Kierowca autobusu, który żąda od pasażera podawania danych osobowych w postaci imienia i nazwiska, przetwarza dane osobowe. Przetwarzanie to musi być oparte na jednej z podstaw wynikających z RODO. Stanowisko to przedstawił Naczelny Sąd Administracyjny.
Opracowanie: Michał Kowalski
Sprawa była wynikiem skargi pasażera, który był niezadowolony z tego, że kierowca wymagał od niego podania imienia i nazwiska "na głos" i nie zadowolił się samym okazaniem biletu elektronicznego. W efekcie dane osobowe pasażera stały się znane innym osobom w autobusie.
Rozpoznając sprawę, Prezes Urzędu Ochrony Danych Osobowych ustalił, że przewoźnik autobusowy gromadził dane osobowe pasażerów, sprzedając im bilety przez internet. Następnie kierowca autobusu weryfikował informacje pasażera z tymi danymi, wymagając ich głośnego podania.
Prezesa UODO zwrócił uwagę przewoźnikowi, że taki sposób działania jest niewłaściwy i narusza przepisy RODO, a konkretnie art. 5 ust. 1 lit. f oraz art. 6 ust. 1 lit. b.
Firma odwołała się od tej decyzji do Wojewódzkiego Sądu Administracyjnego, argumentując, że w tej sytuacji nie doszło do przetwarzania danych osobowych w rozumieniu RODO. WSA uwzględnił skargę, uznając, że podawanie imienia i nazwiska pasażera przy zakupie biletu oraz późniejsze przedstawianie się głośno w autobusie nie jest traktowane jako przetwarzanie danych osobowych według RODO, a tym samym nie jest objęte ogólnym rozporządzeniem o ochronie danych. W konsekwencji sprawa ta powinna być rozpatrywana w aspekcie cywilnoprawnym.
Prezes UODO nie zgodził się z taką argumentacją. W skardze kasacyjnej zauważył, że zarówno RODO, jak i ustawa o ochronie danych osobowych jasno określają, iż to on, jako organ nadzorczy , prowadzi postępowanie w sprawie naruszenia danych osobowych. Z tego powodu PUODO miał nie tylko prawo, ale również obowiązek rozpatrzyć skargę pasażera na działania spółki, co również uczynił. Nie ma także znaczenia, że dane osobowe były przetwarzane w sposób manualny przez kierowcę, ponieważ zostały przez niego przetworzone i ujawnione osobom nieuprawnionym.
NSA zgodził się z Prezesem UODO. W ocenie sądu interpretacja przepisów dotyczących ochrony danych osobowych, którą zastosował WSA, była niewłaściwa. Imię i nazwisko stanowią bowiem dane osobowe, które umożliwiają identyfikację jednostki, a w omawianym przypadku były przetwarzane w ramach zbioru danych. Przewoźnik jako administrator danych osobowych utworzył ten zbiór, gromadząc informacje od klientów podczas zakupu biletów online. Jeśli kierowca sprawdzał te dane, posługując się tym zbiorem, to jako przedstawiciel administratora je przetwarzał i ujawniał. W związku z tym, legalność takiego udostępnienia powinna być oceniona przez Prezesa UODO, na podstawie skargi, którą otrzymał.
Przeczytaj także: RODO a kontrola biletów – informacja o przetwarzaniu danych dla pasażera
wyrok Naczelnego Sądu Administracyjnego z dnia 11 lutego 2025 r. III OSK 6134/21
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
