informacji od [...] i pracowników [...] w trakcie realizowania czynności kontrolnych przez Prezesa UODO, w zakresie o który wnioskował w trakcie wykonywania czynności kontrolnych, w konsekwencji czego adnotacja o odmowie wyrażenia zgody może być traktowana wyłącznie jako wyrażenie przez [...] krytycznej opinii na temat określonego przez organ nadzorczy zakresu kontroli, a nie jako rzeczywisty przejaw utrudniania lub uniemożliwiania przeprowadzenia kontroli przez Prezesa UODO,

e) art. 58 ust. 1 lit. f) RODO, poprzez jego błędną wykładnię i przyjęcie, że zamieszczenie przez [...] na upoważnieniach do przeprowadzenia kontroli adnotacji o odmowie wyrażenia zgody na przeprowadzenie czynności kontrolnych w odniesieniu do części wskazanego w upoważnieniach zakresu kontroli doprowadziło do niezapewnienia Prezesowi UODO możliwości uzyskania dostępu do wszelkich pomieszczeń, sprzętu i środków służących do przetwarzania danych, podczas gdy zamieszczenie takiej adnotacji nie ma charakteru w żaden sposób wiążącego dla Prezesa UODO oraz w żaden sposób nie wpłynęło na faktyczną możliwość uzyskania przez niego w trakcie realizowania czynności kontrolnych przez Prezesa UODO uzyskania dostępu do wszelkich pomieszczeń, sprzętu i środków służących do przetwarzania danych, w zakresie o który wnioskował w trakcie wykonywania czynności kontrolnych, w konsekwencji czego adnotacja o odmowie wyrażenia zgody może być traktowana wyłącznie jako wyrażenie przez [...] krytycznej opinii na temat określonego przez organ nadzorczy zakresu kontroli, a nie jako rzeczywisty przejaw utrudniania lub uniemożliwiania przeprowadzenia kontroli przez Prezesa UODO,

Na wypadek uznania, że "[...] dopuścił się zarzucanego naruszenia, czemu Skarżący stanowczo zaprzecza", pełnomocnicy Skarżącego zarzucili zaskarżonej decyzji naruszenie:

4) art. 83 ust. 2 lit. b) RODO poprzez przyjęcie przez Prezesa UODO, że rzekome naruszenie, którego miał dopuścić się [...] miało charakter umyślny, podczas gdy nawet w przypadku uznania, że [...] dopuścił się naruszenia, naruszenie to miało charakter nieumyślny z uwagi na umotywowane przekonanie [...] co do braku uprawnień Prezesa UODO do przeprowadzenia kontroli w zakwestionowanym przez [...] zakresie;

5) art. 83 ust. 2 lit. I) RODO w zw. z art. 31 RODO poprzez przyjęcie przez Prezesa UODO, że rzekomy brak współpracy [...] w trakcie kontroli oraz "brak wyrażenia chęci współpracy z Prezesem UODO" stanowią przesłankę mającą wpływ na wysokość nałożonej kary administracyjnej, podczas gdy nawet w przypadku uznania, że [...] dopuścił się naruszenia, w przypadku przesłanki wysokości kary, o której mowa art. 83 ust. 2 lit. f RODO znaczenie ma wyłącznie stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków oraz zgodnie z art. 31 RODO obowiązek współpracy powstaje na żądanie organu, a w trakcie postępowania organ nie nakładał na [...] żadnych zobowiązań, co w konsekwencji musi doprowadzić do wniosku, że [...] nie dopuścił się i nie mógł się dopuścić braku współpracy z organem;

6) art. 83 ust 1 RODO poprzez wymierzenie kary pieniężnej w maksymalnej możliwej wysokości, nieproporcjonalnej do rozmiarów rzekomego naruszenia, a zatem wymierzonej z naruszeniem wyrażonej w tym przepisie zasady proporcjonalności podczas gdy nawet w przypadku przyjęcia, że Skarżący dopuścił się naruszenia, polegającego na braku współpracy w Prezesem UODO w trakcie kontroli, to naruszenie miało nieistotny charakter, a w konsekwencji nałożona kara powinna być istotnie niższa i pozostawać w odpowiedniej proporcji do naruszenia".

Pełnomocnicy Skarżącego wnieśli o:

1) zwrócenie się przez Sąd - przed rozpoznaniem zarzutów - do Trybunału Sprawiedliwości Unii Europejskiej z wnioskiem o wydanie w trybie prejudycjalnym orzeczenia w odpowiedzi na pytanie: "Czy sądy administracyjne w Polsce, które dokonują kontroli legalności zaskarżonego aktu z perspektywy uwzględniającej faktyczne podstawy jego wydania, tj. kontroli realizacji i przestrzegania przez organ orzekający w sprawie wiążących go reguł proceduralnych (tj. w szczególności nie ustalają stanu faktycznego, nie orzekają merytorycznie i nie mają możliwości wydania wyroku reformatoryjnego), zapewniają skuteczną ochronę prawną przed sądem przeciwko prawnie wiążącej decyzji organu nadzorczego, tj. wykonują pełną jurysdykcję w sprawie, w tym w zakresie ustalenia okoliczności faktycznych i prawnych mających znaczenie dla rozstrzygnięcia sprawy, o której mowa w art. 78 ust. 1 RODO oraz w motywie (143) preambuły RODO, w sytuacji, w której postępowanie przed Prezesem UODO jest jednoinstancyjne i brak jest organu lub sądu który oceni rozstrzygnięcie Prezesa UODO merytorycznie lub ma kompetencje do dokonywania ustaleń faktycznych, zaś zgodnie z art. 6 Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności oraz art. 47 Karty Praw Podstawowych podmiot ukarany powinien mieć prawo do rozstrzygnięcia sprawy przez sąd posiadający pełną jurysdykcję w sprawie?",

2) dopuszczenie i przeprowadzenie dowodu z dokumentów załączonych do skargi, celem wykazania faktów wskazanych w treści uzasadnienia skargi,

3) rozpoznanie skargi na rozprawie,

4) stwierdzenie nieważności zaskarżonej decyzji w całości na podstawie art. 145 § 1

pkt 2 p.p.s.a.,

5) uchylenie zaskarżonej decyzji w całości na podstawie art. 145 § 1 pkt 1 lit a) i c) p.p.s.a. - ewentualnie, w przypadku niestwierdzenia nieważności decyzji,

6) zasądzenie od Prezesa UODO na rzecz Skarżącego zwrotu kosztów sądowych. Prezes UODO stwierdza, że przedstawione przez Skarżącą zarzuty są całkowicie niezasadne i w pełni podtrzymuje swoje stanowisko przedstawione w zaskarżonej decyzji administracyjnej.

W odpowiedzi na skargę Prezes UODO wniósł o jej oddalenie, w uzasadnieniu szczegółowo argumentując swoje stanowisko.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Skarga okazała się całkowicie bezzasadna.

Sąd orzekający w składzie niniejszym całkowicie podziela stanowisko i argumenty PUODO wyrażone w zaskarżonej decyzji i odpowiedzi na skargę, dla porządku jednak Sąd odniesie się do nich poniżej.

Po pierwsze, nie miała miejsca nieważność postępowania w sprawie, upatrywana w przeprowadzeniu kontroli w [...], który zdaniem skarżącego jest odrębnym adresatem obowiązków (vide: skarga oraz pismo procesowe skarżącego z dnia 15 lutego 2021r.). Sąd podkreśla, że [...] jest jednostką organizacyjną, przy pomocy której [...] realizuje swoje ustawowe zadania. Powyższe wynika chociażby z informacji na oficjalnej stronie internetowej Urzędu, gdzie w zakładce "kierownictwo" znajduje się informacja, że Urzędem kieruje [...]. Kontrola została więc prawidłowo, zgodnie ze strukturą organizacyjną skarżącego i jego kierowniczą rolą w tej strukturze.

Nie budzi żadnych wątpliwości Sądu, że administrator i podmiot przetwarzający obowiązani są współpracować z organem nadzorczym w ramach wykonywania przez niego zadań, o czym stanowi art. 31 Rozporządzenia 2016/679. Niewywiązanie się z tego obowiązku również zagrożone jest - zgodnie z art. 83 ust. 4 lit. a) Rozporządzenia 2016/679 w związku z art. 102 ust. 1 i 3 u.o.d.o. - administracyjną karą pieniężną w wysokości do 100 000 złotych.

Z istoty uprawnień PUODO i możliwości prowadzenia przez niego kontroli (opartej nawet tylko na planie kontroli) wynika, że żaden podmiot kontrolowany, a tym bardziej będący organem publicznym, nie może kwestionować jej zasadności ani jej zakresu (na etapie wszczęcia i prowadzenia kontroli).

Oceny tej nie może zmienić mało logiczne twierdzenie w skardze, że "zamieszczenie przez [...] na upoważnieniach do przeprowadzenia kontroli adnotacji o odmowie wyrażenia zgody na przeprowadzenie czynności kontrolnych nie wpłynęło na faktyczną możliwość uzyskania przez niego w trakcie realizowania czynności kontrolnych przez Prezesa UODO uzyskania dostępu do wszelkich pomieszczeń, sprzętu i środków służących do przetwarzania danych", oraz że "adnotacja o odmowie wyrażenia zgody może być traktowana wyłącznie jako wyrażenie przez [...] krytycznej opinii na temat określonego przez organ nadzorczy zakresu kontroli, a nie jako rzeczywisty przejaw utrudniania lub uniemożliwiania przeprowadzenia kontroli przez Prezesa UODO".

Zaistniały zatem przesłanki wydania decyzji w przedmiocie nałożenia kary.

Zdaniem Sądu w kontrolowanej sprawie nie doszło do "uniemożliwienia wniesienia i rozpoznania skutecznego środka ochrony prawnej przed sądem", ani do rozpoznania sprawy przez sąd nie posiadający pełnej jurysdykcji.

Zarzuty w tym zakresie są o tyle niezrozumiałe, że stawia je polski organ publiczny, którego decyzje są także przedmiotem kontroli przez sądy administracyjne i który chociażby z tego powodu powinien mieć wiedzę o zakresie i podstawach prawnych działania sądownictwa administracyjnego w Polsce. Z tej samej przyczyny [...] powinien mieć wiedzę na temat europejskich aktów prawnych, dających PUODO upoważnienie do działania, także wobec innych organów publicznych, w ramach nawet planu kontroli, tj. bez potrzeby uprzedniego naruszenia przepisów RODO.

Sąd nie ma wątpliwości, że organ nie naruszył art. 78 ust. 1 Rozporządzenia 2016/679 w związku z art. 6 ust. 1 Konwencji Rady Europy o Ochronie Praw Człowieka i Podstawowych Wolności, zwanej dalej "EKPCz") ani do naruszenia art. 47 Karty Praw Podstawowych Unii Europejskiej.

Wniosek o skierowanie pytania prejudycjalnego do Trybunału Sprawiedliwości Unii Europejskiej ("TSUE"), zdaniem Sądu, był wyłącznie próbą przedłużenia postępowania w sprawie i odwrócenia uwagi Sądu od istoty sprawy, którą było uniemożliwienie PUODO kontroli, dokonane przez organ publiczny – [...]. Od organu publicznego wymagane jest współdziałanie w realizacji zadań innego organu publicznego.

Nie do wyobrażenia wręcz w państwie prawa, będącym państwem członkowskim Unii Europejskiej, jest uniemożliwianie kontroli, bojkotowanie i kwestionowanie uprawnień PUODO. Organ publiczny, jakim jest [...], powinien też znać przepisy prawa i wiedzieć o tym, nawet bez konieczności uzyskiwania stosownych dokumentów, jakie uprawnienia posiada PUODO i jakie są podstawy prawne jego działań. Jeżeli przepisów tych nie zna [...] i tylko z tej przyczyny kwestionuje kontrolę PUODO, to jak mają zachowywać się obywatele czy indywidualne podmioty, do których kierowana jest kontrola?

Nadto wniosek o skierowanie pytania do TSUE jest o tyle niezrozumiały, że kwestie, które miałyby być przez niego rozstrzygane, dawno już zostały przeanalizowane zarówno przez Trybunał Konstytucyjny, polskie sądy administracyjne jak i Europejski Trybunał Praw Człowieka. Również tego rodzaju informacje powinny być znane [...] z urzędu (jako organowi publicznemu), skoro w wielu zakresach swojej działalności z dorobku orzecznictwa wskazanych sądów korzysta, a przynajmniej powinien.

Poważny niepokój Sądu budzi w tej sprawie wykazywana, a wręcz dowodzona w skardze, nieznajomość przepisów prawa przez [...]. O ile jest oczywiste, że ogólny poziom znajomości przepisów prawa nie jest wysoki, o tyle dziwi, gdy powołuje czy podkreśla go organ publiczny, w dodatku w skardze na decyzję innego organu publicznego, działającego w tym samym państwie.

[...] powinien wiedzieć (co mu wskazał Prezes UODO), że w polskim systemie prawnym kontrola decyzji PUODO odbywa się w drodze skargi do Wojewódzkiego Sądu Administracyjnego. Ustawodawcy krajowemu (na podstawie przepisu art. 78 ust. 1 Rozporządzenia 2016/679), pozostawiono swobodę ustanowienia odpowiednich środków prawnych, dlatego ustawą z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwaną dalej "u.o.d.o.", wprowadzono model kontroli sądów administracyjnych nad decyzjami Prezesa UODO. Taki model kontroli odpowiada standardom i jest zgodny z regulacjami unijnymi (Kartą Praw) i międzynarodowymi (EKPCz).

Polski Trybunał Konstytucyjny zaakceptował co do zasady poddanie administracyjnych kar pieniężnych (orzekanych przez różne organy administracji publicznej na gruncie wielu różnych ustaw, w tym również mających oparcie w regulacjach Unii Europejskiej), kontroli sądów administracyjnych (patrz powołany w odpowiedzi na skargę wyrok TK z 7 lipca 2009 r., sygn. akt K 13/08). TK (w wyroku z 18 kwietnia 2000 r., sygn. K. 23/99) zwrócił też uwagę na odmienność pojęcia "kary" w przepisach karnych od "kary" jako sankcji administracyjnej. Ta druga może zostać nałożona zarówno na osobę, jak i na osobę prawną, stosowana jest automatycznie, z tytułu odpowiedzialności obiektywnej i ma mieć przede wszystkim funkcję prewencyjną. Kara administracyjna ma również charakter dyscyplinująco-represyjny.

Kary pieniężne mogą wynikać z decyzji administracyjnych poddanych kontroli sądownictwa administracyjnego (wyrok Trybunału Konstytucyjnego z 4 lipca 2002 r., sygn. P 12/01, OTK ZU nr 4/A/2002, poz. 50), a nie tylko z przepisów prawa karnego. [...], jako organ publiczny, wydający decyzje administracyjne, również i o tym powinien wiedzieć.

Sądy administracyjne tak samo jak sądy powszechne i sądy wojskowe sprawują w Polsce wymiar sprawiedliwości. Zgodnie z art. 184 Konstytucji należy do nich - w zakresie ustalonym w ustawie – kontrola działalności administracji publicznej. W wyniku zaskarżenia decyzji administracyjnej sąd ten nie przejmuje "sprawy administracyjnej" do załatwienia, lecz jedynie kontroluje działalność organu, który decyzję wydał. Sąd administracyjny, co do zasady, nie zastępuje organu administracji, a jego orzeczenia - w razie uwzględnienia skargi – tylko uchylają albo stwierdzają nieważność decyzji oraz nakazują organowi administracji określone dalsze działania.

Kontrola działań organów administracji publicznej (w tym także [...]) przez sądy administracyjne - zgodnie z art. 1 § 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269, ze zm.) dokonywana jest na podstawie kryterium zgodności z prawem, o ile ustawy nie stanowią inaczej.

Sąd orzekający w składzie niniejszym w pełni podziela stanowisko PUODO, że sankcje w postaci administracyjnych kar pieniężnych nie mają charakteru karnego. Nie ma w związku z tym wymogu stosowania do nich najwyższych standardów wypracowanych przez orzecznictwo ETPCz i TSUE wobec sankcji o charakterze ściśle karnym (w tym w szczególności wymogu poddania ich kontroli sprawowanej przez sądy posiadające "pełną jurysdykcję" rozumianą w skardze jako możliwość "przejęcia sprawy" przez sąd i rozstrzygnięcie jej zamiast organu administracyjnego).

Na temat sądu "pełnej jurysdykcji" wielokrotnie wypowiadał się ETPCz (np. w sprawach Sigma Radio Television Ltd v. Cyprus, Chevrol v. France, oba i więcej dostępne na stronie https://hudoc.echr.coe.int/). Jakkolwiek nie wszystkie orzeczenia dostępne są w polskiej wersji językowej Sąd zakłada, że [...] dysponuje odpowiednimi służbami, mogącymi orzeczenia te przetłumaczyć w razie potrzeby. ETPCz podkreślał w nich (i w wielu innych), że w pojęciu "pełnej jurysdykcji" chodzi o "wystarczającą" jurysdykcję ("sufficient jurisdiction") oraz o sąd sprawujący wystarczającą kontrolę ("sufficient review"). W pojęciu tym nie chodzi o prowadzenie pełnego postępowania dowodowego w każdej sprawie, jak to błędnie rozumie [...].

Nietrafne jest zatem utożsamianie pojęcia pełnej jurysdykcji z koniecznością prowadzenia postępowania dowodowego, skoro w niektórych sprawach w systemie prawnym, nie jest niezbędne, aby każdy sąd działający w tym kraju prowadził postępowanie dowodowe w każdej sprawie poddanej mu pod osąd. Wiele europejskich systemów prawnych nie przewiduje w ogóle możliwości złożenia apelacji od wyroku sądu pierwszej instancji, nie mówiąc już o prowadzeniu postępowania dowodowego w każdej sprawie. Jest to o tyle istotne, że polskie sądy administracyjne rozpoznają skargi od decyzji organów administracji, czyli kontrolują już uprzednio przeprowadzone postępowanie administracyjne. W takiej sytuacji ograniczenie ich roli do kontroli legalności decyzji nie wydaje się w żadnej mierze ograniczać możliwości reagowania na ewentualne naruszenia prawa.

W sprawie niniejszej sytuacja była jednak zupełnie precedensowa: kontrolowany organ publiczny uniemożliwił przeprowadzenie kontroli przez inny, publiczny organ państwa. Z tej przyczyny postępowanie [...] i zarzuty skargi w szczególności świadczą o braku rozumienia przepisów prawa przez organ, który w swej działalności prawo to stosuje.

Zupełnie niezrozumiałe jest posługiwanie się w skardze argumentami dotyczącymi tzw. "kryteriów Engel" (wyrok ETPC z 8 czerwca 1986 r. w sprawie Engel i inni przeciwko Holandii). Analiza przepisów Rozporządzenia 2016/679 wskazuje, że przewidziane w nich administracyjne kary pieniężne mają przede wszystkim charakter naprawczy, restytucyjny, prewencyjny i dyscyplinujący, dopiero w dalszej kolejności represyjny. Ich celem jest przede wszystkim doprowadzenie do usunięcia naruszenia (stanu niezgodnego z prawem). Świadczy o tym, jak trafnie zauważył PUODO, m.in. zaliczenie - w art. 58 ust. 2 Rozporządzenia 2016/679 - uprawnienia organu nadzorczego do zastosowania administracyjnej kary pieniężnej do tzw. "uprawnień naprawczych" (ang. "correctiwe powers").

Trafny jest też argument PUODO, że gdyby intencją autorów Rozporządzenia 2016/679 było nadanie administracyjnym karom pieniężnym charakteru karnego, jednoczesne dopuszczenie możliwości nakładania na podmioty odpowiedzialne za naruszenie dodatkowych – poza administracyjnymi karami pieniężnymi - sankcji karnych, prowadziłoby w ocenie Prezesa UODO automatycznie do naruszenia zasady ne bis in idem, które to naruszenie jest niedopuszczalne. Charakter naprawczy i dyscyplinujący administracyjnych kar pieniężnych, orzekanych przez Prezesa UODO, szczególnie widoczny jest w sprawach naruszeń związanych z uprawnieniami organu nadzorczego w zakresie prowadzonych postępowań (w tym art. 58 ust 1 lit. e) i f) Rozporządzenia 2016/679) oraz obowiązkami administratorów i podmiotów przetwarzających wobec organu nadzorczego (w tym art. 31 Rozporządzenia 2016/679). Za takie właśnie naruszenia w niniejszej sprawie nałożona została na Skarżącego administracyjna kara pieniężna, która - zgodnie z oczekiwaniami Prezesa UODO wyrażonymi w uzasadnieniu zaskarżonej decyzji - "zdyscyplinuje [...] do prawidłowej współpracy z Prezesem UODO w postępowaniach prowadzonych w przyszłości".

Sąd nie ma wątpliwości, że omawiana kara pieniężna została nałożona w związku z naruszeniem przepisów Rozporządzenia 2016/679, określających obowiązki administratora lub podmiot przetwarzający wobec Prezesa UODO ma charakter środka przymuszającego do wykonania szeroko rozumianych obowiązków procesowych; mieści się w ramach kompetencji władczych Prezesa UODO służących zapewnieniu prawidłowego przebiegu prowadzonego przez niego postępowania (kontrolnego i - na następnym etapie - administracyjnego w przedmiocie naruszenia przepisów Rozporządzenia 2016/679). Nie świadczy o karnym charakterze administracyjnej kary pieniężnej w niniejszej sprawie jej rodzaj ani "surowość".

Nałożona na Skarżącego kara faktycznie orzeczona została w maksymalnej wysokości, jednakże było to uzasadnione okolicznościami sprawy. Ukaranym jest organ administracji publicznej, który zablokował możliwość działania- wykonania kontroli- przez inny organ publiczny.

Kary pieniężne, nakładane na podstawie Rozporządzenia 2016/679 i u.o.d.o., nie leżą w sferze uznania Prezesa UODO. Ich nałożenie oraz ich wysokość uzasadniona powinna być bowiem w każdym indywidualnym przypadku okolicznościami sprawy (przesłankami szczegółowo wskazanymi w a art. 83 ust. 21 2 Rozporządzenia 2016/679). Uwzględnienie tych okoliczności w rozstrzygnięciu o karze pieniężnej podlega zaś kontroli sądu. Sąd orzekający w sprawie niniejszej stwierdza, że uzasadnienie wysokości nałożonej kary jest logiczne i zostało wyczerpująco wyjaśnione.

Z przedstawionych wyżej przyczyn bezzasadne są podniesione w skardze zarzuty naruszenia art. 78 ust. 1 Rozporządzenia 2016/679 w związku z art. 6 ust. 1 Konwencji oraz art. 47 Karty Praw. Nie zachodzi również konieczność kierowania do TSUE wnioskowanego przez pełnomocników Skarżących pytania prejudycjalnego.

Zupełnie bezzasadny jest zarzut naruszenia art. 83 ust. 4 lit a) i art 83 ust. 5 lit e) w zw. z art. 31 w zw. z art. 58 ust. 1 lit. e) w zw. z art. 58 ust. 1 lit. f) Rozporządzenia 2016/679 w zw. z art. 102 ust. 1 pkt 1) u.o.d.o. w zw. z art. 102 u.o.d.o. poprzez skierowanie zaskarżonej decyzji do [...] podczas gdy podmiotem w stosunku do którego prowadzona była kontrola i wykonywane były zadania organu nie był [...], a [...]. Sąd podziela argumentację Prezesa, że wskazanie [...] w części dokumentacji dotyczącej kontroli miało na celu jedynie wskazanie miejsca przeprowadzenia czynności kontrolnych i podkreślenie, że w trakcie kontroli działalności Skarżącego Prezes UODO może prowadzić czynności kontrolne w odniesieniu do wszystkich - związanych z zakresem kontroli – zasobów (informacyjnych, ludzkich, technicznych, dokumentacyjnych) znajdujących się w dyspozycji [...] jako jednostki organizacyjnej, przy pomocy której [...] realizuje swoje ustawowe zadania). Oczywistym jest bowiem, że [...] nie dysponuje osobiście wszystkim informacjami dotyczącymi zakresu kontroli, gdyż realizuje swoje ustawowe zadania przy pomocy urzędu. Przedmiot kontroli został precyzyjnie określony i nie żadnych wątpliwości co do określenia podmiotu podlegającego kontroli.

Również bezzasadny jest zarzut naruszenia art. 7 k.p.a., art. 8 k.p.a., 75 § 1 k.p.a., 77 § 1 k.p.a., 80 k.p.a. poprzez dokonanie ustaleń faktycznych "w oparciu o niepełny materiał dowodowy, zgromadzony w sprawie w sposób wybiórczy". Sąd podziela stanowisko organu, że wskazane przez pełnomocników Skarżącego w skardze dokumenty, nie mają znaczenia w niniejszej sprawie. Jak zaznaczył Prezes, mogą one mieć znaczenie w równolegle toczącej się sprawie o naruszenie przepisów Rozporządzenia 2016/679 związane z publikowaniem na portalu [...] danych z ewidencji gruntów i budynków). W szczególności dotyczy to dokumentów dotyczących merytorycznej kwestii kwalifikacji numeru księgi wieczystej jako danej osobowej. Jedyny załącznik do protokołu istotny dla sprawy ze względu na swoją treść - podpisany przez Skarżącego protokół jego przesłuchania z [...] marca 2020 r. został włączony został do materiału dowodowego. Natomiast odmowa podpisania przez świadka protokołu zeznań stanowi dowód nieprawidłowej współpracy z Prezesem UODO oraz niezapewnienia mu dostępu do wszelkich posiadanych w zakresie kontroli informacji, a więc ostatecznie świadczy na niekorzyść skarżącego.

Zdaniem Sądu w sprawie nie doszło do naruszenia art. 88 ust. 1 u.o.d.o. w zw. z art. 88 ust. 2 pkt 6) u.o.d.o. w zw. z art. 7 k.p.a., w zw. z 75 § 1 k.p.a., 77 § 1 k.p.a., 80 k.p.a. "poprzez brak wskazania w protokole kontroli faktu odbycia przez kontrolujących oględzin systemu informatycznego służącego do obsługi serwisu www.geoportal.gov.pl, podczas gdy w trakcie kontroli kontrolujący w obecności W. I. oraz pracowników [...] dokonał szczegółowych oględzin systemu informatycznego służącego do obsługi serwisu www.geoportal.gov.pl". Prezes UODO zaprzeczył, aby w toku kontroli miały miejsce oględziny systemu informatycznego w którym przetwarzane są dane osobowe pochodzące z ewidencji gruntów i budynków. Nie został sporządzony protokół dokonania oględzin. "Prezentacja elementów [...] krajowego, np. forum witryny [...]" (cytat z przedstawionego w załączeniu skargi oświadczenia Dyrektora Departamentu Informacji i Rozwoju [...] z [...] sierpnia 2020 r.), dokonana przez pracownika Skarżącego (bez aktywnego udziału kontrolujących) w żaden sposób nie może być traktowana jako rzetelne i prawidłowo przeprowadzone oględziny. Prezes zaznaczył też, że wgląd w system informatyczny Skarżącego był kompletnie nieistotny z punktu widzenia możliwości dokonania istotnych ustaleń (dlatego też nie został potwierdzony protokołem oględzin), gdyż na forum portalu [...] nie są przetwarzane dane osobowe pochodzące z ewidencji gruntów i budynków, a jedynie dane osobowe użytkowników tego forum. Przetwarzanie danych osobowych użytkowników forum nie było objęte zakresem kontroli. W odpowiedzi na skargę, ustosunkowując się do tego zarzutu, Prezes podkreślił, że czynności kontrolujących i dokonane w tym zakresie ustalenia dotyczyły pkt 6 zakresu kontroli - wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić odpowiedni stopień bezpieczeństwa danych objętych ochroną (art. 32, art.24 ust.1 i 2 Rozporządzenia 2016/679). W zakresie dotyczącym przetwarzania danych osobowych innych niż pochodzących z ewidencji gruntów i budynków Prezes UODO nie zarzucił Skarżącemu braku współpracy ani niezapewnienia dostępu do danych osobowych, informacji, systemów informatycznych.

Nie doszło też w sprawie do naruszenia art. 7 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a. "poprzez brak wszechstronnej oraz merytorycznej oceny zgromadzonego materiału dowodowego, tj. protokołu kontroli wraz z załącznikami, którego wszechstronna ocena powinna doprowadzić organ do ustalenia, że Skarżący współpracował z Prezesem UODO w trakcie kontroli, w szczególności w zakresie żądanym przez Prezesa UODO udzielił dostępu do pomieszczeń, sprzętu oraz środków służących do przetwarzania danych osobowych oraz dostępu do danych i innych informacji w zakresie jaki Prezes UODO uznał za niezbędny do wyjaśnienia sprawy".

Prezes UODO dokonał wszechstronnej i merytorycznej oceny tego materiału dowodowego, której jednoznacznym efektem jest stwierdzenia naruszenia przez Skarżącego obowiązków, o których mowa w art. 31 oraz art. 58 ust. 1 lit. e) i f) Rozporządzenia 2016/679.

Zdaniem Sądu organ sporządził prawidłowe, logiczne i wyczerpujące uzasadnienie decyzji, spełniające wymogi z art. 107 § 1 pkt 6) k.p.a. oraz art. 107 § 3 k.p.a. Prezes wskazał dowody, w oparciu o które został ustalony stan faktyczny. W toku postępowania zakończonego wydaniem zaskarżonej decyzji Skarżący nie zgłaszał żadnych wniosków dowodowych, skupiając się na polemice z Prezesem w sferze wykładni prawa i zasadności przeprowadzenia kontroli, a nie próbie odtworzenia rzeczywistego przebiegu zdarzeń, których efektem jest wymierzona w zaskarżonej decyzji administracyjna kara pieniężna.

Nie doszło do naruszenia art. 31 oraz art. 58 ust. 1 lit. e) i f) Rozporządzenia 2016/679, polegającego na przyjęciu, że w toku kontroli [...] występował w roli administratora, podmiotu przetwarzającego albo przedstawiciela, mógł więc być poddany kontroli w zakresie przestrzegania przepisów o ochronie danych osobowych, i tym samym zobowiązany był do współpracy z organem nadzorczym i do umożliwienia organowi uzyskania dostępu do danych osobowych, informacji, pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych. [...] przetwarza bowiem dane, pochodzące z ewidencji gruntów i budynków i w stosunku do tych nich występuje w roli administratora (ewentualnie współadministratora) przetwarzającego je w oparciu o określoną podstawę prawną lub bez takiej podstawy albo w roli podmiotu przetwarzającego. Ponieważ skarżący uniemożliwił dostęp do informacji, które pomogłyby ustalić tę okoliczność, nie można było zweryfikować tergo założenia, któremu m.in. miała służyć kontrola. Jak jednak trafnie zauważył Prezes, obowiązki, o których mowa w art. 31 oraz art. 58 ust. 1 lit. e) i f) Rozporządzenia 2016/679, oraz odpowiedzialność za ich naruszenie (realizowana w niniejszym postępowaniu w przedmiocie nałożenia administracyjnej kary pieniężnej), są bowiem identyczne dla administratora i podmiotu przetwarzającego.

Zdaniem Sądu w sprawie nie doszło do naruszenia art. 31 oraz art. 58 ust. 1 lit. e) i f) Rozporządzenia 2016/679, poprzez jego błędną wykładnię i przyjęcie, że zamieszczenie przez Skarżącego na upoważnieniach do przeprowadzenia kontroli adnotacji o odmowie wyrażenia zgody na przeprowadzenie czynności kontrolnych w odniesieniu do części wskazanego w upoważnieniach zakresu kontroli doprowadziło do naruszenia wskazanych przepisów, "podczas gdy zamieszczenie takiej adnotacji nie ma charakteru w żaden sposób wiążącego dla Prezesa UODO oraz w żaden sposób nie wpłynęło na faktyczną możliwość uzyskania przez niego w trakcie realizowania czynności kontrolnych przez Prezesa UODO uzyskania dostępu do wszelkich pomieszczeń, sprzętu i środków służących do przetwarzania danych, w zakresie o który wnioskował w trakcie wykonywania czynności kontrolnych, w konsekwencji czego adnotacja o odmowie wyrażenia zgody może być traktowana wyłącznie jako wyrażenie przez [...] krytycznej opinii na temat określonego przez organ nadzorczy zakresu kontroli, a nie jako rzeczywisty przejaw utrudniania lub uniemożliwiania przeprowadzenia kontroli przez Prezesa UODO". Sąd odniósł się do tego zarzutu we wstępnej części uzasadnienia. Jakkolwiek więc zamieszczenie przez [...] na upoważnieniach imiennych adnotacji "Odmawiam wyrażenia zgody na przeprowadzenie czynności kontrolnych w zakresie" nie jest wiążące dla Prezesa UODO; jednak bez współpracy pracowników Urzędu nie byłoby możliwe prawidłowe przeprowadzenie kontroli. Sąd podziela stanowisko Prezesa, że oświadczenie o treści "odmawiam wyrażenia zgody" jest oświadczeniem woli, a nie oświadczeniem wiedzy. Taka interpretacja oświadczenia [...] była uzasadniona w świetle całokształtu jego postawy w trakcie kontroli oraz po, np. przed podpisaniem protokołu kończącego kontrolę [...] mógł zaproponować kontynuowanie kontroli w pełnym zakresie.

Oceniając wymiar i wysokość administracyjnej kary pieniężnej Sąd również podzielił stanowisko Prezesa UODO w całości. W szczególności organ nie naruszył art. 83 ust. 2 lit. b) Rozporządzenia 2016/679. Skarżący świadomy był, że PUODO konsekwentnie przyjmuje, iż numery ksiąg wieczystych stanowią dane osobowe w rozumieniu przepisów ustawy o ochronie danych osobowych (vide decyzja z dnia 9 stycznia 2012 r sygn.. DOLiS/DEC-16/12, decyzja z dnia 14 lutego 2014 r. sygn.. DOLiS/DEC126/14, orzeczenia sądów administracyjnych, np. wyrok WSA w Krakowie z dnia 14 maja 2014 r. - II SA/Kr 126/14, wyrok WSA we Wrocławiu z dnia 2 grudnia 2010 r. - sygn. II SA/Wr 546/10, wyrok NSA z dnia 18 lutego 2014 r. - I OSK 1839/12 oraz stanowisko doktryny).

Nie doszło też w sprawie do naruszenia art. 83 ust. 2 lit. i) Rozporządzenia 2016/679. Aby przesłankę "stopnia współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków". Odmowa współpracy z Prezesem UODO, wyrażona nie tylko w treści adnotacji na upoważnieniach kontrolujących, ale i w dalszym jego postępowaniu w trakcie kontroli (np. w przypadku odmowy podpisania protokołu zeznań z 10 marca 2020 r.), jak w również w całkowitym i kategorycznym kwestionowaniu stanowiska Prezesa UODO co do charakteru numeru księgi wieczystej jako danej osobowej (zanegowaniem więc z góry samej możliwości popełnienia stwierdzonego przez Prezesa UODO w sprawie naruszenia), wykluczyły współpracę także po popełnieniu naruszenia.

Organ nie naruszył art. 83 ust. 1 Rozporządzenia 2016/679 "poprzez wymierzenie kary pieniężnej w maksymalnej możliwej wysokości, nieproporcjonalnej do rozmiarów rzekomego naruszenia, a zatem wymierzonej z naruszeniem wyrażonej w tym przepisie zasady proporcjonalności". Sąd podziela stanowisko Prezesa, że kara w wysokości niższej niż 100 000 zł., nie spełniłaby swojej funkcji odstraszającej, o której mowa w art. 83 ust. 1 Rozporządzenia 2016/670; kara w takiej wysokości ma charakter dyscyplinujący i prewencyjny. Gdyby kara pieniężna wymierzana była w ramach ogólnego, określonego w art. 83 ust. 5 Rozporządzenia 2016/679, zagrożenia karą pieniężną mogła wynieść maksymalnie 20 000 000 EUR.

Z przedstawionych wyżej przyczyn należy uznać skargę za całkowicie bezzasadną a podniesione w niej zarzuty za zupełnie nietrafne. Dlatego Sąd oddalił skargę na podstawie art.151 p.p.s.a.

Sąd pominął wnioski dowodowe skarżącego jako nieistne dla rozpoznania sprawy niniejszej. Jak wyżej zaznaczono, miałyby one (być może) znaczenie dla merytorycznej oceny ksiąg wieczystych jako danych osobowych, jednak sprawa niniejsza nie dotyczyła (wbrew stanowisku skargi) kwestii merytorycznych, lecz nałożenie kary pieniężnej na organ.

O rozpoznaniu skargi na posiedzeniu niejawnym zarządził przewodniczący wydziału, mając na uwadze zarządzenie nr 21 Prezesa NSA z dnia 16 października 2020 r. Wniosek skarżącego o skierowanie sprawy na rozprawę (m.in. w ostatnim piśmie z dnia 15 lutego 20212r.), był o tyle chybiony, że miałyby być ustalane na niej kwestie m.in. struktury i powiązań między [...] a [...]. oczywiste, dostępne w internecie na oficjalnych, powszechnie dostępnych stronach (http://www.gugik.gov.pl/urzad/kierownictwo). Fakty znane powszechnie oraz znane urzędowo nie podlegają dowodzeniu.

Również pozostałe zagadnienia, zdaniem skarżącego predysponujące do wyznaczenia rozprawy w sprawie, nie mogły być potraktowane jako faktycznie wskazujące na konieczność wyznaczenia rozprawy, zwłaszcza a czasie pandemii. Ocena faktów i kontrola zaskarżonej decyzji nie wymagają prowadzenia rozprawy, skoro Sąd (zdaniem skarżącego) miał oceniać m.in. czy uzasadnienie w sprawie zostało sporządzone prawidłowo. O bezzasadności wniosku skierowania pytania do TSUE Sąd wypowiedział się w początkowej części uzasadnienia.