Orzeczenia sądów
Opublikowano: LEX nr 1971666

Wyrok
Wojewódzkiego Sądu Administracyjnego w Warszawie
z dnia 27 sierpnia 2015 r.
II SA/Wa 900/15

UZASADNIENIE

Skład orzekający

Przewodniczący: Sędzia WSA Sławomir Antoniuk (spr.).

Sędziowie WSA: Andrzej Kołodziej, Adam Lipiński.

Sentencja

Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu na rozprawie w dniu 27 sierpnia 2015 r. sprawy ze skargi R. Z. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia (...) listopada 2012 r. nr (...) w przedmiocie ochrony danych osobowych

1.

uchyla zaskarżoną decyzję w całości,

2.

stwierdza, że zaskarżona decyzja nie podlega wykonaniu w całości.

Uzasadnienie faktyczne

Pismem z dnia (...) listopada 2011 r. R. Z.wystąpił do Generalnego Inspektora Ochrony Danych Osobowych (dalej jako organ lub GIODO) ze skargą na bezprawne przetwarzanie przez (...) S.A. z siedzibą w (...) jego danych osobowych na stronie internetowej (...). Wniósł o nakazanie ich usunięcia.

W toku prowadzonego postępowania organ ustalił, że (...) S.A, w prowadzonym serwisie internetowym umożliwia dostęp do dotyczącej R. Z. notki biograficznej, ale dane osobowe strony, dostępne za pośrednictwem ww. serwisu nie są przechowywane przez ww. spółkę. Oprogramowanie serwisu wyświetla jedynie informacje znajdujące się w polskiej wersji językowej encyklopedii internetowej (...). Ponadto Spółka nie jest autorem kwestionowanej notki biograficznej ani nie powstała ona na jej zlecenie.

Organ wskazał również, że serwis (...) jest serwisem, do którego wszystkie treści dostarcza (...) z siedzibą w (...) - właściciel serwisu (...).com. Treści te są w całości przekazywane do serwisu internetowego (...), a (...) S.A. nie posiada uprawnień do ich zamieszczania, edycji ani usuwania. Uprawnienia te przysługują wyłącznie (...) oraz upoważnionym przez nią osobom.

Organ ustalił ponadto, że serwis (...) za pośrednictwem swojej strony internetowej umożliwia jedynie wyszukanie określonych treści zamieszczonych w bazie danych serwisu i ich wyświetlanie na ekranie, natomiast nie posiada własnej bazy danych.

Na podstawie powyższych ustaleń Generalny Inspektor Ochrony Danych Osobowych, decyzją z dnia (...) sierpnia 2012 r. nr (...) na podstawie art. 104 § 1 k.p.a. w zw. z art. 12 ust. 2 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm., aktualny tekst jedn.: Dz. U. z 2014 r. poz. 1182 z późn. zm. - dalej jako ustawa) odmówił uwzględnienia wniosku R. Z.

W uzasadnieniu decyzji organ stwierdził, iż zgodnie z art. 7 pkt 4 ustawy, (...) S.A. nie posiada statusu administratora danych osobowych wnioskodawcy.

Po rozpoznaniu wniosku R. Z. o ponowne rozpoznanie sprawy, GIODO podtrzymał dotychczasowe stanowisko i decyzją z dnia (...) listopada 2012 r. nr (...), na podstawie art. 138 § 1 pkt 1 k.p.a., a także art. 12 pkt 2, art. 22 ustawy, utrzymał w mocy własną decyzję z dnia (...) sierpnia 2012 r.

Decyzja GIODO z dnia (...) listopada 2012 r. stała się przedmiotem skargi wniesionej przez R. Z. do Wojewódzkiego Sądu Administracyjnego w Warszawie. Wnosząc o uchylenie zaskarżonej decyzji oraz decyzji ją poprzedzającej z dnia (...) sierpnia 2012 r. skarżący podniósł zarzut naruszenia:

- art. 8 Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności, art. 47 oraz art. 51 ust. 1 Konstytucji RP, poprzez faktyczną odmowę prawa do prywatności;

- art. 31 ust. 3 Konstytucji RP, przez przyjęcie, że ograniczenie konstytucyjnego prawa skarżącego do prywatności mogło zostać dokonane poprzez publikowanie przez administratora polskiej domeny internetowej, treści pobranych automatycznie z domeny zagranicznej pozostającej poza jurysdykcją RP;

- art. 1 ust. 1 oraz art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych, poprzez bezprawne odmówienie prawa do ochrony jego danych osobowych;

- art. 7 pkt 4 ustawy o ochronie danych osobowych, poprzez przyjęcie, że (...) S.A. jako właściciel domeny (...) oraz oprogramowania upubliczniającego treści z serwisu (...) nie jest administratorem danych i nie decyduje o celach i środkach przetwarzania publikowanych danych;

- art. 7 pkt 2 ustawy o ochronie danych osobowych, poprzez przyjęcie, że (...) S.A., jako właściciel domeny (...) oraz oprogramowania upubliczniającego treści z serwisu (...) nie przetwarzała jego danych osobowych oraz nie decydowała o celach i środkach przetwarzania tych danych;

- art. 3 ust. 2 pkt 2 ustawy o ochronie danych osobowych, poprzez odmowę zastosowania przepisów wymienionej ustawy do (...) S.A., pomimo iż ma siedzibę na terytorium Rzeczypospolitej Polskiej oraz przetwarza jego dane osobowe przy użyciu środków technicznych, znajdujących się na terytorium Rzeczypospolitej Polskiej;

- art. 18 ust. 1 ustawy o ochronie danych osobowych, poprzez bezprawne uchylenie się GIODO od wydania decyzji przywracającej stan zgodny z prawem oraz wydanie decyzji wadliwej;

- art. 7 Konstytucji R.P., art. 6 k.p.a., poprzez wydanie decyzji rażąco sprzecznej z obowiązującymi przepisami prawa;

- art. 8 k.p.a., poprzez prowadzenie postępowania w sposób niebudzący zaufania do GIODO.

Skarżący zarzucił również błędy w ustaleniach faktycznych, polegające na przyjęciu, iż (...) S.A. nie jest administratorem jego danych osobowych, nie przetwarza ich z naruszeniem ustawy o ochronie danych osobowych, nie ma wpływu na treść publikowanych danych oraz, że fakt pobierania z zagranicznego serwera treści naruszających prawo, czyni działania ww. spółki legalnymi w świetle obowiązującego prawa. Ponadto wskazał na błędne ustalenie, że spółka nie ma możliwości zablokowania publikacji nielegalnych treści, np. za pomocą filtra, a oprogramowanie typu wiki jest tożsame z przeglądarkami internetowymi oraz czytnikami RSS, a posługiwanie się jakąkolwiek aplikacją internetową: skryptem, przeglądarką, czytnikiem RSS, legalizuje publikowanie treści niezgodne z ustawą o ochronie danych osobowych oraz zwalnia podmioty przetwarzające te dane od odpowiedzialności.

W odpowiedzi na skargę organ wniósł o jej oddalenie i podtrzymał argumenty zawarte w zaskarżonej decyzji.

Wojewódzki Sąd Administracyjny w Warszawie uznał zarzuty skargi za niezasadne i wyrokiem z dnia 13 sierpnia 2013 r. sygn. akt II SA/Wa 149/13 oddalił skargę.

Naczelny Sąd Administracyjny w Warszawie uwzględnił skargę kasacyjną R. Z.i wyrokiem z dnia 9 kwietnia 2015 r. sygn. akt I OSK 2926/13 uchylił zaskarżony wyrok oraz przekazał sprawę do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie.

W uzasadnieniu powyższego wyroku Naczelny Sąd Administracyjny wskazał, iż Sąd I instancji osią sporu uczynił to, czy (...) S.A. na stronie internetowej (...) przechowywała i przetwarzała dane osobowe R. Z. (w postaci notki biograficznej) i czy w związku z tym jest ich administratorem. Poczynione ustalenia wskazywały, iż (...) S.A. nie posiadała danych skarżącego, a jedynie przekierowywała do nich ze swojej strony do strony (...). Takie rozumienia pojęcia sprawy doprowadziło do zawężenia kontroli sądowoadministracyjnej, a wcześniej administracyjnej. Sąd zbadał bowiem tylko i wyłącznie (i to w sposób niepełny), czy (...) S.A. posiadała dane osobowe skarżącego na swojej stronie ((...)) i jakie to miało przełożenie na ich przetwarzanie i administrowanie nimi. Nie zbadał natomiast istoty stworzonego przez (...) S.A. mechanizmu, w tym tego, czy istniała realna szansa na doprowadzenie do "filtrowania" odesłań do strony zawierającej dane osobowe skarżącego, znajdującej się poza polską jurysdykcją.

Także ani Sąd I instancji, ani organ nie wyjaśniły precyzyjnie mechanizmu działania strony (...). W tym zakresie za podstawę ustaleń przyjęto jedynie wyjaśnienia uczestnika ((...) S.A.) oraz własne rozważania organu. Pominięto jednak możliwość zażądania przedstawienia umowy licencyjnej, na którą powoływał się uczestnik postępowania, a z której miałby wynikać zakaz dokonywania jakichkolwiek modyfikacji, filtrowania bądź zmian danych zamieszczonych na stronie dostarczanej przez (...) i ewentualne sposoby dokonywania zmian informacji. Naczelny Sąd Administracyjny stanął na stanowisku, iż związanie się przez dany podmiot umową, która w istocie powoduje wyłączenie możliwości reagowania na przypadki łamania przepisów o ochronie danych osobowych, nie może zostać uznane jako działanie chronione prawem (wyłączające z kręgu administratorów danych). Na tej podstawie Sąd I instancji powinien ustalić, czy (...) S.A. rzeczywiście nie przechowywała danych osobowych skarżącego i ich nie przetwarzała, co wskazywałoby jednoznacznie, iż jest ich administratorem. Powinien również uwzględnić sformułowane wyjaśnienia i odnieść się do nich w ramach subsumcji norm prawa wywiedzionych z przepisów ustawy o ochronie danych osobowych. W procesie tym Sąd I instancji uwzględni to, iż w sprawie chodzi o udostępnienie danych w Internecie, przez podmiot zagraniczny, w sposób, na który polskie organy nie mają wpływu. Jednocześnie WSA winien rozważyć, czy przetwarzaniem nie jest stworzenie takich warunków technicznych, które de facto umożliwiają zapoznanie się z danymi osobowymi bez ich fizycznej retencji.

Uzasadnienie prawne

Wojewódzki Sąd Administracyjny w Warszawie po ponownym rozpatrzeniu sprawy ze skargi R. Z.na decyzję GIODO z dnia (...) listopada 2012 r. zważył, co następuje:

Skarga zasługuje na uwzględnienie.

Na wstępie wskazać należy, że sądy administracyjne sprawują kontrolę działalności administracji publicznej pod względem zgodności z prawem. Oznacza to, że w zakresie dokonywanej kontroli Sąd bada, czy organ administracji orzekając w sprawie nie naruszył prawa w stopniu mogącym mieć wpływ na wynik sprawy. Należy dodać, że zgodnie z treścią art. 134 § ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (tekst jedn.: Dz. U. z 2012 r. poz. 270 z późn. zm.) Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz podstawą prawną.

W świetle postanowień art. 190 ustawy - Prawo o postępowaniu przed sądami administracyjnymi sąd, któremu sprawa została przekazana, związany jest wykładnią prawa dokonaną w tej sprawie przez Naczelny Sąd Administracyjny.

W niniejszej sprawie fundamentalne znaczenie ma dokonana przez Naczelny Sąd Administracyjny w wyroku z dnia 9 kwietnia 2015 r. sygn. akt I OSK 2926/13 wykładnia art. 7 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Zgodnie z tym przepisem przez przetwarzanie danych należy rozumieć jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Naczelny Sąd Administracyjny w uzasadnieniu powyższego wyroku wskazał, iż za przetwarzanie danych osobowych może być uznane także ich pośrednie udostępnianie (np. poprzez przekierowanie do innej domeny internetowej), nawet jeżeli dany podmiot danymi tymi fizycznie nie dysponuje. Sąd ten podkreślił, iż nie może podlegać ochronie prawnej działanie podmiotów, które w sposób bezrefleksyjny dokonują świadomego odesłania do stron internetowych, które mogą naruszać chronione prawem polskim dane osobowe. Niewątpliwie jeżeli przekierowanie takie nie łączy się z fizycznym posiadaniem danych udostępnionych na innej stronie internetowej, należy to uwzględniać w procesie oceny danego podmiotu jako przetwarzającego dane osobowe i nimi administrującego, jednakże brak posiadania danych nie wyłącza sam przez się możliwości uznania danego podmiotu za ich administratora. Oczywiście nie jest tak, iż każde przekierowanie, czy stworzenie innych warunków do wyszukania danych przez jedną witrynę internetową w zasobach innej, będzie od razu mieścić się w ramach instytucji uregulowanych w ustawie o ochronie danych osobowych. Niemniej nie może być zgody na to, by każde przekierowanie, które nie wiąże się z posiadaniem danych chronionych prawem, z założenia traktować jako nienaruszające przepisów ustawy. Stan taki mógłby stanowić podstawę do omijania polskich przepisów o ochronie danych osobowych poprzez "wyprowadzanie" danych chronionych spod jurysdykcji krajowej np. poprzez zamieszczanie ich na serwerze zagranicznym, przy jednoczesnym tworzeniu odesłań do zasobów udostępnionych przez inny podmiot, dostępnych bez większego problemu na terenie kraju, czy z innego miejsca na świecie. Przetwarzaniem może być więc również odsyłanie do danych zgromadzonych w innym miejscu, jeżeli podmiot taki jest bądź powinien być świadomy, że odsyła do informacji, które podlegają ochronie. Związanie się przez tenże podmiot (dokonujący odesłania) wszelkimi umowami o współpracy z podmiotem fizycznie zarządzającym chronionymi danymi osobowymi (w praktyce zarządzającym serwerem, na którym się one znajdują), podlega ocenie sądu pod kątem tego, czy temu pierwszemu podmiotowi nie można przypisać cechy administratora danych.

Naczelny Sąd Administracyjny podniósł, iż powyższe stanowisko uwzględnia europejski kierunek ochrony danych osobowych i znajduje potwierdzenie w orzecznictwie Trybunału Sprawiedliwości Unii Europejskiej. W wyroku z dnia 13 maja 2014 r., wydanym w sprawie o sygn. akt C-131/12 Trybunał stwierdził bowiem, na tle przepisów dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.Urz.UE.L z 1995 r. Nr 281, s. 31), iż przetwarzaniem danych osobowych jest takie skonfigurowanie przeglądarki internetowej, które pozwala na lokalizowanie przez osoby trzecie informacji opublikowanych lub zamieszczonych w Internecie, indeksowanie ich w sposób automatyczny, czasowe przechowywanie i wreszcie udostępnianie ich internautom w sposób uporządkowany zgodnie z określonymi preferencjami, w sytuacji gdy informacje takie zawierają dane osobowe. Podmiot zarządzający taką przeglądarką, jest też w ocenie TSUE, administratorem danych osobowych.

Trybunał wskazał także, iż realizacją zasady ochrony danych osobowych polega również na tym, iż podmiot zarządzający wyszukiwarką internetową jest zobowiązany do usunięcia z wyświetlanej listy wyników wyszukiwania, mającego za punkt wyjścia imię i nazwisko danej osoby, linków do publikowanych przez osoby trzecie stron internetowych zawierających dotyczące tej osoby informacje, również w przypadku, gdy to imię czy nazwisko czy też te informacje nie zostały uprzednio czy też jednocześnie usunięte z tych stron internetowych, nawet jeśli ich publikacja jest zgodna z prawem.

Przenosząc powyższe rozważania na grunt niniejszej sprawy należy dostrzec, iż za przetwarzanie danych osobowych uznawane są wszelkie operacje wykonywane na tych danych, w tym udostępnianie i usuwanie, zwłaszcza w systemach teleinformatycznych. Zgodnie z ustaleniami dokonanymi przez Departament Informatyki w Biurze GIODO, przedstawionymi w opinii jego Dyrektora z dnia 24 lipca 2012 r. "Serwis (...) za pośrednictwem swojej strony umożliwia jedynie wyszukanie określonych treści zamieszczonych w bazie danych serwisu http://pl.(...).org i ich wyszukanie na ekranie. Serwis (...) nie posiada własnej bazy danych z danymi wyszukiwanymi na portalu http://pl.(...).org, a jedynie po wykonaniu wyszukiwania w serwisie http://pl.(...).org prezentuje te dane na swojej stronie, w określonym przez siebie formacie". Organ przy tym uznał, iż (...) S.A. dostarcza użytkownikom narzędzia umożliwiające uzyskanie dostępu do danych upublicznionych przez (...) oraz (...) S.A. nie decyduje o treści artykułów dostępnych w serwisie (...). Zaś zasady udostępniania danych w serwisie (...) zostały wskazane w odnośniku zamieszczonym w stopce tego serwisu o nazwie "Tekst udostępniany na licencji (...): uznanie autorstwa, na tych samych warunkach, z możliwością ograniczeń". GIODO wskazał także, iż (...) S.A. ma możliwość edycji, usunięcia lub zaprzestania upublicznienia danych osobowych zawartych w treści artykułów dostępnych w serwisie (...), ale tylko na zasadach określonych w regulaminie serwisu pl.(...).org co oznacza, że czynności te są ostatecznie weryfikowane i akceptowane przez redaktorów serwisu pl.(...).org. Przy czym (...) S.A. nie decyduje o celach i środkach, gdyż nie gromadzi tych danych na serwerach.

Z powyższych ustaleń poczynionych przez GIODO wynika, iż (...) S.A. nie tylko "automatycznie" kieruje za pośrednictwem własnej strony internetowej do serwisu http://pl.(...).org do wyszukanych na jej stronie treści, lecz także dysponuje instrumentami, poprzez które, wprawdzie nie bezpośrednio, lecz na zasadach określonych w regulaminie serwisu pl.(...).org, może wpływać na weryfikowanie treści zamieszczonych w bazach danych serwisu pl.(...).org. Temu aspektowi sprawy organ nie poświecił należytej uwagi. Wprawdzie (...) S.A. nie posiada własnego zbioru danych zawierających informacji o skarżącym, ale przedstawia te dane w określonym przez siebie formacie, jak też ma pośrednią możliwość weryfikacji poprawności tych danych. To z kolei, w konfrontacji z dokonaną przez Naczelny Sąd Administracyjny w ww. uzasadnieniu wyroku wykładnią art. 7 pkt 2 ustawy o ochronie danych osobowych, zdaje się wskazywać na zasadność przyznania (...) S.A. statutu administratora danych osobowych skarżącego publikowanych na stronach (...). Jednakże jednoznaczne przesądzenie tej kwestii, wobec niewystarczającego materiału dowodowego zgromadzonego w toku postępowania administracyjnego, jest przedwczesne. Jak podkreślił w powyższym wyroku Naczelny Sąd Administracyjny, kluczowe znaczenie dla poznania mechanizmu przetwarzania danych w serwisie (...), zapożyczonych z serwisu pl.(...).org, ma ustalenie możliwości "filtrowania" określonych treści i to w oparciu o postanowienia umowy licencyjnej zawartej pomiędzy (...) a (...).Treść tej umowy nie została jednak poddana analizie w postępowaniu prowadzonym przez GIODO, choć uczestnik postępowania - (...) S.A. - powołuje się na związanie postanowieniami tej umowy. Skoro tak, to obowiązkiem organu było skonfrontowanie twierdzeń uczestnika postępowania o braku stosownych instrumentów do weryfikacji danych skarżącego uzyskiwanych z serwisu pl.(...).org z tym, co postanowiły strony przedmiotowej umowy licencyjnej.

Wojewódzki Sąd Administracyjny w Warszawie nie może za organ uzupełniać materiału dowodowego i ustalać stanu faktycznego sprawy w zakresie niezbędnych dla wydania prawidłowego rozstrzygnięcia. Wobec nadesłania przez uczestnika postępowania do akt sprawy umowy licencyjnej w języku angielskim i poinformowaniu o niedysponowaniu jej tłumaczeniem na język polski, skład orzekający w sprawie nie miał możliwości konwalidowania braków postępowania wyjaśniającego. Trzeba mieć w tym względzie na uwadze, iż co do zasady nie jest możliwe prowadzenie postępowania dowodowego przed sądem administracyjnym, który kontrolę legalności opiera na materiale dowodowym zgromadzonym w postępowaniu przed organem administracji wydającym zaskarżoną decyzję, czy inny akt prawny. Celem postępowania dowodowego, o którym mowa w art. 106 § 3 ustawy - Prawo o postępowaniu przed sądami administracyjnymi, nie jest ponowne ustalenie stanu faktycznego w sprawie administracyjnej, lecz wyłącznie ocena, czy organy administracji ustaliły ten stan zgodnie z regułami procedury administracyjnej, a następnie, czy dokonały prawidłowej subsumcji ustalonego stanu faktycznego do dyspozycji określonych przepisów prawa materialnego - przykładowo wyrok NSA z dnia 10 lutego 2015 r. sygn. akt I OSK 2574/14 (publik. LEX nr 1657913). Tego zaś obecnie Sąd uczynić nie może wobec nienależytego ustalenia przez GIODO stanu faktycznego sprawy.

Wobec powyższego należy powtórzyć za Naczelnym Sądem Administracyjnym, iż organ nie wyjaśnił precyzyjnie mechanizmu działania strony (...). Brak kluczowych ustaleń stanu faktycznego sprawy wskazuje na istotne naruszenie przez GIODO przepisów procesowych, tj. art. 7, 77 § 1 i art. 107 § 3 k.p.a. i to w stopniu mogącym mieć wpływ na końcowy wynik sprawy. To z kolei powoduje konieczność wyeliminowanie zaskarżonej decyzji z obrotu prawnego.

Rozpoznając sprawę z wniosku R. Z. o ponowne rozpatrzenie sprawy organ, kierując się powyższymi uwagami, uzupełni materiał dowodowy w niezbędnym zakresie, dokona oceny zgromadzonego materiału dowodowego w zestawieniu z wykładnią art. 7 pkt 2 ustawy o ochronie danych osobowych dokonaną przez Naczelny Sąd Administracyjny w ww. uzasadnieniu wyroku i dopiero wówczas rozstrzygnie, czy (...) S.A. jest administratorem danych osobowych skarżącego i czy dane te były przez uczestnika postępowania przetwarzane z poszanowaniem reguł określonych w ustawie o ochronie danych osobowych.

Mając powyższe uwadze powyższe Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit. c ustawy - Prawo o postępowaniu przed sądami administracyjnymi, orzekł jak w sentencji.

Tekst orzeczenia pochodzi ze zbiorów sądów administracyjnych.