Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Góraj, Sędzia WSA Agnieszka Góra-Błaszczykowska, Sędzia WSA Łukasz Krzycki (spr.), po rozpoznaniu w trybie uproszczonym w dniu 11 maja 2021 r. sprawy ze skargi N. Sp. z o.o. Sp. k. z siedzibą w N. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lipca 2020 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję w całości, 2. umarza postępowanie przed Prezesem Urzędu Ochrony Danych Osobowych, 3. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz N. Sp. z o.o. Sp. k. z siedzibą w N.. kwotę 697 zł (sześćset dziewięćdziesiąt siedem złotych), tytułem zwrotu kosztów postępowania.

Zaskarżonym aktem, wobec skargi p. D.K., zwanego dalej "Wnioskodawcą", na nieprawidłowości w przetwarzaniu jego danych osobowych przez N. Sp. z o.o., zwaną dalej "Spółką" – przywołując art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2020 r. poz. 256 ze zm.), zwanej dalej "K.p.a." oraz art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej, L 119 z 4 maja 2016), zwanego dalej "RODO" - udzielono Spółce upomnienia za nieprawidłowości w procesie przetwarzania danych osobowych, polegające na naruszeniu art. 5 ust. 1 lit. f i art. 6 ust 1 lit. b RODO, poprzez udostępnienie nieuprawnionym osobom danych Wnioskodawcy, w zakresie imienia i nazwiska, podczas identyfikacji jego uprawnienia do skorzystania z usługi przewozowej (pkt 1 orzeczenia). W pozostałym zakresie odmówiono uwzględnienia wniosku ze skargi (pkt 2 orzeczenia).

W uzasadnieniu rozstrzygnięcia przywołano następujące okoliczności faktyczne i prawne uwarunkowania sprawy:

- skarga Wnioskodawcy dotyczyła udostępnienia jego danych osobowych osobom trzecim w zakresie imienia i nazwiska; jego zdaniem Spółka dokonywała szeregu naruszeń przepisów o ochronie danych osobowych w związku z umożliwieniem nieuprawnionego dostępu osobom nieupoważnionym do danych wrażliwych, w zakresie imienia oraz nazwiska; podczas wsiadania do autobusu, którym realizowano usługę przewozu z ramienia Spółki, kierowca wymagał od Wnioskodawcy głośnego przedstawienia się, poprzez podanie imienia i nazwiska, pomimo okazania elektronicznego biletu - uprawniającego do przejazdu; kierowca - weryfikując dane Wnioskodawcy - głośno je powtórzył; pozostali pasażerowie uzyskali przez to nieuprawniony do nich dostęp; Wnioskodawca wielokrotnie zwracał uwagę pracownikowi Spółki na nieprawidłowość stosowanej praktyki; dotyczy ona nie tylko jego, ale i wszystkich pasażerów; jego uwagi jednak zignorowano; Spółka udostępnia jego dane wrażliwe - imię i nazwisko - osobom trzecim, również poprzez listę pasażerów; dostępna jest ona do wglądu wsiadającym osobom; Spółka ma też na stronie internetowej (wskazano adres) regulamin i zasady ochrony danych osobowych, oparte na nieaktualnej podstawie prawnej; w skardze zażądano nakazania decyzją Spółce dostosowania operacji przetwarzania danych osobowych do przepisów RODO, zaprzestania przetwarzania danych osobowych z naruszeniem przepisów, zastosowania proporcjonalnej kary porządkowej oraz zapłaty przez Spółkę na rzecz Wnioskodawcy zadośćuczynienia w kwocie 300 złotych za każde naruszenie wobec jego osoby - kwoty 4800,00 zł,

- w toku postępowania administracyjnego ustalono następujący stan faktyczny:

- Spółka pozyskała dane osobowe Wnioskodawcy w zakresie imienia, nazwiska, adresu zamieszkania, adresu e-mail, loginu, numeru telefonu oraz numeru konta bankowego, na podstawie dobrowolnego ich udostępnienia w związku z zakupem biletu autobusowego za pośrednictwem strony internetowej (tak: wyjaśnienia Spółki z 16 maja 2019 r.);

- Spółka przetwarza dane osobowe Wnioskodawcy na podstawie art. 6 ust. 1 lit. b RODO w celu zawarcia bądź realizacji umowy przewozu osób lub rzeczy - dla jej wykonania przetwarzanie danych jest niezbędne - oraz na podstawie art. 6 lit. f RODO, w celu rozpoznania zgłoszonej przez Wnioskodawcę reklamacji usługi przewozowej (tak: wyjaśnienia Spółki z 16 maja 2019 r.); pasażer, który zakupił bilet za pośrednictwem systemu internetowego Spółki, okazuje go kierowcy, który weryfikuje dane widniejące na bilecie z umieszczonymi na liście podróżnych, w tym datę i godzinę kursu jak również miejsce podróży; cele tego jest potwierdzenia prawa do przejazdu oraz uniknięcie pomylenia przez pasażera autobusu, daty, godziny lub trasy konkretnego kursu (tak: wyjaśnienia Spółki z 16 maja 2019 r.);

- lista podróżnych - zawierająca imię i nazwisko - jest dostępna wyłącznie do wglądu kierowcy; ma on stosowne upoważnienie i przechowuje ją w materiałowej, zamykanej teczce, niedostępnej dla osób trzecich; przewozi tam wszystkie dokumenty, dotyczące danego kursu; po kursie, listy są przekazywane upoważnionym pracownikom administracyjnym Spółki (tak: wyjaśnienia Spółki z 16 maja 2019 r.);

- Kierowcy nie mają dostępu do innych danych, poza tymi zawartymi na powierzonej im liście pasażerów - imieniem oraz nazwiskiem, w szczególności do danych o szczególnym - wrażliwym - charakterze (tak: wyjaśnienia Spółki z 16 maja 2019 r.),

- kierowca nie żąda podania głośno nazwiska pasażera ani żadnych innych jego danych; nie czyta również głośno listy pasażerów ani ich nie wywołuje; podróżny zobowiązany jest bowiem do okazania biletu kierowcy; nie ma on technicznych możliwości uniemożliwienia pasażerowi przedstawienia się wraz z okazaniem biletu bądź przed jego znalezieniem - np.: w torebce, kieszeni lub na telefonie; w przypadku biletów elektronicznych zdarza się zatem, że pasażerowie mówią - z własnej inicjatywy - swoje imię i nazwisko wraz z okazaniem biletu lub zamiast tego (tak: wyjaśnienia Spółki z 16 maja 2019 r.);

- kierowca - w trakcie wsiadania do autobusu - poprosił Wnioskodawcę o wskazanie nazwiska i ten dobrowolnie je podał (tak: nagrania dźwiękowe, stanowiące załącznik do skargi z 28 grudnia 2018 r.);

- podstawą prawną przyjętej przez Spółkę regulacji usługi przewozowej jest art. 16 ustawy z dnia 15 listopada 1984 r. - Prawo przewozowe (Dz.U. z 2020 r., poz. 8) oraz wewnętrzny Regulamin Przewozów (tak: wyjaśnienia Spółki z 16 maja 2019 r.);

- Wnioskodawca nie zwracał się do Spółki z żądaniem zaprzestania przetwarzania jego danych osobowych (tak: wyjaśnienia Spółki z 16 maja 2019 r.);

- kwestionowaną przez Wnioskodawcę klauzulę informacyjna - zamieszczoną na stronie internetowej Spółki – uaktualniono; nieaktualna treść Regulaminu przewozu usług znalazła się na tej stronie wobec oczywistej omyłki, po ostatniej aktualizacji (tak: wyjaśnienia Spółki z 16 maja 2019 r.);

- Spółka przeanalizowała ryzyko oraz skutki przetwarzania danych i dostosowała procedury ochrony danych osobowych do wymagań RODO (tak: wyjaśnienia Spółki z 16 maja 2019 r.),

- wedle uzasadnienia wyroku Naczelnego Sądu Administracyjnego z 7 maja 2008 r. (sygn. akt I OSK 761/07 – dostępny na stronie internetowej orzeczenia.nsa.gov.pl/cbo/query - w Centralnej Bazie Orzeczeń Sądów Administracyjnych): "badając (...) legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem",

- podstawą prawną przetwarzania przez Spółkę danych osobowych Wnioskodawcy był art. 6 ust. 1 lit. b RODO, w związku z zawarciem umowy o zakup biletu, uprawniającego do skorzystania z usługi transportowej oraz art. 6 ust. 1 lit. f tego aktu - w celu rozpoznania przez Spółkę zgłoszonej przez Wnioskodawcę reklamacji usługi przewozowej; przepisem szczegółowym - regulującym zasady zawierania umowy przewozu i zakresu danych, jaki jest niezbędny do jej zawarcia - jest art. 16 ustawy - Prawo przewozowe; stanowi on, że umowę przewozu zawiera się przez nabycie biletu na przejazd, przed rozpoczęciem podróży, lub spełnienie innych, określonych przez przewoźnika lub organizatora publicznego transportu zbiorowego warunków dostępu do środka transportowego, a - w razie ich nieustalenia - przez samo zajęcie miejsca w środku transportowym (art. 16 ust. 1 ustawy – Prawo przewozowe); na bilecie umieszcza się nazwę przewoźnika lub organizatora publicznego transportu zbiorowego, relację lub strefę przejazdu, wysokość należności za przejazd, zakres uprawnień pasażera do ulgowego przejazdu (art. 16 ust. 2 ustawy – Prawo przewozowe); mogą być tam umieszczane inne informacje - w tym dane osobowe pasażera - jeżeli jest to niezbędne dla przewoźnika lub organizatora w regularnym przewozie osób (art. 16 ust. 3 ustawy – Prawo przewozowe); dane i informacje zapisuje się w pamięci elektronicznej biletu, jeżeli ma on formę elektroniczną (art. 16 ust. 4 ustawy – Prawo przewozowe),

- art. 5 ust. 1 lit. f RODO stanowi, że dane osobowe należy przetwarzać zapewniając ich odpowiednie bezpieczeństwo - w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność"),

- zgromadzony w sprawie materiał dowodowy potwierdził zarzut Wnioskodawcy odnośnie udostępnienia przez Spółkę jego imienia i nazwiska osobom nieuprawnionym, podczas identyfikacji jego uprawnienia do skorzystania z usługi przewozowej; z nagrania rozmowy Wnioskodawcy z kierowcą wynika, że – wchodzącego do autobusu Wnioskodawcę - poproszono o podanie nazwiska; kierowca powtórzył je na głos; doszło zatem do przetwarzania danych Wnioskodawcy, w sposób niezapewniający im odpowiedniego bezpieczeństwa - w tym ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem,

- Spółka wykazała, że - co do zasady - kierowcy autobusów nie stosują opisanej przez Wnioskodawcę praktyki - nie weryfikują na głos danych osobowych w zakresie imienia i nazwiska pasażerów z listą pasażerów; Wnioskodawcę poproszono jednak o wskazanie nazwiska,

- zebrany materiał dowodowy nie pozwolił przyjąć, że doszło do naruszenia ochrony danych osobowych Wnioskodawcy w zakresie udostępnienia osobom nieupoważnionym jego danych, znajdujących się na liście pasażerów; poza oświadczeniem nie przedstawił on żadnych innych dowodów, potwierdzających podniesiony zarzut; Spółka wskazała, że operacje przetwarzania danych - w postaci weryfikacji przez kierowcę autobusu danych osobowych, widniejących na bilecie z listą pasażerów - są niezbędne oraz proporcjonalne w stosunku do celów przetwarzania; dostęp do przedmiotowej listy mają wyłącznie upoważnieni pracownicy Spółki - kierowcy autobusu, którzy w trakcie realizacji usługi przewozowej przechowują ją w materiałowej, zamykanej teczce, niedostępnej dla osób trzecich; kierowcy nie mają dostępu do innych danych osobowych podróżnego - w tym szczególnych kategorii; kierowcy - po powrocie z kursu - przekazują listę upoważnionym pracownikom administracyjnym,

- wobec zarzutu odnośnie udostępnienia przez Spółkę osobom trzecim danych osobowych Wnioskodawcy, w zakresie imienia i nazwiska, jako danych wrażliwych wskazano:, zgodnie z motywem 10 RODO, danymi wrażliwymi są szczególne kategorie danych osobowych, wymienione enumeratywnie w art. 9 tego aktu - ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne, dane dotyczące zdrowia oraz dane dotyczące seksualności lub orientacji seksualnej; dane w postaci imienia i nazwiska nie znajdują się w tym katalogu,

- żądanie Wnioskodawcy - zastosowania kompetencji naprawczej – nakazania, na podstawie art. 58 ust. 2 lit. e RODO, administratorowi zawiadomienia o naruszeniu ochrony danych, na podstawie art. 34 ust. 1 danego aktu – nie jest zasadne; brak wymagalności dokonania zgłoszenia naruszenia ujęto enumeratywnie w art. 34 ust. 3 RODO; występuje, gdy: administrator wdrożył odpowiednie środki techniczne i organizacyjne oraz zostały one zastosowane do danych osobowych, których dotyczy naruszenie, administrator zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw i wolności osoby, której dane dotyczą lub zgłoszenie wymagałoby niewspółmiernie dużego wysiłku; kwestia ta może być więc objęta jedynie postępowaniem z urzędu - wobec administratora danych, czyli Spółki; nie dotyczy to zaś postępowania na wniosek zainteresowanych,

- również bezzasadne jest żądanie Wnioskodawcy zastosowania kompetencji naprawczej – nałożenia na Spółkę, na podstawie art. 58 ust. 2 lit. i RODO, administracyjnej kary pieniężnej; czynności zmierzające do ukarania podmiotu, który dopuścił się naruszenia, są podejmuje bowiem organ z urzędu - nie następują to na wniosek strony skarżącej,

- wobec żądania przez Wnioskodawcy wydania decyzji o nakazie wypłaty przez Spółkę na jego rzecz zadośćuczynienia finansowego wskazano: nie przewidziano dla organu w RODO kompetencji w tym zakresie; każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO, ma natomiast prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę - zgodnie z art. 82 ust. 1 przedmiotowego aktu prawnego; w zakresie nieuregulowanym w RODO do roszczeń tych stosuje się - zgodnie z art. 92 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwanej dalej "ustawą o danych" - przepisy ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny (Dz.U. z 2019 r. poz. 1145); w sprawach o te roszczenia właściwy jest sąd okręgowy,

- wobec tego - działając na podstawie art. 58 ust. 2 lit. b ROD, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów rozporządzenia przez operację przetwarzania - uznano zasadnym udzielenie Spółce upomnienia w zakresie stwierdzonego naruszenia.

W skardze Spółka, reprezentowana przez pełnomocnika – radcę prawnego, zarzuciła naruszenie przepisów:

- postępowania:

- art. 7, 77 i 107 § 3 K.p.a., w zw. z art. 7 ust. 1 ustawy o danych, poprzez niepodjęcie wszystkich czynności, niezbędnych do ustalenia stanu faktycznego i wyjaśnienia sprawy - w szczególności w zakresie stwierdzenia:

jakim, konkretnym osobom udostępniono dane osobowe,

dlaczego przyjęto, że były to osoby nieuprawnione,

kto konkretnie usłyszał dane osobowe Wnioskodawcy w postaci imienia i nazwiska oraz

czy Wnioskodawca mógł odmówić wypowiedzenia swojego imienia i nazwiska;

doprowadziło to do błędnego ustalenia, jakoby doszło do udostępnienia przez Spółkę osobom nieuprawnionych danych osobowych w postaci imienia i nazwiska Wnioskodawcy oraz jakoby Spółka przetwarzała dane osobowe nie zapewniając im odpowiedniego bezpieczeństwa - w tym ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem,

- art. 7 i 77 wobec art. 80 K.p.a., w zw. z art. 7 ust. 1 ustawy o danych, poprzez błędne przyjęcie, że Spółka udostępniła dane osobowe osobom nieupoważnionym; to tymczasem Wnioskodawca wypowiedział swoje imię i nazwisko na głos; tym samym do "wypowiedzenia" i udostępnienia na głos imienia i nazwiska doszło bezpośrednio przez Wnioskodawcę, nie zaś przez Spółkę,

- art. 7, 77 i 107 § 3 K.p.a., w zw. z art. 7 ust. 1 ustawy o danych, poprzez niepodjęcie przez organ wszystkich czynności, niezbędnych do określenia stanu faktycznego i wyjaśnienia sprawy - w szczególności nie ustalono, jakie ryzyko naruszenia praw i wolności Wnioskodawcy wiąże się z wypowiedzeniem na głos jego imienia i nazwiska,

- prawa materialnego:

- art. 5 ust. 1 lit. F, w zw. z art. 6 ust. 1 lit. b RODO, poprzez przyjęcie, że Spółka naruszyła te przepisy i przetwarza dane osobowe nie zapewniając odpowiedniego bezpieczeństwa danych osobowych - w tym ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem; przetwarza ona tymczasem dane osobowe pasażerów, zapewniając odpowiednie ich bezpieczeństwo ponieważ:

listy pasażerów są dostępne tylko dla upoważnionego kierowcy, który realizuje dany kurs,

kierowca przechowuje listę podczas kursu w zamykanej teczce,

po zakończeniu kursu listy są przekazywane do siedziby Spółki a na końcu niszczone,

dane osobowe pasażerów nie są wyczytywane na głos publicznie - wobec wszystkich podróżujących - oraz nie są udostępniane tak, aby osoba nieuprawniona miałaby do nich dostęp;

- art. 5 ust. 1 lit. f, w z art. 32 ust. 2 oraz art. 4 pkt. 12 RODO, poprzez przyjęcie. że:

Spółka przetwarza dane osobowe nie zapewniając odpowiedniego ich bezpieczeństwa oraz

doszło do naruszenia ochrony danych osobowych Wnioskodawcy;

tymczasem - wchodząc do autobusu - dobrowolnie podał on kierowcy - podczas identyfikacji - swoje imię i nazwisko;

- art. 6 ust. 1 lit. b RODO, w zw. z art. 16 ustawy - Prawo przewozowe, poprzez błędne przyjęcie, że wypowiedzenie na głos imienia i nazwiska Wnioskodawcy było przejawem naruszenia bezpieczeństwa i ochrony danych osobowych; tymczasem był on jednym z pasażerów Spółki, który nabył bilet na przejazd za pośrednictwem strony internetowej; jego przedstawienie się podczas wchodzenia do autobusu przed rozpoczęciem przewozu, było zatem związane wyłącznie z realizacją umowy przewozu - w celu ustalenia, że taka osoba widnieje na liście pasażerów i faktycznie kupiła bilet;

- art. 6 ust. 1 lit. a RODO, poprzez jego niezastosowanie i przyjęcie, że Spółką bezprawnie udostępniła dane osobowe Wnioskodawcy; nie odmówił on tymczasem podania swoich danych osobowych - a dobrowolnie wskazał kierowcy swoje imię i nazwisko; wyraził więc zgodę na wypowiedzenie swojego imienia i nazwiska oraz aby osoby - znajdujące się w pobliżu – mogły ewentualnie usłyszeć te dane.

W szerokim uzasadnieniu skargi, rozwinięto powyższe zarzuty.

Wniesiono o uchylenie zaskarżonej decyzji w pkt 1.

W odpowiedzi na skargę organ administracji wniósł o jej oddalenie, podtrzymując dotychczasową argumentację.

Skargę rozpoznano w trybie uproszczonym, wobec treści art. 119 pkt 2 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2019 r., poz. 2325 ze zm.).

Sąd zważył, co następuje:

Skarga zasługuje na uwzględnienie, chociaż nie z przyczyn w niej podniesionych. Sąd - w związku z art. 134 § 1 ustawy - Prawo o postępowaniu przed sądami administracyjnymi - nie jest związany zarzutami i wnioskami skargi.

Trafne są zarzuty Spółki, gdy zakwestionowano konstatację organu, jakoby w rozpoznawanym przypadku doszło do bezprawnego ujawnienia danych osobowych w rozumieniu RODO. Chybiona jest jednak argumentacja skargi na potwierdzenie tej tezy.

Rozpoznając niniejszą sprawę Sąd miał na uwadze jej następujące uwarunkowania formalnoprawne.

W myśl art. 1 ust. 1 ustawy o danych, jej przepisy stosuje się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w zakresie określonym w art. 2 i 3 RODO, zaś - wobec art. 1 ust. 2 pkt 4 i 5 tej ustawy - określa ona m.in.: organ właściwy w sprawie ochrony danych osobowych i same reguły postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych.

Uzasadnia to wniosek, że ramy materialnoprawne, co do właściwości przedmiotowej wyspecjalizowanego organu - jest nim wedle art. 60 ustawy o danych Prezes Urzędu Ochrony Danych Osobowych - zakreślają wyczerpująco postanowienia RODO.

Już z treści preambuły do tego aktu wynika, że generalnie celem jego ustanowienia, jest przyczynienie sie do "tworzenia przestrzeni wolności, bezpieczeństwa i sprawiedliwości oraz unii gospodarczej, do postępu społeczno-gospodarczego, do wzmacniania i konwergencji gospodarek na rynku wewnętrznym, a także do pomyślności ludzi." (tak motyw 2 zd. 2). Z kolei, w motywie 3 preambuli - posłużono się tam jeszcze nomenklaturą, zaczerpniętą z dyrektywy zastępowanej przez RODO – wskazano, że celem regulacji jest "zharmonizowanie ochrony podstawowych praw i wolności osób fizycznych w związku z czynnościami przetwarzania oraz zapewnienie swobodnego przepływu danych osobowych między państwami członkowskimi". W motywie 6 przywołano natomiast wprost następujące przesłanki przyjęcia regulacji: "Szybki postęp techniczny i globalizacja przyniosły nowe wyzwania w dziedzinie ochrony danych osobowych. Skala zbierania i wymiany danych osobowych znacząco wzrosła. Dzięki technologii zarówno przedsiębiorstwa prywatne, jak i organy publiczne mogą na niespotykaną dotąd skalę wykorzystywać dane osobowe w swojej działalności. Osoby fizyczne coraz częściej udostępniają informacje osobowe publicznie i globalnie. Technologia zmieniła gospodarkę i życie społeczne i powinna nadal ułatwiać swobodny przepływ danych osobowych w Unii oraz ich przekazywanie do państw trzecich i organizacji międzynarodowych, równocześnie zaś powinna zapewniać wysoki stopień ochrony danych osobowych.".

Same sformułowane przez prawodawcę cele ustanowienia danej regulacji uzasadniają wprawdzie konkluzję, że generalnie RODO ma się przyczynić do lepszej ochrony danych osobowych obywateli państw członkowskich Unii Europejskiej. Rozporządzenie to nie stanowi jednakże aktu, służącemu pełnemu, ramowemu uregulowaniu ochrony praw w danym zakresie. Dotyczy jedynie komponentu danych, które podlegają automatycznemu przetworzeniu bądź mogą podlegać takiemu przetworzeniu, jako baza informacji o osobach.

Konkluzję taką potwierdza wprost treść normatywna przepisów wstępnych RODO. W myśl art. 2 ust. 1, akt ten znajduje zastosowanie wyłącznie "do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych". Z kolei - wobec art. 4 pkt 6 RODO - zbiór danych to "uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie".

Oznacza to, że przepisy RODO nie znajdują zastosowania do wszelkich przypadków przetwarzania danych osobowych (formą przetwarzania jest ich upublicznienie – tak art. 4 pkt 3 RODO), lecz tylko gdy chodzi o te, objęte zakresem danej regulacji. Dotyczy to danych przetwarzanych w sposób całkowicie lub częściowo zautomatyzowany, zaś pozostałych tylko, gdy stanowią zbiór lub mogą stanowić część zbioru danych. Z kolei potencjalny zbiór danych to jedynie ich zestaw dostępny według określonych kryteriów. Oceny takiej nie zmienia to, że przetwarzanie (w tym ujawnienie) może - w myśl art. 4 pkt 3 RODO - nastąpić automatycznie lub także w inny sposób. Brzmienie danej definicji nie prowadzi do poszerzenia zakresu danych podlegających regułom RODO wedle treści art. 2 ust. 1. Mianowicie - gdy chodzi o dane przetwarzane w sposób inny niż zautomatyzowany – dotyczy ono tylko tych, które stanowią część zbioru danych lub mogą stanowić część zbioru danych, w rozumieniu art. 4 pkt 6 RODO.

Odmienne rozumienie przepisów RODO prowadziłoby do trudnych do przypisanie racjonalnemu prawodawcy wniosków - jakoby danym rozporządzeniem uregulowano w sposób szczególny wszelkie zasady ochrony danych osobowych, w zakresie, gdzie może to prowadzić m.in. do naruszenia dóbr osobistych. Wobec przyznania w RODO kompetencji rozstrzygania spraw na tym gruncie wyspecjalizowanym organom administracji państw członkowskich (tak art. 58 ust. 2 RODO i odpowiednio art. 34 ust. 2 oraz art. 60 ustawy o danych), oznaczałoby to ukształtowanie alternatywnej drogi ochrony praw przez wszystkie osoby, których dobra osobiste naruszono - ujawniając jakkolwiek równocześnie ich dane osobowe w dowolny sposób.

Wobec przywołanych uwarunkowań uzasadniony jest wniosek, że - wobec wyartykułowanych celów przyjęcia RODO i treści jego regulacji wstępnych - akt ten dotyczy zdarzeń związanych z przetwarzaniem informacji (gromadzenie, transfer itp.) gdzie możliwe jest mechaniczne odnajdywanie informacji o osobach - ich danych osobowych – w szczególności w ramach systemów teleinformatycznych. Nie dotyczy ono zaś zdarzeń, pozostających w związku z ujawnieniem (a więc przetworzeniem) danych osobowych, w innych sytuacjach - np. możliwości poznania imienia i nazwiska określonej osoby, wobec głośnego jego wypowiedzenia (przez kierowcę czy pasażera autobusu), nawet gdy znajduje się ono równocześnie w określonym zbiorze informacji (liście pasażerów), choćby prowadzono ją w formie elektronicznej. Inna ocena dotyczyć mogłaby wprawdzie przypadku, gdy określone informacje upowszechniane byłyby w takiej postaci, że technicznie możliwe byłoby ich niekontrolowane gromadzenie przez osoby nieuprawnione - bez wiedzy zainteresowanych. Sytuacja taka - co bezsporne - nie miała jednak miejsca w rozpatrywanej sprawie.

Przy przyjęciu odmiennego rozumienia regulacji RODO, także np. delikty w postaci bezpodstawnego publicznego przedstawienia osoby z imienia i nazwiska, stanowiłoby przypadek podlegający rozpoznawaniu przez wyspecjalizowane organy administracji - w ramach procedur, przewidzianych danym rozporządzeniem. Nie sposób racjonalnemu prawodawcy przypisać intencji przeniesienia tego typu spraw do rozstrzygania na drodze administracyjnej. Prowadzi to do konkluzji, że generalnie w RODO uregulowano tylko zagadnienia pozostające w bezpośrednim związku z pozyskiwaniem informacji z konkretnych zbiorów danych bądź tworzeniem zbiorów, umożliwiających uzyskanie określonych informacji o osobach. Nie jest zaś kwestią kluczową (przesądzającą), czy sprawa dotyczy danych osobowych. RODO ingeruje bowiem w tą problematykę wyłącznie w kontekście określonych form przetwarzanie danych osobowych. Mylna byłaby więc konstatacja, jakoby wystarczającym dla ustalenia właściwości wyspecjalizowanego organu było ustalenie, że sprawa dotyczyła wykorzystania danych osobowych Wnioskodawcy, co organ utożsamił z ich przetworzeniem, w rozumieniu RODO.

W rozpoznawanej sprawie są poza sporem jej istotne okoliczności faktyczne, w tym zakresie, że w skardze do wyspecjalizowanego organu przywołano zdarzenie, które nie dotyczyły publicznego ujawnienia określonego zbioru danych osobowych (za taki można by uznać listę pasażerów dla określonego kursu), lecz wykorzystania imienia i nazwiska konkretnego pasażera dla identyfikacji osoby, uprawnionej do przejazdu (nabywcy biletu). Sporne jest natomiast, czy było to dla danego celu niezbędne lub wymagane (tak wywody skargi). Organ zresztą nie wyjaśnił w pełni tej kwestii. Nie zajął jednoznacznego stanowiska, czy posługiwanie się w danym przypadku - przy identyfikacji pasażerów, nabywających bilet drogą elektroniczną -imieniem i nazwiskiem jest praktyka konieczną, w kontekście twierdzeniu Wnioskodawcy, jakoby identyfikacja możliwa była przy pomocy kodu, umieszczonego na bilecie. Nie jest to jednak istotne w granicach sprawy, pozostającej w kompetencjach danego, wyspecjalizowanego organu administracji. Jak bowiem wskazano wcześniej, wymienienie przez Wnioskodawcę jego imienia i nazwiska a później ich powtórzenie przez kierowcę pojazdu nie mogły być traktowane jako przetworzenie danych osobowych w rozumieniu RODO. Wyspecjalizowany organ nie był więc właściwy da oceny legalności tych zdarzeń.

Uzasadniona jest bowiem stwierdzenie, że nie pozostawało to w żadnym związku z procesem mechanicznego przetwarzania danych bądź posługiwanie się danymi mogącymi, stanowić wyodrębnioną bazę, jako zespół informacji, uporządkowanych wedle pewnych kryteriów w dniu zdarzenia.

Wypada odnotować, że w skardze Wnioskodawcy zarzucano też domniemaną publiczną dostępność listy pasażerów, którą posługuje się kierowca pojazdu, weryfikując uprawnienie do przyjazdu. Wedle oceny organu nie ma to jednak w istocie miejsca. Nie ujawniono więc w sprawie żadnych zdarzeń, związanych z przetwarzaniem danych osobowych w rozumieniu RODO. Wykluczało to, aby działania Spółki (jej pracowników), pozostające w związku ze zdarzeniem opisanym w skardze Wnioskodawcy, były przedmiotem oceny przez dany wyspecjalizowany organ administracji.

Jeżeli, wedle twierdzeń Wnioskodawcy – wobec nieuprawnionej praktyki Spółki, posługiwanie się przez realizujących na jej rzecz przewozy kierowców danymi osobowymi pasażerów w celu ich identyfikacji - doszło do naruszenia jego praw osobistych, np. prawa do prywatności, poszkodowanemu przysługują stosowne roszczenia względem sprawcy naruszeń. Właściwymi do rozstrzygania spraw w danym zakresie są sądy powszechne. To właśnie te kwestie są zaś w istocie osią sporu między stronami. Wyspecjalizowany organ administracji nie ma natomiast kompetencji do rozstrzygania danej sprawy. Przetwarzanie danych w tym przypadku (ich ewentualne ujawnienie) nie jest objęte regułami RODO, determinującym ramy kompetencji do rozstrzygania spraw w trybie administracyjnym. Właściwości organu administracji nie można przy tym wykładać rozszerzająco, wobec treści art. 2 § 3 ustawy z dnia 17 listopada 1964 r. - Kodeks postępowania cywilnego (Dz.U. z 2020, poz. 1575 ze zm.). Wynika zeń, że właściwość organu administracji musi być wskazana wprost. W kwestii ochrony dóbr osobistych - w rozumieniu art. 23 i 24 ustawy – Kodeks cywilny - do których zaliczają się dane osobowe, właściwe są zaś sądy powszechne, co odnotowano zresztą w uzasadnieniu zaskarżonej decyzji.

Nie do zaakceptowania w państwie prawnym byłaby natomiast koncepcja, jakoby określoną kwestię - legalność posłużenia się imieniem i nazwiskiem Wnioskodawcy w celu weryfikacji uprawnienia do przejazdu (a więc jego danymi osobowymi) - można byłoby oceniać równolegle w dwóch trybach - w postępowaniach prowadzonych przez wyspecjalizowany organ administracji i sąd powszechny. Umożliwiałoby to sformułowanie w ostatecznych orzeczeniach – znajdujących się równocześnie w obiegu prawnym - odmiennych ocen, w kontekście legalności działania Spółki. Wobec tego, hipotetyczna koncepcja przyznanie wyspecjalizowanemu organowi administracji prawa oceny w rozpatrywanym przypadku, czy wykorzystanie danych osobowych było legalne, musiałoby wyłączyć w danym zakresie kompetencję sądu powszechnego. Rozszerzająca wykładnia przepisów RODO, zakreślających w istocie kompetencje wyspecjalizowanego organu, nie jest wobec tego dopuszczalna. Zasadna jest zaś wykładnia wąska. W sprawach cywilnych istnieje bowiem przywołana wcześniej reguła domniemania właściwości sądów powszechnych, zaś ochrona praw osobistych stanowi generalnie domenę prawa cywilnego.

W tej sytuacji - wobec bezsporności faktów, istotnych w kontekście oceny, czy organ administracji jest kompetentny do zastosowania środków, przewidzianych w RODO, w świetle reguł ustawy o danych – nie było podstaw do orzekania w sprawie, co do meritum. Nie mógł więc także organ wykonać kompetencji, określonych art. 58 ust. 2 lit. b (patrz: zarzuty Spółki). Orzekając w sprawie naruszono więc dany przepis prawa materialnego, zakreślający kompetencje organu, poprzez bezpodstawne zastosowanie, wobec art. 2 ust. 1, w zw. z art. 4 pkt 6 ustawy o danych.

Wobec wskazanych uwarunkowań, pozostaje poza granicami sprawy (a więc także oceną Sądu), podnoszona w skardze kwestia, czy ujawnienie danych osobowych Wnioskodawcy było w danym przypadku działaniem dobrowolnym, czy też wynikało z przyjętej w danym zakresie praktyki Spółki (jej pracowników – kierowców) - wymogu potwierdzenie uprawnienia do przejazdu w taki sposób, bez możliwości alternatywnego przedstawienia potwierdzenia zakupu biletu, opatrzonego możliwym do weryfikacji kodem.

Powyższe konstatacje prowadza do wniosku, że w sprawie występowały przesłanki wydanie orzeczenia o odmowie wszczęcia postępowania, a w razie jego wszczęcia – wobec określonych wątpliwości, czy sprawa pozostaje w kompetencjach wyspecjalizowanego organu (np. w kwestii ogólnej dostępności przewożonych przez kierowców list pasażerów) - umorzenia postępowania, jako bezprzedmiotowego. Przy uwzglednieniu treści skierowanej do organu skargi, jego rolą było zbadanie wpierw, czy jest właściwy w sprawie - chodzi o przetwarzanie danych osobowych wnoszącego skargę podmiotu, w zakresie podlegającym - w myśl RODO - nadzorowi danego, wyspecjalizowanego organu administracji. Niewłaściwość organu (bądź oczywisty brak interesu prawnego danego Wnioskodawcy), stanowi przesłankę odmowy wszczęcia postępowania. O ile treść skargi wskazywałaby bezpośrednio właściwość sądu powszechnego, podanie winno by być zwrócone w formie postanowienia (art. 66 § 3 K.p.a.). W danej sprawie jednak – w kwestii skargi na przetwarzanie danych osobowych - właściwości takiej nie było. Nie jest z kolei zadaniem organu instruowanie stron, co do środków prawnych, jakie mogą wykorzystać dla ochrony swoich praw przed sądami powszechnymi.

Reasumując, w rozpatrywanej sprawie nie wystąpiły przesłanki prowadzenia postępowania przed danym organem i winno być ono umorzone, co Sąd uwzględnił w orzeczeniu.

Z przytoczonych wyżej przyczyn - na podstawie art. 145 § 1 pkt 1 lit. a oraz §. 3 ustawy - Prawo o postępowaniu przed sądami administracyjnymi - orzeczono jak w pkt 1 i 2 sentencji. O zwrocie kosztów postępowania Sąd orzekł jak w pkt 3 sentencji. W myśl art. 200 w zw. z art. 205 § 2 powyższej ustawy oraz § 14 ust. 1 pkt 1 lit. c rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 r. w sprawie opłat za czynności radców prawnych (Dz. U. z 2018 r., poz. 265 ze zm.) do kosztów na rzecz Spółki zaliczono wynagrodzenie jej pełnomocnika w kwocie 480 zł, oraz wpis sądowy od skargi w kwocie 200 zł, a także 17 zł tytułem uiszczonej opłaty skarbowej od pełnomocnictwa.