Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Joanna Banasiewicz Sędziowie sędzia NSA Joanna Runge-Lissowska (spr.) sędzia NSA Tomasz Zbrojewski Protokolant Urszula Radziuk po rozpoznaniu w dniu 3 lipca 2009 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej S. [...][...][...] S.A. Oddział w Polsce od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 16 stycznia 2008 r. sygn. akt II SA/Wa 1801/07 w sprawie ze skargi S. [...][...][...] S.A. Oddział w Polsce na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] sierpnia 2007 r. nr [...] w przedmiocie ochrony danych osobowych oddala skargę kasacyjną.

Wyrokiem z dnia 16 stycznia 2008 r. sygn. akt II SA/Wa 1801/07, Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę S[...][...][...] S.A. Oddział w Polsce na decyzję Głównego Inspektora Ochrony Danych Osobowych z dnia [...] sierpnia 2007 r. nr [...] którą utrzymana została w mocy decyzja tegoż organu z dnia [...] maja 2007 r. nr [...] nakazującą Spółce usunięcie danych osobowych A.J.

W uzasadnieniu wyroku, jego części przedstawiającej stan sprawy, Wojewódzki Sąd wyjaśnił, iż A.J. wystąpił z wnioskiem o nakazanie S[...] usunięcia jego danych osobowych, uzyskanych w związku ze złożeniem mu oferty marketingowej wymiany żółtej karty Geant na srebrną, w wyniku czego wypełnił dwa formularze zawierające jego dane, ale na skutek wieku karty nie otrzymał i wobec tego zwrócił się o zwrot formularzy, czego mu odmówiono, jednak poinformowano, że dane zostały usunięte z systemu bankowego, nie podając kto i w jaki sposób tego dokonał, ani nie przedstawiając protokołu zniszczenia danych. Po otrzymaniu wniosku Generalny Inspektor ustalił, iż Bank pozyskał dane A.J. - imię i nazwisko, datę urodzenia, nazwisko rodowe matki, seria i numer dowodu osobistego, PESEL, seria i nr paszportu, adres zameldowania, sytuacja finansowa, które usunął z systemu informatycznego obsługującego wnioski kredytowe, jednak przechowuje je w tzw. kopiach zapasowych, które - jak wynika z wyjaśnień Banku - obrazują stan danych zapisanych w systemie komputerowym w dacie utworzenia i przechowywane są wyłącznie w celach archiwalnych, służących zapewnieniu bezpieczeństwa Banku, natomiast nie są przetwarzane - wyjaśniał dalej Sąd.

Przechodząc do rozważań, Sąd stwierdził:

Dane A.J. Bank pozyskał na podstawie wniosku o kartę kredytową i przetwarzał je w celu rozpatrzenia tego wniosku, co znajdowało oparcie w art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych, jednak wniosek został rozpatrzony negatywnie i do zawarcia umowy kredytowej nie doszło, a wobec tego odpadła podstawa przetwarzania danych. Zgodnie z art. 26 ust. 1 pkt 2 tej ustawy, administrator danych powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a szczególnie jest obowiązany zapewnić, aby dane były zbierane dla oznaczonych zgodnie z prawem celów i nie były poddawane dalszemu przetwarzaniu, niezgodnie z tymi celami, jeżeli zatem dane A.J. zostały usunięte ze zbioru danych posiadanych przez Bank wobec braku podstaw do ich przetwarzania, to nie ma żadnego uzasadnienia prawnego, aby były one przetwarzane w kopii zapasowej, gdyż, stosownie do art. 2 ust. 2 pkt 2, ustawa stosuje się do przetwarzania danych również poza zbiorem danych osobowych. Przepisy rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jaskim powinni odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, przewidują tworzenie kopii zapasowych zbioru danych oraz programów i narzędzi programowych służących do ich przetwarzania - § 5 pkt 4 - jednak nie uzasadniają przetwarzania danych w kopii zapasowej zbioru, gdy danych nie ma w żadnym ze zbiorów. Istotą kopii zapasowych jest zabezpieczenie danych przetwarzanych w zbiorze przed ich utratą, uszkodzeniem lub zniszczeniem, zatem jeżeli danych nie ma w zbiorze nie ma podstaw do ich przetwarzania w kopii zapasowej. Z kolei Rekomendacja D wydana przez Głównego Inspektora Nadzoru Bankowego, dotycząca zarządzania ryzykami towarzyszącymi systemom informatycznym i telekomunikacyjnym, używanym przez Banki - na co powołuje się S[...] - nie stanowi powszechnie obowiązującego prawa, a jako sprzeczna z przepisami ww. rozporządzenia, nie może stanowić podstawy do przetwarzania danych w kopiach zapasowych.

Reprezentowany przez radcę prawnego, S[...][...][...] S.A. Oddział w Polsce wniósł skargę kasacyjną od tego wyroku, domagając się jego uchylenia i przekazania sprawy Wojewódzkiemu Sądowi Administracyjnemu w Warszawie do ponownego rozpoznania i zarzucając:

1. Naruszenie prawa materialnego, to jest art. 26 ust. 1 pkt 2 ustawy o ochronie danych osobowych poprzez jego błędną wykładnię polegająca na uznaniu, iż przetwarzanie danych osobowych uzyskanych przy składaniu wniosku o kartę kredytową w kopiach zapasowych systemu elektronicznego sprowadzanych przez Bank jest sprzeczne z celami, dla których dane osobowe zostały zebrane.

2. Naruszenie prawa materialnego, to jest § 5 pkt 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych poprzez jego błędną wykładnię polegającą na uznaniu, iż istotą kopii zapasowej jest odzwierciedlenie faktycznego, aktualnego stanu zbioru danych osobowych, a nie stanu zbioru danych osobowych (i systemu informatycznego) na chwile sporządzenia kopii.

3. Naruszenie prawa materialnego, to jest art. 70 w związku z art. 70 ust. 1 w związku z art. 133 ust. 2 pkt 3 i art. 9 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe poprzez ich niezastosowanie prowadzące do naruszenia art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, poprzez jego błędną wykładnię polegająca na przyjęciu, iż przetwarzanie danych osobowych A.J. przez skarżącego w kopiach zapasowych nie było niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez skarżącego jako administratora danych osobowych oraz prowadzące do naruszenia art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych poprzez jego niezastosowanie.

4. Naruszenie przepisów postępowania w postaci art. 145 § 1 pkt 1 lit. c/ P.p.s.a. w związku z art. 8 K.p.a., które miało istotny wpływ na wynik sprawy przed Wojewódzkim Sądem Administracyjnym, polegające na nieuchyleniu zaskarżonej decyzji pomimo naruszenia przepisów postępowania administracyjnego, które mogło mieć istotny wpływ na wynik sprawy administracyjnej.

5. Naruszenie przepisów postępowania w postaci art. 145 § 1 pkt 2 P.p.s.a. w związku z art. 156 § 1 pkt 2 K.p.a., które miało istotny wpływ na wynik sprawy przed Wojewódzkim Sądem Administracyjnym, polegające na nieuchyleniu zaskarżonej decyzji, która została wydana bez podstawy prawnej.

Generalny Inspektor Ochrony Danych Osobowych wniósł o oddalenie skargi kasacyjnej.

Naczelny Sąd Administracyjny zważył, co następuje:

Skarga kasacyjna nie posiada usprawiedliwionych podstaw.

Dane osobowe są tego rodzaju wartością, że podlegają ochronie prawnej, a z mocy art. 1 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), dalej "ustawa o ochronie danych", każdy ma prawo do ochrony dotyczących go danych osobowych. Natomiast przetwarzanie tych danych może mieć miejsce tylko ze względu na dobro publiczne, dobro osoby której dane dotyczą lub dobro osób trzecich w zakresie i trybie przewidzianym tą ustawą, jak stanowi ust. 2 tego artykułu. W niniejszej sprawie A.J. domagał się od skarżącego S[...][...][...] S.A. Oddział w Polsce respektowania swego prawa do ochrony, a Generalny Inspektor Ochrony Danych Osobowych zapewnił realizację tego prawa. Zarówno bowiem Inspektor, jak i Wojewódzki Sąd Administracyjny stanęły na stanowisku, które w istocie należy sprowadzić do stwierdzenia, że skoro administrator danych osobowych utracił prawo do przetwarzania danych konkretnego podmiotu, to spoczywający na nim obowiązek ochrony tych danych polega na usunięciu danych tego podmiotu ze swego systemu informatycznego. Z takim rozumieniem ochrony danych osobowych skarżący [...] zgadza się co do zasady, zaś spór powstał z tego powodu, że Inspektor i Sąd uznają, iż należy w ogóle dokonać usunięcia danych z systemu, zaś [...], że obowiązek ten jest wykonany, gdy usunięcie następuje jedynie z "systemu głównego", zaś możliwe jest pozostawienie ich w kopii zapasowej. Ze stanowiskiem skarżącego nie można się zgodzić.

S[...] uzyskał prawo przetwarzania danych osobowych A.J., kiedy, korzystając z oferty, wystąpił on o "zamianę karty żółtej na srebrną", bowiem przetwarzanie danych miałoby służyć zawarciu umowy kredytowej . Z mocy art. 23 ust. 1 pkt 3 ustawy o ochronie danych przetwarzanie danych osobowych w takim przypadku jest dopuszczalne, gdyż niezbędne do podjęcia działań przed zawarciem umowy z osobą, której dane dotyczą. Jednak do zawarcia umowy pomiędzy S[...] a A.J. nie doszło, a wobec tego [...] nie miał już podstawy do przetwarzania danych osobowych, wręcz przetwarzanie ich stało niedopuszczalne, co wynika a contrario z cyt. wyżej przepisu. Skoro zatem odpadła podstawa do przetwarzania danych osobowych A.J., to koniecznym stało się ich usunięcie przez S[...] ze zbioru danych. Jak należy rozumieć pojecie zbioru danych wyjaśnia to art. 7 pkt 1 ustawy o ochronie danych i zgodnie z nim jest to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcyjnie. Z definicji tej wynika, że obowiązek usunięcia ze zbioru danych ze względu na ich zbędność dla realizacji celu, dla którego zostały zebrane, o którym mowa w art. 35 ust. 2 ustawy o ochronie danych, polega na usunięciu ich ze zbioru w ww. rozumieniu, a więc jeżeli jest on nawet rozproszony lub podzielony funkcyjnie.

Wynikający z art. 26 ust. 1 ustawy o ochronie danych, nałożony na administratora danych, obowiązek ich ochrony spoczywa na nim wówczas, gdy ma on prawo do przetwarzania danych osobowych, wypływające z art. 23 ustawy. Prawo bowiem przetwarzania danych nakłada na administratora obowiązek ich właściwego zabezpieczenia, w sposób przewidziany w art. 36 i następnych ustawy o ochronie danych, a także w przepisach wykonawczych do niej, wydanych na podstawie jej art. 39a, tj. w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 19 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 10, poz., 1024), dalej "rozporządzenie.

To § 5 pkt 4 tego rozporządzenia wprowadza pojęcie "kopii zapasowych" zbiorów danych, jednak pamiętać należy, że jest to środek mający zapewnić ochronę przetwarzania danych osobowych. Kopia zapasowa zbioru danych osobowych nie jest wartością samą w sobie, mogącą pozostawać poza regułami wynikającymi z ustawy o ochronie danych, tj. istnieć poza zbiorem danych osobowych. Może ona być bowiem jedynie częścią tego zbioru, gdyż tak to rozumie art. 7 pkt 1 tej ustawy. Istnienie danych osobowych w kopii zapasowej zbioru danych jest przewidziane zapewnieniu ich ochrony w sytuacji, gdy dany podmiot ma prawo przetwarzania danych osobowych, jest więc ich administratorem. Jednak gdy podmiot ten nie ma prawa do posiadania danych osobowych w ogóle to jaka jest podstawa przetwarzania tych danych w kopiach zapasowych zbioru danych osobowych. Przetwarzanie danych osobowych, to zgodnie z art. 7 pkt 2 ustawy o ochronie danych osobowych, m.in. ich przechowywanie.

Skoro, tak jak w niniejszej sprawie, odpadła podstawa prawna do posiadania danych osobowych, powstał zaś obowiązek ich usunięcia ze zbioru danych, o którym mowa w art. 7 pkt 1 tej ustawy, to jaki przepis prawa pozwala na ich dalsze przetwarzanie? W takiej sytuacji przetwarzanie danych przez administratora ma polegać wyłącznie na ich usunięciu ze zbioru danych, a nie przechowywaniu w kopiach zapasowych. Przechowywanie bowiem danych osobowych w kopiach zapasowych jest niczym innym jak przetwarzanie tych danych, a przetwarzanie jest możliwe tylko w przypadkach przewidzianych w ustawie. W niniejszej sprawie przetwarzanie danych było niezbędne do ew. zawarcia umowy, ale skoro do tego nie doszło, przetwarzanie danych przez ich przechowywanie w kopiach zapasowych nie ma podstaw prawnych. S[...] nie będąc uprawniony do przetwarzania danych A.J. popełnia wykroczenie (art. 49 ust. 1 ustawy o ochronie danych osobowych) i czyni prawa A.J. do ochrony jego danych iluzorycznymi, bowiem w istocie pozbawia go możliwości tej ochrony, gdyż zamiast usunąć dane ze zbioru, w istocie przechowuje je.

Przechowywanie danych osobowych A.J. przez S[...] w kopiach zapasowych zbioru, w sytuacji gdy nie doszło do zawarcia umowy kredytowej, nie znajduje żadnego oparcia w przepisach, nie zachodzi sytuacja, o której mowa w art. 26 ustawy o ochronie danych, ani nie jest usprawiedliwione przepisami Prawa bankowego, wskazanymi w podstawach skargi kasacyjnej. Wszelkie bowiem ryzyko S[...] skończyło się z chwilą niedojścia do zawarcia umowy kredytowej. A.J. nie został jego klientem, a jeśli mówić o jakichkolwiek rygorach Prawa bankowego to może mieć to miejsce jedynie w przypadku zawarcia umowy. Skoro do niej nie doszło i S[...] nie miał prawa do przechowywania danych osobowych w zbiorze danych, to tym bardziej nie ma tego prawa do przechowywania ich w kopii zapasowej.

Wobec powyższego orzeczono jak w sentencji, na podstawie art. 184 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.).