Centralna Baza Orzeczeń Sądów Administracyjnych
|
drukuj zapisz |
647 Sprawy związane z ochroną danych osobowych, Ochrona danych osobowych Organizacje społeczne, Generalny Inspektor Ochrony Danych Osobowych, Uchylono zaskarżoną decyzję i poprzedzającą ją decyzję, II SA/Wa 294/13 - Wyrok WSA w Warszawie z 2013-05-16, Centralna Baza Orzeczeń Naczelnego (NSA) i Wojewódzkich (WSA) Sądów Administracyjnych, Orzecznictwo NSA i WSA
II SA/Wa 294/13 - Wyrok WSA w Warszawie
|
|
|||
|
2013-02-11 | |||
|
Wojewódzki Sąd Administracyjny w Warszawie | |||
|
Andrzej Kołodziej Janusz Walawski Sławomir Antoniuk /przewodniczący sprawozdawca/ |
|||
|
647 Sprawy związane z ochroną danych osobowych | |||
|
Ochrona danych osobowych Organizacje społeczne |
|||
|
I OSK 1968/13 - Wyrok NSA z 2015-04-21 | |||
|
Generalny Inspektor Ochrony Danych Osobowych | |||
|
Uchylono zaskarżoną decyzję i poprzedzającą ją decyzję | |||
|
Dz.U. 2002 nr 101 poz 926 art. 43 ust. 2, art. 42 ust. 2 Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - tekst jedn. |
|||
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Sławomir Antoniuk (spr.), Sędziowie WSA Janusz Walawski, Andrzej Kołodziej, Protokolant Referent stażysta Małgorzata Ciach, po rozpoznaniu na rozprawie w dniu 16 maja 2013 r. sprawy ze skargi R. R. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] grudnia 2012 r. nr [...] w przedmiocie ochrony danych osobowych 1. uchyla zaskarżoną decyzję oraz decyzję ją poprzedzającą z dnia [...] czerwca 2012 r. nr [...], 2. stwierdza, że zaskarżona decyzja nie podlega wykonaniu w całości, 3. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz skarżącego R. R. kwotę 440 zł (czterysta czterdzieści złotych), tytułem zwrotu kosztów postępowania. |
||||
Uzasadnienie
Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] grudnia 2012 r. nr [...], wydaną na podstawie art. 138 § 1 pkt 1 k.p.a. oraz art. 12 pkt 2 i art. 22 i art. 43 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), utrzymał w mocy własną decyzję z dnia z dnia [...] czerwca 2012 r. nr [...] umarzającą postępowanie ze skargi R. R. na przetwarzanie jego danych osobowych przez [...] Towarzystwo [...] z siedzibą w N. W uzasadnieniu powyższej decyzji Generalny Inspektor Ochrony Danych Osobowych podniósł, iż do jego biura wpłynęła skarga R. R. na przetwarzanie jego danych osobowych przez [...] Towarzystwo [...] z siedzibą w N., (dalej jako Towarzystwo). W skardze zainteresowany zakwestionował legalność przetwarzania jego danych osobowych przez Towarzystwo i wniósł do Generalnego Inspektora o cyt.: "(...) sprawdzenie, czy Towarzystwo jest uprawnione do przetwarzania moich danych osobowych; ustalenie, czy Towarzystwo właściwie administruje moimi danymi; sprawdzenie okoliczności dotyczącej przekazywania moich danych przez towarzystwo osobom trzecim pomimo braku zgody; nieprawidłowości w udostępnianiu mi informacji o przetwarzanych przez Towarzystwo moich danych; niezgłoszenie przez Towarzystwo zbioru danych osobowych do rejestracji Głównemu Inspektorowi Ochrony Danych Osobowych. W przypadku ustalenia uchybień; nakazanie Towarzystwu usunięcia uchybień; nakazanie Towarzystwu nieudostępniania moich danych osobowych osobom trzecim; nakazanie Towarzystwu usunięcia moich danych osobowych z prowadzonej przez Towarzystwo bazy danych w przypadku braku podstawy do ich przetwarzania". W toku przeprowadzonego postępowania wyjaśniającego organ ustalił, iż w dniu 29 grudnia 1981 r. R. R. przystąpił do społeczności wyznaniowej [...] i pozostawał wyznawcą tego wyznania do dnia wykluczenia go z tej społeczności po przeprowadzeniu wewnętrznego postępowania dyscyplinarnego w 2011 r. Pismem z dnia 25 lipca 2011 r. skarżący wystąpił do Towarzystwa o zrealizowanie obowiązku informacyjnego wobec jego osoby i przekazanie mu pełnych informacji odnośnie tego, czy jego dane osobowe są przetwarzane w zbiorze danych [...]? A jeśli tak to podanie informacji o podmiocie przetwarzającym te dane, celu, zakresie i sposobie przetwarzania danych zawartych w tym zbiorze, o źródle, z którego pochodzą jego dane osobowe, o odbiorcach, którym dane osobowe skarżącego zostały udostępnione w zakresie tego udostępnienia, o sposobie zabezpieczenia danych osobowych przed dostępem nieuprawnionych osób oraz na jakiej podstawie przedmiotowe dane są przetwarzane. Pismem z dnia 19 sierpnia 2011 r. Towarzystwo odpowiedziało na ww. zapytanie skarżącego i udzieliło mu informacji, kto jest administratorem jego danych osobowych a także o celu, zakresie i sposobie przetwarzania tych danych oraz źródle, z którego zostały one pozyskane. Jednocześnie wyjaśniono, iż dane osobowe skarżącego nie były udostępniane podmiotom i osobom trzecim. Pismo to nie zostało opatrzone podpisem. W toku prowadzonego postępowania do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęły wyjaśnienia Towarzystwa, w których wskazano, iż R. R. pozostawał [...], ale w wyniku wewnętrznego postępowania dyscyplinarnego przestał być członkiem społeczności religijnej [...]. Zgodnie z prawem wewnętrznym społeczności religijnej oraz ustawą o ochronie danych osobowych w miejscowym [...] podaje się w takim wypadku jednorazowo komunikat, że dana osoba nie jest już [...], nie podając przy tym żadnych innych informacji, np. na temat przyczyn tego stanu. Odpowiada to analogicznym regulacjom dyscyplinarnym w innych kościołach i związkach wyznaniowych jakimi są np. ekskomunika oraz akt apostazji, które w Kościele Katolickim na mocy prawa wewnętrznego kościoła mają charakter publiczny. W wypadku R. R. obowiązek ten wypełnił przedstawiciel Towarzystwa wyznaczony do stałego i zorganizowanego sprawowania czynności religijnych – J. K. Towarzystwo nie udostępnia zatem danych osobowych wymienionego żadnym osobom trzecim. Ponadto Towarzystwo nie dysponuje żadnymi danymi osobowymi poza danymi podanymi przez R. R. obejmującymi informacje, o których mowa w piśmie z dnia 19 sierpnia 2011 oraz adnotacją, że wyżej wymieniony nie jest już [...]." W tym stanie faktycznym Generalny Inspektor Ochrony Danych Osobowych wydał decyzję administracyjną z dnia [...] czerwca 2012 r. umarzającą postępowanie w sprawie. R. R. wniósł o ponowne rozpatrzenie sprawy zakończonej powyższą decyzją. We wniosku wymieniony zakwestionował ustalenia faktyczne organu, gdyż w jego opinii nie był członkiem Towarzystwa, a co za tym idzie nie mógł utracić członkostwa. Ponadto zakwestionował niezrealizowanie wobec skarżącego obowiązku informacyjnego przez Towarzystwo. Generalny Inspektor Ochrony Danych Osobowych nie znalazł podstaw do uwzględnienia wniesionego środka zaskarżenia i rozstrzygnięciem z dnia [...] grudnia 2012 r. utrzymał zaskarżoną decyzję w mocy. W motywach rozstrzygnięcia organ wskazał, iż wobec zarzutów zawartych we wniosku odwoławczym strony, uzupełnił materiał dowodowy sprawy i na podstawie wyjaśnień Towarzystwa z dnia 3 września 2012 r. ustalił, iż wnioskodawca nigdy nie należał do organów Towarzystwa [...] i nie podlegał statutowej regulacji dotyczącej wykluczenia go z członkostwa w tych organach. Natomiast został wykluczony ze społeczności wyznaniowej [...], zgodnie z jej prawem wewnętrznym. Jak wynika z treści pism wnioskodawcy, nie życzy sobie, aby uznawano go za [...]. A zatem informacja taka została przyjęta do wiadomości przez społeczność [...] (reprezentowaną przez Towarzystwo [...]). Jednak, aby była ogólnie honorowana, musi być znana Towarzystwu [...], wobec tego również w tym sensie przechowywana. Organ podkreślił, iż w sprawie bez znaczenia dla wydania rozstrzygnięcia pozostaje podnoszona przez skarżącego okoliczność, iż uznaje się on za osobę niebędącą członkiem Towarzystwa. Bezspornym jest, iż był on [...]. Faktem mającym natomiast fundamentalne znaczenie dla dokonania oceny sformułowanych przez skarżącego pod adresem Towarzystwa zarzutów, jest pozostawanie jego danych osobowych (pomimo okoliczności, iż został wykluczony ze społeczności [...]) w zbiorze danych osób należących do tego związku wyznaniowego. Zgodnie z art. 43 ust. 2 ustawy o ochronie danych osobowych, w odniesieniu do zbiorów, o których mowa w ust. 1 pkt 1 i 3 oraz zbiorów, o których mowa w ust. 1 pkt 1a, przetwarzanych przez Agencję Bezpieczeństwa Wewnętrznego, Agencję Wywiadu, Służbę Kontrwywiadu Wojskowego, Służbę Wywiadu Wojskowego oraz Centralne Biuro Antykorupcyjne, Generalnemu Inspektorowi nie przysługują uprawnienia określone w art. 12 pkt 2, art. 14 pkt 1 i 3-5 oraz art. 15-18. Artykuł 43 ust. 1 pkt 3 stanowi zaś, iż z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego. [...] - Towarzystwo [...] w Polsce należy do instytucji o uregulowanej sytuacji prawnej. Związek jest bowiem instytucją wpisaną do rejestru kościołów i innych związków wyznaniowych prowadzonego przez ministra właściwego do spraw wyznań religijnych. W związku z treścią przepisu art. 43 ust. 2 ustawy o ochronie danych osobowych, w niniejszej sprawie Generalny Inspektor Ochrony Danych Osobowych nie mógł prowadzić postępowania wyjaśniającego ukierunkowanego na wydanie merytorycznej decyzji administracyjnej, ani przeprowadzać czynności kontrolnych, z wyłączeniem prawa żądania złożenia pisemnych lub ustnych wyjaśnień oraz wzywania i przesłuchiwania osób w zakresie niezbędnym do ustalenia stanu faktycznego. Na podstawie dokonanych ustaleń Generalny Inspektor Ochrony Danych Osobowych stwierdził brak swojej kognicji do wydania merytorycznej decyzji administracyjnej w sprawie, co tym samym determinowało zasadność uznania, iż spełnione zostały przesłanki umorzenia postępowania przewidziane przepisem art. 105 § 1 k.p.a. Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] grudnia 2012 r. stała się przedmiotem skargi wniesionej przez R. R. do Wojewódzkiego Sądu Administracyjnego w Warszawie. Wnosząc o uchylenie zaskarżonej decyzji w całości oraz zasądzenie na rzecz skarżącego zwrotu kosztów postępowania wymieniony podniósł zarzut błędnego ustalenia stanu faktycznego sprawy, albowiem Towarzystwo nie spełniło obowiązku informacyjnego o przetwarzaniu danych osobowych skarżącego (pismo informacyjne z dnia 19 sierpnia 2011 r. nie zostało podpisane przez osobę reprezentującą Towarzystwo). Towarzystwo [...] nie spełniało nałożonego przez art. 27 ust. 2 pkt 4 ustawy o ochronie danych osobowych warunku przetwarzania danych osobowy wyłącznie swoich członków, podczas gdy skarżący nie jest członkiem wspólnoty [...]. Skarżący wskazał także, iż organ Ochrony Danych Osobowych naruszył przepis art. 19 powołanej ustawy oraz art. 8 k.p.a. W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie oraz podtrzymał argumentację przedstawioną w uzasadnieniu zaskarżonej decyzji. Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje: Sądy administracyjne sprawują kontrolę działalności administracji publicznej pod względem zgodności z prawem. Oznacza to, że w zakresie dokonywanej kontroli Sąd bada, czy organ administracji orzekając w sprawie nie naruszył prawa w stopniu mogącym mieć wpływ na wynik sprawy. Zgodnie z treścią art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (tekst jedn. Dz. U. z 2012 r., poz. 270 ze zm.) Sąd rozstrzyga w granicach danej sprawy nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną. Skarga zasługuje na uwzględnienie. Zaskarżona, jak i decyzja ją poprzedzająca o umorzeniu postępowania administracyjnego, zostały oparte na przepisie art. 105 § 1 k.p.a., albowiem organ uznał, iż postępowanie z wniosku skarżącego stało się bezprzedmiotowe z uwagi na treść art. 43 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.). Generalny Inspektor Ochrony Danych Osobowych przyjął, iż w stosunku do zbiorów danych dotyczących osób należących do związku wyznaniowego o uregulowanej sytuacji prawnej, nie może prowadzić postępowania wyjaśniającego ukierunkowanego na wydanie merytorycznej decyzji administracyjnej, ani przeprowadzać czynności kontrolnych, z wyłączeniem prawa żądania złożenia pisemnych lub ustnych wyjaśnień oraz wzywania i przesłuchiwania osób w zakresie niezbędnym do ustalenia stanu faktycznego. W niniejszej sprawie nie jest sporne, co przyznaje zarówno R. R., Towarzystwo [...], jak i organ, że w dacie wniesienia skargi do Generalnego Inspektora Ochrony Danych Osobowych skarżący nie należał już do Związku [...]. Nie budzi także wątpliwości, iż [...] Towarzystwo [...] w Polsce należy do instytucji o uregulowanej sytuacji prawnej, albowiem jest instytucją wpisaną do rejestru kościołów i innych związków wyznaniowych prowadzonego przez ministra właściwego do spraw wyznań religijnych. Zatem podstawowe znaczenie w sprawie ma wyjaśnienie kwestii, jakie uprawienia, w świetle regulacji art. 42 ust. 2 ustawy o ochronie danych osobowych, posiada Generalny Inspektor Danych Osobowych w stosunku do kościoła lub związku wyznaniowego przetwarzającego dane osobowe swych członków i osób, które skutecznie wystąpiły z kościoła lub związku wyznaniowego. Otóż w tej materii wypowiedział się Naczelny Sąd Administracyjny w wyroku z dnia 27 marca 2013 r. sygn. akt I OSK 932/12 (opublikowany w internetowej Centralnej Bazie Orzeczeń Sądów Administracyjnych). W uzasadnieniu tego wyroku Naczelny Sąd Administracyjny stwierdził, iż koncepcja, według której Generalnemu Inspektorowi nie przysługują uprawnienia określone w art. 12 pkt 2 także wobec tej części zbioru danych administrowanych przez kościół (odpowiednio związek wyznaniowy) i przetwarzanych na potrzeby tego kościoła, które to dane dotyczą osób nienależących do tego kościoła, nie odpowiada treści art. 43 ust. 2 w związku z art. 43 ust. 1 pkt 3 ustawy o ochronie danych osobowych, ustalonej w drodze wykładni językowej, systemowej i celowościowej. Wykazując zasadność powyższego stwierdzenia Naczelny Sąd Administracyjny podniósł, iż w myśl art. 43 ust. 2 ustawy, Generalnemu Inspektorowi nie przysługują uprawnienia określone w art. 12 pkt 2, w odniesieniu do zbiorów, o których mowa w ust. 1 pkt 3. W art. 43 ust. 1 pkt 3 jest mowa o danych dotyczących osób należących do kościoła. Tak zdefiniowany zbiór nie zawiera danych dotyczących osób nienależących do kościoła. Dane osób nienależących do kościoła tworzą zbiór odrębny, nawet jeśli dane są przetwarzane na potrzeby kościoła i jeśli są zgromadzone na materialnych nośnikach danych zawierających zarówno dane osób należących, jak i osób nienależących do kościoła. Okolicznością przesądzającą o zakwalifikowaniu danych do jednego ze zbiorów jest rzeczywista przynależność lub brak przynależności osoby, o której dane chodzi, do kościoła (por. Janusz Barta, Paweł Fajgielski, Ryszard Markiewicz "Ochrona danych osobowych. Komentarz", LEX 2011, teza 6 do art. 43). Ustalenie tej przynależności nie może być oderwane od chwili rozstrzygania sprawy w przedmiocie ochrony danych osobowych. Generalny Inspektor Ochrony Danych Osobowych ma bowiem, tak jak każdy organ administracji publicznej załatwiający sprawę w formie przewidzianej w art. 104 § 1 k.p.a. w związku z art. 22 ustawy o ochronie danych osobowych, obowiązek wydania decyzji w oparciu o stan faktyczny i prawny z daty orzekania. Przepisy art. 32 ust. 1 pkt 6 oraz art. 43 ust. 2 w związku z art. 43 ust. 1 pkt 3 ustawy o ochronie danych osobowych nie wprowadzają odmiennej regulacji w tym zakresie. Dalej Naczelny Sąd Administracyjny wskazał, iż takie rozumienie zakresu kompetencji Generalnego Inspektora Ochrony Danych Osobowych, a więc ocena o braku uprawnień władczych tylko w odniesieniu do danych osób należących do kościoła, wynika również z innych norm ustawy o ochronie danych osobowych, regulujących przetwarzanie danych tzw. wrażliwych. Przepis art. 27 ust. 1 ustawy ustanawia zakaz przetwarzania takich danych, m. in. danych ujawniających przekonania religijne. Nie jest to zakaz absolutny. Jednak zakres wyjątku od tego zakazu, wynikający z art. 27 ust. 2 pkt 4, jest ograniczony do przetwarzania danych dotyczących wyłącznie członków kościoła. Zwolnienie od zakazu obwarowane jest jeszcze niezbędnością przetwarzania danych do wykonania statutowych zadań kościoła oraz zapewnieniem pełnych gwarancji ochrony przetwarzania danych. Z takiej treści unormowania przetwarzania danych sensytywnych wynika, że przetwarzanie danych ujawniających przekonania religijne osób niebędących członkami kościoła, nawet jeśli służy do wykonania statutowych zadań kościoła, jest zabronione. Przepisom materialnym odpowiadają pełne bądź ograniczone kompetencje Generalnego Inspektora Ochrony Danych Osobowych, przy czym zakres uprawnień, w zależności od osób, których dane dotyczą, został określony w art. 43 ust. 2. Wobec przetwarzania danych wrażliwych z art. 27 ust. 1 ustawy, zgodnie z art. 43 ust. 2 w związku z art. 43 ust. 1 pkt 3, Generalny Inspektor Ochrony Danych Osobowych zachowuje pełne kompetencje, w tym także wskazane w art. 12 pkt 2. Wobec danych dotyczących wyłącznie członków kościoła, przetwarzanych w warunkach określonych w art. 27 ust. 2 pkt 4, Generalnemu Inspektorowi nie przysługują uprawnienia wymienione w art. 43 ust. 2 ustawy. Naczelny Sąd Administracyjny wskazał, iż nawet uwzględniając autonomię kościoła, państwo ma prawo do oceny, czy zachowana jest konstytucyjna norma art. 47, art. 51 ust. 1 oraz art. 53 ust. 1 Konstytucji RP. Odnosząc te uwagi do zagadnienia przetwarzania danych osobowych osób nienależących do kościoła Sąd przyjął stanowisko, według którego ustalenie przez Generalnego Inspektora Ochrony Danych Osobowych przynależności osoby, o której dane chodzi, do kościoła, nie narusza autonomii Kościoła Katolickiego. Powyżej zaprezentowany pogląd skład orzekający w niniejszej sprawie w pełni podziela. W niniejszej sprawie mamy do czynienia z sytuacją, gdy skarżący skutecznie wystąpił ze związku wyznaniowego. Wobec tego w niniejszej sprawie, wbrew stanowisku Generalnego Inspektor Ochrony Danych Osobowych, organ Ochrony Danych Osobowych dysponuje instrumentami prawnymi z ustawy o ochronie danych osobowych (w tym przewidzianymi w art. 12 ust. 2) umożliwiającymi merytoryczną ocenę zasadności wniosku - skargi R. R. Uprawnienia kontrolne oraz możliwość wydania decyzji w sprawie ze skargi na naruszenie przepisów o ochronie danych osobowych przysługują organowi, albowiem w odniesieniu do osoby która nie należy do związku wyznaniowego, nie ma zastosowania art. 43 ust. 2 w zw. z art. 43 ust. 1 pkt 3 powołanej ustawy. Mając powyższe na uwadze należy stwierdzić, iż w analizowanym przypadku umorzenie postępowania administracyjnego dokonane zostało z naruszeniem art. 105 § 1 k.p.a. oraz art. 43 ust. 2 w zw. z art. 43 ust. 1 pkt 3 ustawy o ochronie danych osobowych. Stwierdzone naruszenia prawa powoduje ten skutek, iż wydane w sprawie decyzje Generalnego Inspektora Ochrony Danych Osobowych nie mogą ostać się w obrocie prawnym. Rozpatrując ponownie skargę R. R. organ będzie obowiązany przeprowadzić postępowanie wyjaśniające ukierunkowane na ustalenie zasadności zarzutów podniesionych przez wnioskodawcę, dokonać wszechstronnej oceny materiału dowodowego sprawy i wydać decyzję rozstrzygającą sprawę co do jej istoty. Mając powyższe na uwadze Sąd na podstawie art. 145 § 1 pkt 1 lit. a) i c) w zw. z art. 152 ustawy - Prawo o postępowaniu przed sądami administracyjnymi orzekł, jak w sentencji. O kosztach rozstrzygnięto na podstawie art. 200 w zw. z art. 205 § 2 i art. 209 tej ustawy. |