Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Danuta Kania Sędziowie WSA Jacek Fronczyk Ewa Grochowska - Jung (spr.) Protokolant starszy referent Marcin Borkowski po rozpoznaniu na rozprawie w dniu 9 kwietnia 2013 r. sprawy ze skargi Prezydenta Miasta L. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] lutego 2012 r. nr [...] w przedmiocie ochrony danych osobowych oddala skargę.

Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] lutego 2012 r. nr [...], na podstawie art. 138 § 1 pkt 1 K.p.a. oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1, art. 22 w zw. z art. 36 ust. 2 i art. 39 ust. 1 pkt 4 i art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. nr 101, poz. 926 z późn. zm.), § 4 i § 5 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. nr 100, poz. 1024) oraz pkt 11 ust. 2a) i pkt IV ust. 2 części A załącznika do ww. rozporządzenia, utrzymał w mocy decyzję własną z dnia [...] grudnia 2011 r. nr [...] w sprawie ochrony danych osobowych.

W sprawie ustalono stan faktyczny. W dniu [...] grudnia 2011 r. Generalny Inspektor Ochrony Danych Osobowych wydal decyzję nr [...], nakazującą Prezydentowi Miasta L. usunięcie uchybień w procesie przetwarzania danych osobowych poprzez:

1. Zgłoszenie do rejestracji zbioru danych osobowych przetwarzanych w systemie informatycznym o nazwie "[...]".

2. Uzupełnienie polityki bezpieczeństwa o następujące informacje, dotyczące przetwarzania danych osobowych w systemie informatycznym o nazwie "[...]": wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; opis struktury zbiorów danych, wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; sposób przepływu danych pomiędzy poszczególnymi systemami; określenie środków technicznych i organizacyjnych, niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

3. Uzupełnienie instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych o następujące informacje, dotyczące przetwarzania danych osobowych w systemie informatycznym o nazwie "[...]": procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem; procedury rozpoczęcia, zawieszenia i zakończenia pracy, przeznaczone dla użytkowników systemu; procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania; sposób, miejsce i okres przechowywania: elektronicznych nośników informacji, zawierających dane osobowe, kopii zapasowych, o których mowa powyżej; sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego; sposób realizacji wymogu odnotowania przez systemy informatyczne informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępniania; procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

4. Zawarcie w ewidencji osób upoważnionych do przetwarzania danych osobowych identyfikatorów użytkowników systemu informatycznego o nazwie "[...]".

5. Zapewnienie, aby w systemie informatycznym o nazwie "[...]" był rejestrowany odrębny identyfikator dla każdego użytkownika tego systemu.

6. Zapewnienie, aby hasło użytkownika oraz administratora systemu informatycznego o nazwie "[...]" było zmieniane co 30 dni.

W dniu [...] stycznia 2012 r. Prezydent Miasta L. złożył do Generalnego Inspektora Ochrony Danych Osobowych wniosek o ponowne rozpatrzenie sprawy, zakończonej powyższą decyzją i umorzenie wszczętego postępowania administracyjnego, wskazując, że w systemie informatycznym o nazwie "[...]'' nie są przetwarzane dane osobowe w rozumieniu art. 6 ust. 1 pkt 1, pkt 2 i pkt 3 ustawy o ochronie danych osobowych, a dane w nim zawarte nie stanowią zbioru danych osobowych, o którym mowa w art. 7 pkt 1 ustawy, który to na podstawie art. 40 ustawy podlegałby obowiązkowi zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.

Generalny Inspektor Ochrony Danych Osobowych, po ponownym rozpatrzeniu sprawy, w decyzji utrzymującej w mocy decyzję organu I instancji, wskazał, że argumenty podniesione we wniosku o ponowne rozpatrzenie sprawy nie zasługują na uwzględnienie, bowiem w systemie informatycznym o nazwie "[...]" przetwarzane są dane osobowe, tworzące zestaw danych dostępnych według określonych kryteriów, a więc będący zbiorem danych osobowych, podlegającym zgłoszeniu do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.

W pierwszej kolejności organ nie zgodził się z twierdzeniem, że numer rejestracyjny pojazdu nie jest daną osobową. Wyjaśnił, że określona informacja stanowi daną osobową, jeżeli podmiot dysponujący tą informacją jest w stanie zidentyfikować osobę, której dotyczy ta informacja, bez ponoszenia nadmiernych kosztów, czasu, działań. Tak więc będzie to zależeć od możliwości, jakimi dysponuje dany podmiot, w tym dostępu do innych informacji dotyczących danej osoby. Natomiast Straż Miejska w L., dysponując uprawnieniami wynikającymi z ustawy z dnia 29 sierpnia 1997 r. o strażach gminnych (Dz. U. nr 123, poz. 779 ze zra.), w tym posiadając dostęp do Centralnej Ewidencji Pojazdów i Kierowców, będzie mogła ustalić tożsamość osoby, np. właściciela pojazdu, posiadając zarejestrowany wizerunek czy też numer rejestracyjny pojazdu, bez nadmiernego wysiłku i nakładów. Straż Miejska Miasta L. będzie zatem mogła identyfikować osoby, których dotyczą informacje, zarejestrowane przez system informatyczny o nazwie "[...]", a zatem informacje te należy uznać za dane osobowe w rozumieniu art. 6 ustawy.

Organ nie zgodził się też ze stanowiskiem strony, iż wyłącznym kryterium dostępu do obrazów zdarzeń, zarejestrowanych w systemie informatycznym o nazwie "[...]", jest jedno kryterium, tj. kryterium czasu zarejestrowania obrazu. Wyjaśnił, że błędne jest twierdzenie, iż kryterium dostępu do danych nie stanowi miejsce zdarzenia, albowiem kamery mają charakter stacjonarny i dlatego położenie kamery nie jest żadnym takim kryterium, a jedynie prostym uwarunkowaniem technicznym. Wyszukanie danego zdarzenia jest realizowane bowiem według miejsca wystąpienia zdarzenia a nie miejsca położenia kamery. Tak więc dostęp do danych osobowych, przetwarzanych w "[...]", jest możliwy według kryteriów, jakimi są czas oraz miejsca zdarzenia, a zatem organ uznał, że system ten zawiera zestaw danych osobowych, dostępnych według określonych kryteriów, będący zbiorem danych osobowych w rozumieniu art. 7 pkt 1 ustawy.

Organ nie zgodził się również z twierdzeniem Prezydenta, iż zbiór danych osobowych, przetwarzanych w przedmiotowym systemie informatycznym, podlega zwolnieniu z obowiązku rejestracji na podstawie art. 43 ust. 1 pkt 2 ustawy o ochronie danych osobowych, zgodnie z którym z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych przetwarzanych dla potrzeb postępowania sądowego, ponieważ w przypadku ustalenia danych osobowych potencjalnego sprawcy wykroczenia i braku zgody na przyjęcie mandatu, sprawa taka najczęściej kończy się wnioskiem o ukaranie kierowanym do sądu. Organ wyjaśnił, bowiem że z dotychczasowych ustaleń wynika, iż w zbiorze danych osobowych, przetwarzanych w "[...]", są przetwarzane dane osobowe, które mogą być wykorzystane w toku postępowania sądowego oraz takie, które w takim postępowaniu nie będą wykorzystane (gdy osoba ukarana przyjmie mandat). Do takich zbiorów danych osobowych, zgodnie z utrwaloną praktyką Generalnego Inspektora Ochrony Danych Osobowych, nie ma zastosowania przesłanka określona w art. 43 ust. 1 pkt 2 ustawy. Organ stwierdził też, że nie można uznać, aby jakakolwiek inna przesłanka, określona w art. 43 ust. 1 ustawy, zwalniała stronę z obowiązku zgłoszenia zbioru danych osobowych, przetwarzanych w systemie informatycznym o nazwie "[...]", do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.

Organ wyjaśnił też, że błędnym jest twierdzenie, iż w zbiorze danych osobowych muszą być przetwarzane dane osobowe będące informacjami dotyczącymi zidentyfikowanej osoby, ponieważ z art. 6 w związku z art. 7 pkt 1 ustawy wynika, iż możliwy jest przypadek, gdy zbiór danych osobowych będzie zawierał wyłącznie takie dane osobowe, które są informacjami dotyczącymi osoby możliwej do zidentyfikowania, natomiast nie będzie zawierał danych osobowych będących informacjami dotyczącymi zidentyfikowanej osoby, a za taki zbiór można uznać zbiór danych, przetwarzanych w "[...]".

Nie zgodził się też z argumentem Prezydenta, że zbiór danych osobowych, przetwarzanych w "[...]", ma charakter doraźny.

Powyższa decyzja stała się przedmiotem skargi Prezydenta Miasta L. do Wojewódzkiego Sądu Administracyjnego w Warszawie. Skarżący zarzucił zaskarżonej decyzji:

1) naruszenie art. 40 w zw. z art. 6 ust. 1-3 oraz art. 7 pkt 1 ustawy o ochronie danych osobowych poprzez ich błędną wykładnię i nieprawidłowe zastosowanie do stanu faktycznego sprawy, polegające na uznaniu, ze system monitoringu wizyjnego Miasta L. stanowi zbiór danych osobowych w rozumieniu tejże ustawy i że podlega obowiązkowi zgłoszenia przez Prezydenta Miasta L. do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych;

2) naruszenie art. 18 ust. 2 w zw. z art. 36 ust. 2 ustawy o ochronie danych osobowych poprzez nieprawidłowe zastosowanie do stanu faktycznego sprawy, polegające na utrzymaniu w mocy nakazu aby Prezydent Miasta L. prowadził dokumentację, opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne, zapewniające ochronę danych osobowych w systemie monitoringu Miasta L. w sytuacji, gdy system ten danych osobowych w rozumieniu ustawy o danych osobowych nie przetwarza;

3) naruszenie przepisów art. 6, art. 7, art. 8, art. 10 § 1, art. 77 § 1, art. 80 i art. 107 § 1 i 3 w zw. z art. 140 K.p.a. poprzez wydanie decyzji bez dokładnego wyjaśnienia stanu faktycznego sprawy oraz wyczerpującego zebrania materiału dowodowego i bez uzasadnienia faktycznego decyzji (w rozumieniu art. 107 § 3 K.p.a.) oraz bez wyjaśnienia prawnego (w rozumieniu art. 107 § 3 K.p.a.) a ponadto bez zapewnienia stronie czynnego udziału w każdym stadium postępowania, bowiem przed wydaniem zaskarżonej decyzji nie mogła się ona wypowiedzieć co do zebranych dowodów i materiałów, co naruszyło zasadę praworządności, prawdy obiektywnej i pogłębiania zaufania do organów Państwa, naruszając przy tym prawo strony do skutecznej ochrony swych interesów w stopniu mającym wpływ na wynik postępowania;

4) oparcie zaskarżonej decyzji (podstawa prawna) w części na nieistniejącym przepisie prawa tj. na art.: "39 ust. 1 pkt 4" ustawy o ochronie danych osobowych, podczas gdy norma prawna o takim oznaczeniu w ustawie tej nie występuje;

5) naruszenie przepisów art. 138 § 1 pkt 2 w związku z art. 105 § 1 K.p.a. poprzez ich niezastosowanie w sprawie i nieuchylenie decyzji GIODO z dnia [...] grudnia 2011 r. w części dot. pkt 5 i 6 sentencji tejże decyzji i nieumorzenie postępowania w tym zakresie w sytuacji, gdy GIODO uzyskał wiedzę (na skutek powiadomienia, zawartego we wniosku strony z dnia [...] stycznia 2012 r. o ponowne rozpoznanie sprawy), że strona zrealizowała czynności, polegające na zapewnieniu rejestrowania w systemie informatycznym [...] odrębnych identyfikatorów dla każdego użytkownika systemu oraz zapewnieniu zmiany haseł użytkowników oraz administratora w/w systemu informatycznego co 30 dni.

Wniósł o uchylenie w całości zaskarżonej decyzji Generalnego Inspektora Ochrony Danych Osobowych oraz poprzedzającej ją decyzji I instancji, a także o zasądzenie od organu na rzecz skarżącego zwrotu kosztów postępowania przed sądem administracyjnym.

W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, podtrzymując stanowisko wyrażone w zaskarżonej decyzji.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.

Zgodnie z treścią art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. nr 153, poz. 1269 ze zm.), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.

Skarga Prezydenta Miasta L. analizowana pod tym kątem nie zasługuje na uwzględnienie.

Istota sporu w niniejszej sprawie sprowadza się do ustalenia, czy system monitoringu wizyjnego Miasta L. stanowi zbiór danych osobowych w rozumieniu ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz. U. z 2002 r. nr 101, poz. 926 ze zm.) i w związku z tym, czy podlega on obowiązkowi zgłoszenia przez Prezydenta Miasta L. do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.

Zgodnie z art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz. U. z 2002 r. nr 101, poz. 926 ze zm.), administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1, zgodnie zaś z tym ostatnim przepisem z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:

1) zawierających informacje niejawne,

1a) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności,

2) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym,

2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej,

2b) przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym,

2c) przetwarzanych przez właściwie organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej,

3) dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego,

4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,

5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,

6) tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego,

7) dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,

8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,

9) powszechnie dostępnych,

10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,

11) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.

Stosownie zaś do art. 7 ust 1 cytowanej ustawy, przez zbiór danych należy rozumieć każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

Zgodnie z art. 6 cytowanej ustawy, za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (ust 1). Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (ust 2). Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (ust 3).

Pojęcie zbioru danych należy do podstawowych pojęć ustawy. Ustalenie jego zakresu ma zasadnicze znaczenie dla wyznaczenia zakresu stosowania całej ustawy oraz jej poszczególnych rozwiązań. W rozumieniu ustawy zbiorem danych jest zestaw danych o charakterze osobowym, posiadający własną strukturę, w którym dane są dostępne według określonych kryteriów. Nie jest natomiast istotne to, czy zestaw ten jest scentralizowany, czy rozproszony, jednolity albo podzielony funkcjonalnie bądź geograficznie. Pojęcie zbioru danych obejmuje swym zakresem zarówno zbiory zautomatyzowane, jak i niezautomatyzowane (manualne, tradycyjne). Można więc przyjąć, iż ochrona nie jest uzależniona od techniki zastosowanej przy tworzeniu czy eksploatowaniu zbioru. Nieistotny jest też rodzaj nośnika zbioru danych (por. J. Barta, P. Fajgielski, R. Markiewicz "Ochrona danych osobowych. Komentarz.", publ. LEX Nr 106659).

Zawartość zbioru tworzyć mogą dane (informacje) wyrażone w różny sposób - słowem, dźwiękiem (np. zbiory nagranych wypowiedzi), obrazem (np. zbiory zdjęć używane do identyfikacji sprawców przestępstw) itd. Można przy tym uznać, że zbiorem danych osobowych jest zarówno zestaw danych, odnoszących się do wielu osób, jak i odnoszących się do jednej osoby (tamże).

W cytowanej natomiast definicji danych osobowych należy wyróżnić takie elementy jak: 1) informacja; 2) dotycząca osoby fizycznej; 3) zidentyfikowanej lub możliwej do zidentyfikowania. Przez informację należy rozumieć komunikaty (wiadomości, wypowiedzi, prezentacje) wyrażone i zapisane w jakikolwiek sposób znakami graficznymi, symbolami, w języku komputerowym, na fotografii, na taśmie magnetofonowej lub magnetowidowej itd., niezależnie od sposobu, zakresu i swobody ich udostępniania, jak też niezależnie od sposobu ich pozyskania. Natomiast zastrzeżenie, iż informacje powinny "dotyczyć osoby fizycznej" ma to znaczenie, że poza polem zainteresowania sytuuje zbiory informacji (ujęte np. w formę rejestrów i ewidencji), dotyczących podmiotów innych niż osoby fizyczne, a więc wszelkich jednostek organizacyjnych, niezależnie od tego, czy posiadają one osobowość prawną (w tym klubów, stowarzyszeń, grup nieformalnych), organów administracji państwowej oraz samorządowej i innych. Informacja wtedy "dotyczy osoby fizycznej", gdy "przekazuje" (komunikuje) coś na jej temat. Zatem pojęcie danych osobowych obejmuje wszelkie informacje dotyczące osoby fizycznej, o ile możliwe jest zidentyfikowanie tej osoby. Za osobę możliwą do zidentyfikowania uważana jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Numerami identyfikacyjnymi są: numer powszechnego elektronicznego systemu ewidencji ludności (PESEL); numer identyfikacji podatkowej (NIP), a także numer dokumentu tożsamości (dowodu osobistego oraz paszportu). Natomiast czynnikami określającymi cechy osoby mogą być m.in.: wygląd zewnętrzny, wzór siatkówki oka (cechy fizyczne); struktura kodu genetycznego, grupa krwi (cechy fizjologiczne); status majątkowy (cechy ekonomiczne); pochodzenie, poglądy polityczne, przekonania religijne lub filozoficzne oraz przynależność wyznaniowa, partyjna lub związkowa (cechy te można zaliczyć do cech umysłowych, kulturowych lub społecznych, w zależności od sposobu interpretacji tych pojęć). Wskazane powyżej czynniki nie wyczerpują otwartego katalogu rodzajów informacji, które mogą być przypisane konkretnej osobie fizycznej (tamże).

W rozpoznawanej sprawie Straż Miejska w L., realizując uprawnienia ustawowe do obserwowania i rejestrowania obrazu zdarzeń w miejscach publicznych przy użyciu środków technicznych, przetwarza w ramach monitoringu wizyjnego dane osobowe w postaci wizerunków (obrazów) osób przebywających na miejscach objętych zasięgiem monitoringu, a także inne informacje dotyczące tych osób, takie jak sposób zachowania, numery rejestracyjne pojazdów. Dane te prowadzą bowiem do identyfikacji osoby.

Jak słusznie podnosi organ wizerunek osoby zarejestrowanej przez kamery monitoringu będzie prowadził do identyfikacji takiej osoby przez inne osoby, które je znają. Nie można też przyjąć, że numer rejestracyjny pojazdu nie może prowadzić do identyfikacji osoby, a zatem, że nie stanowi on danych osobowych w rozumieniu cytowanego art. 6 ustawy o ochronie danych osobowych. Straż Miejska, na podstawie art. 80c ust 1 pkt 10a ustawy z dnia 20 czerwca 1997 r. - Prawo o ruchu drogowym (tekst jednolity z 2005 r. Dz. U. nr 108, poz. 908 ze zm.), posiada bowiem prawo dostępu do danych, zawartych w Centralnej Ewidencji Pojazdów i Kierowców, ma więc możliwość ustalenia tożsamości właściciela pojazdu, posiadając numer rejestracyjny pojazdu, bez nadzwyczajnego wysiłku i nakładów.

Bezzasadny jest również zarzut strony skarżącej dotyczący niemieszczenia się zarejestrowanych danych w definicji zbioru danych z uwagi na fakt, że informacje te są klasyfikowane jedynie według jednego kryterium – czasu zdarzenia, podczas gdy ustawodawca wymaga, by dane zawarte w zbiorze danych były dostępne przynajmniej według dwóch kryteriów. Należy bowiem zgodzić się z organem, że dane zarejestrowane w ramach monitoringu wizyjnego zapisywane są według kryterium czasu, ale również według kryterium miejsca zdarzenia, które jest tożsame z miejscem umieszczenia kamery.

Odnosząc się z kolei do twierdzeń strony skarżącej, że Generalny Inspektor Ochrony Danych Osobowych w licznych swoich wystąpieniach wskazywał na problem związany ze stosowaniem monitoringu i wideonadzoru, należy stwierdzić, że okoliczności te nie mają znaczenia w sprawie. Przedmiotem niniejszego postępowania jest badanie legalności zaskarżonych decyzji i wyrażonych tam rozstrzygnięć organu w ustalonym stanie faktycznym, nie zaś odrębnych wystąpień organu w oderwaniu od niniejszej sprawy.

Niezrozumiały dla Sądu jest zarzut naruszenia art. 18 ust 2 w zw. z art. 36 ust 2 cytowanej ustawy. Stosownie bowiem do art. 18 ust 2 cytowanej ustawy, decyzje Generalnego Inspektora, o których mowa w ust. 1, nie mogą ograniczać swobody działania podmiotów zgłaszających kandydatów lub listy kandydatów w wyborach na urząd Prezydenta Rzeczypospolitej Polskiej, do Sejmu, do Senatu i do organów samorządu terytorialnego, a także w wyborach do Parlamentu Europejskiego, pomiędzy dniem zarządzenia wyborów a dniem głosowania. Natomiast art. 36 ust 2 stanowi, że administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1. Nawet jeśli przyjąć, że skarżący miał na myśli art. 18 ust 1 pkt 1 w zw. z art. 36 ust 2 cytowanej ustawy, należy wskazać, że zarzut ten nie mógł by być uwzględniony skoro Sąd uznał, że gromadzony prze stronę skarżącą zbiór danych ma charakter zbioru wymienionego w art. 7 ust 1 i podlega obowiązkowi zgłoszenia Generalnemu Inspektorowi Ochrony Danych Osobowych.

Niezasadne są też zarzuty naruszenia przepisów procesowych w trakcie postępowania. W ocenie Sądu, organ prawidłowo przeprowadził postępowanie administracyjne, ustalił stan faktyczny w sprawie, zebrał materiał dowodowy, informował stronę o możliwości zapoznania się z zebranym materiałem dowodowym, doręczał pisma i rozstrzygnięcia, wyczerpująco odpowiadał na zarzuty podnoszone w postępowaniu administracyjnym i wydał rozstrzygnięcia odpowiadające przepisowi art. 107 K.p.a.

Nie zasługuje również na uwzględnienie zarzut dotyczący oparcia zaskarżonej decyzji w części na nieistniejącym przepisie prawa, tj. na art.: "39 ust. 1 pkt 4" ustawy o ochronie danych osobowych. Należy bowiem wskazać, że Generalny Inspektor Ochrony Danych Osobowych postanowieniem z dnia [...] marca 2012 r. nr [...], na podstawie art. 113 § 1 oraz art. 123 K.p.a. w zw. z art. 22 ustawy o ochronie danych osobowych, sprostował omyłkę pisarską i w miejsce "art. 39 ust. 1 pkt 4" wpisał "art. 39 ust. 1 pkt 3". Powyższe postanowienie zostało utrzymane w mocy postanowieniem z dnia [...] kwietnia 2012 r., a następnie obydwa rozstrzygnięcia zostały poddane kontroli sądowej. Wojewódzki Sąd Administracyjny w Warszawie w prawomocnym wyroku, oddalającym skargę Prezydenta Miasta L. na powyższe postanowienie, wskazał, że wskazania zawarte w uzasadnieniu decyzji co do podstawy prawnej rozstrzygnięcia są wiążące i stanowią potwierdzenie, że w sentencji decyzji w zakresie wskazania podstawy prawnej doszło do omyłki (błędu). Sprostowanie tej omyłki (błędu) nie prowadzi do rozbieżności między rozstrzygnięciem a uzasadnieniem decyzji oraz do zmiany merytorycznej decyzji. W tej konkretnej sprawie należy przyjąć, że omyłka (błąd), którą sprostowano, nie była istotna, gdyż jej sprostowanie nie prowadzi do merytorycznej zmiany decyzji.

Mając powyższe na uwadze, należy stwierdzić, że zaskarżone decyzje odpowiadają prawu, a skarga jako niezasadna podlega oddaleniu.

Dlatego też Wojewódzki Sąd Administracyjny w Warszawie, działając na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (tekst jednolity Dz. U. z 2012 r., poz. 270 ze zm.), orzekł jak w sentencji.