Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Agnieszka Góra-Błaszczykowska, Sędzia WSA Sławomir Fularski, Sędzia WSA Tomasz Szmydt (spr.), Protokolant specjalista Wiesława Jesiotr po rozpoznaniu na rozprawie w dniu 31 marca 2022 r. sprawy ze skargi [...] Sp. z o. o. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] sierpnia 2021 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz [...] Sp. z o. o. z siedzibą w [...] kwotę 680 (słownie: sześćset osiemdziesiąt) złotych, tytułem zwrotu kosztów postępowania.

[...]UZASADNIENIE

G. Spółka z o.o. z siedzibą w [...] złożyła skargę na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] sierpnia 2021r., wydaną w przedmiocie przetwarzania danych osobowych.

Do Urzędu Ochrony Danych Osobowych wpłynęła skarga M.B. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez G. Sp. z o.o. z siedzibą w [...] (zwany dalej: "Spółką").

W treści skargi skarżący podniósł, że dwukrotnie żądał od Spółki zaprzestania przetwarzania jego danych - w obu przypadkach żądanie nie zostało spełnione. Skarżący wskazał, że został poproszony przez Spółkę o wykorzystanie portalu innej firmy, o innej nazwie oraz adresie internetowym, tj. [...].

Ponadto osoba przyjmująca zgłoszenie Skarżącego stwierdziła, że nie jest w stanie ustalić jego tożsamości i poprosiła o przesłanie skanu dowodu osobistego. W związku z tym, że skarżący kontaktuje się ze Spółką poprzez ten sam adres email na który zostało zarejestrowane konto w serwisie G. uważa on, że to powinno być wystarczające do ustalenia jego tożsamości. W związku z powyższym oraz mając na uwadze fakt, iż skarżący nie przekazywał swoich danych osobowych podmiotowi działającemu "pod firmą O." i nie widzi podstaw, aby miał od tej firmy żądać ich usunięcia. Skarżący wniósł o nakazanie Spółce usunięcia jego danych osobowych z baz danych Spółki.

Na podstawie zgromadzonego w toku postępowania materiału dowodowego Prezes Urzędu Ochrony Danych Osobowych dnia [...] sierpnia 2021 r. wydał decyzję administracyjną (znak: [...]), na mocy której udzielił Spółce upomnienia w związku z naruszeniem art. 5 ust. 1 lit. a w zw. z art. 6 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), (Dz. Urz. UE. L 119 z 04.05.2016 r., str. 1, ze zm.) - dalej jako "rozporządzenia 2016/679", polegającym na bezpodstawnym pozyskaniu od G. [...] z siedzibą w [...] i dalszym przetwarzaniu danych osobowych Pana M. B. oraz nakazał usunięcia danych osobowych Pana M. B. bezpodstawnie pozyskanych od G. [...] z siedzibą w [....].

W toku przeprowadzonego postępowania wyjaśniającego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych (zwany dalej także "Prezesem UODO") ustalił następujący stan faktyczny:

1. W wyjaśnieniach z 23 listopada 2018 r. Spółka wskazała, że dane osobowe skarżącego pozyskała [...] lipca 2015 r. bezpośrednio od skarżącego w celu realizacji umowy zakupu pomiędzy skarżącym a Spółką zgodnie z art. 6 ust. 1 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018 ze zm.) - dalej jako "rozporządzenie 2016/679". Uzyskane dane posłużyły utworzeniu konta dla skarżącego, pozwalając mu tym samym na dokonywanie zakupów zgodnie z wymogami. Kategorie przetwarzanych przez Spółkę danych osobowych Skarżącego obejmują: imię i nazwisko, adres mailowy, adres zamieszkania, numer identyfikacyjny użytkownika oraz informacje związane z dokonana transakcją;

2. W wyjaśnieniach z dnia 23 listopada 2018 r. Spółka potwierdziła, że skarżący skontaktował się ze Spółką 22 lipca 2018 r. w kwestii przetwarzania jego danych osobowych, kiedy to zażądał od Spółki ich usunięcia. Spółka wykorzystuje usługi firmy zewnętrznej O. jako techniczne wsparcie do rozpatrywania tego typu żądań. Spółka odpowiedziała na żądanie Skarżącego 30 lipca 2018 r., prosząc o dokument umożliwiający weryfikację jego tożsamości. Prośba ta była zgodna z ówczesnymi procedurami Spółki. Skarżący nie przedstawił żadnego dokumentu tożsamości. Od tego czasu Spółka zmieniła swoje procedury i nie wymaga już dokumentu umożliwiającego weryfikację tożsamości. W chwili obecnej wymagana jest weryfikacja adresu mailowego klienta. Zgodnie z powyższym, dane osobowe Skarżącego zostaną usunięte w momencie, kiedy zweryfikowany zostanie jego adres mailowy;

3. Spółka nadal przetwarza dane osobowe skarżącego. Podstawą prawną przetwarzania owych danych osobowych jest konieczność wywiązania się Spółki z umowy ze skarżącym zgodnie z art. 6 ust. 1 lit. b) rozporządzenia 2016/679, jak również prawny obowiązek dokumentacji transakcji finansowych zgodnie z art. 6 ust. 1 lit. c) rozporządzenia 2016/679.

4. Natomiast w wyjaśnieniach z 27 stycznia 2021 r. pełnomocnik Spółki poinformował, że z ponownej analizy stanu faktycznego związanego z prowadzonym postępowaniem wynika, że ze względu na charakter działalności prowadzonej przez Spółkę w Polsce, Spółkę nie łączy ze Skarżącym jakakolwiek umowa o świadczenie usług lub inna. W szczególności Spółka nie "prowadzi konta" skarżącego w jakimkolwiek systemie informatycznym, w tym na stronie dostępnej pod adresem [...].

5. Jednocześnie pełnomocnik Spółki wyjaśnił, że zgodnie z najlepszą wiedzą Spółki, stroną umów dotyczących świadczenia usług za pomocą strony [...], jest firma: G. [...] z siedzibą w [...], adres: [...] - dalej jako "G. [...]". Okoliczność ta znajduje potwierdzenie w umowie "Warunki Korzystania z Witryny G. [...]", dostępnej pod adresem: https: [...] (wydruk w aktach sprawy).

6. Jak wyjaśniła Spółka, do korzystania z usług dostępnych na stronie [...] niezbędna jest rejestracja, która wymaga akceptacji "Warunków Korzystania Z Witryny G. [...]".

7. W piśmie z dnia 1 marca 2021 r. pełnomocnik Spółki poinformował, że pomiędzy Spółką a G. [...], nie istnieje relacja w zakresie przetwarzania danych osobowych Skarżącego, ponieważ Spółka nie przetwarza i nie przetwarzała w przeszłości danych osobowych skarżącego w żadnym innym celu niż prowadzanie postępowania w niniejszej sprawie.

8. W związku z powyższym pełnomocnik Spółki wyjaśnił, że Spółka nie pozyskała danych osobowych Skarżącego na podstawie art. 6 ust. 1 lit. b rozporządzenia 2016/679 w dniu 17 lipca 2015 r. oraz nie przetwarza i nie przetwarzała danych osobowych Skarżącego w żadnym innym celu, niż udział Spółki w postępowaniu administracyjnym toczącym się w niniejszej sprawie.

9. Tym samym Spółka nie przetwarza jakichkolwiek danych osobowych Skarżącego poza tymi, które uzyskała od Prezesa UODO i które są konieczne do udzielenia odpowiedzi na korespondencję od Prezesa UODO w niniejszej sprawie (na podstawie art. 6 ust. 1 lit. f rozporządzenia 2016/679), tj. ze względu na uzasadniony interes administratora danych, którym to interesem jest obrona przed roszczeniami skarżącego.

10. W ramach dodatkowych wyjaśnień Spółka zaznaczyła, że nie jest i nie była stroną jakiejkolwiek umowy sprzedaży, w której stroną byłby skarżący.

11. W odpowiedzi na wezwanie Prezesa UODO z 20 kwietnia 2021 r. Spółka wyjaśniła, że w związku z wezwaniem Prezesa UODO z 15 listopada 2018 r. Spółka skontaktowała się ze swoją stowarzyszoną jednostką centralną, tj. G. [...] od której otrzymała informacje dotyczące skarżącego, w tym informacje zaprezentowane na "zrzutach z ekranu" przedłożonych do akt postępowania.

12. Pełnomocnik Spółki wyjaśnił, że Spółka nie posiada stałego dostępu do konta skarżącego w serwisie [...], a jedynie w związku z toczącym się postępowaniem otrzymała incydentalny dostęp do danych Skarżącego przetwarzanych w serwisie [...].

13. Spółka nie uzyskała dostępu do systemu informatycznego G. [...], w tym do elektronicznego konta skarżącego. Spółka nie ma również stałego, infrastrukturalnego dostępu do danych użytkowników G. - aby uzyskać takie dane musi o nie zawnioskować do G. [...], który ocenia zasadność udostępnienia tych danych.

14. Dane skarżącego zostały udostępnione Spółce w wyniku jej jednorazowego wniosku, przy czym wnioskowanie o dostęp do danych konkretnego użytkownika nie stanowi stałej praktyki Spółki i miało charakter wyjątkowy z korespondencji otrzymanej od Prezesa UODO. Spółka uzyskała dostęp do tych danych tylko i wyłącznie z uwagi na toczące się postępowanie i konieczność udzielenia wyjaśnień do Prezesa UODO. Dane te są przetwarzane na podstawie art. 6 ust. 1 lit. f) rozporządzenia 2016/679,

15. Ponadto pełnomocnik Spółki wyjaśnił, że Spółka nie odpowiedziała na żądanie skarżącego z dnia [...] lipca 2018 r., gdyż nie była administratorem danych osobowych skarżącego i nie znajdowała się w posiadaniu jego danych. Odpowiedź na żądanie skarżącego została udzielona przez inny właściwy podmiot z grupy G., będący administratorem danych osobowych skarżącego lub działający w jego imieniu. Spółka nie posiada szczegółowych informacji na temat przetwarzania danych przez G. [...] w tym zakresie.

16. Spółka nie pozostaje w żadnej relacji umownej z firmą O. Spółka ma wiedzę na temat korzystania z usług tej firmy przez inne podmioty z grupy G., w tym G. [...] w zakresie w jakim te informacje są powszechnie dostępne dla każdego użytkownika oraz w zakresie w jakim informacje o obowiązywaniu danych procedur i korzystaniu z usług danego podwykonawcy są rozpowszechnione pomiędzy podmiotami wchodzącymi w skład grupy G. Informacja ta została udzielona Spółce w związku ze współpracą w ramach grupy G.

17. W wyjaśnieniach z 14 czerwca 2021 r. pełnomocnik Spółki wskazał, że podstawą prawną skontaktowania się przez Spółkę z G. [...] i otrzymania incydentalnego dostępu do danych skarżącego jest art. 6 ust. 1 lit. f) rozporządzenia 2016/679, tj. uzasadniony interes administratora danych/strony trzeciej, którym to interesem jest aktywne uczestnictwo w postępowaniu wszczętym przez organ nadzoru, w tym obrona przed roszczeniami skarżącego. Udostępnienie danych skarżącego nie było objęte umową łączącą Spółkę i G. [...], która regulowałaby tego typu kwestię.

18. Spółka nie usunęła danych skarżącego otrzymanych od G. [...] i przetwarza je obecnie z uwagi na toczące się postępowanie przed Prezesem UODO. Dane skarżącego są przetwarzane w celu udzielenia odpowiedzi na korespondencję w ramach toczącego się postępowania przed Prezesem UODO. Dane nie są przetwarzane w żadnym innym celu. Spółka wskazała, że zamierza usunąć dane osobowe Skarżącego niezwłocznie, tj. kiedy ich przetwarzanie nie będzie uzasadnione dochodzeniem lub obroną przed roszczeniami przez skarżącego lub przez Spółkę.

W niniejszym postępowaniu toczącym się przed Prezesem Urzędu Ochrony Danych Osobowych, skarżący przedmiotem swojej skargi uczynił zarzut niezgodnego z przepisami ustawy przetwarzania jego danych osobowych przez Spółkę G. Sp. z o.o. z siedzibą w [...] przy [...]. Jak bowiem uzasadniał swoje żądanie Skarżący, dwukrotnie żądał od Spółki zaprzestania przetwarzania jego danych - w obu przypadkach żądanie nie zostało spełnione.

Tymczasem postępowanie administracyjne przeprowadzone przez Prezesa Urzędu Ochrony Danych Osobowych pozwoliło na ustalenie, że Spółka obecnie przetwarza dane osobowe Skarżącego jedynie w celu udzielenia odpowiedzi na korespondencję w ramach toczącego się postępowania przed Prezesem UODO. Dane nie są przetwarzane w żadnym innym celu. Zgodnie ze znajdującym się w aktach sprawy wydrukiem Warunków Korzystania Z Witryny G. [...]", dostępnej pod adresem: [...], stroną umów dotyczących świadczenia usług za pomocą strony [...], jest firma: G. [....] z siedzibą w [...], adres: [...], i to ona jest operatorem niniejszej witryny G. i dostawcą szeregu związanych z nią usług. Z zebranego w sprawie materiału dowodowego wynika, że Spółka po otrzymaniu od Prezesa Urzędu Ochrony Danych Osobowych wezwania do wyjaśnień i ustosunkowania się do treści wniesionej skargi skontaktowała się z G. [...] i otrzymała incydentalny dostęp do danych skarżącego. W przesłanych do Prezesa UODO wyjaśnieniach Spółka wskazała, że podstawą prawną uzyskania danych osobowych Skarżącego od podmiotu [...] jest art. 6 ust. 1 lit. f) rozporządzenia 2016/679, tj. uzasadniony interes administratora danych/strony trzeciej, którym to interesem jest aktywne uczestnictwo w postępowaniu wszczętym przez organ nadzoru, w tym obrona przed roszczeniami skarżącego. Ponadto Spółka wskazała, że pozyskane dane służą jedynie do udzielania odpowiedzi na korespondencję w ramach toczącego się postępowania przed Prezesem UODO oraz, że udostępnienie danych skarżącego nie było objęte umową łączącą Spółkę i G. [...], która regulowałaby tego typu kwestię. w świetle art. 5 ust. 1 lit. a) rozporządzenia 2016/679 dane osobowe musza być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ("zasada zgodność z prawem, rzetelność i przejrzystość"). Zasada zgodności z prawem została skonkretyzowana w art. 6 rozporządzenia 2016/679, który legalizuje przetwarzanie danych, gdy spełniona jest co najmniej jedna z enumeratywnie wskazanych w nim przesłanek.

Przesłanki te są względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednej z nich. I tak na mocy ww. przepisu rozporządzenia 2016/679 przetwarzanie danych osobowych jest zgodne z prawem m.in. gdy osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów, gdy przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (art. 6 ust. 1 lit. b) rozporządzenia 2016/679); gdy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (art. 6 ust. 1 lit. f rozporządzenia 2016/679). Treść art. 6 ust. 1 lit. f rozporządzenia 2016/679 stanowi przejaw uznania przez prawodawcę unijnego, że mogą zdarzyć się przypadki, gdy administrator nie może powołać się na zgodę, przepis ani realizację umowy, a mimo to powinien on mieć możliwość przetwarzania danych, ponieważ za dopuszczalnością przetwarzania przemawia "prawnie uzasadniony interes". W tym sensie można uznać, że jest to przesłanka dodatkowa, uzupełniająca pozostałe podstawy dopuszczalności przetwarzania.

Organ wskazuje, iż można przyjąć, że prawnie uzasadniony interes to interes wynikający (choćby pośrednio) z przepisów prawa, w sytuacji, gdy przepisy te nie regulują dopuszczalności przetwarzania danych, a jedynie wskazują jakiś interes (np. uprawnienie), do realizacji którego przetwarzanie danych jest potrzebne. uzasadniony interes może posiadać administrator lub strona trzecia. Zgodnie z definicją zawartą w art. 4 pkt 7 rozporządzenia 2016/679 "administrator" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych, jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania. Natomiast "strona trzecia" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które - z upoważnienia administratora lub podmiotu przetwarzającego - mogą przetwarzać dane osobowe (art. 4 pkt 10 rozporządzenia 2016/679). Strona trzecia jest więc pewną zbiorczą kategorią podmiotów, które nie mogą wywodzić swojego uprawnienia do dostępu do danych osobowych z faktu, że dane osobowe dotyczą tej właśnie osoby, z faktu decydowania o celach i sposobach przetwarzania danych oraz z faktu działania w imieniu lub z upoważnienia administratora danych. Analizując dokładnie definicję strony trzeciej dochodzi się do wniosku, iż stroną trzecią wg rozporządzenia 2016/679 mogą być np. organy publiczne czy też służby mundurowe, które realizując swoje obowiązki, stosują zgodnie z art. 2 ust.2 lit. d rozporządzenia 2016/679 inne przepisy niż rozporządzenia 2016/679, choć mogą wykonywać czynności identyfikowane jako przetwarzanie danych osobowych. Ponadto jak wynika z opinii 6/2014 w sprawie pojęcia prawnie uzasadnionych interesów administratora danych na mocy artykułu 7 dyrektywy 95/46/WE Grupy Roboczej art. 29 ds. ochrony danych prawnie uzasadniony interes osób trzecich, może znajdować zastosowanie w przypadku, w którym interes administratora – czasem zachęconego przez organy publiczne - odpowiada ogólnemu interesowi publicznemu lub interesowi osoby trzeciej. Może to obejmować sytuacje, w których administrator wykracza poza konkretne zobowiązania ustanowione przez ustawy i rozporządzania, aby pomóc organom ds. egzekwowania prawa lub prywatnym zainteresowanym osobom, w ich wysiłkach w zwalczaniu nielegalnych działań, takich jak pranie pieniędzy, nagabywania dzieci, lub nielegalne dzielenie się plikami w Internecie.

Mając powyższe na uwadze zdaniem Prezesa UODO Spółka nieprawidłowo powołała się na art. 6 ust. 1 lit. f) rozporządzenia 2016/679 jako podstawę prawną pozyskania danych osobowych skarżącego od G. [...]. Powyższe oznacza, że Spółka pozyskała od G. [...] bez podstawy prawnej dane osobowe skarżącego i dalej je bez takiej podstawy przetwarza.

G. Spółka z o.o. z siedzibą w [...] złożyła skargę na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] sierpnia 2021r., wydaną w przedmiocie przetwarzania danych osobowych.

Zaskarżonej decyzji zarzucał:

1) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 58 ust. 2 lit. b) oraz g) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm., dalej: "RODO" lub "Rozporządzenie") w związku z art. 5 ust. 1 lit. a) RODO, art. 6 ust. 1 RODO oraz art. 17 RODO w związku z art. 118 i 119 ustawy z 23 kwietnia 1964 r. - Kodeks cywilny (t.j. Dz. U. z 2020 r., poz. 1740, dalej: "Kodeks cywilny") polegające na ich niewłaściwym zastosowaniu i przyjęciu, że przetwarzanie danych dla celów aktywnego uczestnictwa w postępowaniu wszczętym przez Prezesa Urzędu Ochrony Danych Osobowych, w tym dla celów obrony przed roszczeniami M. B. nie stanowi prawnie uzasadnionego interesu Skarżącej w rozumieniu art. 6 ust. 1 lit. f) RODO, a w konsekwencji uznaniu, iż Skarżąca dopuściła się naruszenia przepisów Rozporządzenia, co spowodowało udzielenie Skarżącej upomnienia oraz wydanie nakazu usunięcia danych M. B., podczas gdy skarżąca legitymowała się i nadal legitymuje się podstawą prawną do przetwarzania danych osobowych M. B. pozyskanych od G. [...] w celu obrony przed roszczeniami, a tym samym skarżąca nie naruszyła art. 5 ust. 1 lit. a) RODO oraz art. 6 ust. 1 RODO;

2) 2) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 58 ust. 2 lit. g) RODO w związku z art. 17 RODO, polegające na ich niewłaściwym zastosowaniu i nakazaniu skarżącej usunięcie danych M. B. pozyskanych od G. [...] z siedzibą w [...], bez określenia w jakim zakresie i w jaki sposób dane te mają zostać usunięte w sytuacji, gdy część tych danych jest tożsama z danymi M. B. pozyskanymi od Prezesa UODO, wobec których Spółka legitymuje się podstawą prawną przetwarzania;

3) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 58 ust. 2 lit. f) RODO polegające na jego niezastosowaniu i nienałożeniu przez Prezesa UODO na skarżącą całkowitego ograniczenia przetwarzania danych osobowych M. B., które to ograniczenie powinno polegać na nakazaniu skarżącej przetwarzania danych osobowych M. B. pozyskanych od G. [...] z siedzibą w [...] wyłącznie w celu obrony przed roszczeniami M. B., do upływu terminu przedawnienia tych roszczeń w sytuacji, gdy z materiału zebranego w rozpatrywanej sprawie wynika, że Skarżąca ma podstawy do przetwarzania tych danych w celu obrony przed roszczeniami M. B., i jednoczesnym nałożeniu przez organ na Skarżącą obowiązku usunięcia danych ww. osoby w oparciu o art. 58 ust. 2 lit. g) RODO, co w konsekwencji uniemożliwi skarżącej obronę przed roszczeniami skarżącego;

4) naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj. art. 107 § 3 k.p.a., polegające na niedostatecznym i niepełnym uzasadnieniu decyzji poprzez brak dokładnego uzasadnienia przyjęcia, że art. 6 ust. 1 lit. f) RODO nie stanowi prawidłowej podstawy przetwarzania danych osobowych M. B. pozyskanych od G. [...] przez Spółkę.

Skarżący wskazywał, iż Spółka pozyskała dane osobowe dotyczące M.B. (imię i nazwisko, adres zamieszkania, numer telefonu, adres email) w wyniku otrzymania pierwszego pisma Prezesa UODO z 15 listopada 2018 r. Z uwagi na toczące się postępowanie i żądanie Prezesa UODO złożenia wyjaśnień, wskazanych w wymienionym wyżej piśmie z 15 listopada 2018 r., Spółka skontaktowała się ze swoją stowarzyszoną jednostką centralną, tj. ze spółką G. [...], która zgodnie z jej wiedzą jest stroną umowy dotyczącej świadczenia usług M. B. za pomocą portalu [...]. W wyniku tego działania Spółka pozyskała od G. [...] informacje o Podmiocie danych - takich jak jego imię i nazwisko, adres email, data rejestracji konta w serwisie [...], historia zamówień. Dane te częściowo pokrywają się zatem z danymi Podmiotu danych pozyskanymi przez skarżącą od organu, który przesłał je do Spółki po wszczęciu postępowania w tej sprawie. Spółka uzyskała jedynie incydentalny dostęp do danych skarżącego przetwarzanych w serwisie [...], polegający na uzyskaniu informacji dotyczących założenia przez niego konta, zaprezentowanych w postaci zrzutów ekranów zawierających te dane, przedłożonych do organu nadzorczego w ramach toczącego się postępowania. Spółka wskazywała, iż nie uzyskała dostępu do systemu informatycznego G. [...], w tym do elektronicznego konta Skarżącego. Spółka nie ma również stałego, infrastrukturalnego dostępu do danych użytkowników serwisu [....] - aby uzyskać takie dane musi o nie poprosić G. [...], a zasadność udostępnienia tych danych podlega także ocenie tego podmiotu. Celem Spółki w nawiązaniu kontaktu z G. [...] i pozyskaniu od tej spółki danych osobowych M. B., było udzielenie organowi precyzyjnych i wyczerpujących wyjaśnień dotyczących okoliczności faktycznych sprawy, a także obrona przed roszczeniami Podmiotu danych. Obecnie Spółka przetwarza dane M. B. dla celów uczestniczenia w niniejszym postępowaniu oraz obrony przed roszczeniami, które mogą zostać przez niego podniesione, a które to Spółka ocenia jako prawdopodobne z uwagi na skargowy charakter postępowania i nakaz wydany przez organ. Podstawą prawną przetwarzania danych przez Spółkę był i nadal jest art. 6 ust. 1 lit. f) RODO tj. uzasadniony interes administratora danych lub strony trzeciej, którym to interesem jest aktywne uczestnictwo w postępowaniu i obrona przed roszczeniami Podmiotu danych.

Spółka podniosła, iż nie przetwarzała danych osobowych Podmiotu danych przed ich otrzymaniem od organu nadzorczego. Spółka nie przetwarza danych osobowych Podmiotu danych dla celów innych niż udzielenie wyjaśnień w postępowaniu prowadzonym przez organ oraz obrona przed roszczeniami Podmiotu danych.

Prezes Urzędu Ochrony Danych Osobowych wnosił o oddalenie skargi w całości.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, sprawowaną pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. Na podstawie art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. 2019r., poz.2325, zwanej dalej p.p.s.a.) Sąd przy rozstrzyganiu sprawy nie jest związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną.

Sąd administracyjny, stosownie do art. 133 § 1 p.p.s.a. orzeka na podstawie akt sprawy. Oznacza to, że Sąd rozpoznaje sprawę na podstawie stanu faktycznego i prawnego istniejącego w dniu wydania kontrolowanej decyzji, na podstawie materiału dowodowego zgromadzonego przez organ administracji publicznej w toku całego postępowania administracyjnego. Warto też wyjaśnić, że Sąd administracyjny w postępowaniu sądowo-administracyjnym nie ustala stanu faktycznego sprawy, lecz bada czy w trakcie postępowania administracyjnego ujawniono wszelkie istotne okoliczności i czy były one uwzględnione przy wydawaniu decyzji i w jaki sposób zostały ocenione zebrane w sprawie dowody.

Skarga rozpoznawana w oparciu o powyższe kryteria zasługiwała na uwzględnienie.

Przesłanki zgodności z prawem przetwarzania danych osobowych (tj. każdej czynności mieszczącej się w tym pojęciu, w tym ich udostępnienia - art. 4 pkt 2 RODO), określa art. 6 ust. 1 RODO, w myśl którego przetwarzanie jest dopuszczalne, jeżeli:

- osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów (art. 6 ust. 1 lit. a RODO);

- przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (art. 6 ust. 1 lit. b RODO);

- przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO);

- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej (art. 6 ust. 1 lit. d RODO);

- przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e RODO);

- przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem (art. 6 ust. 1 lit. f RODO).

Jednocześnie, akapit pierwszy art. 6 ust. 1 lit. f RODO nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań (art. 6 ust. 1 lit. f in fine RODO).

Art. 6 ust. 1 lit. f RODO stanowi, że przetwarzanie jest zgodne z prawem w przypadku, gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem. Przyjmuje się w doktrynie, że przesłanka legalizująca przetwarzanie danych osobowych zawarta w tym przepisie przyjmuje charakter swoistej klauzuli generalnej, która zwiększa elastyczność katalogu zawartego w art. 6 ust. 1 RODO. Stosowanie tego przepisu następuje dwuetapowo. Przede wszystkim oparcie przetwarzania danych osobowych na przepisie art. 6 ust. 1 lit. f RODO wymaga kumulatywnego spełnienia dwóch przesłanek. Po pierwsze, musi występować prawnie uzasadniony interes, który jest realizowany przez administratora lub przez stronę trzecią. Po drugie, niezbędna jest weryfikacja, czy przetwarzanie danych osobowych jest niezbędne dla realizacji celu wynikającego z powyższego interesu. W drugim etapie trzeba natomiast ocenić, czy nie jest spełniona przesłanka o charakterze negatywnym w postaci występowania w danym stanie faktycznym interesów lub podstawowych praw i wolności podmiotu danych, które mają charakter nadrzędny wobec prawnie uzasadnionych interesów administratora lub strony trzeciej. W przypadku spełnienia tego warunku nie będzie można powołać się na przepis art. 6 ust. 1 lit. f, jako uzasadnienie dla przetwarzania danych osobowych. Stosowanie tej negatywnej przesłanki polega w istocie na wyważeniu dwóch dóbr chronionych prawem, tj. prawnie uzasadnionego interesu administratora lub strony trzeciej z jednej strony i interesów, podstawowych praw oraz wolności podmiotu danych z drugiej.

Prawnie uzasadniony interes trzeba rozumieć nie jako interes wynikający z przepisów prawa, lecz jako interes, który jest zgodny z prawem. Owa zgodność z prawem stanowi ograniczenie pojęcia interesu administratora lub strony trzeciej jako potencjalnej podstawy do przetwarzania danych osobowych. W doktrynie przyjmuje się, że wykładnia pojęcia prawnie uzasadnionego interesu powinna być szeroka i obejmować interesy gospodarcze, faktyczne, czy też prawne (por.m.in. D. Lubasz i W. Chomiczewski (w:) E. Bielak-Jomaa (red.), D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, WKP 2018 i powołane tam poglądy). Tak rozumiany prawnie uzasadniony interes musi być realizowany przez administratora lub przez stronę trzecią. Podkreślić przy tym trzeba, że może to być interes nie tylko administratora, który przetwarza już dane osobowe, lecz również administratora, któremu dane te mogą dopiero zostać ujawnione.

Pojęcie niezbędności oznacza z kolei, że przetwarzanie danych dla realizacji prawnie uzasadnionego interesu administratora lub strony trzeciej musi być, rozsądnie oceniając, potrzebne, a więc musi występować bezpośredni związek pomiędzy realizacją prawnie uzasadnionego interesu a potrzebą przetwarzania danych osobowych.

W ocenie Sądu, nie sposób uznać, aby przesłanka z art. 6 ust. 1 lit. f RODO dotyczyła sytuacji wyłącznie już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, albowiem obejmuje ona również sytuacje, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem mogącymi powstać w przyszłości. Zgodnie z art. 118 Kodeksu cywilnego, jeżeli przepis szczególny nie stanowi inaczej, termin przedawnienia roszczeń wynosi 6 lat, a dla roszczeń o świadczenie okresowe oraz roszczeń związanych z prowadzeniem działalności gospodarczej - 3 lata. Koniec terminu przedawnienia przypada na ostatni dzień roku kalendarzowego, chyba że termin przedawnienia jest krótszy niż 2 lata. Przy czym, po upływie terminu przedawnienia roszczeń nie będzie można mówić już o uzasadnionym interesie do dalszego przetwarzania danych osobowych skarżącej na tej podstawie. Na obecnym etapie jest, to jednak jak najbardziej uzasadnione.

Odnosząc się do samego trybu pozyskania danych należy podkreślić, iż skarżący pozyskał ww. dane wykonując zobowiązanie Prezesa UODO. Jak wskazuje Spółka (i co wynika ze stanu faktycznego) uzyskała ona jedynie incydentalny dostęp do danych skarżącego przetwarzanych w serwisie [...], polegający na uzyskaniu informacji dotyczących założenia przez niego konta, zaprezentowanych w postaci zrzutów ekranów zawierających te dane, przedłożonych do organu nadzorczego w ramach toczącego się postępowania. Spółka wskazywała, iż nie uzyskała dostępu do systemu informatycznego G. [...], w tym do elektronicznego konta Skarżącego. Spółka nie ma również stałego, infrastrukturalnego dostępu do danych użytkowników serwisu [...] - aby uzyskać takie dane musi o nie poprosić G. [...], a zasadność udostępnienia tych danych podlega także ocenie tego podmiotu. Celem Spółki w nawiązaniu kontaktu z G. [...] i pozyskaniu od tej spółki danych osobowych M. B., było udzielenie organowi precyzyjnych i wyczerpujących wyjaśnień dotyczących okoliczności faktycznych sprawy, a także obrona przed roszczeniami Podmiotu danych.

W ocenie Sądu, w takich okolicznościach faktycznych sprawy nie można skutecznie zarzucać Spółce naruszenia art. 6 ust. 1 lit f RODO. Warto przy tym wskazać, iż w motywie 48 preambuły zaznaczono, że "administratorzy, którzy są częścią grupy przedsiębiorstw lub instytucji powiązanych z podmiotem centralnym, mogą mieć prawnie uzasadniony interes w przesyłaniu danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych, co dotyczy też przetwarzania danych osobowych klientów lub pracowników". Prawodawca unijny nie odnosi się przy tym do kategorii danych, a kładzie nacisk na wskazanie celów przetwarzania ("wewnętrznych celów administracyjnych"). Tym bardziej pozyskanie danych przez Spółkę, na wyraźne zobowiązanie Prezesa UODO, należy uznać za działanie mieszczące się w dyspozycji art. 6 ust. 1 lit. f RODO.

Mając na uwadze powyższe orzeczono jak w sentencji na podstawie art. 145 § 1 pkt 1 lit. a i c p.p.s.a. i art. 135 p.p.s.a. O kosztach orzeczono na podstawie art. 200 p.p.s.a. w zw. z art. 205 § 2 p.ps.a., zasądzając na rzecz skarżącego zwrot uiszczonego przez wpisu od skargi 200 zł, wynagrodzenie radcy prawnego 480 zł i opłatę od pełnomocnictwa 17 zł.