sygn. II SA/Wa 747/25 18 grudnia 2025 Wojewódzki Sąd Administracyjny w Warszawie

Wyrok - II SA/Wa 747/25 - Wojewódzki Sąd Administracyjny w Warszawie - z dnia 18 grudnia 2025

Teza
Oddalono skargę. Ochrona danych osobowych, Sprawy związane z ochroną danych osobowych. Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Joanna Kruszewska-Grońska, Sędzia WSA Danuta Kania, Sędzia WSA Arkadiusz Koziarski (spr.), , po rozpoznaniu w trybie uproszczonym w dniu 18 grudnia 2025 r. sprawy ze skargi P. H. na postanowienie Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] marca 2025 r. nr [...] w przedmiocie odmowy wszczęcia postępowania oddala skargę UZASADNIENIE Prezes Urzędu Ochrony Danych Osobowych, dalej "PUODO", postanowieniemz dnia [...] mOddalono skargę. Ochrona danych osobowych, Sprawy związane z ochroną danych osobowych. Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Joanna Kruszewska-Grońska, Sędzia WSA Danuta Kania, Sędzia WSA Arkadiusz Koziarski (spr.), , po rozpoznaniu w trybie uproszczonym w dniu 18 grudnia 2025 r. sprawy ze skargi P. H. na postanowienie Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] marca 2025 r. nr [...] w przedmiocie odmowy wszczęcia postępowania oddala skargę UZASADNIENIE Prezes Urzędu Ochrony Danych Osobowych, dalej "PUODO", postanowieniemz dnia [...] m
Najważniejsze informacje

W skrócie

Wynik oddalono skargę
Przedmiot skarga administracyjna / kontrola aktu administracyjnego
Typ sprawy sprawa administracyjna / kontrola aktu administracyjnego
Etap postępowanie administracyjne sądowe / skarga na decyzję lub akt
Tryb posiedzenie niejawne
Tematy
skarga administracyjna kontrola administracyjna
Role w sprawie
apelujący / skarżący
Data orzeczenia 18 grudnia 2025
Sąd Wojewódzki Sąd Administracyjny w Warszawie
Przewodniczący Arkadiusz Koziarski
Rozstrzygnięcie

Oddalono skargę

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Joanna Kruszewska-Grońska, Sędzia WSA Danuta Kania, Sędzia WSA Arkadiusz Koziarski (spr.), , po rozpoznaniu w trybie uproszczonym w dniu 18 grudnia 2025 r. sprawy ze skargi P. H. na postanowienie Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] marca 2025 r. nr [...] w przedmiocie odmowy wszczęcia postępowania oddala skargę

UZASADNIENIE
Prezes Urzędu Ochrony Danych Osobowych, dalej "PUODO", postanowieniemz dnia [...] marca 2025 r. nr [...], wydanym na podstawie art. 61a § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U.z 2024 r. poz. 572, z późn. zm.), dalej "k.p.a.", w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), odmówił wszczęcia postępowania administracyjnego w sprawie skargi P. H., dalej "skarżący", wniesionej 23 listopada 2024 r. w przedmiocie stosowania procedury weryfikacji tożsamości niezgodnej z elDAS przez [...] (siedziba:[...]), dalej "Spółka".W uzasadnieniu organ wskazał, że do Urzędu Ochrony Danych Osobowych w dniu 23 listopada 2024 r. wpłynęła skarga skarżącego w przedmiocie stosowania procedury weryfikacji tożsamości niezgodnej z elDAS przez Spółkę. W treści skargi skarżący poinformował, że w jego ocenie procedura weryfikacji tożsamości stosowana w Spółce jest niezgodna z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (dalej: elDAS). Skarżący zwrócił uwagę, że procedura stosowana przez Spółkę wymaga, w przypadku działalności gospodarczej, przedstawienia skanu zaświadczenia wpisu do CEIDG, a w przypadku osób prywatnych skanu dokumentu tożsamości. W jego ocenie są to wymogi niezgodne z prawem, bo zgodnie z zasadą minimalizacji, z punktu widzenia osoby weryfikującej się, najbezpieczniejsza jest weryfikacja zgodna z elDAS. Ponadto skarżący wskazał, że podmioty weryfikujące tożsamość zgodnie z zasadami AML nie mogą odmawiać stosowania weryfikacji elDAS. W ocenie skarżącego dane, które wskazał, oraz sposoby weryfikacji, są wystarczające do weryfikacji osoby dla przeciwdziałania prania brudnych pieniędzy i w przypadku prowadzenia działalności gospodarczej nie wymagają podawania żadnych innych danych. Z uwagi na to skarżący wskazał, że weryfikacja tożsamości w oparciu o dane inne niż te występujące w CEIDG nie jest zgodnaz rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.), dalej "RODO".Dalej organ wyjaśnił, że zgodnie z art, 61 § 1 k.p.a. postępowanie administracyjne wszczyna się na żądanie strony lub z urzędu. Zgodnie natomiast z art. 61a § 1 k.p.a., gdy żądanie o którym mowa w art. 61, zostało wniesione przez osobę niebędącą stroną lub z innych uzasadnionych przyczyn postępowanie nie może być wszczęte, organ administracji publicznej wydaje postanowienie o odmowie wszczęcia postępowania. Organ administracji publicznej rozpatrując wniosek o wszczęcie postępowania administracyjnego ma obowiązek zbadać czy nie zachodzi żadna z przesłanek wykluczających wszczęcie takiego postępowania, o których mowa w art. 61 a k.p.a.PUODO wskazał, że może podejmować tylko te czynności, które znajdują sięw zakresie jego uprawnień oraz tylko w tych sprawach, które należą do jego właściwości. Uprawnienia te i właściwość wynikają m.in. z RODO, jak również z szeregu regulacji szczegółowych.Przepisy art. 58 ust. 1, 2 i 3 RODO określają uprawnienia przysługujące każdemu organowi nadzorczemu - uprawnienia do prowadzenia postępowań, uprawnienia naprawcze i do nakładania administracyjnych kar pieniężnych, uprawnienia do udzielania zezwoleń i uprawnienia doradcze oraz uprawnienia do zgłaszania naruszeń organom wymiaru sprawiedliwości oraz do udziału w postępowaniu sądowym. Katalog uprawnień naprawczych organu nadzorczego został ściśle określony w art. 58 ust. 2 RODO i jest on dla organu wiążący.PUODO wyjaśnił, że jego zadaniem jest ocena zaistniałego procesu przetwarzania danych osobowych. Zgodnie z art. 4 pkt 2 RODO "przetwarzanie" oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.Organ podniósł, że w wyroku Wojewódzkiego Sądu Administracyjnegow Warszawie z 17 stycznia 2020 r., sygn. II SA/Wa 2303/19, wskazano, że "[w]ymienione w przepisie art. 4 pkt 2 przykłady czynności pełnią podwójną rolę. Ich podstawowym zadaniem jest ułatwienie stosowania w praktyce ogólnej definicji przetwarzania. Dodatkowo jednak zakreślają ramy czasowe, w których może mieć miejsce przetwarzanie. Kolejność wymienienia tych czynności nie jest bowiem przypadkowa. Rozpoczyna się od »zbierania«, a kończy się na »usuwaniu« oraz »niszczeniu«.Z przetwarzaniem możemy mieć zatem do czynienia dopiero od zebrania danych osobowych aż po ich usunięcie lub zniszczenie. Aktualny pozostaje w tym zakresie wyrok NSA z 28 czerwca 2011 r., I OSK 1264/10, LEX nr 1082607, w którym zwrócono uwagę, że wszelkie czynności faktyczne poprzedzające moment zebrania danych, np. prośba o ich podanie, nie mieszczą się w pojęciu przetwarzania danych w rozumieniu art. 7 pkt 2 u.o.d.o.1997."PUODO zwrócił uwagę, że w sytuacji, w której skarżący zwraca uwagę na potencjalny konflikt procedury weryfikacji tożsamości, jaka stosowana jest przez Spółkę, z przepisami RODO, ale nie przedstawia dowodów na to, że przystąpił do ww. procedury i tym samym nie przekazał żadnych danych do Spółki - nie dochodzi do przetwarzania danych, a więc nie dochodzi do naruszenia w zakresie dotyczącym tych danych.Organ ocenił, że z treści skargi nie wynika, aby skarżący udostępnił swoje dane osobowe w postaci skanu dokumentu tożsamości, bądź skanu zaświadczenia wpisu do CEIDG. Tym samym z treści skargi nie wynika, aby doszło do naruszenia w zakresie przetwarzania przez Spółkę danych osobowych skarżącego mających potwierdzić tożsamość skarżącego. Skarga odnosi się do kwestii weryfikacji tożsamości użytkownika, czego ocena nie mieści się w kompetencjach PUODO.Zdaniem PUODO z uwagi na fakt, iż z innych uzasadnionych przyczyn postępowanie nie może być wszczęte, organ jest zobligowany na podstawie art. 61 a § 1 k.p.a. do wydania postanowienia o odmowie wszczęcia postępowania.Na powyższe postanowienie skarżący wniósł skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie.W uzasadnieniu skargi skarżący wyjaśnił, że we wrześniu 2024 r. odkrył i wykazał ponad wszelką wątpliwość, że od 2018 r. łamane jest polskie prawo o przeciwdziałaniu praniu brudnych pieniędzy i terroryzmowi (ustawa AML). Serwisy internetowe będące instytucjami obowiązanymi na masową skalę, dokonują weryfikacji tożsamości osób na podstawie skanu/kopii dokumentu tożsamości (jest to niezgodne z prawem). Ma to również konsekwencje dla RODO. Ustawa AML wyraźnie wskazuje, że weryfikacja osób powinna być dokonywana przy pomocy okazania dokumentu tożsamości (a więc realna weryfikacja osoby w punkcie weryfikacji) lub za pomocą weryfikacji zgodnej z elDAS (kwalifikowany podpis elektroniczny). GIIF dopuścił też weryfikację wideo. Stan prawny w tej sprawie potwierdził prawnik KNF.Skarżący wskazał, że od tamtego czasu, pomimo zgłoszenia tej sprawy do GIIF oraz UODO, nie otrzymał jasnego zapewnienia, że urzędy te podejmą interwencję w tej sprawie. Przeciwnie, raczej otrzymał sygnały, że dojdzie do prób tuszowania sprawy, być może ze względu na odpowiedzialność za doprowadzenie do tego stanu przez te instytucje (czego dowodem jest również niniejsza sprawa) lub dojdzie do "zwykłego" zaniechania, wynikającego z niezrozumienia obowiązującego prawa. Od roku 2018 GIIF oraz UODO doprowadzili do całkowitego zaniku weryfikacji elDAS w Polsce.Następnie skarżący podał, że w skardze do UODO wykazał, że z regulaminu znajdującego się na stronie Spółki wynika, że firma nie umożliwia osobom weryfikacji elDAS, a to jest sprzeczne z prawem do bezpiecznej weryfikacji osoby, co narusza zasadę minimalizacji RODO. Weryfikacja oparta na elDAS jest najbezpieczniejsza także z punktu widzenia osoby weryfikowanej i nie prowadzi do przesyłania dodatkowych danych (potwierdził to GIIF w swoich wytycznych z 2018 roku). Weryfikacja tożsamości osoby na podstawie dokumentu tożsamości, w przypadku elDAS, odbywa się podczas wyrabianiu podpisu kwalifikowanego i jest ponawiana, co kilka lat. Urzędnicy UODO podczas rozmów na infolinii wielokrotnie podawali błędną interpretację prawa zbieżną z linią firm takich jak A, [...], czy P.Skarżący zwrócił uwagę, że z zasady minimalizacji wynika, że żadna firma, organizacja lub kraj nie może odmówić weryfikacji elDAS obywatelowi Unii Europejskiej, jeśli osoba ta poprosi o taką formę weryfikacji. Jego zdaniem dotyczyło to również firm, krajów, organizacji spoza UE świadczących usługi dla osób z UE. Jest to bezpośrednią konsekwencją ustawy AML oraz RODO. Również o tym informował UODO w piśmie skierowanym do wszystkich urzędów ochrony danych osobowych w Europie. Spółka otwarcie łamie przepisy polskie oraz innych krajów UE, bo prawo krajów członkowskich realizuje dyrektywę UE.Skarżący zaznaczył, że choć, być może, nie wykazał w skardze zbyt jasno związku łamania przepisów AML ze sprawą Spółki, to o niezgodnej z prawem AML praktyce oraz konsekwencjach tego dla RODO informował UODO wielokrotnie, z prośbą o podjęcie interwencji z urzędu. Do informacji przesłanej do UODO załączył odpowiedź z KNF, potwierdzającą stan prawny tej sprawy.Ponadto skarżący podniósł, że argumentacja PUODO, przytoczona w odmowie rozpatrzenia sprawy, wprawiła go w osłupienie. Organ argumentuje, że do zajęcia się przez urząd sprawą bezprawnej praktyki zawartej w regulaminie firmy wymagane było, aby skarżący poddał się tej bezprawnej praktyce, stosowanej przez firmę. Zdaniem skarżącego są pewne granice śmieszności, ale w jego ocenie w tym przypadku została ona przekroczona. Zdaniem skarżącego gdyby było tak, jak utrzymuje PUODO, to prawo byłoby absurdalne i bardzo niesprawiedliwe.W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując argumentację wyrażoną w zaskarżonym postanowieniu.Ponadto organ wyjaśnił, że odmowa wszczęcia postępowania w niniejszej sprawie nie jest równoznaczna z brakiem podjęcia działań wobec podniesionych przez skarżącego kwestii. W reakcji na pisma skarżącego dot. nieprawidłowych procedur stosowanych przez Spółkę, PUODO przedsięwziął kroki w celu ustalenia, czy opisana sytuacja stanowi naruszenie przepisów ochrony danych i jakie w związku z tym podjąć dalsze działania. PUODO jest w trakcie zbierania informacji mogących pomóc muw dalszym analizowaniu kwestii procedury weryfikacji tożsamości stosowanej przez Spółkę.Zgodnie za treścią art. 56 ust. 1 RODO organ nadzorczy głównej lub pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego jest właściwy do podejmowania działań jako wiodący organ nadzorczy - zgodnie z procedurą przewidzianą w art. 60 RODO - względem transgranicznego przetwarzania dokonywanego przez tego administratora lub ten podmiot przetwarzający. Zgodnie z ww. przepisem organem nadzorczym właściwym do podjęcia działań wobec Spółki ze względu na miejsce jej siedziby jest luksemburski organ nadzorczy - Commission nationale pour la protection des donnees (siedziba: 15, Boulevard du Jazz L-4370 Belvaux, Luksemburg).W związku z powyższym PUODO w dniu [...] kwietnia 2025 r. w ramach odrębnej sygnatury [...] przekazał za pośrednictwem Systemu wymiany informacji na rynku wewnętrznym (ang. Internal Market Information System), dalej: "IMI", opis sprawy luksemburskiemu organowi nadzorczemu oraz wszystkim pozostałym organom nadzorczym w rozumieniu art. 4 pkt 21 RODO. W tym celu PUODO utworzył w systemie IMI notyfikację [...] u numerze [...], w ramach której zawarł opis sprawy sformułowany na podstawie pism skarżącego dotyczących Spółki. PUODO nie przekazał organom nadzorczym danych osobowych skarżącego, dokonując jedynie opisu przedstawionych w pismach skarżącego zarzutów. Ww. działanie PUODO ma na celu zidentyfikowanie wiodącego organu nadzorczego w sprawie oraz organów nadzorczych, których sprawa dotyczy, a następnie podjęcie z tymi organami współpracy w celu weryfikacji podniesionych wobec Spółki zarzutów. Mając na uwadze, że powyższe działanie PUODO zostało podjęte z urzędu, skarżący nie będzie informowanyo podejmowanych przez PUODO działaniach i ich skutku.Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:Na wstępie należy wyjaśnić, że sprawa została rozpoznana na posiedzeniu niejawnym w trybie uproszczonym. Warunki rozpoznania sprawy w postępowaniu uproszczonym ustawodawca określił w art. 119 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2024 r. poz. 935, z późn. zm.), dalej "p.p.s.a." Zgodnie z art. 119 pkt 3 p.p.s.a., sprawa może być rozpoznanaw trybie uproszczonym, jeżeli przedmiotem skargi jest postanowienie wydanew postępowaniu administracyjnym, na które służy zażalenie albo kończące postępowanie, a także postanowienie rozstrzygające sprawę co do istoty oraz postanowienia wydane w postępowaniu egzekucyjnym i zabezpieczającym, na które służy zażalenie.Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. z 2024 r. poz. 1267), sądy administracyjne sprawują wymiar sprawiedliwości m. in. przez kontrolę działalności administracji publicznej, a kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.Skarga oceniana w świetle powyższych kryteriów nie zasługuje na uwzględnienie.Przedmiotem kontroli Sądu w rozpoznawanej sprawie było postanowienie PUODO z dnia [...] marca 2025 r. odmawiające wszczęcia postępowania w związku ze skargą skarżącego, która wpłynęła do organu w dniu 23 listopada 2024 r.Zaskarżone postanowienie zostało wydane na podstawie art. 61a § 1 k.p.a., który stanowi w sytuacji gdy żądanie, o którym mowa w art. 61, zostało wniesione przez osobę niebędącą stroną lub z innych uzasadnionych przyczyn postępowanie nie może być wszczęte, organ administracji publicznej wydaje postanowienie o odmowie wszczęcia postępowania.Przepis ten ustanawia dwie podstawy do odmowy wszczęcia postępowania: podmiotową – wniesienie podania przez osobę niebędącą stroną i przedmiotową -z innych uzasadnionych przyczyn postępowanie nie może być wszczęte. Obie te przyczyny uniemożliwiają w ogóle procedowanie w sprawie i załatwienie wniosku w formie decyzji administracyjnej. Przyczyny te muszą być znane organowi w chwili złożenia wniosku i być oczywiste. Na tym etapie postępowania organ bada jedynie kwestie formalne, tj., czy istnieją podstawy do wszczęcia postępowania w przedmiocie wniosku, nie podejmując analizy zasadności wniosku.Tak w orzecznictwie sądowoadministracyjnym jak i doktrynie akceptowana jest teza, że inne uzasadnione przyczyny, o których mowa w art. 61a § 1 k.p.a., to przypadki pierwotnej bezprzedmiotowości postępowania, a więc przypadki, w których, np. sprawa nie ma charakteru administracyjnego albo sprawa administracyjna nie podlega załatwieniu w formie aktu administracyjnego, w tej samej sprawie postępowanie administracyjne już się toczy, gdy w tej sprawie zapadło już rozstrzygnięcie lub gdyw przepisach prawa brak jest podstawy materialnoprawnej do rozpatrzenia żądania w trybie administracyjnym (zob. B. Adamiak, Komentarz do art. 61a k.p.a. (w:) B. Adamiak, J. Borkowski, Kodeks postępowania administracyjnego. Komentarz, Warszawa 2022, s. 317). Podkreśla się również, że odmowa wszczęcia postępowania na podstawie art. 61a § 1 k.p.a. "z innych uzasadnionych przyczyn" może mieć miejsce w sytuacjach oczywistych, niewymagających analizy sprawy, wtedy gdy "na pierwszy rzut oka" można stwierdzić, że brak jest podstaw do prowadzenia postępowania (vide: wyrok NSA z 22 maja 2015 r., sygn. akt II OSK 2671/13, LEX nr 1982821).W niniejszej sprawie organ zasadnie odmówił wszczęcia postępowaniaz powołaniem się na ww. przepis. Brak było bowiem podstaw do wszczęcia i prowadzenia postępowania administracyjnego w sytuacji, gdy żądanie skargi wniesionej do PUODO przez skarżącego nie mogło prowadzić do wydania w sprawie merytorycznego rozstrzygnięcia.Wyjaśnić należy, że PUODO, będąc podmiotem publicznym, może podejmować wyłącznie takie działania, które znajdują swoje źródło w przepisach obowiązującego prawa, co wynika z konstytucyjnej zasady legalizmu. Aby PUODO mógł podjąć określone działania, musi mieć do tego stosowne umocowanie ustawowe. Stąd, jeśli do organu wpłynie wniosek o wszczęcie postępowania, do których to działań brak jest podstawy prawnej, to adresat takiego wniosku winien odmówić wszczęcia takiego postępowania,a jeśli już je wszczął, to winien je umorzyć.Zgodnie z art. 4 pkt 1 RODO na użytek tego rozporządzenia "dane osobowe" oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.Stosownie zaś do treści art. 4 pkt 2 RODO "przetwarzanie" oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.Słusznie organ ocenił, że z treści skargi skarżącego skierowanej do PUODO nie wynikało aby dotyczyła ona konkretnego procesu przetwarzania danych osobowych skarżącego przez Spółkę. Skarżący w skardze tej nie podał ani zakresu jego danych osobowych, które miałyby być przetwarzane przez Spółkę, ani też nie wskazał sposobu ich przetwarzania. Przeciwnie, z treści tej skargi wynikało, że skarżący generalnie kwestionował sposób przeprowadzania konkretnych działań przez Spółkę, które to działania nie były związane z przetwarzaniem jego danych osobowych.Prawidłowo organ zwrócił uwagę w zaskarżonym postanowieniu, że może on podejmować tylko te czynności, które znajdują się w zakresie jego uprawnień oraz tylko w tych sprawach, które należą do jego właściwości. Uprawnienia te i właściwość wynikają m.in. z RODO, jak również z szeregu regulacji szczegółowych.Należy zwrócić uwagę, że przepis art. 58 ust. 2 RODO zawiera katalog uprawnień naprawczych organu nadzorczego, który ma charakter wiążący w zakresie postępowania dotyczącego określonego naruszenia przepisów ochrony danych osobowych, tj.: a) wydawanie ostrzeżeń administratorowi lub podmiotowi przetwarzającemu dotyczących możliwości naruszenia przepisów niniejszego rozporządzenia poprzez planowane operacje przetwarzania; b) udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania; c) nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia; d) nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu; e) nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych; f) wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania; g) nakazanie na mocy art. 16, 17 i 18 sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazanie na mocy art. 17 ust. 2 i art. 19 powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono; h) cofnięcie certyfikacji lub nakazanie podmiotowi certyfikującemu cofnięcia certyfikacji udzielonej na mocy art. 42 lub 43, lub nakazanie podmiotowi certyfikującemu nieudzielania certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane; i) zastosowanie, oprócz lub zamiast środków, o których mowa w niniejszym ustępie, administracyjnej kary pieniężnej na mocy art. 83, zależnie od okoliczności konkretnej sprawy; j) nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej.Zasadnie organ zwraca uwagę, że jego zadaniem jest ocena zaistniałego procesu przetwarzania danych osobowych. W skardze skierowanej do Sądu skarżący potwierdza, że skarga wniesiona do PUODO nie była związana z konkretnym procesem przetwarzania jego danych osobowych przez Spółkę. Żądanie skarżącego nie dotyczyło sprawy leżącej w kompetencji PUODO, która mogłaby zostać zakończona wydaniem decyzji o zastosowaniu uprawnień naprawczych wymienionych w art. 58 ust. 2 rozporządzenia RODO. W związku z tym istniały podstawy do zastosowania art. 61a § 1 k.p.a. i wydania postanowienia odmawiającego wszczęcia postępowania.Na marginesie należy zwrócić uwagę, że w odpowiedzi na skargę organ wyjaśnił, że skarga skarżącego skierowana do PUODO zainicjowała określone działania organu podjęte z urzędu, których stroną nie jest skarżący.Zaskarżone postanowienie jest zatem zgodne z prawem a podniesionew skardze zarzuty nie zasługiwały na uwzględnienie.Mając powyższe na uwadze, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 w zw. z art. 119 pkt 3 p.p.s.a. orzekł jak w sentencji.. orzekł jak w sentencji.