II SA/Wa 125/14
Wyrok
Wojewódzki Sąd Administracyjny w Warszawie
2014-04-28Nietezowane
Artykuły przypisane do orzeczenia
Do tego artykulu posiadamy jeszcze 13 orzeczeń.
Kup dostęp i zobacz, do jakich przepisów odnosi się orzeczenie. Znajdź inne potrzebne orzeczenia.
Skład sądu
Eugeniusz Wasilewski
Janusz Walawski /sprawozdawca/
Sławomir Antoniuk /przewodniczący/Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Sławomir Antoniuk Sędziowie WSA Janusz Walawski (spr.) Eugeniusz Wasilewski Protokolant starszy referent Marcin Borkowski po rozpoznaniu na rozprawie w dniu 28 kwietnia 2014 r. sprawy ze skargi [...] Sp. z o.o. [...] Sp. j. z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2013 r. nr [...] w przedmiocie nakazu usunięcia uchybień w procesie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję, 2. stwierdza, że zaskarżona decyzja nie podlega wykonaniu w całości, 3. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz [...] Sp. z o.o. [...] Sp. j. z siedzibą w W. kwotę 440 (czterysta czterdzieści) złotych tytułem zwrotu kosztów postępowania.
Uzasadnienie
Wojewódzki Sąd Administracyjny w Warszawie w dniu 2 czerwca 2011 r. wydał wyrok o sygn. akt II SA/WA 720/11, którym oddalił skargę I. Sp. j. z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] stycznia 2011 r. nr [...] w przedmiocie usunięcia uchybień w przetwarzaniu danych osobowych.
Sąd w uzasadnieniu wyroku podał, co następuje:
|Generalny Inspektor Ochrony Danych Osobowych, działając na podstawie art. 138 § 1 pkt 1 i 2 ustawy z dnia 14 czerwca 1960 r. - |
|Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2, art. 18 ust. 1 pkt 1 i art. 22|
|w związku z art. 23 ust. 1 pkt 1, art. 25 ust. 1, art. 36 ust. 2, art. 37, art. 39 i art. 40 ustawy z dnia 29 sierpnia 1997 r. o |
|ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), decyzją z dnia [...] stycznia 2011 r. nr [...], po rozpoznaniu |
|wniosku powyżej określonej Spółki o ponowne rozpatrzenie sprawy, utrzymał w mocy decyzję poprzedzającą z dnia [...] września 2010 r. |
|nr [...], nakazującą usunięcie uchybień w procesie przetwarzania danych osobowych. |
|Generalny Inspektor Ochrony Danych Osobowych w decyzji poprzedzającej nakazał Spółce usunięcie uchybień w procesie przetwarzania |
|danych osobowych, poprzez: |
|1) dopełnienie wobec osób, których dane pochodzące ze źródeł powszechnie dostępnych (Monitor Sądowy i Monitor Gospodarczy) zostały |
|zebrane i utrwalone przez ww. administratora danych, obowiązku informacyjnego, o którym mowa w art. 25 ust. 1 ustawy o ochronie |
|danych osobowych, w terminie 3 miesięcy od dnia, w którym niniejsza decyzja stanie się ostateczna, |
|2) zgłoszenie do rejestracji zbioru danych osobowych klientów (właścicieli adresów poczty elektronicznej) w terminie 30 dni od dnia,|
|w którym niniejsza decyzja stanie się ostateczna, |
|3) zapewnienie użytkownikom serwisu I. możliwości swobodnego wyrażenia zgody na przetwarzanie ich danych osobowych w celach |
|marketingowych w terminie 30 dni od dnia, w którym niniejsza decyzja stanie się ostateczna, |
|4) opracowanie dokumentacji stanowiącej politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do |
|przetwarzania danych osobowych, w terminie 30 dni od dnia, w którym niniejsza decyzja stanie się ostateczna, |
|5) nadanie upoważnień do przetwarzania danych osobowych osobom dopuszczonym do przetwarzania danych osobowych w terminie 14 dni od |
|dnia, w którym niniejsza decyzja stanie się ostateczna, |
|6) opracowaniu ewidencji osób upoważnionych do przetwarzania danych osobowych w terminie 14 dni od dnia, w którym niniejsza decyzja|
|stanie się ostateczna. |
|W pozostałym zakresie postępowanie zostało umorzone. |
|W dniu [...] października 2010 r. do Generalnego Inspektora Ochrony Danych Osobowych wpłynął wniosek pełnomocnika Spółki o ponowne |
|rozpatrzenie przedmiotowej sprawy, w którym zarzucono zaskarżonej decyzji naruszenie prawa materialnego, tj. art. 25 ust. 1 i ust. 2|
|pkt 1 ustawy o ochronie danych osobowych w zw. z art. 8 ust. 1-2 ustawy z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym (Dz.|
|U. z 2007 r. Nr 168, poz. 1186 ze zm.) oraz wniesiono o uchylenie zaskarżonej decyzji i umorzenie postępowania. |
|Spółka podkreśliła, że przyjęcie przez Generalnego Inspektora Ochrony Danych Osobowych stanowiska, potwierdzającego obowiązek |
|zbierającego dane z KRS przekazania osobie fizycznej, ujawnionej w rejestrze, informacji określonych w art. 25 ust. 1 ustawy o |
|ochronie danych osobowych, skutkować będzie tym, iż wymóg taki będzie wówczas powszechnie występował w obrocie gospodarczym, w |
|związku z szeregiem czynności związanych z pozyskiwaniem danych z KRS, np. w przypadku kancelarii prawnych, sprawdzających |
|prawidłową reprezentację stron stosunków umownych. |
|W zakresie natomiast pozostałych zarzutów, wymienionych w pkt I.2-6 rozstrzygnięcia zaskarżonej decyzji Spółka wyjaśniła, że |
|aktualnie prowadzi działania mające na celu przywrócenie stanu zgodnego z przepisami ustawy o dostępie do informacji publicznej, |
|wskazując jakiego rodzaju działania przywracające stan zgodny z prawem zostały podjęte. |
|Generalny Inspektor Ochrony Danych Osobowych w uzasadnieniu zaskarżonej decyzji przytoczył treść art. 25 ust. 1 ustawy, zgodnie z |
|którym w przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę|
|osobę, bezpośrednio po utrwaleniu zebranych danych, o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku, gdy |
|administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu i zakresie zbierania |
|danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych, 3) źródle danych, 4) prawie dostępu do treści swoich danych|
|oraz ich poprawiania, 5) uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8. Natomiast zgodnie z treścią art. 25 ust. 2 pkt 1 |
|ustawy, przepisu ust. 1 nie stosuje się, jeżeli: przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy|
|osoby, której dane dotyczą. |
|Organ podniósł, że Spółka prowadzi działalność w zakresie świadczenia usług odpłatnego udzielania informacji gospodarczej, |
|pochodzącej ze źródeł powszechnie dostępnych (Monitor Sądowy i Monitor Gospodarczy), osobom zainteresowanym. Usługa ta jest |
|udostępniana za pośrednictwem publicznej sieci Internet. W związku z powyższym, Spółka przetwarza dane osobowe w zakresie: imię, |
|nazwisko, nr PESEL, pełniona funkcja, rok urodzenia, które zostały ujawnione w Krajowym Rejestrze Sądowym (KRS). |
|Generalny Inspektor Ochrony Danych Osobowych stwierdził, że przedmiotowa ustawa nie zakazuje tworzenia odrębnych zbiorów na |
|podstawie danych pochodzących ze źródeł powszechnie dostępnych, jednakże nie oznacza to, że powstałe w ten sposób zbiory nie |
|podlegają przepisom tej ustawy. Przede wszystkim Spółka, jako administrator danych osobowych, powinna legitymować się przesłanką do |
|ich przetwarzania. W opisanej sytuacji należałoby uznać, że taką przesłankę może stanowić art. 23 ust. 1 pkt 5 ustawy, zgodnie z |
|którym przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów |
|realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane |
|dotyczą. Kolejnym obowiązkiem, który ciąży na administratorze danych, jest zgłoszenie zbioru do rejestracji Generalnemu Inspektorowi|
|Ochrony Danych Osobowych, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1 (art. 40 ustawy). W opisanym przypadku mamy do |
|czynienia z wyjątkiem, o którym mowa w art. 43 ust. 1 pkt 9 ustawy, tj. z obowiązku rejestracji zbioru danych zwolnieni są |
|administratorzy danych powszechnie dostępnych. Brak jest natomiast podstaw do zwolnienia Spółki z obowiązku przekazania osobom, |
|których dane dotyczą, informacji, o których mowa w art. 25 ust. 1 ustawy o ochronie danych osobowych. |
|Organ podkreślił, że Spółka pozyskuje dane z KRS w celu utworzenia odrębnego zbioru danych, który wykorzystuje dla własnych celów |
|zarobkowych. W ten sposób Spółka staje się administratorem zebranych w opisany sposób danych, zatem, jako na administratorze danych,|
|ciąży na niej obowiązek informacyjny (bezpośrednio po utrwaleniu zebranych danych), o którym mowa w art. 25 ust. 1 przedmiotowej |
|ustawy. |
|Przesłanki, o których mowa w art. 25 ust. 2 pkt 1 ustawy, dotyczą zaś sytuacji, gdy przepis innej ustawy przewiduje lub dopuszcza |
|zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą. Zwolnienie to dotyczy zatem podmiotów, których działalność, |
|polegająca na przetwarzaniu danych osobowych, została uregulowana szczegółowymi przepisami prawa. Spółka nie jest podmiotem |
|(administratorem danych) prowadzącym rejestry publiczne na podstawie przepisów prawa, a jedynie administratorem danych, który |
|pozyskał dane z takiego rejestru. Zasady dotyczące jawności danych z KRS nie zobowiązują Spółki do upowszechnienia posiadanych |
|informacji, świadczy ona swoje usługi odpłatnie. Co więcej mogłaby ona utajnić posiadane dane i nikt nie mógłby żądać od niej |
|ujawnienia zebranych informacji, powołując się na przepisy o Krajowym Rejestrze Sądowym. |
|Organ wskazał również, że dane osobowe zostały umieszczone w Krajowym Rejestrze Sądowym m.in. w celu zapewnienia jawności obrotu |
|gospodarczego. W tym też celu powinny być przetwarzane przez podmioty je pozyskujące. Natomiast Spółka stworzyła swoją bazę na |
|podstawie informacji z KRS i świadczy usługi w zakresie udostępniania informacji, wśród których znajdują się dane osobowe, dla |
|realizacji swoich celów zarobkowych. |
|Konstytucyjnie zagwarantowane prawa osób do nieujawniania dotyczących ich informacji mogą ograniczać wyłącznie przepisy rangi |
|ustawowej. Ustawa o Krajowym Rejestrze Sądowym jest właśnie takim aktem, bowiem zgodnie z treścią art. 35 pkt 1 tej ustawy, ilekroć |
|do Rejestru wpisuje się: osobę fizyczną - zamieszcza się nazwisko i imiona oraz identyfikator nadany w systemie ewidencji ludności, |
|zwany dalej "numerem PESEL". Przy tym rejestr ten jest jawny, bowiem powstał m.in. dla zapewnienia jawności danych podmiotów |
|uczestniczących w życiu gospodarczym. Osoby, o których mowa w przepisach ustawy o KRS, mają zatem obowiązek podania swoich danych w |
|celu ich zamieszczenia w tym rejestrze, muszą też liczyć się z ich ujawnieniem. Nie oznacza to jednak, że muszą one godzić się na |
|wykorzystanie ich danych w celach innych, niż (ogólnie rzecz ujmując) "jawność obrotu gospodarczego". W myśl art. 26 ust. 1 pkt 2 |
|ustawy o dostępie do informacji publicznej, administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu|
|ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były: zbierane dla |
|oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu, niezgodnemu z tymi celami, z zastrzeżeniem ust. 2. |
|Niedopełnienie przez Spółkę obowiązku informacyjnego wobec osób, których dane dotyczą, pozbawia te osoby podstawowego prawa do |
|informacji o przetwarzaniu ich danych, a tym samym ogranicza możliwość skorzystania z uprawnień, o których mowa w art. 32 ust. 1 pkt|
|7 i 8 ustawy o ochronie danych osobowych, tj. wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, pisemnego, |
|umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację; wniesienia sprzeciwu wobec |
|przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w |
|celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych. |
|Organ podkreślił również, że katalog przypadków, pozwalających odstąpić od przekazania informacji, o którym mowa w art. 25 ust. 1 |
|ustawy, uległ zmianie w wyniku nowelizacji ustawy, dokonanej w 2004 r. (uchylony został m.in. przepis ust. 2 pkt 2 powołanego |
|artykułu, który zwalniał z dopełnienia tego obowiązku w sytuacji, gdy "dane przewidziane do zebrania są ogólnie dostępne"). Z tych |
|względów należy uznać, iż intencją ustawodawcy było zobowiązanie administratorów danych, którzy zbierają dane "ogólnie dostępne", do|
|dopełniania obowiązków wynikających z powołanego przepisu. |
|Odnosząc się do wniosku o uchylenie decyzji i umorzenie postępowania w zakresie pkt I ppkt 2-6 zaskarżonej decyzji, organ wskazał, |
|że rozstrzygnięcie zawarte w zaskarżonej decyzji jest prawidłowe zarówno z punktu widzenia zgodności z prawem, jak i pod względem |
|celowości. Z uwagi na to, że zaskarżona decyzja została wydana na podstawie właściwie zastosowanych przepisów prawa oraz na |
|podstawie prawidłowo ustalonego stanu faktycznego, należało utrzymać ją w mocy. |
|Natomiast na podstawie przedstawionych przez Spółkę dowodów, zawartych we wniosku o ponowne rozpatrzenie sprawy z dnia [...] |
|października 2010 r. oraz w piśmie z dnia [...] grudnia 2010 r., organ uznał, że wykonała ona pozostałe nakazy decyzji Generalnego |
|Inspektora Ochrony Danych Osobowych z dnia [...] września 2010 r. |
|W dniu 28 lutego 2011 r. skargę na powyższą decyzję oraz na decyzję ją poprzedzającą złożyła Spółka, reprezentowana przez |
|profesjonalnego pełnomocnika, wnosząc o stwierdzenie ich nieważności, ewentualnie o ich uchylenie, ponadto Spółka wniosła o |
|wstrzymanie wykonalności zaskarżonych decyzji i o zasądzenie na jej rzecz zwrotu kosztów postępowania. |
|Pełnomocnik Spółki zarzucił zaskarżonym decyzjom spełnienie przesłanki, o której mowa w art. 156 § 1 pkt 5 Kpa, powodującej ich |
|nieważność ze względu na trwałą niewykonalność (istniejącą już w dniu wydania aktów administracyjnych) nałożonego w decyzji |
|obowiązku przekazania informacji osobie, której dane dotyczą, a także naruszenie przepisów ustawy o ochronie danych osobowych, tj. |
|art. 25 ust. 2 pkt 1 w zw. z ust. 1 tej ustawy oraz art. 8 ust. 1-2 ustawy o Krajowym Rejestrze Sądowym, poprzez błędną wykładnię |
|wspomnianego przepisu, polegającą na stwierdzeniu przez organ administracji publicznej, że w przedmiotowej sprawie nie zachodzi |
|wyłączenie obowiązku informacyjnego oraz art. 18 ust. 1 ustawy o dostępie do informacji publicznej poprzez zawarcie w decyzji |
|administracyjnej wadliwego rozstrzygnięcia, w którym nie określa się przedmiotu nakazu, tj. czynności służących przywróceniu stanu |
|zgodnego z prawem. |
|W odpowiedzi na skargę organ wniósł o jej oddalenie i podtrzymał argumenty zawarte w zaskarżonej decyzji. |
|Sąd, oddalając skargę, podał, że ustawa o ochronie danych osobowych statuuje zasadę ochrony danych osobowych. Zgodnie z art. 1 tej |
|ustawy, każdy ma prawo do ochrony dotyczących go danych osobowych, a samo przetwarzanie danych osobowych może mieć miejsce ze |
|względu na dobro publiczne lub dobro osoby, której te dane dotyczą. |
|Ochrona danych osobowych jest jednym z podstawowych praw obywatelskich w demokratycznym państwie prawa. Ochrona danych osobowych |
|wiąże się bowiem z ochroną życia prywatnego, a zatem stanowi o wolności obywatela. Prawo do ochrony danych osobowych nie jest jednak|
|prawem absolutnym i podlega ograniczeniu ze względu na interes publiczny lub usprawiedliwiony interes innych osób. Niemniej jednak, |
|skoro jest to prawo obywatelskie, decydujące o poczuciu wolności danej osoby, to wyjątki dopuszczające zbieranie i wykorzystywanie |
|danych osobowych powinny być poddane ścisłej wykładni. Ustawodawca, kierując się wartościami ochrony praw konstytucyjnych, nie może |
|dopuścić do sytuacji, w której to prawo, poprzez rozszerzającą interpretację przepisów dotyczących przetwarzania i udostępnienia |
|danych osobowych, jest naruszane. |
|Za błędny należy uznać pogląd, przedstawiony przez pełnomocnika Spółki, iż podstawa prawna zaniechania przez niego obowiązku |
|informacyjnego, określonego w art. 25 ust. 1 ustawy, istnieje w jej art. 25 ust. 2 pkt 1 w zw. z art. 8 ust. 1-2 ustawy z dnia 27 |
|sierpnia 1997 r. o Krajowym Rejestrze Sądowym (Dz. U. z roku 2007 Nr 168, poz.1186 ze zm.). Przepis art. 25 ust. 2 pkt 1 statuuje, |
|iż nie ma obowiązku powiadamiania osoby, której dane dotyczą, w sytuacji, gdy przepis innej ustawy przewiduje lub dopuszcza |
|zbieranie danych osobowych bez wiedzy osoby, której te dane dotyczą. |
|Przepisy ustawy o Krajowym Rejestrze Sądowym określają zasady wpisu do rejestru oraz zasady jego udostępnienia. Wspomniany w skardze|
|art. 8 ust. 1-2 ustawy o Krajowym Rejestrze Sądowym statuuje zasadę jawności danych zawartych w rejestrze. Należy jednak zauważyć, |
|że ww. ustawa z dnia 27 sierpnia 1997 r. reguluje sposób udostępnienia danych osobowych osób, których dane znajdują się w KRS w |
|sposób całkowity. Dane te udostępniane są w drodze elektronicznej przez Centralną Informację KRS lub w drodze przeglądania akt |
|rejestru we właściwych wydziałach sądów. Dane te są udostępniane każdemu zainteresowanemu, dla jego potrzeb związanych z pewnością |
|obrotu gospodarczego. Osoba, która podejmuje działalność, która ma być wpisana do KRS, wie, że jej dane są w prowadzonym przez |
|Państwo rejestrze i tylko na podstawie przepisów dotyczących funkcjonowania tego rejestru te dane będą wykorzystane. |
|Tymczasem Spółka pobiera dane osobowe osób znajdujących się w KRS, takie jak imię, nazwisko, numer PESEL, do własnej bazy danych, w |
|której te dane są przetwarzane. Dane z KRS nie mają służyć do takiego celu, a osoby, które udostępniają swoje dane osobowe nie |
|wyrażają zgody na to, aby ich dane osobowe były umieszczane w innej, prywatnej bazie danych. Decydując się na umieszczenie swoich |
|danych w KRS, przedsiębiorcy mają zaufanie, że ich dane będą ujawniane i wykorzystywane tylko w taki sposób, na jaki zezwala ustawa |
|o Krajowym Rejestrze Sądowym. Takie rozumienie przepisu art. 25 ust. 2 pkt 1 przedmiotowej ustawy w zw. z art. 8 ust. 1-2 ustawy o |
|Krajowym Rejestrze Sądowym wynika ze ściślej interpretacji tych przepisów. Ustawodawca nie może bowiem dopuścić do tego, że ochrona |
|danych osobowych, znajdujących się w KRS, nie będzie ograniczona wobec podmiotów, które będą chciały wykorzystać te dane w innych |
|celach i na innych zasadach niż dopuszcza to ustawa o Krajowym Rejestrze Sądowym. Wówczas dopuszczonoby także do sytuacji, w której |
|dane z KRS mogłyby być w nieograniczony sposób wykorzystywane, bez woli osób w nich ujętych, w celu utworzenia bazy danych dla |
|prowadzenia kampanii marketingowych. |
|Powyższa interpretacja art. 25 ust. 2 pkt 1 ustawy o ochronie danych osobowych ma uzasadnienie także w wykładni historycznej art. 25|
|ust. 2 tej ustawy, który obowiązywał do dnia 1 maja 2004 r. Przepis ten przewidywał, że administrator nie informował danej osoby o |
|tym, że jej dane znajdują się w bazie danych w sytuacji, gdy dane te pochodziły ze zbiorów powszechnie dostępnych. Wejście w dniu 1 |
|maja 2004 r., a więc w dniu przystąpienia Polski do Unii Europejskiej, przepisów ustawy z dnia 22 stycznia 2004 r. o zmianie ustawy |
|o ochronie danych osobowych oraz ustawy o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe (Dz. U. Nr 33, poz. 285) |
|spowodowało, iż uchylone zostały wyłączenia obowiązku informacyjnego. Tym samym w przypadku pozyskiwania danych ze źródeł ogólnie |
|dostępnych (pkt 2), czyli np. opublikowanych we wszelkich wykazach, spisach, rejestrach, książkach telefonicznych, almanachach(...).|
|Istnieje również obowiązek poinformowania osoby, której dane dotyczą o ich przetwarzaniu (P. Barta, P. Litwiński, Ustawa o ochronie |
|danych osobowych. Komentarz, Warszawa 2009, s. 257). Ustawodawca, implementując przepisy europejskie do polskiego prawa ochrony |
|danych osobowych, wykreślił możliwości nieinformowania osoby o jej uprawnieniach związanych z przetwarzaniem danych osobowych w |
|sytuacji, gdy jej dane są zawarte w powszechnie dostępnych i jawnych rejestrach. Tak więc w sytuacji, gdy Spółka pozyskuje dane |
|osobowe z KRS w celu ich przetwarzania jest zobowiązana do wypełnienia obowiązku informacyjnego, określonego w art. 25 ust. 1 ustawy|
|o ochronie danych osobowych. |
|Za nieuzasadniony należy uznać zarzut skarżącego, że zaskarżona decyzja stoi w sprzeczności z postanowieniami Dyrektywy 2003/98/WE |
|Rady i Parlamentu Europejskiego z dnia 17 listopada 2003 r. w sprawie ponownego wykorzystywania informacji sektora publicznego. |
|Powyższy akt prawny nie ma zastosowania wprost do polskiego porządku prawnego, bowiem dyrektywy unijne są implementowane do porządku|
|prawnego państwa członkowskiego i dopiero wówczas wchodzą w życie w danym porządku prawnym. Powyższa dyrektywa nie jest przyjęta do |
|prawa polskiego i dopiero trwają prace nad jej implementacją (por. Założenia do projektu ustawy o ponownym wykorzystaniu informacji |
|publicznej z dnia 3 września 2009 r., opublikowane w bip.mswia.gov.pl/download.php?s=4&id=5366). |
|Wbrew zarzutom skargi należy uznać, że zaskarżona decyzja jest wykonalna. Spółka, budując własną bazę danych osobowych, posiada |
|dane, które zezwalają jej na wykonanie obowiązku informacyjnego wobec osób, które się w tej bazie znajdują, są tam bowiem imiona i |
|nazwiska osób oraz numery PESEL osób fizycznych, a także siedziba podmiotów gospodarczych, w których pełnią one funkcje. Nadto |
|Spółka może skorzystać z usług Centralnego Biura Adresowego. Fakt, że jest to duże przedsięwzięcie organizacyjne i dotyczy znacznej |
|liczby osób nie oznacza, że jest ono niewykonalne. Spółka, budując dużą bazę danych, musiała się liczyć z tym, że w stosunku do |
|takiej liczby osób będzie miała określone przepisami ustawy o ochronie danych osobowych obowiązki. |
|W ocenie Sądu, decyzje wydane przez Generalnego Inspektora Ochrony Danych Osobowych nie naruszają treści art. 18 ust. 1 ustawy o |
|ochronie danych osobowych. Dyspozycja w tym zakresie jest jasna. Spółka ma wykonać obowiązek informacyjny, określony w treści art. |
|25 ust. 1 przedmiotowej ustawy. Organ nie miał obowiązku wskazywać, w jaki konkretny sposób ma ten obowiązek wykonać. Sposób, w jaki|
|zostaną zawiadomione osoby, których dane osobowe znajdują się w bazie danych, jest pozostawiony Spółce, która powinna go dostosować |
|do posiadanych danych i swoich możliwości organizacyjnych. Wskazanie przez organ na konkretny sposób zawiadomienia, np. tylko pocztą|
|albo tylko drogą elektroniczną, nie miałoby uzasadnienia w charakterze sprawy, a nawet mogłoby doprowadzić do niewykonalności |
|decyzji. |
|Naczelny Sąd Administracyjny, po rozpoznaniu skargi kasacyjnej I. Sp. j. z siedzibą w W. od wyroku Wojewódzkiego Sądu |
|Administracyjnego w Warszawie z dnia 2 czerwca 2011 r., sygn. akt II SA/Wa 720/11 w sprawie ze skargi powyżej określonej Spółki na |
|decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] stycznia 2011 r. nr [...] w przedmiocie usunięcia uchybień w |
|przetwarzaniu danych osobowych, w dniu 24 stycznia 2013 r. wydał wyrok o sygn. akt I OSK 1827/11, którym uchylił zaskarżony wyrok i |
|przekazał sprawę do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie oraz zasądził od Generalnego Inspektora|
|Ochrony Danych Osobowych na rzecz Spółki kwotę 380 zł tytułem zwrotu kosztów postępowania kasacyjnego. |
|Naczelny Sąd Administracyjny w uzasadnieniu wyroku podał, co następuje: |
|W zaskarżonej decyzji organ swe rozstrzygnięcie oparł na art. 18 ust. 1 pkt 1 ustawy o ochronie danych osobowych, nakazując Spółce |
|usunięcie uchybień w procesie przetwarzania danych osobowych przez m.in. dopełnienie wobec osób, których dane pochodzą ze źródeł |
|powszechnie dostępnych (Monitor Sądowy i Monitor Gospodarczy), a które zostały zebrane i utrwalone przez ww. administratora danych, |
|obowiązku informacyjnego, o którym mowa w art. 25 ust. 1 powołanej ustawy. Zauważyć należy, iż art. 18 ust. 1 zawiera cały szereg |
|sankcji, które ustawodawca wyraźnie różnicuje, stopniując ich rodzaj i zakres. |
|Prawidłowe zastosowanie tych sankcji wymaga więc przeprowadzenia postępowania wyjaśniającego, spełniającego wymogi kodeksowe, |
|zamieszczone w przepisach art. 7 i art. 77 Kpa, jak również uwzględniającego regulacje materialnoprawne, z których wynika |
|konieczność umiejętnego stopniowania sankcji. |
|Stosując nakazy, Generalny Inspektor Ochrony Danych Osobowych powinien uwzględniać wynikający także z konkretnego stanu faktycznego |
|charakter stwierdzonego naruszenia. Zastosowana sankcja administracyjna powinna być adekwatna, współmierna do stopnia naruszenia |
|prawa, a także winna uwzględniać zagrożenie praw osoby, której dane dotyczą (art. 23 ust. 1 pkt 5 i art. 26 ust. 1 pkt 1, 2 i 3 |
|ustawy). |
|W doktrynie oprócz tego wyraża się pogląd, iż decyzje Generalnego Inspektora powinny być podejmowane rozważnie, tak aby osiągnąć |
|zamierzony cel (stan zgodności z prawem) środkami możliwie jak najmniej dotkliwymi (uciążliwymi) dla adresata decyzji (G. Sibiga, |
|Postępowanie w sprawach ochrony danych osobowych, Warszawa 2003, s. 153, J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych |
|osobowych. Komentarz, wyd. 5, Lex a Wolters Kluwer Business, Warszawa 2011, s. 430 i 431). |
|Podzielając powyższe poglądy, Naczelny Sąd Administracyjny zauważył, iż rozstrzygnięcia organu w tej sprawie nie spełniają |
|powyższych kryteriów. |
|Z ustaleń dokonanych przez organ wynika, iż skarżąca Spółka w ramach prowadzonej działalności komercyjnej świadczenia usług, |
|polegających na udzielaniu informacji, przetwarza dane o osobach prawnych oraz jednostkach organizacyjnych nieposiadających |
|osobowości prawnej, których dane są ujawnione w Krajowym Rejestrze Sądowym (Monitor Sądowy i Gospodarczy). W zbiorach tych znajdują |
|się również dane osobowe osób fizycznych w zakresie: imię, nazwisko, nr PESEL, pełniona funkcja, rok urodzenia. Monitory Sądowy i |
|Gospodarczy nie zawierają danych o adresach osób fizycznych. |
|Zasadnie skarżąca Spółka podważa w tej sytuacji nałożenie przez organ ogólnie obowiązku spełnienia obowiązku informacyjnego, bez |
|wskazania, w jaki sposób i jakimi środkami administrator danych winien je uzyskać. |
|Stwierdzić należy, iż ani z materiałów postępowania wyjaśniającego, ani z uzasadnienia decyzji nie wynika, aby organ rozważał, a |
|następnie oceniał, czy zakres przetwarzania danych przez Spółkę był adekwatny do celów, w jakich były one przetwarzane, zwłaszcza w |
|kontekście zagrożenia interesów osób fizycznych, gdyż tylko z takich względów ustawodawca wprowadził w art. 25 ust. 1 obowiązek |
|informacyjny. Brak jest także materiałów pozwalających przyjąć, iż organ rozważał możliwość zastosowania innych środków, adekwatnych|
|do stwierdzonych uchybień, a pozwalających usunąć stan sprzeczny z prawem przy użyciu środków mniej uciążliwych dla skarżącej |
|Spółki. Tak ogólne sformułowanie obowiązku informacyjnego mogło być rozumiane przez skarżącą jako prowadzące do uzupełnienia danych |
|osobowych (art. 18 ust. 1 pkt 2 ustawy) o adresy osób fizycznych. Poszerzenie bazy danych osobowych o adresy osób fizycznych, przy |
|przesłance legalizacyjnej z art. 23 ust. 1 pkt 5 ustawy, stwarzałoby niebezpieczeństwo konfliktu z celem przetwarzania danych, a |
|nadto mogłoby godzić w dobro osób, których dane te dotyczą. Powyższe niebezpieczeństwo jawi się jako realne w świetle stanowiska |
|Wojewódzkiego Sądu Administracyjnego, wyrażonego w zaskarżonym wyroku, a dopuszczającego możliwość skorzystania przez administratora|
|danych osobowych z usług Centralnego Biura Adresowego. Tym samym realizacja obowiązku prowadziłaby do uzupełnienia danych osobowych |
|o adresy osób fizycznych. Niedostrzeżenie błędów organu oraz wadliwe sformułowanie wskazań dla organu oznacza, iż Sąd pierwszej |
|instancji wadliwie wykonał obowiązek kontroli legalności, a zarzuty skargi kasacyjnej naruszenia wskazanych wyżej przepisów ustawy -|
|Prawo o postępowaniu przed sądami administracyjnymi, Kpa oraz art. 18 ust. 1 pkt 1 i 2 przedmiotowej ustawy należy uznać za |
|usprawiedliwione. |
|Pozostałe zarzuty naruszenia przepisów postępowania zostały sformułowane w ten sposób, że zarzut naruszenia przepisów proceduralnych|
|przedstawia się jako wynik wadliwego zastosowania prawa materialnego, a ponadto postawiono także zarzut naruszenia przepisów prawa |
|materialnego w rozumieniu podstawy z art. 174 pkt 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami |
|administracyjnymi (Dz. U. z 2012 r., poz. 270 z późn. zm.). |
|Zarzuty te Sąd odwoławczy uznał częściowo za przedwczesne, jednocześnie w pewnym zakresie, usprawiedliwionym dotychczasowymi |
|ustaleniami, nie podzielił argumentacji skarżącej Spółki. |
|Wskazany jako naruszony przepis art. 25 ust. 2 pkt 1 ustawy o ochronie danych osobowych został w zarzucie powiązany z przepisami |
|art. 8 i art. 13 ustawy z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym. Przepis art. 25 ustawy o ochronie danych osobowych |
|reguluje powinność administratora danych w sytuacji zbierania danych osobowych nie od osoby, której one dotyczą. Ma on wówczas |
|obowiązek powiadomić tę osobę o adresie siedziby i pełnej nazwie lub imieniu i nazwisku oraz miejscu zamieszkania, gdy |
|administratorem jest osoba fizyczna, celu i zakresie zbierania danych oraz odbiorcach, źródle, prawie dostępu do treści swoich |
|danych oraz ich poprawiania i o uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8. |
|Obowiązki te są wyłączone jeżeli przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której |
|dane dotyczą (art. 25 ust. 1 pkt 1 ustawy). |
|Spółka, powołując się na art. 8 i art. 13 ustawy o KRS, wywodzi, iż zawarta w nich treść normatywna odpowiada przesłankom |
|wyłączającym obowiązek informacyjny. |
|Przyjmując argumentację WSA i organu, że art. 8 ust. 1 i 2 ustawy o KRS statuuje zasadę jawności danych zawartych w Rejestrze, prawo|
|każdego dostępu do danych zawartych w Rejestrze za pośrednictwem Centralnej Informacji oraz obowiązek upublicznienia wpisów przez |
|ogłoszenie ich w Monitorze Sądowym i Gospodarczym, skarżąca Spółka podważa jednocześnie takie rozumienie przepisów obu ustaw, |
|zaprezentowane zarówno w decyzji, jak i w uzasadnieniu zaskarżonego wyroku, które akcentuje konieczność ścisłej interpretacji tych |
|przepisów. |
|Przypomnieć należy, uznając je jednocześnie za trafne, stanowisko organu, że dane dotyczące osób fizycznych, wpisane do KRS, są |
|danymi osobowymi, a zasady ich przetwarzania, jak: zbieranie, przekazywanie, utrwalanie, udostępnianie i zmienianie, w sposób |
|kompletny reguluje ustawa z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym. |
|Ustawa ta w sposób ścisły wskazuje równocześnie zakres danych osobowych, dotyczących osób fizycznych, wpisanych do Rejestru, które |
|muszą ograniczać się tylko do nazwiska, imienia oraz identyfikatora nadanego w systemie ewidencji ludności, zwanego "numerem PESEL".|
|Wspomniany numer identyfikacyjny, składający się z 11 cyfr, określa każdą osobę fizyczną, przy czym, co jest także istotne w tej |
|sprawie, cztery pierwsze cyfry oznaczają dokładną datę urodzenia w kolejności: data roczna, miesięczna oraz dzienna. W połączeniu z |
|nazwiskiem i imionami powyższe dane odpowiadają pojęciu danych osobowych, zdefiniowanych w art. 6 ust. 1 i 2 ustawy o ochronie |
|danych osobowych. |
|W myśl tych przepisów za dane osobowe uważa się wszelkie informacje, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania |
|osoby fizycznej (ust. 1). Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio w|
|szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy |
|fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (ust. 2). Zauważyć należy, iż powyższa definicja stanowi |
|implementację definicji, zawartej w art. 2 pkt a Dyrektywy 95/46 WE Parlamentu Europejskiego i Rady. |
|Zwrócić należy uwagę, że zgodnie z art. 39 pkt 1 ustawy o KRS w zakresie danych dotyczących reprezentacji podmiotów gospodarczych |
|zamieszcza się oznaczenie organu uprawnionego do reprezentowania podmiotu oraz osób wchodzących w jego skład, ze wskazaniem sposobu |
|reprezentacji. |
|Zakres danych osobowych, wynikających z przepisów ustawy o Krajowym Rejestrze Sądowym, odpowiada celowi, w jakim został utworzony, a|
|którym jest zapewnienie jawności i pewności obrotu gospodarczego. |
|Na ten cel zasadnie zwrócił uwagę Sąd pierwszej instancji, jak również skarżąca Spółka, stwierdzając, że art. 8 ustawy o KRS nie |
|upoważnia do przetwarzania danych osobowych zawartych w KRS w dowolnych celach (s. 9 skargi kasacyjnej). Spółka wywodzi jednakże, że|
|czyni to w tych samych co KRS celach "co tym samym zwalnia ją z obowiązku informacyjnego". |
|Chociaż z tym twierdzeniem nie można się zgodzić w świetle ustaleń kontroli i wyjaśnień wspólników i pracowników Spółki, na które to|
|ustalenia powołuje się organ w uzasadnieniu decyzji, a przyjął je za prawidłowe Sąd, to należy uznać, iż nakładając na Spółkę nakaz |
|dopełnienia wobec osób, których dane pochodzą ze źródeł powszechnie dostępnych (Monitor Sądowy i Gospodarczy), a które zostały |
|zebrane i utrwalone przez Spółkę, obowiązku informacyjnego, o którym mowa w art. 25 ust. 1 ustawy o ochronie danych osobowych, Sąd |
|pierwszej instancji nie rozważył i nie uwzględnił w sposób należyty celu, w jakim Spółka ta przetwarzała dane osobowe, ich zakresu a|
|w związku z tym zastosowania odpowiedniego środka przewidzianego w art. 18 ust. 1 przedmiotowej ustawy. |
|Zwrócić należy uwagę na to, że organ w uzasadnieniu decyzji z dnia [...] stycznia 2011 r. powołał się na art. 23 ust. 1 pkt 5 ustawy o|
|ochronie danych osobowych jako przesłankę legalizującą przetwarzanie danych osobowych. |
|Przepis ten dopuszcza przetwarzanie danych tylko wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów, |
|realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane |
|dotyczą. |
|Cel, w jakim Spółka przetwarza dane osobowe, nie może być utożsamiany z tym, jakiemu służy Rejestr KRS. |
|W stosunkach umownych cel przetwarzania danych osobowych wynika najczęściej z treści umowy, jednakże w razie wątpliwości cel |
|powinien być m.in. zgodny z przedmiotem działalności przedsiębiorstwa (A. Mednis, Obowiązki podmiotów prywatnych wykorzystujących |
|dane osobowe, Monitor Prawniczy, 1998, nr 8, s. 293). |
|Posługując się tym kryterium, należy odwołać się do rodzaju działalności Spółki wpisanej do KRS, określonej jako działalność w |
|zakresie oprogramowania, doradztwa w zakresie prowadzenia działalności gospodarczej i zarządzania oraz działalność związana z bazami|
|danych. Powyższe potwierdzają wyniki kontroli, na które powołuje się organ, a co zaakceptował Sąd, iż Spółka prowadzi działalność |
|świadczenia odpłatnie usług z zakresu informacji gospodarczej ze źródeł powszechnie dostępnych (Monitory Sądowy i Gospodarczy) |
|osobom zainteresowanym, a usługa ta jest udostępniana za pomocą publicznej sieci Internet. W związku z tą działalnością przetwarza |
|dane osobowe osób fizycznych, ujawnione w Rejestrze jak imię, nazwisko, numer PESEL, pełnione funkcje, rok urodzenia. |
|Należy zgodzić się z oceną organu i Sądu, iż cele przetwarzania danych objętych KRS, a ujawnionych w Monitorze Sądowym i |
|Gospodarczym, nie są tożsame z celami komercyjnymi, dla których dane te przetwarza (zbiera, utrwala, udostępnia itd.) skarżąca |
|Spółka. |
|Rozważenia zatem wymagało, czy dla prowadzenia działalności gospodarczej o charakterze komercyjnym (co nie budzi wątpliwości w |
|świetle ustaleń organu) zakres przetwarzania danych osobowych przez Spółkę jest zgodny z usprawiedliwionym celem, realizowanym przez|
|administratora danych. Jawność i powszechna dostępność danych z Rejestru KRS oraz cel, jaki realizuje tą drogą ustawodawca, |
|determinuje rodzaj i zakres przetwarzania danych osobowych osób fizycznych. Ustawa ogranicza je tylko do danych dotyczących imienia,|
|nazwiska, pełnionej w podmiotach funkcji oraz numeru identyfikacyjnego PESEL. Są to zatem dane wiążące się ściśle ze sferą obrotu |
|gospodarczego, zaś poza ww. danymi identyfikacyjnymi Rejestr nie pozwala na ujawnienie innych, bardziej szczegółowych danych dot. |
|osób fizycznych, jak np. miejsce zamieszkania. Oznacza to, że dla powszechnie dostępnych celów informacyjnych nie jest dopuszczalne |
|ujawnianie adresu, miejsca zamieszkania osób fizycznych (członków zarządu, wspólników), co można tłumaczyć ochroną sfery prywatnej |
|tych osób. Pozostaje to w zgodzie z konstytucyjną zasadą prawa jednostki do zachowania w tajemnicy informacji dotyczącej własnej |
|osoby. |
|W art. 51 ust. 1 Konstytucja Rzeczypospolitej Polskiej gwarantuje obywatelom, że nikt nie może być obowiązany inaczej niż na |
|podstawie ustawy do ujawnienia informacji dotyczącej jego osoby. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać |
|innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym (ust. 2), zaś zasady i tryb określać może tylko |
|ustawa (ust. 5). Realizacja tej zasady znalazła odzwierciedlenie w art. 26 ustawy o ochronie danych osobowych, który nakłada na |
|administratora danych obowiązek dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w |
|szczególności obowiązany jest zapewnić, aby dane te były przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem |
|celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, merytorycznie poprawne i adekwatne w stosunku do celów, w |
|jakich są przetwarzane. Powyższy przepis odpowiada wymaganiom, zawartym w art. 6 ust. 1 pkt a, b, c. d Dyrektywy 95/46 WE, wśród |
|których znalazł się wymóg gromadzenia danych do określonych, jednoznacznych i legalnych celów oraz zakaz niepodawania dalszemu |
|przetwarzaniu w sposób niezgodny z tym celem (b), merytorycznej poprawności, stosowności oraz wymóg aby były nienadmierne ilościowo |
|w stosunku do celów, dla których zostały zgromadzone i/lub dalej przetworzone (c). |
|Konieczność respektowania tych przepisów przez organ nadzoru nakłada na niego obowiązek ustalenia i rozważenia, czy zakres |
|przetworzenia danych osób fizycznych przez Spółkę był adekwatny do realizowanych przez nią celów, a w szczególności czy adekwatne |
|byłoby przetwarzanie oprócz takich danych jak rok urodzenia, PESEL jeszcze danych dotyczących adresu osób fizycznych. Przeprowadzone|
|postępowanie nie wyjaśniło w jakim zakresie, wysyłając informację do odbiorców danych (klientów Spółki), przekazuje ona dane osobowe|
|ww. osób i w jakich celach. |
|Konieczność uzupełnienia postępowania w tym kierunku wiąże się z omówionymi wcześniej zasadnymi zarzutami naruszenia przepisów |
|postępowania w sposób mający istotny wpływ na wynik sprawy. |
|Ustawowy wymóg ochrony interesów osób, których dane dotyczą nakłada na organ, jak również sąd administracyjny wykonujący kontrolę, |
|obowiązek czuwania, aby zakres przetwarzania nie wkraczał w sferę prywatną, jak również, aby dane te odpowiadały przesłance |
|adekwatności, a także pozostawały w zgodzie z zasadą proporcjonalności, uregulowaną w art. 31 Konstytucji. |
|W takiej sytuacji jak w przedmiotowej sprawie nie można zatem rozważać możliwości uzupełnienia danych osobowych o adresy osób |
|fizycznych, zwłaszcza w drodze ich poszukiwania w CBA, lecz jak wyżej wskazano należy dążyć do ograniczenia ich w zakresie |
|dostosowanym do celu działalności Spółki oraz ochrony interesów osób, których dotyczą. |
|Jeżeli dane uzyskane w wyniku uzupełnionego postępowania wyjaśniającego będą uzasadniały zastosowanie przepisu art. 25 ust. 1 |
|ustawy, organ winien rozważyć możliwość ograniczenia obowiązku informacyjnego. Należy zważyć, iż przepis art. 42 ust. 1 Kpa jako |
|równoważne uznaje doręczanie pism osobom fizycznym w ich mieszkaniu lub miejscu pracy. W takiej sytuacji konkretyzacja nakazu |
|uwzględniałaby z jednej strony ochronę danych osób pełniących funkcje w podmiotach gospodarczych, z drugiej byłaby mniej dotkliwa |
|niż wykonanie tego obowiązku w sposób wskazany przez Sąd, tj. ustalanie adresu (miejsca zamieszkania) za pośrednictwem Centralnego |
|Biura Adresowego. Dodać należy, iż taki sposób realizacji obowiązku, bez zastosowania odpowiednich środków zabezpieczających, |
|stwarzałby niebezpieczeństwo poszerzenia zakresu przetwarzanych danych osobowych osób fizycznych, pozostając w konflikcie z |
|obowiązkami organu, wynikającymi z przepisów art. 25 ust. 1 pkt 5 i art. 26 ust. 1 ustawy o ochronie danych osobowych. |
|Należy zauważyć, że w toku postępowania wyjaśniającego organ nie rozważał okoliczności wiążących się z sygnalizowanymi przez Spółkę |
|trudnościami w realizacji nakazu. Wynikało to m.in. stąd, że zarzuty w tym zakresie zostały sformułowane przez Spółkę dopiero przy |
|okazji wniosku o wstrzymanie wykonania zaskarżonej decyzji. W uzasadnieniu zaskarżonego wyroku Sąd ocenił to jako duże |
|przedsięwzięcie, lecz jego rozmiary, skala trudności, nakłady oraz konsekwencje pozostały poza ramami postępowania |
|administracyjnego. Zachodzi więc konieczność uzupełnienia postępowania administracyjnego, a w razie ustalenia, że skarżącą obciąża |
|obowiązek informacyjny odniesienia się także do możliwości jego nałożenia w kontekście zastosowania prounijnej wykładni przepisów |
|prawa (art. 11 ust. 2 Dyrektywy 95/46 WE Parlamentu Europejskiego i Rady). |
|Z uwagi na opisane wyżej mankamenty postępowania wyjaśniającego Naczelny Sąd Administracyjny nie mógł rozpoznać w pełni zarzutów |
|naruszenia przepisów prawa materialnego, uznając je w takiej sytuacji za przedwczesne; za przedwczesne należało także uznać |
|wystąpienie z pytaniem do Trybunału Sprawiedliwości Unii Europejskiej. |
|W uzasadnieniu decyzji z [...] stycznia 2011 r. organ, odnosząc się do wniosku skarżącej o umorzenie postępowania wobec wykonania |
|nakazów wymienionych w pkt 2–6 decyzji i nie uwzględniając tego wniosku, stwierdził, że rozstrzygnięcie zawarte w zaskarżonej |
|decyzji jest prawidłowe pod względem zgodności z prawem i celowości. |
|Stanowisko to jest błędne, bowiem rozstrzygając sprawę z wniosku w trybie art. 127 § 3 k.p.a. organ nie ocenia legalności swej |
|poprzedniej decyzji, lecz ponownie rozpoznaje sprawę w jej całokształcie. |
|Oznacza to, że jeżeli strona wykonała nałożone na nią nakazy, organ obowiązany jest, po potwierdzeniu tego, wobec zmiany stanu |
|faktycznego, wydać decyzję na podstawie art. 138 § 1 pkt 2 Kpa., tj. uchylającą decyzję w tej części i umarzającą postępowanie |
|administracyjne w tym zakresie. |
|Podobny pogląd wyrażono w cytowanym wcześniej Komentarzu do ustawy o ochronie danych osobowych (s. 431), w którym stwierdzono, że |
|stan naruszenia przepisów ustawy o ochronie danych osobowych powinien istnieć w dacie wydania decyzji. Jeżeli w trakcie wszczętego |
|postępowania nieprawidłowości zostaną usunięte postępowanie staje się bezprzedmiotowe, a organ wydaje decyzję o jego umorzeniu na |
|podstawie art. 105 § 1 k.p.a. |
|Jest oczywiste, że stosowanie art. 105 § 1 k.p.a. w postępowaniu prowadzonym na podstawie art. 127 § 3 k.p.a. następuje w zw. z art.|
|138 § 1 pkt 2 Kpa. |
|Wojewódzki Sąd Administracyjny w Warszawie, po rozpoznaniu na rozprawie sprawy ze skargi I. Sp. j. z siedzibą w W. na decyzję |
|Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] stycznia 2011 r. nr [...] w przedmiocie usunięcia uchybień w przetwarzaniu |
|danych osobowych, w dniu 24 kwietnia 2013 r. wydał wyrok o sygn. akt II SA/Wa 507/13, którym uchylił zaskarżoną decyzję i określił, |
|że nie podlega ona wykonaniu w całości. |
|Sąd w uzasadnieniu wyroku podkreślił, że Naczelny Sąd Administracyjny wskazał, że organ, rozpoznając sprawę, naruszył art. 7 i art. |
|77 Kpa poprzez niezgromadzenie niezbędnego do wydania decyzji materiału dowodowego, a w konsekwencji nieprawidłowo zastosował art. |
|18 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.). Prawidłowe |
|zastosowanie sankcji wymienionych w tym przepisie wymaga przeprowadzenia postępowania wyjaśniającego, spełniającego wymogi |
|kodeksowe, zamieszczone w art. 7 i art. 77 Kpa, jak również uwzględniającego regulacje materialnoprawne, z których wynika |
|konieczność umiejętnego stopniowania sankcji. W rozpoznawanej sprawie organ nie wyjaśnił, dlaczego zastosował sankcję wskazaną w |
|ustawie. Naczelny Sąd Administracyjny podkreślił, że Generalny Inspektor Ochrony Danych Osobowych powinien uwzględniać przy |
|stosowaniu sankcji stan faktyczny sprawy i charakter naruszenia. Zastosowana sankcja powinna być adekwatna, współmierna do stopnia |
|naruszenia prawa, a także powinna uwzględniać zagrożenie praw osoby, której dane dotyczą (art. 23 ust. 1 pkt 5 i art. 26 ust. 1 pkt |
|1-3 przedmiotowej ustawy). |
|Z materiałów postępowania wyjaśniającego rozpoznawanej sprawy, jak i z uzasadnienia decyzji, nie wynika, by organ rozważał, a |
|następnie ocenił, czy zakres przetwarzania danych przez Spółkę był adekwatny do celów, w jakich były one przetwarzane, zwłaszcza w |
|kontekście zagrożenia interesów osób fizycznych i wprowadzenia w art. 25 ust. 1 ustawy obowiązku ich informowania (obowiązek |
|informacyjny). Brak jest zatem możliwości oceny, czy organ rozważał możliwość zastosowania innych środków, adekwatnych do |
|stwierdzonych uchybień, a pozwalających usunąć stan sprzeczny z prawem przy użyciu środków mniej uciążliwych dla Spółki. |
|Rozpoznając wniosek o ponowne rozpatrzenie sprawy, Generalny Inspektor Ochrony Danych Osobowych zobowiązany jest do wyjaśnienia, czy|
|i jakie środki, przewidziane w art. 18 ust. 1 przedmiotowej ustawy, należy zastosować, a zajęte stanowisko powinno znaleźć |
|odzwierciedlenie w uzasadnieniu decyzji. Co więcej, w zaskarżonej decyzji organ, odnosząc się do wniosku Spółki o umorzenie |
|postępowania wobec wykonania prze nią nakazów wymienionych w pkt 2-6 decyzji z dnia [...] września 2010 r., nie uwzględniając tego |
|wniosku, stwierdził, że rozstrzygnięcie zawarte w zaskarżonej decyzji jest prawidłowe, zgodne z prawem i celowe, podczas gdy jest |
|ono błędne, gdyż na podstawie art. 127 § 3 Kpa organ nie ocenia legalności decyzji poprzedzającej, lecz ponownie rozpoznaje sprawę, |
|co oznacza, że jeżeli strona wykonała nałożone na nią obowiązki, to zmiana stanu faktycznego powoduje po stronie organu obowiązek |
|wydania decyzji na podstawie art. 138 § 1 pkt 2 Kpa. |
|Generalny Inspektor Ochrony Danych Osobowych, działając na podstawie art. 138 § 1 pkt 1 i 2 ustawy z dnia 14 czerwca 1960 r. - |
|Kodeks postępowania administracyjnego (Dz. U. z 2013 r., poz. 267) oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1 i art. 22 w zw. z art. |
|23 ust. 1 pkt 1, art. 25 ust. 1, art. 36 ust. 2, art. 37, art. 39 i art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych |
|osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie wniosku |
|pełnomocnika I. Sp. j. z siedzibą w W. przy ul. [...] o ponowne rozpatrzenie sprawy zakończonej decyzją Generalnego Inspektora Ochrony|
|Danych Osobowych z dnia [...] września 2010 r. nr [...], nakazującą usunięcie uchybień w procesie przetwarzania danych osobowych przez |
|Spółkę, w dniu [...] listopada 2013 r. wydał decyzję nr [...], którą: |
|I. uchylił pkt I. ppkt 2 - 6 zaskarżonej decyzji i umorzył postępowanie w tym zakresie, tj. w części dotyczącej: |
|1) zgłoszenia do rejestracji zbioru danych osobowych klientów, właścicieli adresów poczty elektronicznej, |
|2) zapewnienia użytkownikom serwisu Spółki możliwości swobodnego wyrażania zgody na przetwarzanie ich danych osobowych w celach |
|marketingowych, |
|3) opracowania dokumentacji stanowiącej politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do |
|przetwarzania danych osobowych, |
|4) nadania upoważnień do przetwarzania danych osobowych osobom dopuszczonym do przetwarzania danych osobowych, |
|5) opracowania ewidencji osób upoważnionych do przetwarzania danych osobowych. |
|II. w pozostałym zakresie utrzymał w mocy decyzje poprzedzającą. |
| |
| |
|Organ w uzasadnieniu decyzji podał, co następuje: |
|Generalny Inspektor Ochrony Danych Osobowych może w drodze decyzji administracyjnej nakładać nakazy bądź zakazy, których zasadniczą |
|rolą jest przywrócenie stanu zgodnego z prawem. |
|Zgodnie z art. 25 ust. 1 ustawy o ochronie danych osobowych, w przypadku zbierania danych osobowych nie od osoby, której one |
|dotyczą, administrator danych jest obowiązany poinformować te osobę, bezpośrednio po utrwaleniu zebranych danych. |
|Spółka prowadzi działalność w zakresie świadczenia usług odpłatnego udzielania informacji gospodarczej pochodzących ze źródeł |
|powszechnie dostępnych, tj. z Monitora Sądowego i Monitora Gospodarczego, osobom zainteresowanym. Usługa ta jest świadczona za |
|pośrednictwem publicznej sieci Internetu. |
|Przedmiotowa ustawa nie zakazuje tworzenia odrębnych zbiorów na podstawie źródeł powszechnie dostępnych, jednakże zbiory te |
|podlegają przepisom tej ustawy. |
|Spółka powinna posiadać legitymację do przetwarzania danych osobowych, które zostały ujawnione w Krajowym Rejestrze Sądowym i taką |
|przesłanką może być ta, która została określona w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, zezwalająca na |
|przetwarzanie danych osobowych tylko wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów, realizowanych |
|przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której te dane dotyczą. Brak |
|jest zatem podstaw do zwolnienia Spółki z tego obowiązku. |
|Niedopełnienie przez Spółkę obowiązku informacyjnego pozbawia osoby których dane dotyczą podstawowego ich prawa, tzn. informacji, że|
|ich dane są przetwarzane i nie narusza to ich praw i wolności. |
|Zgodnie z art. 5 Dyrektywy 95/46/WE, Państwa Członkowskie określają w granicach przepisów, zawartych w niniejszym rozdziale, |
|bardziej szczegółowe warunki ustalania legalności przetwarzania danych osobowych. Ustawa o ochronie danych osobowych nie wykracza w |
|istocie poza generalne, merytoryczne granice w niej określone. |
|Reasumując, należy stwierdzić, że Spółka jest zobowiązana do dopełnienia obowiązku, wynikającego z art. 25 ust. 1 przedmiotowej |
|ustawy i brak jest podstaw do jej zwolnienia z tego obowiązku. |
|Generalny Inspektor Ochrony Danych Osobowych, nakazując Spółce spełnienie obowiązku informacyjnego, przeanalizował i rozważył |
|interesy stron i zastosował środki adekwatne i proporcjonalne w ustalonym stanie faktycznym i prawnym. |
|W ocenie organu Spółka usunęła stwierdzone wcześniej pozostałe uchybienia oraz przywróciła stan zgodny z prawem i z tego względu w |
|tym zakresie postępowanie należało umorzyć na podstawie art. 105 § 1 Kpa, gdyż stało się ono bezprzedmiotowe. |
|Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2013 r. stała sie przedmiotem skargi, wniesionej przez |
|I. Sp. j. z siedzibą w W. do Wojewódzkiego Sądu Administracyjnego w Warszawie. |
|Spółka zarzuciła organowi, że wydał decyzję z naruszeniem przepisów prawa materialnego oraz przepisów postępowania, powodujących |
|bezwzględną nieważność zaskarżonej decyzji, tj.: |
|1) art. 18 ust. 1 ustawy o ochronie danych osobowych w zw. z art. 25 ust. 1, art. 23 ust. 1 pkt 5, art. 26 ust. 1 pkt 2 i 3 tej |
|ustawy oraz art. 1 ust. 2 powołanej ustawy, poprzez przyjęcie, że art. 25 ust. 1 przedmiotowej ustawy nakłada na administratora |
|danych obowiązek informacyjny, nawet jeżeli jego zrealizowanie: |
|- powoduje konieczność pozyskania danych osobowych o adresach osób fizycznych, których dane związane są ze sprawowaniem funkcji w |
|jednostkach organizacyjnych lub osobach prawnych pochodzących ze źródeł powszechnie dostępnych zostały zebrane i utrwalone przez |
|Spółkę, podczas gdy obowiązujące przepisy prawa nie stwarzają bezwzględnej podstawy udostępnienia Spółce adresów tych osób, a tym |
|samym wykonanie tego obowiązku jest prawnie oraz technicznie niewykonalne, a niewykonalność ta ma charakter trwały; |
|- stwarza istotne niebezpieczeństwo przetwarzanie przez Spółkę danych osobowych niezgodnie z przepisami przedmiotowej ustawy (art. |
|26 ust. 1 pkt 2 i 3 ustawy), a nadto powoduje zagrożenie dla praw i wolności (dobra) osób, których te dane dotyczą, co powoduje, że |
|przetwarzanie tych danych osobowych naraziłoby Spółkę na odpowiedzialność karną, która wynika z art. 49 ust. 1 ustawy o ochronie |
|danych osobowych, gdyż jako naruszające prawa i wolności osób jest niedopuszczalne, tj. niezgodne z art. 23 ust. 1 pkt 5 powołanej |
|ustawy, co powoduje, że zaskarżona decyzja jest dotknięta wadą bezwzględnej nieważności, albowiem: |
|- decyzja była niewykonalna w dniu jej wydania, a jej niewykonalność ma charakter trwały (art. 156 § 1 pkt 5 Kpa), gdyż |
|zrealizowanie nakazu nałożonego na Spółkę zaskarżoną decyzją powoduje konieczność poszerzenia przez nią przetwarzanego zbioru danych|
|o prywatne adresy osób fizycznych, a obowiązujące przepisy nie pozwalają na udostępnienie Spółce takich danych osobowych; |
|- wykonanie zaskarżonej decyzji powodowałoby czyn zagrożony karą (art. 156 § 1 pkt 6 Kpa), gdyż zrealizowanie nakazu w niej |
|zawartego spowodowałoby dla Spółki niebezpieczeństwo przetwarzania danych osobowych niezgodnie z przepisami ustawy i powodujące dla |
|osób, których dane osobowe są przetwarzane zagrożenie dla ich praw i wolności, a dla Spółki zagrożenie poniesienia |
|odpowiedzialności karnej, przewidzianej w art. 49 ust. przedmiotowej ustawy (art. 23 ust. 1 pkt 5 ustawy); |
|2) art. 25 ust. 1 przedmiotowej ustawy w zw. z art. 11 ust. 2 Dyrektywy 95/46/WE w sprawie ochrony osób fizycznych w zakresie |
|przetwarzania danych osobowych i swobodnego przepływu tych osób (Dz. U. UE.L.95.281.31) oraz w zw. z art. 91 Konstytucji RP oraz |
|art. 288 Traktatu o funkcjonowaniu Unii Europejskiej (Dz. U. z 2004 r. Nr 90, poz. 864), poprzez przyjęcie, ze art. 25 ust. 1 |
|ustawy, nakłada na administratora danych obowiązek informacyjny, nawet jeżeli jego zrealizowanie wymaga niewspółmiernie dużego |
|wysiłku tego podmiotu w rozumieniu art. 11 ust. 2 powyżej określonej dyrektywy; |
|3) naruszenie przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy, tj.: |
|- art. 153 ustawy - Prawo o postępowaniu prze sądami administracyjnymi w zw. z art. 6-8 Kpa, w stopniu mającym istotny wpływ na |
|wynik sprawy, przez niewykonanie wskazań zawartych w wyroku WSA w Warszawie z dnia 24 kwietnia 2013 r., sygn. akt II SA/Wa 507/13 |
|(...); |
|- art. 18 ustawy o ochronie danych osobowych w zw. z art. 1 ust. 2 tej ustawy oraz art. 7, art. 77 Kpa w zw. z art. 31 ust. 3 |
|Konstytucji RP, w stopniu mającym istotny wpływ na wynik sprawy, polegające na przeprowadzeniu postępowania z naruszeniem zasady |
|proporcjonalności oraz adekwatności (brak należytego wyważenia interesu społecznego i słusznego interesu obywatela przez organ przy |
|załatwieniu sprawy zgodnie z art. 7 Kpa), co doprowadziło do błędnego zastosowania art. 18 oraz art. 25 przedmiotowej ustawy, |
|polegającego na nałożeniu na Spółkę nakazu dopełnienia przez nią obowiązku informacyjnego wobec osób, których dane pochodzące ze |
|źródeł powszechnie dostępnych zostały zebrane i utrwalone prze Spółkę, pomimo tego, że ten pozostaje w całkowitej dysproporcji do |
|stopnia ewentualnych uchybień zarzucanych Spółce oraz pomimo, tego, że nałożenie na Spółkę tego nakazu prowadzi do zmniejszenia, a |
|nie zwiększenia ochrony praw osób, których dane dotyczą; |
|- art. 107 § 3 Kpa poprzez sporządzenie uzasadnienia decyzji niezawierającego dostatecznego wskazania i wyjaśnienia podstawy prawnej|
|i faktycznej rozstrzygnięcia, uniemożliwiające należyte wywiedzenie zarzutów skargi w zakresie naruszenia przez organ przepisów |
|prawa oraz kontrolę sądową rozstrzygnięcia. |
|Podnosząc powyższe zarzuty, pełnomocnik Spółki wniósł o stwierdzenie nieważności decyzji w zaskarżonej części, ewentualnie o jej |
|uchylenie w zaskarżonej części. Ponadto pełnomocnik Spółki wniósł o wstrzymanie wykonalności zaskarżonej decyzji oraz o zasądzenie |
|kosztów postępowania. |
|Generalny Inspektor Ochrony Danych Osobowych wniósł o oddalenie skargi i podtrzymał stanowisko przedstawione w uzasadnieniu |
|zaskarżonej decyzji oraz odniósł sie do zarzutów podniesionych w skardze, odmawiając im zasadności. Organ, odnosząc sie do zarzutu |
|naruszenia art. 153 Kpa, tzn. obowiązku podporządkowania się ocenie prawnej zawartej w uzasadnieniu w wyroku Wojewódzkiego Sadu |
|Administracyjnego w Warszawie z dnia 24 kwietnia 2013 r., stwierdził, że nie uchybił temu obowiązkowi, bowiem uznał że najbardziej |
|adekwatnym do stwierdzonych uchybień i pozwalającym na usunięcie stanu sprzecznego z prawem przy użyciu środków najmniej uciążliwych|
|dla Spółki jest nakaz dopełnienia obowiązku informacyjnego, zaś sposób w jaki zostaną zawiadomione osoby, których dane osobowe są |
|przetwarzane jest pozostawiony Spółce, która ma możliwość dostosowania go do posiadanych danych i możliwości organizacyjnych. Organ |
|nie dostrzegł mniej dolegliwego oraz bardziej adekwatnego nakazu niż ten, który zastosował. |
|Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje: |
|Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 z późn. |
|zm.), sąd administracyjny sprawuje wymiar sprawiedliwości m.in. poprzez kontrolę działalności organów administracji publicznej pod |
|względem zgodności z prawem. |
|Stosownie do art. 190 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2012 r., |
|poz. 270 z późn. zm.), sąd, któremu sprawa została przekazana, związany jest wykładnią prawa, dokonaną w tej sprawie przez Naczelny |
|Sąd Administracyjny. |
|Sąd pierwszej instancji przy ponownym rozpoznaniu sprawy związany jest wykładnią dokonaną przez Naczelny Sąd Administracyjny zarówno|
|w zakresie prawa materialnego, jak i przepisów postępowania, przy czym ocena ustaleń faktycznych jest pochodną oceny wykładni (a w |
|konsekwencji zastosowania) przepisów postępowania. W tym sensie orzeczenie Naczelnego Sądu Administracyjnego może pośrednio wiązać |
|sąd pierwszej instancji przy ponownym rozpoznaniu sprawy co do oceny ustaleń faktycznych, dokonanych przez organy administracyjne. |
|Wojewódzki Sąd Administracyjny w Warszawie, wydając w dniu 24 kwietnia 2013 r. wyrok o sygn. akt II SA/Wa 507/13, był związany |
|wykładnią prawa, dokonaną przez Naczelny Sąd Administracyjny w uzasadnieniu wyroku z dnia 24 stycznia 2013 r., sygn. akt I OSK |
|1827/11. |
|Naczelny Sąd Administracyjny przesądził, że organ, rozpoznając sprawę, naruszył art. 7 i art. 77 Kpa poprzez niezgromadzenie |
|niezbędnego do wydania decyzji materiału dowodowego, a w konsekwencji nieprawidłowo zastosował art. 18 ust. 1 ustawy z dnia 29 |
|sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.). Prawidłowe zastosowanie sankcji |
|przewidzianych w tym przepisie wymaga bowiem przeprowadzenia postępowania wyjaśniającego, spełniającego warunki określone w art. 7 i|
|art. 77 Kpa i uwzględniającego regulacje materialnoprawne. Ponadto Naczelny Sąd Administracyjny stwierdził, że organ, rozstrzygając |
|sprawę w trybie art. 127 § 3 Kpa, nie ocenia legalności decyzji poprzedzającej, lecz ponownie rozpoznaje sprawę w jej całokształcie,|
|co oznacza, że jeżeli zostały wykonane nakazy organ obowiązany będzie, po potwierdzeniu tego, wobec zmiany stanu faktycznego, wydać |
|decyzję na podstawie art. 138 § 1 pkt 2 Kpa. |
|Wojewódzki Sąd Administracyjny w Warszawie, będąc związany orzeczeniem Naczelnego Sądu Administracyjnego, w uzasadnieniu wyroku |
|nałożył na Generalnego Inspektora Ochrony Danych Osobowych określone obowiązki, które organ zobowiązany był wykonać, a ich nie |
|wykonał, tzn. nie przeprowadził postępowania wyjaśniającego zgodnie z art. 7 i art. 77 we wskazanym przez sądy zakresie. |
|Zgodnie z art. 153 ustawy - Prawo o postępowaniu przed sądami administracyjnymi, ocena prawna i wskazania co do dalszego |
Nietezowane
Artykuły przypisane do orzeczenia
Kup dostęp i zobacz, do jakich przepisów odnosi się orzeczenie. Znajdź inne potrzebne orzeczenia.
Skład sądu
Eugeniusz WasilewskiJanusz Walawski /sprawozdawca/
Sławomir Antoniuk /przewodniczący/
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Sławomir Antoniuk Sędziowie WSA Janusz Walawski (spr.) Eugeniusz Wasilewski Protokolant starszy referent Marcin Borkowski po rozpoznaniu na rozprawie w dniu 28 kwietnia 2014 r. sprawy ze skargi [...] Sp. z o.o. [...] Sp. j. z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2013 r. nr [...] w przedmiocie nakazu usunięcia uchybień w procesie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję, 2. stwierdza, że zaskarżona decyzja nie podlega wykonaniu w całości, 3. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz [...] Sp. z o.o. [...] Sp. j. z siedzibą w W. kwotę 440 (czterysta czterdzieści) złotych tytułem zwrotu kosztów postępowania.
Uzasadnienie
Wojewódzki Sąd Administracyjny w Warszawie w dniu 2 czerwca 2011 r. wydał wyrok o sygn. akt II SA/WA 720/11, którym oddalił skargę I. Sp. j. z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] stycznia 2011 r. nr [...] w przedmiocie usunięcia uchybień w przetwarzaniu danych osobowych.
Sąd w uzasadnieniu wyroku podał, co następuje:
|Generalny Inspektor Ochrony Danych Osobowych, działając na podstawie art. 138 § 1 pkt 1 i 2 ustawy z dnia 14 czerwca 1960 r. - |
|Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2, art. 18 ust. 1 pkt 1 i art. 22|
|w związku z art. 23 ust. 1 pkt 1, art. 25 ust. 1, art. 36 ust. 2, art. 37, art. 39 i art. 40 ustawy z dnia 29 sierpnia 1997 r. o |
|ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), decyzją z dnia [...] stycznia 2011 r. nr [...], po rozpoznaniu |
|wniosku powyżej określonej Spółki o ponowne rozpatrzenie sprawy, utrzymał w mocy decyzję poprzedzającą z dnia [...] września 2010 r. |
|nr [...], nakazującą usunięcie uchybień w procesie przetwarzania danych osobowych. |
|Generalny Inspektor Ochrony Danych Osobowych w decyzji poprzedzającej nakazał Spółce usunięcie uchybień w procesie przetwarzania |
|danych osobowych, poprzez: |
|1) dopełnienie wobec osób, których dane pochodzące ze źródeł powszechnie dostępnych (Monitor Sądowy i Monitor Gospodarczy) zostały |
|zebrane i utrwalone przez ww. administratora danych, obowiązku informacyjnego, o którym mowa w art. 25 ust. 1 ustawy o ochronie |
|danych osobowych, w terminie 3 miesięcy od dnia, w którym niniejsza decyzja stanie się ostateczna, |
|2) zgłoszenie do rejestracji zbioru danych osobowych klientów (właścicieli adresów poczty elektronicznej) w terminie 30 dni od dnia,|
|w którym niniejsza decyzja stanie się ostateczna, |
|3) zapewnienie użytkownikom serwisu I. możliwości swobodnego wyrażenia zgody na przetwarzanie ich danych osobowych w celach |
|marketingowych w terminie 30 dni od dnia, w którym niniejsza decyzja stanie się ostateczna, |
|4) opracowanie dokumentacji stanowiącej politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do |
|przetwarzania danych osobowych, w terminie 30 dni od dnia, w którym niniejsza decyzja stanie się ostateczna, |
|5) nadanie upoważnień do przetwarzania danych osobowych osobom dopuszczonym do przetwarzania danych osobowych w terminie 14 dni od |
|dnia, w którym niniejsza decyzja stanie się ostateczna, |
|6) opracowaniu ewidencji osób upoważnionych do przetwarzania danych osobowych w terminie 14 dni od dnia, w którym niniejsza decyzja|
|stanie się ostateczna. |
|W pozostałym zakresie postępowanie zostało umorzone. |
|W dniu [...] października 2010 r. do Generalnego Inspektora Ochrony Danych Osobowych wpłynął wniosek pełnomocnika Spółki o ponowne |
|rozpatrzenie przedmiotowej sprawy, w którym zarzucono zaskarżonej decyzji naruszenie prawa materialnego, tj. art. 25 ust. 1 i ust. 2|
|pkt 1 ustawy o ochronie danych osobowych w zw. z art. 8 ust. 1-2 ustawy z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym (Dz.|
|U. z 2007 r. Nr 168, poz. 1186 ze zm.) oraz wniesiono o uchylenie zaskarżonej decyzji i umorzenie postępowania. |
|Spółka podkreśliła, że przyjęcie przez Generalnego Inspektora Ochrony Danych Osobowych stanowiska, potwierdzającego obowiązek |
|zbierającego dane z KRS przekazania osobie fizycznej, ujawnionej w rejestrze, informacji określonych w art. 25 ust. 1 ustawy o |
|ochronie danych osobowych, skutkować będzie tym, iż wymóg taki będzie wówczas powszechnie występował w obrocie gospodarczym, w |
|związku z szeregiem czynności związanych z pozyskiwaniem danych z KRS, np. w przypadku kancelarii prawnych, sprawdzających |
|prawidłową reprezentację stron stosunków umownych. |
|W zakresie natomiast pozostałych zarzutów, wymienionych w pkt I.2-6 rozstrzygnięcia zaskarżonej decyzji Spółka wyjaśniła, że |
|aktualnie prowadzi działania mające na celu przywrócenie stanu zgodnego z przepisami ustawy o dostępie do informacji publicznej, |
|wskazując jakiego rodzaju działania przywracające stan zgodny z prawem zostały podjęte. |
|Generalny Inspektor Ochrony Danych Osobowych w uzasadnieniu zaskarżonej decyzji przytoczył treść art. 25 ust. 1 ustawy, zgodnie z |
|którym w przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę|
|osobę, bezpośrednio po utrwaleniu zebranych danych, o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku, gdy |
|administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu i zakresie zbierania |
|danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych, 3) źródle danych, 4) prawie dostępu do treści swoich danych|
|oraz ich poprawiania, 5) uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8. Natomiast zgodnie z treścią art. 25 ust. 2 pkt 1 |
|ustawy, przepisu ust. 1 nie stosuje się, jeżeli: przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy|
|osoby, której dane dotyczą. |
|Organ podniósł, że Spółka prowadzi działalność w zakresie świadczenia usług odpłatnego udzielania informacji gospodarczej, |
|pochodzącej ze źródeł powszechnie dostępnych (Monitor Sądowy i Monitor Gospodarczy), osobom zainteresowanym. Usługa ta jest |
|udostępniana za pośrednictwem publicznej sieci Internet. W związku z powyższym, Spółka przetwarza dane osobowe w zakresie: imię, |
|nazwisko, nr PESEL, pełniona funkcja, rok urodzenia, które zostały ujawnione w Krajowym Rejestrze Sądowym (KRS). |
|Generalny Inspektor Ochrony Danych Osobowych stwierdził, że przedmiotowa ustawa nie zakazuje tworzenia odrębnych zbiorów na |
|podstawie danych pochodzących ze źródeł powszechnie dostępnych, jednakże nie oznacza to, że powstałe w ten sposób zbiory nie |
|podlegają przepisom tej ustawy. Przede wszystkim Spółka, jako administrator danych osobowych, powinna legitymować się przesłanką do |
|ich przetwarzania. W opisanej sytuacji należałoby uznać, że taką przesłankę może stanowić art. 23 ust. 1 pkt 5 ustawy, zgodnie z |
|którym przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów |
|realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane |
|dotyczą. Kolejnym obowiązkiem, który ciąży na administratorze danych, jest zgłoszenie zbioru do rejestracji Generalnemu Inspektorowi|
|Ochrony Danych Osobowych, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1 (art. 40 ustawy). W opisanym przypadku mamy do |
|czynienia z wyjątkiem, o którym mowa w art. 43 ust. 1 pkt 9 ustawy, tj. z obowiązku rejestracji zbioru danych zwolnieni są |
|administratorzy danych powszechnie dostępnych. Brak jest natomiast podstaw do zwolnienia Spółki z obowiązku przekazania osobom, |
|których dane dotyczą, informacji, o których mowa w art. 25 ust. 1 ustawy o ochronie danych osobowych. |
|Organ podkreślił, że Spółka pozyskuje dane z KRS w celu utworzenia odrębnego zbioru danych, który wykorzystuje dla własnych celów |
|zarobkowych. W ten sposób Spółka staje się administratorem zebranych w opisany sposób danych, zatem, jako na administratorze danych,|
|ciąży na niej obowiązek informacyjny (bezpośrednio po utrwaleniu zebranych danych), o którym mowa w art. 25 ust. 1 przedmiotowej |
|ustawy. |
|Przesłanki, o których mowa w art. 25 ust. 2 pkt 1 ustawy, dotyczą zaś sytuacji, gdy przepis innej ustawy przewiduje lub dopuszcza |
|zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą. Zwolnienie to dotyczy zatem podmiotów, których działalność, |
|polegająca na przetwarzaniu danych osobowych, została uregulowana szczegółowymi przepisami prawa. Spółka nie jest podmiotem |
|(administratorem danych) prowadzącym rejestry publiczne na podstawie przepisów prawa, a jedynie administratorem danych, który |
|pozyskał dane z takiego rejestru. Zasady dotyczące jawności danych z KRS nie zobowiązują Spółki do upowszechnienia posiadanych |
|informacji, świadczy ona swoje usługi odpłatnie. Co więcej mogłaby ona utajnić posiadane dane i nikt nie mógłby żądać od niej |
|ujawnienia zebranych informacji, powołując się na przepisy o Krajowym Rejestrze Sądowym. |
|Organ wskazał również, że dane osobowe zostały umieszczone w Krajowym Rejestrze Sądowym m.in. w celu zapewnienia jawności obrotu |
|gospodarczego. W tym też celu powinny być przetwarzane przez podmioty je pozyskujące. Natomiast Spółka stworzyła swoją bazę na |
|podstawie informacji z KRS i świadczy usługi w zakresie udostępniania informacji, wśród których znajdują się dane osobowe, dla |
|realizacji swoich celów zarobkowych. |
|Konstytucyjnie zagwarantowane prawa osób do nieujawniania dotyczących ich informacji mogą ograniczać wyłącznie przepisy rangi |
|ustawowej. Ustawa o Krajowym Rejestrze Sądowym jest właśnie takim aktem, bowiem zgodnie z treścią art. 35 pkt 1 tej ustawy, ilekroć |
|do Rejestru wpisuje się: osobę fizyczną - zamieszcza się nazwisko i imiona oraz identyfikator nadany w systemie ewidencji ludności, |
|zwany dalej "numerem PESEL". Przy tym rejestr ten jest jawny, bowiem powstał m.in. dla zapewnienia jawności danych podmiotów |
|uczestniczących w życiu gospodarczym. Osoby, o których mowa w przepisach ustawy o KRS, mają zatem obowiązek podania swoich danych w |
|celu ich zamieszczenia w tym rejestrze, muszą też liczyć się z ich ujawnieniem. Nie oznacza to jednak, że muszą one godzić się na |
|wykorzystanie ich danych w celach innych, niż (ogólnie rzecz ujmując) "jawność obrotu gospodarczego". W myśl art. 26 ust. 1 pkt 2 |
|ustawy o dostępie do informacji publicznej, administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu|
|ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były: zbierane dla |
|oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu, niezgodnemu z tymi celami, z zastrzeżeniem ust. 2. |
|Niedopełnienie przez Spółkę obowiązku informacyjnego wobec osób, których dane dotyczą, pozbawia te osoby podstawowego prawa do |
|informacji o przetwarzaniu ich danych, a tym samym ogranicza możliwość skorzystania z uprawnień, o których mowa w art. 32 ust. 1 pkt|
|7 i 8 ustawy o ochronie danych osobowych, tj. wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, pisemnego, |
|umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację; wniesienia sprzeciwu wobec |
|przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w |
|celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych. |
|Organ podkreślił również, że katalog przypadków, pozwalających odstąpić od przekazania informacji, o którym mowa w art. 25 ust. 1 |
|ustawy, uległ zmianie w wyniku nowelizacji ustawy, dokonanej w 2004 r. (uchylony został m.in. przepis ust. 2 pkt 2 powołanego |
|artykułu, który zwalniał z dopełnienia tego obowiązku w sytuacji, gdy "dane przewidziane do zebrania są ogólnie dostępne"). Z tych |
|względów należy uznać, iż intencją ustawodawcy było zobowiązanie administratorów danych, którzy zbierają dane "ogólnie dostępne", do|
|dopełniania obowiązków wynikających z powołanego przepisu. |
|Odnosząc się do wniosku o uchylenie decyzji i umorzenie postępowania w zakresie pkt I ppkt 2-6 zaskarżonej decyzji, organ wskazał, |
|że rozstrzygnięcie zawarte w zaskarżonej decyzji jest prawidłowe zarówno z punktu widzenia zgodności z prawem, jak i pod względem |
|celowości. Z uwagi na to, że zaskarżona decyzja została wydana na podstawie właściwie zastosowanych przepisów prawa oraz na |
|podstawie prawidłowo ustalonego stanu faktycznego, należało utrzymać ją w mocy. |
|Natomiast na podstawie przedstawionych przez Spółkę dowodów, zawartych we wniosku o ponowne rozpatrzenie sprawy z dnia [...] |
|października 2010 r. oraz w piśmie z dnia [...] grudnia 2010 r., organ uznał, że wykonała ona pozostałe nakazy decyzji Generalnego |
|Inspektora Ochrony Danych Osobowych z dnia [...] września 2010 r. |
|W dniu 28 lutego 2011 r. skargę na powyższą decyzję oraz na decyzję ją poprzedzającą złożyła Spółka, reprezentowana przez |
|profesjonalnego pełnomocnika, wnosząc o stwierdzenie ich nieważności, ewentualnie o ich uchylenie, ponadto Spółka wniosła o |
|wstrzymanie wykonalności zaskarżonych decyzji i o zasądzenie na jej rzecz zwrotu kosztów postępowania. |
|Pełnomocnik Spółki zarzucił zaskarżonym decyzjom spełnienie przesłanki, o której mowa w art. 156 § 1 pkt 5 Kpa, powodującej ich |
|nieważność ze względu na trwałą niewykonalność (istniejącą już w dniu wydania aktów administracyjnych) nałożonego w decyzji |
|obowiązku przekazania informacji osobie, której dane dotyczą, a także naruszenie przepisów ustawy o ochronie danych osobowych, tj. |
|art. 25 ust. 2 pkt 1 w zw. z ust. 1 tej ustawy oraz art. 8 ust. 1-2 ustawy o Krajowym Rejestrze Sądowym, poprzez błędną wykładnię |
|wspomnianego przepisu, polegającą na stwierdzeniu przez organ administracji publicznej, że w przedmiotowej sprawie nie zachodzi |
|wyłączenie obowiązku informacyjnego oraz art. 18 ust. 1 ustawy o dostępie do informacji publicznej poprzez zawarcie w decyzji |
|administracyjnej wadliwego rozstrzygnięcia, w którym nie określa się przedmiotu nakazu, tj. czynności służących przywróceniu stanu |
|zgodnego z prawem. |
|W odpowiedzi na skargę organ wniósł o jej oddalenie i podtrzymał argumenty zawarte w zaskarżonej decyzji. |
|Sąd, oddalając skargę, podał, że ustawa o ochronie danych osobowych statuuje zasadę ochrony danych osobowych. Zgodnie z art. 1 tej |
|ustawy, każdy ma prawo do ochrony dotyczących go danych osobowych, a samo przetwarzanie danych osobowych może mieć miejsce ze |
|względu na dobro publiczne lub dobro osoby, której te dane dotyczą. |
|Ochrona danych osobowych jest jednym z podstawowych praw obywatelskich w demokratycznym państwie prawa. Ochrona danych osobowych |
|wiąże się bowiem z ochroną życia prywatnego, a zatem stanowi o wolności obywatela. Prawo do ochrony danych osobowych nie jest jednak|
|prawem absolutnym i podlega ograniczeniu ze względu na interes publiczny lub usprawiedliwiony interes innych osób. Niemniej jednak, |
|skoro jest to prawo obywatelskie, decydujące o poczuciu wolności danej osoby, to wyjątki dopuszczające zbieranie i wykorzystywanie |
|danych osobowych powinny być poddane ścisłej wykładni. Ustawodawca, kierując się wartościami ochrony praw konstytucyjnych, nie może |
|dopuścić do sytuacji, w której to prawo, poprzez rozszerzającą interpretację przepisów dotyczących przetwarzania i udostępnienia |
|danych osobowych, jest naruszane. |
|Za błędny należy uznać pogląd, przedstawiony przez pełnomocnika Spółki, iż podstawa prawna zaniechania przez niego obowiązku |
|informacyjnego, określonego w art. 25 ust. 1 ustawy, istnieje w jej art. 25 ust. 2 pkt 1 w zw. z art. 8 ust. 1-2 ustawy z dnia 27 |
|sierpnia 1997 r. o Krajowym Rejestrze Sądowym (Dz. U. z roku 2007 Nr 168, poz.1186 ze zm.). Przepis art. 25 ust. 2 pkt 1 statuuje, |
|iż nie ma obowiązku powiadamiania osoby, której dane dotyczą, w sytuacji, gdy przepis innej ustawy przewiduje lub dopuszcza |
|zbieranie danych osobowych bez wiedzy osoby, której te dane dotyczą. |
|Przepisy ustawy o Krajowym Rejestrze Sądowym określają zasady wpisu do rejestru oraz zasady jego udostępnienia. Wspomniany w skardze|
|art. 8 ust. 1-2 ustawy o Krajowym Rejestrze Sądowym statuuje zasadę jawności danych zawartych w rejestrze. Należy jednak zauważyć, |
|że ww. ustawa z dnia 27 sierpnia 1997 r. reguluje sposób udostępnienia danych osobowych osób, których dane znajdują się w KRS w |
|sposób całkowity. Dane te udostępniane są w drodze elektronicznej przez Centralną Informację KRS lub w drodze przeglądania akt |
|rejestru we właściwych wydziałach sądów. Dane te są udostępniane każdemu zainteresowanemu, dla jego potrzeb związanych z pewnością |
|obrotu gospodarczego. Osoba, która podejmuje działalność, która ma być wpisana do KRS, wie, że jej dane są w prowadzonym przez |
|Państwo rejestrze i tylko na podstawie przepisów dotyczących funkcjonowania tego rejestru te dane będą wykorzystane. |
|Tymczasem Spółka pobiera dane osobowe osób znajdujących się w KRS, takie jak imię, nazwisko, numer PESEL, do własnej bazy danych, w |
|której te dane są przetwarzane. Dane z KRS nie mają służyć do takiego celu, a osoby, które udostępniają swoje dane osobowe nie |
|wyrażają zgody na to, aby ich dane osobowe były umieszczane w innej, prywatnej bazie danych. Decydując się na umieszczenie swoich |
|danych w KRS, przedsiębiorcy mają zaufanie, że ich dane będą ujawniane i wykorzystywane tylko w taki sposób, na jaki zezwala ustawa |
|o Krajowym Rejestrze Sądowym. Takie rozumienie przepisu art. 25 ust. 2 pkt 1 przedmiotowej ustawy w zw. z art. 8 ust. 1-2 ustawy o |
|Krajowym Rejestrze Sądowym wynika ze ściślej interpretacji tych przepisów. Ustawodawca nie może bowiem dopuścić do tego, że ochrona |
|danych osobowych, znajdujących się w KRS, nie będzie ograniczona wobec podmiotów, które będą chciały wykorzystać te dane w innych |
|celach i na innych zasadach niż dopuszcza to ustawa o Krajowym Rejestrze Sądowym. Wówczas dopuszczonoby także do sytuacji, w której |
|dane z KRS mogłyby być w nieograniczony sposób wykorzystywane, bez woli osób w nich ujętych, w celu utworzenia bazy danych dla |
|prowadzenia kampanii marketingowych. |
|Powyższa interpretacja art. 25 ust. 2 pkt 1 ustawy o ochronie danych osobowych ma uzasadnienie także w wykładni historycznej art. 25|
|ust. 2 tej ustawy, który obowiązywał do dnia 1 maja 2004 r. Przepis ten przewidywał, że administrator nie informował danej osoby o |
|tym, że jej dane znajdują się w bazie danych w sytuacji, gdy dane te pochodziły ze zbiorów powszechnie dostępnych. Wejście w dniu 1 |
|maja 2004 r., a więc w dniu przystąpienia Polski do Unii Europejskiej, przepisów ustawy z dnia 22 stycznia 2004 r. o zmianie ustawy |
|o ochronie danych osobowych oraz ustawy o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe (Dz. U. Nr 33, poz. 285) |
|spowodowało, iż uchylone zostały wyłączenia obowiązku informacyjnego. Tym samym w przypadku pozyskiwania danych ze źródeł ogólnie |
|dostępnych (pkt 2), czyli np. opublikowanych we wszelkich wykazach, spisach, rejestrach, książkach telefonicznych, almanachach(...).|
|Istnieje również obowiązek poinformowania osoby, której dane dotyczą o ich przetwarzaniu (P. Barta, P. Litwiński, Ustawa o ochronie |
|danych osobowych. Komentarz, Warszawa 2009, s. 257). Ustawodawca, implementując przepisy europejskie do polskiego prawa ochrony |
|danych osobowych, wykreślił możliwości nieinformowania osoby o jej uprawnieniach związanych z przetwarzaniem danych osobowych w |
|sytuacji, gdy jej dane są zawarte w powszechnie dostępnych i jawnych rejestrach. Tak więc w sytuacji, gdy Spółka pozyskuje dane |
|osobowe z KRS w celu ich przetwarzania jest zobowiązana do wypełnienia obowiązku informacyjnego, określonego w art. 25 ust. 1 ustawy|
|o ochronie danych osobowych. |
|Za nieuzasadniony należy uznać zarzut skarżącego, że zaskarżona decyzja stoi w sprzeczności z postanowieniami Dyrektywy 2003/98/WE |
|Rady i Parlamentu Europejskiego z dnia 17 listopada 2003 r. w sprawie ponownego wykorzystywania informacji sektora publicznego. |
|Powyższy akt prawny nie ma zastosowania wprost do polskiego porządku prawnego, bowiem dyrektywy unijne są implementowane do porządku|
|prawnego państwa członkowskiego i dopiero wówczas wchodzą w życie w danym porządku prawnym. Powyższa dyrektywa nie jest przyjęta do |
|prawa polskiego i dopiero trwają prace nad jej implementacją (por. Założenia do projektu ustawy o ponownym wykorzystaniu informacji |
|publicznej z dnia 3 września 2009 r., opublikowane w bip.mswia.gov.pl/download.php?s=4&id=5366). |
|Wbrew zarzutom skargi należy uznać, że zaskarżona decyzja jest wykonalna. Spółka, budując własną bazę danych osobowych, posiada |
|dane, które zezwalają jej na wykonanie obowiązku informacyjnego wobec osób, które się w tej bazie znajdują, są tam bowiem imiona i |
|nazwiska osób oraz numery PESEL osób fizycznych, a także siedziba podmiotów gospodarczych, w których pełnią one funkcje. Nadto |
|Spółka może skorzystać z usług Centralnego Biura Adresowego. Fakt, że jest to duże przedsięwzięcie organizacyjne i dotyczy znacznej |
|liczby osób nie oznacza, że jest ono niewykonalne. Spółka, budując dużą bazę danych, musiała się liczyć z tym, że w stosunku do |
|takiej liczby osób będzie miała określone przepisami ustawy o ochronie danych osobowych obowiązki. |
|W ocenie Sądu, decyzje wydane przez Generalnego Inspektora Ochrony Danych Osobowych nie naruszają treści art. 18 ust. 1 ustawy o |
|ochronie danych osobowych. Dyspozycja w tym zakresie jest jasna. Spółka ma wykonać obowiązek informacyjny, określony w treści art. |
|25 ust. 1 przedmiotowej ustawy. Organ nie miał obowiązku wskazywać, w jaki konkretny sposób ma ten obowiązek wykonać. Sposób, w jaki|
|zostaną zawiadomione osoby, których dane osobowe znajdują się w bazie danych, jest pozostawiony Spółce, która powinna go dostosować |
|do posiadanych danych i swoich możliwości organizacyjnych. Wskazanie przez organ na konkretny sposób zawiadomienia, np. tylko pocztą|
|albo tylko drogą elektroniczną, nie miałoby uzasadnienia w charakterze sprawy, a nawet mogłoby doprowadzić do niewykonalności |
|decyzji. |
|Naczelny Sąd Administracyjny, po rozpoznaniu skargi kasacyjnej I. Sp. j. z siedzibą w W. od wyroku Wojewódzkiego Sądu |
|Administracyjnego w Warszawie z dnia 2 czerwca 2011 r., sygn. akt II SA/Wa 720/11 w sprawie ze skargi powyżej określonej Spółki na |
|decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] stycznia 2011 r. nr [...] w przedmiocie usunięcia uchybień w |
|przetwarzaniu danych osobowych, w dniu 24 stycznia 2013 r. wydał wyrok o sygn. akt I OSK 1827/11, którym uchylił zaskarżony wyrok i |
|przekazał sprawę do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie oraz zasądził od Generalnego Inspektora|
|Ochrony Danych Osobowych na rzecz Spółki kwotę 380 zł tytułem zwrotu kosztów postępowania kasacyjnego. |
|Naczelny Sąd Administracyjny w uzasadnieniu wyroku podał, co następuje: |
|W zaskarżonej decyzji organ swe rozstrzygnięcie oparł na art. 18 ust. 1 pkt 1 ustawy o ochronie danych osobowych, nakazując Spółce |
|usunięcie uchybień w procesie przetwarzania danych osobowych przez m.in. dopełnienie wobec osób, których dane pochodzą ze źródeł |
|powszechnie dostępnych (Monitor Sądowy i Monitor Gospodarczy), a które zostały zebrane i utrwalone przez ww. administratora danych, |
|obowiązku informacyjnego, o którym mowa w art. 25 ust. 1 powołanej ustawy. Zauważyć należy, iż art. 18 ust. 1 zawiera cały szereg |
|sankcji, które ustawodawca wyraźnie różnicuje, stopniując ich rodzaj i zakres. |
|Prawidłowe zastosowanie tych sankcji wymaga więc przeprowadzenia postępowania wyjaśniającego, spełniającego wymogi kodeksowe, |
|zamieszczone w przepisach art. 7 i art. 77 Kpa, jak również uwzględniającego regulacje materialnoprawne, z których wynika |
|konieczność umiejętnego stopniowania sankcji. |
|Stosując nakazy, Generalny Inspektor Ochrony Danych Osobowych powinien uwzględniać wynikający także z konkretnego stanu faktycznego |
|charakter stwierdzonego naruszenia. Zastosowana sankcja administracyjna powinna być adekwatna, współmierna do stopnia naruszenia |
|prawa, a także winna uwzględniać zagrożenie praw osoby, której dane dotyczą (art. 23 ust. 1 pkt 5 i art. 26 ust. 1 pkt 1, 2 i 3 |
|ustawy). |
|W doktrynie oprócz tego wyraża się pogląd, iż decyzje Generalnego Inspektora powinny być podejmowane rozważnie, tak aby osiągnąć |
|zamierzony cel (stan zgodności z prawem) środkami możliwie jak najmniej dotkliwymi (uciążliwymi) dla adresata decyzji (G. Sibiga, |
|Postępowanie w sprawach ochrony danych osobowych, Warszawa 2003, s. 153, J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych |
|osobowych. Komentarz, wyd. 5, Lex a Wolters Kluwer Business, Warszawa 2011, s. 430 i 431). |
|Podzielając powyższe poglądy, Naczelny Sąd Administracyjny zauważył, iż rozstrzygnięcia organu w tej sprawie nie spełniają |
|powyższych kryteriów. |
|Z ustaleń dokonanych przez organ wynika, iż skarżąca Spółka w ramach prowadzonej działalności komercyjnej świadczenia usług, |
|polegających na udzielaniu informacji, przetwarza dane o osobach prawnych oraz jednostkach organizacyjnych nieposiadających |
|osobowości prawnej, których dane są ujawnione w Krajowym Rejestrze Sądowym (Monitor Sądowy i Gospodarczy). W zbiorach tych znajdują |
|się również dane osobowe osób fizycznych w zakresie: imię, nazwisko, nr PESEL, pełniona funkcja, rok urodzenia. Monitory Sądowy i |
|Gospodarczy nie zawierają danych o adresach osób fizycznych. |
|Zasadnie skarżąca Spółka podważa w tej sytuacji nałożenie przez organ ogólnie obowiązku spełnienia obowiązku informacyjnego, bez |
|wskazania, w jaki sposób i jakimi środkami administrator danych winien je uzyskać. |
|Stwierdzić należy, iż ani z materiałów postępowania wyjaśniającego, ani z uzasadnienia decyzji nie wynika, aby organ rozważał, a |
|następnie oceniał, czy zakres przetwarzania danych przez Spółkę był adekwatny do celów, w jakich były one przetwarzane, zwłaszcza w |
|kontekście zagrożenia interesów osób fizycznych, gdyż tylko z takich względów ustawodawca wprowadził w art. 25 ust. 1 obowiązek |
|informacyjny. Brak jest także materiałów pozwalających przyjąć, iż organ rozważał możliwość zastosowania innych środków, adekwatnych|
|do stwierdzonych uchybień, a pozwalających usunąć stan sprzeczny z prawem przy użyciu środków mniej uciążliwych dla skarżącej |
|Spółki. Tak ogólne sformułowanie obowiązku informacyjnego mogło być rozumiane przez skarżącą jako prowadzące do uzupełnienia danych |
|osobowych (art. 18 ust. 1 pkt 2 ustawy) o adresy osób fizycznych. Poszerzenie bazy danych osobowych o adresy osób fizycznych, przy |
|przesłance legalizacyjnej z art. 23 ust. 1 pkt 5 ustawy, stwarzałoby niebezpieczeństwo konfliktu z celem przetwarzania danych, a |
|nadto mogłoby godzić w dobro osób, których dane te dotyczą. Powyższe niebezpieczeństwo jawi się jako realne w świetle stanowiska |
|Wojewódzkiego Sądu Administracyjnego, wyrażonego w zaskarżonym wyroku, a dopuszczającego możliwość skorzystania przez administratora|
|danych osobowych z usług Centralnego Biura Adresowego. Tym samym realizacja obowiązku prowadziłaby do uzupełnienia danych osobowych |
|o adresy osób fizycznych. Niedostrzeżenie błędów organu oraz wadliwe sformułowanie wskazań dla organu oznacza, iż Sąd pierwszej |
|instancji wadliwie wykonał obowiązek kontroli legalności, a zarzuty skargi kasacyjnej naruszenia wskazanych wyżej przepisów ustawy -|
|Prawo o postępowaniu przed sądami administracyjnymi, Kpa oraz art. 18 ust. 1 pkt 1 i 2 przedmiotowej ustawy należy uznać za |
|usprawiedliwione. |
|Pozostałe zarzuty naruszenia przepisów postępowania zostały sformułowane w ten sposób, że zarzut naruszenia przepisów proceduralnych|
|przedstawia się jako wynik wadliwego zastosowania prawa materialnego, a ponadto postawiono także zarzut naruszenia przepisów prawa |
|materialnego w rozumieniu podstawy z art. 174 pkt 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami |
|administracyjnymi (Dz. U. z 2012 r., poz. 270 z późn. zm.). |
|Zarzuty te Sąd odwoławczy uznał częściowo za przedwczesne, jednocześnie w pewnym zakresie, usprawiedliwionym dotychczasowymi |
|ustaleniami, nie podzielił argumentacji skarżącej Spółki. |
|Wskazany jako naruszony przepis art. 25 ust. 2 pkt 1 ustawy o ochronie danych osobowych został w zarzucie powiązany z przepisami |
|art. 8 i art. 13 ustawy z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym. Przepis art. 25 ustawy o ochronie danych osobowych |
|reguluje powinność administratora danych w sytuacji zbierania danych osobowych nie od osoby, której one dotyczą. Ma on wówczas |
|obowiązek powiadomić tę osobę o adresie siedziby i pełnej nazwie lub imieniu i nazwisku oraz miejscu zamieszkania, gdy |
|administratorem jest osoba fizyczna, celu i zakresie zbierania danych oraz odbiorcach, źródle, prawie dostępu do treści swoich |
|danych oraz ich poprawiania i o uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8. |
|Obowiązki te są wyłączone jeżeli przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której |
|dane dotyczą (art. 25 ust. 1 pkt 1 ustawy). |
|Spółka, powołując się na art. 8 i art. 13 ustawy o KRS, wywodzi, iż zawarta w nich treść normatywna odpowiada przesłankom |
|wyłączającym obowiązek informacyjny. |
|Przyjmując argumentację WSA i organu, że art. 8 ust. 1 i 2 ustawy o KRS statuuje zasadę jawności danych zawartych w Rejestrze, prawo|
|każdego dostępu do danych zawartych w Rejestrze za pośrednictwem Centralnej Informacji oraz obowiązek upublicznienia wpisów przez |
|ogłoszenie ich w Monitorze Sądowym i Gospodarczym, skarżąca Spółka podważa jednocześnie takie rozumienie przepisów obu ustaw, |
|zaprezentowane zarówno w decyzji, jak i w uzasadnieniu zaskarżonego wyroku, które akcentuje konieczność ścisłej interpretacji tych |
|przepisów. |
|Przypomnieć należy, uznając je jednocześnie za trafne, stanowisko organu, że dane dotyczące osób fizycznych, wpisane do KRS, są |
|danymi osobowymi, a zasady ich przetwarzania, jak: zbieranie, przekazywanie, utrwalanie, udostępnianie i zmienianie, w sposób |
|kompletny reguluje ustawa z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym. |
|Ustawa ta w sposób ścisły wskazuje równocześnie zakres danych osobowych, dotyczących osób fizycznych, wpisanych do Rejestru, które |
|muszą ograniczać się tylko do nazwiska, imienia oraz identyfikatora nadanego w systemie ewidencji ludności, zwanego "numerem PESEL".|
|Wspomniany numer identyfikacyjny, składający się z 11 cyfr, określa każdą osobę fizyczną, przy czym, co jest także istotne w tej |
|sprawie, cztery pierwsze cyfry oznaczają dokładną datę urodzenia w kolejności: data roczna, miesięczna oraz dzienna. W połączeniu z |
|nazwiskiem i imionami powyższe dane odpowiadają pojęciu danych osobowych, zdefiniowanych w art. 6 ust. 1 i 2 ustawy o ochronie |
|danych osobowych. |
|W myśl tych przepisów za dane osobowe uważa się wszelkie informacje, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania |
|osoby fizycznej (ust. 1). Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio w|
|szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy |
|fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (ust. 2). Zauważyć należy, iż powyższa definicja stanowi |
|implementację definicji, zawartej w art. 2 pkt a Dyrektywy 95/46 WE Parlamentu Europejskiego i Rady. |
|Zwrócić należy uwagę, że zgodnie z art. 39 pkt 1 ustawy o KRS w zakresie danych dotyczących reprezentacji podmiotów gospodarczych |
|zamieszcza się oznaczenie organu uprawnionego do reprezentowania podmiotu oraz osób wchodzących w jego skład, ze wskazaniem sposobu |
|reprezentacji. |
|Zakres danych osobowych, wynikających z przepisów ustawy o Krajowym Rejestrze Sądowym, odpowiada celowi, w jakim został utworzony, a|
|którym jest zapewnienie jawności i pewności obrotu gospodarczego. |
|Na ten cel zasadnie zwrócił uwagę Sąd pierwszej instancji, jak również skarżąca Spółka, stwierdzając, że art. 8 ustawy o KRS nie |
|upoważnia do przetwarzania danych osobowych zawartych w KRS w dowolnych celach (s. 9 skargi kasacyjnej). Spółka wywodzi jednakże, że|
|czyni to w tych samych co KRS celach "co tym samym zwalnia ją z obowiązku informacyjnego". |
|Chociaż z tym twierdzeniem nie można się zgodzić w świetle ustaleń kontroli i wyjaśnień wspólników i pracowników Spółki, na które to|
|ustalenia powołuje się organ w uzasadnieniu decyzji, a przyjął je za prawidłowe Sąd, to należy uznać, iż nakładając na Spółkę nakaz |
|dopełnienia wobec osób, których dane pochodzą ze źródeł powszechnie dostępnych (Monitor Sądowy i Gospodarczy), a które zostały |
|zebrane i utrwalone przez Spółkę, obowiązku informacyjnego, o którym mowa w art. 25 ust. 1 ustawy o ochronie danych osobowych, Sąd |
|pierwszej instancji nie rozważył i nie uwzględnił w sposób należyty celu, w jakim Spółka ta przetwarzała dane osobowe, ich zakresu a|
|w związku z tym zastosowania odpowiedniego środka przewidzianego w art. 18 ust. 1 przedmiotowej ustawy. |
|Zwrócić należy uwagę na to, że organ w uzasadnieniu decyzji z dnia [...] stycznia 2011 r. powołał się na art. 23 ust. 1 pkt 5 ustawy o|
|ochronie danych osobowych jako przesłankę legalizującą przetwarzanie danych osobowych. |
|Przepis ten dopuszcza przetwarzanie danych tylko wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów, |
|realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane |
|dotyczą. |
|Cel, w jakim Spółka przetwarza dane osobowe, nie może być utożsamiany z tym, jakiemu służy Rejestr KRS. |
|W stosunkach umownych cel przetwarzania danych osobowych wynika najczęściej z treści umowy, jednakże w razie wątpliwości cel |
|powinien być m.in. zgodny z przedmiotem działalności przedsiębiorstwa (A. Mednis, Obowiązki podmiotów prywatnych wykorzystujących |
|dane osobowe, Monitor Prawniczy, 1998, nr 8, s. 293). |
|Posługując się tym kryterium, należy odwołać się do rodzaju działalności Spółki wpisanej do KRS, określonej jako działalność w |
|zakresie oprogramowania, doradztwa w zakresie prowadzenia działalności gospodarczej i zarządzania oraz działalność związana z bazami|
|danych. Powyższe potwierdzają wyniki kontroli, na które powołuje się organ, a co zaakceptował Sąd, iż Spółka prowadzi działalność |
|świadczenia odpłatnie usług z zakresu informacji gospodarczej ze źródeł powszechnie dostępnych (Monitory Sądowy i Gospodarczy) |
|osobom zainteresowanym, a usługa ta jest udostępniana za pomocą publicznej sieci Internet. W związku z tą działalnością przetwarza |
|dane osobowe osób fizycznych, ujawnione w Rejestrze jak imię, nazwisko, numer PESEL, pełnione funkcje, rok urodzenia. |
|Należy zgodzić się z oceną organu i Sądu, iż cele przetwarzania danych objętych KRS, a ujawnionych w Monitorze Sądowym i |
|Gospodarczym, nie są tożsame z celami komercyjnymi, dla których dane te przetwarza (zbiera, utrwala, udostępnia itd.) skarżąca |
|Spółka. |
|Rozważenia zatem wymagało, czy dla prowadzenia działalności gospodarczej o charakterze komercyjnym (co nie budzi wątpliwości w |
|świetle ustaleń organu) zakres przetwarzania danych osobowych przez Spółkę jest zgodny z usprawiedliwionym celem, realizowanym przez|
|administratora danych. Jawność i powszechna dostępność danych z Rejestru KRS oraz cel, jaki realizuje tą drogą ustawodawca, |
|determinuje rodzaj i zakres przetwarzania danych osobowych osób fizycznych. Ustawa ogranicza je tylko do danych dotyczących imienia,|
|nazwiska, pełnionej w podmiotach funkcji oraz numeru identyfikacyjnego PESEL. Są to zatem dane wiążące się ściśle ze sferą obrotu |
|gospodarczego, zaś poza ww. danymi identyfikacyjnymi Rejestr nie pozwala na ujawnienie innych, bardziej szczegółowych danych dot. |
|osób fizycznych, jak np. miejsce zamieszkania. Oznacza to, że dla powszechnie dostępnych celów informacyjnych nie jest dopuszczalne |
|ujawnianie adresu, miejsca zamieszkania osób fizycznych (członków zarządu, wspólników), co można tłumaczyć ochroną sfery prywatnej |
|tych osób. Pozostaje to w zgodzie z konstytucyjną zasadą prawa jednostki do zachowania w tajemnicy informacji dotyczącej własnej |
|osoby. |
|W art. 51 ust. 1 Konstytucja Rzeczypospolitej Polskiej gwarantuje obywatelom, że nikt nie może być obowiązany inaczej niż na |
|podstawie ustawy do ujawnienia informacji dotyczącej jego osoby. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać |
|innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym (ust. 2), zaś zasady i tryb określać może tylko |
|ustawa (ust. 5). Realizacja tej zasady znalazła odzwierciedlenie w art. 26 ustawy o ochronie danych osobowych, który nakłada na |
|administratora danych obowiązek dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w |
|szczególności obowiązany jest zapewnić, aby dane te były przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem |
|celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, merytorycznie poprawne i adekwatne w stosunku do celów, w |
|jakich są przetwarzane. Powyższy przepis odpowiada wymaganiom, zawartym w art. 6 ust. 1 pkt a, b, c. d Dyrektywy 95/46 WE, wśród |
|których znalazł się wymóg gromadzenia danych do określonych, jednoznacznych i legalnych celów oraz zakaz niepodawania dalszemu |
|przetwarzaniu w sposób niezgodny z tym celem (b), merytorycznej poprawności, stosowności oraz wymóg aby były nienadmierne ilościowo |
|w stosunku do celów, dla których zostały zgromadzone i/lub dalej przetworzone (c). |
|Konieczność respektowania tych przepisów przez organ nadzoru nakłada na niego obowiązek ustalenia i rozważenia, czy zakres |
|przetworzenia danych osób fizycznych przez Spółkę był adekwatny do realizowanych przez nią celów, a w szczególności czy adekwatne |
|byłoby przetwarzanie oprócz takich danych jak rok urodzenia, PESEL jeszcze danych dotyczących adresu osób fizycznych. Przeprowadzone|
|postępowanie nie wyjaśniło w jakim zakresie, wysyłając informację do odbiorców danych (klientów Spółki), przekazuje ona dane osobowe|
|ww. osób i w jakich celach. |
|Konieczność uzupełnienia postępowania w tym kierunku wiąże się z omówionymi wcześniej zasadnymi zarzutami naruszenia przepisów |
|postępowania w sposób mający istotny wpływ na wynik sprawy. |
|Ustawowy wymóg ochrony interesów osób, których dane dotyczą nakłada na organ, jak również sąd administracyjny wykonujący kontrolę, |
|obowiązek czuwania, aby zakres przetwarzania nie wkraczał w sferę prywatną, jak również, aby dane te odpowiadały przesłance |
|adekwatności, a także pozostawały w zgodzie z zasadą proporcjonalności, uregulowaną w art. 31 Konstytucji. |
|W takiej sytuacji jak w przedmiotowej sprawie nie można zatem rozważać możliwości uzupełnienia danych osobowych o adresy osób |
|fizycznych, zwłaszcza w drodze ich poszukiwania w CBA, lecz jak wyżej wskazano należy dążyć do ograniczenia ich w zakresie |
|dostosowanym do celu działalności Spółki oraz ochrony interesów osób, których dotyczą. |
|Jeżeli dane uzyskane w wyniku uzupełnionego postępowania wyjaśniającego będą uzasadniały zastosowanie przepisu art. 25 ust. 1 |
|ustawy, organ winien rozważyć możliwość ograniczenia obowiązku informacyjnego. Należy zważyć, iż przepis art. 42 ust. 1 Kpa jako |
|równoważne uznaje doręczanie pism osobom fizycznym w ich mieszkaniu lub miejscu pracy. W takiej sytuacji konkretyzacja nakazu |
|uwzględniałaby z jednej strony ochronę danych osób pełniących funkcje w podmiotach gospodarczych, z drugiej byłaby mniej dotkliwa |
|niż wykonanie tego obowiązku w sposób wskazany przez Sąd, tj. ustalanie adresu (miejsca zamieszkania) za pośrednictwem Centralnego |
|Biura Adresowego. Dodać należy, iż taki sposób realizacji obowiązku, bez zastosowania odpowiednich środków zabezpieczających, |
|stwarzałby niebezpieczeństwo poszerzenia zakresu przetwarzanych danych osobowych osób fizycznych, pozostając w konflikcie z |
|obowiązkami organu, wynikającymi z przepisów art. 25 ust. 1 pkt 5 i art. 26 ust. 1 ustawy o ochronie danych osobowych. |
|Należy zauważyć, że w toku postępowania wyjaśniającego organ nie rozważał okoliczności wiążących się z sygnalizowanymi przez Spółkę |
|trudnościami w realizacji nakazu. Wynikało to m.in. stąd, że zarzuty w tym zakresie zostały sformułowane przez Spółkę dopiero przy |
|okazji wniosku o wstrzymanie wykonania zaskarżonej decyzji. W uzasadnieniu zaskarżonego wyroku Sąd ocenił to jako duże |
|przedsięwzięcie, lecz jego rozmiary, skala trudności, nakłady oraz konsekwencje pozostały poza ramami postępowania |
|administracyjnego. Zachodzi więc konieczność uzupełnienia postępowania administracyjnego, a w razie ustalenia, że skarżącą obciąża |
|obowiązek informacyjny odniesienia się także do możliwości jego nałożenia w kontekście zastosowania prounijnej wykładni przepisów |
|prawa (art. 11 ust. 2 Dyrektywy 95/46 WE Parlamentu Europejskiego i Rady). |
|Z uwagi na opisane wyżej mankamenty postępowania wyjaśniającego Naczelny Sąd Administracyjny nie mógł rozpoznać w pełni zarzutów |
|naruszenia przepisów prawa materialnego, uznając je w takiej sytuacji za przedwczesne; za przedwczesne należało także uznać |
|wystąpienie z pytaniem do Trybunału Sprawiedliwości Unii Europejskiej. |
|W uzasadnieniu decyzji z [...] stycznia 2011 r. organ, odnosząc się do wniosku skarżącej o umorzenie postępowania wobec wykonania |
|nakazów wymienionych w pkt 2–6 decyzji i nie uwzględniając tego wniosku, stwierdził, że rozstrzygnięcie zawarte w zaskarżonej |
|decyzji jest prawidłowe pod względem zgodności z prawem i celowości. |
|Stanowisko to jest błędne, bowiem rozstrzygając sprawę z wniosku w trybie art. 127 § 3 k.p.a. organ nie ocenia legalności swej |
|poprzedniej decyzji, lecz ponownie rozpoznaje sprawę w jej całokształcie. |
|Oznacza to, że jeżeli strona wykonała nałożone na nią nakazy, organ obowiązany jest, po potwierdzeniu tego, wobec zmiany stanu |
|faktycznego, wydać decyzję na podstawie art. 138 § 1 pkt 2 Kpa., tj. uchylającą decyzję w tej części i umarzającą postępowanie |
|administracyjne w tym zakresie. |
|Podobny pogląd wyrażono w cytowanym wcześniej Komentarzu do ustawy o ochronie danych osobowych (s. 431), w którym stwierdzono, że |
|stan naruszenia przepisów ustawy o ochronie danych osobowych powinien istnieć w dacie wydania decyzji. Jeżeli w trakcie wszczętego |
|postępowania nieprawidłowości zostaną usunięte postępowanie staje się bezprzedmiotowe, a organ wydaje decyzję o jego umorzeniu na |
|podstawie art. 105 § 1 k.p.a. |
|Jest oczywiste, że stosowanie art. 105 § 1 k.p.a. w postępowaniu prowadzonym na podstawie art. 127 § 3 k.p.a. następuje w zw. z art.|
|138 § 1 pkt 2 Kpa. |
|Wojewódzki Sąd Administracyjny w Warszawie, po rozpoznaniu na rozprawie sprawy ze skargi I. Sp. j. z siedzibą w W. na decyzję |
|Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] stycznia 2011 r. nr [...] w przedmiocie usunięcia uchybień w przetwarzaniu |
|danych osobowych, w dniu 24 kwietnia 2013 r. wydał wyrok o sygn. akt II SA/Wa 507/13, którym uchylił zaskarżoną decyzję i określił, |
|że nie podlega ona wykonaniu w całości. |
|Sąd w uzasadnieniu wyroku podkreślił, że Naczelny Sąd Administracyjny wskazał, że organ, rozpoznając sprawę, naruszył art. 7 i art. |
|77 Kpa poprzez niezgromadzenie niezbędnego do wydania decyzji materiału dowodowego, a w konsekwencji nieprawidłowo zastosował art. |
|18 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.). Prawidłowe |
|zastosowanie sankcji wymienionych w tym przepisie wymaga przeprowadzenia postępowania wyjaśniającego, spełniającego wymogi |
|kodeksowe, zamieszczone w art. 7 i art. 77 Kpa, jak również uwzględniającego regulacje materialnoprawne, z których wynika |
|konieczność umiejętnego stopniowania sankcji. W rozpoznawanej sprawie organ nie wyjaśnił, dlaczego zastosował sankcję wskazaną w |
|ustawie. Naczelny Sąd Administracyjny podkreślił, że Generalny Inspektor Ochrony Danych Osobowych powinien uwzględniać przy |
|stosowaniu sankcji stan faktyczny sprawy i charakter naruszenia. Zastosowana sankcja powinna być adekwatna, współmierna do stopnia |
|naruszenia prawa, a także powinna uwzględniać zagrożenie praw osoby, której dane dotyczą (art. 23 ust. 1 pkt 5 i art. 26 ust. 1 pkt |
|1-3 przedmiotowej ustawy). |
|Z materiałów postępowania wyjaśniającego rozpoznawanej sprawy, jak i z uzasadnienia decyzji, nie wynika, by organ rozważał, a |
|następnie ocenił, czy zakres przetwarzania danych przez Spółkę był adekwatny do celów, w jakich były one przetwarzane, zwłaszcza w |
|kontekście zagrożenia interesów osób fizycznych i wprowadzenia w art. 25 ust. 1 ustawy obowiązku ich informowania (obowiązek |
|informacyjny). Brak jest zatem możliwości oceny, czy organ rozważał możliwość zastosowania innych środków, adekwatnych do |
|stwierdzonych uchybień, a pozwalających usunąć stan sprzeczny z prawem przy użyciu środków mniej uciążliwych dla Spółki. |
|Rozpoznając wniosek o ponowne rozpatrzenie sprawy, Generalny Inspektor Ochrony Danych Osobowych zobowiązany jest do wyjaśnienia, czy|
|i jakie środki, przewidziane w art. 18 ust. 1 przedmiotowej ustawy, należy zastosować, a zajęte stanowisko powinno znaleźć |
|odzwierciedlenie w uzasadnieniu decyzji. Co więcej, w zaskarżonej decyzji organ, odnosząc się do wniosku Spółki o umorzenie |
|postępowania wobec wykonania prze nią nakazów wymienionych w pkt 2-6 decyzji z dnia [...] września 2010 r., nie uwzględniając tego |
|wniosku, stwierdził, że rozstrzygnięcie zawarte w zaskarżonej decyzji jest prawidłowe, zgodne z prawem i celowe, podczas gdy jest |
|ono błędne, gdyż na podstawie art. 127 § 3 Kpa organ nie ocenia legalności decyzji poprzedzającej, lecz ponownie rozpoznaje sprawę, |
|co oznacza, że jeżeli strona wykonała nałożone na nią obowiązki, to zmiana stanu faktycznego powoduje po stronie organu obowiązek |
|wydania decyzji na podstawie art. 138 § 1 pkt 2 Kpa. |
|Generalny Inspektor Ochrony Danych Osobowych, działając na podstawie art. 138 § 1 pkt 1 i 2 ustawy z dnia 14 czerwca 1960 r. - |
|Kodeks postępowania administracyjnego (Dz. U. z 2013 r., poz. 267) oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1 i art. 22 w zw. z art. |
|23 ust. 1 pkt 1, art. 25 ust. 1, art. 36 ust. 2, art. 37, art. 39 i art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych |
|osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie wniosku |
|pełnomocnika I. Sp. j. z siedzibą w W. przy ul. [...] o ponowne rozpatrzenie sprawy zakończonej decyzją Generalnego Inspektora Ochrony|
|Danych Osobowych z dnia [...] września 2010 r. nr [...], nakazującą usunięcie uchybień w procesie przetwarzania danych osobowych przez |
|Spółkę, w dniu [...] listopada 2013 r. wydał decyzję nr [...], którą: |
|I. uchylił pkt I. ppkt 2 - 6 zaskarżonej decyzji i umorzył postępowanie w tym zakresie, tj. w części dotyczącej: |
|1) zgłoszenia do rejestracji zbioru danych osobowych klientów, właścicieli adresów poczty elektronicznej, |
|2) zapewnienia użytkownikom serwisu Spółki możliwości swobodnego wyrażania zgody na przetwarzanie ich danych osobowych w celach |
|marketingowych, |
|3) opracowania dokumentacji stanowiącej politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do |
|przetwarzania danych osobowych, |
|4) nadania upoważnień do przetwarzania danych osobowych osobom dopuszczonym do przetwarzania danych osobowych, |
|5) opracowania ewidencji osób upoważnionych do przetwarzania danych osobowych. |
|II. w pozostałym zakresie utrzymał w mocy decyzje poprzedzającą. |
| |
| |
|Organ w uzasadnieniu decyzji podał, co następuje: |
|Generalny Inspektor Ochrony Danych Osobowych może w drodze decyzji administracyjnej nakładać nakazy bądź zakazy, których zasadniczą |
|rolą jest przywrócenie stanu zgodnego z prawem. |
|Zgodnie z art. 25 ust. 1 ustawy o ochronie danych osobowych, w przypadku zbierania danych osobowych nie od osoby, której one |
|dotyczą, administrator danych jest obowiązany poinformować te osobę, bezpośrednio po utrwaleniu zebranych danych. |
|Spółka prowadzi działalność w zakresie świadczenia usług odpłatnego udzielania informacji gospodarczej pochodzących ze źródeł |
|powszechnie dostępnych, tj. z Monitora Sądowego i Monitora Gospodarczego, osobom zainteresowanym. Usługa ta jest świadczona za |
|pośrednictwem publicznej sieci Internetu. |
|Przedmiotowa ustawa nie zakazuje tworzenia odrębnych zbiorów na podstawie źródeł powszechnie dostępnych, jednakże zbiory te |
|podlegają przepisom tej ustawy. |
|Spółka powinna posiadać legitymację do przetwarzania danych osobowych, które zostały ujawnione w Krajowym Rejestrze Sądowym i taką |
|przesłanką może być ta, która została określona w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, zezwalająca na |
|przetwarzanie danych osobowych tylko wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów, realizowanych |
|przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której te dane dotyczą. Brak |
|jest zatem podstaw do zwolnienia Spółki z tego obowiązku. |
|Niedopełnienie przez Spółkę obowiązku informacyjnego pozbawia osoby których dane dotyczą podstawowego ich prawa, tzn. informacji, że|
|ich dane są przetwarzane i nie narusza to ich praw i wolności. |
|Zgodnie z art. 5 Dyrektywy 95/46/WE, Państwa Członkowskie określają w granicach przepisów, zawartych w niniejszym rozdziale, |
|bardziej szczegółowe warunki ustalania legalności przetwarzania danych osobowych. Ustawa o ochronie danych osobowych nie wykracza w |
|istocie poza generalne, merytoryczne granice w niej określone. |
|Reasumując, należy stwierdzić, że Spółka jest zobowiązana do dopełnienia obowiązku, wynikającego z art. 25 ust. 1 przedmiotowej |
|ustawy i brak jest podstaw do jej zwolnienia z tego obowiązku. |
|Generalny Inspektor Ochrony Danych Osobowych, nakazując Spółce spełnienie obowiązku informacyjnego, przeanalizował i rozważył |
|interesy stron i zastosował środki adekwatne i proporcjonalne w ustalonym stanie faktycznym i prawnym. |
|W ocenie organu Spółka usunęła stwierdzone wcześniej pozostałe uchybienia oraz przywróciła stan zgodny z prawem i z tego względu w |
|tym zakresie postępowanie należało umorzyć na podstawie art. 105 § 1 Kpa, gdyż stało się ono bezprzedmiotowe. |
|Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2013 r. stała sie przedmiotem skargi, wniesionej przez |
|I. Sp. j. z siedzibą w W. do Wojewódzkiego Sądu Administracyjnego w Warszawie. |
|Spółka zarzuciła organowi, że wydał decyzję z naruszeniem przepisów prawa materialnego oraz przepisów postępowania, powodujących |
|bezwzględną nieważność zaskarżonej decyzji, tj.: |
|1) art. 18 ust. 1 ustawy o ochronie danych osobowych w zw. z art. 25 ust. 1, art. 23 ust. 1 pkt 5, art. 26 ust. 1 pkt 2 i 3 tej |
|ustawy oraz art. 1 ust. 2 powołanej ustawy, poprzez przyjęcie, że art. 25 ust. 1 przedmiotowej ustawy nakłada na administratora |
|danych obowiązek informacyjny, nawet jeżeli jego zrealizowanie: |
|- powoduje konieczność pozyskania danych osobowych o adresach osób fizycznych, których dane związane są ze sprawowaniem funkcji w |
|jednostkach organizacyjnych lub osobach prawnych pochodzących ze źródeł powszechnie dostępnych zostały zebrane i utrwalone przez |
|Spółkę, podczas gdy obowiązujące przepisy prawa nie stwarzają bezwzględnej podstawy udostępnienia Spółce adresów tych osób, a tym |
|samym wykonanie tego obowiązku jest prawnie oraz technicznie niewykonalne, a niewykonalność ta ma charakter trwały; |
|- stwarza istotne niebezpieczeństwo przetwarzanie przez Spółkę danych osobowych niezgodnie z przepisami przedmiotowej ustawy (art. |
|26 ust. 1 pkt 2 i 3 ustawy), a nadto powoduje zagrożenie dla praw i wolności (dobra) osób, których te dane dotyczą, co powoduje, że |
|przetwarzanie tych danych osobowych naraziłoby Spółkę na odpowiedzialność karną, która wynika z art. 49 ust. 1 ustawy o ochronie |
|danych osobowych, gdyż jako naruszające prawa i wolności osób jest niedopuszczalne, tj. niezgodne z art. 23 ust. 1 pkt 5 powołanej |
|ustawy, co powoduje, że zaskarżona decyzja jest dotknięta wadą bezwzględnej nieważności, albowiem: |
|- decyzja była niewykonalna w dniu jej wydania, a jej niewykonalność ma charakter trwały (art. 156 § 1 pkt 5 Kpa), gdyż |
|zrealizowanie nakazu nałożonego na Spółkę zaskarżoną decyzją powoduje konieczność poszerzenia przez nią przetwarzanego zbioru danych|
|o prywatne adresy osób fizycznych, a obowiązujące przepisy nie pozwalają na udostępnienie Spółce takich danych osobowych; |
|- wykonanie zaskarżonej decyzji powodowałoby czyn zagrożony karą (art. 156 § 1 pkt 6 Kpa), gdyż zrealizowanie nakazu w niej |
|zawartego spowodowałoby dla Spółki niebezpieczeństwo przetwarzania danych osobowych niezgodnie z przepisami ustawy i powodujące dla |
|osób, których dane osobowe są przetwarzane zagrożenie dla ich praw i wolności, a dla Spółki zagrożenie poniesienia |
|odpowiedzialności karnej, przewidzianej w art. 49 ust. przedmiotowej ustawy (art. 23 ust. 1 pkt 5 ustawy); |
|2) art. 25 ust. 1 przedmiotowej ustawy w zw. z art. 11 ust. 2 Dyrektywy 95/46/WE w sprawie ochrony osób fizycznych w zakresie |
|przetwarzania danych osobowych i swobodnego przepływu tych osób (Dz. U. UE.L.95.281.31) oraz w zw. z art. 91 Konstytucji RP oraz |
|art. 288 Traktatu o funkcjonowaniu Unii Europejskiej (Dz. U. z 2004 r. Nr 90, poz. 864), poprzez przyjęcie, ze art. 25 ust. 1 |
|ustawy, nakłada na administratora danych obowiązek informacyjny, nawet jeżeli jego zrealizowanie wymaga niewspółmiernie dużego |
|wysiłku tego podmiotu w rozumieniu art. 11 ust. 2 powyżej określonej dyrektywy; |
|3) naruszenie przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy, tj.: |
|- art. 153 ustawy - Prawo o postępowaniu prze sądami administracyjnymi w zw. z art. 6-8 Kpa, w stopniu mającym istotny wpływ na |
|wynik sprawy, przez niewykonanie wskazań zawartych w wyroku WSA w Warszawie z dnia 24 kwietnia 2013 r., sygn. akt II SA/Wa 507/13 |
|(...); |
|- art. 18 ustawy o ochronie danych osobowych w zw. z art. 1 ust. 2 tej ustawy oraz art. 7, art. 77 Kpa w zw. z art. 31 ust. 3 |
|Konstytucji RP, w stopniu mającym istotny wpływ na wynik sprawy, polegające na przeprowadzeniu postępowania z naruszeniem zasady |
|proporcjonalności oraz adekwatności (brak należytego wyważenia interesu społecznego i słusznego interesu obywatela przez organ przy |
|załatwieniu sprawy zgodnie z art. 7 Kpa), co doprowadziło do błędnego zastosowania art. 18 oraz art. 25 przedmiotowej ustawy, |
|polegającego na nałożeniu na Spółkę nakazu dopełnienia przez nią obowiązku informacyjnego wobec osób, których dane pochodzące ze |
|źródeł powszechnie dostępnych zostały zebrane i utrwalone prze Spółkę, pomimo tego, że ten pozostaje w całkowitej dysproporcji do |
|stopnia ewentualnych uchybień zarzucanych Spółce oraz pomimo, tego, że nałożenie na Spółkę tego nakazu prowadzi do zmniejszenia, a |
|nie zwiększenia ochrony praw osób, których dane dotyczą; |
|- art. 107 § 3 Kpa poprzez sporządzenie uzasadnienia decyzji niezawierającego dostatecznego wskazania i wyjaśnienia podstawy prawnej|
|i faktycznej rozstrzygnięcia, uniemożliwiające należyte wywiedzenie zarzutów skargi w zakresie naruszenia przez organ przepisów |
|prawa oraz kontrolę sądową rozstrzygnięcia. |
|Podnosząc powyższe zarzuty, pełnomocnik Spółki wniósł o stwierdzenie nieważności decyzji w zaskarżonej części, ewentualnie o jej |
|uchylenie w zaskarżonej części. Ponadto pełnomocnik Spółki wniósł o wstrzymanie wykonalności zaskarżonej decyzji oraz o zasądzenie |
|kosztów postępowania. |
|Generalny Inspektor Ochrony Danych Osobowych wniósł o oddalenie skargi i podtrzymał stanowisko przedstawione w uzasadnieniu |
|zaskarżonej decyzji oraz odniósł sie do zarzutów podniesionych w skardze, odmawiając im zasadności. Organ, odnosząc sie do zarzutu |
|naruszenia art. 153 Kpa, tzn. obowiązku podporządkowania się ocenie prawnej zawartej w uzasadnieniu w wyroku Wojewódzkiego Sadu |
|Administracyjnego w Warszawie z dnia 24 kwietnia 2013 r., stwierdził, że nie uchybił temu obowiązkowi, bowiem uznał że najbardziej |
|adekwatnym do stwierdzonych uchybień i pozwalającym na usunięcie stanu sprzecznego z prawem przy użyciu środków najmniej uciążliwych|
|dla Spółki jest nakaz dopełnienia obowiązku informacyjnego, zaś sposób w jaki zostaną zawiadomione osoby, których dane osobowe są |
|przetwarzane jest pozostawiony Spółce, która ma możliwość dostosowania go do posiadanych danych i możliwości organizacyjnych. Organ |
|nie dostrzegł mniej dolegliwego oraz bardziej adekwatnego nakazu niż ten, który zastosował. |
|Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje: |
|Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 z późn. |
|zm.), sąd administracyjny sprawuje wymiar sprawiedliwości m.in. poprzez kontrolę działalności organów administracji publicznej pod |
|względem zgodności z prawem. |
|Stosownie do art. 190 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2012 r., |
|poz. 270 z późn. zm.), sąd, któremu sprawa została przekazana, związany jest wykładnią prawa, dokonaną w tej sprawie przez Naczelny |
|Sąd Administracyjny. |
|Sąd pierwszej instancji przy ponownym rozpoznaniu sprawy związany jest wykładnią dokonaną przez Naczelny Sąd Administracyjny zarówno|
|w zakresie prawa materialnego, jak i przepisów postępowania, przy czym ocena ustaleń faktycznych jest pochodną oceny wykładni (a w |
|konsekwencji zastosowania) przepisów postępowania. W tym sensie orzeczenie Naczelnego Sądu Administracyjnego może pośrednio wiązać |
|sąd pierwszej instancji przy ponownym rozpoznaniu sprawy co do oceny ustaleń faktycznych, dokonanych przez organy administracyjne. |
|Wojewódzki Sąd Administracyjny w Warszawie, wydając w dniu 24 kwietnia 2013 r. wyrok o sygn. akt II SA/Wa 507/13, był związany |
|wykładnią prawa, dokonaną przez Naczelny Sąd Administracyjny w uzasadnieniu wyroku z dnia 24 stycznia 2013 r., sygn. akt I OSK |
|1827/11. |
|Naczelny Sąd Administracyjny przesądził, że organ, rozpoznając sprawę, naruszył art. 7 i art. 77 Kpa poprzez niezgromadzenie |
|niezbędnego do wydania decyzji materiału dowodowego, a w konsekwencji nieprawidłowo zastosował art. 18 ust. 1 ustawy z dnia 29 |
|sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.). Prawidłowe zastosowanie sankcji |
|przewidzianych w tym przepisie wymaga bowiem przeprowadzenia postępowania wyjaśniającego, spełniającego warunki określone w art. 7 i|
|art. 77 Kpa i uwzględniającego regulacje materialnoprawne. Ponadto Naczelny Sąd Administracyjny stwierdził, że organ, rozstrzygając |
|sprawę w trybie art. 127 § 3 Kpa, nie ocenia legalności decyzji poprzedzającej, lecz ponownie rozpoznaje sprawę w jej całokształcie,|
|co oznacza, że jeżeli zostały wykonane nakazy organ obowiązany będzie, po potwierdzeniu tego, wobec zmiany stanu faktycznego, wydać |
|decyzję na podstawie art. 138 § 1 pkt 2 Kpa. |
|Wojewódzki Sąd Administracyjny w Warszawie, będąc związany orzeczeniem Naczelnego Sądu Administracyjnego, w uzasadnieniu wyroku |
|nałożył na Generalnego Inspektora Ochrony Danych Osobowych określone obowiązki, które organ zobowiązany był wykonać, a ich nie |
|wykonał, tzn. nie przeprowadził postępowania wyjaśniającego zgodnie z art. 7 i art. 77 we wskazanym przez sądy zakresie. |
|Zgodnie z art. 153 ustawy - Prawo o postępowaniu przed sądami administracyjnymi, ocena prawna i wskazania co do dalszego |
