Do Urzędu Ochrony Danych Osobowych trafiła skarga pasażera autobusu na zachowanie kierowcy. Otóż kontrolując bilety, zażądał on od pasażera podania na głos imienia i nazwiska. Nie wystarczyło mu pokazanie elektronicznego biletu. W ten sposób dane pasażera poznały inne osoby w autobusie, choć nie było do tego podstaw.
Sprawdzanie biletów i dwa odmienne stanowiska
Po zbadaniu sprawy Prezes UODO stwierdził, że przewoźnik autobusowy zbierał dane osobowe pasażerów, sprzedając im przez internet bilety. Kierowca potem sprawdzał dane pasażera z tym spisem. PUODO udzielił spółce upomnienia, że taki sposób postępowania nie jest właściwy i narusza przepisy o RODO.
Spółka zaskarżyła tę decyzję do Wojewódzkiego Sądu Administracyjnego i wygrała: sąd uchylił decyzję PUODO, uznając, że ten nie miał podstaw do interwencji, bo podawanie imienia i nazwiska przy zakupie biletu, a potem przedstawianie się na głos w autobusie nie jest przetwarzaniem danych osobowych w rozumieniu RODO. Dlaczego?
WSA stwierdził, że „przywołano zdarzenie, które nie dotyczyło publicznego ujawnienia określonego zbioru danych osobowych (za taki można by uznać listę pasażerów dla określonego kursu), lecz wykorzystania imienia i nazwiska konkretnego pasażera dla identyfikacji osoby, uprawnionej do przejazdu (nabywcy biletu).
Czytaj więcej
TSUE uznał, że przewoźnik kolejowy nie może wymagać zaznaczenia formy grzecznościowej (Pan/Pani) przy zakupie biletów online. Nie jest to bowiem ni...
"Przetwarzanie i ujawnienie danych w tym przypadku nie jest objęte regułami RODO, determinującymi ramy kompetencji do rozstrzygania spraw w trybie administracyjnym […] Niewłaściwość organu (bądź oczywisty brak interesu prawnego danego Wnioskodawcy), stanowi przesłankę odmowy wszczęcia postępowania" – uznał Sąd.
Wyjaśnił, że jeśli zatem pasażer uważa, że przedstawianie się na głos w autobusie narusza jego prawo do prywatności, może wytoczyć przewoźnikowi sprawę cywilną. Ale wówczas PUODO nie może interweniować.
Dane ujawnione nieznanym osobom
Prezes UODO z taką argumentacją się nie zgodził. W skardze kasacyjnej stwierdził, że zarówno RODO, jak i ustawa o ochronie danych osobowych stanowią o tym, że postępowanie o naruszenie danych osobowych prowadzi właśnie on jako organ nadzorczy ds. ochrony danych. Zatem PUODO miał nie tylko prawo, ale i obowiązek zająć się skargą pasażera. I obowiązku tego dopełnił. W sprawie tej nie ma też znaczenia, że dane osobowe były przetwarzane w sposób niezautomatyzowany – przez kierowcę. Zostały przetworzone przez niego i ujawnione nieupoważnionym osobom.
W wyroku z 11 lutego 2025 r. z NSA zgodził się z PUODO: wykładnia przepisów o ochronie danych osobowych, jaką zastosował WSA, jest błędna. Imię i nazwisko to dane osobowe, które identyfikują człowieka, a we wskazanym przypadku były przetwarzane w ramach zbioru danych. Spółka (administrator danych) stworzyła go, pobierając dane od klientów przy zakupie internetowym biletów. Jeśli kierowca sprawdzał je, korzystając z tego zbioru, to jako przedstawiciel administratora przetwarzał je i ujawnił. W konsekwencji legalność takiego udostępnienia powinna zostać oceniona przez Prezesa UODO, w związku z otrzymaną przez niego skargą.
sygn. akt III OSK 6134/21
