Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie, w składzie następującym: Przewodniczący Sędzia NSA Małgorzata Jaśkowska (spr.) Sędzia WSA Maria Werpachowska Asesor WSA Jacek Fronczyk Protokolant Beata Gibzińska po rozpoznaniu na rozprawie w dniu 22 stycznia 2004 r. sprawy ze skargi S. Spółka z o.o. w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] lipca 2002 r. Nr. [...] w przedmiocie ochrony danych osobowych oddala skargę

Stan faktyczny przedstawiał się następująco. W dniach [...] grudnia 2001 r. inspektorzy upoważnieni przez Generalnego Inspektora Ochrony Danych Osobowych przeprowadzili na podstawie art. 14 ustawy o ochronie danych osobowych w "S." Sp. z o.o. kontrolę zgodności przetwarzania danych osobowych z przepisami ustawy i rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 80, poz. 521 ze zm.). Na podstawie zebranego materiału dowodowego ustalili, że Spółka jako administrator danych naruszyła przepisy o ochronie danych poprzez:

1) niezrealizowanie wobec klientów, których dane pozyskano od Spółki z o.o. "C.", obowiązku informacyjnego w zakresie danych i obowiązku informacyjnego z art. 25 ustawy wobec wszystkich klientów spółki przed wydaniem pierwszej oferty marketingowej.

Ponadto stwierdzili, że klienci, których dane pozyskano od Spółki "C." zostali wprowadzeni w błąd przez podanie w piśmie przewodnim, że obie Spółki nawiązały współpracę w celu ochrony pojazdów, gdy z treści umowy sprzedaży z [...]czerwca 2001 r. wynikało, że podstawą była umowa sprzedaży bazy danych.

2) niezapewnienia przez system informatyczny "[...]" (CROP) odnotowania informacji komu i w jakim zakresie dane zostały udostępnione.

W wyniku przeprowadzonego postępowania wszczętego z urzędu [...] lutego 2002 r. Generalny Inspektor Ochrony Danych Osobowych w dniu [...] maja 2002 r. wydał decyzję [...]nakazującą usunięcie uchybień w procesie przetwarzania danych osobowych poprzez:

- dopełnienie wobec klientów, których dane pozyskano od Spółki "C." i włączono do CROP obowiązku informacyjnego w zakresie źródła danych, tj. poinformowania o pełnej nazwie podmiotu oraz jego siedziby w terminie 1 miesiąca od dnia, kiedy stanie się ostateczna decyzja,

- dopełnienie wobec wszystkich klientów "S." obowiązku informacyjnego z art. 25 ustawy bezpośrednio po utrwaleniu zebranych danych przed wysłaniem pierwszej oferty marketingowej. W pozostałym zakresie postępowanie umorzono.

W uzasadnieniu powołano się na art. 25 ust. 1 ustawy o ochronie danych osobowych, wg. którego bezpośrednio po zebraniu danych należy poinformować m. in. o źródle danych. Wskazano, że nie uczyniono tego wobec wszystkich klientów przed rozpoczęciem wykorzystania danych osobowych. Poza tym informacja nie była pełna, nie zawierała oznaczenia podmiotu wraz z adresem. Klienci byli też wprowadzani w błąd co do celu przetwarzania danych. Nie mieli dostępu do zawartych miedzy spółkami umów.

W dniu 4 czerwca 2002 r. Spółka złożyła wniosek o ponowne rozpatrzenie sprawy i uchylenie powyższej decyzji. Wskazała, że wykonała obowiązek informacyjny z art. 25 ust. 1 pkt 3 ustawy. Artykuł ten nie określa zaś zakresu informacji. Podniosła, że wyznaczony termin na usunięcie uchybień nie znajduje podstawy w przepisach prawnych. Powołała się też na dyrektywę Parlamentu Europejskiego i Rady z 24 października 1995 r. wyłączającą obowiązek informacyjny w razie znacznych nakładów (art. 11 ust. 2).

W wyniku ponownej analizy materiału dowodowego GIODO decyzją z dnia [...] lipca 2002 r. znak [...]podtrzymał swoje wcześniejsze rozstrzygnięcie w sprawie powtarzając dotychczasowe argumenty.

W dniu[...]sierpnia 2002 r. "S." Sp. z o.o. zaskarżyła tę decyzję do Naczelnego Sadu Administracyjnego. Wniosła o jej uchylenie i wstrzymanie wykonania, a także zasądzenia kosztów postępowania. Zarzuciła jej błędną wykładnię art. 25 ustawy przez przyjęcie, że ma on zastosowanie w sprawie, a w przypadku uznania tego zarzutu za niezasadny - błędną wykładnię art. 25 przez przyjęcie, że podanie źródła danych musi zawierać pełne przytoczenie nazwy podmiotu udostępniającego dane i jego siedziby, że wysłanie oferty marketingowej może nastąpić dopiero po spełnieniu obowiązku informacyjnego, a także naruszenie swobodnej oceny dowodów (art. 80 kpa) przez stwierdzenie, że pismo z 1 lipca 2001 r. wraz z załącznikami zawierało dane niepełne, niezrozumiałe dla odbiorcy, ukryte i wprowadzające w błąd. Podkreśliła też, że organ pominął fakt, iż tylko jedna osoba z 86681 klientów "C." uznała tę informację za niewystarczającą oraz przyjął błędną wykładnię art. 18 ust. 1 ustawy, uznając swoje uprawnienie do wydawania decyzji w zakresie stanów faktycznych, które jeszcze nie nastąpiły.

Spółka wskazała, że prowadzi działania prewencyjne w zakresie ochrony pojazdów, a w szczególności ich znakowania, umieszczania danych klientów w specjalnym rejestrze, co umożliwia weryfikację samochodów pod kątem legalności ich pochodzenia i wymiany informacji z organami ścigania. Dlatego zawarła [...]czerwca 2001 r. ze spółką "C." prowadzącą tożsame usługi dwie umowy - jedną nabycia danych zebranych przez "C.", drugą zaś dotyczącą współpracy. "S." ma w związku z tym wątpliwości czy dotyczy jej obowiązek informacyjny z art. 25 ustawy. Nie zbierała bowiem danych, lecz je nabyła. W tym zakresie w literaturze są rozbieżne interpretacje czy art. 25 dotyczy tylko pierwotnego pozyskiwania danych, czy każdego przypadku uzyskania nowych danych (J. Barta, R. Markiewicz. Ochrona Danych Osobowych, Zakamycze 2001 r. s. 399-400). Zdaniem Spółki obowiązek ten dotyczy tylko pierwotnego zebrania danych. Definicja przetwarzania danych różnicuje bowiem pojęcie ich zbierania od ich udostępniania. Przemawia też za tym językowe znaczenie terminów. Zbierać, tzn. bowiem "gromadzić w jednym miejscu", a udostępniać "czynić dostępnym, ułatwiać umożliwiać odbiór, przyswojenie, poznanie czegoś". Spółka była jedynie odbiorcą procesu udostępniania. Obie spółki nie działały zresztą w warunkach art. 25 ust. 2 pkt 4 ustawy, stąd "C." miał obowiązek informacyjny z art. 24 ustawy. Klienci nie są, więc pozbawieni ochrony prawnej - mogą ją bowiem uzyskać przez konieczność spełnienia obowiązku z art. 24 ustawy i możliwość skorzystania z art. 32.

W przypadku nieuznania tego zarzutu spółka podniosła, że niezwłocznie po udostępnieniu danych przez "C." od 1 lipca 2001 r. rozpoczęła wysyłkę informacji do klientów, których dane pozyskała, o tym fakcie. GIODO uważa, że dokonała tego nienależycie, co pozbawia osobę, której dane dotyczą możliwości skorzystania z uprawnień z art. 32 ustawy. Różnica sprowadza się do określenia zakresu precyzji wykonania tego obowiązku. Art. 25 ust. 1 pkt 3 ustawy mówi jedynie o konieczności informowania właściwej osoby o źródle danych, nie precyzuje natomiast co ma zawierać ten przekaz. Tymczasem, w sprawie ujawniono pełne dane obecnego administratora, a niepełne poprzedniego. Zdaniem "S." nie miało to znaczenia, gdyż klienci znali spółkę "C.". Informacja była zrozumiała, tylko jedna osoba ją kwestionowała, nie było więc w sprawie wątpliwości. Nie jest też zasadny zarzut wprowadzania klientów w błąd i brak wskazania podstawy prawnej pozyskiwania danych, nie jest to bowiem wymagalne.

Nakazanie zaś dopełnienia obowiązku informacyjnego przed wysłaniem pierwszej umowy marketingowej jest niesłuszne, a wymaga zaangażowania środków finansowych, w tym dublowania wydatków na korespondencję. Oznacza też wydanie decyzji regulującej stany faktyczne na przyszłość.

W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie. Podkreślił, że nie jest dopuszczalne, aby dane były udostępniane wyłącznie na podstawie ogólnej umowy lub porozumienia (A. Mednis, ustawa o ochronie danych osobowych. Komentarz, Wyd. Prawnicze 2001 r. s. 94-96). W literaturze wskazuje się też, że przetwarzanie danych obejmuje dwa etapy: zbieranie i udostępnianie.

Zbieranie danych może mieć charakter pierwotny lub wtórny (tamże s. 26-27). Stąd spółka była zobowiązana spełnić wobec klientów obowiązek informacyjny z art. 25 ustawy. Informacja z art. 25 ust. 1 musi być "pełna, dostatecznie wyodrębniona, nie ukryta wśród innych wypowiedzi oraz wyrażona w sposób zrozumiały (Barta J. Markiewicz R. Ochrona danych osobowych s. 404). Skrót "C." nie jest zrozumiały, gdyż wiele podmiotów może się nim posługiwać. Tylko pełna informacja umożliwia ochronę danych i kontrolę ich obiegu. Organ dokonał więc prawidłowej wykładni pojęcia "źródło danych".

GIODO podniósł też, że art. 25 ustawy nakazuje obowiązek informacyjny niezwłocznie po utrwaleniu danych. Wyznacza to pewną sekwencję czasową. Decyzja dotyczy przyszłości, ponieważ spółka kwestionuje ten obowiązek. W ten sposób można więc tylko zabezpieczyć przyszłych klientów.

Wojewódzki Sąd Administracyjny zważył, że:

Po pierwsze należy wskazać, że zgodnie z art. 97 ustawy z dnia 30 sierpnia 2002 r. Przepisy wprowadzające - Prawo o ustroju sądów administracyjnych i ustawę - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1271 ze zm.) sprawy, w których skargi zostały wniesione do Naczelnego Sądu Administracyjnego przed dniem 1 stycznia 2004 r. i postępowanie nie zostało zakończone, podlegają rozpoznaniu przez właściwe wojewódzkie sądy administracyjne na podstawie przepisów ustawy - Prawo o postępowaniu przed sądami administracyjnymi. Dlatego też w związku z art. 13 § 2 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270) i § 1 pkt 13 rozporządzenia Prezydenta Rzeczypospolitej Polskiej z dnia 25 kwietnia 2003 r. w sprawie utworzenia wojewódzkich sądów administracyjnych oraz ustalenia ich siedzib i obszarów właściwości ( Dz. U. 2003 r. Nr 72, poz. 652) do rozpatrzenia skargi właściwy jest Wojewódzki Sąd Administracyjny w Warszawie.

Rozpoznając sprawę co do meritum sąd uznał jednakże skargę za niezasadną. Nie zgodził się przede wszystkim z zarzutem, że w przypadku uzyskania bazy danych w drodze umowy cywilnoprawnej jej nabywcy nie obciąża obowiązek informacyjny z art. 25 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2002 r. Nr 101, poz. 926), ponieważ nie zbiera on danych lecz jest jedynie, w wyniku przekazania, ich odbiorcą. Sąd zwraca w związku z tym uwagę na fakt, iż językowe znaczenie słowa "zbierać" oznacza "brać, wydostawać, uzyskiwać po kolei coś skąd, gromadzić w jednym miejscu lub w swoim posiadaniu". (Mały Słownik Języka Polskiego W-wa 1996 r. s. 1141). Nabycie w drodze umowy jest, więc także sposobem uzyskiwania czy wydostawania czegoś.

Pewne formy zbieractwa wymuszają zresztą niejako jedynie wtórny sposób ich nabycia. Stąd też nie można przyjąć, że zakup bazy danych nie oznacza ich zebrania. Jest on bowiem w istocie tożsamy z procesem ich pozyskiwania.

Zbieranie danych mieści się w pojęciu ich przetwarzania zgodnie z art. 7 pkt 2 ustawy o ochronie danych osobowych. Stąd może mieć ono miejsce, na podstawie art. 1 ust. 2 ustawy w zakresie i trybie określonym ustawą.

Ustawa przewiduje dwa sposoby zbierania danych osobowych, różnicując w zależności od tego obowiązki administratora danych. Są to: zbieranie danych od osoby, której one dotyczą (art. 24 ustawy) oraz w inny sposób, a więc nie od tej osoby (art. 25 ustawy). W sprawie nie budziło wątpliwości, że spółka "S." nie zbierała danych bezpośrednio od osób, których te dane dotyczyły, lecz zakupiła je od innego podmiotu. Kwestia umowy cywilnoprawnej będącej podstawą przekazania danych nie była przy tym przedmiotem orzekania. Sąd badał jedynie legalność dalszego przetwarzania danych przez nabywcę danych oraz fakt wywiązywania się przez niego z obowiązków wynikających z ustawy.

Ponieważ spółka zebrała dane nie od osób, których dane dotyczą, była przede wszystkim zobowiązana do wykonania obowiązku informacyjnego z art. 25 ustawy. Musiał on być przy tym wykonany bezpośrednio po utrwaleniu zebrania danych. W zakresie tego obowiązku powinna była poinformować wspomniane wyżej osoby:

1) o adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swego zamieszkania oraz imieniu i nazwisku,

2) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych,

3) źródle danych

4) prawie wglądu do swoich danych oraz ich poprawiania

5) o uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8.

Źródło danych, podobnie jak każda informacja podana w przypadku powyższego obowiązku musi być na tyle skonkretyzowana, aby pozwoliła je zindywidualizować.

Trudno zgodzić się ze skarżącym, iż z uwagi na fakt, iż przy źródle danych ustawodawca nie wskazuje, tak jak w przypadku nabywcy danych wyraźnych elementów jak siedziba, pełna nazwa itp., elementy te są zbędne i niewymagalne. Słowo źródło danych oznacza bowiem bardzo szeroki zbiór elementów. Z językowego punktu widzenia "źródło" to m.in. "przyczyna, punkt wyjścia, w którym coś się rozpoczyna, z którego coś pochodzi" (Mały Słownik języka polskiego W-wa 1996 r. s. 1174). Stąd źródło pochodzenia danych oznacza zarówno podmiot, od którego dane uzyskano, jak i podstawę ich pozyskania. Podmiotem może być przy tym zarówno jakaś osoba, instytucja, czasopismo, osoba fizyczna, jak i jednostka organizacyjna. Nie ulega wątpliwości, że w przypadku wskazania podmiotów, od których uzyskano dane ich indywidualizacja winna nastąpić poprzez podanie imienia i nazwiska bądź pełnej nazwy oraz adresu czy siedziby. Warunku tego nie spełnia podanie używanego przez poprzednią spółkę skrótu. Nie jest on bowiem nawet na tyle charakterystyczny, ażeby pozwalał na pełne określenie źródła danych nawet w odniesieniu do osób, które kiedyś weszły z takim podmiotem w stosunki prawne. Nie pozwala również na skorzystanie w stosunku do tegoż podmiotu ze swoich uprawnień, w przypadku naruszenia obowiązków z zakresu ochrony danych osobowych, nie wskazuje bowiem adresu i siedziby tego podmiotu. Jak podkreśla się zaś w literaturze informacja w zakresie obowiązku z art. 25 ust. 1 ustawy musi być pełna i dostatecznie wyodrębniona (J. Barta, R. Markiewicz, Ochrona danych osobowych" Zakamycze 2001 r. s.404). Dotyczy to więc wszystkich elementów tego obowiązku.

Dlatego też nie można podzielić zarzutu skarżącej, że nabywca danych nie ma obowiązku podania podstawy ich nabycia. Słowo źródło danych dotyczy bowiem różnych kwestii - zarówno podmiotu, od którego dane uzyskano, jak i w związku z tym, że językowo obejmuje "punkt wyjścia, przyczynę", także podstawę nabycia tych danych, sposób ich nabycia. Informacje te mogą być niezbędne dla osoby, której dane dotyczą w celu kontroli, czy dane zostały udostępnione innemu podmiotowi zgodnie z jej wcześniej przekazaną wolą. Sposób podania źródła nie może przy tym wprowadzać w błąd osoby, której dane dotyczą. Taki zaś charakter miała niewątpliwie informacja o współpracy obu firm, podczas gdy podstawą przekazania danych nie była umowa o współpracy, lecz umowa zbycia danych.

Następną kwestią, która wymagała rozważenia była sprawa dalszego przetwarzania przez "S." uzyskanych danych osobowych poprzez wysyłanie do osób, których dane uzyskano, ofert marketingowych.

Należy w związku z tym podkreślić, że podstawową zasadą, która legła u podstaw ustawy jest zgodnie z jej art. 1 ust. 1 prawo osoby do ochrony jej danych. Wszelkie przetwarzanie danych może mieć miejsce jedynie ze względu na dobro publiczne, dobro osoby, której dane dotyczą lub dobro osób trzecich w zakresie i w trybie określonym ustawą (art. 1 ust. 2).

Wskazując na zasady przetwarzania danych ustawodawca podkreśla w art. 23 ust. 1 kiedy jest tylko dopuszczalne przetwarzanie danych.

Dotyczy to sytuacji, gdy:

1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usuniecie jej danych,

2) zezwalają na to przepisy prawa,

3) jest niezbędne osobie, której dane dotyczą w celu wywiązania się z umowy, której jest stroną lub na jej życzenie w celu podjęcia niezbędnych działań przed zawarciem umowy,

4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,

5) jest niezbędne dla wypełnienia usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2, a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą.

W sprawie nie budziło wątpliwości, że nabywca danych mógł je przetwarzać poprzez wysyłanie informacji o uzyskaniu danych. W tym przypadku bowiem podstawą przetwarzania był art. 25 ust. 1 ustawy. Stanowi on zresztą obowiązek takiego działania. Wspomniany artykuł nie pozwala jednak na przetwarzanie uzyskanych danych w żadnym innym celu. Celem tym nie może być w szczególności ochrona interesów finansowych nabywcy danych, przez ograniczanie kosztów wysyłanej przez niego korespondencji.

Zdaniem Spółki podstawą dalszego przetwarzania danych był art. 23 ust. 1 pkt 5 ustawy. Przetwarzała ona bowiem dane w związku ze swoją działalnością zarobkową i zawodową.

Należy jednak podkreślić, że takie przetwarzanie jest możliwe o ile jest niezbędne dla realizacji tych zadań i nie narusza praw i wolności osoby, której dane dotyczą. Tymczasem, podstawowym prawem tej osoby jest prawo do ochrony jej danych. Zapewnienie jej tego prawa wymaga przynajmniej, aby mogła ona po uzyskaniu informacji o zebraniu jej danych od innego podmiotu sprzeciwić się dalszemu przetwarzaniu. Powinna mieć więc przynajmniej czas na możliwość do skorzystania ze środków przewidzianych w art. 32. Tymczasem połączenie w jednym piśmie obowiązku informacyjnego z art. 25 ustawy z dalszym przetwarzaniem danych osób, których dane dotyczą, bez ich zgody stawiałoby pod znakiem zapytania cały art. 23 ustawy. Pozwalałoby, bowiem zawsze do czasu zgłoszenia sprzeciwu posługiwać się czyimiś danymi osobowymi. Byłoby to nie tylko nielogiczne, ale i sprzeczne z art. 1 ust. 1 ustawy.

Co prawda, jak wskazał Sąd Apelacyjny w Gdańsku w orzeczeniu z 15 marca 1996 r. (OSN 1996 z 7-8, poz. 31) nie można przyjąć, aby posłużenie się danymi osobowymi osoby fizycznej w ofercie handlowej do niej skierowanej było bezprawnym działaniem oferenta. Występowanie listowne z imiennie adresowaną propozycją handlową stanowi praktykę dozwoloną. Musi jednak następować ze źródeł ogólnie dostępnych. Zawsze też przetwarzanie nie może naruszać praw i wolności osoby, której dane dotyczą. Prawa te i wolności nie mogą więc przeważać nad usprawiedliwionym interesem administratora. Jak wskazuje się w literaturze oznacza to, że przetwarzanie danych osobowych bez zgody zainteresowanego musi być dla niego o tyle korzystne, że nie zarzuci on administratorowi naruszenia swych praw (G. Szpor, Publiczno-prawna ochrona danych osobowych PUG 1999 r. nr 12 s. 5; S. Grynhoff i P. Woźny, Ochrona danych osobowych w praktyce, red. P. Woźny, Poznań 2000 r., s. 18).

Taka zaś sytuacja nie zachodziła w przedmiotowej sprawie.

Przy takim rozumieniu art. 23 ust. 1 pkt 5 i art. 25 ust. 1 ustawy czynność zakupu czyichś danych osobowych staje się, więc niewątpliwie czynnością o dużym charakterze ryzyka. Celem ustawy o ochronie danych osobowych nie jest jednak ochrona interesów zawodowych i gospodarczych nabywcy danych, lecz prawo do ochrony swoich danych osobowych. Stąd wyważanie interesów obydwu tych rodzajów podmiotów wymaga przynajmniej zabezpieczenia uprawnień każdego z nich. Osoba, której dane dotyczą musi więc mieć możliwość zaprotestowania przeciwko posługiwaniu się jej danymi przez inną firmę, której tych danych nie przekazywała. W przeciwnej sytuacji przekazanie danych jakiemukolwiek podmiotowi ograniczałoby na przyszłość ochronę danych osobowych i prawo do tej ochrony.

Trudno podzielić również stanowisko skarżącej, iż sentencja decyzji narusza art. 18 ustawy, odnosi się bowiem do przyszłych stanów faktycznych. Należy podkreślić, że uprawnienia Generalnego Inspektora Ochrony Danych Osobowych są skonstruowane w sposób specyficzny. Dotyczą one przypadków, kiedy nastąpiło naruszenie ustawy o ochronie danych osobowych i chodzi o zapobieżenie im w przyszłości. W tym znaczeniu decyzje GIODO mogą więc dotyczyć także przyszłych stanów faktycznych. Na podstawie art. 18 ust. 1 ustawy Generalny Inspektor może bowiem nakazać administratorowi danych w drodze decyzji administracyjnej przywrócenie stanu zgodnego z prawem, a w szczególności:

1) usunięcie uchybień,

2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych

3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,

4) wstrzymaniu przekazywania danych osobowych za granicę,

5) zabezpieczenia danych lub przekazania ich innym podmiotom,

6) usunięcia danych osobowych.

Mimo zwrotu "w szczególności", GIODO może przy tym podjąć jedynie decyzję o sentencji określonej w art. 18 ustawy. Nie można bowiem domniemywać władczych form działania administracji, a taki charakter ma decyzja administracyjna.

Podkreślić jednak należy, że środki jakie może zastosować GIODO mogą mieć charakter zróżnicowany. Stwierdzając naruszenie ustawy może on wypowiedzieć się tylko wobec danego konkretnego naruszenia i nakazać np. w drodze decyzji usunięcie danych. Odnosi się w tym przypadku do jednej określonej sytuacji faktycznej i chroni prawa jednego podmiotu. Usunięcie uchybień i zastosowanie dodatkowych środków zabezpieczających może się już jednak odnosić do przyszłego działania administratora danych i chronić wszystkie przyszłe osoby, których dane administrator przetwarza. Stwierdzając w oparciu o określony stan faktyczny naruszenie prawa GIODO winien więc nakazać zamieszczenie dodatkowych sformułowań w przyszłych umowach, zakończenia pewnych działań itp. Wszystkie te środki będą w istocie dotyczyły przyszłych stanów faktycznych, a nie budzi wątpliwości ich zgodność z art. 18 ustawy.

Z powyższych względów Sąd nie dopatrzył się w decyzjach GIODO naruszenia prawa. Stad też Wojewódzki Sąd Administracyjny orzekł na podstawie art. 132 i 151 ustawy Prawo o postępowaniu przed sądami administracyjnymi w związku z art. 1, 18, 23 ust. 1 i 25 ust. 1 ustawy o ochronie danych osobowych, jak w sentencji.