Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący sędzia NSA Małgorzata Pocztarek (spr.), Sędzia NSA Aleksandra Łaskarzewska, Sędzia del. WSA Agnieszka Miernik, Protokolant starszy asystent sędziego Marcin Rączka, po rozpoznaniu w dniu 28 lipca 2017 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej [...] Sp.z.o.o. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 27 sierpnia 2015 r. sygn. akt II SA/Wa 900/15 w sprawie ze skargi R.Z. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 12 listopada 2012 r. nr [...] w przedmiocie ochrony danych osobowych oddala skargę kasacyjną

Wyrokiem z dnia 27 sierpnia 2015 r. o sygn. akt II SA/Wa 900/15, Wojewódzki Sąd Administracyjny w Warszawie, po rozpoznaniu skargi R.Z. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 12 listopada 2012 r. nr [...]w przedmiocie ochrony danych osobowych, uchylił zaskarżoną decyzję w całości.

Z uzasadnienia zaskarżonego wyroku wynika, że pismem z dnia 12 listopada 2011 r. R.Z. wystąpił do Generalnego Inspektora Ochrony Danych Osobowych (dalej jako organ lub GIODO) ze skargą na bezprawne przetwarzanie przez [...] S.A. z siedzibą w Gdańsku jego danych osobowych na stronie internetowej [...]. Wniósł o nakazanie ich usunięcia.

W toku prowadzonego postępowania organ ustalił, że [...]S.A, w prowadzonym serwisie internetowym umożliwia dostęp do dotyczącej R.Z. notki biograficznej, ale dane osobowe strony, dostępne za pośrednictwem ww. serwisu nie są przechowywane przez ww. spółkę. Oprogramowanie serwisu wyświetla jedynie informacje znajdujące się w polskiej wersji językowej encyklopedii internetowej Wikipedia. Ponadto Spółka nie jest autorem kwestionowanej notki biograficznej ani nie powstała ona na jej zlecenie.

Organ wskazał również, że serwis wikipedia.wp.pl jest serwisem, do którego wszystkie treści dostarcza [...] - właściciel serwisu wikipedia.com. Treści te są w całości przekazywane do serwisu internetowego [...], a [...]S.A. nie posiada uprawnień do ich zamieszczania, edycji ani usuwania. Uprawnienia te przysługują wyłącznie [...]Inc. oraz upoważnionym przez nią osobom.

Organ ustalił ponadto, że serwis [...]za pośrednictwem swojej strony internetowej umożliwia jedynie wyszukanie określonych treści zamieszczonych w bazie danych serwisu i ich wyświetlanie na ekranie, natomiast nie posiada własnej bazy danych.

Na podstawie powyższych ustaleń Generalny Inspektor Ochrony Danych Osobowych, decyzją z dnia 6 sierpnia 2012 r. nr [...]na podstawie art. 104 § 1 k.p.a. w zw. z art. 12 ust. 2 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz. U. z 2002 r. Nr 101, poz. 926 ze zm., aktualny tekst jednolity Dz. U. z 2014 r., poz. 1182 ze zm. - dalej jako ustawa) odmówił uwzględnienia wniosku R.Z..

W uzasadnieniu decyzji organ stwierdził, iż zgodnie z art. 7 pkt 4 ustawy, [...] S.A. nie posiada statusu administratora danych osobowych wnioskodawcy.

Po rozpoznaniu wniosku R.Z. o ponowne rozpoznanie sprawy, GIODO podtrzymał dotychczasowe stanowisko i decyzją z dnia 12 listopada 2012 r. nr [...], na podstawie art. 138 § 1 pkt 1 k.p.a., a także art. 12 pkt 2, art. 22 ustawy, utrzymał w mocy własną decyzję z dnia 6 sierpnia 2012 r.

Decyzja GIODO z dnia 12 listopada 2012 r. stała się przedmiotem skargi wniesionej przez R.Z. do Wojewódzkiego Sądu Administracyjnego w Warszawie.

Wojewódzki Sąd Administracyjny w Warszawie uznał zarzuty skargi za niezasadne i wyrokiem z dnia 13 sierpnia 2013 r. sygn. akt II SA/Wa 149/13 oddalił skargę.

Naczelny Sąd Administracyjny w Warszawie uwzględnił skargę kasacyjną R.Z. i wyrokiem z dnia 9 kwietnia 2015 r. sygn. akt I OSK 2926/13 uchylił zaskarżony wyrok oraz przekazał sprawę do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie.

W uzasadnieniu powyższego wyroku Naczelny Sąd Administracyjny wskazał, iż Sąd I instancji osią sporu uczynił to, czy [...] S.A. na stronie internetowej [...]przechowywała i przetwarzała dane osobowe R.Z. (w postaci notki biograficznej) i czy w związku z tym jest ich administratorem. Poczynione ustalenia wskazywały, iż [...] S.A. nie posiadała danych skarżącego, a jedynie przekierowywała do nich ze swojej strony do strony [...]Inc. Takie rozumienia pojęcia sprawy doprowadziło do zawężenia kontroli sądowoadministracyjnej, a wcześniej administracyjnej. Sąd zbadał bowiem tylko i wyłącznie (i to w sposób niepełny), czy [...] S.A. posiadała dane osobowe skarżącego na swojej stronie ([...]) i jakie to miało przełożenie na ich przetwarzanie i administrowanie nimi. Nie zbadał natomiast istoty stworzonego przez [...] S.A. mechanizmu, w tym tego, czy istniała realna szansa na doprowadzenie do "filtrowania" odesłań do strony zawierającej dane osobowe skarżącego, znajdującej się poza polską jurysdykcją.

Także ani Sąd I instancji, ani organ nie wyjaśniły precyzyjnie mechanizmu działania strony [...]. W tym zakresie za podstawę ustaleń przyjęto jedynie wyjaśnienia uczestnika ([...]S.A.) oraz własne rozważania organu. Pominięto jednak możliwość zażądania przedstawienia umowy licencyjnej, na którą powoływał się uczestnik postępowania, a z której miałby wynikać zakaz dokonywania jakichkolwiek modyfikacji, filtrowania bądź zmian danych zamieszczonych na stronie dostarczanej przez [...]Inc. i ewentualne sposoby dokonywania zmian informacji. Naczelny Sąd Administracyjny stanął na stanowisku, iż związanie się przez dany podmiot umową, która w istocie powoduje wyłączenie możliwości reagowania na przypadki łamania przepisów o ochronie danych osobowych, nie może zostać uznane jako działanie chronione prawem (wyłączające z kręgu administratorów danych). Na tej podstawie Sąd I instancji powinien ustalić, czy [...] S.A. rzeczywiście nie przechowywała danych osobowych skarżącego i ich nie przetwarzała, co wskazywałoby jednoznacznie, iż jest ich administratorem. Powinien również uwzględnić sformułowane wyjaśnienia i odnieść się do nich w ramach subsumcji norm prawa wywiedzionych z przepisów ustawy o ochronie danych osobowych. W procesie tym Sąd I instancji uwzględni to, iż w sprawie chodzi o udostępnienie danych w Internecie, przez podmiot zagraniczny, w sposób, na który polskie organy nie mają wpływu. Jednocześnie WSA winien rozważyć, czy przetwarzaniem nie jest stworzenie takich warunków technicznych, które de facto umożliwiają zapoznanie się z danymi osobowymi bez ich fizycznej retencji.

Wojewódzki Sąd Administracyjny w Warszawie po ponownym rozpoznaniu sprawy uznał, iż skarga zasługuje na uwzględnienie.

W pierwszej kolejności Sąd I instancji wskazał, że w świetle postanowień art. 190 ustawy - Prawo o postępowaniu przed sądami administracyjnymi sąd, któremu sprawa została przekazana, związany jest wykładnią prawa dokonaną w tej sprawie przez Naczelny Sąd Administracyjny.

Zdaniem Sądu, fundamentalne znaczenie ma dokonana przez Naczelny Sąd Administracyjny w wyroku z dnia 9 kwietnia 2015 r. sygn. akt I OSK 2926/13 wykładnia art. 7 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Zgodnie z tym przepisem przez przetwarzanie danych należy rozumieć jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Naczelny Sąd Administracyjny w uzasadnieniu powyższego wyroku wskazał, iż za przetwarzanie danych osobowych może być uznane także ich pośrednie udostępnianie (np. poprzez przekierowanie do innej domeny internetowej), nawet jeżeli dany podmiot danymi tymi fizycznie nie dysponuje. Sąd ten podkreślił, iż nie może podlegać ochronie prawnej działanie podmiotów, które w sposób bezrefleksyjny dokonują świadomego odesłania do stron internetowych, które mogą naruszać chronione prawem polskim dane osobowe. Niewątpliwie jeżeli przekierowanie takie nie łączy się z fizycznym posiadaniem danych udostępnionych na innej stronie internetowej, należy to uwzględniać w procesie oceny danego podmiotu jako przetwarzającego dane osobowe i nimi administrującego, jednakże brak posiadania danych nie wyłącza sam przez się możliwości uznania danego podmiotu za ich administratora.

Sąd I instancji stwierdził, iż za przetwarzanie danych osobowych uznawane są wszelkie operacje wykonywane na tych danych, w tym udostępnianie i usuwanie, zwłaszcza w systemach teleinformatycznych. Zgodnie z ustaleniami dokonanymi przez Departament Informatyki w Biurze GIODO, przedstawionymi w opinii jego Dyrektora z dnia 24 lipca 2012 r. "Serwis [...]za pośrednictwem swojej strony umożliwia jedynie wyszukanie określonych treści zamieszczonych w bazie danych serwisu http:// [...]i ich wyszukanie na ekranie. Serwis [...]nie posiada własnej bazy danych z danymi wyszukiwanymi na portalu [...]g, a jedynie po wykonaniu wyszukiwania w serwisie [...]prezentuje te dane na swojej stronie, w określonym przez siebie formacie". Organ przy tym uznał, iż [...] S.A. dostarcza użytkownikom narzędzia umożliwiające uzyskanie dostępu do danych upublicznionych przez [...]INC. oraz [...] S.A. nie decyduje o treści artykułów dostępnych w serwisie wikipedia.wp.pl. Zaś zasady udostępniania danych w serwisie [...]zostały wskazane w odnośniku zamieszczonym w stopce tego serwisu o nazwie "Tekst udostępniany na licencji Creative Commons: uznanie autorstwa, na tych samych warunkach, z możliwością ograniczeń". GIODO wskazał także, iż [...] S.A. ma możliwość edycji, usunięcia lub zaprzestania upublicznienia danych osobowych zawartych w treści artykułów dostępnych w serwisie [...], ale tylko na zasadach określonych w regulaminie serwisu [...]co oznacza, że czynności te są ostatecznie weryfikowane i akceptowane przez redaktorów serwisu [...]. Przy czym [...] S.A. nie decyduje o celach i środkach, gdyż nie gromadzi tych danych na serwerach.

Dalej Sąd zauważył, iż z powyższych ustaleń poczynionych przez GIODO wynika, iż [...] S.A. nie tylko "automatycznie" kieruje za pośrednictwem własnej strony internetowej do serwisu [...]do wyszukanych na jej stronie treści, lecz także dysponuje instrumentami, poprzez które, wprawdzie nie bezpośrednio, lecz na zasadach określonych w regulaminie serwisu [...], może wpływać na weryfikowanie treści zamieszczonych w bazach danych serwisu [...]. Temu aspektowi sprawy organ nie poświęcił należytej uwagi. Wprawdzie [...] S.A. nie posiada własnego zbioru danych zawierających informacje o skarżącym, ale przedstawia te dane w określonym przez siebie formacie, jak też ma pośrednią możliwość weryfikacji poprawności tych danych. To z kolei, w konfrontacji z dokonaną przez Naczelny Sąd Administracyjny w ww. uzasadnieniu wyroku wykładnią art. 7 pkt 2 ustawy o ochronie danych osobowych, zdaje się wskazywać na zasadność przyznania [...] S.A. statusu administratora danych osobowych skarżącego publikowanych na stronach [...]Jednakże jednoznaczne przesądzenie tej kwestii, wobec niewystarczającego materiału dowodowego zgromadzonego w toku postępowania administracyjnego, jest przedwczesne. Jak podkreślił w powyższym wyroku Naczelny Sąd Administracyjny, kluczowe znaczenie dla poznania mechanizmu przetwarzania danych w serwisie [...], zapożyczonych z serwisu pl.wikipedia.org, ma ustalenie możliwości "filtrowania" określonych treści i to w oparciu o postanowienia umowy licencyjnej zawartej pomiędzy [...]S.A. a [...]Inc. Treść tej umowy nie została jednak poddana analizie w postępowaniu prowadzonym przez GIODO, choć uczestnik postępowania – [...] S.A. – powołuje się na związanie postanowieniami tej umowy. Skoro tak, to obowiązkiem organu było skonfrontowanie twierdzeń uczestnika postępowania o braku stosownych instrumentów do weryfikacji danych skarżącego uzyskiwanych z serwisu [...]z tym, co postanowiły strony przedmiotowej umowy licencyjnej.

Następnie Sąd I instancji podkreślił, iż nie może za organ uzupełniać materiału dowodowego i ustalać stanu faktycznego sprawy w zakresie niezbędnych dla wydania prawidłowego rozstrzygnięcia. Wobec nadesłania przez uczestnika postępowania do akt sprawy umowy licencyjnej w języku angielskim i poinformowaniu o niedysponowaniu jej tłumaczeniem na język polski, Sąd nie miał możliwości konwalidowania braków postępowania wyjaśniającego. Trzeba mieć w tym względzie na uwadze, iż co do zasady nie jest możliwe prowadzenie postępowania dowodowego przed sądem administracyjnym, który kontrolę legalności opiera na materiale dowodowym zgromadzonym w postępowaniu przed organem administracji wydającym zaskarżoną decyzję, czy inny akt prawny. Celem postępowania dowodowego, o którym mowa w art. 106 § 3 ustawy – Prawo o postępowaniu przed sądami administracyjnymi, nie jest ponowne ustalenie stanu faktycznego w sprawie administracyjnej, lecz wyłącznie ocena, czy organy administracji ustaliły ten stan zgodnie z regułami procedury administracyjnej, a następnie, czy dokonały prawidłowej subsumcji ustalonego stanu faktycznego do dyspozycji określonych przepisów prawa materialnego.

Wobec powyższego Sąd I instancji stwierdził, iż organ nie wyjaśnił precyzyjnie mechanizmu działania strony [...]. Brak kluczowych ustaleń stanu faktycznego sprawy wskazuje na istotne naruszenie przez GIODO przepisów procesowych, tj. art. 7, 77 § 1 i art. 107 § 3 k.p.a. i to w stopniu mogącym mieć wpływ na końcowy wynik sprawy. Sąd wskazał, że rozpoznając sprawę z wniosku R.Z. o ponowne rozpatrzenie sprawy organ, kierując się powyższymi uwagami, uzupełni materiał dowodowy w niezbędnym zakresie, dokona oceny zgromadzonego materiału dowodowego w zestawieniu z wykładnią art. 7 pkt 2 ustawy o ochronie danych osobowych dokonaną przez Naczelny Sąd Administracyjny w ww. uzasadnieniu wyroku i dopiero wówczas rozstrzygnie, czy [...] S.A. jest administratorem danych osobowych skarżącego i czy dane te były przez uczestnika postępowania przetwarzane z poszanowaniem reguł określonych w ustawie o ochronie danych osobowych.

Skargę kasacyjną od powyższego wyroku wniosła [...]spółka z o.o., zaskarżając go w całości, zarzuciła Sądowi I instancji naruszenie przepisów prawa materialnego tj.

1) art. 7 pkt 2) ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych poprzez jego błędną wykładnię;

2) art. 7 pkt 4) ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych poprzez jego błędną wykładnię i niewłaściwe zastosowanie (brak zastosowania).

W konkluzji skargi kasacyjnej wniesiono o uchylenie zaskarżonego wyroku w całości i oddalenie skargi, ewentualnie o uchylenie zaskarżonego wyroku w całości i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie oraz zasądzenie kosztów postępowania według norm przepisanych.

W uzasadnieniu skargi wskazano, że umowa dotycząca serwisu [...]zawarta pomiędzy [...]SA (obecnie: [...]spółka z o.o.) i [...]Inc. już nie obowiązuje. Uczestnik postępowania nie umożliwia dostępu do jakiejkolwiek strony serwisu [...]za pośrednictwem jakiegokolwiek serwisu internetowego uczestnika postępowania. Tym samym, bezprzedmiotowa stała się skarga wniesiona w niniejszej sprawie przez Skarżącego, której przedmiotem jest zaprzestanie przetwarzania jego danych osobowych przez [...]SA (obecnie: [...]spółka z o.o.)

Niezależnie od powyższego spółka wskazała, że Sąd I instancji dokonał błędnej wykładni art. 7 pkt 2) UODO, poprzez przyjęcie że "operacje wykonywane na danych osobowych" w rozumieniu tego przepisu oznaczają także działania podejmowane przez uczestnika postępowania polegające na stworzeniu warunków do wyszukiwania artykułów w serwisie [...]. W szczególności nie mamy ze strony uczestnika postępowania do czynienia ze zbieraniem, utrwalaniem, przechowywaniem, opracowywaniem, zmienianiem, udostępnianiem ani usuwaniem tych danych.

Podkreślono, że przedmiotem niniejszej sprawy nie jest hipotetyczne stworzenie przez uczestnika postępowania własnej wyszukiwarki, która miałaby na celu indeksowanie danych osobowych pochodzących z serwisu [...], czasowe przechowywanie takich informacji przez uczestnika postępowania i wreszcie ich udostępnianie internautom przez uczestnika postępowania w sposób uporządkowany zgodnie z określonymi preferencjami. Niniejsze postępowanie dotyczy jedynie umożliwienia przez uczestnika postępowania zapoznania się z treściami serwisu [...], przy czym użytkownicy zapoznawali się z tymi treściami umieszczonymi na stronie [...], a nie na stronach utrzymywanych przez uczestnika postępowania. Zatem w niniejszej sprawie nie jest zasadne, w ocenie uczestnika postępowania, powołanie się na poglądy wyrażane w orzecznictwie i w doktrynie w odniesieniu do usług wyszukiwawczych polegających na prezentacji przez wyszukiwarki tworzonych przez nie list wyników wyszukiwania w oparciu o kryteria i algorytmy ustalane przez dostawcę usług wyszukiwawczych.

W ocenie uczestnika postępowania, WSA dokonał błędnej wykładni i niewłaściwe zastosował (a w istocie nie zastosował) w niniejszej sprawie art. 7 pkt 4) UODO, zgodnie z którym przez administratora danych osobowych rozumie się jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3 UODO, decydujące o celach i środkach przetwarzania danych osobowych. W toku postępowania Generalny Inspektor Ochrony Danych Osobowych (dalej: "GIODO") ustalił, że uczestnik postępowania nie decyduje o celach i środkach przetwarzania danych osobowych skarżącego, zatem nie spełnia przesłanki z art. 7 pkt 4) UODO pozwalającej na uznanie uczestnika postępowania za administratora danych osobowych. Niezależnie zatem od oceny czy działania podejmowane przez uczestnika postępowania można było uznać za przetwarzanie danych osobowych skarżącego, uczestnik postępowania i tak nie mógłby zostać uznany za administratora danych osobowych.

Naczelny Sąd Administracyjny zważył co następuje:

Zgodnie z art. 183 § 1 ustawy Prawo o postępowaniu przed sadami administracyjnymi, Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, a z urzędu bierze pod uwagę wyłącznie nieważność postępowania.

Skarga kasacyjna jest więc sformalizowanym środkiem zaskarżenia wyroku Sądu I instancji, na co wskazuje wynikające z art. 183 § 1 P.p.s.a. związanie podstawami skargi kasacyjnej, sprowadzające się do tego, że zakres kontroli Naczelnego Sądu Administracyjnego określa autor skargi kasacyjnej wskazując naruszenie konkretnego przepisu prawa materialnego lub przepisu postępowania. Sąd kasacyjny nie ma nie tylko obowiązku, ale przede wszystkim prawa domyślania się i uzupełniania zarzutów skargi kasacyjnej oraz argumentacji służącej ich uzasadnieniu. Określenie danej podstawy kasacyjnej musi być precyzyjne, ponieważ Naczelny Sąd Administracyjny może uwzględnić tylko te przepisy, które zostały wyraźnie wskazane w skardze kasacyjnej jako naruszone. Nie jest natomiast władny badać, czy Sąd I instancji nie naruszył również innych przepisów, niedostrzeżonych lub pominiętych przy formułowaniu zarzutów skargi kasacyjnej.

Przede wszystkim zaś zarzuty składające się na podstawy skargi kasacyjnej muszą pozostawać w ścisłym związku z podstawą prawną rozstrzygnięcia.

Przypomnienie powyższych zasad jest o tyle konieczne, że skarga kasacyjna wniesiona w rozpoznawanej sprawie zarzuca naruszenie zaskarżonym wyrokiem przepisów prawa materialnego – art. 7 pkt.2 i art. 7 pkt. 4 ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych ( Dz. U z 2002r. Nr. 101, poz. 926 ze zm.). W ramach unormowania art. 174 pkt 1 P.p.s.a. dopuszcza się podstawę kasacyjną naruszenia prawa materialnego przez błędną jego wykładnię lub niewłaściwe zastosowanie. Naruszenie prawa materialnego przez błędną wykładnię polega na mylnym zrozumieniu treści zastosowanego przepisu, zaś naruszenie prawa przez niewłaściwe zastosowanie polega na tzw. błędzie w subsumcji, co wyraża się w tym, że stan faktyczny ustalony w sprawie błędnie uznano za odpowiadający stanowi hipotetycznemu przewidzianemu w normie prawnej, albo że ustalonego stanu faktycznego błędnie nie podciągnięto pod hipotezę określonej normy prawnej ( wyrok NSA z dnia 2017-04-07 II FSK 668/15 LEX nr 2286004 ). Stosownie do art. 7 pkt. 2 ustawy przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. W myśl natomiast art. 7 pkt. 4 ustawy administratorem danych jest organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych.

Zarzut błędnej wykładni, czy błędnego zastosowania wymienionych przepisów prawa materialnego jest chybiony, z następujących względów :

- Wojewódzki Sąd Administracyjny w Warszawie nie dokonywał i nie mógł dokonać wiążącej wykładni art. 7 pkt. 2 i art. 7 pkt. 4 ustawy o ochronie danych osobowych, nie mógł również wobec braków w zakresie ustalenia stanu faktycznego sprawy stosować tych przepisów,

- Sąd I instancji odniósł się tylko do wykładni tych przepisów przedstawionej w wyroku Naczelnego Sądu Administracyjnego z dnia 9 kwietnia 2015r. I OSK 2926/13.

Zdaniem Sądu I instancji nie jest wykluczone, że [...] S.A. może być uznana za administratora danych, jednak wobec niewystarczającego materiału dowodowego zebranego w sprawie przesądzenie tej kwestii jest przedwczesne ( str. 9 uzasadnienia ).

Z uzasadnienia zaskarżonego wyroku wynika, że ustalenie czy Spółka może być uznana za administratora danych osobowych R.Z. wymaga uzupełnienia materiału dowodowego i ustalenia stanu faktycznego sprawy. Dlatego Sąd I instancji na podstawie art. 145 § 1 pkt.1 lit. c P.p.s.a. uchylił zaskarżoną decyzję. Powołana podstawa prawna wyroku jednoznacznie wskazuje, że Sąd I instancji stosował wyłącznie przepisy prawa procesowego, a nie prawa materialnego. Te ostatnie mogą zostać bowiem zastosowane tylko na gruncie ustalonego jednoznacznie stanu faktycznego sprawy. Ten zaś w niniejszej sprawie nie został ustalony.

Zarzuty na jakich oparta została skarga kasacyjna pozostają zatem bez związku z podstawą rozstrzygnięcia Sądu I instancji, podczas gdy zarzuty skargi kasacyjnej do NSA muszą odnosić się do tych przepisów prawa, które legły u podstaw rozstrzygnięcia zawartego w skarżonym wyroku Sądu I instancji, bowiem skarga kasacyjna jest skierowana przeciwko wyrokowi sądowemu, a jedynie pośrednio przeciwko rozstrzygnięciom administracyjnym, które podlegały kontroli sądowej ( wyrok NSA z dnia 2017-03-15 II GSK 4444/16 LEX nr 2269788 ).

Skoro Sąd I instancji nie przesądził kwestii, że skarżąca kasacyjnie przetwarza dane osobowe R.Z., to zarzucanie mu dokonania niewłaściwej wykładni, czy niewłaściwego zastosowania przepisów wymienionych w skardze kasacyjnej jest niezrozumiałe. Jak wspomniano o tym wcześniej, skarga kasacyjna stanowi środek zaskarżenia konkretnego wyroku i musi nawiązywać do tego o czym przesądził Sąd.

W tej sprawie Sąd I instancji przesądził jedynie o tym, że jej rozstrzygnięcie wymaga ustalenia stanu faktycznego.

Ze skargi kasacyjnej nie wynika, aby skarżąca kasacyjnie nie zgadzała się z taką oceną Sądu.

Jak stwierdził to Naczelny Sąd Administracyjny w wyroku z dnia 23 lutego 2017r. II FSK 222/15 LEX nr 2273706 nie można w skardze kasacyjnej skutecznie stawiać zarzutu nietrafnego zastosowania prawa materialnego, gdy z jej uzasadnienia wynika, że wadliwie zostały ustalone okoliczności stanu faktycznego.

Mając na uwadze powyższe Naczelny Sąd Administracyjny na podstawie art. 184 P.p.s.a. orzekł jak w sentencji.