Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Góraj, Sędzia WSA Agnieszka Góra-Błaszczykowska, Sędzia WSA Tomasz Szmydt (spr.), , Protokolant starszy specjalista Bogumiła Kobierska, , po rozpoznaniu na rozprawie w dniu 5 czerwca 2023 r. sprawy ze skargi [...] Sp. j. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lipca 2022 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję w całości, 2. umarza postępowanie przed Prezesem Urzędu Ochrony Danych Osobowych, 3. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz [...] Sp. j. z siedzibą w [...] kwotę 697 zł (sześćset dziewięćdziesiąt siedem złotych), tytułem zwrotu kosztów postępowania.

Przedmiotem skargi [...] P. C., M. C. Sp.j. z siedzibą w [...] (dalej: "Spółka") do Wojewódzkiego Sądu Administracyjnego w Warszawie jest decyzja Prezesa Urzędu Ochrony Danych Osobowych (dalej: "Organ", "PUODO"), nr [...], z [...] marca 2022 r., którą to Organ, działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735) zw. z art. 7 ust 1 ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz. U. z 2019 r. poz. 1781), art. 5 ust. 1, art. 6 ust. 1 i art. 58 st. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23,05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), po przeprowadzeniu postępowania administracyjnego w sprawie skargi D. K. (dalej: "Skarżący), na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Spółkę polegające na udostępnieniu jego danych w zakresie imienia i nazwiska oraz adresu poczty elektronicznej i numeru telefonu, osobom nieuprawnionym, podczas identyfikacji jego uprawnienia do skorzystania z usługi przewozowej:

- w pkt. 1 decyzji udzielił Spółce upomnienia za naruszenie art. 6 ust 1 art. w zw. z art. 5 ust. 1 lit f w zw. z rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35, polegające na udostępnieniu osobom nieuprawnionym danych Skarżącego w zakresie jego imienia i nazwiska osobom nieuprawnionym, podczas identyfikacji jego uprawnienia do skorzystania z usługi przewozowej;

- w pkt 2 decyzji odmówił uwzględnienia wniosku w pozostałym zakresie.

Z akt postępowania wynikało, że Skarżący wniósł do Prezesa UODO skargę na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] P. C., M. C. Sp.j. z siedzibą w [...] polegające na udostępnieniu jego danych w zakresie imienia i nazwiska oraz adresu poczty elektronicznej i numeru telefonu, osobom nieuprawnionym, podczas identyfikacji jego uprawnienia do skorzystania z usługi przewozowej.

Prezes UODO ustalił, że:

1. Spółka pozyskała dane osobowe Skarżącego w zakresie imienia, nazwiska, adresu poczty elektronicznej, numeru telefonu oraz numeru konta bankowego, na podstawie dobrowolnego ich udostępnienia przez Skarżącego w związku z zakupem biletów autobusowych za pośrednictwem strony internetowej https: [...] m.in. bilet na trasie [...] z dnia [...].01.2021 r., bilet na trasie [...] z dnia [...].01.2021 r., bilet na trasie [...] z dnia [...].12.2020 r., bilet na trasie [...] z dnia [...].12.2020 r., bilet na trasie [...] z dnia [...].12.2020 r., bilet na trasie [...] z dnia [...].11.2020 r., bilet na trasie [...] z dnia [...].11.2020 r., bilet na trasie [...] z dnia [...].11.2020 r., bilet na trasie [...] z dnia [...].11.2020 r., bilet na trasie [...] z dnia [...].09.2020 r., bilet na trasie [...] z dnia [...].09.2020 r., bilet na trasie [...] z dnia [...].09.2020 r., bilet na trasie Katowice-Wrocław z dnia 22.09.2020 r., bilet na trasie [...] z dnia [...].08. 2020 r. (dowód: wyjaśnienia Spółki z [...] stycznia 2021 r.);

2. Spółka wskazała, że przetwarza dane osobowe Skarżącego na podstawie art. 6 ust. 1 lit. b rozporządzenia 2016/679 w celu zawarcia bądź realizacji umowy przewozu osób lub rzeczy, dla wykonania której przetwarzanie danych jest niezbędne oraz na podstawie art. 6 lit. f rozporządzenia 2016/679 w celu realizacji prawnie uzasadnionego interesu w postaci konieczności rozpoznania zgłoszonej przez Skarżącego reklamacji usługi przewozowej oraz z uwagi na prowadzone postępowanie sądowo - administracyjne pod sygn. II SA Wa 1801/20 przed Wojewódzkim Sądem Administracyjnym w Warszawie (dowód: wyjaśnienia Spółki z [...] stycznia 2021 r.);

3. Spółka wyjaśniła, że pasażer, który zakupił bilet za pośrednictwem systemu internetowego Spółki ma obowiązek okazać kierowcy zakupiony bilet, a kierowca weryfikuje dane na nim widniejące z danymi zamieszczonymi na liście podróżnych, w tym datę i godzinę kursu jak również miejsce podróży, celem potwierdzenia prawa do przejazdu oraz dla uniknięcia sytuacji, w których pasażer omyłkowo pomylił autobus, datę, godzinę lub trasę konkretnego kursu. Podstawą prawną przyjętej przez Spółkę regulacji usługi przewozowej jest - jej zdaniem - art. 16 ustawy z dnia 15 listopada 1984 r. Prawo przewozowe (Dz. U. z 2020 r., poz. 8) oraz wewnętrzny Regulamin Przewozów (dowód: wyjaśnienia Spółki z dnia 16 maja 2019 r.). Lista podróżnych, zawierająca imię i nazwisko podróżnego, bez numeru telefonu i adresu poczty elektronicznej, dostępna jest - zdaniem Spółki - wyłącznie do wglądu kierowcy, który posiada stosowne upoważnienie i przechowuje ją w materiałowej, zamykanej teczce, niedostępnej dla osób trzecich, w której przewozi wszystkie dokumenty dotyczące danego kursu, a po kursie, listy przekazywane są upoważnionym pracownikom. Kierowcy nie mają dostępu do innych danych, poza tymi zawartymi na powierzonej im liście pasażerów, tj. imieniem oraz nazwiskiem, w szczególności do danych o szczególnym, tj. wrażliwym charakterze (dowód: wyjaśnienia Spółki z [...] stycznia 2021 r.);

4. Spółka oświadczyła, że nie odnotowała przypadku objętego skargą Skarżącego i nie potwierdza, aby wskazane przez niego rozmowy prowadzące do udostępnienia jego danych, utrwalone na nagraniach głosowych, miały miejsce w autobusie Spółki. Kierowca - zdaniem Spółki - nie żąda podania głośno nazwiska pasażera ani żadnych innych jego danych, nie czyta również głośno listy pasażerów ani ich nie wywołuje, bowiem podróżny zobowiązany jest do okazania kierowcy biletu, który konfrontowany w tym stanie faktycznym Prezes UODO zważył, co następuje. jest przez kierowcę z listą pasażerów, natomiast osoba, która wejdzie na pokład autobusu może dobrowolnie się przedstawić. Jeżeli pasażer nie życzy sobie, aby jego dane widniały na iście pasażerów, ma możliwość zakupienia biletu bezpośrednio u kierowcy (dowód: wyjaśnienia Spółki z [...] stycznia 2021 r. oraz [...] maja 2021 r.);

5. Skarżący w trakcie wsiadania do autobusu został poproszony przez kierowcę o wskazanie swojego imienia i nazwiska, które ten dobrowolnie mu podał wypowiadając je na głos, w innym zaś przypadku kierowca pierwszy ujawnił dane osobowe Skarżącego; - nagranie dźwiękowe o nazwie "[...].mp3" rozpoczyna się od niezrozumiałych słów, następnie słychać szum oraz silnik pojazdu, po czym pada wymiana zdań: "Dzień dobry, na jakie nazwisko? "Na nazwisko K. szukamy"; "D., nie?"; "Tak"; "Do [...], tak?"; "Dokładnie"; "Dobra, gra"; "Na górę tylko, tak? "Tak, tak", po czym, słychać szum, niezrozumiale głosy i nagranie kończy się; nagranie dźwiękowe o nazwie "[...].mp3" rozpoczyna się od niezrozumiałych słów, po czym pada wymiana zdań: "Pana nazwisko"; "K. D."; "Dziękuję bardzo"; "Dziękuję" - następnie przez dłuższy czas słychać niezrozumiałe głosy i nagranie kończy się; - nagranie dźwiękowe o nazwie "[...].m4a" rozpoczyna się od słów: "Nazwisko?"; "D."; "Proszę bardzo"; "Też z kasy czy..?"; "Z Internetu" "Na nazwisko?"; "K., tak?"; "Proszę"; "Dziękuję" - następnie przez dłuższy czas słychać niezrozumiałe głosy i nagranie kończy się. (dowód: nagrania dźwiękowe stanowiące załącznik do skargi z [...] września 2020 r., notatka urzędowa z [...] stycznia 2021 r.);

6. Skarżący nie zwracał się do Spółki z żądaniem zaprzestania przetwarzania jego danych osobowych (dowód: wyjaśnienia Spółki z [...] stycznia 2021 r.);

7. Prezes UODO prowadził postępowanie administracyjne pod sygn. [...], w wyniku którego udzielił Spółce upomnienia za naruszenie art. 5 ust. 1 lit. f w zw, z art. 6 ust. 1 b rozporządzenia 2016/679, polegającego na udostępnieniu osobom nieuprawnionym danych Skarżącego w zakresie imienia i nazwiska, podczas identyfikacji jego uprawnienia do skorzystania z usługi przewozowej (dowód: pismo Skarżącego z [...] listopada 2020 r., wyjaśnienia Spółki z [...] stycznia 2021 r.).

Wydając zaskarżoną decyzję Prezes UODO wyjaśnił, że zgodnie z definicją przetwarzania danych osobowych, ujętą wart. 4 pkt 2 rozporządzenia 2016/679, pod pojęciem przetwarzania należy rozumieć operację lub zestaw operacji wykonywanych na danych osobowych lub ich zestawach w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Prawodawca uznał, że czynność przetwarzania dotyczy jakichkolwiek operacji wykonywanych na danych osobowych, w tym ich: zbierania, utrwalania, przechowywania, czy udostępniania, a zwłaszcza tych, które wykonuje się w systemach informatycznych. Nie ma natomiast znaczenia czy będą dokonywane automatycznie, czy w sposób niezautomatyzowany. Sposób zdefiniowania pojęcia przetwarzania danych wskazuje, że intencją ustawodawcy było objęcie tym terminem bardzo szerokiej gamy czynności na danych osobowych. Wyróżnienie zaś automatycznego przetwarzania danych osobowych miało na celu wyróżnienie go wobec postępu technologicznego i nadania w rozporządzeniu 2016/679 dodatkowych dyspozycji odnośnie chociażby profilowania danych. Tak ujęta definicja przetwarzania danych opiera się na założeniu o braku możliwości odgórnego wskazania konkretnych operacji, które jako jedyne mogą być wykonywane na danych osobowych.

Dlatego też, zdaniem Prezesa UODO, wszelkie działania podejmowane przez Spółkę, w tym przez pracowników Spółki w ramach realizacji usług, które za przedmiot mają informacje osobowe winny być zakwalifikowane jako przetwarzanie danych. W myśl rozporządzenia 2016/679, aby przetwarzanie danych osobowych było zgodne z prawem, administrator jest zobowiązany przetwarzać dane osobowe na podstawie przesłanek określonych w art. 6 rozporządzenia 2016/679. Przepis art. 5 ust. 1 lit. f rozporządzenia 2016/679 stanowi, iż dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową Utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność").

Zgodnie z motywem 10 rozporządzenia 2016/679, danymi wrażliwymi są szczególne kategorie danych osobowych, enumeratywnie wymienione w art. 9 rozporządzenia 2016/679, tj.: dane ujawniające pochodzenie rasowe lub etniczne, dane ujawniające poglądy polityczne, dane ujawniające przekonania religijne lub światopoglądowe, dane ujawniające przynależność do związków zawodowych, dane genetyczne, dane biometryczne, dane dotyczące zdrowia oraz dane dotyczące seksualności lub orientacji seksualnej. Dane osobowe w postaci imienia, nazwiska, numeru telefonu i adresu poczty elektronicznej nie znajdują się w tym katalogu. Za chybiony, Prezes UODO uznał zarzut Skarżącego, że Spółka przetwarza jego wrażliwe dane osobowe. Spółka uprawniona była do przetwarzania danych Skarżącego na podstawie art. 6 ust, 1 lit. b rozporządzenia 2016/679, do czasu zrealizowania każdej z zawartych umów, a także z uwagi na toczące się postępowanie sądowoadministracyjne, była uprawniona do przetwarzania danych osobowych do czasu prawomocnego zakończenia postępowania.

Jednakże, organ uznał, że ze zgormadzonego materiału dowodowego wynika, że Spółka udostępniła dane Skarżącego w zakresie jego imienia i nazwiska osobom nieuprawnionym, podczas identyfikacji jego uprawnienia do skorzystania z usługi przewozowej. Skarżący nie tylko został poproszony o podanie nazwiska, które zostało przez kierowcę powtórzone na głos, lecz także pracownik Spółki - kierowca - sam, z własnej inicjatywy podjął dialog ze Skarżącym w którym pierwszy ujawnił jego nazwisko. Doszło zatem do przetwarzania danych Skarżącego bez podstawy prawnej, z naruszeniem zasady poufności, w tym ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem. Choć Spółka oświadczyła, że nie odnotowała przypadku objętego skargą i nie potwierdza, aby wskazane przez niego rozmowy prowadzące do udostępnienia jego danych, utrwalone na nagraniach głosowych, miały miejsce w autobusie Spółki, to organ nie dał jej wiary wyjaśnieniom, z uwagi na zgromadzony w sprawie materiał dowodowy, w tym oświadczenie Skarżącego poparte przedłożonymi nagraniami głosowymi, pozostającymi w logicznym ciągu z postawionymi przez niego względem Spółki zarzutami. Organ ustalił, że Spółka przetwarzała dane osobowe Skarżącego, zaś pracownik Spółki - wymagając od Skarżącego podania jego imienia i nazwiska podczas weryfikacji jego uprawnienia do skorzystania z usługi przewozowej - zamiast dokonania wglądu w zakupiony przez Skarżącego bilet, udostępnił je na rzecz osób nieupoważnionych naruszając ich ochronę, powtarzając je na głos wśród osób nieupoważnionych do pozyskania informacji o jego tożsamości. Skarżący, jako pasażer, zobowiązany jest do okazania kierowcy biletu, nie zaś do przedstawienia się. Zebrany materiał dowodowy nie pozwolił przyjąć, iż Skarżący godził się na przetwarzanie przez kierowcę jego danych w kwestionowany przez niego sposób, który doprowadził do udostępnienia ich na rzecz osób trzecich, tj. pozostałych pasażerów autobusu.

W ocenie Prezesa UODO nie sposób przyjąć, że w sprawie doszło do naruszenia ochrony danych osobowych Skarżącego w zakresie udostępnienia osobom nieupoważnionym jego danych, znajdujących się na liście pasażerów. Poza oświadczeniem. Skarżący nie przedstawił żadnych innych dowodów potwierdzających podniesiony zarzut, a przeprowadzone postępowanie nie doprowadziło do ustalenia, że takie naruszenie miało miejsce, zaś Spółka słusznie wskazała, iż operacje przetwarzania danych w postaci weryfikacji przez kierowcę autobusu danych osobowych widniejących na bilecie z listą pasażerów są niezbędne oraz proporcjonalne w stosunku do celów przetwarzania.

Powyższa decyzja stała się przedmiotem skargi Spółki [...] P. C., M. C. Sp. J. z siedzibą w [...] do Wojewódzkiego Sądu Administracyjnego w Warszawie. Spółka wniosła o uchylenie zaskarżonej decyzji w całości i o umorzenie postępowania; ewentualnie w przypadku nie stwierdzenia podstaw do umorzenia postępowania, wniosła o uchylenie zaskarżonej decyzji w części (tj. pkt. 1 Decyzji); nadto wniosła o zasądzenie od Organu na rzecz Spółki zwrotu kosztów postępowania wraz z kosztami zastępstwa procesowego oraz o przeprowadzenie dowodów w postaci:

- wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z 11 maja 2021 r. sygn. akt II SA/Wa 1801/20;

- postanowienia z dnia 28 lipca 2022 r. wraz z uzasadnieniem;

- pisma Spółki z dnia [...] czerwca 2021 r.

Spółka zarzuciła organowi naruszenie przepisów postępowania administracyjnego - ustawy z dnia 14 czerwca 1960 r, - Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 755 ze zm., dalej: "k.p.a."), które miało istotny wpływ na wynik sprawy tj.:

1. art. 61 §1 w zw. z art 61a k.p.a. oraz art 105 k.p.a. poprzez brak odmowy wydania orzeczenia o odmowie wszczęcia postępowania, a w razie jego wszczęcia - umorzenia postępowania jako bezprzedmiotowego, podczas gdy wymienienie przez D. K. jego imienia i nazwiska, a później ich hipotetyczne powtórzenie przez kierowcę pojazdu nie mogłyby być traktowane jako przetworzenie danych osobowych w rozumieniu RODO, wyspecjalizowany Organ - Prezes Urzędu Zamówień Publicznych nie był więc właściwy dla oceny legalności tych zdarzeń, z uwagi że wypowiedzenie imienia i nazwiska przez D. K. nie pozostawało w żadnym związku z procesem mechanicznego przetwarzania danych bądź posługiwanie się danymi mogącymi stanowić wyodrębnioną bazę, jako zespół informacji uporządkowanych wedle pewnych kryteriów w dniu zdarzenia, ponadto regulacje RODO nie dotyczą możliwości poznania imienia i nazwiska określonej osoby.

2. art. art 58 ust. 2 RODO w zw. z art. art. 34 ust 2 oraz art. 60 ustawy o danych osobowych poprzez wydanie przez Organ decyzji udzielającej upomnienia Skarżącemu w zakresie naruszenia art. 6 ust.1 w zw. art. 5 usL1 lit. f) RODO, polegające na udostępnieniu osobom nieuprawnionym danych D. K. w zakresie jego imienia i nazwiska, podczas identyfikacji jego uprawnienia do skorzystania z usługi przewozowej, podczas z uwagi na brak naruszenia przepisów RODO - Prezes UODO nie jest podmiotem właściwym w tym zakresie, zaznaczyć należy iż w kwestii ochrony dóbr osobistych w rozumieniu art. 23 i 24 k.c. właściwe są sady powszechne, nie zaś organy administracji.

3. Naruszenie art. 2 ust. 1 RODO w zw. z art. 4 pkt. 6 w zw. z art. 4 ust. 2 RODO - poprzez przyjęcie iż przez czynność przedstawienia się/ wypowiedzenia imienia i nazwiska doszło do przetwarzania danych osobowych przez skarżącego, podczas gdy: w orzecznictwie podnosi się że wobec wyartykułowanych celów przyjęcia RODO i treści jego regulacji wstępnych - akt ten dotyczy zdarzeń związanych z przetwarzaniem informacji (gromadzenie, transfer itp.) gdzie możliwe jest mechaniczne odnajdywanie informacji o osobach - ich danych osobowych – w szczególności w ramach systemów teleinformatycznych, nie dotyczy ono zaś zdarzeń, pozostających w związku z ujawnieniem (a więc przetworzeniem) danych osobowych, w innych sytuacjach - np. możliwości poznania imienia i nazwiska określonej osoby, wobec głośnego jego wypowiedzenia (przez kierowcę czy pasażera autobusu), nawet gdy znajduje się ono równocześnie w określonym zbiorze informacji (liście pasażerów), choćby prowadzono ją w formie elektronicznej.

4. Naruszenie art. 2 ust. 1 RODO w zw. z art. w zw. z art. 4 pkt. 6 w zw. z art. 4 ust. 2 RODO poprzez przyjęcie iż doszło do udostępnienia danych osobowych podczas gdy, udostępnianiem danych osobowych będziemy mieli do czynienia wyłącznie wtedy, gdy odbiorcą danych jest inny administrator danych, a więc podmiot decydujący o celach i środkach przetwarzania danych osobowych, w sprawie niniejszej, wypowiedzenie przez D. K. własnego imienia i nazwiska wobec innych pasażerów autobusu, które są osobami fizycznymi – nie spowodowało że osoby te stały się administratorem danych osobowych D. K., wymienienie przez Skarżącego imienia i nazwiska, a później ich powtórzenie przez Kierowcę pojazdu nie mogły być traktowane jako przetworzenie danych osobowych w rozumieniu RODO, nie pozostawało to w żadnym związku z procesem mechanicznego przetwarzania danych osobowych bądź posługiwanie się danymi mogącymi stanowić wyodrębnioną bazę jako zespół informacji uporządkowanych wedle pewnych kryteriów w dniu zdarzenia.

Dalej Spółka wskazała, że na skutek powyższych naruszeń, Organ prowadził postępowanie administracyjne, podczas gdy nie był właściwy do jego prowadzenia z uwagi na brak zastosowania RODO w sprawie, konsekwencji postępowanie przez Organem powinno zostać w umorzone. Ponadto podniósł również zarzuty naruszenia przepisów postępowania, które miały istotny wpływ na wynik sprawy, tj.:

1. Naruszenie 7 k.p.a., art. 77 k.p.a. i art. 107 § 3 k.p.a. w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych - poprzez niepodjęcie przez organ wszystkich czynności niezbędnych do ustalenia stanu faktycznego i wyjaśnienia sprawy, w szczególności w zakresie: jakim konkretnym osobom udostępniono dane osobowe, w jaki sposób ustalono że były to osoby nieuprawnione, kto konkretnie usłyszał dane osobowe D. K. w postaci imienia i nazwiska oraz czy D. K. mógł odmówić wypowiedzenia swojego imienia i nazwiska - co w konsekwencji doprowadziło do błędnego ustalenia, że doszło do udostępnienia przez Spółkę osobom nieuprawnionym danych osobowych w postaci imienia i nazwiska D. K. oraz że Skarżący przetwarza dane osobowe w sposób niezapewniający im odpowiedniego bezpieczeństwa, w tym ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem.

2. Naruszenie 7 k.p.a., art. 77 k.p.a. w zw. z art. 80 k.p.a. w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych poprzez błędne przyjęcie iż Spółka udostępniła dane osobowe osobom nieupoważnionym, podczas gdy to D. K. – wypowiedział swoje imię i nazwisko na głos, tym samym do "wypowiedzenia i udostępnienia na głos imienia i nazwiska D. K. doszło bezpośrednio przez D. K., nie zaś przez Spółkę

3. Naruszenie 7 k.p.a., art. 77 k.p.a. i art. 107 § 3 k.p.a. w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych - poprzez niepodjęcie przez organ wszystkich czynności niezbędnych do ustalenia stanu faktycznego i wyjaśnienia sprawy, w szczególności braku ustalenia jakie ryzyko naruszenia praw i wolności D. K. - wiąże się z wypowiedzeniem na głos imienia i nazwiska D. K.

4. Naruszenie 7 k.p.a., art. 77 k.p.a. w zw. z art. 80 k.p.a. poprzez ustalenie stanu faktycznego w oparciu o dołączone przez D. K. "nagrania dźwiękowe" podczas gdy nagrania te nie są autentyczne, nie wiadomo w jakim miejscu i w jakiej dacie zostały one nagrane oraz czy w nagraniu brał udział kierowca będący pracownikiem spółki, tym bardziej iż Spółka oraz jej pracownicy - przeczą aby brali udział w rozmowach opisanych w pkt. 5 na stronie nr 4 Decyzji. tym bardziej iż D. K. nigdy nie poinformował spółki o nagrywaniu jakichkolwiek rozmów z kierowcą. Organ oparł się wyłącznie na twierdzeniach D. K., co więcej Spółce nie udostępniono plików zawierających zarejestrowane nagrania

5. Art. 10 § 1 k.p.a. w zw. z art 73 § 1 k.p.a. w zw. z art 73 § 3 k.p.a. poprzez brak zapewnienia stronie czynnego udziału w każdym stadium postępowania, w tym brak udostępnienia zapisów rejestrujących rozmowy, stanowiące nagrania załączone do skargi D. K., pomimo złożenia wniosku Spółki w tym zakresie.

Dalej Spółka wskazała, że w konsekwencji powyższych naruszeń, Prezes UODO wydał decyzję udzielającą upomnienia Spółce za naruszenie z art. 6 ust. 1 w zw. z art. 5 ust.1 lit f w zw. RODO, polegające na udostępnieniu osobom nieuprawnionym danych D. K., w zakresie imienia i nazwiska, podczas identyfikacji jego uprawnienia do skorzystania z usługi przewozowej. Spółka podniosła również zarzuty naruszenia przepisów prawa materialnego, które miało wpływ na wynik sprawy:

6. Naruszenie art 5 ust. 1 lit f w zw. z art 6 ust. 1 lit b RODO poprzez przyjęcie że Spółka naruszyła ww. przepisy i przetwarza dane osobowe w sposób niezapewniający odpowiedniego bezpieczeństwa danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem podczas gdy Spółka przetwarza dane osobowe Pasażerów, zapewniając odpowiednie bezpieczeństwo tych danych, dane osobowe Pasażerów nie są wyczytywane na głos publicznie wobec wszystkich Pasażerów oraz nie są udostępniane w sposób do których osoba nieuprawniona miałaby do nich dostęp.

7. Naruszenie art 5 ust 1 lit. f RODO w z art 32 ust 2 RODO w zw. z art. 4 pkt 12) RODO poprzez przyjęcie iż Spółka przetwarza dane osobowe w sposób niezapewniający odpowiedniego bezpieczeństwa danych osobowych oraz iż doszło do naruszenia ochrony danych osobowych D. K., podczas gdy D. K. wchodząc do Autobusu dobrowolnie podał swoje imię i nazwisko kierowcy podczas identyfikacji.

8. art. 6 ust. 1 lit b) RODO w zw. z art. 16 ustawy z dnia 15 listopada 1984 r. Prawo przewozowe - poprzez błędne przyjęcie, że wypowiedzenie na głos imienia i nazwiska było przejawem naruszenia bezpieczeństwa i ochrony danych osobowych, podczas gdy D. K. był jednym z pasażerów Spółki, który nabył bilet na przejazd za pośrednictwem strony internetowej - zatem jego przedstawienie się podczas wchodzenia do autobusu przed rozpoczęciem przewozu, było związane wyłącznie z realizacją umowy przewozu, tj. w celu identyfikacji iż taka osoba widnieje na liście pasażerów i faktycznie kupiła bilet.

9. art 6 ust 1 lit. a) RODO poprzez jego niezastosowanie i przyjęcie że Spółka w sposób nieuprawniony udostępniła dane osobowe D. K., podczas gdy D. K. nie odmówił podania swoich danych osobowych, a dobrowolnie podał swoje imię i nazwisko kierowcy, uznać zatem należy iż D. K. podając swoje imię i nazwisko – dobrowolnie wyraził zgodę na wypowiedzenie swojego imienia i nazwiska oraz zgodę aby ewentualnie osoby, znajdujące się w pobliżu mogły usłyszeć te dane.

Dalej Spółka wskazała, że konsekwencji powyższych naruszeń, Prezes UODO wydał Decyzję udzielającą upomnienia Skarżącemu za naruszenie art. 6 ust. 1 w zw. z arb 5 ust 1 lit f RODO, polegające na udostępnieniu osobom nieuprawnionym danych D. K., w zakresie imienia i nazwiska, podczas identyfikacji jego uprawnienia do skorzystania z usługi przewozowej.

W obszernym uzasadnieniu skargi Spółka rozwinęła przedstawione wyżej zrzuty przytaczając szereg poglądów doktryny i orzecznictwa.

W odpowiedzi na skargę Prezes UODO wniósł o jej oddalenie omawiając niezasadność podniesionych zarzutów.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Skarga zasługuje na uwzględnienie, chociaż należy mieć na względzie, iż w związku z art. 134 § 1 ustawy - Prawo o postępowaniu przed sądami administracyjnymi - Sąd nie jest związany zarzutami i wnioskami skargi.

Za trafne Sąd uznał zarzuty Spółki negujące stanowisko organu, jakoby w rozpoznawanym przypadku doszło do bezprawnego ujawnienia danych osobowych w rozumieniu RODO. Rozpoznając niniejszą sprawę Sąd miał na uwadze jej następujące uwarunkowania formalnoprawne.

W myśl art. 1 ust. 1 ustawy o danych, jej przepisy stosuje się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w zakresie określonym w art. 2 i 3 RODO, zaś - wobec art. 1 ust. 2 pkt 4 i 5 tej ustawy - określa ona m.in.: organ właściwy w sprawie ochrony danych osobowych i same reguły postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych. Uzasadnia to wniosek, że ramy materialnoprawne, co do właściwości przedmiotowej wyspecjalizowanego organu - jest nim wedle art. 60 ustawy o danych Prezes Urzędu Ochrony Danych Osobowych - zakreślają wyczerpująco postanowienia RODO.

Już z treści preambuły do tego aktu wynika, że generalnie celem jego ustanowienia, jest przyczynienie się do "tworzenia przestrzeni wolności, bezpieczeństwa i sprawiedliwości oraz unii gospodarczej, do postępu społeczno-gospodarczego, do wzmacniania i konwergencji gospodarek na rynku wewnętrznym, a także do pomyślności ludzi." (tak motyw 2 zd. 2). Z kolei, w motywie 3 preambuły - posłużono się tam jeszcze nomenklaturą, zaczerpniętą z dyrektywy zastępowanej przez RODO – wskazano, że celem regulacji jest "zharmonizowanie ochrony podstawowych praw i wolności osób fizycznych w związku z czynnościami przetwarzania oraz zapewnienie swobodnego przepływu danych osobowych między państwami członkowskimi". W motywie 6 przywołano natomiast wprost następujące przesłanki przyjęcia regulacji: "Szybki postęp techniczny i globalizacja przyniosły nowe wyzwania w dziedzinie ochrony danych osobowych. Skala zbierania i wymiany danych osobowych znacząco wzrosła. Dzięki technologii zarówno przedsiębiorstwa prywatne, jak i organy publiczne mogą na niespotykaną dotąd skalę wykorzystywać dane osobowe w swojej działalności. Osoby fizyczne coraz częściej udostępniają informacje osobowe publicznie i globalnie. Technologia zmieniła gospodarkę i życie społeczne i powinna nadal ułatwiać swobodny przepływ danych osobowych w Unii oraz ich przekazywanie do państw trzecich i organizacji międzynarodowych, równocześnie zaś powinna zapewniać wysoki stopień ochrony danych osobowych.".

Same sformułowane przez prawodawcę cele ustanowienia danej regulacji uzasadniają wprawdzie konkluzję, że generalnie RODO ma się przyczynić do lepszej ochrony danych osobowych obywateli państw członkowskich Unii Europejskiej. Rozporządzenie to nie stanowi jednakże aktu, służącemu pełnemu, ramowemu uregulowaniu ochrony praw w danym zakresie. Dotyczy jedynie komponentu danych, które podlegają automatycznemu przetworzeniu bądź mogą podlegać takiemu przetworzeniu, jako baza informacji o osobach.

Konkluzję taką potwierdza wprost treść normatywna przepisów wstępnych RODO. W myśl art. 2 ust. 1, akt ten znajduje zastosowanie wyłącznie "do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych". Z kolei - wobec art. 4 pkt 6 RODO - zbiór danych to "uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie".

Oznacza to, że przepisy RODO nie znajdują zastosowania do wszelkich przypadków przetwarzania danych osobowych (formą przetwarzania jest ich upublicznienie – tak art. 4 pkt 3 RODO), lecz tylko gdy chodzi o te, objęte zakresem danej regulacji. Dotyczy to danych przetwarzanych w sposób całkowicie lub częściowo zautomatyzowany, zaś pozostałych tylko, gdy stanowią zbiór lub mogą stanowić część zbioru danych. Z kolei potencjalny zbiór danych to jedynie ich zestaw dostępny według określonych kryteriów. Oceny takiej nie zmienia to, że przetwarzanie (w tym ujawnienie) może - w myśl art. 4 pkt 3 RODO - nastąpić automatycznie lub także w inny sposób. Brzmienie danej definicji nie prowadzi do poszerzenia zakresu danych podlegających regułom RODO wedle treści art. 2 ust. 1. Mianowicie - gdy chodzi o dane przetwarzane w sposób inny niż zautomatyzowany – dotyczy ono tylko tych, które stanowią część zbioru danych lub mogą stanowić część zbioru danych, w rozumieniu art. 4 pkt 6 RODO.

Odmienne rozumienie przepisów RODO prowadziłoby do trudnych do przypisanie racjonalnemu prawodawcy wniosków - jakoby danym rozporządzeniem uregulowano w sposób szczególny wszelkie zasady ochrony danych osobowych, w zakresie, gdzie może to prowadzić m.in. do naruszenia dóbr osobistych. Wobec przyznania w RODO kompetencji rozstrzygania spraw na tym gruncie wyspecjalizowanym organom administracji państw członkowskich (tak art. 58 ust. 2 RODO i odpowiednio art. 34 ust. 2 oraz art. 60 ustawy o danych), oznaczałoby to ukształtowanie alternatywnej drogi ochrony praw przez wszystkie osoby, których dobra osobiste naruszono - ujawniając jakkolwiek równocześnie ich dane osobowe w dowolny sposób.

Wobec przywołanych uwarunkowań uzasadniony jest wniosek, że - wobec wyartykułowanych celów przyjęcia RODO i treści jego regulacji wstępnych - akt ten dotyczy zdarzeń związanych z przetwarzaniem informacji (gromadzenie, transfer itp.) gdzie możliwe jest mechaniczne odnajdywanie informacji o osobach - ich danych osobowych – w szczególności w ramach systemów teleinformatycznych. Nie dotyczy ono zaś zdarzeń, pozostających w związku z ujawnieniem (a więc przetworzeniem) danych osobowych, w innych sytuacjach - np. możliwości poznania imienia i nazwiska określonej osoby, wobec głośnego jego wypowiedzenia (przez kierowcę czy pasażera autobusu), nawet gdy znajduje się ono równocześnie w określonym zbiorze informacji (liście pasażerów), choćby prowadzono ją w formie elektronicznej. Inna ocena dotyczyć mogłaby wprawdzie przypadku, gdy określone informacje upowszechniane byłyby w takiej postaci, że technicznie możliwe byłoby ich niekontrolowane gromadzenie przez osoby nieuprawnione - bez wiedzy zainteresowanych. Sytuacja taka - co bezsporne - nie miała jednak miejsca w rozpatrywanej sprawie.

Przy przyjęciu odmiennego rozumienia regulacji RODO, także np. delikty w postaci bezpodstawnego publicznego przedstawienia osoby z imienia i nazwiska, stanowiłoby przypadek podlegający rozpoznawaniu przez wyspecjalizowane organy administracji - w ramach procedur, przewidzianych danym rozporządzeniem. Nie sposób racjonalnemu prawodawcy przypisać intencji przeniesienia tego typu spraw do rozstrzygania na drodze administracyjnej. Prowadzi to do konkluzji, że generalnie w RODO uregulowano tylko zagadnienia pozostające w bezpośrednim związku z pozyskiwaniem informacji z konkretnych zbiorów danych bądź tworzeniem zbiorów, umożliwiających uzyskanie określonych informacji o osobach. Nie jest zaś kwestią kluczową (przesądzającą), czy sprawa dotyczy danych osobowych. RODO ingeruje bowiem w tą problematykę wyłącznie w kontekście określonych form przetwarzanie danych osobowych. Mylna byłaby więc konstatacja, jakoby wystarczającym dla ustalenia właściwości wyspecjalizowanego organu było ustalenie, że sprawa dotyczyła wykorzystania danych osobowych Wnioskodawcy, co organ utożsamił z ich przetworzeniem, w rozumieniu RODO.

W rozpoznawanej sprawie są poza sporem jej istotne okoliczności faktyczne, w tym zakresie, że w skardze do wyspecjalizowanego organu przywołano zdarzenie, które nie dotyczyły publicznego ujawnienia określonego zbioru danych osobowych (za taki można by uznać listę pasażerów dla określonego kursu), lecz wykorzystania imienia i nazwiska konkretnego pasażera dla identyfikacji osoby, uprawnionej do przejazdu (nabywcy biletu). Sporne jest natomiast, czy było to dla danego celu niezbędne lub wymagane. Organ zresztą nie wyjaśnił w pełni tej kwestii. Nie zajął jednoznacznego stanowiska, czy posługiwanie się w danym przypadku - przy identyfikacji pasażerów, nabywających bilet drogą elektroniczną - imieniem i nazwiskiem jest praktyka konieczną, w kontekście twierdzenia Skarżącego, jakoby identyfikacja możliwa była przy pomocy kodu, umieszczonego na bilecie. Nie jest to jednak istotne w granicach sprawy, pozostającej w kompetencjach danego, wyspecjalizowanego organu administracji. Jak bowiem wskazano wcześniej, wymienienie przez Skarżącego jego imienia i nazwiska, a później ich powtórzenie przez kierowcę pojazdu nie mogły być traktowane jako przetworzenie danych osobowych w rozumieniu RODO. Wyspecjalizowany organ nie był więc właściwy da oceny legalności tych zdarzeń.

Uzasadniona jest bowiem stwierdzenie, że nie pozostawało to w żadnym związku z procesem mechanicznego przetwarzania danych bądź posługiwanie się danymi mogącymi, stanowić wyodrębnioną bazę, jako zespół informacji, uporządkowanych wedle pewnych kryteriów w dniu zdarzenia.

Wypada odnotować, że w skardze adresowanej do organu, zarzucano też domniemaną publiczną dostępność listy pasażerów, którą posługuje się kierowca pojazdu, weryfikując uprawnienie do przyjazdu. Wedle oceny organu nie ma to jednak w istocie miejsca. Nie ujawniono więc w sprawie żadnych zdarzeń, związanych z przetwarzaniem danych osobowych w rozumieniu RODO. Wykluczało to, aby działania Spółki (jej pracowników), pozostające w związku ze zdarzeniem opisanym w skardze Wnioskodawcy, były przedmiotem oceny przez dany wyspecjalizowany organ administracji.

Jeżeli, wedle twierdzeń Skarżącego – wobec nieuprawnionej praktyki Spółki, posługiwanie się przez realizujących na jej rzecz przewozy kierowców danymi osobowymi pasażerów w celu ich identyfikacji - doszło do naruszenia jego praw osobistych, np. prawa do prywatności, poszkodowanemu przysługują stosowne roszczenia względem sprawcy naruszeń. Właściwymi do rozstrzygania spraw w danym zakresie są sądy powszechne. To właśnie te kwestie są zaś w istocie osią sporu między stronami. Wyspecjalizowany organ administracji nie ma natomiast kompetencji do rozstrzygania danej sprawy. Przetwarzanie danych w tym przypadku (ich ewentualne ujawnienie) nie jest objęte regułami RODO, determinującym ramy kompetencji do rozstrzygania spraw w trybie administracyjnym. Właściwości organu administracji nie można przy tym wykładać rozszerzająco, wobec treści art. 2 § 3 ustawy z dnia 17 listopada 1964 r. - Kodeks postępowania cywilnego (Dz.U. z 2020, poz. 1575 ze zm.). Wynika zeń, że właściwość organu administracji musi być wskazana wprost. W kwestii ochrony dóbr osobistych - w rozumieniu art. 23 i 24 ustawy – Kodeks cywilny - do których zaliczają się dane osobowe, właściwe są zaś sądy powszechne, co odnotowano zresztą w uzasadnieniu zaskarżonej decyzji.

Nie do zaakceptowania w państwie prawnym byłaby natomiast koncepcja, jakoby określoną kwestię - legalność posłużenia się imieniem i nazwiskiem Skarżącego w celu weryfikacji uprawnienia do przejazdu (a więc jego danymi osobowymi) - można byłoby oceniać równolegle w dwóch trybach - w postępowaniach prowadzonych przez wyspecjalizowany organ administracji i sąd powszechny. Umożliwiałoby to sformułowanie w ostatecznych orzeczeniach – znajdujących się równocześnie w obiegu prawnym - odmiennych ocen, w kontekście legalności działania Spółki. Wobec tego, hipotetyczna koncepcja przyznanie wyspecjalizowanemu organowi administracji prawa oceny w rozpatrywanym przypadku, czy wykorzystanie danych osobowych było legalne, musiałoby wyłączyć w danym zakresie kompetencję sądu powszechnego. Rozszerzająca wykładnia przepisów RODO, zakreślających w istocie kompetencje wyspecjalizowanego organu, nie jest wobec tego dopuszczalna. Zasadna jest zaś wykładnia wąska. W sprawach cywilnych istnieje bowiem przywołana wcześniej reguła domniemania właściwości sądów powszechnych, zaś ochrona praw osobistych stanowi generalnie domenę prawa cywilnego.

W tej sytuacji - wobec bezsporności faktów, istotnych w kontekście oceny, czy organ administracji jest kompetentny do zastosowania środków, przewidzianych w RODO, w świetle reguł ustawy o danych – nie było podstaw do orzekania w sprawie, co do meritum. Nie mógł więc także organ wykonać kompetencji, określonych art. 58 ust. 2 lit. b (patrz: zarzuty Spółki). Orzekając w sprawie naruszono więc dany przepis prawa materialnego, zakreślający kompetencje organu, poprzez bezpodstawne zastosowanie, wobec art. 2 ust. 1, w zw. z art. 4 pkt 6 ustawy o danych.

Wobec wskazanych uwarunkowań, pozostaje poza granicami sprawy (a więc także oceną Sądu), podnoszona w skardze kwestia, czy ujawnienie danych osobowych Wnioskodawcy było w danym przypadku działaniem dobrowolnym, czy też wynikało z przyjętej w danym zakresie praktyki Spółki (jej pracowników – kierowców) - wymogu potwierdzenie uprawnienia do przejazdu w taki sposób, bez możliwości alternatywnego przedstawienia potwierdzenia zakupu biletu, opatrzonego możliwym do weryfikacji kodem.

Powyższe konstatacje prowadza do wniosku, że w sprawie występowały przesłanki wydanie orzeczenia o odmowie wszczęcia postępowania, a w razie jego wszczęcia – wobec określonych wątpliwości, czy sprawa pozostaje w kompetencjach wyspecjalizowanego organu (np. w kwestii ogólnej dostępności przewożonych przez kierowców list pasażerów) - umorzenia postępowania, jako bezprzedmiotowego. Przy uwzględnieniu treści skierowanej do organu skargi, jego rolą było zbadanie wpierw, czy jest właściwy w sprawie - chodzi o przetwarzanie danych osobowych wnoszącego skargę podmiotu, w zakresie podlegającym - w myśl RODO - nadzorowi danego, wyspecjalizowanego organu administracji. Niewłaściwość organu (bądź oczywisty brak interesu prawnego danego Wnioskodawcy), stanowi przesłankę odmowy wszczęcia postępowania. O ile treść skargi wskazywałaby bezpośrednio właściwość sądu powszechnego, podanie winno by być zwrócone w formie postanowienia (art. 66 § 3 K.p.a.). W danej sprawie jednak – w kwestii skargi na przetwarzanie danych osobowych - właściwości takiej nie było. Nie jest z kolei zadaniem organu instruowanie stron, co do środków prawnych, jakie mogą wykorzystać dla ochrony swoich praw przed sądami powszechnymi.

Reasumując, w rozpatrywanej sprawie nie wystąpiły przesłanki prowadzenia postępowania przed danym organem i winno być ono umorzone, co Sąd uwzględnił w orzeczeniu.

Z przytoczonych wyżej przyczyn - na podstawie art. 145 § 1 pkt 1 lit. a oraz §. 3 ustawy - Prawo o postępowaniu przed sądami administracyjnymi - orzeczono jak w pkt 1 i 2 sentencji. O zwrocie kosztów postępowania Sąd orzekł jak w pkt 3 sentencji. Do zasądzonych na rzecz Spółki kosztów zaliczono wynagrodzenie jej pełnomocnika w kwocie 480 zł, oraz wpis sądowy od skargi w kwocie 200 zł, a także 17 zł tytułem uiszczonej opłaty skarbowej od pełnomocnictwa.