II SA/Wa 971/19 - Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie

Orzeczenia sądów
Opublikowano: LEX nr 2976824

Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 6 listopada 2019 r. II SA/Wa 971/19

UZASADNIENIE

Skład orzekający

Przewodniczący: Sędzia WSA Piotr Borowiecki.

Sędziowie WSA: Stanisław Marek Pietras, Konrad Łukaszewicz (spr.), Agnieszka Fidor.

Sentencja

Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu na rozprawie w dniu 6 listopada 2019 r. sprawy ze skargi P. O. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia (...) marca 2019 r. nr (...) w przedmiocie przetwarzania danych osobowych

1. uchyla zaskarżoną decyzję;

2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz skarżącego P. O. kwotę 200 zł (słownie: dwieście złotych) tytułem zwrotu kosztów postępowania sądowego.

Uzasadnienie faktyczne

Kontrolą sądowoadministracyjną w niniejszej sprawie objęte zostało postępowanie zakończone decyzją Prezesa Urzędu Ochrony Danych Osobowych (zwanego dalej: "Prezesem UODO") z dnia (...) marca 2019 r. nr (...) w przedmiocie przetwarzania danych osobowych.

Stan faktyczny sprawy przedstawia się następująco:

Pismem z dnia 4 kwietnia 2016 r. P. O. (zwany dalej: "Skarżącym") wystąpił do Generalnego Inspektora Ochrony Danych Osobowych (zwanego dalej: "GIODO") ze skargą na nielegalne przetwarzanie danych osobowych, których administratorem jest Dom Pomocy Społecznej "(...)" w (...) (zwany dalej: "DPS"), polegające na skopiowaniu tych danych, wyniesieniu ich poza placówkę oraz udostępnieniu nieokreślonej liczbie podmiotów przez pracowników Urzędu Miasta (...) (zwanego dalej: "Urzędem Miasta"), którzy nie mieli uprawnień do dostępu i przetwarzania tych danych. W uzasadnieniu wyjaśnił, iż w dniach (...) i (...) marca 2016 r. pracownicy Urzędu Miasta, podczas jego nieobecności i bez jego zgody jako Dyrektora DPS, weszli do pomieszczenia, w którym znajdował się rejestrator utrwalający dane osobowe z monitoringu wizyjnego zainstalowanego w placówce, a następnie "zmusili" pracownicę DPS do udostępnienia hasła dostępu, po czym skopiowali dane osobowe pracowników i podopiecznych placówki, a także ich rodzin. W jego ocenie, odbyło się to w sposób nielegalny, bowiem administratorem danych osobowych był DPS reprezentowany przez Dyrektora, który nie wyraził na to zgody. Tym samym dane te zostały udostępnione osobom nieupoważnionym. Skarżący powołał się przy tym na dokument "Polityka Bezpieczeństwa Informacji w Domu Pomocy Społecznej "(...)" w (...)", zgodnie z którym, dane osobowe zgromadzone w zbiorze pochodzącym z monitoringu mogły być przetwarzane wyłącznie w calu zapewnienia opieki nad mieszkańcami. Nadto wskazał, że ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2016 r. poz. 922 z późn. zm.; zwanej dalej: "u.o.d.o. z 1997 r.") nie legitymizuje dostępu do danych osobowych osobom, które nie są ich administratorem, bez względu na zajmowane przez te osoby stanowisko służbowe. Konkludując Skarżący sformułował żądanie podjęcia działań w celu usunięcia wskazanych uchybień, odwołując się przy tym do art. 18 u.o.d.o. z 1997 r.

Pismem z dnia 24 sierpnia 2016 r. GIODO wezwał Skarżącego do uzupełniania braków formalnych skargi poprzez wskazanie, czy w sygnalizowanej sprawie chodzi o jego dane osobowe, czy dane osobowe innych osób, a także o wskazanie żądania, biorąc pod uwagę art. 18 u.o.d.o. z 1997 r.

W odpowiedzi Skarżący złożył pismo z dnia 12 września 2016 r., w którym wskazał, że skarga dotyczy naruszenia zarówno jego danych osobowych, jak również danych osobowych wskazanych z imienia i nazwiska pracowników, a także podopiecznych DPS, którzy udzielili mu pełnomocnictw do reprezentowania ich w ramach postępowania przez GIODO. Nadto wyjaśnił, iż żąda "usunięcia danych z nośników, na które zostały skopiowane" przez pracowników Urzędu Miasta, a które "są przez cały czas w posiadaniu Urzędu Miasta (...)". Do pisma załączył 6 dokumentów pełnomocnictwa.

GIODO zwrócił się pismem z dnia (...) grudnia 2016 r. do Prezydenta Miasta (...) (zwanego dalej: "Prezydentem Miasta") o ustosunkowanie się do treści skargi, a w szczególności wyjaśnienie: (1) na jakiej podstawie prawnej, w jakim zakresie i w jakim celu pracownicy Urzędu Miasta pozyskali dane osobowe (w formie monitoringu) osób wskazanych w skardze; (2) jakie dane osobowe zostały pozyskane i w jakim celu; (3) czy osoby mające dostęp do pozyskanych danych posiadały upoważnienie do przetwarzania danych osobowych.

Pismem z dnia (...) grudnia 2016 r. Zastępca Prezydenta Miasta (...) ds. Polityki Społecznej ustosunkował się do skargi podnosząc, że na skutek informacji jaką powziął Prezydent Miasta, zgodnie z którą, Skarżący "notorycznie" nie przychodzi do pracy, podjął decyzję o przeprowadzeniu kontroli polegającej na weryfikacji zapisu monitoringu z kamer przy wejściu do placówki. Na polecenie Prezydenta Miasta kontrola była realizowana przez Zastępcę Prezydenta Miasta (...) wspólnie z Dyrektorem Wydziału (...), a także kierownikiem Oddziału (...) oraz informatykiem. Celem kontroli było wyłącznie sprawdzenie czy Skarżący przychodzi do pracy i utrwalenie dowodów w tym zakresie. Wyjaśniono przy tym, że rejestrator monitoringu DPS oraz hasło do niego zostały udostępnione przez pracownika DPS, wobec nieobecności w pracy Dyrektora DPS, co uznane zostało za zgodę na wykonanie tych czynności. Pracownicy Urzędu Miasta dokonali jedynie kopiowania plików z rejestratora na dysk zewnętrzny, bez wglądu w ich zawartość. Dane zapisane na dysku zostały następnie przejrzane wyłącznie przez Zastępcę Dyrektora Miejskiego Ośrodka Pomocy Społecznej w (...) w celu identyfikacji osoby Skarżącego. Natomiast dysk ze skopiowanymi plikami monitoringu jest przechowywany w dziale (...) Urzędu Miasta, w zamkniętej szafie, w strefie ograniczonego dostępu. Zdaniem Prezydenta Miasta, uprawnienie do przeprowadzenia kontroli, jak również podjętych działań w jej trakcie, wynikało z art. 7 ustawy z dnia 21 listopada 2008 r. o pracownikach samorządowych (t.j. Dz. U. z 2019 r. poz. 1282) oraz z Regulaminu organizacyjnego Urzędu Miasta (...).

W toku postępowania organ uzyskał również informację - zawartą w piśmie z dnia (...) maja 2017 r. - o kontroli przeprowadzonej przez Departament (...) Biura GIODO u Prezydenta Miasta w dniach od (...) do (...) kwietnia 2017 r., w wyniku której ustalono, że DPS jest jednostką budżetową (miejską jednostką organizacyjną) Urzędu Miasta, zaś do zadań Prezydenta Miasta należy m.in. zatrudnianie i zwalnianie jego dyrektora (kierownika miejskiej jednostki organizacyjnej). W związku z kontrolą przeprowadzoną przez zespół upoważnionych pracowników Urzędu Miasta, dotyczącą świadczenia pracy przez Skarżącego w DPS, kontrolujący pozyskali obraz z monitoringu wizyjnego poprzez zgranie na odrębny dysk twardy przez informatyka Urzędu Miasta. Nagrania te stanowiły obraz z 3 kamer zainstalowanych przy wejściach do budynku DPS z następujących dni: (...) marca 2016 r. z godzin od. 7.00 do 15.00 i z dnia (...) marca 2016 r. z godzin od 7.00 do 10.00. Nagrania te nie zawierały dźwięku i nie zostały wprowadzone do żadnego systemu informatycznego Urzędu Miasta. Zapis obrazu zarejestrował wizerunki wszystkich osób wchodzących do placówki i wychodzących z niej. Natomiast na pozyskanych nagraniach nie został utrwalony wizerunek Skarżącego. Nagranie to stanowiło podstawę do rozwiązania ze Skarżącym umowy o pracę w trybie art. 52 Kodeksu pracy. Oględzinom poddano wszystkie pliki znajdujące się na dysku twardym (...). W wyniku przeprowadzonych oględzin stwierdzono, że zawartość plików jest zgodna z ich nazwą i ustalonym obszarem monitorowania tj. jedynie wejść/wyjść do/z budynku stanowiącego siedzibę DPS. Zdaniem kontrolujących, Prezydent Miasta przetwarzał dane osobowe monitoringu wizyjnego DPS wyłącznie w celu dowodowym, natomiast nikomu nie udostępnił danych zawartych w nagraniach z monitoringu. Końcowo wskazano również, że pismem z dnia (...) kwietnia 2017 r. Prezydent Miasta poinformował GIODO, że na wniosek Dyrektora DPS dysk twardy (...): (...) (zawierający zapis obrazu z monitoringu wizyjnego utrwalony w dniu (...) marca 2016 r. w trakcie kontroli prowadzonej w DPS przez pracowników Urzędu Miasta) został w dniu (...) kwietnia 2017 r. przekazany Dyrektorowi DPS. Tym samym w Urzędzie Miasta nie są już przetwarzane dane osobowe zawarte w zapisie z monitoringu wizyjnego DPS.

Pismem z dnia 1 lutego 2019 r. Skarżący wypowiedział się co do zebranego w postępowaniu materiału dowodowego, składając jednocześnie obszerne wyjaśnienia i zastrzeżenia, jak również przedstawiając własne dowody. W szczególności podniósł, że pomimo tego, że DPS jest jednostką organizacyjną Urzędu Miasta, to zachowuje swoją odrębność w zakresie ochrony danych osobowych, bowiem ich administratorem jest DPS a nie Urząd Miasta. Skarżący zakwestionował również ustalenia dokonane przez kontrolujących, zarówno pracowników Urzędu Miasta, jak też kontrolerów z Biura GIODO. Wskazał również, że został bezprawnie zwolniony z pracy w trybie dyscyplinarnym, co potwierdziły wyroki Sądu Rejonowego w (...) oraz Sądu Okręgowego w (...), mocą których został przywróconą do pracy w DPS na poprzednich warunkach pracy i płacy. Podniósł przy tym, że w toku postępowania cywilnego Prezydent Miasta nie przedstawił dowodów z nagrań monitoringu, które zostały bezprawnie pozyskane przez pracowników Urzędu Miasta.

Zaskarżoną decyzją z dnia (...) marca 2019 r. Prezes UODO odmówił uwzględnienia wniosku Skarżącego dotyczącego przetwarzania danych osobowych.

W podstawie prawnej decyzji przywołano m.in. art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz. U. z 2019 r. poz. 1781; zwanej dalej: "u.o.d.o. z 2018 r."), art. 22 u.o.d.o. z 1997 r., a także przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz.UE.L 119 z 4 maja 2016 r., str. 1 z późn. zm.; zwanego dalej: "RODO").

W uzasadnieniu organ zauważył w pierwszej kolejności, że Skarżącego łączyła z Prezydentem Miasta zależność służbowa, wynikająca z art. 7 ust. 1 ustawy o pracownikach samorządowych, jak również z Regulaminu organizacyjnego Urzędu Miasta. Skoro zatem Prezydent Miasta pełnił wobec Skarżącego rolę zwierzchnika to przesłanką regulującą przetwarzanie jego danych osobowych jako Dyrektora DPS był art. 6 ust. 1 lit. c oraz e) RODO.

Zdaniem Prezesa Urzędu, celem przetwarzania danych zawartych na nagraniach z monitoringu było ustalenie przestrzegania przez Skarżącego czasu pracy. Prezydent Miasta jako sprawujący nadzór pracowniczy nad Skarżącym, miał zatem uprawnienia do skontrolowania monitoringu wizyjnego, aby potwierdzić wiarygodność informacji na temat nieobecności Skarżącego w pracy. Przeprowadzone czynności kontrolne odbyły się przy udziale uprawnionego pracownika, którym był Zastępca Dyrektora Miejskiego Ośrodka Pomocy Społecznej w (...) (zwanego dalej: "MOPS"), zaś postępowanie dowodowe wykazało, że tylko on miał dostęp do danych zawartych w nagraniach z monitoringu. W ocenie organu, nie ulega wątpliwości, że osoba ta była "zastępcą" Dyrektora DPS podczas nieobecności Skarżącego w pracy, a tym samym była odpowiedzialna za funkcjonowanie placówki, a także za kontrolowanie przestrzegania obowiązujących w tym czasie przepisów o ochronie danych osobowych. Zdaniem Prezesa UODO, Zastępca Dyrektora MOPS był zatem uprawniony do przejrzenia nagrań z monitoringu dla celów postępowania kontrolnego prowadzonego przez Zastępcę Prezydenta Miasta.

Odnosząc się z kolei do przetwarzania danych osobowych innych pracowników oraz podopiecznych placówki, organ stwierdził, że brak jest informacji, że ich dane osobowe zostały utrwalone na kwestionowanych nagraniach z monitoringu umieszczonego przy wejściu do budynku DPS, bowiem celem pozyskania tych nagrań była kontrola czasu pracy ówczesnego Dyrektora DPS, zaś wizerunek pozostałych osób nie podlegał weryfikacji i identyfikacji.

Końcowo Prezes UODO podniósł, że znaczące dla niniejszej sprawy jest to, że obecnie dysk twardy (...): (...) - na który zostały zgrane dane osobowe - został przekazany Dyrektorowi DPS i dane osobowe na nim utrwalone nie są już przetwarzane przez Prezydenta Miasta.

Skarżący wywiódł skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie, wnosząc o uchylenie decyzji Prezesa UODO z dnia (...) marca 2019 r. i przekazanie sprawy do ponownego rozpoznania organowi, jak również o zasadzenie zwrotu kosztów sądowych. Zaskarżonej decyzji zarzucił naruszenie:

1) prawa materialnego poprzez niewłaściwe zastosowanie:

a) art. 37 u.o.d.o. z 1997 r. polegające na ustaleniu, że do przetwarzania danych DPS byli uprawnieni pracownicy Urzędu Miasta (osoby nieposiadające upoważnień nadanych przez administratora danych - DPS);

b) art. 23 u.o.d.o. z 1997 r. polegające na pominięciu kwestii przetwarzania przez pracowników Urzędu Miasta danych wrażliwych, jakim jest stan zdrowia mieszkańców, co miało istotny wpływ na wynik sprawy;

c) art. 7 pkt 4) u.o.d.o. z 1997 r. polegające na nieustaleniu kto jest administratorem danych DPS;

2) przepisów postępowania, mające istotny wpływ na wynik sprawy, polegające na zebraniu, rozpatrzeniu oraz dokonaniu oceny materiału dowodowego wbrew regułom wynikającym z art. 7, 77 § 1 oraz art. 80 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (t.j. Dz. U. z 2018 r. poz. 2096 z późn. zm.; zwanej dalej: "k.p.a."), w szczególności poprzez zaniechanie oceny zgodności z przepisami prawa działań pracowników Urzędu Miasta, jak również zaniechanie uzyskania stosownych wyjaśnień od bezpośredniego świadka zdarzenia - D. B.

Rozwijając zarzuty w obszernym uzasadnieniu Skarżący wskazał, że zasadnicze znaczenie w sprawie miało ustalenie, kto był administratorem danych osobowych gromadzonych i przetwarzanych przez DPS na monitoringu wizyjnym. W jego ocenie, nie może ulegać wątpliwości, że w świetle przepisów u.o.d.o. z 1997 r. administratorem tym nie był ani Urząd Miasta ani Prezydent Miasta ani żaden z pracowników obecnych podczas kontroli w dniu (...) marca 2016 r. Jak natomiast wynikało z Regulaminu Organizacyjnego DPS, podczas nieobecności dyrektora zastępuje go kierownik działu (...), czyli D. B., która jako jedyna mogła upoważnić inne osoby do przetwarzania danych osobowych gromadzonych w DPS, czego nie uczyniła. W konsekwencji, pracownicy Urzędu Miasta nie mogli przystąpić do zgrywania danych osobowych z dysku rejestratora na dysk zewnętrzny, a uczyniwszy to naruszyli art. 37 u.o.d.o. z 1997 r.

Skarżący zwrócił również uwagę, iż gromadzenie danych osobowych poprzez monitoring wizyjny służyć ma jedynie zapewnieniu opieki nad mieszkańcami, co wyraźnie postanowiono w dokumencie wewnętrznym "Polityka Bezpieczeństwa Informacji w DPS "(...)" w (...)". Natomiast przetwarzanie danych osobowych dokonane przez Prezydenta Miasta - jak sam przyznaje - nie służyło temu celowi, lecz było podyktowane kontrolą prowadzoną wyłącznie wobec Skarżącego. Takie działanie było zatem nieuprawnione, co potwierdził także Sąd Okręgowy w (...) w uzasadnieniu do wyroku z dnia (...) marca 2016 r. Znamienne jest przy tym, że Prezydent Miasta - w toku kilkuletniego procesu cywilnego z powództwa Skarżącego - nie powołał ostatecznie jako dowodu pozyskanych nagrań z monitoringu DPS.

Skarżący nie zgodził się również z wywodem organu, że C. D. był osobą upoważnioną do przetwarzania danych osobowych. W tym zakresie zauważył, że po pierwsze osoba ta nie uczestniczyła w kontroli w dniu (...) marca 2016 r., a po drugie, przekazanie mu nagrań po kontroli uznać należało za bezprawne, bowiem nie był on pracownikiem DPS czy Urzędu Miasta, lecz pracownikiem MOPS, zatem jednostki odrębnej do DPS. Podkreślił przy tym, że pomiędzy Zastępcą Dyrektora MOPS, a dyrektorem DPS - nie ma żadnej podległości służbowej.

Nadto dostrzegł, że skoro informatycy Urzędu Miasta dokonali zgrania danych na dysk zewnętrzny, to również oni przetwarzali dane osobowe, gdyż zgodnie z definicją "przetwarzaniem" jest także pobieranie danych.

Skarżący nie zgodził się także ze stanowiskiem organu, że przetwarzaniu nie podlegały dane osobowe innych osób, w tym pracowników, podopiecznych i ich rodzin. Nie można bowiem przyjąć, że w celu zidentyfikowania wizerunku jego osoby, nie zostały zidentyfikowane wizerunki setek innych osób, jakie zostały utrwalone na nagraniach, co bezsprzecznie dowodzi, że ich dane osobowe były również przetwarzane. W celu zidentyfikowania jego wizerunku należało bowiem zapoznać się ze wszystkimi utrwalonymi wizerunkami innych osób.

Zdaniem Skarżącego, w sprawie znajdują zastosowanie przepisy u.o.d.o. z 1997 r., a nie wskazane przez organ przepisy RODO. W związku z tym, nie można uznać, że w sprawie spełniona została przesłanka z art. 23 u.o.d.o. z 1997 r., jaką jest niezbędność przetwarzania danych do realizacji stosunku prawnego pomiędzy Prezydentem Miasta, a osobami, których wizerunki zostały utrwalone na nośniku danych.

Skarżący odniósł się również do kwestii zwrócenia nośnika danych z Urzędu Miasta do DPS. W jego ocenie, to że w dniu (...) kwietnia 2017 r. został zwrócony jakiś nośnik danych nie oznacza, że jest to dokładnie ten sam nośnik, na który zostały zgrane obrazy z monitoringu. Zdaniem Skarżącego, organ nie ustalił, że wskazany w piśmie Prezydenta Miasta dysk, był tym samym dyskiem, który został użyty rok wcześniej. Podniósł przy tym, że D. B. była świadkiem, że dane były zgrywane na wiele różnych nośników. W tej sytuacji, organ winien przeprowadzić dowód z jej przesłuchania w charakterze świadka.

Reasumując Skarżący zarzucił, że pracownicy Urzędu Miasta weszli w posiadanie hasła dostępu do rejestratora monitoringu wizyjnego w sposób nieuprawniony, następnie skopiowali dane, wywieźli poza teren DPS, a w dalszej kolejności udostępnili te dane C. D., pracownikowi kolejnej jednostki organizacyjnej Miasta (...), tj. MOPS. Jego zdaniem, pracownicy Urzędu Miasta nie powinni zgrywać danych z dysków, bo nie Urząd Miasta jest administratorem danych osobowych gromadzonych w DPS, a nawet jeśli chcieli zgrać dane z dysków, to powinni zrobić na zasadach określonych w u.o.d.o. z 1997 r., a przede wszystkim wypełnić obowiązki, o których mowa w Polityce Bezpieczeństwa Informacji DPS (min. uzyskać upoważnienie). Podczas zgrywania pracownicy mieli natomiast dostęp do całego dysku twardego, zgrywali dane cały dzień na kilka nośników, na ekranie pojawiały się obrazy z różnych kamer usytuowanych na korytarzach wewnętrznych, widoczni byli również mieszkańcy placówki. Pracownicy Urzędu Miasta mogli zatem zgrać wszystko, co chcieli. Po wywiezieniu nośników, DPS nie miał kontroli nad tymi nośnikami, co oznacza, że pracownicy Urzędu Miasta mogli wielokrotnie kopiować dane osobowe, jak również zmieniać ich zawartość, np. usunąć wybrane pliki (zrzuty z danych kamer). Oryginalny nośnik z danymi lub jego kopia przekazana została z Urzędu Miasta do MOPS osobie trzeciej (C. D.), nieupoważnionej przez administratora danych (DPS). W konsekwencji nie ulega wątpliwości, że dokonując zgrania i przejrzenia danych osób na monitoringu DPS, kontrolujący dokonali przetworzenia danych osobowych niezgodnie z celem dla jakiego zbiór ten stworzono i z przekroczeniem uprawnień, działając bez upoważnienia administratora danych osobowych. Z tych względów trudno uznać, że ustalenia dokonane przez Prezesa UODO były prawidłowe.

W odpowiedzi na skargę organ wniósł o jej oddalenie ponawiając argumentację przedstawioną w zaskarżonej decyzji. Dodatkowo wskazał, że wyjaśnienia Prezydenta Miasta uznane zostały za wystarczający dowód w sprawie, bowiem są wiarygodne, spójne i nie budzą wątpliwości. Wyjaśnienia te znalazły również odzwierciedlenie w ustaleniach poczynionych przez pracowników UODO podczas kontroli przeprowadzonej w Urzędzie Miasta. W związku z tym, brak jest jakichkolwiek podstaw by podważyć okoliczność, że Prezydent Miasta jest aktualnie w posiadaniu nagrań z monitoringu zgranych na dysk w dniu (...) marca 2016 r. Brak jest również dowodów świadczących o tym, że Prezydent utrwalił dane na innym nośniku i udostępnił je innym nieuprawnionym osobom.

Uzasadnienie prawne

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Zgodnie z art. 3 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2018 r. poz. 1302 z późn. zm.; zwanej dalej: "p.p.s.a."), sądy administracyjne sprawują kontrolę działalności administracji publicznej i stosują środki określone w ustawie. Oznacza to, iż zadaniem wojewódzkiego sądu administracyjnego jest zbadanie legalności zaskarżonego aktu pod względem jego zgodności z prawem, to znaczy ustalenie czy organ orzekający w sprawie prawidłowo zinterpretował i zastosował przepisy prawa w odniesieniu do właściwie ustalonego stanu faktycznego. Jednocześnie, zgodnie z art. 134 § 1 p.p.s.a., sąd rozstrzyga w granicach danej sprawy nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną Kontrolując sprawę w ramach swoich kompetencji, Sąd uznał, że skarga zasługuje na uwzględnienie, bowiem zaskarżona decyzja wydana została z naruszeniem generalnej zasady postępowania administracyjnego wyrażonej w art. 6 k.p.a., zgodnie z którą, organy administracji publicznej działają na podstawie przepisów prawa.

Przypomnieć należy, że od dnia 25 maja 2018 r. w polskim porządku prawnym obowiązuje u.o.d.o. z 2018 r., jak również bezpośrednie zastosowanie znajdują unijne przepisy RODO.

Zasada bezpośredniego stosowania w państwach członkowskich rozporządzeń unijnych wynika z art. 288 zdanie trzecie Traktatu o funkcjonowaniu Unii Europejskiej (Dz. U. z 2004 r. Nr 90, poz. 864)2 z późn. zm.). Ponadto, zgodnie z art. 91 ust. 3 Konstytucji RP, jeżeli wynika to z ratyfikowanej przez Rzeczpospolitą Polską umowy konstytuującej organizację międzynarodową , prawo przez nią stanowione jest stosowane bezpośrednio, mając pierwszeństwo w przypadku kolizji z ustawami. Biorąc zatem pod uwagę, iż RODO spełnia wszystkie wymagania wskazane w art. 91 ust. 3 Konstytucji RP, także w świetle prawa polskiego po dniu 24 maja 2018 r. nie jest dopuszczalne stosowanie przepisów poprzednio obowiązującej u.o.d.o. z 1997 r. w takim zakresie, w jakim do danego stanu faktycznego znajdują zastosowanie przepisy RODO.

Nie można jednak zapominać, że u.o.d.o. z 2018 r. wprowadziła w art. 160 ust. 2 przepis przejściowy, w myśl którego, postępowania prowadzone przez GIODO, wszczęte i niezakończone przed dniem wejścia w życie ustawy z 2018 r. prowadzi się na podstawie ustawy uchylanej, zgodnie z zasadami określonymi w k.p.a.

Na tle powyższej normy przejściowej godzi się przyjąć - zdaniem Sądu w składzie orzekającym - że art. 160 ust. 2 u.o.d.o. z 2018 r. odnosi się wyłącznie do "prowadzenia postępowania", zatem dotyczy tylko regulacji o charakterze procesowym. Zauważyć bowiem należy, że ustawodawca posłużył się tutaj zwrotem "postępowania prowadzi się", nie zaś konstrukcją zakładającą, że w postępowaniach wszczętych i niezakończonych "stosuje się" przepisy ustawy uchylanej.

Za przyjęciem takiego stanowiska dodatkowo przemawia wskazana wyżej zasada bezpośredniego stosowania RODO, jak również przepis końcowy art. 175 u.o.d.o. z 2018 r., w którym wymieniono wprawdzie zachowujące moc przepisy u.o.d.o. z 1997 r., jednakże wyłącznie "w odniesieniu do przetwarzania danych osobowych w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, prowadzenia postępowań w sprawach dotyczących tych czynów oraz wykonywania orzeczeń w nich wydanych, kar porządkowych i środków przymusu w zakresie określonym w przepisach stanowiących podstawę działania służb i organów uprawnionych do realizacji zadań w tym zakresie". Odnotować jednocześnie należy, że na podstawie art. 107 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125) z dniem 6 lutego 2019 r. utraciły moc obowiązującą również przepisy wskazane w art. 175 u.o.d.o. z 2018 r.

W konsekwencji, wobec braku przepisu intertemporalnego, który wyraźnie odsyła do regulacji materialnych u.o.d.o. z 1997 r., sięgnąć należy do ogólnych reguł prawa intertemporalnego. Każdy system prawny ma wszak swoje reguły. Aby je stosować podmiot obowiązany do przestrzegania prawa musi je znać. W doktrynie i orzecznictwie wyraźnie podkreśla się bowiem, że ustawodawca nie może, co do zasady, "zaskakiwać" obywatela uchwalaniem norm prawnych które, z uwagi na ich późniejsze wprowadzenie, niż zdarzenia, które miały miejsce przed ich uchwaleniem, nie istniały i twierdzić, że od tego czasu (wprowadzenia tych norm) obowiązują do stanów prawnych powstałych przed datą wejścia w życie nowych uregulowań prawnych.

Kwintesencją takiego stanu rzeczy jest obowiązująca w polskim systemie prawnym podstawowa reguła prawa intertemporalnego tj. zasada tempus regit actum, co oznacza, że czas rządzi czynnością prawną. Zasada ta każe oceniać skutki zdarzenia prawnego według prawa materialnego obowiązującego w chwili, gdy zdarzenie to miało miejsce. Zasada ta, choć nie wyrażona wprost w Konstytucji RP, znajduje uzewnętrznienie w jej art. 2, stanowiącym generalną zasadę demokratycznego państwa prawa. Można ją również wywieźć z zasady legalności działania czy zasady zaufania obywatela do państwa, wyrażonych na gruncie prawa administracyjnego w art. 6 i art. 8 k.p.a. Oczywiście omawiana zasada nie ma charakteru absolutnego. Są od niej wyjątki, np. gdy wymagają tego względy sprawiedliwości społecznej lub gdy chodzi o modyfikację prawa na korzyść obywatela. W takich sytuacjach, ustawodawca może postanowić, by to nowe prawo miało zastosowanie do historycznych stanów faktycznych, uchwalając stosowane przepisy przejściowe.

Jeżeli chodzi natomiast o bezpośrednie stosowanie nowego prawa, to kwestia ta była wielokrotnie wyjaśniana w orzecznictwie Trybunału Konstytucyjnego. W uzasadnieniu do wyroku z dnia 8 listopada 2006 r. o sygn. akt K 30/06 podniesiono, że milczenie ustawodawcy co do reguły intertemporalnej należy uznać za przejaw jego woli bezpośredniego działania nowego prawa, chyba że przeciw jej zastosowaniu przemawiają ważne racje systemowe lub aksjologiczne. Z kolei w uzasadnieniu do wyroku z dnia 2 marca 1993 r. o sygn. akt K 9/92, Trybunał Konstytucyjny wskazał, że zasada bezpośredniego działania nowej ustawy polega na tym, że od chwili wejścia w życie nowych norm prawnych należy je stosować do stosunków prawnych (zdarzeń, stanów rzeczy) danego rodzaju niezależnie od tego, czy dopiero powstaną, czy też powstały wcześniej przed wejściem w życie nowego prawa, lecz trwają nadal w czasie dokonywania zmiany prawa. Podkreślić zatem wyraźnie należy, że bezpośrednie działanie nowego prawa dotyczy tylko takich zdarzeń czy stanów rzeczy, które powstały wprawdzie wcześniej, ale wciąż trwają. W konsekwencji oznacza to, że bezpośrednie stosowanie nowej ustawy nie jest możliwe w odniesieniu do stanów rzeczy, które ustały przed dniem wejścia w życie nowego prawa, o ile oczywiście nie postanawia tak przepis przejściowy.

Odnosząc powyższe do kontrolowanej sprawy podnieść trzeba, że decydujące znaczenie dla zastosowania właściwych norm prawa materialnego miała okoliczność czy naruszenie będące przedmiotem skargi z dnia 4 kwietnia 2016 r. ustało czy też trwa ono nadal. Nie ulega bowiem wątpliwości, że postępowanie w niniejszej sprawie zostało wszczęte - skargą złożoną przez Skarżącego w dniu 4 kwietnia 2016 r. - lecz nie zostało zakończone do dnia wejścia w życie nowego prawa (25 maja 2018 r.). Zatem - stosownie do przepisu przejściowego art. 160 ust. 2 u.o.d.o. z 2018 r. - postępowanie w sprawie należało prowadzić od dnia 25 maja 2018 r. na podstawie przepisów procesowych u.o.d.o. z 1997 r. oraz przepisów k.p.a. Natomiast dążąc do merytorycznego rozstrzygnięcia sprawy, organ winien stosować przepisy adekwatne do istnienia stanu naruszenia.

Skoro zatem Prezes UODO ustalił w toku postępowania, a następnie jednoznacznie wskazał to w uzasadnieniu do zaskarżonej decyzji (co potwierdził również w odpowiedzi na skargę), że naruszenie będące przedmiotem skargi ustało, bowiem dysk twardy (...):(...)- na który zostały zgrane dane osobowe - został przekazany Dyrektorowi DPS i dane osobowe na nim utrwalone nie są już przetwarzane przez Prezydenta Miasta, to nie można było przyjąć, jak uczynił to organ, że w sprawie zastosowanie znajdowały przepisy RODO. Ten sam skutek miała ocena historycznych zdarzeń objętych skargą z dnia 4 kwietnia 2016 r., tj. pozyskania danych osobowych, ich skopiowania i przekazania innym osobom, które Skarżący traktuje jako naruszenia wskazanych przepisów u.o.d.o. z 1997 r. Zdarzenia te bowiem niewątpliwie miały charakter jednorazowy, a zatem już nastąpiły i nie sposób przyjąć, by trwały one w dacie wydania zaskarżonej decyzji.

W konsekwencji organ powinien wydać decyzję w oparciu o przepisy u.o.d.o. z 1997 r. (w myśl zasady tempus regit actum), z uwzględnieniem art. 160 ust. 1 i ust. 2 u.o.d.o. z 2018 r., nie zaś na podstawie przywołanych w jej podstawie prawnej przepisów RODO. Nie można bowiem zaaprobować stanowiska Prezesa UODO, wyrażonego w uzasadnieniu do zaskarżonej decyzji, że przesłanką regulującą przetwarzanie danych osobowych Skarżącego był art. 6 ust. 1 lit. c oraz e) RODO, skoro regulacje te nie obowiązywały w dacie tego przetwarzania.

Z tych względów zaskarżona decyzja nie mogła ostać się w porządku prawnych i musiała zostać uchylona, jako naruszająca art. 6 k.p.a., które to naruszenie miało istotny wpływ na wynik sprawy.

Uwzględnienie skargi z wyłuszczonych względów, zatem w granicach określonych przepisem art. 134 § 1 p.p.s.a., sprawia jednocześnie, że odnoszenie się do merytorycznego sporu jaki powstał między stronami, jak również wywiedzionych w tym zakresie zarzutów skargi, staje się przedwczesne.

Niemniej jednak wskazać trzeba, że w orzecznictwie sądów administracyjnych akcentuje się, że na gruncie uprzednio obowiązujących w polskim porządku prawnym regulacji u.o.d.o. z 1997 r., organ administracji był upoważniony wyłącznie nakazać w drodze decyzji przywrócenie stanu zgodnego z prawem, przy czym ustawa wskazywała szczególne przypadki, gdy uprawnienie to może być wykorzystane, nie zawierając tylko ich zamkniętego katalogu (art. 18 ust. 1 u.o.d.o. z 1997 r.). Jednocześnie wskazana ustawa nie upoważniała organu, aby w drodze decyzji (rozstrzygnięcia władczego) oceniał zdarzenia wcześniejsze (stany historyczne) w kontekście przestrzegania przepisów o ochronie danych osobowych. Nie sposób w szczególności kompetencji w tym zakresie wywieść wyłącznie z uprawnienia do rozpoznawania skarg, wobec treści art. 12 pkt 2 u.o.d.o. z 1997 r. Powyższe oznacza, że aby mogło dojść do wydania decyzji merytorycznej na podstawie art. 18 ust. 1 u.o.d.o. z 1997 r., dane osobowe osoby zainteresowanej - która złożyła do organu wniosek dotyczący przetwarzania jej danych osobowych - muszą znajdować się w posiadaniu podmiotu, którego wniosek ten dotyczy. Decyzja nakazująca przywrócenie stanu zgodnego z prawem nie może bowiem zostać wydana w sytuacji, gdy organ stwierdzi dokonanie w przeszłości naruszeń ustawy o ochronie danych osobowych, jeśli dane te zostały następnie usunięte. W sytuacji zaś, gdy na dzień rozpoznawania sprawy nie miała miejsce żadna nieprawidłowość w kwestiach objętych skargą i jest to okolicznością bezsporną, to organ winien umorzyć postępowania w sprawie danej skargi (por. wyrok NSA z dnia 10 listopada 2011 r. o sygn. akt I OSK 1974/10; wyroki WSA w Warszawie: z dnia 16 listopada 2017 r. o sygn. akt II SA/Wa 328/17; z dnia 7 maja 2019 r. o sygn. akt II SA/Wa 2117/18; orzeczenia sądów administracyjnych są dostępne w internetowej bazie orzeczeń pod adresem: http://orzeczenia.nsa.gov.pl).

Dodać wypada, mając na względzie również to, że Skarżący domagał się w toku postępowania skierowania przez GIODO zawiadomienia o popełnieniu przestępstwa do organów ścigania, że w orzecznictwie nie budzi wątpliwości teza, iż przewidziana w art. 19 u.o.d.o. z 1997 r. kompetencja w tym zakresie należy do autonomicznych, samodzielnych kompetencji organu, realizowanych przez niego z urzędu, a nie na wniosek osób zainteresowanych. Wskazuje na to sam przepis, w którym mówi się "w razie stwierdzenia" i nie ma zapisów, które stanowiłyby o wystosowaniu takich zawiadomień na wniosek strony postępowania. Odnosząc się do dyspozycji powyższego przepisu Naczelny Sąd Administracyjny stwierdził w uzasadnieniu do wyroku z dnia 19 listopada 2001 r. o sygn. akt II SA 2702/00 (LEX nr 78796), że wynikający z niego obowiązek nie mieści się w sferze decyzyjnych, merytorycznych rozstrzygnięć GIODO, dotyczących nakazania przywrócenia stanu zgodnego z prawem. Osoba dochodząca ochrony swych praw w trybie u.o.d.o. z 1997 r. nie jest przy tym podmiotem postępowania obliczonego na wydanie decyzji o zawiadomieniu stosownego organu o przestępstwie w zakresie przetwarzania danych osobowych i nie może się tego domagać od organu w administracyjnych formach tego postępowania. Przepis art. 19 u.o.d.o. z 1997 r. nie daje bowiem stronie roszczenia w tym względzie. Wykonanie obowiązku, o którym mowa w tym przepisie, obciąża wyłącznie organ. Przedmiotowe zawiadomienie nie nosi jednak cech dyspozycji administracyjnej, o jakiej mowa w art. 104 i nast.k.p.a.

Wprawdzie również sąd administracyjny wyposażony został w kompetencję - z mocy art. 145 § 3 p.p.s.a. - do umorzenia postępowania administracyjnego w sprawie, niemniej jednak orzeczenie takie mogłoby zapaść tylko wówczas, gdyby bez żadnej wątpliwości Sąd stwierdził, że postępowanie wywołane skargą z dnia 4 czerwca 2016 r. stało się bezprzedmiotowe. Natomiast dostrzec należało, iż pomimo tego, że Prezes UODO przyjął w zaskarżonej decyzji, że dane osobowe skopiowane na wskazanym dysku zostały zwrócone do DPS (co z wyżej wskazanych względów przemawiało za stosowaniem przepisów u.o.d.o. z 1997 r. wobec ustania stanu naruszenia), to jednak Skarżący nadal kwestionuje to ustalenie organu w skardze do sądu administracyjnego, wywodząc przy tym, że nie ma pewności, że zwrócony został ten właśnie dysk, na który dane z monitoringu były zgrywane. Zdaniem Skarżącego ustalenia wymaga również to, czy dane osobowe nie zostały utrwalone również na innych nośnikach. Mając zatem na uwadze, że kwestia ta nadal jest między stronami sporna, a Prezes UODO nie odniósł się do niej w uzasadnieniu kontrolowanej decyzji, lecz dopiero w odpowiedzi na skargę, która z natury rzeczy nie jest objęta taką kontrolą, Sąd nie zdecydował się na zastosowanie możliwości przewidzianej w art. 145 § 3 p.p.s.a.

Końcowo ponieść należy, że organ winien pamiętać również o tym, ze stronami postępowania administracyjnego wywołanego skargą z dnia 4 czerwca 2016 r., a tym samym adresatami decyzji wydanej w tym postepowaniu nie był wyłącznie Skarżący, lecz również pozostałe osoby, w imieniu których działał na mocy złożonych do akt sprawy dokumentów pełnomocnictwa. Wszak z wyjaśnień uzyskanych przez organ wynikało, że Skarżący domagał się ochrony nie tylko swoich danych osobowych, ale również innych, wskazanych osób, które umocowały go do działania w ich imieniu. Jakkolwiek w zaskarżonej decyzji nie zostało to wyraźnie uwidocznione, bowiem Prezes UODO nie wymienił w jej komparycji wszystkich tych osób, to jednak Sąd nie stwierdził, by w sprawie zachodziła przesłanka nieważności postępowania z uwagi na pominiecie jego stron, bowiem jak to już wyżej wskazano, Skarżący działał również w charakterze pełnomocnika pozostałych osób żądających ochrony. W konsekwencji doręczenie zaskarżonej decyzji tylko do jego rąk uznać należało za prawidłowe.

Rozpatrując ponownie sprawę organ weźmie pod uwagę przedstawioną wyżej ocenę prawną, ustali w sposób jednoznaczny, czy naruszenia będące przedmiotem skargi ustały czy też trwają nadal i w zależności od poczynionych ustaleń podejmie stosowne działania w adekwatnym trybie, na podstawie właściwych przepisów prawa.

Z tych względów Wojewódzki Sąd Administracyjny w Warszawie uchylił zaskarżoną decyzję, o czym orzekł na podstawie art. 145 § 1 pkt 1 lit. c p.p.s.a., w punkcie pierwszym sentencji wyroku. Zawarte w punkcie drugim postanowienie w przedmiocie kosztów sądowych zostało oparte na przepisie art. 200 p.p.s.a.

Tekst orzeczenia pochodzi ze zbiorów sądów administracyjnych.