Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Olga Żurawska - Matusiak Sędziowie Sędzia NSA Rafał Stasikowski Sędzia del. WSA Maciej Kobak (spr.) po rozpoznaniu w dniu 10 października 2024 r. na rozprawie w Izbie Ogólnoadministracyjnej przy udziale Rzecznika Praw Dziecka skargi kasacyjnej Prezesa Urzędu Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 7 sierpnia 2020 r., sygn. akt II SA/Wa 809/20 w sprawie ze skargi Szkoły X na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 18 lutego 2020 r., nr ZSZZS.440.768.2018.FT.MW.66936 w przedmiocie przetwarzania danych osobowych oddala skargę kasacyjną.

Wyrokiem z dnia 7 sierpnia 2020 r. sygn. akt II SA/Wa 809/20, Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu skargi Szkoły X (dalej: "skarżąca" lub "szkoła") uchylił decyzję Prezesa Urzędu Ochrony Danych Osobowych (dalej: "organ") z dnia 18 lutego 2020 r., nr ZSZZS.440.768.2018.FT.MW.66936 w przedmiocie przetwarzania danych osobowych.

Powyższy wyrok zapadł w następujących okolicznościach faktycznych i prawnych sprawy.

Prezes Urzędu Ochrony Danych Osobowych na skutek powzięcia informacji o nieprawidłowościach w procesie przetwarzania danych osobowych uczniów skarżącej szkoły, polegających na gromadzeniu odcisków palców dzieci korzystających z usług stołówki szkolnej, wszczął z urzędu postępowanie wyjaśniające.

Ustosunkowując się do wezwania organu, skarżąca złożyła obszerne wyjaśnienia w pismach z dnia 27 grudnia 2018 r. i 30 września 2019 r. W pierwszym z nich podała m. in., że korzysta z czytnika biometrycznego o nazwie Kontroler Papilarno-Transponderowy KPT, umieszczonego przy wejściu do stołówki szkolnej, który identyfikuje dzieci pobierające posiłki w celu weryfikacji uiszczenia opłaty za posiłek wydany w danym dniu. Skarżąca wskazała, że pozyskuje dane biometryczne swoich uczniów na podstawie pisemnej zgody rodzica (opiekuna prawnego), oraz że nie posiada żadnego zbioru, który zawierałby obrazy linii papilarnych dzieci.

Zgodnie z wyjaśnieniami skarżącej, rodzic posiadał możliwość wyrażenia zgody na korzystanie z czytnika na odcisk palca, lub jej nieudzielenia. Strona skarżąca poinformowała ponadto, że po rozwiązaniu umowy o korzystanie z obiadów w stołówce szkolnej dane potrzebne do identyfikacji na odcisk palca, czyli ciąg bajtów zapisany w czytniku zostaje usunięty.

W wyniku analizy zgromadzonego materiału dowodowego, organ decyzją z dnia 18 lutego 2020 r. nr ZSZZS.440.768.2018.FT.MW.66936 działając na podstawie

art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256, dalej: "k.p.a.") oraz art. 7 ust. 1 i 2, art. 60 i art. 102 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000 ze zm.; dalej: "u.o.d.o.") w związku z art. 5 ust. 1 lit. c, art. 9 ust. 1, art. 58 ust. 2 lit. f, lit. g i lit. i oraz z art. 83 ust. 2 i 3, art. 83 ust. 5 lit. a, art. 83 ust. 7 rozporządzenia Parlamentu

Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46AA/E (ogólne rozporządzenie o ochronie danych) (Dz. U. UE.L.2016.119.1, dalej: "RODO") nakazał skarżącej usunięcie danych osobowych w zakresie przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci korzystających z usług stołówki szkolnej (pkt 1); zaprzestanie zbierania danych osobowych w zakresie przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci korzystających z usług stołówki szkolnej (pkt 2); a także nałożył na skarżącą karę pieniężną w wysokości 20.000,00 złotych za naruszenie stwierdzone w tej decyzji (pkt 3).

Prezes UODO stwierdził, że – wbrew wyjaśnieniom strony skarżącej - pozyskane przez nią dane uczniów, obejmujące informacje o charakterystycznych punktach linii papilarnych palców przetworzone do postaci zapisu cyfrowego, stanowią dane biometryczne, w rozumieniu przepisu art. 4 pkt 14 RODO. Organ zauważył bowiem, że w wyniku zestawienia wzorca biometrycznego zarejestrowanego na urządzeniu z palcem dziecka przyłożonym do czytnika biometrycznego, a także pozostałymi informacjami (m.in. numerem pozycji, imieniem, nazwiskiem, klasą oraz uprawnieniniem do odebrania obiadu) możliwa jest jego identyfikacja.

Organ zwrócił uwagę, że przetwarzanie szczególnej kategorii danych osobowych, do której należą dane biometryczne, regulowane jest w art. 9 ust. 1 RODO, zgodnie z którym, przetwarzanie danych osobowych ujawniających dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej jest zabronione.

Na marginesie Prezes UODO podkreślił, że zasady wydawania obiadów umieszczone na stronie internetowej stołówki prowadzonej przez skarżącą wprowadzają nierówne traktowanie uczniów, ponieważ wyraźnie promują uczniów posiadających identyfikację biometryczną.

W piśmie z dnia 16 marca 2020 r. skarżąca, działając za pośrednictwem organu, wniosła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na powyższą decyzję. Wnosząc o jej uchylenie, a także o zasądzenie od organu nadzorczego zwrotu kosztów postępowania według norm przepisanych, skarżąca zarzuciła naruszenie przepisów prawa materialnego - poprzez błędną ich interpretację przez organ nadzorczy.

W uzasadnieniu skargi skarżąca stwierdziła, że choć sporna decyzja organu wydaje się być kontrowersyjną zwłaszcza w stwierdzeniu, że zgoda rodzica nie może być przesłanką legalizującą przetwarzanie danych biometrycznych, natychmiast po jej wydaniu tj. w dniu 24 lutego 2020 r. usunęła dane osobowe w zakresie przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci korzystających z usług stołówki szkolnej oraz zaprzestała zbierania danych osobowych w zakresie przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci korzystających z usług stołówki szkolnej.

Niezależnie od powyższego, skarżąca nie zgodziła się z zawartym w spornej decyzji stwierdzeniem organu nadzorczego, jakoby pozyskane przez skarżącą dane uczniów obejmujące informacje o charakterystycznych punktach linii papilarnych palców przetworzone do postaci zapisu cyfrowego, stanowiły dane biometryczne w rozumieniu przepisu art. 4 pkt 14 RODO.

Skarżąca podniosła, że załączyła do skargi opinię specjalisty systemów automatycznej identyfikacji, w której stwierdzono, że sporne dane osobowe pobierane przez nią nie są danymi biometrycznymi.

W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując swoje dotychczasowe stanowisko. Stwierdził, że z uwagi na charakter przetwarzania (specjalne przetwarzanie techniczne), a także charakter samych danych, które dotyczą cech fizjologicznych i fizycznych, wskazać należy, że przetwarzane do postaci cyfrowej informacje o charakterystycznych punktach linii papilarnych palców dzieci stanowią dane biometryczne, albowiem służą do zautomatyzowanej weryfikacji uprawnienia konkretnej osoby fizycznej.

Organ nadzorczy wskazał, że w takiej sytuacji zgoda rodzica nie może być przesłanką legalizującą przetwarzanie danych biometrycznych, ponieważ zgoda stanowi podstawę legalizującą przetwarzanie danych osobowych jedynie wtedy, gdy nie istnieją inne przesłanki na te przetwarzanie. Zdaniem Prezesa UODO, uznanie faktu wyrażenia zgody przez rodziców dzieci, jako okoliczności legalizującej pobranie od dzieci innych danych, niż wskazane przez polskiego prawodawcę, stanowiłoby obejście tych przepisów. W związku z powyższym, organ nadzorczy uznał, że przetwarzanie przez skarżącą danych biometrycznych uczniów jest niezgodne z zasadą minimalizacji.

Mając na uwadze powyższe ustalenia, organ stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki warunkujące nałożenie na skarżącą administracyjnej kary pieniężnej. Zauważył jednocześnie, że decydując o jej nałożeniu i ustalając jej wysokość, kierował się treścią art. 83 ust. 2 RODO, biorąc pod uwagę szczegółowo określone w zaskarżonym rozstrzygnięciu okoliczności indywidualne dotyczące przedmiotowej sprawy.

Opisanym na wstępie wyrokiem WSA w Warszawie uwzględnił skargę.

Sąd doszedł do wniosku, że organ nadzorczy, wydając decyzję dopuścił się przede wszystkim istotnego naruszenia przepisów RODO, w szczególności art. 5 ust. 1 lit. c oraz art. 9 ust. 1 i ust. 2 lit. a RODO - poprzez ich niewłaściwą wykładnię

i zastosowanie, a w konsekwencji wadliwe uznanie, że skarżąca, przetwarzając dane biometryczne swoich uczniów podczas korzystania przez nich z usług stołówki szkolnej, dopuściła się zarówno naruszenia zasady "minimalizacji danych", o której mowa w art. 5 ust. 1 lit. c RODO, jak również naruszenia polegającego na przetwarzaniu wspomnianych wyżej danych wrażliwych (sensytywnych) ze złamaniem zakazu przetwarzania takich danych, o którym mowa w art. 9 ust. 1 RODO, z uwagi na niespełnienie - zdaniem organu nadzorczego - jednej z przesłanek uchylających ów zakaz, na którą powoływała się strona skarżąca, a która polegać miała na wyrażeniu wyraźnej zgody przez osobę, której dane dotyczą (art. 9 ust. 2 lit. a RODO). W konsekwencji istotnego naruszenia przepisów RODO, organ w sposób nieuzasadniony zastosował uprawienia wynikające z przepisów art. 58 ust. 2 lit. f i lit. g RODO, nakazując skarżącej usunięcie danych osobowych w zakresie przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci korzystających z usług stołówki szkolnej, a także w sposób nieuprawniony nakazując stronie skarżącej zaprzestanie zbierania wspomnianych danych biometrycznych uczniów.

Jednocześnie, w ocenie Sądu, organ nadzorczy w sposób nieuzasadniony zastosował wobec skarżącej Szkoły uprawienie wynikające z przepisów art. 58 ust. 2 lit. i w związku z art. 83 RODO, nakładając na stronę skarżącą karę pieniężną w wysokości 20.000,00 złotych.

Zdaniem Sądu, nie można zgodzić się ze stanowiskiem zaprezentowanym przez organ nadzorczy, jakoby wspomniana wyżej pisemna zgoda przez skarżącą nie świadczyła o spełnieniu przez administratora spornych danych przesłanki, o której mowa w art. 9 ust. 2 lit. a RODO. W tej sytuacji Sąd uznał, że - wbrew stanowisku organu nadzorczego - skarżąca nie naruszyła generalnego zakazu przetwarzania danych osobowych ustanowionego w przepisie art. 9 ust. 1 RODO, albowiem legitymowała się wyraźną zgodą na przetwarzanie danych biometrycznych uczniów udzieloną przez ich rodziców.

Zaprezentowana przez organ nadzorczy wykładnia art. 5 ust. 1 lit. c RODO

i wyrażonej w nim zasady minimalizacji danych jest w ocenie WSA błędna, gdyż w sposób nieuprawniony pomija w ramach jej oceny istotny aspekt adekwatności i stosowności, co prowadzi w konsekwencji do zbyt rygorystycznego postrzegania tej zasady. Sąd uznał, że nie można zgodzić się z organem nadzorczym, iż przetwarzanie przez skarżącą danych biometrycznych uczniów jest niezgodne z zasadą minimalizacji, o której mowa w art. 5 ust. 1 lit. c RODO.

Zdaniem Sądu, nie ulega wątpliwości, że skarżąca, jako administrator spornych danych biometrycznych, uzasadniła w toku postępowania wyjaśniającego istnienie uzasadnionego związku między celem przetwarzania a ustalonym przez nią zakresem danych, które planuje przetwarzać, a także wyjaśniła w sposób precyzyjny, dlaczego poprzednio stosowane metody weryfikacji danych okazały się nie spełniać pokładanych oczekiwań.

Skład orzekający uznał, że organ, wydając sporną decyzję administracyjną – dopuścił się w powyższym zakresie istotnego naruszenia zasady praworządności wyrażonej w przepisach art. 6 k.p.a. i art. 7 in principia k.p.a. oraz art. 7 Konstytucji RP. Analizowane działanie organu w sposób istotny naruszało także zasadę zaufania obywateli do organów praworządnego państwa i stosowanego przez nie prawa, wyrażonej w art. 8 k.p.a. Nie ulega bowiem wątpliwości, że zasada zaufania wyrażona w powyższym przepisie ma kontekst konstytucyjny i unijny, zaś organy administracji publicznej są obowiązane, w ramach wykładni zgodnej z prawem UE i Konstytucją RP, uwzględniać, że zasada zaufania, również w aspekcie procesowym, jest zasadniczym elementem zasady demokratycznego państwa prawa i jako taka ma swoje umocowanie i źródło w art. 2 Konstytucji RP.

Skargę kasacyjną od powyższego wyroku wniósł organ, kwestionując go w całości i zarzucając mu:

a) naruszenie przepisów postępowania, tj. art. 145 § 1 pkt 1 lit. c) ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r. poz. 2325, dalej: "p.p.s.a.") w związku z art. 6, 7, 8 K.p.a. oraz art. 7 Konstytucji poprzez błędne uznanie, że organ wydając sporną decyzję dopuścił się istotnego naruszenia zasady praworządności i zasady zaufania obywateli do organów praworządnego państwa i stosowanego przez nie prawa, co miało istotny wpływ na wynik sprawy, skutkujący uchyleniem zaskarżonej decyzji.

b) naruszenie przepisów prawa materialnego, tj.:

i. art. 5 ust. 1 lit. c) RODO, określającego zasadę minimalizacji danych poprzez jego błędną wykładnię, polegającą na przyjęciu przez Sąd I instancji, że przetwarzanie danych biometrycznych dzieci w celu korzystania przez nie ze stołówki szkolnej jest adekwatne do celu, w którym są przetwarzane;

ii. naruszenie przepisów prawa materialnego, tj. art. 9 ust. 2 lit. a RODO, poprzez jego błędną wykładnię i niewłaściwe zastosowanie polegające na przyjęciu, że przetwarzanie danych biometrycznych dzieci w celu korzystania przez nie ze stołówki szkolnej znajduje oparcie w dobrowolnej zgodzie ich rodziców (opiekunów prawnych);

Na podstawie powyższych zarzutów wniesiono o uchylenie w całości zaskarżonego wyroku i przekazanie sprawy do ponownego rozpoznania, rozpoznanie skargi kasacyjnej na rozprawie oraz zasądzenie zwrotu kosztów postępowania według norm przepisanych.

Naczelny Sąd Administracyjny zważył, co następuje:

Stosownie do art. 183 § 1 p.p.s.a., Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania. W rozpoznawanej sprawie nie zachodzi żadna z okoliczności skutkujących nieważnością postępowania, o jakich mowa w art. 183

§ 2 p.p.s.a. i nie zachodzi żadna z przesłanek, o których mowa w art. 189 p.p.s.a., które Naczelny Sąd Administracyjny rozważa z urzędu dokonując kontroli zaskarżonego skargą kasacyjną wyroku. Wobec tego Naczelny Sąd Administracyjny przeszedł do zbadania zarzutów kasacyjnych.

Skarga kasacyjna jest niezasadna i jako taka podlega oddaleniu. Skarga kasacyjna jest sformalizowanym środkiem zaskarżenia wyznaczającym granice kontroli instancyjnej sprawowanej przez Naczelny Sąd Administracyjny. Na podmiocie wnoszącym skargę kasacyjną spoczywa obowiązek wyznaczenia jej granic poprzez prawidłowe sformułowanie podstaw zaskarżenia – zarzutów. Naczelny Sąd Administracyjny kontroluje zaskarżone skargą kasacyjną orzeczenie sądu pierwszej instancji przez pryzmat podniesionych w niej naruszeń prawa. Możliwość przeprowadzenia tej kontroli uzależniona jest od identyfikowalności tych naruszeń. Innymi słowy, Naczelny Sąd Administracyjny może przeprowadzić kontrolę orzeczenia Sądu pierwszej instancji, jeżeli w skardze kasacyjnej powołano konkretne przepisy prawa, które w ocenie wnoszącego ten środek zaskarżenia zostały naruszone.

Przed przystąpieniem do merytorycznej oceny podniesionych w skardze kasacyjnej zarzutów należy podać zbiór faktów i ocen prawnych, które z uwagi na granice skargi kasacyjnej pozostają bezsporne w tym znaczeniu, że nie podlegają weryfikacji instancyjnej. Za bezsporne należało zatem uznać, że:

1. Szkoła przetwarzała dane biometryczne dzieci podczas korzystania przez nie ze stołówki szkolnej;

2. Dane biometryczne obejmowały odciski palców przetworzone do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców;

3. Szkoła przetwarzała ww. dane biometryczne na podstawie pisemnej zgodny rodziców dzieci;

4. Szkoła przetwarzała dane biometryczne dzieci w celu zweryfikowania, czy w danym dniu mają opłacony posiłek na stołówce.

Mając na uwadze powyższe niekwestionowane elementy podstawy faktycznej

i prawnej zaskarżonego wyroku WSA, Naczelny Sąd Administracyjny negatywnie zweryfikował zarzut błędnej wykładni art. 5 ust. 1 lit. c) RODO. Naruszenia tego przepisu skarżący kasacyjnie upatruje w wadliwym przyjęciu przez WSA, że przetwarzanie danych biometrycznych dzieci w celu korzystania przez nie ze stołówki szkolnej jest adekwatne do celu, w którym są przetwarzane.

Wstępnie trzeba odnotować, że art. 5 ust. 1 RODO wyraża zasady przetwarzania danych osobowych. Jest to przepis, który określa obowiązki, jakie spoczywają na administratorze danych osobowych i dodatkowo zobowiązuje go do tego, aby zawsze mógł wykazać, że się do nich stosuje – art. 5 ust. 2 RODO. Przypisanie postanowieniom art. 5 ust. 1 RODO przymiotu "zasad" oznacza, iż są to dyrektywy normatywne (normy prawne) o szczególnym charakterze, wyznaczające wartości i cele każdego procesu przetwarzania danych osobowych. Z tego względu art. 5 ust. 1 RODO powinien być uwzględniany przy interpretacji pozostałych przepisów RODO, tak aby wywodzone z ich treści normy prawne były z nim zgodne

w ujęciu funkcjonalnym, systemowym i aksjologicznym.

Podstawową zasadą przetwarzania danych osobowych jest zgodność

z prawem – art. 5 ust. 1 lit a RODO. Przetwarzanie danych osobowych jest zgodne

z prawem, gdy uwzględnia zarówno przepisy RODO, jak i postanowienia aktów krajowych, regulujących ten proces. Przetwarzając dane osobowe administrator ma zatem obowiązek stosować się do rygorów wynikających ze wszystkich przepisów RODO, w tym i tych, które wywodzi się z pozostałych zasad przetwarzania danych osobowych proklamowanych postanowieniami art. 5 ust. 1 RODO. Zadekretowana

w treści art. 5 ust. 1 lit c RODO zasada minimalizacji danych osobowych nakłada na administratora obowiązek, aby dane osobowe były "adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane". W motywie 39 RODO wyjaśniono, że realizacja przedmiotowej zasady wymaga "w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum. Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami. Aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu." Z powyższego fragmentu motywu 39 RODO wynika kilka wniosków.

Po pierwsze, zasada minimalizacji danych limituje okres przetwarzania danych wyłącznie do czasu, w którym jest to niezbędne dla celu tego przetwarzania.

Po drugie, rozstrzyga o dopuszczalności przetwarzania danych osobowych wyłącznie w takich układach, w których nie da się podać innych rozsądnych sposobów osiągnięcia celu tego przetwarzania. Prawodawca unijny nie dookreślił, co należy rozumieć przez inną niż przetwarzanie danych osobowych rozsądną alternatywę osiągnięcia celu przetwarzania. W ocenie Naczelnego Sądu Administracyjnego chodzi tu o wskazanie takich działań, które bez konieczności przetwarzania danych osobowych pozwolą osiągnąć określony cel, a jednocześnie nie generują zasadniczo wyższych "kosztów" materiałowych, finansowych, czasowych i osobowych od tych, jakie należałoby ponieść, gdyby do realizacji tego celu doszło poprzez przetwarzanie danych osobowych. W istocie chodzi więc o skonfrontowanie wielkości szeroko ujętych kosztów dwóch trybów osiągnięcia tego samego celu: trybu uwzględniającego przetwarzanie danych osobowych i trybu, który takiego przetwarzania nie uwzględnia. W tej pespektywie zasada minimalizacji danych zobowiązuje zatem do tego, aby nie dochodziło do przetwarzania danych osobowych w tych skonfigurowaniach, w których cel, dla którego to przetwarzanie miało być prowadzone, z wykorzystaniem porównywalnych zasobów, można osiągnąć bez przetwarzania danych osobowych.

Po trzecie, zasadę minimalizacji danych należy rozumieć również w ten sposób, że jeżeli nie można osiągnąć założonego celu bez przetwarzania danych osobowych, to dane, które podlegają przetwarzaniu muszą być do tego celu adekwatne, stosowne i ograniczone. W tym ujęciu zasada minimalizacji danych wprowadza swego rodzaju rygor proporcjonalności przetwarzania danych. Chodzi więc o to: 1) aby administrator pozyskał wyłącznie taki rodzaj danych osobowych, których przetworzenie jest niezbędne do osiągnięcia celu przetwarzania; 2) aby administrator pozyskał dane osobowe w minimalnej wystarczającej ilości dla osiągnięcia celu przetwarzania;

3) aby administrator przetwarzał je wyłącznie w taki sposób, który jest niezbędny do osiągnięcia celu przetwarzania; 4) aby administrator przetwarzał dane osobowe wyłącznie przez czas niezbędny do osiągnięcia celu przetwarzania.

Uwzględnienie przyjętych założeń uzasadnia wniosek, że zasada minimalizacji danych dopuszcza przetwarzanie danych osobowych wyłącznie wtedy, gdy jest to niezbędne do osiągnięcia celu przetwarzania i wyłącznie w zakresie, w ilości, w sposób i przez czas, jakie są niezbędne do osiągnięcia celu przetwarzania. Powyższy wniosek znajduje bezpośrednie potwierdzenie w treści art. 17 ust. 1 lit a RODO, który uprawnia do żądania usunięcia swoich danych osobowych, gdy "nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane". Niezbędność danych osobowych do celu przetwarzania wyraża więc istotę regulacyjnej funkcji zasady minimalizacji danych.

W artykule 6 ust. 1 lit. a-f RODO prawodawca unijny wskazał zamknięty katalog warunków przetwarzania danych osobowych, zastrzegając jednoznacznie, że dla oceny zgodności z prawem tego przetwarzania wystarczające jest spełnienie "co najmniej" jednego z nich – art. 6 ust. 1 in principio RODO. I tak, przetwarzanie danych osobowych jest zgodne z prawem, gdy:

a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

W przekonaniu Naczelnego Sądu Administracyjnego należy zwrócić uwagę na specyficzną konstrukcję warunków dopuszczalności przetwarzania danych osobowych. Otóż w art. 6 ust. 1 lit. b-f RODO określono cele przetwarzania danych osobowych rozstrzygając, iż są to: wykonanie umowy (lit. b), wypełnienie obowiązku prawnego ciążącego na administratorze (lit. c), ochrona żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej (lit. d), wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (lit. e), osiągnięcie celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią (lit. f).

Pierwszy warunek legitymizujący przetwarzanie danych osobowych, określony w art. 6 ust. 1 lit. a RODO, został skonstruowany inaczej. Dopuszcza on przetwarzanie danych osobowych, gdy osoba, której dane dotyczą wyraziła zgodę na to przetwarzanie w jednym lub większej liczbie określonych celów. Przetwarzanie danych osobowych na podstawie art. 6 ust. 1 lit a RODO wymaga więc określenia celu przetwarzania, jednakże samo RODO tego celu nie identyfikuje. Pozwala na określenie celu (lub celów) przetwarzania albo administratorowi danych, albo osobie, której dane dotyczą. W jednym i drugim układzie działaniem koniecznym dla stwierdzenia, że przetwarzanie jest zgodne z prawem konieczna jest zgoda podmiotu, którego dotyczą dane osobowe.

Analogiczne rozwiązanie przyjęto wobec danych wrażliwych, określonych

w art. 9 ust. 1 RODO. W tym wypadku prawodawca unijny wprowadził ogólny zakaz przetwarzania danych osobowych o tym charakterze, przewidując jednocześnie enumeratywnie wskazane wyjątki, które go znoszą. Podobnie, jak w art. 6 ust. 1 RODO, jako przesłankę wyjściową legalizującą przetwarzanie danych osobowych wrażliwych przewidziano zgodę osoby, której dane dotyczą – art. 9 ust. 2 lit. a RODO. Zgoda ta ma postać kwalifikowaną, gdyż poza cechami dobrowolności, konkretności, świadomości i jednoznaczności składającego się na nią okazania woli, powinna być również wyraźna. Zgoda wyraźna na przetwarzanie wrażliwych danych osobowych ma więc być zgodą wprost, zgodą której treść nie pozostawia żadnych wątpliwości, że dotyczy przetwarzania określonego rodzaju danych osobowych, o których mowa

w art. 9 ust. 1 RODO. W pozostałych jednostkach redakcyjnych art. 9 ust. 2 lit. b-j RODO prawodawca unijny wskazał warunki dopuszczalności przetwarzania danych osobowych wrażliwych poprzez zorientowanie na określony cel lub sposób ich uzyskania: wypełnienie obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej (lit. b); ochrona żywotnych interesów osoby, której dane dotyczą (lit. c); przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą (lit. d); przetwarzanie danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą (lit. e); ustalenie, dochodzenie lub obrona roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy (lit. f); ważny interes publiczny, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą (lit. g); realizacja celów profilaktyki zdrowotnej lub medycyny pracy (lit. h); interes publiczny w dziedzinie zdrowia publicznego (lit. i); cele archiwalne

w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych (lit. j).

Istotny wydaje się fakt, że wyłącznie w art. 9 ust. 2 lit. g i lit. j przewidziano, że przetwarzanie danych osobowych wrażliwych ma być proporcjonalne do wyznaczonego celu. Jak się wydaje wyłącznie wobec dwóch wskazanych w tych przepisach kategorii danych osobowych przyjęto, że zasada minimalizacji danych ma szczególne znaczenie. W stosunku do przetwarzania wrażliwych danych osobowych na podstawie zgody osoby, której dotyczą prawodawca zastrzegał natomiast, iż nie jest ono dopuszczalne, gdy prawo Unii lub prawo państwa członkowskiego przewidują, iż nie można uchylić zakazu ich przetwarzania.

Systemowa analiza treści art. 6 ust. 1 i art. 9 ust. 1 i ust. 2 RODO wykazała, że cel przetwarzania danych osobowych na podstawie zgody podmiotu, którego dotyczą dane osobowe nie musi wynikać z przepisów prawa. Przesądza o tym wprost art. 6 ust. 3 RODO, który stanowi, że wyłącznie warunki przetwarzania określone

art. 6 ust. 1 lit. c i e muszą być określone w prawie Unii lub w prawie państwa członkowskiego, któremu podlega administrator. Cel przetwarzania musi natomiast być konkretny, wyraźny i prawnie uzasadniony – art. 5 ust. 1 lit. b RODO (zasada ograniczenia celu). W swoim orzecznictwie Europejski Trybunał Sprawiedliwości wyjaśnił, że nałożony postanowieniami art. 5 ust. 1 lit. b RODO wymóg, zgodnie

z którym dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach oznacza przede wszystkim, że cele przetwarzania należy określić najpóźniej w momencie zbierania danych osobowych (konkretność celu), następnie - że cele tego przetwarzania muszą zostać jasno określone (wyraźność celu) i wreszcie - że cele owego przetwarzania powinny gwarantować między innymi zgodność przetwarzania tych danych z prawem w rozumieniu art. 6 ust. 1 lub art. 9 ust. 2 RODO (prawne uzasadnienie celu) - zob. wyroki ETS z 24 lutego 2022 r., Valsts ieņēmumu dienests, C-175/20, EU:C:2022:124, pkt 64-66 i z 20 października 2022 r., Nemzeti Adatvédelmi és Információszabadság Hatóság, C-77/21, UE:C:2022/472/10, pkt 27.

Realizacja zasady ograniczoności celu nabiera szczególnego znaczenia, gdy prawnym uzasadnieniem przetwarzania danych osobowych jest zgoda osoby, której te dane dotyczą – art. 6 ust. 1 lit. a i art. 9 ust. 2 lit. a RODO. W takim skonfigurowaniu to strony procesu przetwarzania danych osobowych – podmiot danych i administrator danych – określając cel tego przetwarzania powinny uwzględniać rygory wynikające

z tej zasady – art. 5 ust. 1 lit. b RODO. Realizacja tego wymogu obciąża przede wszystkim administratora danych, albowiem to on "musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych" – art. 7 ust. 1 RODO.

Zgodnie z definicją zawartą w art. 4 pkt 11 RODO "zgoda" osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba ta, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Z kolei w motywie 32 RODO przesądzono, że zgoda powinna przybrać postać oświadczenia bądź zachowania, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub

w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele.

Przymiot "dobrowolności" zgody zakłada rzeczywistą możliwość dokonania wyboru przez osoby, których dane dotyczą, oraz sprawowania przez nie kontroli nad procesem ich przetwarzania. Co do zasady RODO stanowi, że jeżeli osobie, której dane dotyczą, nie przysługuje rzeczywista możliwość wyboru, czuje się ona zmuszona do wyrażenia zgody lub poniesie negatywne konsekwencje w przypadku jej niewyrażenia, zgoda będzie nieważna – Motyw 42 RODO oraz wytyczne 5/2020 Europejskiej Rady Ochrony Danych (dostępne: https://www.edpb.europa.eu/sites/-default/files/files/file1/edpb_guidelines_202005_consent_pl.pdf). Dodatkowo, art. 7 ust. 4 RODO wymaga, aby przy ocenie, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględniać, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.

Konkretność zgodny oznacza, że musi ona odnosić się dokładnie do określonego przetwarzania danych i nie może zostać wywnioskowana z treści wyrażenia woli mającego inny cel – wyrok ETS z 11 listopada 2020 r., Orange Romania, C-61/19, EU:C:2020:901, pkt 38.

Zgodę na przetwarzanie danych osobowych należy ocenić, jako świadomą, gdy administrator danych dostarczy osobie, której dane dotyczą, informacje na temat wszelkich okoliczności związanych z przetwarzaniem danych mające zrozumiałą

i łatwo dostępną formę oraz wyrażone jasnym i prostym językiem, przy czym osoba ta powinna w szczególności być w stanie dowiedzieć się, jakiego rodzaju dane będą przetwarzane, kto jest administratorem danych, przez jaki czas i w jaki sposób dane te będą przetwarzane oraz w jakich celach. Rzeczone informacje powinny umożliwić takiej osobie łatwe ustalenie konsekwencji zgody, której może udzielić, oraz gwarantować, że zgoda ta zostanie udzielona przy pełnej znajomości stanu rzeczy -zob. wyrok ETS z 1 października 2019 r., Planet49, C-673/17, EU:C:2019:801, pkt 74.

W ocenie Naczelnego Sądu Administracyjnego istnieje silne skorelowanie normatywne pomiędzy zasadą ograniczoności celu (art. 5 ust. 1 lit. b RODO)

a konstrukcją zgody na przetwarzanie danych osobowych. Nadanie zgodzie na przetwarzanie danych osobowych cech wymaganych przepisami RODO – dobrowolności, konkretności, świadomości i jednoznaczności (art. 4 pkt 11) – jest bowiem równoznaczne w skutkach z ustalaniem celu tego przetwarzania w sposób konkretny, wyraźny i prawnie uzasadniony (art. 5 ust. 1 lit. b). Jeżeli administrator danych osobowych, realizując ciążący na nim obowiązek informacyjny – art. 13 ust. 1 RODO – najpóźniej w momencie zbierania danych osobowych poinformuje osobę, której te dane dotyczą, o celu przetwarzania danych, zakresie przetwarzanych danych, sposobie przetwarzania danych, okresie przetwarzania danych i osoba ta

w warunkach dobrowolności wyrazi zgodę na to przetwarzanie, należy przyjąć, że zasada ograniczenia celu przetwarzania została zrealizowana.

Przedstawione uwarunkowania realizacji zasady ograniczenia celu przetwarzania danych oraz cech, jakie powinna posiadać zgoda na przetwarzanie danych mają zasadnicze znaczenie na wyznaczenie granic stosowania i normowania zasady minimalizacji danych. W ocenie Naczelnego Sądu Administracyjnego wyrażenie zgody na przetwarzanie danych osobowych z zachowaniem rygorów przewidzianych w postanowieniach RODO wyznacza ramy dopuszczalnego działania administratora danych osobowych, które z założenia nie mogą naruszać zasady minimalizacji danych. Wyrażając zgodę na przetwarzanie danych, najpóźniej

w momencie rozpoczęcia zbierania danych przez administratora, osoba której te dane dotyczą: akceptuje cel przetwarzania danych, akceptuje rodzaj (zakres) przetwarzanych danych, akceptuje ilość przetwarzanych danych, akceptuje sposób przetwarzania danych, akceptuje okres przetwarzania danych. Wyrażenie zgody na przetwarzanie danych osobowych jest więc swego rodzaju uzgodnieniem pomiędzy administratorem danych a osobą, której dotyczą przetwarzane dane, treścią którego jest wspólna ocena, że dla realizacji zaakceptowanego przez te podmioty celu, najlepszym rozwiązaniem będzie przetwarzanie, w przyjęty sposób, określonych zakresowo i ilościowo danych osobowych, przez niezbędny czas. Podmioty procesu przetwarzania danych (administrator i osoba, której dotyczą dane) wspólnie formułują subiektywną ocenę, że będzie on zgodny – między innymi – z zasadą minimalizacji danych.

Przyjęte założenie w kontekście podniesionego w skardze kasacyjnej zarzutu naruszenia art. 5 ust. 1 lit. c RODO ma kardynalne znaczenie. Wyłącza bowiem możliwości podważenia treści zgody na przetwarzanie danych osobowych przez organ nadzoru (PUODO). Naczelny Sąd Administracyjny nie podziela stanowiska organu, że posiada on kompetencję do podważenia prawidłowo wyrażonej zgody na przetwarzanie danych osobowych, poprzez wykazanie, że dla osiągnięcia wskazanego przez administratora danych osobowych celu przetwarzania, wystarczające jest podjęcie innych działań, ingerujących w dane osobowe w niższym stopniu lub w ogóle. Jeżeli podstawą przetwarzania danych osobowych jest zgoda osoby, której te dane dotyczą i jest to zgoda wyrażona w sposób zgodny z rygorami RODO, organ nadzoru nie może kwestionować przyjętego przez strony celu przetwarzania, zakresu i ilości przetwarzanych danych, sposobu ich przetwarzania oraz okresu ich przetwarzania. Wymienione parametry przetwarzania wiążąco dookreślają strony procesu przetwarzania danych osobowych. Jedyny wyjątek od tej reguły został przewidziany w art. 9 ust. 2 lit a RODO, który wyłącza możliwość wyrażenia zgody na przetwarzanie tzw. wrażliwych danych osobowych, jeżeli prawo Unii lub prawo państwa członkowskiego przewidują, że nie można wyłączyć zakazu ich przetwarzania. Skarżący kasacyjnie organ nie wykazał przepisów prawa, które in concreto wyłączałyby możliwość wyrażenia zgody na przetwarzanie przez szkołę danych biometrycznych dzieci.

Naczelny Sąd Administracyjny nie podziela stanowiska organu, że zaaprobowanie ocen prawnych Sądu pierwszej instancji może prowadzić do gromadzenia wszelkich danych osobowych niezależnie od celu przetwarzania. Raz jeszcze należy podkreślić, że przy przetwarzaniu danych osobowych na podstawie prawidłowo wyrażonej zgody osoby, której dane dotyczą to strony procesu przetwarzania danych uzgadniają, jakie dane uznają za niezbędne do osiągnięcia przyjętego celu przetwarzania. Jeżeli organ nadzoru nie wykaże wadliwości samej zgody lub przepisów wyłączających zniesienie zakazu przetwarzania danych wrażliwych (art. 9 ust. 2 lit a in fine), nie ma możliwości formułowania zarzutu naruszenia zasady minimalizacji danych wywodząc brak adekwatności procesu przetwarzania danych do założonego celu przetwarzania.

Skarżący kasacyjnie organ eksponuje, że stosownie do postanowień art. 106 ustawy Prawo oświatowe w celu zapewnienia prawidłowej realizacji zadań opiekuńczych, w szczególności wspierania prawidłowego rozwoju uczniów, szkoła może zorganizować stołówkę. W ocenie organu przedmiotowa okoliczność świadczy o tym, że podstawą przetwarzania przez szkołę danych osobowych dzieci w celu realizacji zadania, jakim jest prowadzenie stołówki, może być wyłącznie art. 6 ust. 1

lit. e RODO. Stosownie do treści tego przepisu przetwarzanie danych osobowych jest zgodne z prawem między innymi, gdy jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Oznacza to, że szkoła przetwarza dane osobowe ucznia na podstawie przepisów prawa, wykonując swoje ustawowe zadania. Zdaniem organu realizując tę usługę szkoła może przetwarzać tylko te dane osobowe ucznia, które są niezbędne do świadczenia usługi stołówki szkolnej. Naczelny Sąd Administracyjny co do zasady zgadza się ze skarżącym kasacyjnie organem, że przetwarzanie danych osobowych na podstawie art. 6 ust. 1 lit. e RODO odbywa się bez zgody podmiotu, którego dotyczą dane, a zatem kontrola adekwatności przetwarzanych danych do wskazanego w przepisach prawa celu przetwarzania (kontrola realizacji zasady minimalizacji danych) przez organ nadzoru jest dopuszczalna. Konieczna jest bowiem możliwość weryfikacji proporcjonalności przetwarzanych danych do przyjętego prawem celu przetwarzania. Odbywa się ona poprzez porównanie ram przetwarzania danych osobowych przejętych przez administratora z granicami dopuszczalnego przetwarzania danych osobowych wyznaczonymi przez przepisy RODO i innych aktów prawnych. Nie oznacza to jednak, że podmiot którego dotyczą dane nie może

w ramach prawidłowo wyrażonej zgody autonomicznie określić zakresu i ilości przetwarzanych danych oraz czasu i sposobu ich przetwarzania. Organ pomija fakt, że określone treścią art. 6 ust. 1 i art. 9 ust. 2 RODO przesłanki legalizujące przetwarzanie danych osobowych mają wobec siebie charakter samodzielny

i rozłączny. Samodzielność i rozłączność określonych w art. 6 ust. 1 i art. 9 ust. 2 RODO warunków przetwarzania danych osobowych oznacza, że każdy z tych warunków samodzielnie i osobno potwierdza zgodność z prawem tego procesu. Nie oznacza to jednak, że warunki przetwarzania danych osobowych określone w tych przepisach nie mogą się kumulować. O dopuszczalności kumulowania przesłanek przetwarzania danych osobowych prawodawca unijny przesądził wprost w art. 6 ust. 1 RODO, w którym zastrzeżono, że przetwarzanie danych osobowych jest zgodne

z prawem, gdy spełniony jest "co najmniej" jeden z wymienionych w tym przepisie warunków. W treści art. 9 ust. ust. 2 RODO analogicznego zastrzeżenia nie uczyniono ("spełniony jest jeden z poniższych warunków"), niemniej w ocenie Naczelnego Sądu Administracyjnego istnieją systemowe argumenty przemawiające za dopuszczeniem kumulowania się podstaw przetwarzania wrażliwych danych osobowych, wymienionych w art. 9 ust. 2 lit a-j RODO. Świadczy o tym treść art. 17 ust.1 lit. b RODO, który dopuszcza żądanie usunięcia danych osobowych, gdy "osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania". Prawodawca unijny zakłada zatem wprost, że zgoda nie musi w konkretnym przypadku stanowić jedynej podstawy przetwarzania wrażliwych danych osobowych. Może ona współwystępować z pozostałymi podstawami przetwarzania takich danych, wymienionymi w art. 9 ust. 2 lit. b-j RODO.

Dopuszczalność przetwarzania danych osobowych przez administratora bez zgody osoby, której te dane dotyczą w oparciu o jedną z podstaw wymienionych

w art. 6 ust. 1 lit. b-f lub art. 9 ust. 2 lit. b-j RODO, nie wyklucza zatem przetwarzania danych osobowych na podstawie zgody, w oparciu o art. 6 ust. 1 lit a lub art. 9 ust. 2 lit. a RODO, i to nawet wówczas, gdy cel tego przetwarzania w obu przypadkach jest tożsamy. Przedstawione stanowisko można ująć również odwrotnie: jeżeli podmiot, którego dotyczą dane wyraził skutecznie zgodę na ich przetwarzanie w rozumieniu

art. 6 ust. 1 lit a lub art. 9 ust. 2 lit a RODO, zbędne jest poszukiwanie podstaw legitymizacji tego przetwarzania w postanowieniach art. 6 ust. 1 lit. b-f lub art. 9 ust. 2 lit. b-j RODO – wyroki ETS z 4 lipca 2023 r., Meta Platforms i in., C-252/21, EU:C:2023:537, pkt. 90-94 i z 4 października 2024 r., Autoriteit Persoonsgegevens,

C-621/22, publ. www.eur-lex.europa.eu.

Powołane w skardze kasacyjnej wyroki Naczelnego Sądu Administracyjnego

z 1 grudnia 2009 r., I OSK 249/09 oraz 6 września 2011 r., I OSK1476/10 nie zostały wydane na gruncie przepisów RODO, lecz na gruncie nieobowiązującej już ustawy

z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.). W świetle przedstawionych wyżej ocen prawnych wyrażone w tych wyrokach stanowisko nie znajduje adekwatnego przełożenia na uwarunkowania faktyczno-prawne niniejszej sprawy. Eksponowane w nim ryzyko naruszenia zasady proporcjonalności nie występuje na gruncie RODO, jeżeli zgoda na przetwarzanie wrażliwych danych osobowych została wyrażona skutecznie, a administrator danych osobowych realizuje nałożone na niego rygory związane z ochroną tych danych.

Akceptacja prezentowanego w skardze kasacyjnej sposobu wykładni art. 5 ust. 1 lit. c RODO (ale również i art. 5 ust. 1 lit. b RODO) w związku z art. 9 ust. 2 lit a RODO (ale również i art. 6 ust. 1 lit. a RODO) byłaby de facto równoznaczna

z systemowym dopuszczeniem możliwości podważenia zaakceptowanego

przez osobę, której dotyczą dane, w wyrażonej przez nią zgodzie, zakresu, sposobu

i czasu przetwarzania jej danych osobowych, o ile organ nadzoru dojdzie do przekonania, że dane te są nieadekwatne (nieproporcjonalne) do przyjętego sposobu przetwarzania. Raz jeszcze należy podkreślić, że jeżeli osoba, której dotyczą dane, na mocy przyznanej jej treścią art. 6 ust. 1 lit. a bądź art. 9 ust. 2 lit a RODO autonomii, świadomie, dobrowolnie, konkretnie, jednoznacznie, a w odniesieniu do danych wrażliwych również wyraźnie zgodzi się na przetwarzanie jej danych osobowych, wyznaczając "parametry" tego przetwarzania w sposób, który w przekonaniu tej osoby realizuje zadekretowaną w art. 5 ust. 1 lit b RODO zasadę minimalizacji danych, to nie ma podstaw do formułowania odmiennych ocen w tym zakresie. W takim wypadku treść zasady minimalizacji danych "wypełnia" zgoda osoby, której dane osobowe będą przetwarzane. Wszystkie podnoszone przez skarżący kasacyjnie organ zastrzeżenia dotyczące proporcjonalności przetwarzanych danych mogą w takim układzie zostać zweryfikowane w ramach oceny, czy wyrażona na przetwarzanie danych zgoda posiada wymagane postanowieniami RODO przymioty, a więc czy była świadoma, dobrowolna, konkretna, jednoznaczna, a w odniesieniu do danych wrażliwych również wyraźna. Jeżeli osoba wyrażająca zgodę na przetwarzanie swoich danych osobowych podjęła ją w sposób wolny, bez nacisków, szeroko rozumianego przymusu, ze świadomością celu, sposobu i czasu przetwarzania oraz zakresu i ilości udostępnianych danych, nie można zarzucać, że doszło do naruszenia zasady minimalizacji danych, albowiem posiada ona jakieś "obiektywne" i "rozsądne" kryteria realizacji, których przedmiotowa zgoda nie spełnia. Argumentację wspierającą przyjęte stanowisko można zbudować również o treść art. 9 ust. 2 lit e RODO, który znosi zakaz przetwarzania wrażliwych danych osobowych, jeżeli zostały w sposób oczywisty upublicznione przez osobę, której dotyczą. Prawodawca unijny przesądza zatem, że autonomia osoby udostępniającej swoje dane ma najwyższą moc legitymizującą proces ich przetwarzania. Oczywiste upublicznienie swoich wrażliwych danych osobowych jest formą wyrażenia zgody na ich przetwarzanie. W takim układzie trudno wymagać, aby osoba, której dane dotyczą miała świadomość celu, w jakim podmioty, które uzyskają te dane będą je przetwarzać. Nie sposób również weryfikować, czy upublicznione dane osobowe będą adekwatne do celu ich przetwarzania, albowiem na moment ich upublicznienia nie da się ustalić, czy w ogóle będę przetwarzane, a jeżeli tak, to w jakim celu.

Wyłożone względy pozwalają wnioskować, że prawodawca unijny zakłada, iż wola i autonomia osoby, której dotyczą dane osobowe ma zasadniczy wpływ na rozumienie zakresu normowania i stosowania zasady minimalizacji danych (art. 5 ust. 1 lit c RODO), gdy podstawą ich przetwarzania jest zgoda tej osoby.

W tym stanie rzeczy należy przyjąć, że wyrażenie zgody przez rodziców, na przetwarzanie danych biometrycznych ich dzieci w postaci linii papilarnych, w celu weryfikacji opłacenia w danym dniu posiłku na stołówce nie naruszało wyrażonej

w art. 5 ust. 1 lit c RODO zasady minimalizacji danych. Mocą przyznanej autonomii rodzice w sposób wyraźny, świadomy, dobrowolny, konkretny

i jednoznaczny określili jakie dane ich dzieci mają być przetwarzane, w jakim celu i w jaki sposób. Należy również dodać, co zdaje się umykać organowi, że odciski palców dzieci, były zapisywane wyłącznie w pamięci urządzenia identyfikującego. Szkoła nie tworzyła w systemie komputerowym zbioru wzorów odcisków palców dzieci. Urządzenie identyfikujące przypisywało odcisk palca konkretnego dziecka do odpowiadającego mu numeru i dopiero ten numer był wysyłany do systemu komputerowego, który łączył go z imieniem i nazwiskiem dziecka oraz numerem umowy o posiłek. Na serwerze komputerowym szkoła nie przechowywała więc cyfrowych obrazów odcisków palców dzieci. Znajdowały się one wyłącznie na urządzeniu identyfikującym, które nie mogło przypisać danego odcisku palca do tożsamości konkretnego dziecka.

Skarżący kasacyjnie organ wywodzi, że Sąd pierwszej instancji nie odniósł się do monitowanej wadliwości wyrażonej przez rodziców zgody na przetwarzanie danych, co w jego ocenie wyłącza zasadność przypisania jej cech dobrowolności. Eksponuje, że ustalone przez szkołę zasady wydawania posiłków dyskryminują dzieci, których rodzice nie wyrazili zgody na przetwarzanie ich linii papilarnych, albowiem w pierwszej kolejności na stołówkę wpuszczane są dzieci na podstawie identyfikacji biometrycznej, a po nich pozostałe dzieci, pojedynczo. W takim układzie zdaniem organu rodzice dzieci pozostawali w sytuacji przymusowej, albowiem brak wyrażenia zgody na przetwarzanie danych biometrycznych ich dzieci, stawiał je w niekorzystnej sytuacji.

Naczelny Sąd Administracyjny potwierdza, że Sąd pierwszej instancji nie odniósł się do przedmiotowej kwestii w uzasadnieniu swojego wyroku. Nie ma jednak podstaw do kwalifikowania przedmiotowego uchybienia w kategorii błędnej wykładni lub niewłaściwego zastosowania art. 9 ust. 2 lit. a RODO. Naczelny Sąd Administracyjny przyjmuje, iż mimo błędnego uzasadnienia w wytkniętym przez organ zakresie wyrok WSA odpowiada prawu – art. 184 § 1 in fine p.p.s.a.

Skarżący kasacyjnie organ w ramach zarzutu naruszenia art. 9 ust. 2 lit a RODO próbuje podważyć zgodę wyrażoną przez rodziców dzieci, których dane biometryczne były przetwarzane przez szkołę, poprzez wykazanie, iż nie posiada ona wyłącznie jednej cechy – dobrowolności. Z przyjętej przez WSA podstawy faktycznej wyroku ujawnionej w jego uzasadnieniu wynika, że zgoda na przetwarzanie danych biometrycznych dzieci została złożona na piśmie, w umowie "o korzystanie z obiadów", w celu weryfikacji opłacenia posiłku na stołówce w danym dniu. Nie jest kwestionowane, że odmowa wyrażenia zgody na przetwarzanie danych biometrycznych dziecka, nie skutkowała niewydaniem mu posiłku. Weryfikacja opłacenia posiłku dla dziecka następowała wówczas na podstawie nazwiska i numeru umowy. Odmowa wyrażenia zgody na przetwarzanie danych biometrycznych dziecka nie powodowała więc, że umowa o posiłki dla dziecka na stołówce szkolnej nie mogła zostać zrealizowana. Naczelny Sąd Administracyjny nie podziela oceny skarżącego kasacyjnie organu, że zgoda na przetwarzanie danych biometrycznych dzieci była wyrażana pod przymusem. Świadczyć o tym mają przyjęte przez szkołę zasady korzystania ze stołówki, zgodnie z którymi w pierwszej kolejności wpuszczane są na nią dzieci, w stosunku do których weryfikacja opłacenia posiłku nastąpiła z wykorzystaniem czytnika linii papilarnych. Nie jest kwestionowane, że część rodziców nie wyraziła zgody na przetwarzanie danych biometrycznych dzieci, a mimo to dzieci te korzystają ze stołówki, tyle że weryfikacja opłacenia przeznaczonego dla nich posiłku trwa dłużej, gdyż wymaga "ręcznej" identyfikacji dziecka w systemie poprzez imię, nazwisko i numer umowy.

Naczelny Sąd Administracyjny zauważa nadto, że w toku postępowania szkoła wyjaśniła, iż identyfikację biometryczną opłacenia posiłku dla dzieci wprowadziła na prośbę Rady Rodziców, w celu usprawnienia procesu korzystania ze stołówki. Stosowane dotychczas sposoby weryfikacji opłacenia posiłku tak w ocenie szkoły, jak i części rodziców nie gwarantowały szybkiego i płynnego korzystania ze stołówki.

We wniesionej do WSA skardze szkoła podała również, że zamieszczony na stronie internetowej zapis zasad korzystania ze stołówki: "uczniowie, którzy nie posiadają identyfikacji biometrycznej, przepuszczają wszystkich i oczekują na końcu kolejki, oraz gdy wszyscy uczniowie z identyfikacją biometryczną wejdą do stołówki, rozpoczyna się wpuszczanie pojedynczo uczniów bez identyfikacji biometrycznej" powstał w okresie wdrożeniowym (wrzesień 2015 r.). Już po kilku miesiącach szkoła w celu usprawnienia procesu wchodzenia na stołówkę uruchomiła drugie stanowisko komputerowe z czytnikiem i od tego czasu wszystkie dzieci ustawiały się w jednej kolejce na stołówkę. Szkoła przyznała, że nieusunięcie powołanego przez organ fragmentu zasad korzystania ze stołówki ze strony internetowej było niedopatrzeniem. Wynikające z niego pierwszeństwo korzystania ze stołówki przez dzieci z identyfikacją biometryczną w praktyce nie miało miejsca i zostało wykluczone postanowieniami regulaminu stołówki oraz umów o posiłki zawieranych z rodzicami dzieci. Z załączonego do skargi pkt 4 regulaminu stołówki wynika, że "Klasy 0 przychodzą na posiłki pod nadzorem wychowawcy. Uczniowie pozostałych klas ustawiają się w kolejce." Z kolei z treści § 5 załącznika nr 1 do Regulaminy Stołówki – "Umowa o korzystanie z obiadów w stołówce szkolnej Szkoły Podstawowej nr 2 z oddziałami sportowymi" wynika, że Regulamin jest integralną częścią umowy, a rodzic podpisujący umowę akceptuje jego treść i zobowiązuje się go przestrzegać. Należy zatem przyjąć, że tak z treści umowy o posiłki, jak i z treści Regulaminu Stołówki wynika, że wszystkie dzieci korzystające ze stołówki, niezależnie od sposobu weryfikacji opłacenia posiłku, ustawiają się w jednej kolejce. We wniesionej odpowiedzi na skargę organ w ogóle się do przedmiotowych okoliczności nie odniósł. W tym stanie rzeczy Naczelny Sąd Administracyjny nie znalazł podstaw, aby przyjąć, że w sprawie doszło do naruszenia art. 9 ust. 2 lit. a RODO, poprzez wadliwe przyjęcie, że zgoda wyrażona przez rodziców na przetwarzanie przez szkołę danych biometrycznych dzieci w celu weryfikacji opłacenia posiłku nie była dobrowolna, a w konsekwencji skuteczna.

Nieuwzględnienie zarzutów naruszenia art. 5 ust. 1 lit. c RODO i art. 9 ust. 2 lit. a RODO przesądza o nieskuteczności zarzutu naruszenia art. 6, 7, 8 K.p.a. oraz art. 7 Konstytucji.

Z wyłożonych przyczyn Naczelny Sąd Administracyjny, działając na podstawie art. 184 p.p.s.a., oddalił skargę kasacyjną.