drukuj    zapisz    Powrót do listy

647 Sprawy związane z ochroną danych osobowych, Ochrona danych osobowych, Generalny Inspektor Ochrony Danych Osobowych, Oddalono skargę kasacyjną, I OSK 1264/10 - Wyrok NSA z 2011-06-28, Centralna Baza Orzeczeń Naczelnego (NSA) i Wojewódzkich (WSA) Sądów Administracyjnych, Orzecznictwo NSA i WSA

I OSK 1264/10 - Wyrok NSA

Data orzeczenia
2011-06-28 orzeczenie prawomocne
Data wpływu
2010-07-26
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Ewa Dzbeńska
Jolanta Rajewska /przewodniczący sprawozdawca/
Monika Nowicka
Symbol z opisem
647 Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
II SA/Wa 219/10 - Wyrok WSA w Warszawie z 2010-04-29
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę kasacyjną
Powołane przepisy
Dz.U. 2002 nr 101 poz 926 art. 12 pkt 1 i pkt 2; art. 7 pkt 2
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - tekst jedn.
Dz.U. 2001 nr 79 poz 854 art. 30 ust. 2 (1)
Ustawa z dnia 23 maja 1991 r. o związkach zawodowych - tekst jednolity
Dz.U. 2002 nr 153 poz 1270 art. 145 § 1 pkt 1 lit c
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi.
Sentencja

Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Jolanta Rajewska (spr.) Sędziowie: sędzia NSA Ewa Dzbeńska sędzia NSA Monika Nowicka Protokolant sekretarz sądowy Monika Myślak - Kordjak po rozpoznaniu w dniu 28 czerwca 2011 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Generalnego Inspektora Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 29 kwietnia 2010 r. sygn. akt II SA/Wa 219/10 w sprawie ze skargi [...] Spółka z ograniczoną odpowiedzialnością z siedzibą w S. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2009 r. nr [...] w przedmiocie nakazu usunięcia uchybień przy przetwarzaniu danych osobowych 1. oddala skargę kasacyjną; 2. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz [...] Spółka z ograniczoną odpowiedzialnością z siedzibą w S. kwotę 120,00 (sto dwadzieścia) złotych tytułem zwrotu kosztów postępowania kasacyjnego.

Uzasadnienie

Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 29 kwietnia 2010 r., sygn. akt II SA/Wa 219/10 po rozpatrzeniu skargi [...] Spółka z ograniczoną odpowiedzialnością z siedzibą w Ś. uchylił decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2009 r. nr [...]oraz poprzedzającą ją decyzję z dnia [...] czerwca 2009 r. w przedmiocie ochrony danych osobowych.

Wyrok został wydany w następujących okolicznościach sprawy.

Generalny Inspektor Ochrony Danych Osobowych (dalej w skrócie GIODO) decyzją z dnia [...] czerwca 2004 r., na podstawie art. 12 pkt 2, 18 ust.1 pkt.1 w zw. z art. 23 ust.1 pkt.2, art. 26 ust. 1 pkt 2 i 3 oraz art.27 ust.2 pkt.2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm. daje w skrócie "u.o.d.o."), nakazał [...]Spółka z.o.o. z siedzibą w Ś. usunięcie uchybień w procesie przetwarzania danych osobowych poprzez pozyskiwanie informacji o osobach korzystających z obrony Zakładowej Organizacji Związkowej [...] Spółka z.o.o. jedynie w sytuacji, gdy przepisy prawa pracy przewidują w stosunku do tych osób współdziałanie pracodawcy z zakładową organizacją związkową w indywidualnych sprawach ze stosunku pracy, zgodnie z art. 232 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy.

W uzasadnieniu organ stwierdził, że [...] Sp.z.o.o. z siedzibą w Ś. dwukrotnie, pismami z dnia [...] maja 2007 r. i dnia [...] grudnia 2008 r., zwróciła się do Zakładowej Organizacji Związkowej [...] o przekazanie pełnej listy pracowników objętych ochroną związku, powołując się przy tym na konieczność ustalenia liczby członków związku oraz obowiązek zrealizowania wymogu przewidzianego art. 30 ust. 21 ustawy z dnia 23 maja 1991 r. o związkach zawodowych (Dz.U. z 2001 r., Nr 79, poz. 854 ze zm.). W związku z tym Zakładowa Organizacja Związkowa [...] Sp. z. o.o. wystąpiła do GIODO o wydanie decyzji administracyjnej nakazującej pracodawcy zaprzestania takich praktyk.

Zdaniem Generalnego Inspektora Ochrony Danych Osobowych zastrzeżenia organizacji związkowej co do działań podejmowanych w stosunku do niej przez spółkę są uzasadnione. Przesłanki dopuszczające przetwarzanie danych osobowych zostały określone w art. 23 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. W myśl art. 23 ust. 1 pkt 2 u.o.d.o. przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Stosownie do art. 30 ust. 21 ustawy o związkach zawodowych, w indywidualnych sprawach ze stosunku z pracy, w których przepisy prawa pracy zobowiązują pracodawcę do współdziałania z zakładową organizacją związkową, pracodawca jest zobowiązany zwrócić się do tej organizacji o informację o pracownikach korzystających z jej obrony, zgodnie z przepisami ust. 1 i 2. Nieudzielenie tej informacji w ciągu 5 dni zwalnia pracodawcę od obowiązku współdziałania z zakładową organizacją związkową w sprawach dotyczących tych pracowników. Pracodawca może zatem kierować do związku zawodowego jedynie wystąpienia odnoszące się do poszczególnych pracowników, wówczas gdy chodzi o indywidualną ochronę stosunku pracy. Przepisy art. 30 ust. 21 ustawy o związkach zawodowych oraz art. 232 Kodeksu pracy nie mogą natomiast stanowić podstawy do pozyskiwania przez Spółkę od Związku danych osobowych wszystkich pracowników korzystających z ochrony Związku w formie imiennej listy. Pozyskiwanie w ten sposób przedmiotowych danych narusza zasadę adekwatności określoną w art. 26 ust. 1 pkt 3 u.o.d.o. Adekwatność danych w stosunku do celu ich przetwarzania musi być rozumiana jako równowaga pomiędzy uprawnieniami osoby do dysponowania swoimi danymi, a interesem administratora danych. Oznacza to. że administrator może żądać danych tylko w takim zakresie, w jakim jest to niezbędne do wypełnienia celu, w jakim dane są przez niego przetwarzane. Pozyskiwanie danych osobowych osób objętych ochroną związkową również na zapas (może bowiem, ale nie musi dość do realizacji trybu przewidzianego w K.p.) jest zatem niedopuszczalne.

Organ zauważył ponadto, że przekazywanie przez pracodawcę informacji o liczbie członków związku zawodowego zostało uregulowane w art. 251 ust. 2 ustawy o związkach zawodowych. Zgodnie z nim organizacja posiadająca uprawnienia zakładowej organizacji związkowej co kwartał- według stanu na ostatni dzień kwartału – w terminie do 10 dnia miesiąca następującego po tym kwartale, przedstawia pracodawcy albo dowódcy jednostki, o której mowa w ust. 1 pkt 2, informację o łącznej liczbie członków tej organizacji, w tym o liczbie członków, o których mowa w ust. 1. Powyższy przepis nie uprawnia ani też nie zobowiązuje pracodawcy do występowania o taką informację, lecz przerzuca ten obowiązek na organizację związkową. Zatem to organizacja ma przekazywać pracodawcy dane, ale wyłącznie informację o liczbie członków związku zawodowego. Generalny Inspektor nie kwestionuje prawa Spółki do pozyskiwana informacji o pracownikach korzystających z ochrony związkowej, lecz jedynie sposób realizacji tego prawa. Poza cel gromadzenia danych w zakresie korzystania z obrony związku zawodowego- który istnieje w przepisach Kodeksu pracy w przypadkach, gdy pracodawca zamierza rozwiązać umowę o pracę z pracownikiem- wykracza pozyskiwanie danych osobowych wszystkich pracowników korzystających z ochrony związkowej.

Po ponownym rozpatrzeniu sprawy Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] listopada 2009 r. utrzymał w mocy powyższą decyzję. Organ podkreślił, że dane osobowe ujawniające przynależność związkową należą do kategorii danych szczególnie chronionych, wymienionych w art. 27 ust. 1 u.o.d.o. Należy również zauważyć, że wykazu pracowników korzystających z obrony związku zawodowego nie można traktować jako listy członków związku zawodowego, a co za tym idzie na tej podstawie ustalać liczbę członków takiego związku. Pozyskiwanie informacji o przynależności związkowej pracownika w toku konsultacji ze związkami zawodowymi jest uzasadnione w razie zamiaru rozwiązania umowy o pracę z konkretnym pracownikiem. Dlatego brak jest podstaw do pozyskiwania przez Spółkę od Związku danych osobowych we wskazanym zakresie w odniesieniu do wszystkich pracowników korzystających z ochrony Związku w sytuacji, gdy nie są objęci zamiarem pracodawcy rozwiązania z nimi umów o pracę.

Spółka [...] zaskarżyła decyzję Generalnego Inspektora Ochrony Danych Osobowych do Wojewódzkiego Sądu Administracyjnego w Warszawie. Domagając się jej uchylenia, zarzuciła naruszenie prawa materialnego, tj. art. 232 kodeksu pracy oraz art. 30 ust. 21 ustawy o związkach zawodowych poprzez przyjęcie, że pracodawca nie może pozyskiwać danych osobowych członków organizacji związkowej w dowolnym momencie, może jedynie kierować osobne wystąpienie odnoszące się do poszczególnego pracownika. W ocenie Spółki pracodawca zwracający się do związków zawodowych w indywidualnych sprawach ze stosunku pracy z pytaniem o przynależność związkową pracownika, wskazując zamiar rozwiązania z nim umowy o pracę, narusza ochronę danych osobowych tego pracownika, albowiem ujawnia jego dane oraz zamiar rozwiązania stosunku pracy organizacji związkowej, która w ogóle nie broni lub nie zmierza bronić jego interesów. Pracodawca jest administratorem danych wszystkich pracowników, także tych zrzeszonych w organizacji związkowej. Trudno zatem mówić o naruszeniu danych osobowych, które przetwarzane są w obrębie jednego zbioru danych.

Generalny Inspektor Ochrony Danych Osobowych w odpowiedzi na skargę wniósł o jej oddalenie, podtrzymując argumentację zawartą w uzasadnieniu zaskarżonej decyzji.

Powołanym na wstępie wyrokiem Wojewódzki Sąd Administracyjny w Warszawie, działając na podstawie art. 145 § 1 lit. c ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. Nr 153, poz. 1270 ze zm. – dalej powoływana jako P.p.s.a.), uchylił zaskarżoną decyzję oraz decyzję ją poprzedzającą.

W uzasadnieniu Sąd I instancji stwierdził, że skarga zasługuje na uwzględnienie, ale z innych przyczyn niż te które zostały w niej podniesione. Zgodnie z art. 7 pkt 2 ustawy o ochronie danych osobowych, ilekroć w ustawie jest mowa o przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Przetwarzanie danych jest czynnością faktyczną a nie prawną. Z analizy akt wynika, że w przedmiotowej sprawie w ogóle nie doszło do przetwarzania danych osobowych. Bezspornym jest, że nie miało miejsca utrwalenie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych osobowych. Do rozważenia, zdaniem Sądu, pozostała natomiast kwestia, czy żądanie przez Spółkę omawianych danych osobowych wyczerpało zbieranie tych danych, "skoro nie wiadomo i organ administracyjny tego nie wyjaśnił, czy Spółka miała rzeczywistą wolę dane te przetwarzać".

WSA w Warszawie wskazał nadto, że zgodnie z art.18 ust.1 zdanie pierwsze ustawy w przypadku naruszenia przepisów o ochronie danych osobowych GIODO z urzędu lub na wniosek osoby zainteresowanej w drodze decyzji nakazuje przywrócenie stanu zgodnego z prawem. Koniecznym warunkiem do wydania takiego nakazu jest stwierdzenie naruszenia przepisów o ochronie danych osobowych. W rozpoznawanej sprawie przesłanka ta nie zaistniała. Nie doszło bowiem do przekazania Spółce żądanych danych osobowych, a tym samym Spółka nie przetwarzała danych osobowych z naruszeniem przepisów o ochronie danych osobowych. Oznacza to, że Generalny Inspektor Ochrony Danych Osobowych w sposób niezasadny, na podstawie art. 18 ust. 1 u.o.d.o, wydał nakaz usunięcia przez Spółkę uchybień, których nie było.

Skargę kasacyjną od powyższego wyroku wywiódł Generalny Inspektor Ochrony Danych Osobowych, domagając się jego uchylenia i przekazania sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie.

Zaskarżonemu orzeczeniu zarzucił naruszenie:

- przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj. art. 145 § 1 pkt 1 lit. c P.p.s.a. poprzez jego niewłaściwe zastosowanie skutkujące niezasadnym uchyleniem zaskarżonej decyzji z dnia [...] listopada 2009 r. i poprzedzającej ją decyzji z dnia [...] czerwca 2009 r., wobec błędnego przyjęcia, że w niniejszej sprawie nie doszło do przetwarzania danych, o których mowa w art. 7 pkt 2 ustawy o ochronie danych osobowych, w związku z czym organ ochrony danych osobowych błędnie zastosował art. 18 ust. 1 ustawy i wydał decyzję nakazującą usunięcie uchybień w procesie przetwarzania danych;

- prawa materialnego, o którym mowa w art. 145 § 1 pkt 1 lit. a P.p.s.a., to jest art. 7 pkt 2 ustawy o ochronie danych osobowych przez jego błędną wykładnię i w konsekwencji uznanie, że w niniejszej sprawie nie doszło do przetwarzania danych.

W uzasadnieniu skargi kasacyjnej jej autor podniósł, że Sąd I instancji dokonał błędnej wykładni art. 7 pkt 2 ustawy o ochronie danych osobowych. Uznał bowiem, że żądanie przez Spółkę przedmiotowych danych nie wyczerpuje pojęcia ich zbierania. Natomiast analiza wskazanego przepisu, zdaniem organu, prowadzi do odmiennego wniosku. Ustawodawca wyraźnie wskazał, że przetwarzaniem danych są jakiekolwiek operacje wykonywane na danych. W literaturze przedmiotu przyjmuje się, że w definicji legalnej przetwarzania danych ustawodawca wskazuje przykładowe operacje wykonywane na danych. Są to zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie. Wystarczy, że realizowana jest którakolwiek z podanych operacji (np. samo zbieranie danych), a nawet inna, niewymieniona w powołanym przepisie operacja mająca za przedmiot dane osobowe, aby należało uznać, że dochodzi do przetwarzania danych, co otwiera drogę do stosowania ustawy. Należy podkreślić, że wyliczenie dokonane w art. 7 pkt 2 ustawy o ochronie danych osobowych ma charakter przykładowy i na pewno nie jest wyczerpujące. Skoro przetwarzaniem danych osobowym są wszelkie operacje wykonywane na danych, to samo żądanie danych osobowych z przeznaczeniem stworzenia lub włączenia do zbioru jest również objęte zakresem zastosowania ustawy.

Celem ustawy o ochronie danych osobowych jest zapewnienie ochrony przetwarzanych danych, które są lub dopiero – zgodnie z zamiarem administratora danych – będą włączone do zbioru. W niniejszej sprawie nie ulega wątpliwości, że Spółka faktycznie żądanych danych nie uzyskała i nie utrwaliła, gdyż Związek słusznie odmówił ich przekazania. Jednak zdaniem organu samo działanie Spółki polegające na żądaniu tych danych należy uznać za przetwarzanie danych osobowych. Podzielenie odmiennego stanowiska Sądu I instancji prowadziłoby zaś do tego, że art. 29 u.o.d.o, dotyczący udostępnienia danych w celu innym niż włączenie do zbioru, nie mógłby być stosowany. Podążając tym tokiem rozumowania, każde żądanie pozyskania danych w oparciu o przesłankę z art. 23 ust. 1 u.o.d.o, czy też z art. 27 ust. 2, nie mogłoby być rozpatrywane, bowiem nie doszłoby do przetwarzania (pozyskania) danych.

Bezspornym jest, że Spółka żądała danych w sytuacji, gdy przepisy prawa nie przewidywały takiej możliwości, a więc bez podstawy prawnej. W związku z powyższym koniecznym było wydanie decyzji odpowiadającej dyspozycji wskazanej w art. 18 ust. 1 ustawy o ochronie danych osobowych, a więc przywrócenie stanu zgodnego z prawem poprzez usunięcie uchybień w procesie przetwarzania danych osobowych.

Odpowiedź na skargę kasacyjną wniosła [...] Spółka z.o.o. z siedzibą w Ś., domagając się jej oddalenia. Podniosła, że nie sposób zgodzić się z poglądem Generalnego Inspektora Ochrony Danych Osobowych dotyczącym zakresu art. 7 pkt 2 u.o.d.o. Przepis ten określa bowiem pojęcie przetwarzania danych jako operacji wykonywanych na danych osobowych, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie i usuwanie. Żądanie informacji nie jest fazą, którą można zaliczyć do czynności dokonanej, jaką jest zbieranie danych. Za powyższym rozumieniem przemawia także wykładnia literalna art. 7 pkt 2 u.o.d.o. Przez przetwarzanie danych rozumie się jakiekolwiek operacje na danych osobowych, co jednoznacznie przesądza o tym, że musi dojść do ich pozyskania przez administratora danych. Taka sytuacja nie miała miejsca w omawianym stanie faktycznym, albowiem Spółka nie otrzymała jakiejkolwiek informacji od organizacji związkowej.

Naczelny Sąd Administracyjny zważył, co następuje:

Stosownie do art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. Nr 153, poz. 1270 ze zm.- dalej powoływana jako P.p.s.a.) Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc z urzędu pod uwagę jedynie nieważność postępowania. W niniejszej sprawie nie występują enumeratywnie wymienione w art.183 § 2 ustawy przesłanki nieważności postępowania sądowoadministracyjnego, dlatego też sprawa podlegała zbadaniu w aspekcie zarzutów sformułowanych w skardze kasacyjnej. W ocenie Sądu II instancji zarzuty te nie zawierają usprawiedliwionych podstaw.

Przedmiotem kontroli WSA w Warszawie była decyzja Generalnego Inspektora Ochrony Danych Osobowych utrzymująca w mocy poprzednią decyzję tego organu nakazującą Spółce [...] przywrócenie stanu zgodnego z prawem. Podstawowym zagadnieniem wymagającym rozstrzygnięcia nie jest zatem kwestia, w jakich sytuacjach oraz jakich danych osobowych pracodawca może domagać się od organizacji związkowej, ani też kiedy i jakie dane swych członków organizacja ta może udostępnić pracodawcy. Skoro nakaz GIODO skierowany był do Spółki [...] i zobowiązywał ją do "usunięcia uchybień przy przetwarzaniu danych osobowych", to nie może ulegać wątpliwości, że istotą sporu jest odpowiedź na pytanie czy w niniejszej sprawie w ogóle doszło do przetwarzania danych osobowych przez powołaną Spółkę.

Zauważyć przy tym należy, że zgodnie z wyrażoną w art.7 Konstytucji Rzeczypospolitej Polskiej zasadą praworządności organy władzy działają na podstawie i w granicach prawa. Zasada ta, powtórzona w art.6 k.p.a. oznacza, że organy władzy publicznej w zakresie swych możliwości działania nie mogą wychodzić poza kompetencje wyznaczone im przez przepisy prawa powszechnie obowiązującego. W przypadku GIODO będą to przepisy ustawy z dnia 29 sierpnia 1997r o ochronie danych osobowych, która w art.12 pkt. 1 i pkt.2 stanowi, że do zadań Generalnego Inspektora należy między innymi kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych, wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych. Oznacza to, że Generalny Inspektor Ochrony Danych Osobowych może podejmować działania kontrolne i wydawać na ich podstawie decyzje administracyjne wówczas, gdy dane osobowe są przetwarzane.

Przetwarzaniem danych, zgodnie z art.7 pkt.2 u.o.d.o., są "jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych". Pojęcie to jest zatem bardzo szerokie. Wskazane przez ustawodawcę działanie, jakie można podejmować z danymi osobowymi, są podane jedynie jako przykład możliwych operacji objętych terminem "przetwarzanie danych". Zastosowanie słowa "jakichkolwiek" świadczy, że wyliczenie to nie ma charakteru wyczerpującego. Sama ustawa wymienia zresztą także inne operacje na danych osobowych, które można kwalifikować jako "przetwarzanie danych", mimo że nie są one wymienione w art.7 pkt.2 u.o.d.o. Należą do nich: anonimizacja (art.2 ust.3), uaktualnienie, sprostowanie (art.32 ust.1 pkt.6), wstrzymanie przetwarzania (art.32 ust.1 pkt.6, art.35 ust.1), przekazywanie danych do państwa trzeciego (art.41 ust.1 pkt.7, art.47, art.48),czy przekazywanie danych odbiorcom lub kategoriom odbiorców (art.41 ust.1 pkt.4 ). Niewątpliwie taka otwarta definicja terminu "przetwarzanie danych" stanowi świadomy i celowy zabieg ustawodawcy, który w ten sposób chciał uniknąć konieczności wyliczania w każdym przepisie różnego typu operacji, których można dokonywać na danych osobowych (A.Mednis "Ustawa o ochronie danych osobowych. Komentarz", Warszawa 2001r, str.27).

Brak zamkniętego katalogu operacji kwalifikowanych do przetwarzania danych osobowych nie oznacza, że można do nich zaliczyć wszystkie czynności mające jakikolwiek związek z tymi danymi. W piśmiennictwie trafnie bowiem zwraca się uwagę na to, że przyjęta w art.7 pkt.2 u.o.d.o. kolejność operacji na danych osobowych nie jest przypadkowa. Wskazuje ona na dwa skrajne etapy takich działań. O przetwarzaniu danych można mówić począwszy od zbierania danych, a skończywszy na ich usunięciu (A. Drozd "ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy", Wydawnictw LexisNexis 2008 r., str.61). Oznacza to, że ochrony danych osobowych, a tym samym stosowania przepisów u.o.d.o. nie można rozciągać poza wskazane ramy czasowe.

Pierwszą czynnością na danych osobowych, do której zastosowanie ma omawiana ustawa jest zbieranie danych. W ustawie nie zdefiniowano tego pojęcia, przez co jego rozumienie może budzić pewne wątpliwości. W tej sytuacji termin ten należy dekodować zgodnie z jego powszechnym znaczeniem, zgodnie z którym "zbierać" to tyle co "zgromadzić coś w jednym miejscu, skupić w swoim posiadaniu" (Słownik języka polskiego. Tom III, pod red.M.Szymczaka, Warszawa 1981r., str. 582). W konsekwencji przyjąć trzeba, że "zbieranie" to pozyskanie, wejście w posiadanie danych osobowych, czyli uzyskanie faktycznego władztwa nad danymi przez inny podmiot niż osoba, której dane dotyczą. Pojęciem tym w żaden sposób nie można obejmować samego żądania udostępnienia danych osobowych. "Żądanie" danych osobowych jest bowiem czynnością faktyczną, która poprzedza zbieranie danych osobowych. Nie stanowi ono jeszcze przetwarzania danych osobowych, a tym samym nie jest to czynność objęta działaniem ustawy o ochronie danych osobowych.

W niniejszej sprawie bezspornym jest, że Spółka [...], powołując się na regulację zawartą w art. 30 ust. 2 1 ustawy z dnia 23 maja 1991 r. o związkach zawodowych, wystąpiła do organizacji związkowej, o nadesłanie listy imiennej pracowników objętych ochroną [...]. Niesporne również jest, że wnioskowane dane nie zostały jej przekazane. W sprawie nie doszło zatem do przetwarzania jakichkolwiek danych osobowych w rozumieniu art.7 pkt.2 u.o.d.o. Nie zostały spełnione przesłanki do zastosowania przez GIODO środków przewidzianych w art.18 ust.1 u.od.p., a tym samym skierowany do Spółki nakaz pozbawiony był uzasadnienia faktycznego.

Dodać również należy, że w każdym przypadku o zasadności czy niezasadności wniosku decyduje adresat tego żądania, uwzględniając wniosek lub odmawiając jego uwzględnienia. Korzystania ze środków procesowych przewidzianych w ustawach, niezależnie od ich zasadności, nie można więc traktować jako przetwarzania danych. Akceptacja odmiennego stanowiska, sugerowanego w skardze kasacyjnej, prowadziłaby do absurdalnej sytuacji, że w przypadku gdyby jakkolwiek podmiot zwracał się o wydanie przez GIODO decyzji zezwalającej na przetwarzanie danych osobowych, organ- zamiast wydawać decyzję merytoryczną- karałby w istocie wnioskodawcę za korzystanie z instrumentów procesowych, które przyznaje mu ustawa.

W związku z powyższym skarga kasacyjna złożona w niniejszej sprawie podlegała oddaleniu, gdyż zaskarżony wyrok mimo dość lakonicznego uzasadnienia odpowiada prawu. Sąd I instancji prawidłowo zinterpretował art. 7 pkt.2 u.o.d.o. oraz właściwie zastosował ten przepis i art.18 ust. 1 ustawy. Nie może być również mowy o złamaniu art.145 § 1 pkt.1 lit.c ustawy P.p.s.a, gdyż skoro w sprawie nie doszło do przetwarzania danych osobowych, to nie zachodziły przesłanki do zastosowania środków przewidzianych w art.18 ust.1 u.o.d.o., a tym samym decyzje wydane na tej podstawie podlegały uchyleniu.

Z tych względów Naczelny Sąd Administracyjny orzekł jak w sentencji wyroku na podstawie art.184 ustawy Prawo o postępowaniu przed sądami administracyjnymi. O zwrocie kosztów postępowania kasacyjnego orzeczono na podstawie 204 pkt.2 P.p.s.a.



Powered by SoftProdukt