II SA/Wa 437/18
WyrokWSA w Warszawie2018-11-27
Skład orzekający: Stanisław Marek Pietras, Piotr Borowiecki, Karolina Kisielewicz
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy administrator danych osobowych (Fundacja) ponosi odpowiedzialność za naruszenie przepisów o ochronie danych osobowych przez swojego pracownika, który wykorzystał dane osobowe w celach prywatnych, mimo braku formalnego wniosku o ich udostępnienie i zgody administratora?Ratio decidendi
Administrator danych osobowych ponosi odpowiedzialność za naruszenia przepisów o ochronie danych osobowych popełnione przez swoich pracowników. Nawet jeśli pracownik posiada ogólne upoważnienie do przetwarzania danych w ramach obowiązków służbowych, nie może wykorzystywać tych danych do celów prywatnych bez zgody administratora i formalnego wniosku o ich udostępnienie. Brak należytej kontroli nad tym, jakie dane, kiedy i komu są przekazywane, skutkuje odpowiedzialnością administratora.Stan faktyczny
Fundacja Edukacji Międzynarodowej (administrator danych) została oskarżona o niewłaściwe zabezpieczenie danych osobowych małoletniej E.C. przez nauczycielkę D.R., która miała wykorzystać dokumenty zawierające te dane w prywatnym sporze sądowym. Fundacja twierdziła, że D.R. miała dostęp do danych w ramach obowiązków służbowych i nie występowała o ich udostępnienie. Generalny Inspektor Ochrony Danych Osobowych (GIODO) uznał, że Fundacja naruszyła przepisy ustawy o ochronie danych osobowych poprzez nieprawidłowy nadzór nad pracownikiem, co skutkowało wykorzystaniem danych w celach prywatnych. WSA w Warszawie oddalił skargę Fundacji, potwierdzając odpowiedzialność administratora.Rozstrzygnięcie
Oddalono skargę Fundacji Edukacji Międzynarodowej na decyzję Generalnego Inspektora Ochrony Danych Osobowych.Pełny tekst orzeczenia
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA – Stanisław Marek Pietras (spraw.) Sędzia WSA – Piotr Borowiecki Asesor WSA – Karolina Kisielewicz Protokolant – sekretarz sądowy Marcin Borkowski po rozpoznaniu na rozprawie w dniu 27 listopada 2018 r. sprawy ze skargi Fundacji [...] z siedzibą w [...] na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] grudnia 2017 r. nr [...] w przedmiocie przetwarzania danych osobowych – oddala skargę –
Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga B.C. i A. C., dotycząca niewłaściwego zabezpieczenia danych osobowych małoletniej E. C. przez Dwujęzyczną Szkołę Podstawową "[...]" Fundacji Edukacji Międzynarodowej z siedzibą w [...] W uzasadnieniu wskazano m.in., że "(...) administrator dopuścił się uchybienia polegającego na niezastosowaniu wystarczających środków bezpieczeństwa przetwarzania danych. Polegało ono na braku jednoznacznego określenia w regulaminach wewnętrznych szkoły postanowień, które zabraniałyby wykorzystania danych pozyskanych w celach służbowych do celów prywatnych realizowanych przez korzystających z tych danych nauczycieli, w tym D. R.. Wymieniona (...) weszła bowiem w posiadanie i wykorzystała na cele związane z prowadzonym przez nią prywatnym sporem sądowym toczącym się przed Sądem Okręgowym w [...] Wydział [...] sygn. akt [...] , przetwarzane przez jej pracodawcę dokumenty obrazujące przebieg postępowania skargowego oraz interwencji Rzecznika Praw Dziecka, w sprawie działań podejmowanych przez nią wobec E.C. pod koniec roku szkolnego 2011/2012 (.,.)". Następnie skarżący podnieśli, że w imieniu małoletniej E.C. wnieśli pozew do Sądu Okręgowego w [...] o ochronę dóbr osobistych, a z kolei D. R. do odpowiedzi na pozew załączyła szereg dokumentów pochodzących z akt prowadzonych przez Szkołę. Zdaniem Skarżących, D. R. nie wystąpiła do pracodawcy o udostępnienie jej danych osób, które powołała na świadków oraz o wydanie odpisów tych dokumentów. Wskazali, iż nigdy nie wyrazili zgody na udostępnienie D. R. jakiegokolwiek dokumentu zawierającego dane osobowe oraz inne dane wrażliwe ich dziecka na użytek prywatnego sporu sądowego.
W toku postępowania przeprowadzonego w niniejszej sprawie, Fundacja Edukacji Międzynarodowej w piśmie z dnia [...] czerwca 2014 r. skierowanym do Generalnego Inspektora Ochrony Danych Osobowych wskazała, że jest pracodawcą D. R. i zatrudnia ją w szkole na stanowisku nauczyciela. Ponadto D.R. posiada upoważnienie z [...] lutego 2010 r. do przetwarzania danych osobowych z terminem obowiązywania do czasu ustania zatrudnienia do dostępu do danych opiekunów prawnych uczniów szkoły w zakresie imion, nazwisk, adresów zamieszkania, adresów do korespondencji, numerów telefonów, PESEL i nr dowodów osobistych oraz do danych uczniów szkoły w zakresie imion, nazwisk, adresów zamieszkania, adresów do korespondencji, numerów PESEL i dat urodzenia. Fundacja zabezpieczyła dane osobowe małoletniej E. C. przed ich udostępnieniem na rzecz osób nieupoważnionych stosując odpowiednie formy zabezpieczeń tak pomieszczeń, w których przetwarzane są dane osobowe, jak i urządzeń przed nieautoryzowanym dostępem do danych osobowych i utratą danych w wyniku awarii. Ponadto Fundacja zastosowała procedury uniemożliwiające pracownikom Dwujęzycznej Szkoły Podstawowej wykorzystanie danych osobowych przetwarzanych w celach związanych z zatrudnieniem w Szkole dla celów osobistych, w szczególności poprzez zobowiązanie pracowników do zachowania wyżej wymienionych danych w tajemnicy, który to zapis zachowuje ważność również po ustaniu stosunku pracy.
Z kolei w piśmie z dnia [...] stycznia 2015 r. skierowanym do Generalnego Inspektora Ochrony Danych Osobowych Fundacja wskazała, że D.R. nie występowała do Fundacji z wnioskiem o udostępnienie danych osobowych małoletniej E. C., zawartych w dokumentach dotyczących postępowania skargowego i interwencji Rzecznika Praw Dziecka, a także w pozostałych dokumentach wymienionych w pkt 1 pisma skarżących z [...] marca 2014 r. celem ich przetwarzania w postępowaniu przed Sądem Okręgowym w [...] w sprawie o sygn. akt [...]. Miała ona dostęp do danych małoletniej E.C. z racji wykonywanego zawodu nauczyciela w szkole, w tym w związku z posiadaniem przez nią statusu strony w postępowaniach prowadzonych wobec niej przez pracodawcę w ramach postępowań skargowych i interwencji Rzecznika Praw Dziecka, wszczętych z inicjatywy skarżących. W ramach powyższych postępowań D. R. zostały postawione przez skarżących zarzuty pozostające w związku z wykonywaniem przez nią obowiązków zawodowych, pełnionych w ramach stosunku pracy z pracodawcą, bowiem wykorzystała powyższe dane w celach osobistych w postępowaniu przed Sądem Okręgowym w [...] we własnej sprawie, wytoczonej jej przez E. C., bez uzyskania zgody Fundacji.
Wobec powyższego Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] kwietnia 2017 r. nr [...], działając na podstawie art. 104 § 1 k. p. a oraz art. 12 pkt 2, art. 22, art. 23 ust. 1 i art. 26 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922), odmówił uwzględnienia wniosku skarżących wskazując jednocześnie, że Fundacja Edukacji Międzynarodowej dopuściła się naruszenia przepisów ustawy o ochronie danych osobowych poprzez nieprawidłowy nadzór nad pracownikiem, w wyniku czego D.R. wykorzystała dane osobowe pozyskane w toku wykonywania czynności służbowych, w celach prywatnych. Organ stwierdził również naruszenie przez Fundację art. 26 ust. 1 pkt 2 oraz art. 38 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922).
We wniosku z dnia [...] maja 2017 r. do Generalnego Inspektora Ochrony Danych Osobowych o ponowne rozpatrzenie sprawy, Fundacja Edukacji Międzynarodowej zarzuciła zaskarżonej decyzji, co następuje:
1) organ zaniechał wskazania enumeratywnie, jakich konkretnie danych osobowych miałby dotyczyć wniosek, przy uwzględnieniu okoliczności, iż z uwagi na cele zbierania danych osobowych przez Fundację, wniosek taki mógłby okazać się bezprzedmiotowy, gdyż w katalogu tych celów brak jest celu zdefiniowanego przez organ, jako "wykorzystanie dla celów osobistych", a wobec pozwania D.R. przed Sąd Okręgowy w [...] w związku wykonywaniem przez wymienioną obowiązków służbowych, koniecznym było podjęcie obrony w postępowaniu sądowym i to bez względu na posiadanie zgody;
2) organ zaniechał wskazania w zakresie jakich konkretnie danych osobowych, jaki nadzór winien być podjęty przez Fundację i w konsekwencji na czym polega wina Fundacji za brak nadzoru nad konkretnie wskazanymi poszczególnymi danymi osobowymi;
3) organ zaniechał wykazania podstaw uznania działania pracownika Fundacji, jako samowolnej zmiany celu przetwarzania, w sytuacji, gdy D. R. wykorzystała posiadane dokumenty w związku z okolicznością wytoczenia przeciwko niej powództwa, pozostającego w związku z wykonywanymi przez nią obowiązkami służbowymi, a nadto w oparciu o powszechnie obowiązujące przepisy prawa, z których wynika prawo wykorzystywania powyższych dokumentów dla dobra wymiaru sprawiedliwości oraz zaniechał uzasadnienia decyzji w zakresie wykazania, na czym polegały uchybienia w zakresie poszczególnych danych osobowych, za które to uchybienia odpowiada Fundacja;
4) organ zaniechał wskazania przyczyn, dla których uznał, iż wykorzystanie przez D. R. dokumentów w związku z okolicznością wytoczenia przeciwko niej powództwa pozostającego w związku z wykonywanymi przez wymienioną obowiązkami służbowymi, nie stanowi wykorzystania zgodnie z celem określonym jako służbowy lecz jako osobisty i niezgodnie z powszechnie obowiązującym prawem;
5) organ zaniechał wskazania podstawy ograniczenia prawa D. R. do obrony, w tym poprzez jedynie okazanie jej dokumentów i w oparciu o jaki konkretnie przepis prawa Fundacja winna była odmówić wydania odpisu z akt toczących się wobec Pani D. R. postępowań.
Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] grudnia 2017 r. nr [...], mając za podstawę art. 138 § 1 pkt 1 k.p.a., utrzymał zaskarżoną decyzję w mocy. W uzasadnieniu – wskazując na opisany powyżej stan faktyczny – podał, że zgodnie z art. 2 ust. 1 ustawy o ochronie danych osobowych, ustawa ta określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych. Każda forma przetwarzania danych osobowych powinna znaleźć oparcie w jednej z przesłanek warunkujących legalność tego procesu, enumeratywnie wymienionych w art. 23 ust. 1. Zaznaczono jednocześnie, że organ nie miał uprawnień do rozstrzygania o winie lub jej braku, w zakresie naruszenia ustawy o ochronie danych osobowych, bowiem przepisy powszechnie obowiązujące nie przyznają mu tego rodzaju kompetencji. Na gruncie ustawy Generalny Inspektor Ochrony Danych Osobowych rozstrzyga jedynie o zaistnieniu naruszenia ustawy o ochronie danych osobowych oraz o odpowiedzialności administratora danych osobowych w rozumieniu art. 7 pkt 4 ustawy. Nie zmienia to jednak stanowiska organu, że to Fundacja, jako administrator danych osobowych decydujący o celach i środkach przetwarzania danych osobowych małoletniej E. C., jest odpowiedzialna za naruszenie ustawy o ochronie danych osobowych dokonanego faktycznie przez pracownika Fundacji. Podkreślono, że Generalny Inspektor Ochrony Danych Osobowych nie kwestionuje potencjalnej możliwości pozyskania przez podmiot trzeci danych osobowych koniecznych do dochodzenia praw przed sądem, jednakże art. 38 ustawy formułuje obowiązek dotyczący zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i komu są przekazywane, natomiast to administrator danych osobowych powinien każdorazowo wyważyć, czy żądanie udostępnia danych osobowych jest zasadne, mając na uwadze ochronę osoby dokonującej zgłoszenia oraz podmiotu, który zwraca się do niego z ww. żądaniem. W rozpoznawanej sprawie D. R., bez zwracania się do Fundacji o udostępnienie danych osobowych koniecznych w jego ocenie do obrony swoich praw w postępowaniu przed sądem powszechnym, pozyskała dane osobowe. Podkreślono, że w niniejszej sprawie Generalny Inspektor Ochrony Danych osobowych nie oceniał zasadności pozyskania przez wymienioną danych osobowych z zasobów Fundacji, lecz dokonał oceny prawidłowości ich pozyskania. Tym samym organ wskazał, że Fundacja naruszyła przepisy ustawy o ochronie danych osobowych poprzez niesprawowanie należytej kontroli nad przetwarzaniem danych osobowych, co skutkowało podjęciem działań przez wymienioną bez wiedzy administratora danych osobowych. Powyższe stanowisko znajduje potwierdzenie w orzecznictwie sądów administracyjnych, czego przykładem jest wyrok Naczelnego Sądu Administracyjnego z 4 kwietnia 2003 r. o sygn. akt II SA 2935/02, w treści którego wskazano, że "Obok zindywidualizowanej odpowiedzialności karnej przetwarzającego lub administrującego danymi z rozdziału 8 tej ustawy, wchodzi w grę możliwość stosowania środków administracyjnych wobec administratora. Zgodnie bowiem z art. 18 ust. 1 ustawy, w razie stwierdzenia naruszenia przepisów o ochronie danych osobowych, Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej nakazuje administratorowi danych w drodze decyzji administracyjnej przywrócenie stanu zgodnego z prawem, a w szczególności zastosowanie wskazanych poniżej enumeratywnych środków. Administrator odpowiada więc za czyny swoich pracowników w zakresie naruszenia ustawy o ochronie danych osobowych. Nie może się przy tym ekskulpować, w oparciu o art. 26, że dołożył szczególnej staranności w celu ochrony tych danych. (...) W przypadku naruszenia przepisów o ochronie danych osobowych (wraz z bardziej rygorystycznymi wymogami z prawa bankowego) GIODO jest zobowiązany zastosować w stosunku do administratora danych środki przewidziane w art. 18 ustawy. Są one niezależne od doniesienia opartego o art. 19, które dotyczy osoby fizycznej. Tymczasem GIODO stwierdził, że do takiego naruszenia ze strony Banku nie doszło, przyjmując tym samym brak odpowiedzialności administratora za działania podległych mu pracowników. Z tego punktu widzenia zaskarżona decyzja naruszała art. 18 ust. 1 ustawy." Dalej wskazano, że to na Fundacji, jako administratorze danych osobowych, zgodnie z art. 26 ust. 1 pkt 2 ustawy spoczywa obowiązek dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności obowiązek zapewnienia, aby dane te były zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2 tego przepisu, a także obowiązek wynikający z art. 38 ustawy dotyczący zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i komu są przekazywane. W niniejszej sprawie doszło do wykorzystania danych małoletniej E.C. przez pracownika Fundacji niezgodnie z celem, dla którego dane zostały pozyskane przez Fundację, bowiem dane te były przetwarzane przez Fundację w związku z postępowaniami skargowymi dotyczącymi pracownika Fundacji i interwencją Rzecznika Praw Dziecka, natomiast pracownik Fundacji wykorzystał w sprawie przed Sądem Okręgowym w [...], dokumenty zawierające dane osobowe małoletniej E. C., przetwarzane przez Fundację w związku z postępowaniami skargowymi dotyczącymi pracownika Fundacji i interwencją Rzecznika Praw Dziecka. Podkreślono, że pracownik D.R. miała dostęp do powyższych dokumentów z uwagi na wykonywane obowiązki służbowe. Fakt posiadania upoważnienia do przetwarzania danych osobowych w rozumieniu art. 37 ustawy przez pracownika Fundacji nie oznacza jednakże, iż posiada on nieograniczony dostęp do wszystkich dokumentów zawierających dane osobowe uczniów szkoły i ich opiekunów prawnych. Dostęp ten jest ograniczony niezbędnością tych danych do wykonywania obowiązków służbowych, natomiast w niniejszej sprawie dane osobowe małoletniej E. C. zostały wykorzystane przez pracownika Fundacji w celach osobistych. Zatem Fundacja naruszyła art. 26 ust. 1 pkt 2 ustawy, ponieważ to pracownik Fundacji dokonał zmiany celu przetwarzania danych osobowych, pozyskując je w związku z wykonywaniem czynności służbowych. Ponownie podkreślono, że za nieprawidłowości dotyczące przetwarzania danych osobowych w związku z wykonywaniem zadań przez pracowników administratora danych osobowych, odpowiada sam administrator, zgodnie z art. 26 ust. 1 pkt 2 w zw. z art. 7 pkt 4 ustawy. Jednocześnie zaznaczono, że wbrew twierdzeniom Fundacji zawartym we wniosku o ponowne rozpatrzenie sprawy, brak jest konieczności wskazywania w treści decyzji enumeratywnego katalogu danych osobowych, których miałby dotyczyć wniosek, przy uwzględnieniu okoliczności, iż z uwagi na cele zbierania danych osobowych przez Fundację, wniosek taki mógłby okazać się bezprzedmiotowy, ponieważ przedmiotem wydanej przez Generalnego Inspektora Ochrony Danych Osobowych decyzji nie była ocena zasadności udostępnienia danych osobowych przez Fundację D.R., lecz prawidłowość zabezpieczenia danych osobowych małoletniej E.C. przez Fundację oraz okoliczność pozyskania tych danych przez pracownika Fundacji i wykorzystania ich w celach prywatnych. Ponownie wskazano, iż zgodnie z art. 36 ust. 1, administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Z kolei zgodnie z art. 37 ustawy, do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Jak wyżej wskazano, Fundacja zastosowała środki techniczne i organizacyjne zabezpieczające dane przed ich udostępnieniem na rzecz osób nieupoważnionych, stosując odpowiednie formy zabezpieczeń tak pomieszczeń, w których przetwarzane są dane osobowe, jak i urządzeń przed nieautoryzowanym dostępem do danych osobowych i utratą danych w wyniku awarii. Ponadto Fundacja zastosowała procedury uniemożliwiające pracownikom Dwujęzycznej Szkoły Podstawowej wykorzystanie danych osobowych przetwarzanych w celach związanych z zatrudnieniem w Szkole dla celów osobistych. Natomiast D. R. posiada upoważnienie do przetwarzania danych, o którym mowa w art. 37 ustawy. Nie potwierdziły się zatem zarzuty skarżących dotyczące tego, że dane osobowe małoletniej E. C. są niewłaściwie zabezpieczone. Z materiału dowodowego sprawy wynika bowiem, iż pracownik Fundacji bez stosownego wniosku o udostępnienie danych osobowych małoletniej E.C. skierowanego do Fundacji, jak i bez zgody Fundacji, wykorzystał dane osobowe pozyskane z w związku z wykonywaniem czynności służbowych, w celach osobistych. Tym samym Fundacji nie można przypisać naruszenia przepisów ustawy odnośnie niewłaściwego zabezpieczenia danych małoletniej E. C..
W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie skarżąca Fundacja Edukacji [...] z siedzibą w [...]. wniosła o uchylenie zaskarżonej decyzji zaskarżonego uzasadnienia i poprzedzającej ją decyzji w całości oraz zasądzenie na jej rzecz kosztów postępowania zarzucając:
1) nieustalenie przez organ, że D. R. pozyskała dane osobowe E. C. za wiedzą i zgodą Fundacji oraz przyjęcie, że koniecznym jest złożenie pisemnego wniosku o udostępnienie danych osobowych do administratora danych w celu ich pozyskania;
2) błędne odczytanie treści pisma z [...] stycznia 2015 r. poprzez przyjęcie, że wynika z niego, iż dane osobowe E. C. były przetwarzane w związku z postępowaniami skargowymi dotyczącymi pracownika Fundacji i interwencją Rzecznika Praw Dziecka, gdy w rzeczywistości powyższe dane były przetwarzane w związku z postępowaniami prowadzonymi wobec D.R. przez Fundację, jako pracodawcę w ramach postępowań skargowych i interwencją Rzecznika Praw Dziecka;
3) pominięcie, że D.R. miała dostęp do danych E.C. z uwagi na wykonywany zawód nauczyciela w Dwujęzycznej Szkole Podstawowej [...] Fundacji Edukacji Międzynarodowej;
4) błędne uznanie, że wykorzystanie przez D. R. danych osobowych E.C., do których miała dostęp z uwagi na wykonywanie czynności służbowych w związku z wytoczeniem przeciwko niej powództwa przez E.C., stanowiło zmianę celu przetwarzania danych;
5) pominięcie, że brak udostępnienia D. R. dokumentów zawierających dane osobowe stanowiłoby ograniczenie jej prawa do obrony w postępowaniu przed sądem powszechnym. Ponadto ocena czy dowód uznać za wiarygodny i konieczny do przeprowadzenia należy do sądu prowadzącego postępowanie, nie zaś do Generalnego Inspektora;
6) pominięcie, że D. R. pozyskując dane osobowe i wykorzystując je w celu innym niż Fundacja tj. w celu ochrony swoich praw w postępowaniu przed sadem powszechnym, działała w oparciu o art. 23 ust. 1 pkt 2 i 5, art. 26 ust. 2 pkt 2, art. 27 ust. 2 pkt 2 i 5 ustawy;
7) błędne przyjęcie, że Fundacja nie zapewniła kontroli nad tym, jakie dane osobowe E.C. kiedy i komu zostały przekazane;
8) przyjęcie, że Fundacja odpowiada za działania i zaniechania D.R., dokonane w związku z pozyskaniem i przetwarzaniem danych osobowych E. C.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, a wskazując na dotychczasowe ustalenia faktyczne i prawne dodał odnosząc się do zarzutu, że przepisy powszechnie obowiązujące nie wymagają, żeby osoba zainteresowana zwróciła się do administratora danych osobowych w celu udostępnienia jej danych osobowych z pisemnym wnioskiem, to organ nie kwestionuje tej okoliczności. Jednakże w wyjaśnieniach złożonych przez Fundację pismem z 5 stycznia 2015 r. wskazano, że "Pani D. R. nie występowała do Fundacji (...) z wnioskiem opisanym w pkt 1 pisma Generalnego Inspektora". Sam fakt wezwania przez niniejszy organ Fundacji do wskazania, czy D.R. zwracała się z wnioskiem o udostępnienie jej dokumentów zawierających dane osobowe w celu wykorzystania ich postępowaniu przed sądem powszechnym nie powodował, że organ wymagał pisemności wniosku. Przekazanie organowi kserokopii wniosku (do której to organ wezwał Fundację) byłoby możliwe jedynie w sytuacji gdyby D. R. zwróciłaby się do Fundacji w formie pisemnej. Zwrócono uwagę, że w przypadku, gdy wniosek taki został złożony ustnie, Fundacja mogła wskazać na tę okoliczność w wyjaśnieniach złożonych przed organem. Jednocześnie Fundacja w tym samym piśmie wskazała, że "Pani D. R. wykorzystała powyższe dane w celach osobistych (...) bez potrzeby uzyskiwania odrębnej zgody Fundacji (...)." Oznacza to, że Fundacja nie wiedziała o wykorzystaniu przez D. R. danych osobowych E.C., pozyskanych w związku z wykonywaniem obowiązków służbowych, w celu osobistym oraz jednocześnie nie udzieliła D. R. zgody na pozyskanie i wykorzystanie danych w celu innym niż wykonywanie obowiązków służbowych. Z powyższego również wynika, że D. R. nie zwracała się z wnioskiem do Fundacji o udostępnienia danych osobowych w celu ochrony jej praw przed sądem powszechnym. Okoliczność aprobowania post factum przez Fundację celu wykorzystania danych przez D. R., nie ma znaczenia dla oceny dochowania należytej kontroli nad tym, jakie dane osobowe, kiedy oraz komu są przekazywane. Ponownie wskazano, że Generalny Inspektor Ochrony Danych Osobowych nie kwestionuje potencjalnej możliwości pozyskania przez podmiot trzeci danych osobowych koniecznych do dochodzenia praw przed sądem, jednakże art. 38 ustawy formułuje obowiązek dotyczący zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i komu są przekazywane, natomiast to administrator danych osobowych powinien każdorazowo wyważyć, czy żądanie udostępnia danych osobowych jest zasadne, mając na uwadze ochronę osoby dokonującej zgłoszenia oraz podmiotu, który zwraca się do niego z powyższym. żądaniem. W niniejszej sprawie pracownik Fundacji, bez zwracania się do Fundacji o udostępnienie danych osobowych koniecznych w jego ocenie do obrony swoich praw w postępowaniu przed sądem powszechnym, pozyskał dane osobowe. Podkreślono, że w niniejszej sprawie Generalny Inspektor Ochrony Danych osobowych nie oceniał zasadności pozyskania przez D.R., danych osobowych z zasobów Fundacji, lecz dokonał oceny prawidłowości ich pozyskania. Tym samym organ w zaskarżonej decyzji wskazał, że Fundacja naruszyła przepisy ustawy o ochronie danych osobowych poprzez niesprawowanie należytej kontroli nad przetwarzaniem danych osobowych, co skutkowało podjęciem działań przez pracownika Fundacji bez wiedzy administratora danych osobowych. Wskazano, że administrator danych może upoważnić pracownika do przetwarzania danych osobowych zgodnie z art, 37 ustawy. Z samej jednak istoty upoważnienia wynika, że administrator danych nie może upoważnić pracownika do działań przekraczających uprawnienie administratora danych. Fundacja mogła zatem upoważnić D. R. do przetwarzania danych osobowych E. C. jedynie ramach wykonywania obowiązków pracowniczych. Fundacja nie mogła natomiast upoważnić D. R. do przetwarzania danych osobowych E. C. w celach osobistych, bowiem Fundacja nie jest uprawniona do przetwarzania tych danych w takich celach, a zatem nie mogła upoważnić do przetwarzania w tym celu D. R.. Uznano, że okoliczność posiadania przez D.R. ogólnego upoważnienia do przetwarzania danych w ramach wykonywania obowiązków służbowych, nie ma wpływu na prawidłowość wydanej przez organ decyzji.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z brzmieniem art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (tekst jedn. Dz. U. z 2016 r., poz. 1066), sąd administracyjny sprawuje wymiar sprawiedliwości m.in. poprzez kontrolę działalności administracji publicznej pod względem zgodności z prawem. Innymi słowy, wojewódzki sąd administracyjny nie orzeka co do istoty sprawy w zakresie danego przypadku, lecz jedynie kontroluje legalność rozstrzygnięcia zapadłego w tym postępowaniu, z punktu widzenia jego zgodności z prawem materialnym i obowiązującymi przepisami prawa procesowego.
Skarga analizowana pod tym kątem podlega oddaleniu, bowiem zaskarżona decyzja została wydana zgodnie z prawem. Stosownie do treści art. 2 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2016 r., poz. 922 ze zm.), ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych. Z kolei według art. 7 pkt 4), za administratora danych rozumie się organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych, zaś na podstawie art. 3 ust. 1, ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych, jak również, o czym stanowi ust. 2 tegoż przepisu, ustawę stosuje się również do:
1) podmiotów niepublicznych realizujących zadania publiczne,
2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych
– które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.
Tymczasem w rozpoznawanej sprawie bezspornym jest, że administratorem danych osobowych małoletniej uczennicy E.C. była Fundacja Edukacji [...] z siedzibą we W..
W dalszej kolejności wskazać należy, że art. 23 ustawy dopuszcza przetwarzanie danych osobowych tylko wtedy, gdy:
1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych;
2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;
3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Zgodnie z kolei z art. 37 ustawy, do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.
W niniejszej sprawie natomiast D. R., będącą nauczycielką i pracownikiem Fundacji – jak wskazuje Fundacja w piśmie z dnia [...] czerwca 2014 r. – posiadała upoważnienie z dnia [...] lutego 2010 r. do przetwarzania danych osobowych do przetwarzania danych osobowych z terminem obowiązywania do czasu ustania zatrudnienia do dostępu do danych opiekunów prawnych uczniów szkoły w zakresie imion, nazwisk, adresów zamieszkania, adresów do korespondencji, numerów telefonów, PESEL i nr dowodów osobistych oraz do danych uczniów szkoły w zakresie imion, nazwisk, adresów zamieszkania, adresów do korespondencji, numerów PESEL i dat urodzenia.
Zatem nie miała ona upoważnienia do przetwarzania danych osobowych uczennicy E. C. w zakresie, w jakim wykorzystała je do celów prywatnych w późniejszym czasie na rozprawie przez Sądem Okręgowym w [...]Wydział [...] w sprawie o sygn. akt [...], a mianowicie dokumentów dotyczących danych osobowych wyżej wymienionej uczennicy w zakresie przebiegu postępowania skargowego oraz interwencji Rzecznika Praw Dziecka.
Wskazać dalej należy, że stosownie do treści art. 26 ust. 1 pkt 2 ustawy, administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2 w myśl którego przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje:
1) w celach badań naukowych, dydaktycznych, historycznych lub statystycznych;
2) z zachowaniem przepisów art. 23 i 25.
Wskazać również należy, że administrator danych osobowych – zgodnie z art. 36 ust. 1 ustawy – jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem, a ponadto – po myśli art. 38 ustawy – jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
Tymczasem w rozpoznawanej sprawie pracownica Fundacji – D.R., nie występowała do pracodawcy, a co wynika z pisma tej ostatniej z dnia [...] stycznia 2015 r., z wnioskiem o udostępnienie danych osobowych małoletniej uczennicy E.C. w zakresie już wyżej wskazanym, to tym samym Fundacja naruszyła przepisy – jak słusznie wskazał organ – ustawy o ochronie danych osobowych poprzez niesprawowanie należytej kontroli nad przetwarzaniem danych osobowych. Słusznie również – w ocenie Sądu – organ zauważa, że przedmiotem wydanej decyzji nie była ocena zasadności udostępnienia danych osobowych przez Fundację D.R., lecz prawidłowość zabezpieczenia danych osobowych małoletniej E. C. przez Fundację oraz okoliczność pozyskania tych danych przez pracownika Fundacji i wykorzystania ich w celach prywatnych.
Zgodzić się również należy z organem, że nie można kwestionować możliwości pozyskania przez podmiot trzeci danych osobowych koniecznych do dochodzenia swoich praw przed sądem, jednakże art. 38 ustawy formułuje jednoznaczny obowiązek dotyczący zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i komu są przekazywane, zaś administrator danych osobowych powinien każdorazowo wyważyć, czy żądanie udostępnia danych osobowych jest zasadne, mając na uwadze ochronę osoby dokonującej zgłoszenia oraz podmiotu, który zwraca się do niego z powyższym. żądaniem.
Tymczasem D. R., bez zwracania się do Fundacji o udostępnienie danych osobowych koniecznych w jego ocenie do obrony swoich praw w postępowaniu przed sądem powszechnym, pozyskała dane osobowe małoletniej E.C.. I nie ma przy tym żadnego znaczenia, czy powyższe dane osobowe były przetwarzane w związku z postępowaniami skargowymi dotyczącymi pracownika Fundacji i interwencją Rzecznika Praw Dziecka, czy też powyższe dane były przetwarzane w związku z postępowaniami prowadzonymi wobec D. R. przez Fundację, jako pracodawcę w ramach postępowań skargowych i interwencją Rzecznika Praw Dziecka.
Reasumując, administrator odpowiada za czyny swoich pracowników w zakresie naruszenia ustawy o ochronie danych osobowych i nie może się przy tym ekskulpować, w oparciu o art. 26, że dołożył szczególnej staranności w celu ochrony tych danych (vide: wyrok Naczelnego Sądu Administracyjnego z dnia 4 kwietnia 2003 r. sygn. akt II SA 2935/02).
W tym stanie rzeczy, na podstawie art. 151 i art. 132 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (tekst jedn. Dz. U. z 2018, poz. 1302), należało orzec jak w sentencji wyroku.
Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 17.07.2026. · Źródło