Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Marcinkowska, Sędzia WSA Iwona Maciejuk (spr.), Sędzia WSA Danuta Kania, Protokolant sekretarz sądowy Magdalena Frąckiewicz, po rozpoznaniu na rozprawie w dniu 8 lutego 2023 r. sprawy ze skargi J. K. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lipca 2022 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję w zakresie punktów 1 i 2; 2. oddala skargę w pozostałym zakresie; 3. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz skarżącego J. K. kwotę 200 zł (słownie: dwieście złotych) tytułem zwrotu kosztów postępowania.

Prezes Urzędu Ochrony Danych Osobowych decyzją z dnia [...] lipca 2022 r. nr [...]., na podstawie art. 104 § 1 oraz 105 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (t.j. Dz. U. z 2021 r. poz. 135 ze zm.), zwanej dalej k.p.a., zw. z art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz. U. z 2019 r. poz. 1781), zwanej dalej ustawą z dnia 10 maja 2018 r. oraz na podstawie art. 6 ust. 1 i art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej RODO, po przeprowadzeniu postępowania administracyjnego w sprawie skargi J. K., prowadzącego działalność gospodarczą pod firmą J. K. PPHU "[...]" z siedzibą w K., na nieprawidłowości w procesie przetwarzania jego danych osobowych przez P. Sp. z o.o. z siedzibą w W. przy ul. [...], polegające na przetwarzaniu jego danych osobowych bez podstawy prawnej, niespełnieniu wobec niego obowiązku informacyjnego, nieuwzględnieniu sprzeciwu wobec przetwarzania jego danych osobowych oraz udostępnieniu jego danych osobowych na rzecz podmiotów nieuprawnionych, w punkcie 1. udzielił P. Sp. z o.o. z siedzibą w W. upomnienia za naruszenie art. 6 ust. 1 RODO, polegające na udostępnianiu osobie nieuprawnionej posługującej się wskazanym w decyzji adresem e-mail w okresie od 25 maja 2018 r. do 21 maja 2020 r. danych osobowych J. K., zam. W K. w zakresie: imienia, nazwiska, adresu, numeru telefonu, numeru konta abonenckiego, numerów i kwot faktur VAT oraz informacji o świadczonych na jego rzecz usługach; w punkcie 2. umorzył postępowanie w zakresie nieprawidłowości w procesie przetwarzania danych osobowych J. K., zam. w K. polegające na udostępnianiu przez P. Sp. z o.o. z siedzibą w W. osobie nieuprawnionej posługującej się wskazanym w decyzji adresem e-mail w okresie od października 2016 r. do 24 maja 2018 r. danych osobowych J. K., zam. w K. w zakresie: imienia, nazwiska, adresu, numeru telefonu, numeru konta abonenckiego, numerów i kwot faktur VAT oraz informacji o świadczonych na jego rzecz usługach; w punkcie 3 umorzył postępowanie w zakresie dotyczącym udostępnienia danych osobowych J. K., zam. w K. zawartych w billingach w okresie od października 2016 r. do 21 maja 2020 r. na rzecz osoby nieuprawnionej; w punkcie 4 w pozostałym zakresie odmówił uwzględnienia wniosku.

Prezes UODO przedstawił następujące ustalenia stanu faktycznego: 1. Skarżący zarzucił Spółce przetwarzanie jego danych osobowych bez podstawy prawnej, niespełnienie obowiązku informacyjnego, nieuwzględnienie sprzeciwu wnoszonego do Spółki w rozmowach z konsultantami i udostępnienie jego danych osobowych podmiotom nieuprawnionym. Skarżący wskazał, że Spółka udostępniała i przetwarzała jego dane osobowe bez podstawy prawnej przez okres 4 lat. Skarżący wskazał, że oprócz tego, iż kwestionuje udostępnienie jego danych osobowych innemu podmiotowi oczekuje również wyegzekwowania od Spółki przekazania mu listy podmiotów, które bezprawnie otrzymywały jego dane osobowe i billingi połączeń numerów telefonów zarejestrowanych od 2016 r. na koncie Skarżącego. Z załączników skargi wynika, że Spółka w piśmie z dnia 18 listopada 2020 r. w ramach rekompensaty za nieprawidłowości w procesie przetwarzania danych osobowych Skarżącego zaproponowała mu anulowanie naliczonych opłat abonamentowych dla numeru [...] rozliczanych na koncie abonenckim nr [...] za trzy pełne okresy rozliczeniowe, o łącznej wartości 120,00 zł brutto. 2. Spółka wyjaśniła, że pozyskała dane osobowe Skarżącego bezpośrednio od niego w związku z zawarciem przez niego umów o świadczenie usług telekomunikacyjnych. Umowy powyższe Skarżący zawarł jako osoba fizyczna oraz osoba fizyczna prowadząca jednoosobową działalność gospodarczą. Spółka wskazała, że podstawę prawną przetwarzania danych osobowych Skarżącego stanowił w szczególności art. 23 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), a od 25 maja 2018 r. art. 6 ust. 1 lit. b RODO. Spółka załączyła kopię zawartych ze Skarżącym umów wraz z przekazanymi Skarżącemu informacjami o przetwarzaniu danych osobowych,3. Spółka wskazała, że przetwarza dane osobowe Skarżącego na podstawie art. 6 ust. 1 lit. c RODO z związku z realizacją obowiązków nałożonych przez Spółkę na podstawie ustawy z dnia 16 lipca 2004 r. Prawo Telekomunikacyjne (t.j. Dz.U. z 2019 r., poz. 2460) w zakresie w niej określonym, w szczególności w art. 161 w zw. z art. 60b niezbędnych do zawarcia i realizacji umowy oraz ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (t.j. Dz. U. z 2020 r. poz. 1740 ze zm.). Ponadto Spółka wskazała, że przetwarza dane Skarżącego w związku z zawartymi z nim aktywnymi umowami o świadczenie usług telekomunikacyjnych na podstawie art. 6 ust. 1 lit. b RODO, dla celów dowodowych oraz obrony roszczeń administratora w związku z prowadzoną korespondencją ze Skarżącym, a także postępowaniem prowadzonym przez Urząd Ochrony Danych Osobowych, na podstawie art. 6 ust. 1 lit. f RODO, 4. Spółka wyjaśniła, że w dniu 3 października 2016 r. podczas aktualizacji danych w trakcie rozmowy telefonicznej, konsultant Działu Windykacji Należności Spółki wprowadził na jednym z kont Skarżącego (utworzonego dla klienta indywidualnego) niewłaściwy adres poczty elektronicznej, zamiast podanego przez Skarżącego adresu wskazanego w decyzji wpisano adres bez cyfr. W konsekwencji, faktury VAT za świadczone usługi telekomunikacyjne bez rachunków szczegółowych (billingów) wystawione dla tego jednego konta abonenckiego od października 2016 r. do maja 2020 r. były wysyłane na adres e-mail nienależący do Skarżącego. Faktury VAT zawierały dane osobowe Skarżącego w zakresie: imię, nazwisko, adres, numer telefonu, numer konta abonenckiego przypisanego do Skarżącego w Spółce, numery i kwoty faktur VAT, a ponadto również numer konta bankowego Spółki do wpłat. Jak wynika z przedłożonych przez Spółkę przykładowych faktur VAT przekazanych osobie nieuprawnionej zawierały one również informację o usługach Spółki, z których korzystał Skarżący. Spółka, w dniu 22 maja 2020 r. po powzięciu informacji od Skarżącego o wysyłce faktur VAT na inny adres, poinformowała Prezesa Urzędu Ochrony Danych Osobowych o zdarzeniu poprzez stosowne zgłoszenie naruszenia ochrony danych osobowych. W zgłoszeniu naruszenia ochrony danych osobowych jako datę stwierdzenia i zakończenia naruszenia Spółka wskazała 21 maja 2020 r. (dowód: wyjaśnienia Spółki z dnia 12 maja 2021 r. wraz z załącznikami, wyjaśnienia Spółki z dnia 27 września 2021 r. oraz z dnia 30 sierpnia 2021 r. wraz z załącznikami). 5. W dniu 22 maja 2020 r., po powzięciu informacji od Skarżącego o wysyłce faktur VAT na nieprawidłowy adres, Spółka poinformowała Prezesa UODO o zdarzeniu poprzez stosowne zgłoszenie naruszenia ochrony danych osobowych o sygnaturze: [...]. Osoba, do której należy omyłkowo wprowadzony adres e-mail, w dniu 29 maja 2020 r. w odpowiedzi na prośbę Spółki o usunięcie wiadomości dotyczących innej osoby oraz niewykorzystywanie danych tej osoby, potwierdziła usunięcie wszystkich wiadomości e-mail, które dotyczyły Skarżącego. W osobnej korespondencji, wysłanej na prawidłowy adres e-mail Skarżącego, Spółka szczegółowo wyjaśniła, że zdarzenie dotyczyło wyłącznie jednego konta abonenckiego Skarżącego oraz potwierdziła usunięcie adresu e-mail należącego do innej osoby z konta abonenckiego Skarżącego. Dodatkowo Spółka przedstawiła Skarżącemu propozycję anulowania opłat abonamentowych za trzy okresy rozliczeniowe dla numeru telefonu, który został ujawniony innej osobie, 6. W związku z nieuregulowaniem przez Skarżącego zobowiązań z czterech kont abonenckich, umowy o świadczenie usług telekomunikacyjnych dotyczące tych kont zostały rozwiązane ze Skarżącym przez Spółkę. Z powodu nieskutecznej windykacji, w tym brakiem spłaty długów z dwóch kont abonenckich wobec Spółki przez Skarżącego, na mocy Umowy Przelewu Wierzytelności, wierzytelności w wysokości 2552,15 zł oraz 2887,27 zł zostały na podstawie art. 509 § 1 KC przelane w dniu 14 grudnia 2018 r. na rzecz Raport Niestandaryzowany Sekurytyzacyjny Fundusz Inwestycyjny Zamknięty. Wraz z wierzytelnościami przeszły na Nabywcę (odrębnego administratora danych) wszelkie związane z nimi prawa, w szczególności roszczenia o zaległe odsetki, 7. W wyjaśnieniach Spółka wskazała, że Skarżący nie zwracał się do Spółki z wnioskiem o usunięcie jego danych osobowych, 8. Skarżący zarzucił, że Spółka wraz z fakturami VAT udostępniała osobie nieuprawnionej także billingi. Skarżący załączył fakturę VAT wraz z billingiem wysłaną na podany w decyzji adres: J. K. PPHU "[...]", (pismo Skarżącego z dnia 09 września 2021 r. wraz z załącznikami). 9. Spółka wyjaśniła, że o wysyłce faktur VAT na nieprawidłowy adres e-mail dowiedziała się od Skarżącego, który skierował do Spółki pismo z dnia 11 maja 2020 r. Spółka odpowiedziała Skarżącemu pismem z dnia 22 maja 2020 r. W terminach wcześniejszych ani późniejszych, nie odnotowano w Spółce zgłoszeń, ani reklamacji dotyczących kierowania korespondencji na adres poczty elektronicznej nie należący do Skarżącego, zarówno od Skarżącego jak i od osoby, na której adres e-mail była kierowana korespondencja. Spółka wskazała, że jeden z numerów telefonów wraz z ratami za sprzęt w dniu 24 stycznia 2020 r. został przeniesiony na nowe konto abonenckie. Wprowadzone dane teleadresowe Skarżącego na nowym koncie były tożsame z danymi z poprzedniego konta abonenckiego i z zawartą ze Skarżącym umową o świadczenie usług telekomunikacyjnych. Spółka wskazała, że kierowała korespondencję do Skarżącego także na inny wskazany w decyzji adres skarżącego w K., gdyż taki adres został wskazany na innych kontach abonenckich przypisanych do Skarżącego, z tym, że oba adresy odnoszą się do tego samego budynku (wyjaśnienia Spółki z dnia 27 września 2021 r. oraz 22 listopada 2021 r. wraz z załącznikami).

Prezes UODO rozstrzygając w sprawie na wstępie przytoczył przepisy art. 6 ust. 1 lit. a-f RODO, który określa przesłanki legalności przetwarzania danych osobowych zwykłych. Podniósł też, że art. 5 ust. 1 lit. f RODO nakłada na administratora danych obowiązek przetwarzania danych osobowych zgodnie z zasadą integralności i poufności. Oznacza to, że administrator powinien zapewnić odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Organ wskazał m.in., że z zebranego w sprawie materiału dowodowego wynika, że Skarżący zawarł ze Spółką dziesięć umów o świadczenie usług telekomunikacyjnych jako osoba fizyczna lub jako osobą fizyczną prowadzącą jednoosobową działalność gospodarczą. W toku prowadzonego postępowania administracyjnego Spółka przedłożyła kopie wszystkich tych umów wraz z kopią przekazanych Skarżącemu informacji o przetwarzaniu jego danych osobowych. Organ stwierdził, że Spółka przetwarzając dane osobowe Skarżącego w związku z obowiązującymi umowami, legitymuje się przesłanką uregulowaną w art. 6 ust. 1 lit. b RODO. Organ przytoczył art. Zgodnie z art. 60 b ust. 1 ustawy z dnia 16 lipca 2014 r. Prawo telekomunikacyjne (t.j. Dz.U. z 2021 r., poz. 576), art. 161 PrTelekom, art. 180a ust. 1 PrTelekom. Organ wskazał, że Spółka wypełniając obowiązki wynikające z PrTelekom, przetwarza dane osobowe Skarżącego także w oparciu o przesłankę legalizującą uregulowaną w art. 6 ust. 1 lit. c RODO.

Mając na uwadze łączące Skarżącego i Spółkę umowy oraz roszczenia Skarżącego kierowane do Spółki w korespondencji, która została załączona jako materiał dowodowy w niniejszej sprawie, Prezes UODO przetwarzanie danych osobowych dla celów dowodowych oraz obrony roszczeń administratora w związku z prowadzoną korespondencją ze Skarżącym, uznał za prawnie usprawiedliwiony cel Spółki. Spełniona została tym samym również przesłanka legalizującą proces przetwarzania danych osobowych Skarżącego przez Spółkę wskazana w art. 6 ust. 1 lit. f RODO.

W zakresie spełnienia obowiązku informacyjnego organ przytoczył art. 13 ust. 1 i ust. 2 RODO. Prezes UODO stwierdził, że obowiązek informacyjny, określony w art. 13 RODO, należy spełnić podczas pozyskiwania danych osobowych, jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od lej osoby. Spółka na dowód spełnienia wobec Skarżącego wymaganego obowiązku informacyjnego załączyła do pisma z dnia 12 maja 2021 r. kopię zawartych ze Skarżącym umów wraz z przekazanymi informacjami o przetwarzaniu danych osobowych. Mając na uwadze powyższe, organ stwierdził, że Spółka przetwarza dane osobowe Skarżącego zgodnie z prawem, a także, że ww. obowiązek informacyjny w stosunku do Skarżącego został spełniony prawidłowo w momencie zawierania z nim umów po 25 maja 2018 r. Organ zaznaczył, że odnośnie umów zawartych przed tą datą, Spółka spełniała obowiązek informacyjny wobec Skarżącego w oparciu o przepisy ustawy z 1997 r.

W zakresie zarzutu udostępnienia danych osobowych Skarżącego przez Spółkę osobie nieuprawnionej organ wskazał, iż w złożonych wyjaśnieniach Spółka przyznała, że w wyniku błędu pracownika, tj. wprowadzenia na jedynym z kont Skarżącego (utworzonego dla klienta indywidualnego) niewłaściwego adresu poczty elektronicznej, doszło do udostępnienia danych osobowych Skarżącego w zakresie: imienia, nazwiska, adresu, numeru telefonu, numeru konta abonenckiego przypisanego do Skarżącego w Spółce, numerów i kwot faktur VAT oraz informacji o usługach Spółki, z których korzystał Skarżący, na rzecz osoby nieuprawnionej. Prezes UODO jednoznacznie stwierdził, że powyższy proces przetwarzania danych osobowych nie znajdował oparcia w żadnej z przesłanek legalizujących określonych w art. 6 ust. 1 RODO. Doszło także do naruszenia zasady określonej w art. 5 ust. 1 lit f RODO, bowiem dane osobowe Skarżącego nie były przetwarzane przez Spółkę w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem (integralność i poufność). Udostępnienie w danych osobowych Skarżącego podmiotowi nieuprawnionemu stanowiło zatem niezgodne z prawem przetwarzanie jego danych osobowych przez Spółkę. Niezależnie od powyższego organ wskazał, że w niniejszym postępowaniu zainicjowanym indywidualną skargą organ właściwy do spraw ochrony danych osobowych może dokonać wyłącznie oceny legalności przetwarzania danych. Natomiast ogólne, stosowane przez administratora danych w procesach ich przetwarzania praktyki, w tym sposoby zabezpieczeń, jak również ich adekwatność oraz skuteczność mogą być jedynie przedmiotem postępowania wszczętego przez organ z urzędu.

Prezes UODO podał, że na podstawie art. 58 ust. 2 RODO Prezesowi Urzędu Ochrony Danych Osobowych przysługują uprawnienia naprawcze, w tym udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania (lit. b). Mając powyższe na uwadze. Prezes UODO uznał, że w realiach niniejszej sprawy, właściwe jest zastosowanie wobec Spółki upomnienia za stwierdzone naruszenie przepisów o ochronie danych osobowych, tj. art. 6 ust. 1 RODO w zw. z art. 5 ust. 1 lit. f, gdyż przetwarzanie danych osobowych Skarżącego, polegające na udostępnieniu w okresie od 25 maja 2018 r. do 21 maja 2020 r. danych osobowych Skarżącego na rzecz nieuprawnionej osoby stanowiło naruszenie norm z zakresu ochrony danych osobowych.

Wskazał jednocześnie, że z uwagi na fakt, że kwestionowane w skardze zdarzenie dotyczące udostępnienia przez Spółkę danych osobowych Skarżącego na rzecz osoby nieuprawnionej rozpoczęło się, gdy obowiązywały przepisy ustawy z dnia 29 sierpnia 1997 r. i było kontynuowane do 21 maja 2020 r., czyli po wejściu w życie RODO, a postępowanie administracyjne przed organem nadzorczym zostało zainicjowane w czasie, gdy zaczęły obowiązywać przepisy ustawy z dnia 10 maja 2018 r., Prezes UODO może dokonać oceny zgodności kwestionowanych w skardze działań administratora z przepisami RODO w okresie od 25 maja 2018 r. do 21 maja 2020 r. Udostępnienie danych osobowych Skarżącego przez Spółkę na rzecz osoby nieuprawnionej w okresie od października 2016 r. do 24 maja 2018 r. miało miejsce w czasie, gdy obowiązywały przepisy ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. Przepisy te określały zasady przetwarzania danych osobowych do 24 maja 2018 r., natomiast od 25 maja 2018 r., obowiązują przepisy RODO oraz ustawy z dnia 10 maja 2018 r. W ocenie organu udostępnianie danych osobowych Skarżącego osobie nieuprawnionej w okresie od października 2016 r. do 24 maja 2018 r., nie może być tym samym rozpatrywane w toku postępowania administracyjnego zmierzającego do wydania decyzji w oparciu o przepisy RODO. Artykuł 99 ust. 1 RODO wprost wskazuje, że niniejsze rozporządzenie ma zastosowanie od dnia 25 maja 2018 r. Organ przywołał też art. 57 ust. 1 lit.h RODO.

W tej sytuacji zdaniem Prezesa UODO niniejsze postępowanie w zakresie udostępnienia danych osobowych Skarżącego w okresie od października 2016 r. do 24 maja 2018 r. podlega umorzeniu na podstawie art. 105 § 1 k.p.a. Zgodnie z ww. przepisem, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości lub w części, organ administracji publicznej wydaje decyzję o umorzeniu postępowania odpowiednio w całości lub w części. Brzmienie powołanej regulacji nie pozostawia wątpliwości, iż w razie stwierdzenia bezprzedmiotowości postępowania organ prowadzący to postępowanie obligatoryjnie je umarza.

Organ wskazał jednocześnie, że Spółka wyjaśniając kwestię udostępnienia danych osobowych Skarżącego zawartych w fakturach VAT wskazała, że nie doszło do udostępnienia rachunków szczegółowych (billingów) dotyczących Skarżącego. Skarżący nie przedstawił natomiast dowodów na potwierdzenie wskazywanych przez siebie nieprawidłowości. Tym samym organ nie dysponuje żadnym dowodem na to, aby do przedmiotowego udostępnienia doszło. Do pisma z dnia 9 września 2021 r. Skarżący załączył fakturę VAT wraz z billingiem za okres od 05.02.2021 r. do 04.02.2021 r. Faktura została przesłana na podany w decyzji adres Skarżącego, i brak jest dowodów wskazujących na to, że została doręczona także innym podmiotom. Spółka wskazała w wyjaśnieniach, że kierowała korespondencję do Skarżącego także na inny adres skarżącego w K., gdyż taki adres został wskazany na innych kontach abonenckich przypisanych do Skarżącego. Organ zaznaczył, że ten inny adres skarżącego jest tożsamy z adresem wskazanym już wcześniej w decyzji i odnosi się do tego samego budynku. Po wyczerpaniu możliwości dokonania niezbędnych dla podjęcia rozstrzygnięcia ustaleń faktycznych organ prowadzący postępowanie jest uprawniony, a nawet zobowiązany do przyjęcia takiej wersji zdarzeń, która odpowiada logicznie pozostałemu materiałowi dowodowemu. Organ mając na względzie ustalone okoliczności sprawy, stwierdził, że w sprawie brak jest niebudzących wątpliwości dowodów, które potwierdzałyby udostępnienie danych osobowych Skarżącego zawartych w billingach na rzecz nieuprawnionej osoby trzeciej. Wobec powyższego nie można uznać, że kwestionowany przez Skarżącego proces przetwarzania danych osobowych zaistniał. Organ wskazał, że przedmiotem postępowania przed Prezesem UODO może być tylko zaistniały, a nie hipotetyczny proces naruszenia danych osobowych.

Mając na uwadze powyższe organ stwierdził, że zaistniała przesłanka bezprzedmiotowości postępowania i umorzenia postępowania w części dotyczącej przetwarzania danych osobowych Skarżącego zawartych w billingach w oparciu o art. 105 § 1 k.p.a.. Jak wynika ze zgromadzonego w sprawie materiału dowodowego brak jest dowodów na potwierdzenie podnoszonego przez Skarżącego zarzutu, tym samym nie można uznać, że kwestionowany przez niego proces przetwarzania danych osobowych istnieje, wobec czego postępowanie bezprzedmiotowe.

Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lipca 2022 r. nr [...]. stała się przedmiotem skargi J. K. do Wojewódzkiego Sądu Administracyjnego w Warszawie. Skarżący zaskarżył decyzję w całości. W odniesieniu do punktu 1 decyzji zarzucił naruszenie artykułu 83 pkt 1RODO poprzez niezastosowanie wytycznych Grupy Roboczej ds. Ochrony Danych art. 29 w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów RODO i niezastosowanie skutecznej, proporcjonalnej i odstraszającej kary pieniężnej. W odniesieniu do punktu 2. decyzji zarzucił: 1) naruszenie art. 80 k.p.a. poprzez wybiórczą ocenę całokształtu zebranego materiału dowodowego i pominięcie w ustaleniach faktycznych dowodu z oświadczenia J. K., do którego kierowane były przez P. sp. z o.o. ustawicznie od października 2016 r. do maja 2020 r. t.zw. zielone faktury na adres mailowy odnoszące się do konta klienta 19687565, prowadzonego dla wskazanego nr tel., że wielokrotnie podejmował interwencje zgłaszając temu Operatorowi sieci nieprawidłowości w doręczaniu mailowym faktur, tak telefonicznie powiadamiając o tym konsultantów, jak i mailowo pod wykazywane numery kontaktowe Operatora i przez to bezpodstawne uznanie, iż o naruszeniach moich danych osobowych przez P. sp. z o.o. administrator danych osobowych tej Spółki podjął wiadomość dopiero 20 maja 2020 r., podczas, gdy był powiadamiany od początku zaistnienia naruszeń i notorycznie powiadomienia te ignorował; 2) nieuprawnione stwierdzenie przez Prezesa Urzędu Ochrony Danych Osobowych swojej niewłaściwości w przedmiocie stwierdzenia nieprawidłowości w procesie przetwarzania danych osobowych J. K., zam. ...w zakresie: imienia, nazwiska, adresu, numeru telefonu, numeru konta abonenckiego, numerów i kwot faktur VAT oraz informacji o świadczonych na jego rzecz usługach polegających na udostępnianiu przez P. Sp. z o.o. z siedzibą w W. ...tych danych osobie nieuprawnionej ..w okresie od października 2016 r. do 24 maja 2018 r. z powołaniem się na artykuł 99 ust. 1 RODO oraz motyw 122 RODO, podczas, gdy z unormowań rozdziału 13 UODO, a w szczególności z art. 166 i 167 UODO wynika ciągłość kompetencyjna Prezesa Urzędu Ochrony Danych Osobowych jako następcy GIODO. W odniesieniu do pozostałych punktów zaskarżonej decyzji skarżący zarzucił naruszenie przepisów postępowania mające istotny wpływ na wynik sprawy, a mianowicie: 1) naruszenie art. 7 i art. 77 § 1 k.p.a. w zw. z art. 12 § 1, art. 35 § 1, art. 50 § 1 i art. 75 k.p.a. w zakresie dotyczącym gromadzenia materiału dowodowego oraz przekroczenia ustawowego terminu rozpoznania sprawy i w efekcie poprzez wydanie decyzji na podstawie niewystarczającego materiału dowodowego zebranego w sprawie w sposób niepozwalający na dokładne wyjaśnienie stanu faktycznego oraz na prawidłowe rozpoznanie złożonej przez stronę skarżącą skargi, naruszenie art. 80 k.p.a. w związku z art. 68 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych poprzez dowolną ocenę całokształtu zebranego materiału dowodowego z pominięciem stanowiska skarżącego oraz w wyniku błędnego rozkładu ciężaru dowodu dotyczącego wykazania spełnienia obowiązku przez administratora danych osobowych, jak również niezebranie w sposób wyczerpujący wymaganego ujawnionymi okolicznościami sprawy materiału dowodowego i nieustalenie wszystkich okoliczności faktycznych, na których powinno być oparte postanowienie o umorzeniu postępowania wyrzeczone w punktach 2. I 3. decyzji.; 3) naruszenie art. 6 k.p.a. na skutek przeprowadzenia nierzetelnego postępowania dowodowego, ograniczającego się głównie do odebrania wyjaśnień od pełnomocnika administratora danych P. sp. z z o.o.; 4) naruszenie art. 35 § 2 k.p.a. w zw. z art. 57 pkt 1 lit. f RODO poprzez zaniechanie wszczęcia postępowania z urzędu, którego zasadność przeprowadzenia przez Prezesa UODO wynikała z inicjacji argumentacją podniesioną w skardze złożonej temu organowi nadzorczemu przez skarżącego; 5) naruszenie art. 10 § 1 k.p.a. poprzez niezapewnienie czynnego udziału w każdym studium postępowania i uniemożliwienie wypowiedzenia się co do zebranych dowodów, jeżeli takie dowody zostały zebrane, 2. naruszenie art. 7 k.p.a. w zw. z art. 8 k.p.a. i wydania decyzji administracyjnej na tle stanu faktycznego niniejszej sprawy sprzecznej z interesem społecznym i słusznym interesem strony; naruszenie art. 13 ust. 3 RODO - poprzez przyjęcie, iż spółka P. Sp. z o.o. w W. w prawidłowy sposób wypełniła obowiązek informacyjny w zakresie udostępnienia przetwarzanych danych osobowych.

Skarżący wniósł o: uchylenie zaskarżonej decyzji w zakresie rozstrzygnięć o umorzeniu postępowania administracyjnego dotyczącego naruszeń przez P. sp. z o.o. w W. przetwarzania danych osobowych skarżącego za pełny okres tych naruszeń od października 2016 r., do maja 2020 r., i przekazanie w tym zakresie sprawy organowi w celu wszczęcia postępowania z urzędu; stwierdzenie przewlekłości postępowania; stwierdzenie naruszenia przez P. sp. z o.o. w W. przepisów art. 6 ust. 1-3 RODO oraz art. 5 ust. 1 lit. d. i f. polegające na przetwarzaniu pozyskanych danych osobowych w sposób nie zapewniający odpowiedniego ich bezpieczeństwa oraz uporczywym udostępnianiu pozyskanych danych osobowych w sposób niedozwolony i niezgodny z prawem; stwierdzenia konieczności, zgodnie z art. 83 pkt 2 RODO i wytycznymi Grupy Roboczej ds. Ochrony Danych art. 29 RODO w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów RODO wymierzenia skutecznej, proporcjonalnej i odstraszającej kary pieniężnej P. sp. z o.o. w W., zasądzenie na rzecz skarżącego zwrotu kosztów postępowania według norm przepisanych. Skarżący wniósł jednocześnie o dopuszczenie dowodu z przesłuchania świadka J. K. (wskazał adres zamieszkania świadka o tym imieniu i nazwisku), o dopuszczenie uzupełniającego dowodu z dokumentów na okoliczność wykazania istoty naruszeń danych osobowych, stanowiących przedmiot skargi do Prezesa UODO, które jak wskazał zostaną przedłożone Sądowi do sygnatury akt, niezwłocznie po ich pozyskaniu przez skarżącego.

W uzasadnieniu skarżący rozszerzył argumentację w zakresie zarzutów skargi. Wskazał m.in., że w jego ocenie organ dopuścił się przede wszystkim - mogącego mieć zasadniczy wpływ na wynik sprawy - naruszenia przepisów procedury administracyjnej, a w szczególności art. 7k.p.a.,art. 77 § 1 k.p.a., art. 80 k.p.a., a także art. 107 § 3 k.p.a. w zw. z art. 7 ust. 1 ustawy z 10 maja 2018 r. polegającego przede wszystkim na przekroczeniu granic swobodnej oceny dowodów i w konsekwencji błędnym przyjęciu, że na podstawie zebranego w sprawie materiału dowodowego nie wynika jednoznacznie, że Spółka naruszyła obowiązki, o których mowa w art. 5 ust. 1 lit. d i f RODO, jak również art. 6 ust. 1RODO, udostępniając osobom trzecim w sposób nieuprawniony podlegające przetwarzaniu przez nią wrażliwe dane osobowe skarżącego w postaci bilingów jego numeru abonenckiego. Skarżący wskazał też m.in., że Prezes UODO w sposób nieprawidłowy ograniczył się jedynie do zbadania kwestii prawidłowości wywiązania się przez administratora danych z obowiązku, o którym mowa wart. 6 ust. 1 RODO związanej z zarzutem nieprawidłowych doręczeń korespondencji mailowej zawierającej drażliwe dane osobowe, bez sprawdzenia tym samym, czy w rozpatrywanej sprawie nie doszło do podnoszonego przez skarżącego również naruszenia polegającego na przetwarzaniu jego danych osobowych bez zgody osoby, której dane dotyczą również w inny sposób - poprzez stosowanie doręczeń pocztowych, które wielokrotnie ginęły lub mylnie były udostępniane sąsiadom w budynku siedziby skarżącego, poprzez fakty mylnego ich wkładania do obcych skrzynek pocztowych, pomimo, że w umowach abonenckich zawieranych przez Skarżącego ze Spółką zastrzeżone zostało doręczanie zielonych faktur dot. telefonów firmowych [zastrzeżona korespondencja mailowa], a więc bez ustalenia w toku postępowania sprawdzającego, czy nie doszło i pod tym względem do naruszenia art. 6 ust. 1 lit. a RODO. Skarżący nie zgodził się przy tym z Prezesem UODO, że nie jest organem właściwym do rozstrzygania o naruszeniu przepisów w zakresie przetwarzania danych osobowych skarżącego w okresie od października 2016 r. do 24 maja 2020 r. Wskazał, że z unormowań rozdziału 13 ustawy z dnia 10 maja 2018 r. w szczególności z art. 166 i 167 tej ustawy wynika ciągłość kompetencyjna Prezesa Urzędu Ochrony Danych Osobowych jako następcy GIODO. Zatem nie ma żadnych powodów, aby ustalone przez Prezesa UODO naruszenia, zaistniałe przed datą 25 maja 2018 r., a tym bardziej mające swą kontynuację po wejściu w życie RODO, nie podlegały ocenie Prezesa UODO. Użyte w art. 6O ustawy określenie "naruszenie przepisów o ochronie danych osobowych" ma zakres szeroki i obejmuje naruszenia wszystkich przepisów o ochronie danych, zarówno zawartych w unijnym rozporządzeniu, jak i w przepisach krajowych, które uzupełniają lub modyfikują regulacje unijne. Zdaniem skarżącego organ winien był ocenić zgodność z prawem przetwarzania jego danych przez Spółkę także przed 25 maja 2018 r. Skarżący wskazał też m.in., że zgodnie z art. 68 ust. i u.o.d.o., jeżeli w toku postępowania zajdzie konieczność uzupełnienia dowodów, Prezes Urzędu może przeprowadzić postępowanie kontrolne. Prezes UODO tych wszystkich możliwości dochodzenia do prawdy obiektywnej nie wykorzystał, poprzestając na uznaniu wiarygodności treści zawartych w wyjaśnieniach Spółki operatora telekomunikacyjnego w zakresie przedłożonych mu oświadczeń i zaprzestając dalszego gromadzenia dowodów, na podstawie własnych kompetencji kontrolnych. Skarżący wskazał też m.in., że Prezes UODO nie powinien dokonywać swoich ustaleń faktycznych opierając się wyłącznie na wyjaśnieniach jednej strony (administratora danych), "skoro - wbrew tym ustaleniom - skarżący przedłożył organowi nadzorczemu oświadczenie ujawnionego faktycznego adresata przekazania przez P. sp. o.o. moich danych osobowych - Pana J. K., że w rzeczywistości dane te były mu przekazywane wraz bilingami od końca 2016 r., przez niemal cztery lata, uporczywie, pomimo podejmowanych przez niego licznych interwencji telefonicznych i starań wobec przedstawicieli rzeczonego operatora telefonii komórkowej. Dowód ten nie został w żaden sposób uwzględniony w motywach zaskarżanej decyzji Prezesa UODO. Podkreślane to było również w oświadczeniach zawartych w mojej korespondencji z tym organem nadzorczym".

W ocenie skarżącego uchybienia dokonane przez Prezesa UODO w toku postępowania w postaci zebrania niewystarczającego materiału dowodowego oraz jego błędnej oceny, a także błędnego rozłożenia ciężaru dowodu w postępowaniu, doprowadziły w konsekwencji do braku możliwości dokonania oceny całokształtu materiału dowodowego istotnego do rozstrzygnięcia sprawy.

Prezes Urzędu Ochrony Danych Osobowych w odpowiedzi na skargę wniósł o jej oddalenie, podtrzymując dotychczasowe ustalenia. Organ odniósł się do zarzutów skargi. Odnosząc się do zarzutu naruszenia przez organ art. 83 pkt 1 RODO, wskazał, że Skarżący niezasadnie wywodzi, że w realiach przedmiotowej sprawy organ zobowiązany był do nałożenia na Spółkę kary pieniężnej. W zakresie uprawnień przysługujących Prezesowi Urzędu znajduje się wprawdzie nakładanie administracyjnych kar pieniężnych (zgodnie z art. 58 ust. 2 pkt i RODO), jednakże decyzja o nałożeniu kary pieniężnej nie jest podejmowana na wniosek osoby, której dane dotyczą. Decyzja który środek naprawczy będzie adekwatny i wystarczający dla stwierdzonego naruszenia należy do organu. Zdaniem Organu nie można uznać, aby zastosowane w niniejszej sprawie uprawnienie naprawcze stanowiło nieadekwatną reakcję Organu w stosunku do stwierdzonych nieprawidłowości. Analiza niniejszej sprawy doprowadziła Organ do uznania, iż wystarczającą reakcją wobec stwierdzonych nieprawidłowości jest udzielenie Spółce upomnienia na podstawie art. 58 ust. 2 lit. b RODO.

Podniósł, że wydanie decyzji administracyjnej w sprawie było poprzedzone dokładnym zbadaniem jej okoliczności faktycznych oraz zebraniem niezbędnego i wystarczającego materiału dowodowego. W celu zweryfikowania zarzutów Skarżącego względem Spółki, Prezes Urzędu, korzystając z instrumentów prawnych określonych w art. 58 ust. 1 lit. a i e RODO, zwrócił się do Spółki o złożenie pisemnych wyjaśnień w sprawie oraz potwierdzających je dowodów. Oświadczenia stron postępowania stanowią dowód równoprawny innym dowodom. Ustalenia faktyczne organu zostały dokonane w oparciu o całość materiału dowodowego, zgromadzonego i zbadanego w sposób wyczerpujący, a więc przy podjęciu wszelkich kroków niezbędnych do dokładnego wyjaśnienia okoliczności sprawy. Materiał dowodowy nie wymagał uzupełnienia o dowód z zeznań świadków, opinii biegłych oraz oględzin, a zatem niezasadny jest również zarzut naruszenia art. 75 Kpa i art. 50 § 1 k.p.a. W niniejszej sprawie nie było takiej konieczności, gdyż materiał dowodowy był wystarczający, spójny i nie budził jakichkolwiek wątpliwości organu. Organ przeanalizował pisemne wyjaśnienia Skarżącego jak również pisemne wyjaśnienia Spółki oraz przesłane przez obie strony materiały, wziął też pod uwagę stanowisko wyrażone ugruntowanym orzecznictwie sądów administracyjnych.

Organ podkreślił, że kwestia nieprawidłowości, których dopuściła się Spółka w procesie przetwarzania danych osobowych Skarżącego, polegających na kierowaniu przez Spółkę na adres e-mail osoby trzeciej faktur VAT za świadczone na rzecz Skarżącego usługi telekomunikacyjne w okresie od października 2016 r. do maja 2020 r., była bezsporna. Spółka przyznała, że doszło do nieprawidłowości wskazanych przez Skarżącego. Z uwagi na powyższe, zbędne było poszukiwanie dodatkowych dowodów ją potwierdzających, w tym oświadczenia osoby trzeciej, która na skutek błędu Spółki zapoznała się z danymi osobowymi Skarżącego. Organ wskazał też, że niezasadny jest zarzut naruszenia art. 10 1 k.p.a. Na każdym etapie postępowania w niniejszej sprawie Skarżący był informowany o podejmowanych przez Organ czynnościach, co znajduje odzwierciedlenie w aktach sprawy. Prezes Urzędu umożliwił Skarżącemu dostęp do akt sprawy, zgłaszanie dowodów oraz umożliwił wypowiedzenie się na temat zebranego materiału dowodowego przed wydaniem decyzji.

W kontekście zarzutów naruszenia ww. przepisów regulujących postępowanie dowodowe przed Prezesem Urzędu, Skarżący próbuje wykazać, że Organ niezasadnie pominął, iż naruszenie w procesie przetwarzania jego danych osobowych przez Spółkę miało miejsce na długo przed naruszeniem stwierdzonym w treści decyzji, tj. od 25 maja 2018 r. do 21 maja 2020 r. Powyższe, wbrew twierdzeniom Skarżącego, nie umknęło uwadze Organu, jednakże z przyczyn wskazanych w treści zaskarżonej decyzji, kwestia ta nie mogła zostać poddana ocenie na podstawie przepisów RODO. Organ wskazał, że podziela stanowisko Wojewódzkiego Sądu Administracyjnego w Warszawie zawarte w wyroku z dnia 20 kwietnia 2021 r., sygn. akt II SA/Wa 1879/20, z dnia 20 grudnia 2021 r., II SA/Wa 2138/21, z dnia z 29 grudnia 2021 r., II SA/Wa 1717/21.

Organ wskazał też, że Skarżący pierwszy raz w skardze do Wojewódzkiego Sądu Administracyjnego podnosi kwestię udostępniania jego danych osobowych sąsiadom w budynku jego siedziby. Z materiału dowodowego zebranego w niniejszym postępowaniu wynika jedynie, że Skarżący w piśmie z dnia 9 września 2021 r. podnosił, że faktura VAT wraz z rachunkiem szczegółowym (billingiem) przesłana przez Spółkę została odnaleziona pod innym adresem. Spółka w swoich wyjaśnieniach zaprzeczyła powyższemu udostępnieniu danych osobowych. Skarżący nie przedstawił natomiast dowodów na potwierdzenie wskazywanych przez siebie nieprawidłowości. Załączona do pisma Skarżącego faktura VAT była zaadresowana na adres Skarżącego i brak jest dowodów wskazujących na to, że została doręczona także innym podmiotom. Tym samym organ nie dysponuje żadnym dowodem na to, aby do przedmiotowego udostępnienia billingów doszło. Wobec tego zarzut dotyczący dokonania przez organ nieprawidłowych ustaleń w powyższym zakresie uznać należy za bezzasadny. Organ wskazał nadto, że przedmiotem postępowania prowadzonego w niniejszej sprawie było zbadanie zasadności zarzutów podniesionych w skardze do Prezesa UODO.

Reprezentujący P. Sp. z o.o. z siedzibą w W. radca prawny na rozprawie przed Wojewódzkim Sądem Administracyjnym w Warszawie w dniu 8 lutego 2023 r. wniósł o oddalenie skargi.

Wojewódzki Sąd Administracyjny w Warszawie na rozprawie w dniu 8 lutego

2023 r., na podstawie art. 106 § 3 ustawy – Prawo o postępowaniu przed sądami administracyjnymi nie uwzględnił wniosków dowodowych zawartych w skardze. Zgodnie z powołanym przepisem, sąd może z urzędu lub na wniosek stron przeprowadzić dowody uzupełniające z dokumentów, jeżeli jest to niezbędne do wyjaśnienia istotnych wątpliwości i nie spowoduje nadmiernego przedłużenia postępowania w sprawie. Sąd administracyjny nie ma w świetle powyższego podstaw do przeprowadzenia dowodu uzupełniającego z zeznań świadka. Skarżący nie przedłożył nadto żadnych dodatkowych dokumentów. Przede wszystkim zaś w sprawie tej nie zaistniały istotne wątpliwości, których wyjaśnienie wymagałoby przeprowadzenia dowodu uzupełniającego.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.

Skarga w części podlegała uwzględnieniu, w części zaś okazała się niezasadna.

Na wstępie wskazania wymaga, że Sąd za nietrafne uznał wszystkie podniesione w skardze zarzuty naruszenia przepisów postępowania administracyjnego, w tym dotyczące gromadzenia materiału dowodowego w sprawie skarżącego, jego wyczerpującego zebrania, dokładnego wyjaśnienia stanu faktycznego i dokonania oceny na podstawie tego materiału, czy dana okoliczność została udowodniona. W świetle akt postępowania administracyjnego, stwierdzić należy, ż Prezes UODO podjął w tej sprawie wszystkie niezbędne i wystarczające czynności wyjaśniające do dokonania pełnych, wyczerpujących ustaleń faktycznych w zakresie zagadnień podnoszonych przez skarżącego w skardze do tego organu (powyższe wyznaczało zakres postępowania przed Prezesem UODO). W sprawie tej organ nie miał obowiązku podejmowania dodatkowych czynności, jakich domaga się skarżący, tj. przeprowadzenia kontroli w Spółce. Zgodnie z art. 68 ustawy z dnia 10 maja 2018 r., jeżeli w toku postępowania zajdzie konieczność uzupełnienia dowodów, Prezes Urzędu może przeprowadzić postępowanie kontrolne. Zasadnie organ podniósł w odpowiedzi na skargę, że co do zasady sygnalizowane w toku rozpoznawania skargi indywidualnej nieprawidłowości mogą skutkować wszczęciem kontroli, jednakże Organ nie podejmuje tego rodzaju działań na wniosek osoby składającej skargę. Organ w sprawie niniejszej nie stwierdził zaistnienia potrzeby przeprowadzenia kontroli Spółki, na co wskazano w odpowiedzi na skargę. Kwestie przeprowadzenia kontroli, czy innych działań z urzędu należą do wyłącznej "decyzji" Prezesa UODO i nie warunkuje ich wnioskowanie przez stronę w sprawie z indywidualnej skargi.

Organ nie naruszył zatem art. 6, art. 7, art. 10 § 1, 12 § 1, art. 77, art. 50 § 1, art. 75, art. 77, art. 80, art. 107 § 3 k.p.a. Odmienna ocena strony od oceny organu co do kwestii prawidłowości przetwarzania danych nie stanowi także o naruszeniu art. 8 k.p.a., czy art. 80 k.p.a.

Zgodnie z art. 7 k.p.a., w toku postępowania organy administracji publicznej stoją na straży praworządności, z urzędu lub na wniosek stron podejmują wszelkie czynności niezbędne do dokładnego wyjaśnienia stanu faktycznego oraz do załatwienia sprawy, mając na względzie interes społeczny i słuszny interes obywateli. Stosownie do art. 77 § 1 k.p.a., organ administracji publicznej jest obowiązany w sposób wyczerpujący zebrać i rozpatrzyć cały materiał dowodowy. W ocenie Sądu organ należycie wywiązał się z tych obowiązków w sprawie. Akta postępowania administracyjnego potwierdzają, że organ dokonał wszelkich niezbędnych czynności w celu wyjaśnienia okoliczności faktycznych, zwracał się w tej sprawie do Spółki o wyjaśnienia, Spółka przedstawiała wyjaśnienia, których skarżący w żaden sposób, co do faktów, nie podważył w postępowaniu przed Prezesem UODO żadnymi przeciwnymi dowodami. Zwrócić należy przy tym uwagę, że Spółka zgłosiła Prezesowi UODO w dniu 22 maja 2020 r. informację o zdarzeniu w postaci stwierdzonego naruszenia ochrony danych osobowych skarżącego, nie ukrywała zatem powyższego faktu. Z akt postępowania nie wynika, aby – na tym etapie postępowania – istniały podstawy do podważenia wyjaśnień Spółki złożonych w toku postępowania przed Prezesem UODO.

Materiał dowodowy był wystarczający do rozstrzygania w sprawie w kwestiach podniesionych przez skarżącego w skardze do Prezesa UODO. Organ odniósł się nadto, w uzasadnieniu decyzji do kwestii podniesionej przez skarżącego dodatkowo w piśmie z dnia 9 września 2021 r., która to kwestia rozszerzała argumentację skarżącego w odniesieniu do zagadnienia dotyczącego udostępnienia danych osobowych zawartych w billingach. Nie można w związku z tym twierdzić, że organ nie wyjaśnił w pełni stanu faktycznego, nie rozważył go wszechstronnie, czy też nie odniósł się do istotnych faktów mających znaczenie dla rozstrzygnięcia sprawy. W konsekwencji zdaniem Sądu także zarzuty naruszenia art. 75 k.p.a., czy art. 68 ustawy z dnia 10 maja 2018 r. nie są zasadne.

W sprawie nie budzi zdaniem Sądu także wątpliwości, że nie został naruszony art. 10 § 1 k.p.a. Skarżący miał możliwość wypowiadania się na temat zebranych dowodów i materiałów. Nie naruszono praw strony wynikających z k.p.a. Skarżącemu zapewniono prawo czynnego udziału w postępowaniu administracyjnym, w tym w gromadzeniu materiału dowodowego. Aktywność skarżącego w tym zakresie nie dała podstaw do dokonania odmiennych ustaleń faktycznych niż te dokonane w zaskarżonej decyzji przez organ. Skarżący nie przedstawił dowodów podważających wyjaśnienia Spółki, a w konsekwencji ustalenia faktyczne organu. Kwestionowanie tych ustaleń obecnie na etapie postępowania sądowego nie wpływa na wynik sprawy, albowiem z żadnych innych dowodów niż zgromadzone w postępowaniu administracyjnym nie wynika inny stan faktyczny, niż przyjęty przez organ w zaskarżonej decyzji.

W sprawie jest bezsporne, że Spółka przetwarzająca dane osobowe Skarżącego legitymuje się przesłankami wymienionymi w art. 6 ust. 1 lit b, c i f RODO. Organ szczegółowo przytoczył podstawy prawne przetwarzania danych osobowych skarżącego na podstawie wymienionych przesłanek, odwołując się przy tym do poszczególnych aspektów tego przetwarzania. Wskazał, że ustalenia były dokonane na podstawie przedłożonych przez Spółkę kopii umów o świadczenie usług telekomunikacyjnych zawartych ze Skarżącym oraz wskazanych przez Spółkę celów przetwarzania. Trafnie też organ wskazał, że roszczenia Skarżącego kierowane do Spółki, przetwarzanie danych osobowych dla celów dowodowych oraz obrony przed roszczeniami stanowią – w okolicznościach faktycznych tej sprawy - prawnie usprawiedliwiony cel Spółki.

Sąd rozpoznający niniejszą sprawę w całości podziela te ustalenia Prezesa UODO i stwierdza, że nie ma potrzeby ich powtarzania w tym miejscu. Powyższe nie było nadto kwestionowane przez skarżacego.

Organ jednoznacznie ustalił nadto w toku postępowania, że w sprawie doszło do nieuprawnionego udostępnienia przez Spółkę danych osobowych Skarżącego w zakresie: imienia, nazwiska, adresu, numeru telefonu, numeru konta abonenckiego, numerów i kwot faktur VAT oraz informacji o świadczonych na rzecz Skarżącego usługach Spółki. Ten zakres nieuprawnionego udostępnienia danych osobowych Skarżącego ujęty jest w punkcie 1 i 2 zaskarżonej decyzji. Nie ma przy tym wątpliwości, że to niezgodne z prawem udostępnienie miało miejsce od października 2016 r. do maja 2020 r. (punkt 4, 5 ustaleń faktycznych w zaskarżonej decyzji).

Prezes UODO wprost stwierdził w decyzji, że to udostępnienie danych osobowych skarżącego osobie nieuprawnionej nie znajdowało oparcia w żadnej z przesłanek legalizujących określonych w art. 6 ust. 1 RODO. Ustalenie to jest zdaniem Sądu prawidłowe. W sprawie nie ma wątpliwości, że omyłkowe kierowanie faktur VAT (dotyczących konta utworzonego dla skarżącego jako klienta indywidualnego) na e-mail innej osoby skutkowało nieuprawnionym udostępnieniem danych osobowych Skarżącego wskazanych przez organ w punkcie 1 i 2 decyzji. Żadna podstawa nie legalizuje tego przetwarzania. Organ ochrony danych osobowych jednoznacznie stwierdził przy tym prawidłowo, że doszło także do naruszenia zasady określonej w art. 5 ust. 1 lit f RODO, bowiem dane osobowe Skarżącego nie były przetwarzane przez Spółkę w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem (integralność i poufność). Udostępnienie w danych osobowych Skarżącego podmiotowi nieuprawnionemu stanowiło zatem niezgodne z prawem przetwarzanie jego danych osobowych przez Spółkę.

Te ustalenia organu Sąd podzielił, są one prawidłowe. Sąd nie zgodził się natomiast z twierdzeniem organu, że w stanie faktycznym tej sprawy zaszła podstawa do umorzenia (punkt 2 zaskarżonej decyzji) postępowania przed Prezesem UODO w zakresie tego udostępnienia danych osobowych skarżącego osobie nieuprawnionej w okresie od października 2016 r. do 24 maja 2018 r. W stanie faktycznym tej sprawy nie może być mowy o bezprzedmiotowości postępowania w rozumieniu art. 105 § 1 k.p.a.

Pogląd organu o braku możliwości zastosowania RODO (w kontekście uprawnień Prezesa UODO ujętych w RODO) w odniesieniu do przetwarzania danych osobowych Skarżącego, o którym mowa w punkcie 2 zaskarżonej decyzji, a zatem obejmującym okres udostępnienia danych przed 25 maja 2018 r., nie jest trafny.

Zwrócić trzeba bowiem uwagę, że choć to kwestionowane przetwarzanie (udostępnienie danych osobowych osobie nieuprawnionej) (ujęte w punkcie 2 zaskarżonej decyzji) rozpoczęło się w czasie, gdy obowiązywała jeszcze ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r., to jednocześnie, już weszło w życie RODO (art. 99 ust. 1 RODO), a postępowanie w sprawie tego przetwarzania danych osobowych wszczęte zostało skargą skarżącego do Prezesa UODO z dnia 29 marca 2021 r., a zatem w czasie obowiązywania RODO (ma ono bowiem zastosowanie od 25 maja 2018 r., zgodnie z art. 99 ust. 2 RODO). Nie ma też najmniejszych wątpliwości – w świetle ustaleń stanu faktycznego dokonanych w zaskarżonej decyzji – że udostępnienie danych osobowych Skarżącego osobie nieuprawnionej, które rozpoczęło się w październiku 2016 r. było kontynuowane (trwało) w czasie obowiązywania RODO (do 21 maja 2020 r.).

Nie zakończyło się ono zatem przed wejściem w życie RODO. W świetle powyższego, biorąc pod uwagę przepisy RODO, rozporządzenie to znajdowało w pełni zastosowanie do całego procesu przetwarzania (nieuprawnionego udostępnienia) danych osobowych skarżącego, o którym mowa w punkcie 1 i 2 zaskarżonej decyzji i w tych okolicznościach brak było podstaw do zastosowania art. 105 § 1 k.p.a. w punkcie 2 zaskarżonej decyzji.

Sąd rozpoznający niniejszą sprawę podziela poglądy prezentowane w orzecznictwie sądowoadministracyjnym, zgodnie z którymi, RODO ma zastosowanie nie tylko do zdarzeń powstałych po jego wejściu w życie, ale także do tych zdarzeń, które miały miejsce wcześniej i trwały nadal (były kontynuowane) po 25 maja 2018 r. (v. wyrok WSA w Warszawie z dnia 18 sierpnia 2022 r. sygn. akt II SA/Wa 210/22, wyrok WSA w Warszawie z dnia 5 maja 2021 r. sygn. akt II SA/Wa 2014/20, wyrok WSA w Warszawie z dnia 14 lutego 2020 r. sygn. akt II SA/Wa 1551/19, wyrok WSA w Warszawie z dnia 7 sierpnia 2019 r. sygn. akt II SA/Wa 569/19).

Taka sytuacja zachodzi w niniejszej sprawie i nie ma podstaw do odmowy zastosowania przez Prezesa Urzędu Ochrony Danych Osobowych przepisów RODO we wskazanym wyżej zakresie.

Zgodnie z art. 160 ust. 1 ustawy z dnia 10 maja 2018 r., postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu. Stosownie do art. 160 ust. 2 tej ustawy, postępowania, o których mowa w ust. 1, prowadzi się na podstawie ustawy uchylanej w art. 175, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 oraz z 2019 r. poz. 60, 730 i 1133).

Postępowanie w sprawie niniejszej, ze skargi J. K. zostało wszczęte 29 marca 2021 r., proces przetwarzania danych (udostępnienia osobie nieuprawnionej) choć rozpoczęty w 2016 r. trwał nadal po wejściu w życie RODO i był kontynuowany do 21 maja 2020 r. i ma do niego w pełni zastosowanie RODO.

Także w powołanym przez organ w odpowiedzi na skargę wyroku WSA w Warszawie z dnia 20 kwietnia 2021 r. sygn. akt II SA/Wa 1879/20 wyrażony został – wbrew twierdzeniu organu zawartemu w odpowiedzi na skargę – pogląd, zgodnie z którym RODO ma zastosowanie w sprawie, w której proces przetwarzania danych, mimo, że rozpoczął się przed wejściem w życie RODO, był kontynuowany po 25 maja 2018 r. W powołanym wyroku Sąd zaakceptował umorzenie postępowania ze względu na to, że w sprawie będącej przedmiotem rozstrzygania, proces przetwarzania nie był kontynuowany po 25 maja 2018 r.

Sytuacja faktyczna w niniejszej sprawie nie jest zatem tożsama z sytuacją faktyczną dotyczącą sprawy rozstrzygniętej wyrokiem o sygn. akt II SA/Wa 1879/20.

Bezpośrednie stosowanie nowej ustawy o ochronie danych osobowych (z 10 maja 2018 r.) i RODO nie jest możliwe jedynie do tych zdarzeń (przetwarzania danych), które ustały przed dniem wejścia w życie RODO (v. wyrok WSA w Warszawie z dnia 29 grudnia 2021 r. sygn. akt II SA/Wa 1717/21, wyrok WSA w Warszawie z dnia 18 maja 2022 r. sygn. akt II SA/Wa 12/22, wyrok WSA w Warszawie z dnia 31 sierpnia 2021 r. sygn. akt II SA/Wa 1951/20). Sytuacja taka nie zachodzi w niniejszej sprawie.

Z uwagi na naruszenie art. 105 § 1 k.p.a., które miało istotny wpływ na wynik sprawy konieczne stało się uchylenie punktu 2 zaskarżonej decyzji.

Ponownie rozstrzygając sprawę organ obowiązany będzie wziąć pod uwagę wyrażoną wyżej ocenę prawną, we wskazanym wyżej zakresie, a tym samym podjąć rozstrzygnięcie merytoryczne w zakresie całego procesu przetwarzania (udostępnienia) danych osobowych skarżącego ujętego obecnie odrębnie w punkcie 1 i 2 zaskarżonej decyzji. Uchylenie punktu 1 zaskarżonej decyzji podyktowane zostało zarówno tym, że zastosowany przez organ środek naprawczy odnosił się jedynie do fragmentu procesu przetwarzania (udostępnienia) danych osobowych Skarżącego przez Spółkę osobie nieuprawnionej, co nie było prawidłowe, jak również uchylenie tego punktu decyzji konieczne było z uwagi na brak w istocie uzasadnienia przez organ zastosowanego środka, o którym mowa w art. 58 ust. 2 lit.b RODO. Uchybienie w tym zakresie przepisowi art. 107 § 3 k.p.a. mogło mieć istotny wpływ na wynik sprawy. Organ wskazał w decyzji jedynie, że właściwe jest – w realiach sprawy – zastosowanie upomnienia. Nie wyjaśnił jednakże dlaczego właśnie ten środek naprawczy jest właściwy. Organ ponownie rozstrzygając w sprawie winien uwzględnić motyw 148 RODO i wyjaśnić w decyzji stronie, czy naruszenie przepisów RODO uważa w stanie faktycznym sprawy za niewielkie, czy inny środek byłby dla Spółki zbyt uciążliwy. Organ winien wziąć pod uwagę charakter naruszenia, czas jego trwania, ocenić, czy naruszenie było umyślne. Kwestię tę Sąd pozostawia do ponownej oceny organu. Dodatkowo jedynie wskazania wymaga, że odpowiedź na skargę, stanowiąca pismo procesowe w postępowaniu sądowym, nie uzupełnia wywodów decyzji w tym zakresie.

Rozpoznając skargę w pozostałym zakresie, tj. dotyczącym rozstrzygnięć organu zawartych w punkcie 3 i 4 decyzji Sąd nie stwierdził naruszenia prawa. W ocenie Sądu zaskarżona decyzja w tych punktach odpowiada prawu.

Z akt sprawy jednoznacznie wynika, że w toku postępowania przed Prezesem UODO nie wykazano, aby Spółka udostępniła dane osobowe skarżącego zawarte w billingach w okresie od października 2016 r. do 21 maja 2020 r. osobie nieuprawnionej, co prawidłowo stwierdził w zaskarżonej decyzji organ. Trafnie tym samym Prezes UODO w tym zakresie postępowanie uznał za bezprzedmiotowe i umarzając postępowanie dotyczące tej kwestii zastosował art. 105 § 1 k.p.a. (punkt 3 zaskarżonej decyzji). Skoro nie doszło do udostępnienia osobie nieuprawnionej rachunków szczegółowych (billingów) dotyczących Skarżącego, Skarżący nie przedstawił dowodów na potwierdzenie wskazywanych przez siebie nieprawidłowości w tym zakresie, to nie ma podstaw do kwestionowania rozstrzygnięcia organu zawartego w punkcie 3 decyzji.

Organ zasadnie stwierdził, że w sprawie brak jest niebudzących wątpliwości dowodów, które potwierdzałyby udostępnienie danych osobowych Skarżącego zawartych w billingach na rzecz nieuprawnionej osoby trzeciej. Wobec powyższego nie można uznać, że kwestionowany przez Skarżącego proces przetwarzania danych osobowych zaistniał. Organ trafnie wskazał, że przedmiotem postępowania przed Prezesem UODO może być tylko zaistniały, a nie hipotetyczny proces naruszenia danych osobowych.

Podkreślić przy tym należy, że zagadnienie dodatkowo podniesione przez skarżącego w postępowaniu przed organem, tj. kwestia wskazana w piśmie do Prezesa UODO z dnia 9 września 2021 r., nie stanowi podważenia stanowiska organu w zakresie braku dowodów na naruszenie przetwarzania danych w zakresie billingów za okres od października 2016 r. do 21 maja 2020 r., o czym jest mowa w punkcie 3 zaskarżonej decyzji. Skarżący do wymienionego pisma z 9 września 2021 r. załączył fakturę VAT wraz z billingiem za okres od 05.01.2021 r. (organ omyłkowo wskazał od 05.02.2021) do 04.02.2021 r., przesłaną, jak wskazał skarżący przesyłką listowną. Skarżący zaznaczył w piśmie do organu, że przesyłkę tę "odnaleziono pod innym adresem". Kwestia prawidłowości doręczenia (na adres skarżącego) przesyłki przez doręczającego nie wpływa na wynik niniejszej sprawy i nie stanowi o niezgodności punktu 3 zaskarżonej decyzji z prawem.

Sąd rozpoznający niniejszą sprawę nie stwierdził także naruszenia prawa w zakresie wypełnienia obowiązku informacyjnego przez Spółkę. W ocenie Sądu rozstrzygnięcie zawarte w punkcie 4 zaskarżonej decyzji odpowiada prawu.

Zgodnie z art. 13 ust. 1 lit. a-f RODO, jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje: swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela; gdy ma to zastosowanie - dane kontaktowe inspektora ochrony danych; cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania; jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) RODO - prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią; informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją; gdy ma to zastosowanie - informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi RODO, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu udostępnienia danych. Stosownie do art. 13 ust. 2 lit. a-f RODO, poza informacjami, o których mowa powyżej, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania: okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu; informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych; jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) RODO - informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem; informacje o prawie wniesienia skargi do organu nadzorczego; informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych; informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, oraz - przynajmniej w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. Zgodnie z art. 13 ust. 3 RODO, jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2. Stosownie do art. 13 ust. 4 RODO, ust. 1, 2 i 3 nie mają zastosowania, gdy - i w zakresie, w jakim - osoba, której dane dotyczą, dysponuje już tymi informacjami.

Prawidłowo Prezes UODO stwierdził, że obowiązek informacyjny, określony w art. 13 RODO, należy spełnić podczas pozyskiwania danych osobowych, jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby.

Sytuacja taka miała miejsce w niniejszej sprawie. Spółka wypełniła wobec Skarżącego obowiązek informacyjny w chwili zbierania danych osobowych w związku z zawieraniem umów na świadczenie usługi telekomunikacyjnej. Powyższe znajduje potwierdzenie w aktach postępowania administracyjnego, w których znajdują się kopie zawartych umów wraz z przekazanymi informacjami o przetwarzaniu danych osobowych. Informacja P. Sp. z o.o. "o przetwarzaniu danych osobowych oraz oświadczenia Klienta/Abonenta" stanowiąca załącznik m.in. do umowy o świadczenie usług telekomunikacyjnych nr [...] (dla osoby fizycznej) zawiera wszystkie niezbędne informacje stanowiące wypełnienie obowiązku informacyjnego, o którym mowa w powołanym przepisie. W sprawie nie naruszono art. 13 ust. 3 RODO.

W powołanym przepisie jest mowa o informacji dotyczącej celów innych niż cele, w których dane zostały zebrane. W informacji o przetwarzaniu przekazanej skarżącemu przez Spółkę jest mowa m.in. o celach takich jak: podjęcie działań przed zawarciem umowy, w celu realizacji umowy, w prawnie usprawiedliwionych celach Spółki, w tym dochodzenia roszczeń z tytułu prowadzonej działalności gospodarczej.

Sąd podziela zawarte w zaskarżonej decyzji twierdzenie organu, że w stanie faktycznym tej sprawy obowiązek informacyjny w stosunku do Skarżącego został spełniony prawidłowo w momencie zawierania umowy/umów. Skarżący był poinformowany o wszystkich celach przetwarzania danych osobowych przez Spółkę w momencie ich zbierania. Zarzut naruszenia art. 13 ust. 3 RODO nie jest zrozumiały w świetle powyższego. W sytuacji natomiast, gdy skarżący odnosi ewentualnie pojęcie "innych celów", o których mowa w art. 13 ust. 3 RODO do nieplanowanego przez Spółkę nieuprawnionego udostępnienia jego danych osobowych osobie trzeciej, to wskazać jedynie można, że taka interpretacja przepisu nie jest uprawniona. Nadto, Spółka podjęła, jak wynika z zaskarżonej decyzji, po uzyskaniu od Skarżącego informacji o zaistniałym zdarzeniu, działania mające na celu przywrócenie zgodnego z prawem przetwarzania danych osobowych.

W odniesieniu do zarzutu naruszenia art. 35 § 2 k.p.a. w zw. z art. 57 pkt 1 lit.f RODO poprzez zaniechanie wszczęcia postępowania z urzędu zauważyć należy, że powołane przepisy nie zobowiązują Prezesa UODO do wszczęcia i prowadzenia postępowania z urzędu. Nadto, jak sama nazwa wskazuje, postępowanie "z urzędu" organ prowadzi z "urzędu", a zatem z własnej inicjatywy. Domaganie się przez stronę w sprawie indywidualnej (wszczętej na jej wniosek) wszczęcia postępowania z urzędu nie jest zrozumiałe. Natomiast kwestia czasu trwania postępowania nie mogła mieć znaczenia dla dokonanej przez Sąd oceny prawidłowości zaskarżonej decyzji.

Biorąc powyższe pod uwagę, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit.c ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2022 r., poz. 329 ze zm.), orzekł, jak w punkcie 1 wyroku. W punkcie 2 wyroku Sąd orzekł na podstawie art. 151 powołanej ustawy. O zwrocie kosztów postępowania sądowego, jak w punkcie 3 wyroku Sąd orzekł na podstawie art. 200 ustawy – Prawo o postępowaniu przed sądami administracyjnymi. Do kosztów tych Sąd zaliczył uiszczony wpis sądowy od skargi w wysokości 200 zł.