Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Wiesław Morys Sędziowie: Sędzia NSA Barbara Adamiak (spr.) Sędzia NSA Aleksandra Łaskarzewska Protokolant st. inspektor sądowy Tomasz Zieliński po rozpoznaniu w dniu 21 lutego 2014 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej G. w M. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 5 lipca 2012 r. sygn. akt II SA/Wa 630/12 w sprawie ze skargi G. w M. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] lutego 2012 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. oddala skargę kasacyjną; 2. zasądza od G. w M. na rzecz Generalnego Inspektora Ochrony Danych Osobowych kwotę 240 (dwieście czterdzieści) złotych tytułem zwrotu kosztów postępowania kasacyjnego.

Decyzją z dnia [...] grudnia 2011 r. nr [...] Generalny Inspektor Ochrony Danych Osobowych, stosując art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (t. j.: Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.), art. 12 pkt 2, art. 18 ust. 1 pkt 1 i art. 22 w związku z art. 36 ust. 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j.: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), nakazał G. z siedzibą w M. (Stany Zjednoczone Ameryki Północnej) usunięcie uchybienia w procesie przetwarzania danych osobowych, poprzez wyznaczenie administratora bezpieczeństwa informacji, w terminie 3 dni od dnia, w którym decyzja stanie się ostateczna.

W motywach rozstrzygnięcia organ wyjaśnił, że w toku kontroli zgodności przetwarzania danych przy użyciu urządzeń i systemów informatycznych, służących do rejestracji obrazu widoku ulicy w ramach usługi S., z przepisami ww. ustawy o ochronie danych osobowych i rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), ustalono, iż w procesie przetwarzania danych osobowych Spółka G., jako administrator danych, naruszyła przepisy o ochronie danych osobowych w ten sposób, że nie wyznaczyła administratora bezpieczeństwa informacji, jak tego wymaga art. 36 ust. 3 ustawy o ochronie danych osobowych. Zgodnie bowiem z tym przepisem, administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1 (administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem), chyba że sam wykonuje te czynności. Zdaniem GIODO, wykonywanie przez administratora danych czynności administratora bezpieczeństwa informacji możliwe jest jedynie wówczas, gdy administrator danych jest osobą fizyczną. Jednak w przedmiotowej sprawie tak nie jest, gdyż G. nie jest osobą fizyczną. W takiej sytuacji Spółka, jako administrator danych, powinna wyznaczyć osobę fizyczną, która byłaby odpowiedzialna za proces bezpieczeństwa informacji i nadzór nad przestrzeganiem zasad ochrony. Dla wzmocnienia swojej argumentacji organ ochrony danych osobowych powołał się na przepis art. 18 ust. 2 dyrektywy 9546WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. WE L. 281 z dnia 23 listopada 1995 r., s. 31 ze zm.), który stanowi o powołaniu urzędnika do spraw ochrony danych osobowych, odpowiedzialnego w szczególności za zapewnienie w niezależny sposób wewnętrznego stosowania przepisów prawa krajowego, przyjętych na mocy dyrektywy. W ocenie GIODO, na gruncie ustawy o ochronie danych osobowych administrator bezpieczeństwa informacji jest odpowiednikiem wymienionego w powyższym przepisie dyrektywy urzędnika do spraw ochrony danych osobowych i trudno uznać, by jego kompetencje mogła wykonywać osoba prawna.

We wniosku o ponowne rozpatrzenie sprawy G. z siedzibą w M., zarzucając naruszenie przepisów prawa materialnego, wniosła o uchylenie powyższej decyzji i umorzenie postępowania w sprawie. Spółka wskazała, że art. 36 ust. 3 ww. ustawy o ochronie danych osobowych przewiduje dwie odrębne sytuacje sprawowania nadzoru nad przestrzeganiem zasad ochrony danych osobowych, tj. poprzez wyznaczenie administratora bezpieczeństwa informacji oraz poprzez samodzielne wykonywanie przez administratora danych czynności nadzorczych. Na odrębność tych dwóch sytuacji wskazuje literalne brzmienie przepisu, w tym przede wszystkim zawarty w nim spójnik "chyba że". W odniesieniu do drugiej sytuacji, przepis art. 36 ust. 3 ustawy nie zawiera jakichkolwiek ograniczeń podmiotowych, które wskazywałyby, że może ona mieć zastosowanie wyłącznie do określonej kategorii administratorów danych, np. wyłącznie do osób fizycznych prowadzących działalność gospodarczą. W przepisie tym jest mowa jedynie o "administratorze danych", wykonującym czynności w nim wskazane, którym jest – zgodnie z art. 7 pkt 4 ustawy – każdy podmiot lub osoba decydująca o celach i środkach przetwarzania danych osobowych, a więc także osoba prawna. Brak jest zatem jakichkolwiek podstaw do przyjmowania na gruncie art. 36 ust. 3 ustawy innego rozumienia pojęcia "administratora danych", niż to, które wynika z jego definicji ustawowej. Z brzmienia powołanego przepisu ustawy wynika, że ustawodawca przyjął regułę wyznaczenia administratora bezpieczeństwa informacji i powierzenie mu czynności nadzoru, jednak administratorowi danych pozostawiono możliwość samodzielnego nadzorowania tych zasad wówczas, gdy nie wyznaczy on administratora bezpieczeństwa informacji. W tej bowiem sytuacji administrator danych sam wykonuje czynności nadzoru. Administrator danych nie staje się administratorem bezpieczeństwa informacji ani też nie "przejmuje" jego funkcji. Z istoty czynności nadzoru w żadnym razie nie wynika, że czynności te mogą być wykonywane wyłącznie przez osobę fizyczną. Na gruncie samej ustawy na administratorze danych ciążą obowiązki wykonania wielu czynności związanych z dbałością o przestrzeganie przepisów o ochronie danych osobowych, a to oznacza istnienie obowiązku sprawowania przez administratora danych bieżącej kontroli nad przestrzeganiem zasad ochrony danych osobowych w trakcie ich przetwarzania. W ocenie G., nie powinno ulegać wątpliwości, że w ramach struktury organizacyjnej administratora danych, będącego osobą prawną, sam administrator danych (a konkretnie osoby kierujące daną jednostką organizacyjną, zgodnie z mającą zastosowanie regulacją prawną) jest władny do podejmowania decyzji i wyciągania określonych konsekwencji wobec pracowników upoważnionych do przetwarzania danych osobowych. W praktyce działania te okazują się o wiele bardziej skuteczne, zapewniające wyższy poziom ochrony danych osobowych, niż określone działania podejmowane przez administratora bezpieczeństwa informacji. Na każdym administratorze danych ciążą obowiązki kontroli i nadzoru, w tym na administratorze danych, będącym osobą prawną. Rozwiązanie to zgodne jest z przyjmowanym na gruncie polskich przepisów prawa modelem sprawowania nadzoru, zgodnie z którym dopuszczalne jest wykonywanie czynności nadzoru przez jednostki organizacyjne, nie zaś wyłącznie przez osoby fizyczne. Zdaniem Spółki, potwierdza to również orzecznictwo sądowe, np. wyrok Sądu Najwyższego z dnia 10 września 1971 r. o sygn. akt I CR 26071, a także literatura przedmiotu (m.in. P. Fajgielski, Kontrola przetwarzania i ochrony danych osobowych. Studium teoretyczno – prawne. Lublin 2008, str. 183). Uznaje się, że art. 36 ust. 3 ustawy o ochronie danych osobowych jest w istocie przejawem możliwości delegowania przez administratora danych części obowiązków z zakresu kontroli przetwarzania danych na inną osobę w drodze wyznaczenia administratora bezpieczeństwa informacji. Akceptacja stanowiska GIODO oznaczałaby wręcz, że w większości przypadków nie ma możliwości sprawowania nadzoru przez administratora danych z uwagi na to, że status administratora danych przysługuje często jednostce organizacyjnej (np. spółce), a nie konkretnej osobie fizycznej. W ocenie G., należy raczej przyjąć, że to administrator bezpieczeństwa informacji przejmuje obowiązki administratora danych dotyczące sprawowania nadzoru, a nie odwrotnie. Nietrafne jest zatem powoływanie się przez Generalnego Inspektora Ochrony Danych Osobowych na brzmienie przepisów dyrektywy 9546WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych, a odnoszących się do urzędnika do spraw ochrony danych osobowych. Instytucja ta wykazuje bowiem immanentny związek z obowiązkiem rejestracji zbiorów danych osobowych. Spółka zaznaczyła, iż organ wskazał, że art. 37 ustawy wymaga udzielenia konkretnej osobie fizycznej przez administratora danych upoważnienia do podejmowania czynności związanych z przetwarzaniem danych osobowych, którym musi dysponować także administrator bezpieczeństwa informacji, jednak argument ten nie może być w żaden sposób zastosowany w odniesieniu do administratora danych, który dla legalnego przetwarzania danych osobowych nie udziela przecież sam sobie upoważnienia, lecz musi dysponować jedną z materialno – prawnych przesłanek wynikających z art. 23 (lub art. 27) ustawy. Spółka wyjaśniła także, że G. jest członkiem programu Bezpiecznej Przystani i podlega regularnemu, corocznemu procesowi badania zgodności z certyfikatem Safe Harbour. Daje to m.in. gwarancje przetwarzania danych osobowych zgodnie z zasadami wynikającymi z dyrektywy 9546WE, a więc i z polską ustawą o ochronie danych osobowych, co oznacza, że wdrożone przez G. procedury związane z ochroną danych osobowych są zgodne z zasadami określonymi w przywołanej dyrektywie.

Decyzją z dnia [...] lutego 2012 r. nr [...] Generalny Inspektor Ochrony Danych Osobowych, mając za podstawę art. 138 § 1 pkt 1 Kodeksu postępowania administracyjnego oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1 i art. 22 w związku z art. 36 ust. 3 ustawy o ochronie danych osobowych, utrzymał w mocy zaskarżoną decyzję, nie znajdując podstaw do uwzględnienia wniosku i powołując się na użyte wcześniej argumenty faktyczne oraz prawne.

W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie na powyższą decyzję G. z siedzibą w M. podniosła zarzut nieważności decyzji GIODO, wskazując w tym względzie na art. 156 § 1 pkt 2 kpa w związku z art. 2 ust. 3 oraz art. 18 ust. 1 ustawy o ochronie danych osobowych i twierdząc, że nie ma podstawy prawnej do wydania nakazu w przypadku zbiorów doraźnych, o których mowa w art. 2 ust. 3 ustawy o ochronie danych osobowych, a o tego rodzaju zbiór chodzi w niniejszej sprawie. Spółka postawiła także zarzut naruszenia art. 36 ust. 3 w związku z art. 36 ust. 1 ustawy o ochronie danych osobowych, poprzez przyjęcie, że administrator danych osobowych może samodzielnie wykonywać zadania administratora bezpieczeństwa informacji wyłącznie wówczas, gdy jest osobą fizyczną prowadzącą działalność gospodarczą, pomimo że ograniczenia takiego nie zawiera przepis art. 36 ust. 3 tej ustawy. Ponadto, wskazała również na naruszenie przepisów postępowania, w tym art. 7 i art. 77 kpa, poprzez wadliwe przeprowadzenie postępowania dowodowego, bez utrwalenia w aktach sprawy wszystkich dowodów i bez pełnego odniesienia się do nieformalnie czynionych ze stroną ustaleń co do zakresu obowiązków objętych zakresem przedmiotowej sprawy; art. 14 w związku z art. 67 § 1 kpa, poprzez niedochowanie zasady pisemności w prowadzonym przez organ postępowaniu w zakresie przeprowadzanych dowodów, w szczególności nieutrwalenia w formie protokołu czynności postępowania, które miały istotne znaczenie dla sprawy. Formułując przedstawione zarzuty, skarżąca wniosła o stwierdzenie nieważności obu decyzji, ewentualnie o ich uchylenie oraz o zasądzenie kosztów postępowania według norm przepisanych.

Udzielając odpowiedzi na skargę, Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, powołując się na argumentację, jakiej użył w podjętych w sprawie decyzjach. W piśmie procesowym z dnia 27 czerwca 2012 r. G. z siedzibą w M. podtrzymała swoje twierdzenia, zarzuty i wnioski, akcentując, że istotą sprawy jest ustalenie, czy przepis art. 36 ust. 3 ustawy o ochronie danych osobowych nakłada na administratora danych obowiązek wyznaczenia administratora bezpieczeństwa informacji w sytuacji, gdy administrator danych samodzielnie wykonuje zadania nadzoru nad przestrzeganiem zasad ochrony.

Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z 5 lipca 2012 r. sygn. akt II SA/Wa 630/12, po rozpoznaniu sprawy ze skargi G. z siedzibą w M. na decyzję Generalnego Inspektora Danych Osobowych z [...] lutego 2012 r. nr [...] w przedmiocie przetwarzania danych, oddalił skargę. W uzasadnieniu Sąd wskazał, że ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j.: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) jest regulacją stwarzającą prawne podstawy stosowania ochrony państwowej w sytuacjach niezgodnego z prawem przetwarzania danych osobowych przez zarówno podmioty prawa publicznego, jak i podmioty prawa prywatnego, które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej (art. 3 ustawy), jak to ma miejsce w rozpoznawanej sprawie, wszak G. z siedzibą w M. przetwarza dane przy użyciu urządzeń i systemów informatycznych, służących do rejestracji obrazu widoku ulicy w ramach usługi S., dostępnej na terytorium Rzeczypospolitej Polskiej.

W celu realizacji wspomnianej ochrony, organ ochrony danych osobowych został wyposażony w kompetencje władcze, umożliwiające mu sankcjonowanie stwierdzanych nieprawidłowości w procesie przetwarzania danych osobowych. Generalny Inspektor Ochrony Danych Osobowych może więc – w drodze decyzji administracyjnej – nakładać stosowne nakazy bądź zakazy, których zasadniczą rolą jest przywrócenie stanu zgodnego z prawem. Wydanie decyzji merytorycznej możliwe jest zatem, gdy organ stwierdza naruszenie przepisów ustawy o ochronie danych osobowych. Organ ochrony danych osobowych jest bowiem zobowiązany do merytorycznego rozstrzygania tylko w tych sytuacjach, w jakich przepisy ustawy o ochronie danych osobowych pozwalają mu na wydanie odpowiedniego zakazu bądź nakazu. GIODO, oceniając stan sprawy i dokonując subsumpcji, stwierdza więc, czy kwestionowane przetwarzanie danych osobowych pozwala mu na władczą ingerencję, w dalszej kolejności zaś, czy znajduje oparcie w przepisach ustawy, i w zależności od występujących w sprawie ustaleń – organ albo wydaje nakaz lub zakaz, ewentualnie odmawia uwzględnienia wniosku, albo umarza postępowanie.

W niniejszej sprawie Generalny Inspektor Ochrony Danych Osobowych miał podstawy do wydania decyzji merytorycznej, nakazującej G. z siedzibą w M. usunięcie uchybienia w procesie przetwarzania danych osobowych, poprzez wyznaczenie administratora bezpieczeństwa informacji.

Zgodnie z brzmieniem art. 36 ust. 3 ustawy o ochronie danych osobowych, administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności. Z uwagi na fakt, iż przepis ten odwołuje się do art. 36 ust. 1 tej ustawy, konieczne jest także przywołanie jego treści. W myśl tego przepisu, administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Dokonując analizy powyższych norm, należy dojść do wniosku, że art. 36 ust. 3 ustawy o ochronie danych osobowych nakłada na administratora danych obowiązek wyznaczenia ("wyznacza") administratora bezpieczeństwa informacji w każdym przypadku, jeśli zadań administratora bezpieczeństwa informacji administrator danych nie wykonuje sam lub nie może wykonywać ich samodzielnie. Rację ma skarżąca, twierdząc, że powyższy przepis przewiduje dwie odrębne sytuacje sprawowania nadzoru nad przestrzeganiem zasad ochrony danych osobowych. Pierwszą jest wyznaczenie administratora bezpieczeństwa informacji, drugą zaś – samodzielne wykonywanie przez administratora danych czynności nadzorczych. Istotnie, odrębność tych dwóch sytuacji potwierdza zwrot "chyba że". Jednakże wprowadzenie takiej właśnie konstrukcji w brzmieniu tego przepisu ma swoje uzasadnienie prawne. Skoro bowiem ustawa o ochronie danych osobowych wskazuje w art. 7 pkt 4, że administratorem danych jest organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych, to nie powinno budzić wątpliwości, że w każdej sytuacji, w której struktura organizacyjna administratora danych jest wieloosobowa, powinien on w ramach tej struktury wyznaczyć osobę fizyczną odpowiedzialną za wykonywanie czynności nadzorczych, powierzając jej obowiązki administratora bezpieczeństwa informacji, i to niezależnie od tego, czy administrator danych jest organem, jednostką organizacyjną, podmiotem czy osobą prawną. Wychodząc z reguł wykładni celowościowej, warto zwrócić uwagę, że ustawodawca, tworząc podstawy bezpieczeństwa w procesie przetwarzania danych osobowych (art. 36 – art. 39 ww. ustawy), swą uwagę koncentruje na odpowiedzialności i możliwości jej egzekwowania, zwłaszcza w wymiarze prawnokarnym (Rozdział 8 ustawy), co w przypadku podmiotów o wieloosobowej strukturze organizacyjnej jest szczególnie ważne. W przepisach prawnokarnych ustawy o ochronie danych osobowych (art. 51, art. 52, art. 53, art. 54) chodzi bowiem o przestępstwa indywidualne, popełniane w związku z naruszeniem przepisów tej ustawy, a więc rzecz dotyczy odpowiedzialności konkretnych osób fizycznych, zważywszy że ustawa rozróżnia pojęcia "administratora danych" i "administrującego zbiorem danych". To z tego względu prawodawca zdecydował o takim właśnie brzmieniu art. 36 ust. 3 ustawy, wprowadzając obowiązek, by osobą odpowiedzialną za nadzór i bezpieczeństwo przetwarzania danych osobowych w podmiotach o wieloosobowej strukturze organizacyjnej była konkretnie wskazana osoba fizyczna. Jedynie bowiem w przypadku administratorów danych, będących osobami fizycznymi, którzy samodzielnie (osobiście) administrują proces przetwarzania danych, ustawa nie nakłada obowiązku wyznaczenia administratora bezpieczeństwa informacji, gdyż tylko w takiej sytuacji administrator danych jednocześnie dzierży uprawnienia i obowiązki administratora bezpieczeństwa informacji, co pozwala na ustalenie jego odpowiedzialności i w konsekwencji na zastosowanie sankcji karnych, gdyby – prowadząc swą działalność – naruszył przepisy o ochronie danych osobowych.

Generalny Inspektor Ochrony Danych Osobowych słusznie wskazuje na przepis art. 18 ust. 2 dyrektywy 9546WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. WE L. 281 z dnia 23 listopada 1995 r., s. 31 ze zm.), który stanowi o powołaniu urzędnika do spraw ochrony danych osobowych, odpowiedzialnego w szczególności za zapewnienie w niezależny sposób wewnętrznego stosowania przepisów prawa krajowego, przyjętych na mocy dyrektywy. Sąd podziela stanowisko organu, że na gruncie ustawy o ochronie danych osobowych administrator bezpieczeństwa informacji jest odpowiednikiem wymienionego w powyższym przepisie dyrektywy urzędnika do spraw ochrony danych osobowych i nie ma racji skarżąca, wywodząc, że powołanie takiego urzędnika wiąże się jedynie z obowiązkiem rejestracji zbiorów danych osobowych. Przede wszystkim przepis ten, poprzez zwrot "w szczególności", wskazuje tylko w sposób przykładowy na jego kompetencje w zakresie prowadzenia rejestru operacji przetwarzania danych, wykonywanych przez administratora danych i zawierających informacje określone w art. 21 ust. 2 dyrektywy, natomiast jego całe brzmienie nie pozostawia wątpliwości, że urzędnik ten ma być powołany przez administratora danych, zgodnie z dotyczącymi go przepisami krajowymi, i ma odpowiadać za ochronę danych osobowych, co w rzeczy samej koresponduje z treścią art. 36 ust. 3 w związku z art. 36 ust. 1 ustawy o ochronie danych osobowych.

Skoro więc przepisy prawa wspólnotowego łączą obowiązek zapewnienia bezpieczeństwa informacji i nadzoru nad przestrzeganiem zasad ochrony danych z konkretną osobą fizyczną (urzędnikiem), to prawidłową jest dokonana przez organ ochrony danych osobowych wykładnia przepisów krajowych w zakresie konieczności powołania przez G. z siedzibą w M. administratora bezpieczeństwa informacji poprzez wskazanie konkretnej osoby fizycznej, która będzie odpowiadała za proces przetwarzania danych. Oceny tej nie podważa podnoszony przez skarżącą zarzut naruszenia art. 2 ust. 3 ustawy o ochronie danych osobowych, mający w istocie prowadzić do stwierdzenia istnienia podstawy nieważności decyzji, o której mowa w art. 156 § 1 pkt 2 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (t. j.: Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.) w związku z art. 2 ust. 3 oraz art. 18 ust. 1 ustawy o ochronie danych osobowych. Przepis art. 2 ust. 3 ustawy o ochronie danych osobowych stanowi, że w odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5. W ocenie skarżącej, w rozpoznawanej sprawie rzecz dotyczy jedynie zbiorów doraźnych, a to oznacza, że jakkolwiek art. 36 ust. 3 ustawy o ochronie danych osobowych został umieszczony w jej Rozdziale 5, to jednak nie mógł on stanowić podstawy do wydania decyzji nakazowej, gdyż w ten sposób wyłączony został ze stosowania art. 18 ust. 1 tej ustawy, umieszczony w Rozdziale 2, będący podstawą merytorycznej decyzji GIODO. Sąd argumentacji tej jednak nie podziela. Wprawdzie organ ochrony danych osobowych przyjął, że w sprawie chodzi o zbiór doraźny, co – w jego ocenie – nie uniemożliwia władczej ingerencji, gdyż kwestia nieprawidłowego zabezpieczenia danych osobowych implikuje konieczność wydania decyzji nakazowej w trybie art. 18 ust. 1 ww. ustawy, z czym należy się zgodzić, jednak – zdaniem Sądu – pogląd o doraźnym charakterze tworzonego przez skarżącą zbioru danych osobowych należy uznać za błędny, co – mimo wszystko – pozostaje bez wpływu na trafność rozstrzygnięcia GIODO, o czym była mowa powyżej.

Analizując treść art. 2 ust. 3 ustawy o ochronie danych osobowych, nie można nie dostrzec, że "doraźność" tworzenia zbiorów danych osobowych na gruncie tego przepisu ma miejsce wówczas, gdy te sporządzane są wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych. Tymczasem w niniejszej sprawie chodzi o rejestrację obrazu widoku ulicy w ramach usługi S. i trudno uznać, by przetwarzanie danych przy użyciu urządzeń i systemów informatycznych w tym przypadku służyło tylko celom technicznym (np. służącym sprawdzeniu sprawności urządzeń), szkoleniowym (np. służącym zorganizowaniu konferencji) czy dydaktycznym (np. służącym przeprowadzeniu wykładu), zważywszy że skarżąca prowadzi zarobkową działalność gospodarczą, a świadczenie przez nią choćby tego rodzaju usług wyklucza jedynie techniczny, szkoleniowy i dydaktyczny cel tworzenia zbioru danych. Co więcej, sposób przepływu danych pomiędzy poszczególnymi systemami i cel, którym jest rejestracja widoku ulicy dla realizacji usługi S., nie pozwalają przyjąć, że w tym przypadku zbiór danych ma charakter doraźny. O doraźnym charakterze zbioru można mówić wówczas, gdy dane osobowe zbierane są na krótko tu i teraz w celu technicznego, szkoleniowego i dydaktycznego ich wykorzystania. Natomiast jeżeli administrator danych, przetwarzając dane osobowe, realizuje określony cel usługowy, nie można uznać, by tworzony w ten sposób zbiór danych był zbiorem doraźnym.

W takim stanie rzeczy, decyzje podjęte w sprawie należy uznać za prawidłowe, zaś zarzuty podniesione w skardze za nieuzasadnione, mające jedynie charakter polemiczny. Sąd nie stwierdził takich naruszeń prawa materialnego i procesowego, które miałyby wpływ na wynik sprawy i skutkowałyby koniecznością uwzględnienia skargi.

Z uwagi na powyższe, Wojewódzki Sąd Administracyjny w Warszawie, działając na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (t. j.: Dz. U. z 2012 r., poz. 270) oddalił skargę.

G. z siedzibą w M. wniosła od wyroku skargę kasacyjną, zaskarżając wyrok w całości. Skargę kasacyjną oparła na zarzutach:

1) naruszenia prawa materialnego, przez błędną wykładnię oraz niewłaściwe zastosowanie, tj.:

a) naruszenie art. 36 ust. 3 w zw. z art. 36 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (j.t.: Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) poprzez błędną ich wykładnię, skutkującą niewłaściwym zastosowaniem tych przepisów, polegająca na przyjęciu, że administrator danych zawsze jest zobowiązany do wyznaczenia administratora bezpieczeństwa informacji, jedynie poza przypadkiem administratorów danych, będących osobami fizycznymi, gdy tymczasem przepis art. 36 ust. 3 ustawy nie wprowadza takiego obowiązku,

b) naruszenie art. 2 ust. 3 ustawy o ochronie danych osobowych, poprzez błędną jego wykładnię oraz niewłaściwe zastosowanie polegające na uznaniu, że przetwarzany przez Skarżącą zbiór danych osobowych nie jest zbiorem doraźnym, o którym mowa w art. 2 ust. 3 ustawy, podczas gdy zbiór ten posiada wszelkie cechy zbioru doraźnego – z uwagi na krótki, z góry określony okres czasu przetwarzania danych osobowych w tym zbiorze, po którym następuje ich anonimizacja oraz wyłącznie techniczny cel tego przetwarzania.

2) naruszenie przepisów postępowania, mogące mieć istotny wpływ na wynik sprawy, tj.:

a) naruszenie art. 134 i art. 3 § 1 i § 2 pkt 1 ustawy – Prawo o postępowaniu przed sądami administracyjnymi w związku z art. 1 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. z 2002 r. nr 153, poz. 1269 ze zm.) poprzez sprawowanie niewłaściwej kontroli nad postępowaniem administracyjnym i wydanie wyroku mimo braku dokonania wszechstronnej analizy całokształtu okoliczności faktycznych i uregulowań prawnych mających znaczenie dla rozstrzygnięcia sprawy, w tym z pominięciem przywoływanych przez Skarżącą okoliczności faktycznych i prawnych oraz podnoszonych przez nią zarzutów,

b) naruszenie art. 141 § 4 ustawy – Prawo o postępowaniu przed sądami administracyjnymi poprzez sporządzenie uzasadnienia wyroku niezawierającego odniesienia się do podniesionych w skardze przez Stronę zarzutów naruszenia przepisów postępowania (w uzasadnieniu pominięto wszystkie zarzuty Skarżącej w tym przedmiocie), przez co uzasadnienie nie zawiera elementów wymaganych w art. 141 § 4 ustawy – Prawo o postępowaniu przed sądami administracyjnymi (wyjaśnienie podstawy prawnej rozstrzygnięcia).

Na tych podstawach wnosiła o:

- uchylenie zaskarżonego wyroku w całości i przekazanie sprawy do ponownego rozpoznania na podstawie art. 185 § 1 ustawy – Prawo o postępowaniu przed sądami administracyjnymi,

- zasądzenie na rzecz Skarżącej zwrotu kosztów postępowania.

W odpowiedzi na skargę kasacyjną Generalny Inspektor Danych Osobowych wnosił o jej oddalenie.

Naczelny Sąd Administracyjny zważył, co następuje:

Zgodnie z art. 183 § 1 ustawy z 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (tj. Dz. U. z 2012 r. poz. 270 ze zm.), Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, bierze jednak z urzędu pod rozwagę nieważność postępowania. W sprawie nie występują, enumeratywnie wyliczone w art. 183 § 2 ustawy – Prawo o postępowaniu przed sądami administracyjnymi, przesłanki nieważności postępowania sądowoadministracyjnego. Z tego względu, przy rozpoznaniu sprawy, Naczelny Sąd Administracyjny związany był granicami skargi kasacyjnej.

Skarga kasacyjna nie została oparta na usprawiedliwionych podstawach. Zgodnie z art. 36 ust. 3 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (tj. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) "Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności". Art. 36 ust. 3 ustawy o ochronie danych osobowych wprowadza obowiązek wyznaczenia administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, w zakresie określonym w art. 36 ust. 1. Od tego obowiązku administrator danych jest zwolniony jeżeli sam wykonuje te czynności. Przyjęta regulacja granic obowiązku wyznaczenia przez administratora danych administratora bezpieczeństwa wymaga rozważenia w aspekcie podmiotowym. Według art. 7 pkt 4 ustawy o ochronie danych osobowych "Ilekroć w ustawie jest mowa o: administratorze danych – rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o której mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych". Według art. 3 ustawy o ochronie danych osobowych, "Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz państwowych i komunalnych jednostek organizacyjnych (ust. 1). Ustawę stosuje się również do: 1) podmiotów niepublicznych realizujących zadanie publiczne, 2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalności zarobkową, zawodową lub dla realizacji celów statutowych – które mają siedzibę albo miejsce zamieszkania terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystywaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej (ust. 2)". Zakres podmiotowy administratora danych osobowych obejmujący osoby prawne, jednostki organizacyjne niemające osobowości prawnej wyznacza dopuszczalność odstąpienia od obowiązku wyznaczenia administratora bezpieczeństwa informacji. Wymaga to odkodowania z regulacji prawnej obowiązującego systemu prawa, zgodnie z regułą wykładni niedopuszczalności wykładni przepisu prawa w oderwaniu od kontekstu regulacji przyjętej w ustawie, regulacji przyjętej w systemie prawa. Z pełnej regulacji przyjętej w kodeksie cywilnym wynika, że obowiązującą reguła jest, że osoby prawne i jednostki organizacyjne niemające osobowości prawnej działają przez swoje organy, jeżeli innych reguł nie przyjmuje ustawa szczególna. Taką regulacją szczególną jest art. 36ust. 3 ustawy o ochronie danych osobowych, z której wynika, że jeżeli administratorem danych jest jednostka organizacyjna mająca osobowość prawną, jak i niemająca osobowości prawnej, obowiązana jest wyznaczyć administratora bezpieczeństwa informacji. Należy w pełni podzielić stanowisko P. Bata i P. Litwińskiego, którzy rozważając, kiedy sam administrator może wykonywać obowiązki administratora bezpieczeństwa informacji, przyjęli: "Choć brak stosownego uzasadnienia zmiany komentowanego przepisu, które umożliwia administratorowi danych samodzielne wykonywanie funkcji ABI (ustawa z 22.1.2004 o zmianie ustawy o ochronie danych osobowych), zdaniem autorów, przepis ten ma umożliwić wykonywanie obowiązków administratora bezpieczeństwa informacji samodzielnie przez administratorów danych będących osobami fizycznymi prowadzącymi działalność gospodarczą. Jednocześnie wydaje się, że ze względu na konstrukcję osób prawnych administrator danych osobowych będący osobą prawną ze swej istoty nie może korzystać z komentowanej instytucji i samodzielnie wykonywać obowiązków administratora bezpieczeństwa informacji. Podkreślić należy, że administrator danych osobowych, który nie wyznaczył administratora bezpieczeństwa informacji, nie może twierdzić, iż z mocy prawa wykonuje w takim przypadku obowiązki ABI samodzielnie. W tym zakresie komentowany przepis nie wprowadza żadnych domniemań, tak więc również samodzielne wykonywanie obowiązków administratora bezpieczeństwa informacji powinno zostać odnotowane w treści dokumentacji danych osobowych" (P. Bata, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2013, s. 356). Takie też stanowisko przyjmuje A. Drozd: "Zgodnie z art. 36 ust. 3 obowiązek wyznaczenia ABI nie dotyczy jednak sytuacji, w której administrator danych sam wykonuje jego obowiązki. Na tle tego przepisu pojawia się wątpliwość, czy administrator danych będący jednostką organizacyjna może wykonywać obowiązki ABI. Mimo, że ustawa o.d.o. nie stanowi o tym wyraźnie, to należy przyjąć, że ABI powinien być osobą fizyczną, a w konsekwencji administrator danych może przejąć jego obowiązki tylko wtedy, gdy jest osobą fizyczną" (A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Warszawa 2006, s. 259). W oparciu o wykładnię systemową należy uznać za w pełni prawidłową wykładnię art. 36 ust. 3 ustawy o ochronie danych osobowych, przyjętą w zaskarżonym wyroku.

Nie jest zasadny zarzut naruszenia art. 2 ust. 3 ustawy z ochronie danych osobowych. W zaskarżonym wyroku Sąd przeprowadził w pełni prawidłową wykładnię. Art. 2 ust. 3 ustanawia expressis verbis sporządzenie zbiorów danych osobowych wyłącznie ze względów technicznych lub w związku z dydaktyką w szkołach wyższych. Nie ma uzasadnionych racji, czego nie podważono w skardze kasacyjnej, aby dane w przedmiotowej sprawie zaliczyć do tego zakresu.

Nie są zasadne zarzuty naruszenia art. 3 § 1 i § 2, art. 134 ustawy – Prawo o postępowaniu przed sądami administracyjnymi w związku z art. 1 ustawy – Prawo o ustroju sądów administracyjnych. Rozpoznanie sprawy sądowoadministracyjnej zostało przeprowadzone zgodnie z przepisami prawa, a uzasadnienie zaskarżonego wyroku jest w pełni tego wyrazem, zarówno co do ustaleń stanu faktycznego, jak i co do zastosowania przepisów prawa. Nie jest zatem też zasadny zarzut naruszenia art. 141 § 4 ustawy – Prawo o postępowaniu przed sądami administracyjnymi.

W tym stanie rzeczy, skoro skarga kasacyjna nie została oparta na usprawiedliwionych podstawach, na mocy art. 184 ustawy – Prawo o postępowaniu przed sądami administracyjnymi, Naczelny Sąd Administracyjny orzekł jak w sentencji.

O kosztach postępowania kasacyjnego Naczelny Sąd Administracyjny orzekł na podstawie art. 204 pkt 1 ustawy – Prawo o postępowaniu przed sądami administracyjnymi.