Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Kwiecińska, Sędzia WSA Iwona Maciejuk (spr.), Sędzia WSA Joanna Kruszewska-Grońska, Protokolant starszy sekretarz sądowy Agnieszka Wiechowicz po rozpoznaniu na rozprawie w dniu 23 września 2022 r. sprawy ze skargi J. O. na punkt 2 decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] grudnia 2021 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla punkt 2 zaskarżonej decyzji; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz skarżącego J. O. kwotę 697 (sześćset dziewięćdziesiąt siedem) złotych, tytułem zwrotu kosztów postępowania.

Prezes Urzędu Ochrony Danych Osobowych decyzją z dnia [...] grudnia 2021 r. nr [...], na podstawie art. 104 § 1 i art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t.j. Dz. U. z 2021 r. poz. 735), zwanej dalej k.p.a. w zw. z art. 7 ust. 1 ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku (t.j. Dz. U. z 2019 r. poz. 1781), art. 6 ust. 1, art. 11 ust. 2 w zw. z art. 15 ust. 3, art. 12 ust. 1 i 3, oraz art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4 maja 2016 r., str. 1, Dz. Urz. L 127 z 23 maja 2018 r., str. 2 oraz Dz. Urz. UE L 74 z 4 marca 2021,str. 35), zwanego dalej RODO, po przeprowadzeniu postępowania administracyjnego w sprawie skargi J. O. (zwanego dalej skarżącym), na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] S.A. z siedzibą w [...] (zwaną dalej także Spółką), polegające na udostępnieniu jego danych osobowych w zakresie nadanego ID, adresu IP i części historii przeglądania bez jego zgody poprzez stronę internetową pod adresem: [...] podmiotowi nieupoważnionemu, tj. administratorowi serwisu [...], udostępnieniu jego danych osobowych w zakresie adresu IP i części historii przeglądania bez jego zgody poprzez stronę internetową pod adresem: [...] podmiotowi nieupoważnionemu, tj. administratorowi serwisu [...], braku odpowiedzi na żądanie usunięcia dotyczących go danych osobowych, w tym w zakresie adresu IP, nadanego ID oraz części historii przeglądania oraz niepoinformowaniu go o działaniach podjętych w związku z jego żądaniem na podstawie art. 12 ust. 3 lub art. 12 ust. 4 RODO, w punkcie 1 udzielił [...] S.A. z siedzibą w [...] upomnienia za naruszenie art. 12 ust. 1 i 3 RODO polegające na nieudzieleniu J. O. informacji w związku wnioskiem dotyczącym przetwarzania jego danych osobowych, w terminie przewidzianym w art. 12 ust. 3 ww. aktu prawnego; w punkcie 2. umorzył postępowanie w pozostałym zakresie.

W uzasadnieniu organ wskazał, że w toku prowadzonego postępowania administracyjnego, ustalił następujący stan faktyczny:

1. Skarżący wskazał, że w dniu 5 maja 2021 r. Spółka udostępniła poprzez stronę internetową pod adresem [...] jego dane osobowe administratorowi serwisu [...] w zakresie nadanego ID, adresu IP i części historii przeglądania bez jego zgody oraz administratorowi serwisu [...] w zakresie adresu IP i części historii przeglądania bez jego zgody (dowód; pismo Skarżącego z dnia [...] czerwca 2021 r. wraz z załącznikami). 2. Skarżący w dniu 5 maja 2021 r. skierował na adres poczty elektronicznej Spółki, tj. e-mail: [...], żądanie prawa dostępu do danych w zakresie wskazania przesłanek uzasadniających udostępnienie przez Spółkę jego danych ww. podmiotom oraz wniósł o usunięcie jego danych z baz podmiotów, którym zostały one udostępnione. Do dnia złożenia skargi Skarżący nie otrzymał od Spółki odpowiedzi (dowód: pismo Skarżącego z dnia [...] czerwca 2021 r. wraz z załącznikami). 3. Spółka oświadczyła, że, cyt.: "Dane użytkowników serwisów [...] są przetwarzane przede wszystkim w celach: - wykonania umowy na linii Spółka - Użytkownik, tymi umowami są najczęściej regulaminy. Dane są przetwarzane na podstawie art. 6 ust. 1 lit b) RODO do czasu wygaśnięcia danej umowy; - pomiarów statystycznych; marketingu (w tym analizowania i profilowanie danych w celach marketingowych) produktów i usług administratora. Dane są przetwarzane na podstawie art. 6 ust. 1 lit. f) RODO, do czasu zgłoszenia skutecznego sprzeciwu; - marketingu (w tym analizowanie i profilowanie danych w celach marketingowych) dotyczącego produktów i usług podmiotów trzecich. Dane są przetwarzane na podstawie art. 6 i st. 1 lit. a) RODO, do czasu wycofania zgody." (dowód: wyjaśnienia Spółki z dnia [...] lipca 2021 r. wraz z załącznikami). 4. Według Spółki w momencie wejścia Skarżącego na stronę internetową [...] doszło do dwóch zdarzeń, cyt.: "[...]". Tym samym nie doszło do udostępnienia danych Skarżącego w zakresie adresu IP, nadanego ID oraz części historii przeglądania administratorowi serwisu [...]. Dodatkowo, według Spółki doszło do, cyt.: "[...]" (dowód: wyjaśnienia Spółki z dnia [...] lipca 2021 r. wraz z załącznikami). 5. Spółka wskazała, że, cyt.: "Na podstawie adresu poczty elektronicznej i innych danych osobowych zawartych we wniosku i skardze Spółka nie jest w stanie wyszukać w swoich zasobach danych lub informacji dotyczących możliwej do jednoznacznego zidentyfikowania osoby fizycznej - Skarżącego, zatem nie jest możliwe udzielenie odpowiedzi na pytanie w zakresie danych pozyskanych w związku z aktywnością w serwisie [...]." (dowód: wyjaśnienia Spółki z dnia [...] lipca 2021 r. wraz z załącznikami). 6. Spółka pozyskała dane osobowe Skarżącego w związku z jego wiadomością mailową z dnia [...] maja 2021 r. oraz wpływem skargi. Dane te przetwarzane są, cyt.: "w celu analizy i ustosunkowania się do wniosku Skarżącego z dnia [...] maja 2021 roku, na podstawie art. 6 ust. 1 11. c) w zw. z art. 12 ust. 1 w zw. z art. 15 ust. 1 Rozporządzenia (...), do czasu zakończenia analizy i ustosunkowania się do treści wniosku Skarżącego;", "w celu analizy i ustosunkowania się do treści pisma i skargi, na podstawie art. 6 ust. 1 lit. c) w zw. z art. 31 w zw. z art. 58 ust. 1 lit. a) i e) RODO, do czasu zakończenia analizy i ustosunkowania się do treści pisma i skargi;", "w celu zapewnienia realizacji zasady rozliczalności tj. na podstaw de art. 6 ust. 1 lit. c) w zw. z art. 5 ust. 2 RODO, przez okres 5 lat od 3 prawomocnego zakończenia postępowania przed Urzędem;", "w celu ustalenia, dochodzenia lub obrony przed ewentualnymi roszczeniami (które wobec złożenia skargi należało uznać za wysoce prawdopodobne) na podstawie art. 6 ust. 1 lit. f RODO, do czasu przedawnienia ewentualnych wzajemnych roszczeń, nie dłużej niż 6 lat od zakończenia roku kalendarzowego licząc od następnego roku w którym zaistniało zdarzenie mogące stanowić podstawę roszczeń;" (dowód: wyjaśnienia Spółki z dnia [...] lipca 2021 r. wraz z załącznikami). 7. Spółka oświadczyła, że nie udostępniła danych osobowych Skarżącego w związku ze zdarzeniami, do których doszło po wejściu Skarżącego na stronę internetową [...], administratorom serwisu [...] oraz [...] (dowód: wyjaśnienia Spółki z dnia [...] lipca 2021 r.). 8. W odniesieniu do wiadomości mailowej wysłanej przez Skarżącego, Spółka wskazała, że, cyt.: "wiadomość została automatycznie przeniesiona do folderu »SPAM/wiadomości śmieci« (...)." Spółka odpowiedziała na wiadomość Skarżącego po wszczęciu postępowania administracyjnego, tj. w dniu [...] lipca 2021 r. (dowód: wyjaśnienia Spółki z dnia [...] lipca 2021 r.).

Prezes UODO wskazał, że zapoznał się z całością zgromadzonego w sprawie materiału dowodowego. Następnie przywołał treść art. 12 ust. 1, ust. 3 RODO. Organ wskazał, że Spółka odpowiedziała na wiadomość mailową Skarżącego z dnia [...] maja 2021 r. dopiero w dniu [...] lipca 2021 r., po otrzymaniu od Prezesa UODO treści złożonej przez Skarżącego skargi. Organ wskazał, że zgodnie z art. 58 ust. 2 lit. b RODO, każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operację przetwarzania. W związku z powyższym Prezes UODO uznał za uzasadnione udzielenie Spółce upomnienia w zakresie stwierdzonego naruszenia przepisów art. 12 ust 1 i 3 RODO.

Organ wskazał następnie, że w rozumieniu RODO "dane osobowe" oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"), natomiast możliwa do zidentyfikowania osoba fizyczna to o sobą, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora, takiego jak np. identyfikator internetowy. W myśl Motywu 30 RODO osobom fizycznym mogą zostać przypisane identyfikatory internetowe “ takie jak adresy IP, identyfikatory plików cookie - generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób.

Wobec powyższego, jak wskazał Prezes UODO, zarówno adres IP Skarżącego, jak również powiązane z nim Cookie ID, informacje o przeglądarce i systemie operacyjnym oraz informacje o ruchu Skarżącego w serwisie [...], z uwagi na uzasadnione prawdopodobieństwo zidentyfikowania Skarżącego w powiązaniu z tymi danymi, stanowią jego dane osobowe.

Na marginesie organ wskazał, że zgodnie z art. 5 ust. 3 Dyrektywy 2002/58/WE Parlamentu europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dalej jako: dyrektywa o prywatności i łączności elektronicznej), zgodnie z którym Państwa Członkowskie zapewniają, że korzystanie z sieci łączności elektronicznej w celu przechowywania informacji lub uzyskania dostępu do informacji przechowanej na terminalu abonenta lub użytkownika jest dozwolone wyłącznie pod warunkiem że abonent lub użytkownik otrzyma jasną i wyczerpującą informację zgodnie z dyrektywą 95/46/WE, między innymi o celach przetwarzania, oraz zostanie zaoferowane mu prawo do odmówienia zgody na takie przetwarzanie przez kontrolera danych. Nie stanowi to przeszkody dla technicznego przechowywania danych lub dostępu do danych jedynie w celu wykonania lub ułatwiania transmisji komunikatu za pośrednictwem sieci łączności elektronicznej lub gdy jest to szczególnie niezbędne w celu dostarczania usługi społeczeństwa informacyjnego, wyraźnie zażądanej przez abonenta lub użytkownika. Ponadto, art. 173 ust. 1 i 2 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2021 r. poz. 576 t.j.) (dalej jako: Prawo telekomunikacyjne), stanowi, że przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone, pod warunkiem że: 1) abonent lub użytkownik końcowy zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o: a) celu przechowywania i uzyskiwania dostępu do tej informacji, b) możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi; 2) abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa w pkt 1, wyrazi na to zgodę. Natomiast w świetle ust. 3 wyżej przywołanego przepisu warunków, o których mowa w ust. 1, nie stosuje się, jeżeli przechowywanie lub uzyskanie dostępu do informacji, o której mowa w ust. 1, jest konieczne do; 1) wykonania transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej oraz 2) dostarczania usługi telekomunikacyjnej lub usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego. W myśl art. 2 pkt 4 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (t.j. Dz. U. z 2020 r. poz. 344) za świadczenie usługi drogą elektroniczną uznać należy wykonanie usługi świadczonej bez jednoczesnej obecności stron (na odległość), poprzez przekaz danych na indywidualne żądanie usługobiorcy, przesyłanej i otrzymywanej za pomocą urządzeń do elektronicznego przetwarzania, włącznie z kompresją cyfrową, i przechowywania danych, która jest w całości nadawana, odbierana lub transmitowana za pomocą sieci telekomunikacyjnej w rozumieniu Prawa telekomunikacyjnego. Wobec powyższego, zgoda użytkowników strony internetowej na instalowanie plików cookies na ich urządzeniu nie jest wymagana, m.in. gdy uzyskanie dostępu do informacji przechowywanych w telekomunikacyjnym urządzeniu końcowym użytkownika jest konieczne do dostarczenia usługi świadczonej drogą elektroniczną. Zgody nie wymaga się więc w sytuacji, gdy instalacja plików cookies, a co za tym idzie udostępnienie danych użytkownika strony internetowej są niezbędne do zapewnienia funkcjonowania strony, np. w aspekcie wyświetlania określonych treści czy zapewnienia jej bezpieczeństwa.

Organ wskazał, że jak wynika z zebranego w przedmiotowej sprawie materiału dowodowego, w szczególności złożonych przez Spółkę wyjaśnień, w momencie wejścia Skarżącego na administrowaną przez Spółkę stronę internetową [...] nastąpiło pobranie z serwisu [...] informacji o czcionkach i samych czcionek niezbędnych do prawidłowego wyświetlania treści strony internetowej, w tym treści planszy z obowiązkiem informacyjnym i umożliwiającej zarządzanie zgodami i sprzeciwami. Sam zaś skarżony proces przetwarzania danych osobowych polegający na ich udostępnieniu administratorowi serwisu [...] nie zaistniał. Nadto, nadane zostało ID, jednakże wobec niewyrażenia przez Skarżącego zgody, nie doszło do przetwarzania danych osobowych Skarżącego przez administratora serwisu [...]. Skarżony proces przetwarzania danych osobowych w przypadku tego drugiego podmiotu również nie miał miejsca.

Organ wskazał, że decyzje Prezesa UODO mogą być oparte o uprawnienia naprawcze, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679, w tym udzielenie upomnienia administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operację przetwarzania (art. 58 ust. 2 lit. b). W tej sprawie nie ma potrzeby stosowania żadnego z uprawnień naprawczych wobec procesu udostępnienia, czy też przekazania danych osobowych Skarżącego administratorom serwisów [...] i [...], bowiem taki nie zaistniał.

Z tego względu, jak wskazał organ, postępowanie w zakresie udostępnienia danych osobowych Skarżącego administratorom serwisów [...] i [...] podlega umorzeniu na podstawie art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t.j. Dz.U. z 2021 r. poz. 735), wobec jego bezprzedmiotowości.

J. O. zaskarżył decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] grudnia 2021 r. nr [...] do Wojewódzkiego Sądu Administracyjnego w Warszawie. Na rozprawie przed Wojewódzkim Sądem Administracyjnym w Warszawie w dniu 23 września 2022 r. skarżący, reprezentowany przez adwokata, sprecyzował przedmiot skargi wskazując, że przedmiotem zaskarżenia jest punkt 2 decyzji z dnia [...] grudnia 2021 r. Skarga nie obejmuje punktu 1 decyzji.

Skarżący podniósł w skardze m.in., że organ w zaskarżonej decyzji przyznał rację, że adres IP i Cookie ID stanowią jego dane osobowe. Prezes UODO umorzył postępowanie w zakresie dotyczącym udostępnienia danych osobowych wymienionym w decyzji podmiotom przez co Spółka nie otrzymała upomnienia ani kary dotyczącej przetwarzania jego danych osobowych bez ważnej podstawy prawnej. Skarżący wskazał, że według organu proces udostępnienia, czy przekazania danych nie zaistniał. Skarżący podniósł, że posiada jednak jednoznaczne dowody, które wskazują, że ten proces zaistniał. Dowody te, w postaci zrzutów ekranu z narzędzia do analizy ruchu sieciowego generowanego przez daną stronę wbudowanego w przeglądarkę [...], zostały też przedłożone jako część załącznika do jego skargi do Prezesa UODO złożonej w dniu [...] czerwca 2021.

Mając na uwadze, że wbrew treści decyzji Prezesa UODO, skarżone procesy przetwarzania jego danych osobowych w istocie miały miejsce, Prezes UODO powinien zastosować odpowiednie uprawnienia naprawcze wobec tych procesów, czego nie zrobił.

Prezes UODO w odpowiedzi na skargę wniósł o jej oddalenie, podtrzymując stanowisko zawarte w decyzji. Odnosząc się do wskazywania przez skarżącego na przedłożone w postępowaniu administracyjnym dowody w postaci zrzutów ekranu narzędzia do analizy ruchu na stronie internetowej wbudowanego w przeglądarkę internetową [...], organ wskazał, że wziął je pod uwagę podejmując także w tym zakresie wszelkie kroki niezbędne do dokładnego i obiektywnego wyjaśnienia stanu faktycznego sprawy, w tym porównał dostarczone przez Skarżącego zrzuty ekranu oraz dowody dostarczone przez Spółkę, w szczególności złożone przez nią wyjaśnienia, przytoczone powyżej (w stanie faktycznym).

Decyzja z dnia [...] grudnia 2021 r. wydana więc była w oparciu o materiał dowodowy wystarczający do ustalenia stanu faktycznego sprawy oraz na podstawie przepisów prawa. Wskazał, że okoliczności podniesione przez Spółkę zostały udowodnione. Materiał dowodowy jednoznacznie pozwalał więc na przyjęcie, że do skarżonego procesu przetwarzania danych osobowych, wbrew twierdzeniom Skarżącego, nie doszło.

Skarżący w piśmie procesowym z dnia 1 lutego 2022 r. odnosząc się do odpowiedzi na skargę wskazał, że zebrany w sprawie materiał dowodowy wskazuje jednoznacznie na to, że przedmiotowa strona www dokonała zapisu oraz odczytu treści plików Cookie dotyczących domeny [...] na jego komputerze. Nie został przez tę stronę wobec tych plików cookie spełniony żaden z warunków wymienionych w art. 173 ust. 1, pkt 1 ustawy Prawo telekomunikacyjne. Skarżący podniósł, że nie został uprzednio poinformowany o celu przechowywania i uzyskiwania dostępu do treści tego pliku cookie przez stronę [...]. Nie wyraził też zgody na taki dostęp do plików cookie w sposób spełniający kryteria opisane w art. 173, ust. 1 pkt 2 Prawa telekomunikacyjnego. Faktu posiadania włączonej obsługi plików Cookie w jego przeglądarce nie można traktować jako zgody w rozumieniu tych warunków, gdyż nie dano mu szansy na zmianę tych ustawień przeglądarki przed dokonaniem zapisu i odczytu tego pliku Cookie. Podniósł m.in., że [...] ma dane, technologię, infrastrukturę i motywację finansową do tego, aby przypisać do tych pozornie niewinnych danych (IP, User Agent, część historii odwiedzin) konkretną osobę fizyczną (skarżącego). Dlatego też te dane stanowiły i stanowią jego dane osobowe, i te dane osobowe zostały udostępnione firmie [...] bez ważnej podstawy prawnej.

Na rozprawie przed Wojewódzkim Sądem Administracyjnym w Warszawie w dniu 23 września 2022 r. pełnomocnik skarżącego wniósł o uchylenie punktu 2 decyzji, zarzucając naruszenie art. 7, 77 § 1, art. 80, art. 107 § 3 i art. 105 § 1 k.p.a., które mogło mieć istotny wpływ na wynik sprawy.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.

Skarga na punkt 2 decyzji z dnia [...] grudnia 2021 r. podlegała uwzględnieniu, albowiem decyzja w tym zakresie wydana została z naruszeniem prawa procesowego, tj. art., 7, art. 77 § 1, art. 80 i art. 107 § 3 k.p.a., które mogło mieć istotny wpływ na wynik sprawy. Organ naruszył także art. 105 § 1 k.p.a., albowiem jego zastosowanie w okolicznościach niniejszej sprawy było co najmniej przedwczesne.

W punkcie 2 decyzji Prezes UODO umorzył postępowanie "w pozostałym w zakresie". Z określonego w decyzji przedmiotu postępowania wnioskować należy, że umorzenie obejmuje przeprowadzone przez organ postępowanie w zakresie nieprawidłowości w procesie przetwarzania danych osobowych skarżącego przez [...] S.A., polegające na udostępnieniu jego danych osobowych w zakresie nadanego ID, adresu IP i części historii przeglądania bez zgody skarżącego poprzez stronę internetową pod adresem: [...] podmiotowi nieupoważnionemu, tj. administratorowi serwisu [...], udostępnieniu jego danych osobowych w zakresie adresu IP i części historii przeglądania bez jego zgody poprzez stronę internetową pod adresem: [...] podmiotowi nieupoważnionemu, tj. administratorowi serwisu [...].

Prezes Urzędu umorzenie postępowania w tym zakresie oparł na wskazaniu, że w momencie wejścia Skarżącego na administrowaną przez Spółkę stronę internetową [...] nastąpiło pobranie z serwisu [...] informacji o czcionkach i samych czcionek niezbędnych do prawidłowego wyświetlania treści strony internetowej, w tym treści planszy z obowiązkiem informacyjnym i umożliwiającej zarządzanie zgodami i sprzeciwami. Sam zaś skarżony proces przetwarzania danych osobowych, jak podał organ, polegający na ich udostępnieniu administratorowi serwisu [...] nie zaistniał. Nadto, nadane zostało ID, jednakże – jak wskazał PUODO – wobec niewyrażenia przez Skarżącego zgody, nie doszło do przetwarzania danych osobowych Skarżącego przez administratora serwisu [...]. Skarżony proces przetwarzania danych osobowych w przypadku tego drugiego podmiotu także zdaniem organu nie miał miejsca.

Organ wskazał, że powyższe wynika z materiału dowodowego, w szczególności złożonych przez Spółkę wyjaśnień.

W ocenie Sądu organ w sprawie tej nie dokonał pełnych ustaleń stanu faktycznego i nie rozważył wszechstronnie całego materiału dowodowego (art. 7, art. 77 § 1 k.p.a.). Wskazania wymaga przy tym, że zgodnie z art. 107 § 3 k.p.a., uzasadnienie faktyczne decyzji powinno w szczególności zawierać wskazanie faktów, które organ uznał za udowodnione, dowodów, na których się oparł, oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej, zaś uzasadnienie prawne - wyjaśnienie podstawy prawnej decyzji, z przytoczeniem przepisów prawa.

Zauważyć należy w związku z tym, że organ stwierdzając w niniejszej sprawie, że proces udostępnienia przez Spółkę danych osobowych skarżącego wskazanym w decyzji podmiotom nie miał miejsca, nie odniósł się w uzasadnieniu decyzji do dowodów przedłożonych przez skarżącego w postępowaniu administracyjnym w postaci "zrzutów ekranu z narzędzia do analizy ruchu sieciowego generowanego przez daną stronę wbudowanego w przeglądarkę [...]".

W odpowiedzi na skargę organ stwierdził, że wziął pod uwagę te dowody, w tym "porównał dostarczone przez Skarżącego zrzuty ekranu oraz dowody dostarczone przez Spółkę, w szczególności złożone przez nią wyjaśnienia (...)". Nie potwierdza tego jednak uzasadnienie decyzji, które w żaden sposób nie odnosi się do przedłożonego przez stronę materiału dowodowego. Z uzasadnienia decyzji nie wynika, aby organ podejmując rozstrzygnięcie zawarte w punkcie 2 decyzji oparł się w jakimkolwiek zakresie na przedłożonych przez stronę materiałach, aby je analizował. Jeśli zaś organ materiały te poddał analizie, to z uzasadnienia decyzji nie wynika, jakie na ich podstawie poczynił ustalenia.

Dla zajęcia przez organ stanowiska, czy kwestionowany przez stronę proces przetwarzania przez Spółkę (udostępnienia danych osobowych innym podmiotom) miał miejsce nie jest wystarczające samo przywołanie wyjaśnień Spółki, w sytuacji, gdy strona przedłożyła "zrzut ekranu", który jej zdaniem wskazuje jednoznacznie, że udostępnienie danych miało miejsce.

Takie postępowanie organu, w którym stwierdzenie bezprzedmiotowości postępowania, nie zostało poprzedzone wyczerpującym rozpatrzeniem całego materiału dowodowego, narusza art. 77 § 1 k.p.a., które to uchybienie mogło mieć istotny wpływ na wynik sprawy. W tej sytuacji, ocena organu, która stała się podstawą umorzenia postępowania we wskazanym w punkcie 2 decyzji zakresie, musiała zostać uznana na tym etapie sprawy, za dowolną, a zatem naruszającą w sposób istotny art. 80 k.p.a.

Kwestia ta ma przy tym o tyle istotne znaczenie, że ściśle wiąże się z wyrażonym przez organ w decyzji twierdzeniem, że "zarówno adres IP Skarżącego, jak również powiązane z nim Cookie ID, informacje o przeglądarce i systemie operacyjnym oraz informacje o ruchu Skarżącego w serwisie [...], z uwagi na uzasadnione prawdopodobieństwo zidentyfikowania Skarżącego w powiązaniu z tymi danymi, stanowią jego dane osobowe".

Powyższe twierdzenie organu nie jest do końca zrozumiałe. Wskazuje bowiem, że te wymienione przez organ dane w powiązaniu z tymi samymi danymi stanowią dane osobowe "z uwagi na uzasadnione prawdopodobieństwo zidentyfikowania Skarżącego". Organ nie wyjaśnia jednak w jaki sposób Spółka mogłaby mając te dane zidentyfikować skarżącego, co stanowi o dowolnej ocenie w zakresie zakwalifikowania kwestionowanych przez Skarżącego danych jako danych osobowych, a tym samym narusza w sposób istotny art. 80 i art. 107 § 1 pkt 3 k.p.a.

Nadto, postępowanie administracyjne – jak wynika z decyzji i skargi wszczynającej postępowanie przed Prezesem UODO – dotyczyło numeru ID, adresu IP i części historii przeglądania (udostępnienie tych informacji było bowiem kwestionowane przez skarżącego), zatem konieczne jest stwierdzenie przez organ po pierwsze, czy Spółka dysponowała (we wskazywanej przez skarżącego dacie) i dysponuje tymi informacjami, a jeśli tak, to czy stanowią one dane osobowe skarżącego w rozumieniu RODO i czy tym samym można mówić o ich przetwarzaniu przez Spółkę. Kwestia ta powinna być punktem wyjścia do dokonania przez organ następnie ustaleń co do tego, czy nastąpiło udostępnienie przez Spółkę danych osobowych skarżącego innym podmiotom.

Na obecnym etapie postępowania, twierdzenie PUODO, oparte na samej definicji danych osobowych zawartej w art. 4 pkt 1 RODO i motywie 30 RODO nie stanowi o wykazaniu przez PUODO, że Spółka przetwarza dane osobowe skarżącego. Wziąć trzeba przy tym pod uwagę całe wyjaśnienia Spółki, które wpłynęły do organu w dniu 14 lipca 2021 r. na wezwanie wystosowane przez organ 1 lipca 2021 r., a nie jedynie wybrane przez organ fragmenty przytoczone w stanie faktycznym decyzji. Spółka wskazywała bowiem w tych wyjaśnieniach m.in., że "nie jest w stanie wyszukać w swoich zasobach danych lub informacji dotyczących możliwej do zidentyfikowania osoby fizycznej – Skarżącego. (...)". Także w odpowiedzi na drugie pytanie organu "czy Spółka aktualnie przetwarza dane osobowe Skarżącego, w tym w zakresie nadanego ID, jego adresu IP oraz historii przeglądania strony internetowej pod adresem; [...], (...)", Spółka wskazała m.in., że "(...) nie jest w stanie wyszukać w swoich zasobach danych lub informacji dotyczącej możliwej do jednoznacznego zidentyfikowania osoby fizycznej – Skarżącego, a zatem nie jest możliwe udzielenie odpowiedzi na pytanie w zakresie danych pozyskanych w związku z aktywnością w serwisie [...]. (...)". Spółka podniosła też m.in., że "pozyskała dane Skarżącego 5 maja 2021 roku wraz z wpływem wniosku Skarżącego, a następnie dnia 2 lipca 2021 r., tj. w dacie wpływu pisma Urzędu Ochrony Danych Osobowych wraz z kopią skargi (...)". Organ wyjaśnień tych nie rozważył przy rozpatrywaniu sprawy lecz arbitralnie stwierdził w decyzji, że "adres IP Skarżącego, jak również powiązane z nim Cookie ID, informacje o przeglądarce i systemie operacyjnym oraz informacje o ruchu Skarżącego w serwisie [...]" stanowią dane osobowe skarżącego.

Wskazania wymaga w związku z tym, że dane osobowe oznaczają, zgodnie z art. 4 pkt 1 RODO, wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. W powołanej definicji jest mowa zatem o zidentyfikowanej lub co najmniej możliwej do zidentyfikowania osobie fizycznej.

W motywie 30 RODO w istocie mówi się, że osobom fizycznym mogą zostać przypisane identyfikatory internetowe - takie jak adresy IP, identyfikatory plików cookie - generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób.

Organ nie wyjaśnił w decyzji jednakże, czy Spółka miała możliwość zidentyfikowania skarżącego i za pomocą jakiego konkretnego identyfikatora, czy narzędzia bądź informacji. Jest to o tyle istotne, że Spółka twierdziła w wyjaśnieniach skierowanych do organu, o których była mowa wyżej, że "nie jest w stanie wyszukać w swoich zasobach danych lub informacji dotyczących możliwej do jednoznacznego zidentyfikowania osoby fizycznej – Skarżącego".

Tymczasem, zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych (motyw 26 RODO). W motywie 26 RODO mówi się też, że aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować.

Twierdzenie organu, że określone informacje stanowią dane osobowe, w rozumieniu RODO, konkretnej osoby fizycznej – w tym przypadku skarżącego, nie może zatem opierać się na gołosłownym twierdzeniu o uzasadnionym prawdopodobieństwie zidentyfikowania skarżącego, jak należy domniemywać, przez Spółkę, jako administratora. Powyższe wymagało wykazania.

Sąd pragnie, w tym aspekcie, zwrócić uwagę, że Trybunał Sprawiedliwości Unii Europejskiej w wyroku z dnia 19 października 2016 r. C-582/14, Patrick Breyer v. Bundesrepublik Deutschland (www.eurlex.europa.eu, Lex nr 2137626) odwołał się do punktu 51 wyroku z dnia 24 listopada 2011 r., Scarlet Extended (C-70/10, EU:C:2011:771), w którym Trybunał uznał zasadniczo, że adresy IP użytkowników Internetu stanowią chronione dane osobowe, jako że pozwalają na precyzyjną identyfikację tych użytkowników. Trybunał wskazał jednakże, że powyższe twierdzenie odnosiło się do przypadku, w którym gromadzenie i identyfikacja adresów IP użytkowników Internetu są dokonywane przez dostawców dostępu do Internetu (pkt 33 i 34 wyroku).

W rozpatrywanej sprawie Prezes UODO nie wykazał w odniesieniu do punktu 2 decyzji, czy Spółka jako dostawca usług medialnych (a nie dostawca dostępu do Internetu) dysponuje jakimikolwiek dodatkowymi informacjami (i jakimi konkretnie), które umożliwiają zidentyfikowanie skarżącego. Nadto, z decyzji organu nie wynika, czy np. adres IP, który organ kwalifikuje jako daną osobową jest adresem "dynamicznym" (tymczasowym, przydzielanym każdemu połączeniu z Internetem), czy "statycznym" (niezmiennym i umożliwiającym stałą identyfikację urządzenia podłączonego do sieci").

Oczywiście, w świetle powołanego orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej, które w ocenie Sądu nie straciło na aktualności w tym zakresie, nie można wykluczyć, m.in., że "dynamiczny adres IP zarejestrowany przez dostawcę usług medialnych online przy okazji przeglądania przez daną osobę strony internetowej, którą dostawca ten udostępnia publicznie, stanowi wobec tego dostawcy dane osobowe w rozumieniu tego przepisu, w sytuacji gdy dysponuje on środkami prawnymi umożliwiającymi mu zidentyfikowanie osoby, której dane dotyczą, dzięki dodatkowym informacjom, jakimi dysponuje dostawca dostępu do Internetu dla tej osoby."

Kwestii tej nie sposób jednakże przesądzić na tym etapie postępowania, wobec braku istotnych ustaleń ze strony organu.

Ponownie rozpatrując sprawę organ uwzględni przedstawioną wyżej ocenę prawną i wskazania w zakresie należytego wyczerpującego rozpatrzenia zgromadzonego materiału dowodowego. W razie konieczności organ zwróci się do strony lub stron postępowania o złożenie dodatkowych wyjaśnień niezbędnych do należytego rozpatrzenia sprawy.

Raz jeszcze podkreślić należy, że dokonanie ustalenia, czy określony numer, identyfikator internetowy bądź inne informacje (o których mowa w skardze inicjującej postępowanie przed PUODO) stanowią dane osobowe wymaga poczynienia ustaleń, czy Spółka ma możliwość bezpośredniego bądź pośredniego zidentyfikowania osoby fizycznej, tj. skarżącego. Zatem, konieczne jest stwierdzenie, czy Spółka dysponuje bądź to innymi informacjami (należy wskazać jakimi konkretnie), które na taką identyfikację według Prezesa UODO pozwalają, bądź środkami, instrumentami, narzędziami, które może w sposób prawem przewidziany – w ściśle określonej w sprawie sytuacji – wykorzystać, aby uzyskać od dostawcy dostępu do Internetu informacje pozwalające na taką identyfikację osoby fizycznej. Jeśli zaś zdaniem organu informacje te same w sobie pozwalają Spółce na identyfikację osoby skarżącego bądź umożliwiają taką identyfikację skarżącego, to należy wskazać w jaki sposób każda z tych informacji, o których mowa w skarze inicjującej postępowanie przed Prezesem UODO, identyfikację tę czyni możliwą.

Przy dokonywaniu oceny możliwości zidentyfikowania skarżącego należy wziąć pod uwagę, jak wynika z motywu 26 RODO, że "(...) Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny".

Zależnie od poczynionych ustaleń i wyczerpującej oceny całego materiału dowodowego, z uwzględnieniem art. 4 pkt 1 RODO, motywu 26 w zw. z motywem 30 RODO, organ podejmie stosowną decyzję. Z uzasadnienia decyzji powinno jednoznacznie wynikać jakie dane (informacje), o których mowa w sprawie, organ uznał za dane osobowe i dlaczego, jakich danych (informacji) nie uznał za dane osobowe i dlaczego, na jakich dowodach organ się oparł, jakich dowodów organ nie uwzględnił i dlaczego nie dał im wiary. Decyzja nie powinna pozostawiać wątpliwości dlaczego w ocenie organu miało miejsce przetwarzanie danych osobowych (w tym ewentualnie ich udostępnienie przez Spółkę innym podmiotom) bądź nie miało miejsca przetwarzanie danych osobowych skarżącego, w tym ich udostępnienie przez Spółkę innym podmiotom.

Mając powyższe na uwadze, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit. c ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2022 r., poz. 329 ze zm.), orzekł jak w punkcie 1 wyroku. O zwrocie kosztów postępowania sądowego, jak w punkcie 2 wyroku, Sąd orzekł na podstawie art. 200 w zw. z art. 205 powołanej ustawy. Do kosztów tych Sąd zaliczył uiszczony wpis sądowy od skargi w wysokości 200 zł, wynagrodzenie adwokata reprezentującego skarżącego w wysokości 480 zł i opłatę od dokumentu pełnomocnictwa 17 zł.