Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Małgorzata Pocztarek Sędziowie Sędzia NSA Małgorzata Masternak - Kubiak Sędzia del. WSA Dariusz Chaciński (spr.) po rozpoznaniu w dniu 18 stycznia 2022 r. na posiedzeniu niejawnym w Izbie Ogólnoadministracyjnej skargi kasacyjnej [...] sp. z o. o. z siedzibą w G. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 18 grudnia 2020 r. sygn. akt II SA/Wa 989/20 w sprawie ze skargi [...] sp. z o. o. z siedzibą w G. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] marca 2020 r. nr [...] w przedmiocie umorzenia postępowania oddala skargę kasacyjną.

Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z 18 grudnia 2020 r. II SA/Wa 989/20, oddalił skargę [...] sp. z o.o. w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z [...] marca 2020 r. w przedmiocie umorzenia postępowania.

Skargę kasacyjną od powyższego wyroku wniosła [...] sp. z o.o. w [...]. Zaskarżając wyrok w całości zarzuciła mu naruszenie prawa materialnego:

1. art. 6 ust. 1 pkt f rozporządzenia Parlamentu Europejskiego i Rady UE nr 679/2016 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej: RODO, w zw. z art. 58 ust. 1 pkt a RODO, poprzez ich błędną wykładnię i w rezultacie pominięcie, że na gruncie niniejszej sprawy skarżąca ma podstawy do uzyskania danych osobowych, o które zawnioskowała, zaś Prezes Urzędu Ochrony Danych Osobowych ma uprawnienie do nakazania [...] Sp. z o.o. dostarczenia tych danych, jako "wszelkich informacji potrzebnych organowi nadzorczemu do realizacji swoich zadań";

2. art. 6 ust. 1 pkt f RODO w zw. z art. 58 ust. 2 pkt c RODO, poprzez ich błędną wykładnię, tj. nieprawidłowe przyjęcie że Prezesowi Urzędu Ochrony Danych Osobowych nie przysługuje kompetencja umożliwiająca nakazanie udostępnienia na rzecz skarżącej danych osobowych osoby trzeciej.

Skarżąca kasacyjnie Spółka wniosła o uchylenie zaskarżonego wyroku w całości i rozpoznanie skargi, względnie o uchylenie zaskarżonego wyroku w całości i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie. Zrzekła się także rozprawy i zażądała zwrotu kosztów postępowania według norm przepisanych.

W uzasadnieniu skargi kasacyjnej podniesiono między innymi, że skoro przetwarzanie (w tym udostępnianie) informacji o osobie, która naruszyła dobra osobiste skarżącej jest niezbędne do realizacji celów wynikających z prawnie uzasadnionych interesów Spółki, zaś Prezes Urzędu Ochrony Danych Osobowych jest organem nadzorczym, a więc odpowiedzialnym za kontrolę przestrzegania przepisów o ochronie danych osobowych, to w myśl art. 58 ust. 1 pkt a RODO ma on uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu, dostarczenia wszelkich informacji potrzebnych organowi nadzorczemu do realizacji swoich zadań. Na gruncie niniejszej sprawy dane w zakresie imienia, nazwiska i adresu IP komputera osoby, która w dniu [...] grudnia 2017 r. wysłała z adresu mailowego: [...] wiadomość na adres: [...] stanowią tą niezbędną "informacją". Zindywidualizowanie autora kwestionowanej wiadomości mailowej stanowi niezbędny warunek dochodzenia przeciwko niemu stosownych roszczeń. Zarówno bowiem pozew, jak i akt oskarżenia winien zawierać m.in. imię i nazwisko pozwanego/oskarżonego.

Wbrew poglądowi przyjętemu przez WSA, brak jest podstaw do zawężonej interpretacji art. 6 ust. 1 pkt f RODO, ograniczonej do sytuacji, gdy skarżący jest już w posiadaniu danych osobowych. Przyjęcie takiej wykładni prowadziłoby do znacznego ograniczenia praw osób żądających od administratora przekazania istotnych z punktu widzenia pokrzywdzonego danych osobowych. Nie ulega wątpliwości, że na gruncie poprzednio obowiązującej ustawy z 29 sierpnia 1997 r., istniała taka możliwość.

W ocenie skarżącej kasacyjnie, Wojewódzki Sąd Administracyjny w Warszawie naruszył także (poprzez błędną wykładnię) art. 6 ust. 1 pkt f RODO w zw. z art. 58 ust. 2 pkt c RODO. WSA wskazał, że użyte w art. 58 ust. 2 pkt c RODO sformułowanie "osoby, której dane dotyczą" musi być rozumiane w ten sposób, że chodzi o osobę, której dane są przetwarzane, a nie o jakąkolwiek inną osobę trzecią. Użyte w spornym przepisie pojęcie "osoby, której dane dotyczą" powinno być rozumiane szerzej. Skoro polski organ nadzorczy uznawał się za kompetentny do wydawania nakazów w zakresie "uzupełnienia, uaktualnienia, sprostowania, udostępnienia lub nieudostępnienia danych osobowych" na podstawie ustawy z dnia 29 sierpnia 1997 r., to brak jest podstaw do przyjęcia, że na mocy RODO czy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, miałby zostać takich uprawnień pozbawiony. W przeciwnym razie doszło by do niepokojącej sytuacji, że nie istniałby w polskim systemie prawa organ, do którego poszkodowany podmiot mógłby zwrócić się o pomoc w zakresie uzyskania danych osobowych sprawcy naruszenia.

W odpowiedzi na skargę kasacyjną Prezes Urzędu Ochrony Danych Osobowych wniósł o jej oddalenie.

Pełnomocnik uczestnika postępowania – [...] sp. z o.o., w piśmie procesowym z [...] grudnia 2021 r. również wniósł o oddalenie skargi kasacyjnej.

Naczelny Sąd Administracyjny zważył, co następuje.

Zgodnie z art. 174 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r., poz. 2325 ze zm.) – p.p.s.a. – skargę kasacyjną można oprzeć na następujących podstawach: 1) naruszeniu prawa materialnego przez błędną jego wykładnię lub niewłaściwe zastosowanie; 2) naruszeniu przepisów postępowania, jeżeli uchybienie to mogło mieć istotny wpływ na wynik sprawy. Naczelny Sąd Administracyjny jest związany podstawami skargi kasacyjnej, albowiem zgodnie z art. 183 § 1 p.p.s.a. rozpoznając sprawę w granicach skargi kasacyjnej, bierze z urzędu pod rozwagę jedynie nieważność postępowania. Przesłanki nieważności określone w art. 183 § 2 p.p.s.a. w tej sprawie nie wystąpiły.

Kontrolując zatem zgodność z prawem zaskarżonego wyroku w granicach skargi kasacyjnej, Naczelny Sąd Administracyjny ograniczył tę kontrolę do wskazanych w niej zarzutów. Rozpatrywana pod tym kątem skarga kasacyjna nie ma usprawiedliwionych podstaw.

Zgodnie z art. 193 zdanie drugie p.p.s.a. uzasadnienie wyroku oddalającego skargę kasacyjną zawiera ocenę zarzutów skargi kasacyjnej. Zatem Naczelny Sąd Administracyjny nie przedstawia w uzasadnieniu wyroku oddalającego skargę kasacyjną opisu ustaleń faktycznych i argumentacji prawnej podawanej przez organ i Sąd I instancji.

Dla właściwego odniesienia się do zarzutów skargi kasacyjnej niezbędne jest jednak krótkie przedstawienie istoty sprawy. [...] sp. z o.o. w [...] wniosła skargę do Prezesa Urzędu Ochrony Danych Osobowych, w której zażądała, aby organ nadzoru nakazał [...] Sp. z o.o. z siedzibą w [...] udostępnienia danych osobowych (imię, nazwisko, adres IP komputera) osoby, która [...] grudnia 2017 r. wysłała z adresu poczty elektronicznej [...] wiadomość na adres [...], ponieważ zamierza przed sądem dochodzić roszczeń przeciwko tej osobie z tytułu naruszenia dóbr osobistych.

Prezes Urzędu Ochrony Danych Osobowych umorzył postępowanie w tej sprawie, jako bezprzedmiotowe, uznając, że nie ma obecnie kompetencji, które pozwalałyby mu na spełnienie żądania wnioskodawcy. Sąd I instancji, oddalając skargę, podzielił to stanowisko. Skarga kasacyjna wskazuje na normy materialne, które mają temu stanowisku zaprzeczać.

Rozważania należy więc rozpocząć od przytoczenia treści norm wskazanych w skardze kasacyjnej. Zgodnie z art. 6 ust. 1 lit. f) RODO przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest warunek, że przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Natomiast art. 58 ust. 1 lit. a) RODO stanowi, że "Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia w zakresie prowadzonych postępowań: a) nakazanie administratorowi i podmiotowi przetwarzającemu, a w stosownym przypadku przedstawicielowi administratora lub podmiotu przetwarzającego, dostarczenia wszelkich informacji potrzebnych organowi nadzorczemu do realizacji swoich zadań". Z kolei z art. 58 ust. 2 lit. c) RODO wynika, że organowi nadzorczemu przysługują uprawnienia naprawcze w postaci nakazania administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia.

Z powyższych norm skarżąca kasacyjnie wywodzi, że przetwarzanie (w tym pozyskanie) danych osobowych wskazanej w poczcie elektronicznej osoby, jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez [...] Sp. z o.o., jako stronę trzecią (tak odczytuje art. 6 ust. 1 lit. f RODO), a organ nadzoru powinien nakazać udostępnienie tych danych administratorowi ([...] Sp. z o.o.), na co – zdaniem skarżącej kasacyjnie – zezwala art. 58 ust. 1 lit. a) RODO i miałoby to być działanie naprawcze, o jakim mowa w art. 58 ust. 2 lit. c) RODO. Naczelny Sąd Administracyjny tego stanowiska nie podziela.

Wyjść należy od tego, kto może wszcząć postępowanie przed organem nadzoru. Zgodnie z art. 77 ust. 1 RODO "(...) każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie." W doktrynie podnosi się, że "RODO zatem wprost wskazuje, że z prawa do wniesienia skargi do właściwego organu nadzorczego może skorzystać wyłącznie osoba fizyczna – osoba, której dane dotyczą. Dodatkowo skarga do organu musi wynikać lub mieć związek z przetwarzaniem danych osobowych tej osoby, które narusza przepisy RODO. W przeciwieństwie zatem do dyrektywy 95/46/WE instytucja skargi do organu nadzorczego zawarta w art. 77 RODO jest podmiotowo węższa. Skarga nie może zostać złożona przez podmioty, które nie podlegają ochronie RODO, a zatem przez wszelkie inne podmioty niż osoby fizyczne. Ponadto skarga musi dotyczyć naruszenia dotyczącego bezpośrednio danych konkretnej osoby składającej skargę do organu. (...) W toku postępowania Prezes Urzędu Ochrony Danych Osobowych w pierwszej kolejności weryfikuje skargę pod kątem formalnym, tj. przede wszystkim sprawdza, czy podmiot, który złożył skargę był do tego uprawniony. (...) [Odmowa] wszczęcia postępowania w drodze postanowienia [może nastąpić] w przypadku, gdy skargę złożyła osoba nieuprawniona, np. osoba, której dane osobowe nie dotyczą (art. 61a § 1 k.p.a.)" (B. Fischer, M. Mazewski, Środki ochrony prawnej przysługujące w razie naruszenia ochrony danych, LEX/el. 2018).

Pogląd powyższy Naczelny Sąd Administracyjny w tym składzie w pełni podziela. Ma on też potwierdzenie w art. 57 ust. 1 lit. f) RODO, który stanowi, że "Bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia każdy organ nadzorczy na swoim terytorium: rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez podmiot, organizację lub zrzeszenie zgodnie z art. 80 (...)". Skarżąca kasacyjnie Spółka nie jest żadnym z podmiotów, o których mowa w art. 80 RODO. W konsekwencji [...] Sp. z o.o., jako osoba prawna, której nie mogą dotyczyć dane osobowe – "dane osobowe" oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą") (art. 4 pkt 1 RODO) – nie mogła być uznana za podmiot uprawniony do wniesienia skargi do organu nadzoru. Skarga taka nie mogła też wynikać lub mieć związek z przetwarzaniem danych osobowych podmiotu wnoszącego, które naruszałoby przepisy RODO. Skarżąca kasacyjnie Spółka powołuje się na prawnie uzasadniony interes w postaci naruszenia dóbr osobistych, a to nie jest kategoria, która podlega ochronie w ramach RODO, jak słusznie zauważył Sąd I instancji. Już choćby tylko z tego względu postępowanie ze skargi [...] Sp. z o.o. przed Prezesem Urzędu Ochrony Danych Osobowych było bezprzedmiotowe, a zatem jego umorzenie nie narusza prawa.

Jeśli postępowanie administracyjne ze skargi [...] Sp. z o.o. przed Prezesem Urzędu Ochrony Danych Osobowych było bezprzedmiotowe, to nie można twierdzić, że w zakresie prowadzonego postępowania konieczne było nakazanie administratorowi dostarczenia wszelkich informacji potrzebnych organowi nadzorczemu do realizacji swoich zadań (art. 58 ust. 1 lit. a RODO), ani też, że byłoby to działanie naprawcze służące spełnieniu żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy RODO (art. 58 ust. 2 lit c). Jak już wskazano wyżej, skarżąca kasacyjnie Spółka nie jest podmiotem, którego dotyczą dane osobowe. W tych okolicznościach za racjonalne należy uznać też twierdzenie organu nadzoru i Sądu I instancji, że na gruncie art. 6 ust. 1 lit. f) RODO, [...] Sp. z o.o. mogłaby przetwarzać dane osobowe wskazywanego przez nią podmiotu z uwagi na niezbędność do celów wynikających z prawnie uzasadnionych interesów realizowanych przez nią, jako stronę trzecią (nie wnikając w tym miejscu w spełnienie warunku niezbędności), gdyby takimi danymi osobowymi już dysponowała. Natomiast w odniesieniu do podmiotu, który nie był uprawniony do wszczęcia postępowania administracyjnego przed Prezesem Urzędu Ochrony Danych Osobowych, o jakim mowa w rozdziale 7 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), nie było podstaw do korzystania przez organ nadzoru z jakichkolwiek jego uprawnień, należnych mu w trakcie prowadzonego postępowania.

Inaczej mogłaby natomiast wyglądać sytuacja, gdyby skargę do organu nadzoru wniosła osoba fizyczna, wskazując na domniemane naruszenie jej dóbr osobistych, chronionych na mocy RODO, co nie jest przedmiotem tej sprawy. Zadaniem Naczelnego Sądu Administracyjnego nie jest też wskazywanie potencjalnych rozwiązań rzeczywistego problemu ochrony dóbr osobistych, z jakim spotkała się skarżąca kasacyjnie Spółka.

Mając to na uwadze, na podstawie art. 184 p.p.s.a., Naczelny Sąd Administracyjny oddalił skargę kasacyjną. Sprawę rozpoznano na posiedzeniu niejawnym, w oparciu o art. 182 § 2 p.p.s.a.