Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Anna Mierzejewska, Sędziowie WSA Ewa Kwiecińska (spr.), Andrzej Kołodziej, Protokolant Bartosz Piwoński, po rozpoznaniu na rozprawie w dniu 5 października 2005 r. sprawy ze skargi Prokuratora Okręgowego w O. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] stycznia 2005 r. nr [...] w przedmiocie usunięcia uchybień w procesie przetwarzania danych osobowych - oddala skargę -

W dniu [...] listopada 2004 r. Generalny Inspektor Ochrony Danych Osobowych wydał decyzję nakazującą Prokuratorowi Okręgowemu w O. usunięcie uchybień w procesie przetwarzania danych osobowych, poprzez:

1. Uzupełnienie ewidencji osób upoważnionych do przetwarzania danych osobowych o zapisy dotyczące: daty nadania i ustania upoważnienia do przetwarzania danych osobowych oraz identyfikatora osób upoważnionych do przetwarzania danych osobowych w systemie informatycznym, a w przypadku prokuratorów również zakresu upoważnienia do przetwarzania danych.

2. Dopełnienie obowiązku zgłoszenia do rejestracji zbioru danych, w którym są przetwarzane dane osób składających skargi i wnioski dotyczące działalności Prokuratury Okręgowej w O. oraz Prokuratur Rejonowych Okręgu O.

3. Uzupełnienie polityki bezpieczeństwa o wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych oraz o opis struktury zbiorów danych, wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi, zgodnie z § 4 pkt 2 i pkt 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).

Po ponownym rozpatrzeniu sprawy Generalny Inspektor Ochrony Danych Osobowych decyzją nr [...] z dnia [...] stycznia 2005 r. uchylił zaskarżoną decyzję w punkcie pierwszym i umorzył postępowanie w tym zakresie, a w pozostałym zakresie utrzymał zaskarżoną decyzję w mocy.

W uzasadnieniu decyzji organ wskazał, iż Prokurator Okręgowy w O. rozpatruje skargi i wnioski dotyczące działalności Prokuratury Okręgowej w O. oraz Prokuratur Rejonowych Okręgu O. Skargi i wnioski są rejestrowane w rzeczowym wykazie akt pod symbolem klasyfikacyjnym [...] w formularzu o nazwie "Spis spraw", zgodnie z kolejnym numerem i datą wpływu. Wykaz akt oraz skargi i wnioski zawierają, jak podkreśla Generalny Inspektor, dane skarżących i wnioskodawców, w szczególności: imię, nazwisko i adres zamieszkania.

W ocenie organu, rozpatrywane w Prokuraturze Okręgowej w O. skargi i wnioski tworzą zbiór danych osobowych, o którym mowa w art. 7 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), gdyż zawarte w skargach i wnioskach oraz w wykazie akt informacje tworzą zestaw danych osobowych, zestaw, który posiada własną strukturę, a dane są dostępne według określonych kryteriów. O uporządkowaniu wskazanego zbioru danych świadczy, zdaniem Generalnego Inspektora, to że dane są wpisywane w odpowiednie rubryki na formularzu wykazu akt zaś skargi i wnioski są w określony sposób ułożone. Dane te są też dostępne według określonego kryterium, gdyż skargi i wnioski ułożone są według daty wpływu oraz zgodnie z numeracją odzwierciedloną w wykazie akt, zatem dostęp do danych zapewniają: znajomość daty wpływu pisma, bądź numeru sprawy.

Generalny Inspektor Ochrony Danych Osobowych wskazał ponadto, że nie należy utożsamiać skarg i wniosków z pismami procesowymi, inny jest również tryb ich rozpatrywania. Organ nie podzielił zatem opinii Prokuratora Okręgowego w O., wyrażonej we wniosku o ponowne rozpatrzenie sprawy, iż skargi i wnioski są immanentną częścią akt postępowań karnych.

Odnosząc się natomiast do punktu trzeciego decyzji, tj. nakazu uzupełnienia polityki bezpieczeństwa, Generalny Inspektor stwierdził, iż przedstawiona w toku postępowania administracyjnego dokumentacja nie spełnia wymogów § 4 pkt 2 i pkt 3 cyt. rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, zwanego dalej rozporządzeniem. Polityka bezpieczeństwa, o której mowa w § 3 ust. 1 rozporządzenia, winna zawierać w szczególności: wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych oraz opis struktury zbiorów danych, wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi.

W ocenie organu, przedstawione przez Prokuratora Okręgowego dokumenty o nazwach "Opis Systemu [...]" i "Opis Systemu Informatycznego [...]" zawierają: wykaz sprzętu eksploatowanego w ww. systemach, wykazy stosowanego oprogramowania, wykazy pomieszczeń. We wskazanej dokumentacji brak jest natomiast wykazu zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych oraz opisu struktury zbiorów danych wskazującego zawartość poszczególnych pól informacyjnych i powiązania między nimi.

Generalny Inspektor wskazał nadto, iż Prokurator Okręgowy w O. przedstawił dowody potwierdzające uzupełnienie ewidencji osób upoważnionych do przetwarzania danych osobowych o zapisy dotyczące: daty nadania i ustania upoważnienia do przetwarzania danych osobowych w systemie informatycznym, a w przypadku prokuratorów również zakresu upoważnienia do przetwarzania danych. Z tego też powodu organ uchylił punkt pierwszy zaskarżonej decyzji i umorzył w tym zakresie postępowanie, jako bezprzedmiotowe, w rozumieniu art. 105 § 1 k.p.a.

Skargę na decyzję tę wniósł do Wojewódzkiego Sądu Administracyjnego w Warszawie Prokurator Okręgowy w O. W skardze podniesiono zarzut naruszenia prawa materialnego poprzez błędną wykładnię i niewłaściwe zastosowanie w sprawie przepisów art. 7 pkt 1 i art. 40 ustawy o ochronie danych osobowych oraz zarzut naruszenia prawa procesowego poprzesz niedopełnienie obowiązków spoczywających na organie prowadzącym postępowanie administracyjne z mocy art. 7, art. 77 § 1 i art. 80 k.p.a. Skarżący wniósł o uchylenie zaskarżonej decyzji w części utrzymującej w mocy decyzje GIODO z dnia [...] listopada 2004 r. oraz poprzedzającej ją decyzji.

Podnosząc zarzut naruszenia prawa materialnego Prokurator Okręgowy w O. wskazał, iż w jego ocenie, nie istnieje obowiązek zgłoszenia rejestru skarg i wniosków do rejestracji GIODO, gdyż nie jest to zbiór danych osobowych. Skarżący podkreślił, iż zasadniczym elementem zbioru danych jest zestaw danych o charakterze osobowym, w którym zapewni się dostęp do tych danych, według określonych kryteriów osobowych. Skoro ustawodawca posługuje się pojęciem kryteria w liczbie mnogiej, to oznacza to, zdaniem skarżącego, konieczność zaistnienia przynajmniej dwóch takich kryteriów, przy czym wymóg dwóch równocześnie występujących kryteriów dostępu wyklucza proste alfabetyczne, czy też numeryczne lub według daty wpływu uporządkowanie zestawu danych w celu przekształcenia go w zbiór danych.

Zestaw danych staje się, jak wskazuje skarżący, zbiorem danych w chwili, gdy zabiegi organizacyjne w ich finale, zapewniają oczekiwany łatwy dostęp do tych danych według określonych terminów, przy jednoczesnym wyczerpaniu pozostałych znamion definicyjnych.

Zdaniem skarżącego, Generalny Inspektor nietrafnie doszukuje się zbioru danych w prowadzonym ręcznie rejestrze w O. Rejestr ten nie jest bowiem zbiorem danych osobowych, gdyż nie wyczerpuje znamion zorganizowania tych danych w zbiór danych w rozumieniu ustawy o ochronie danych osobowych, a jedynie zawiera zestaw danych osób składających skargi.

Ponadto skarżący podnosi, iż wszystkie urządzenia ewidencyjne w prokuraturze wspomagają realizację jej ustawowych zadań. Zbiory danych przetwarzane w tych urządzeniach dla potrzeb postępowania zgodnego i na podstawie przepisów o Krajowym Rejestrze Karnym nie wymagają rejestracji, co wynika z przepisu art. 43 ust. 1 pkt 2 w związku z art. 40 ustawy o ochronie danych osobowych. Skargi są zaś immanentną częścią akt postępowań karnych.

Skarżący wskazuje, powołując się na zarzut naruszenia prawa procesowego, iż Prokuratura Okręgowa w O. w dacie kontroli prowadziła i nadal prowadzi wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych informacyjnych, opisem struktury zbiorów danych informacyjnych, zawartością poszczególnych pól informacyjnych i powiązania między nimi. Do wniosku o ponowne rozpatrzenie sprawy dołączono kserokopię opisu systemu SIP, która, zdaniem skarżącego, spełnia wymagania ustawy o ochronie danych osobowych i przepisów wykonawczych oraz kserokopię instrukcji z dnia 1 lipca 2004 r. dotyczącej zasad bezpieczeństwa przy przetwarzaniu danych w systemie informatycznym użytkowanym w prokuraturach. W przekazanej dokumentacji - opisie systemu określono dane systemu (wykaz zbiorów), z użyciem terminów informatycznych.

Zdaniem skarżącego, w ramach sytemu [...] w Prokuraturze Okręgowej w O. użytkowany jest jeden zbiór danych (Lokalna Baza Danych systemu [...]) oraz jeden program przetwarzający te dane. Szczegółowy opis struktury zbiorów danych ww. Lokalnej Bazy Danych z zawartością poszczególnych pól informacyjnych i powiązania między nimi zawiera dokumentacja techniczna systemu [...] opracowana przez wykonawcę oprogramowania.

W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie i podtrzymał argumentację zawartą w uzasadnieniu zaskarżonej decyzji.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Stosownie do treści art. 13 § 2 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), do rozpoznania sprawy właściwy jest wojewódzki sąd administracyjny, na którego obszarze właściwości ma siedzibę organ administracji publicznej, którego działalność została zaskarżona.

Art. 1 § 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269) statuuje zasadę kontroli przez sąd administracyjny zaskarżonych decyzji pod względem ich zgodności z prawem.

Jednocześnie, zgodnie z art. 134 § 1 ustawy - Prawo o postępowaniu przed sądami administracyjnymi, sąd rozstrzygając w granicach danej sprawy nie jest związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną.

Rozpoznając skargę w świetle powołanych powyżej przepisów należy stwierdzić, że nie zasługuje ona na uwzględnienie.

W myśl art. 7 ust. 1 ustawy o ochronie danych osobowych, przez zbiór danych osobowych należy rozumieć każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Pojęcie zbioru danych obejmuje swoim zakresem zarówno zbiory zautomatyzowane, jak i niezautomatyzowane (normalne, tradycyjne).

Jak się zaznacza w komentarzach do Dyrektywy 95/46/EC, która zawiera podobną, jak polska ustawa definicję zbioru danych, zbiorami takimi mogą być również ręczne zbiory ewidencyjne, zgromadzone akta (teczki, kartoteki) osobowe, zgromadzone materiały, na przykład formularze, kwestionariusze uporządkowane i ułożone w odpowiedni sposób (por. J. Barta, P. Fajgielski, R. Markiewicz; "Ochrona danych osobowych - komentarz", Wyd. III, Zakamycze 2004, s. 390, teza 2).

Zbiór danych osobowych musi wykazywać się strukturą uporządkowaną. Tym, co odróżnia zbiór danych od innych zestawów danych jest istnienie cechy albo cech pozwalających na odnalezienie informacji bez potrzeby przeglądania całego zestawu (A. Mednis, "Ustawa o ochronie danych osobowych - komentarz", Warszawa 1999, s. 27).

Ponadto, cechę zbioru danych stanowi - stosownie do ustawowej definicji - dostępność danych według określonych kryteriów. Zdaniem Sądu, o zbiorze danych osobowych można mówić nie tylko wtedy, gdy w rozpatrywanym zestawie istnieć będzie możliwość dostępu do danych poprzez kryterium osobowe. Należy bowiem podzielić pogląd Generalnego Inspektora Ochrony Danych Osobowych, iż nie ma podstaw, by zakładać, że dane osobowe mają być dostępne według kryteriów osobowych rozumianych jako zapewniające dostęp do danych identyfikujących (np. imię nazwisko, adres, numery PESEL i NIP).

Jak wynika z akt administracyjnych sprawy, skargi i wnioski rejestrowane są w Prokuraturze Okręgowej w O. w rzeczonym wykazie akt, pod symbolem klasyfikacyjnym [...] w formularzu o nazwie "Spis spraw", zgodnie z kolejnym numerem i z datą wpływu. W skargach i wnioskach zawarte są dane osobowe skarżących i wnioskodawców, zawierające w szczególności: imię, nazwisko i adres zamieszkania. Dostęp do danych dotyczących osób składających skargi i wnioski zapewnia wskazanie daty wpływu pisma lub numeru sprawy.

W ocenie Sądu, opisany powyżej zestaw danych osobowych ma charakter uporządkowany, bo posiada własną strukturę, a dane osobowe dostępne są według określonych kryteriów, którymi są: data wpływu pisma oraz numer sprawy.

Przedstawione argumenty przemawiają za uznaniem wpływających do Prokuratury Okręgowej w O. skarg i wniosków za zbiór danych osobowych.

Konsekwencją przetwarzania danych osobowych w zbiorze jest wynikający z art. 40 ustawy o ochronie danych osobowych obowiązek zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi, za wyjątkiem przypadków, o których mowa w art. 43 ust. 1 wskazanej ustawy.

Należy stwierdzić, że zgodnie z § 318 rozporządzenia Ministra Sprawiedliwości z dnia 11 kwietnia 1992 r. - Regulamin wewnętrznego urzędowania powszechnych jednostek organizacyjnych prokuratury (Dz. U. Nr 38, poz. 163 ze zm.), wpływające do prokuratury skargi i wnioski, o których mowa w art. 227 i 241 k.p.a., podlegają załatwieniu zgodnie z przepisami działu VIII tego kodeksu oraz rozporządzenia Rady Ministrów z dnia 8 stycznia 2002 r. w sprawie organizacji przyjmowania skarg i wniosków (Dz. U. Nr 5, poz. 46).

Przedmiotem skargi, jak stanowi art. 227 k.p.a., może być w szczególności zaniedbanie lub nienależyte wykonywanie zadań przez właściwe organy albo przez ich pracowników, naruszenie praworządności lub interesów skarżących, a także przewlekłe lub biurokratyczne załatwianie spraw.

Przedmiotem wniosku mogą być, w szczególności, sprawy ulepszenia organizacji, wzmocnienia praworządności, usprawnienia pracy i zapobiegania nadużyciom, ochrony własności, lepszego zaspokajania potrzeb ludności (art. 241 k.p.a.).

Przepis § 321 Regulaminu wewnętrznego urzędowania powszechnych jednostek organizacyjnych prokuratury stanowi, iż jeżeli pismo lub zgłoszenie ustne, podlegające rozpoznaniu w trybie określonego postępowania, zawiera także zarzuty dotyczące niedopełnienia obowiązku, przekroczenia uprawnień lub uchybienia godności urzędu przez prokuratora lub innego pracownika prokuratury, w tej części należy traktować je jako skargę, do której załatwienia właściwy jest prokurator przełożony.

Celem natomiast postępowania karnego jest miedzy innymi to, by sprawca przestępstwa został wykryty i pociągnięty do odpowiedzialności karnej, a osoba niewinna nie poniosła tej odpowiedzialności, uwzględnione zostały prawnie chronione interesy pokrzywdzonego, a rozstrzygnięcie sprawy nastąpiło w rozsądnym terminie (art. 2 § 1 ustawy z dnia 6 czerwca 1997 r. - Kodeks postępowania karnego - Dz. U. Nr 89, poz. 555 ze zm.). Podkreśla się też prewencyjne zadania postępowania i ujawniania okoliczności sprzyjających popełnianiu przestępstw (art. 2 § 1 pkt 2 k.p.k.).

Powyżej przywołane przepisy wskazują na różną podstawę prawną, tryb, przedmiot i cel przetwarzania danych osobowych w związku z rozpatrywaniem skarg i wniosków oraz danych osobowych przetwarzanych w związku z prowadzeniem postępowań przygotowawczych. Nie można zatem uznać, iż przetwarzanie przez prokuraturę danych osobowych w związku z rozpatrywaniem skarg i wniosków następuje dla potrzeb postępowali sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym, w rozumieniu art. 43 ust. 1 pkt 2 ustawy o ochronie danych osobowych. Słusznie zatem Generalny Inspektor, mocą zaskarżonej decyzji, nałożył na Prokuratora Okręgowego w O. obowiązek zgłoszenia do rejestracji zbioru danych, w którym są przetwarzane skargi i wnioski dotyczące działalności Prokuratury Okręgowej w O.

Odnosząc się do zarzutu naruszenia prawa procesowego, stwierdzić należy, iż zgodnie z treścią § 4 pkt 2 i pkt 3 cyt. rozporządzenia, polityka bezpieczeństwa, o której mowa w § 3 ust. 1 powinna zawierać wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych oraz opis struktury zbiorów danych, wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi. Należy zgodzić się ze stanowiskiem Generalnego Inspektora, wyrażonym w odpowiedzi na skargę, że polityka bezpieczeństwa to dokument, który powinien być dostosowany do konkretnych warunków przetwarzania danych osobowych u określonego administratora danych. Konieczne jest zatem nadanie nazw poszczególnym zbiorom danych osobowych oraz wskazanie nazw używanych do ich przetwarzania programów komputerowych.

Niezbędne jest też sporządzenie opisu struktury zbioru wskazującego zawartość informacji w nim gromadzonych. Opis pola danych powinien umożliwiać jednoznaczną interpretację jego zawartości.

Wymogów tych nie spełnia, w ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie, wskazany przez skarżącego wykaz zbiorów, z użyciem terminów informatycznych, o treści:

1) Serwer [...]

2) Serwer [...]

3) Serwer [...]

Z tych samych powodów, przedstawiona przez skarżącego dokumentacja techniczna systemu SIP, opracowana przez wykonawcę oprogramowania, nie może być, zdaniem Sądu, poczytywana za politykę bezpieczeństwa, o której mowa w § 3 ust. 1 cyt. rozporządzenia.

Słusznie zatem Generalny Inspektor nałożył na skarżącego obowiązek uzupełnienia polityki bezpieczeństwa o wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania danych oraz opis struktury zbiorów danych wskazujących zawartość poszczególnych pól informacyjnych i powiązania między nimi.

Nie zasługuje też na uwzględnienie, zdaniem Sądu, zarzut naruszenia przepisów prawa procesowego, a to przepisu art. 7, 77 § 1 i 80 k.p.a. W ocenie Sądu, postępowanie administracyjne prowadzone było zgodnie z wyrażoną w przywołanych przepisach zasadą prawdy obiektywnej, organ zebrał i w sposób wyczerpujący rozpatrzył cały zgromadzony materiał dowodowy. Dokonana przez organ ocena dokumentów o nazwach "Opis Systemu [...]" i "Opis Systemu Informatycznego [...]" jest, w ocenie Sądu, prawidłowa, słusznie bowiem Generalny Inspektor wskazał, iż dokumenty te nie zawierają wykazu zbiorów danych osobowych oraz opisu struktury zbiorów danych.

Odnosząc się do podniesionego na rozprawie przez stronę skarżącą zarzutu naruszenia przepisu art. 10 § 1 k.p.a., polegającego na niezapewnieniu stronie czynnego udziału w postępowaniu administracyjnym, poprzez uniemożliwienie jej przed wydaniem decyzji kończącej postępowanie w sprawie, wypowiedzenia się co do zebranych dowodów i materiałów stwierdzić należy, iż stosownie do przepisu art. 145 § 1 pkt 1 lit. "c" ustawy - Prawo o postępowaniu przed sądami administracyjnymi, naruszenie przepisów postępowania administracyjnego jest podstawą uchylenia decyzji, jeżeli mogło ono mieć istotny wpływ na wynik sprawy. Jak wynika z akt administracyjnych, Generalny Inspektor nie umożliwił skarżącemu wypowiedzenie się, co do zebranych dowodów i materiałów przed wydaniem decyzji kończącej postępowanie w sprawie. Rozstrzygnięcie sprawy zostało jednakże oparte na zgromadzonym w toku kontroli materiale dowodowym oraz na dokumentach przedstawionych organowi w toku postępowania administracyjnego, a w szczególności, na dokumentach dołączonych do wniosku o ponowne rozpatrzenie sprawy. Dlatego też, w ocenie Sądu, wskazane powyżej naruszenie przepisów postępowania administracyjnego nie miało istotnego wpływu na wynik sprawy, a przez to nie mogło stać się podstawą uchylenia zaskarżonej decyzji.

Mając powyższe na względzie Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy - Prawo o postępowaniu przed sądami administracyjnymi, orzekł jak w sentencji.