Centralna Baza Orzeczeń Sądów Administracyjnych
|
drukuj zapisz |
647 Sprawy związane z ochroną danych osobowych, Ochrona danych osobowych, Generalny Inspektor Ochrony Danych Osobowych, Uchylono zaskarżoną decyzję i poprzedzającą ją decyzję, II SA/Wa 453/12 - Wyrok WSA w Warszawie z 2012-06-06, Centralna Baza Orzeczeń Naczelnego (NSA) i Wojewódzkich (WSA) Sądów Administracyjnych, Orzecznictwo NSA i WSA
II SA/Wa 453/12 - Wyrok WSA w Warszawie
|
|
|||
|
2012-03-13 | |||
|
Wojewódzki Sąd Administracyjny w Warszawie | |||
|
Andrzej Kołodziej /przewodniczący sprawozdawca/ | |||
|
647 Sprawy związane z ochroną danych osobowych | |||
|
Ochrona danych osobowych | |||
|
I OSK 2436/12 - Wyrok NSA z 2014-02-13 | |||
|
Generalny Inspektor Ochrony Danych Osobowych | |||
|
Uchylono zaskarżoną decyzję i poprzedzającą ją decyzję | |||
|
Dz.U. 2002 nr 101 poz 926 art. 23 ust. 1 pkt 5, art. 23 ust. 4, art. 36 ust. 1 Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - tekst jedn. |
|||
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Kwiecińska, Sędziowie WSA Andrzej Kołodziej (spr.), Ewa Grochowska-Jung, Protokolant Referent stażysta Małgorzata Ciach, po rozpoznaniu na rozprawie w dniu 24 maja 2012 r. sprawy ze skargi D. R. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] stycznia 2012 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję oraz poprzedzającą ją decyzję z dnia [...] sierpnia 2011 r., 2. określa, że zaskarżona decyzja nie podlega wykonaniu w całości, 3. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz skarżącego D. R. kwotę 200 zł, tytułem zwrotu kosztów postępowania. |
||||
Uzasadnienie
Generalny Inspektor Ochrony Danych Osobowych decyzją nr [...] z dnia [...] sierpnia 2011 r., na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t. jedn. Dz. U. z 2000 r. Nr 98, poz. 107 ze zm.) oraz art. 12 pkt 2, art. 22 w związku z art. 6 ust. 1 i art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. jedn. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), po przeprowadzeniu postępowania w sprawie skargi D. R. na przetwarzanie jego danych osobowych przez Ośrodek [...] S.A. z siedzibą w P., odmówił uwzględnienia wniosku. We wniosku o ponowne rozpatrzenie sprawy D. R. wniósł o dołączenie do akt sprawy wyroku z dnia [...] maja 2011 r. oraz opinii biegłego z zakresu informatyki [...], znajdujących się w aktach sprawy [...] (Sądu Rejonowego w P.). Skarżonej decyzji zarzucił, że nie odpowiada prawu, jest niespójna i wewnętrznie sprzeczna. Podniósł też, że działania pracodawcy polegające na przetwarzaniu jego danych osobowych, naruszają jego prawa i wolności. Wskazał, iż prywatność jest konstytucyjnie chronioną wartością, której naruszenie może dotyczyć tylko i wyłącznie wypadków nadzwyczajnych i nie można usprawiedliwiać takiego działania bezpieczeństwem systemu, gdyż od jego zapewnienia są inne narzędzia. Generalny Inspektor Ochrony Danych Osobowych decyzją nr [...] z dnia [...] stycznia 2012 r., na podstawie art. 138 § 1 pkt 1 k.p.a. oraz art. 12 pkt 2, art. 22 w związku z art. 6, art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, po ponownym rozpatrzeniu sprawy, utrzymał w mocy zaskarżoną decyzję. W uzasadnieniu podtrzymał, że informacje, których dotyczy wniesiona przez zainteresowanego skarga (adres IP komputera, czas zainicjowania połączeń, adres stron internetowych lub plików, z którymi nastąpiło połączenie oraz oznaczenia określające metodę przesyłania danych wykorzystaną przy poszczególnych połączeniach), są jego danymi w rozumieniu ustawy o ochronie danych osobowych. Zgodnie bowiem z art. 6 ust. 1 i 2 tej ustawy, za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Generalny Inspektor wskazał, że administrator danych, którym w niniejszym postępowaniu jest Spółka, może przetwarzać dane osobowe, o ile spełniona zostanie jedna z przesłanek legalności określona w art. 23 ust. 1 pkt 1-5 ustawy i/lub art. 27 ust. 2 pkt 1-10 ustawy, o ile przetwarza dane szczególnie chronione, o których mowa w art. 27 ust. 1 ustawy. Przesłanki wymienione w w/w przepisach są rozłączne i równoprawne co oznacza, iż każda z nich może stanowić samoistną podstawę do legalnego przetwarzania danych osobowych, a zatem zgoda osoby, której dane dotyczą, nie jest jedyną przesłanką przetwarzania danych przez administratora. Organ ocenił, że zbieranie informacji o połączeniach z komputera użytkowanego przez wnioskodawcę z siecią publiczną było dopuszczalne, a przesłanką je legalizującą jest art. 23 ust. 1 pkt 5 ustawy stanowiący, że przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Oprogramowanie zaś zbierające informacje o połączeniach pomiędzy siecią wewnętrzną Spółki a siecią publiczną, niewątpliwie jest zabezpieczeniem logicznym, o którym mowa w pkt XII załącznika do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024 ze zm.). Zatem względy bezpieczeństwa systemu informatycznego są uzasadniającym zbieranie i dalsze przetwarzanie tych informacji prawnie usprawiedliwionym celem, o którym mowa w art. 23 ust. 1 pkt 5 ustawy. System informatyczny jest bowiem częścią mienia Spółki i nie można jej odmówić prawa do stosowania rozwiązań służących zapewnieniu jego bezpieczeństwa, w tym monitoringu wdrożonych zabezpieczeń systemu. Odnosząc się do zarzutów odwołania, Generalny Inspektor stwierdził m.in. iż mając na względzie treść art. 12 ustawy o ochronie danych osobowych określającego zadania organu, Generalny Inspektor nie może wkraczać w zakres kompetencji zastrzeżonych zgodnie z prawem dla innych podmiotów (np. sądów, prokuratur), co potwierdza wyrok Naczelnego Sądu Administracyjnego z dnia 21 listopada 2000 r. (sygn. akt II SA 308/00). Podtrzymał również argumentację, że działania Spółki nie naruszają praw i wolności D. R., ponieważ wyważenie jego interesów i interesów Spółki, przy uwzględnieniu celu ustawy, jakim jest ochrona prywatności w rozumieniu art. 47 Konstytucji RP, nie wskazuje, aby w przypadku, gdy dane osobowe, których dotyczy postępowanie są zbierane ze względu na konieczność właściwego zarządzenia systemem informatycznym Spółki, przeważał interes osoby, której dane dotyczą. Organ podniósł też, że niewątpliwie zainteresowany ma prawo do ochrony swej prywatności, jednakże zakres zebranych przez Spółkę informacji i cel ich zbierania, nie daje podstaw do przyjęcia, iż jej ingerencja w prywatność zainteresowanego, przekroczyła dopuszczalne granice. Spółka jest bowiem zobligowana zapewnić bezpieczeństwo swojego mienia, w tym także narzędzi przetwarzania danych osobowych, na podstawie art. 36 ust. 1 ustawy. Prawidłowe zarządzanie zasobami informacyjnymi, zwłaszcza w zakresie bezpieczeństwa informacji, wymaga zaś właściwej identyfikacji tych zasobów oraz określenia miejsca i sposobu ich przechowywania. W skardze na powyższą decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie D. R. zarzucił jej: 1. naruszenie art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych w związku z art. 7 pkt f oraz pkt 33 Preambuły Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych w zw. z art. 91 ust. 2 Konstytucji RP, poprzez błędną wykładnię i przyjęcie, że przetwarzanie danych jest dopuszczalne, gdy jest niezbędne dla prawnie usprawiedliwionych celów, pomimo naruszenia praw i wolności osoby, której dotyczą, podczas gdy poprawna wykładnia, przy uwzględnieniu prawa wspólnotowego i celu dyrektywy powinna być taka, iż zabronione jest przetwarzanie danych w sytuacji braku przesłanki prawnie usprawiedliwionych celów oraz naruszenia praw i wolności osoby, której dane dotyczą, 2. naruszenie art. 23 ust. 4 w związku z art. 23 ust. 4 pkt 5 ustawy o ochronie danych osobowych, w związku z art. 7 pkt f oraz pkt 33 powołanej wyżej Preambuły Dyrektywy 95/46, w związku z art. 91 ust. 2 Konstytucji RP poprzez: – niezastosowanie definicji legalnej pojęcia prawnie usprawiedliwionego celu, podczas gdy zastosowanie art. 23 ust. 4 ustawy prowadzi do wniosku, że przetwarzanie danych skarżącego przez Ośrodek [...] S.A., nie miało prawnie usprawiedliwionego celu, – zastosowanie pkt XII załącznika do powołanego przez organ rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. dla prawnie usprawiedliwionych celów w sytuacji, gdy przedmiotowe rozporządzenie nie ma tu zastosowania ze względu na podstawę prawną, na jakiej zostało wydane, zaś prawnie usprawiedliwiony cel może wynikać jedynie z przepisów rangi ustawowej, – niezastosowanie art. 221 § 4 i 5 Kodeksu pracy w sytuacji, gdy przetwarzanie danych może być dokonywane jedynie co do konkretnych danych osobowych wskazanych w Kodeksie. 3. naruszenie art. 7, art. 77 § 1 i art. 80 Kodeksu postępowania administracyjnego poprzez dokonanie oceny zebranego materiału w sposób wybiórczy, tendencyjny, z pominięciem jego całokształtu, co doprowadziło do naruszenia zasady prawdy obiektywnej, 4. naruszenie art. 6 i art. 7 w związku z art. 76 § 1 k.p.a., w związku z art. 365 k.p.c. przez uznanie, że ustalenia jakie zostały poczynione w prawomocnym wyroku Sądu Rejonowego w P. [...] wraz z uzasadnieniem, przedłożonym jako dowód w sprawie, nie wiążą Generalnego Inspektora Danych Osobowych, 5. naruszenie art. 107 § 3 k.p.a., poprzez brak w uzasadnieniu faktów, które organ uznał za udowodnione, w szczególności wskazania przyczyn, dla których przyjął, że wdrażany był system zabezpieczeń w Spółce, 6. naruszenie art. 12 k.p.a., poprzez złamanie zasady szybkości postępowania i nieinformowania strony o przedłużeniu terminu załatwienia sprawy. W obszernym uzasadnieniu rozwinął zarzuty skargi, powołując się przy tym na orzecznictwo Europejskiego Trybunału Sprawiedliwości, w świetle którego przepisy prawa krajowego powinny być interpretowane w taki sposób, aby zapewnić realizację celu, na jaki kładzie nacisk powołana dyrektywa. Celem tym jest ochrona prywatności, która winna być rozpatrywana z uwzględnieniem art. 8 Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności. W piśmie procesowym z dnia 10 maja 2012 r. skarżący podtrzymał swoje stanowisko zawarte w skardze. W odpowiedzi na skargę Organ wniósł o jej oddalenie z argumentacją faktyczną oraz prawną przedstawioną w zaskarżonej decyzji. Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje: Zgodnie z brzmieniem art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sądy administracyjne sprawują wymiar sprawiedliwości m.in. przez kontrolę działalności administracji publicznej, a kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. Skarga oceniana w świetle powyższych kryteriów zasługuje na uwzględnienie. Ustalony w rozpoznawanej sprawie stan faktyczny nie budzi wątpliwości. Ośrodek [...] S.A. z siedzibą w P., zwany dalej "Spółką", jako pracodawca D. R. zbierał i przetwarzał informacje dotyczące adresu IP użytkowanego przez niego komputera, czasu zainicjowania połączeń, adresów stron internetowych lub plików, z którymi nastąpiło połączenie oraz oznaczeń określających metodę przesyłania danych wykorzystaną przy poszczególnych połączeniach, dokonywanych w okresie od [...] lutego do [...] czerwca 2010 r. Sąd podziela stanowisko organu, iż powyższe informacje są danymi osobowymi skarżącego w rozumieniu ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. jedn. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), a ich przetwarzanie podlega jej przepisom. Zgodnie bowiem z art. 6 powołanej ustawy, za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (ust. 1). Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (ust. 2). Powyższe oznacza, że dane osobowe w rozumieniu ustawy to nie tylko informacje o osobie, której tożsamość jest określona, lecz również informacje dotyczące osoby o nieznanej tożsamości, którą na podstawie tych danych można określić. Taka sytuacja miała miejsce w niniejszej sprawie, gdyż zebrane przez Spółkę jako administratora danych informacje o połączeniach z zewnętrzną siecią komputerową, umożliwiły zidentyfikowanie skarżącego jako osoby, która te połączenia inicjowała. Nie sposób natomiast zgodzić się z Generalnym Inspektorem Ochrony Danych Osobowych, iż przesłanką legalizującą przetwarzanie przedmiotowych danych jest przepis art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Zgodnie z jego treścią, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Przykładowe określenie prawnie usprawiedliwionego celu zawiera zaś art. 23 ust. 4 ustawy, a celem tym jest marketing bezpośredni własnych produktów lub usług administratora danych i dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. Do zaakceptowania jest, w ocenie Sądu, argumentacja organu w zakresie, w jakim dotyczy ona obowiązków administratora danych wynikających z przepisu art. 36 ust. 1 ustawy o ochronie danych osobowych oraz z rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024 ze zm.). Zgodnie bowiem z powołanym przepisem ustawowym, administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Z kolei powołane rozporządzenie nakłada na administratorów danych obowiązek wdrożenia rozwiązań służących zapewnieniu bezpieczeństwa systemów informatycznych. W myśl z § 1 pkt 2 określa ono podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. W przypadku, gdy przynajmniej jedno urządzenie systemu informatycznego, służące do przetwarzania danych osobowych, połączone jest z siecią publiczną, rozwiązania stosowane przez administratora danych muszą co najmniej spełnić wymagania określone w pkt XII załącznika do rozporządzenia. Zgodnie z nim system informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem (ust. 1). W przypadku zastosowania logicznych zabezpieczeń, o których mowa w ust. 1, obejmują one: a) kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną, b) kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych (ust. 2). Ponadto pkt VII załącznika zobowiązuje administratora danych do monitorowania wdrożonych zabezpieczeń systemu informatycznego. O ile można by było zgodzić się z twierdzeniem organu, że działania podejmowane przez Ośrodek [...] S.A. jako administratora danych, znajdują oparcie w powołanych wyżej przepisach, co oznacza, iż jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora, o tyle nieuprawniony jest pogląd Generalnego Inspektora, że przetwarzanie danych osobowych skarżącego nie naruszało jego praw i wolności. Należy zauważyć, że oprogramowanie zbierające informacje o połączeniach pomiędzy siecią wewnętrzną Spółki a siecią publiczną, zastosowane w ramach monitoringu (kontroli), o którym mowa w pkt XII załącznika do cytowanego rozporządzenia, w istocie stanowi też monitoring pracownika w miejscu pracy, skoro pozwala na sprawdzenie wykazów odwiedzanych stron internetowych, czasu zainicjowanych połączeń, adresów stron lub plików, z którymi nastąpiło połączenie. Taki monitoring, jak podkreśla się w piśmiennictwie, musi spełniać wymogi zgodności z prawem, usprawiedliwionego celu, proporcjonalności, transparentności oraz uwzględnienia przepisów o ochronie danych osobowych. Wymóg transparentności oznacza zaś, że pracownicy powinni mieć świadomość, iż są poddawani monitoringowi. Pracodawca winien zatem szczegółowo określić zasady monitoringu i zapoznać z nimi pracowników, którzy fakt zapoznania się powinni potwierdzić stosownym podpisanym oświadczeniem o ich akceptacji. Kwestie monitoringu w miejscu pracy były wielokrotnie przedmiotem orzecznictwa Europejskiego Trybunału Praw Człowieka. W wyroku z dnia 3 kwietnia 2007 r. w sprawie Copland przeciwko Zjednoczonemu Królestwu (sygn. 62617/00, Lex nr 527588), dotyczącym monitorowania przez przełożonego w miejscu pracy telefonu, poczty elektronicznej i połączeń internetowych Lynette Copland, przy czym monitorowanie użytkowania Internetu przybrało postać analizy odwiedzanych stron, daty i czasu odwiedzin oraz długości ich trwania, Trybunał uznał, że rozmowy telefoniczne z pracy, e-maile i użytkowanie internetu są objęte terminami "życie prywatne" i "tajemnica korespondencji". Podniósł też, że powódka nie została nigdy ostrzeżona, że jej rozmowy, e-maile oraz korzystanie z internetu mogą być monitorowane, a więc miała uzasadnione oczekiwanie zachowania ich prywatności. Trybunał stwierdził, że w sprawie doszło do ingerencji w prawa zagwarantowane przez art. 8 Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności, zgodnie z którym każdy ma prawo do poszanowania życia prywatnego i rodzinnego, swojego mieszkania i swojej korespondencji (ust. 1). Niedopuszczalna jest ingerencja władzy publicznej w korzystanie z tego prawa z wyjątkiem przypadków przewidzianych przez ustawę i koniecznych w demokratycznym społeczeństwie z uwagi na bezpieczeństwo państwowe, bezpieczeństwo publiczne lub dobrobyt gospodarczy kraju, ochronę porządku i zapobieganie przestępstwom, ochronę zdrowia i moralności lub ochronę praw i wolności innych osób. Trybunał zwrócił ponadto uwagę, że pracownik musi mieć świadomość możliwości monitorowania jego czynności, a to wymaga stworzenia odpowiedniej procedury oraz zaznajomienia pracownika z trybem postępowania. Powyższe rozważania prowadzą do wniosku, że nawet przy przyjęciu, że monitoring systemu informatycznego jest niezbędny dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez Spółkę jako administratora danych, przepis art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych nie mógł być przesłanką legalnego przetwarzania danych osobowych skarżącego, gdyż przetwarzanie to naruszało prawo do prywatności w sytuacji, kiedy skarżący nie miał świadomości monitoringu użytkowania komputera. Ponadto zasadnie skarżący powołał się w niniejszej sprawie na przepisy Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. U. L. 281, 23/11/1995 P. 0031-0050), która już w pkt 33 Preambuły stanowi, że dane mogące ze względu na ich charakter powodować naruszenie podstawowych wolności lub prywatności, nie powinny być przetwarzane, o ile osoba, której dotyczą, nie udzieli wyraźnej zgody, należy jednak przewidzieć odstępstwa od tego zakazu dla szczególnych potrzeb, zwłaszcza w przypadkach, gdy przetwarzanie danych odbywa się w określonych celach zdrowotnych przez osoby podlegające prawnemu obowiązkowi zachowania tajemnicy zawodowej, lub też w trakcie legalnych działań niektórych stowarzyszeń lub fundacji, których celem jest umożliwienie realizacji podstawowych wolności. Z kolei w art. 7f dyrektywy stanowi się, że przetwarzanie danych jest konieczne dla potrzeb wynikających z uzasadnionych interesów administratora danych lub osoby trzeciej, lub osobom, których dane są zbywalne, z wyjątkiem sytuacji, kiedy interesy takie podporządkowane są interesom związanym z podstawowymi prawami i wolnościami osoby, której dane dotyczą, które gwarantują ochronę na podstawie art. 1 ust. 1. Obowiązek interpretacji przepisów krajowych w zgodzie z postanowieniami przedmiotowej dyrektywy, wynika z przepisu art. 91 Konstytucji RP. W tym kontekście za zasadny należy uznać zarzut naruszenia przez organ przepisów procesowych, a to art. 6 (zasada praworządności) oraz art. 7 (zasada prawdy obiektywnej) ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t. jedn. Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.). Nie są natomiast trafne pozostałe zarzuty skargi, w tym w szczególności zarzut naruszenia art. 23 ust. 4 ustawy o ochronie danych osobowych. Prawidłowo Generalny Inspektor wskazał bowiem, że określenie w nim prawnie usprawiedliwionego celu ma charakter przykładowy, o czym świadczy użycie sformułowania "w szczególności". Z kolei zarzut niezastosowania art. 221 § 4 i 5 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (Dz. U. z 1998 r. Nr 21, poz. 94 ze zm.) jest chybiony, gdyż art. 221 odnosi się do żądania, jakie pracodawca kieruje pod adresem pracownika lub osoby ubiegającej się o zatrudnienie, a nie do informacji o połączeniach z siecią publiczną dokonywanych z komputera użytkowanego przez skarżącego. Inne informacje dotyczące pracownika mogą być bowiem gromadzone przez pracodawcę, o ile zezwalają na to inne przepisy prawa, w tym w szczególności ustawa o ochronie danych osobowych. Natomiast Sąd nie może w niniejszej sprawie ze skargi na decyzję ocenić, czy postępowanie organ prowadził opieszale, czy też nie. Tymi kwestiami sąd administracyjny zajmuje się rozpoznając skargę na przewlekle prowadzenie postępowania bądź bezczynność organu administracji publicznej. Mając powyższe na względzie Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit. a i lit. c ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), orzekł jak w sentencji wyroku. O wstrzymaniu wykonania zaskarżonej decyzji orzeczono na podstawie art. 152, zaś o kosztach w oparciu o art. 200 powołanej ustawy. |