Centralna Baza Orzeczeń Sądów Administracyjnych
|
drukuj zapisz |
647 Sprawy związane z ochroną danych osobowych, Ochrona danych osobowych, Generalny Inspektor Ochrony Danych Osobowych, Oddalono skargę, II SA/Wa 30/14 - Wyrok WSA w Warszawie z 2014-04-25, Centralna Baza Orzeczeń Naczelnego (NSA) i Wojewódzkich (WSA) Sądów Administracyjnych, Orzecznictwo NSA i WSA
II SA/Wa 30/14 - Wyrok WSA w Warszawie
|
|
|||
|
2014-01-10 | |||
|
Wojewódzki Sąd Administracyjny w Warszawie | |||
|
Janusz Walawski /przewodniczący sprawozdawca/ | |||
|
647 Sprawy związane z ochroną danych osobowych | |||
|
Ochrona danych osobowych | |||
|
Generalny Inspektor Ochrony Danych Osobowych | |||
|
Oddalono skargę | |||
|
Dz.U. 2002 nr 101 poz 926 art. 6, art. 7 pkt 2, art. 12 pkt 1i2, art. 18 ust. 1pkt1, art. 24 ust. 1, art. 39a Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - tekst jedn. |
|||
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Danuta Kania, Sędziowie WSA Iwona Dąbrowska, Janusz Walawski (spr.), Protokolant Referent stażysta Małgorzata Ciach, po rozpoznaniu na rozprawie w dniu 11 kwietnia 2014 r. sprawy ze skargi Zarządu Dróg Miejskich w [...] na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2013 r. nr [...] w przedmiocie nakazu usunięcia uchybień w procesie przetwarzania danych osobowych oddala skargę |
||||
Uzasadnienie
Generalny Inspektor Ochrony Danych Osobowych, działając na podstawie art. 104 § 1 i art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2013 r., poz. 267), art. 12 pkt 2, art. 18 ust. 1 pkt 1 i pkt 6 oraz art. 22 w zw. z art. 24 ust. 1, art. 26 ust. 1 pkt 3 i pkt 4, art. 27 ust. 1, art. 41 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.), a także częścią A pkt II ppkt 2 lit. b) załącznika do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), w dniu [...] października 2013 r. wydał decyzję nr [...], którą: I. Nakazał Zarządowi Dróg Miejskiej z siedzibą [...]przy ul. [...] usunięcie uchybień w procesie przetwarzania danych osobowych, poprzez: 1. udzielanie osobom, od których w związku z zakupem biletu za parkowanie pojazdu w Strefie Płatnego Parkowania Niestrzeżonego w [...], pozyskiwane są informacje o numerze rejestracyjnym pojazdu oraz o numerze [...][...], informacji o: 1) adresie swojej siedziby i pełnej nazwie, 2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, 3) prawie dostępu do treści swoich danych oraz ich poprawiania, 4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej, w terminie od dnia, w którym niniejsza decyzja stanie się ostateczna, 2. usunięcie informacji dotyczących mandatów karnych nałożonych przez funkcjonariuszy Straży Miejskiej na użytkowników nieprawidłowo zaparkowanych pojazdów, przetwarzanych w dokumentacji papierowej, w terminie do 31 grudnia 2013 r., 3. zgłoszenie Generalnemu Inspektorowi Ochrony Danych Osobowych aktualizacji informacji dotyczących zbioru danych osobowych o nazwie "Strefa Płatnego Parkowania" (księga rejestrowa nr [...]), w zakresie podstawy prawnej przetwarzania danych osobowych, w terminie 14 dni od dnia, w którym niniejsza decyzja stanie się ostateczna, 4. zapewnienie, aby dostęp do danych osobowych przetwarzanych z wykorzystaniem systemu informatycznego "[...]", możliwy był wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia, w terminie 30 dni od dnia, w którym niniejsza decyzja stanie się ostateczna. II. W pozostałym zakresie postępowanie umorzył. Zarząd Dróg Miejskich we wniosku o ponowne rozpatrzenie sprawy wniósł o uchylenie powyżej określonej decyzji w zakresie nakazu usunięcia uchybień wskazanych w pkt I. 1 - 4 i umorzenie postępowania w tej części. Generalny Inspektor Ochrony Danych Osobowych, na podstawie art. 138 § 1 i 2 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2013 r., poz. 267), art. 12 pkt 2, art. 18 ust. 1 pkt 1 oraz art. 22 w zw. z art. 24 ust. 1, art. 26 ust. 1 pkt 3 i pkt 4, art. 27 ust. 1, art. 41 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.), a także częścią A pkt II ppkt 2 lit. b) załącznika do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), po rozpoznaniu wniosku o ponowne rozpatrzenie sprawy, w dniu [...] listopada 2013 r. wydał decyzję nr [...], którą: 1) uchylił zaskarżoną decyzję w części dotyczącej nakazu usunięcia informacji dotyczących mandatów karnych nałożonych przez funkcjonariuszy Straży Miejskiej na użytkowników nieprawidłowo zaparkowanych pojazdów, przetwarzanych w dokumentacji papierowej, w terminie do dnia 31 grudnia 2013 r. i w tym zakresie umorzył postępowanie w pierwszej instancji; 2) uchylił zaskarżoną decyzję w części dotyczącej nakazu zgłoszenia Generalnemu Inspektorowi Danych Osobowych aktualizacji informacji dotyczących zbioru danych osobowych o nazwie "Strefa Płatnego Parkowania" (księga rejestrowa nr [...]), w zakresie podstawy prawnej przetwarzania danych osobowych, w terminie 14 dni od dnia, w którym niniejsza decyzja stanie się ostateczna i w tym zakresie umorzył postępowanie w pierwszej instancji; 3) w pozostałym zakresie utrzymał w mocy zaskarżoną decyzję. Generalny Inspektor Ochrony Danych Osobowych w uzasadnieniu decyzji podał, że zgodnie z art. 24 ust. 1 ustawy o ochronie danych osobowych w przypadku zbierania danych osobowych od osoby, której dane dotyczą, administrator danych jest obowiązany poinformować tę osobę o: 1) adresie swojej siedziby i pełnej nazwie, 2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, 3) prawie dostępu do treści swoich danych oraz ich poprawiania, 4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej. Jak ustalono podczas kontroli, w związku z zakupem biletu parkingowego Zarząd Dróg Miejskich pozyskuje informacje o numerze rejestracyjnym pojazdu (w przypadku korzystania przez osobę parkującą z parkometru typu "[...]", umożliwiającego pozyskanie informacji o numerze rejestracyjnym) oraz o numerze [...][...] (w przypadku opłaty za parkowanie przy użyciu [...][...]). Zarząd Dróg Miejskich prezentuje stanowisko, iż numery rejestracyjne pojazdów parkujących w Strefie Płatnego Parkowania Niestrzeżonego w W., na etapie pobierania oraz kontroli wniesienia opłaty za parkowanie, nie stanowią danych osobowych w rozumieniu ustawy i ich zakres nie ma charakteru osobowego i nie identyfikuje osoby fizycznej. W ocenie organu stanowisko to jest nieuprawnione, bowiem zgodnie z art. 6 ust. 1 przedmiotowej ustawy, za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Należy wskazać, że Zarząd Dróg Miejskich posiada możliwość zidentyfikowania osoby fizycznej na podstawie tych informacji, np. poprzez dostęp do Centralnej Ewidencji Pojazdów prowadzonego przez ministra właściwego do spraw administracji. Ponadto należy wskazać, iż istnieje możliwość identyfikacji osoby fizycznej przy wykorzystaniu numeru [...], którą posługuje się osoba płacąca za bilet parkingowy. Definicja danych osobowych odzwierciedla zamiar ustawodawcy wprowadzenia szerokiego rozumienia tego pojęcia, tak aby objąć nią wszystkie informacje, które mogą dotyczyć danej osoby. Nie można zgodzić sie również z zarzutem błędnych ustaleń kontroli, zgodnie z którym Zarząd Dróg Miejskich pozyskuje informacje identyfikujące właścicieli pojazdów w związku z wniesieniem i kontrolą wniesienia opłaty za parkowanie. Należy podkreślić, że w toku kontroli ustalono, iż w związku z uiszczeniem opłaty za parkowanie pozyskiwane są informacje o numerze rejestracyjnym pojazdu. Z ustaleń kontroli nie wynika, że są to informacje identyfikujące właściciela pojazdu. Z ustaleń kontroli wynika natomiast, że Zarząd Dróg Miejskich poprzez dostęp do Centralnej Ewidencji Pojazdów posiada możliwość zidentyfikowania właściciela pojazdu o danych numerach rejestracyjnych. Dlatego również jako niesłuszne należy uznać stanowisko Zarządu Dróg Miejskich, zgodnie z którym numer rejestracyjny pojazdu nie stanowi danej osobowej na etapie wnoszenia opłaty za parkowanie, gdyż jest on uprawniony do pozyskiwania informacji o właścicielach pojazdów z Centralnej Ewidencji Pojazdów wyłącznie w celu realizacji zadań administracyjnego organu egzekucyjnego i nie ma możliwości prawnej ani technicznej identyfikacji osób wprowadzających numery rejestracyjne parkowanych pojazdów do urządzeń służących do poboru opłaty za parkowanie. Informacja o numerze rejestracyjnym pojazdu dla Zarządu Dróg Miejskich jest dana osobową niezależnie od tego, czy jest przetwarzana w związku z postępowaniem egzekucyjnym, czy też w związku z uiszczeniem opłaty za parkowanie. Zgodnie z załącznikiem A pkt II ppkt 2 lit. b) przedmiotowego rozporządzenia, jeżeli dostęp do danych przetwarzanych w systemie informatycznym posiadają co najmniej dwie osoby, wówczas zapewnia się, aby dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia. Podczas kontroli ustalono, że pracownicy Zarządu Dróg Miejskich nadzorujący prawidłowość parkowania korzystają z systemu informatycznego "[...]" zainstalowanego na urządzeniach przenośnych - terminalach kontrolerskich. Za pomocą tego systemu przetwarzane są między innymi informacje o numerach rejestracyjnych pojazdów. Dostęp do systemu nie jest zabezpieczony poprzez uwierzytelnienie użytkownika za pomocą logowania. Informacje przetwarzane w systemie stanowią dane osobowe w rozumieniu art. 6 ust. 1 ustawy o ochronie danych osobowych i powinien on spełniać wymogi określone przepisami o ochronie danych osobowych. Zarząd Dróg Miejskich zgłosił Generalnemu Inspektorowi Ochrony Danych Osobowych zmianę informacji dotyczących zbioru danych osobowych o nazwie "[...]" (księga rejestrowa nr [...]) w zakresie podstawy prawnej przetwarzania danych osobowych i wskazał, iż podstawą prawną jest art. 27 ust. 2 pkt 10 ustawy, zgodnie z którym przetwarzanie danych jest dopuszczalne jeśli jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym. Ponadto przedstawił dowody potwierdzające usunięcie z dokumentacji papierowej informacji o mandatach karnych nałożonych przez funkcjonariuszy Straży Miejskiej na użytkowników nieprawidłowo zaparkowanych pojazdów. Wobec powyższego nakazy zawarte w decyzji z dnia [...] października 2013 r. w tym zakresie stały się bezprzedmiotowe i w tej części należało umorzyć zaskarżoną decyzję i umorzyć postępowanie w pierwszej instancji. Zarząd Dróg Miejskich wniósł do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2013 r. zaskarżając ją w części orzekającej o utrzymaniu w mocy decyzji poprzedzającej w pkt 3, tj. w zakresie: 1) utrzymania w mocy nakazu udzielania osobom, od których w związku z zakupem biletu za parkowanie pojazdu w Strefie Płatnego Parkowania Niestrzeżonego w [...], pozyskiwane są informacje o numerze rejestracyjnym pojazdu oraz o numerze [...][...], informacji w zakresie określonym w art. 24 ust. 1 przedmiotowej ustawy; 2) zapewnienia, aby dostęp do danych osobowych przetwarzanych z wykorzystaniem systemu informatycznego o nazwie "[...]", możliwy był wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia, w terminie 30 dni od dnia, w którym powyższa decyzja stanie się ostateczna. Zarząd Dróg Miejski podnosząc powyższe zarzuty wniósł o uchylenie decyzji w zaskarżonej części oraz orzeczenie co do istoty sprawy, ewentualnie jej uchylenie i przekazanie sprawy do ponownego rozpatrzenia oraz zasądzenie kosztów postępowania. Zarząd Dróg Miejskich zarzucił organowi, że zaskarżoną decyzję wydał z naruszeniem: 1) prawa materialnego, poprzez błędną wykładnię art. 6 ust. 1 ustawy o ochronie danych osobowych i bezpodstawne przyjęcie, że: a) dane obejmujące numery rejestracyjne pojazdów zbierane w związku z pobieraniem oraz kontrolą wniesionych opłat za parkowanie stanowią dane osobowe w rozumieniu art. 6 ust. ustawy o ochronie danych osobowych, b) przetwarzanie informacji o numerach rejestracyjnych z wykorzystaniem systemu informatycznego o nazwie "[...]" zainstalowanego na urządzeniach przenośnych - terminalach kontrolerskich, stanowi przetwarzanie danych osobowych w rozumieniu powyżej powołanego przepisu. 2) naruszenie zasad ogólnych postępowania administracyjnego zawartych w art. 7, 10, 77 § 1 i art. 80 Kpa, poprzez zaniechanie przez organ wszechstronnego ustalenia stanu faktycznego, co w konsekwencji spowodowało błędne ustalenia kontroli polegające na przyjęciu, że w związku z wniesieniem opłat za parkowanie w parkometrach typu "[...]", umożliwiających pozyskanie informacji o numerach rejestracyjnych oraz kontrolą wniesienia opłat za parkowanie, Zarząd Dróg Miejskich pozyskuje informacje stanowiące dane osobowe. Generalny Inspektor Ochrony Danych Osobowych w odpowiedzi na skargę wniósł o jej oddalenie i podtrzymał stanowisko przedstawione w uzasadnieniu zaskarżonej decyzji i odniósł się do tez Zarządu Dróg Miejskich przedstawionych w uzasadnieniu skargi stwierdzając, że są one niezasadne, co wynika z ustalonego stanu faktycznego i powołanych w uzasadnieniu decyzji przepisów prawa. Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje: Na wstępie wyjaśnienia wymaga, iż sądowa kontrola działalności administracji publicznej sprowadza się do oceny legalności zaskarżonego aktu lub czynności, to znaczy jej zgodności z obowiązującym prawem. Wynika to z art. 1 ustawy z dnia 25 lipca 2002 r. Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 z późn. zm.). Zatem sąd administracyjny, rozpoznając skargę, nie może brać pod uwagę innych kryteriów, takich przykładowo, jak względy celowości, czy słuszności. Rozpoznając niniejszą sprawę Wojewódzki Sąd Administracyjny w Warszawie uznał, że zaskarżona decyzja oraz utrzymana nią w mocy decyzja poprzedzająca nie naruszają prawa. Zgodnie z art. 12 pkt 1 i 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), do zadań Generalnego Inspektora w szczególności należy: 1) kontrola zgodności przetwarzanych danych z przepisami o ochronie danych osobowych, 2) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych. Z przytoczonego przepisu wynika, ze Generalny Inspektor to nie tylko organ kontrolny jest to również organ o kompetencjach władczych, który działa w trybie przepisów Kpa, o czym przesądza treść art. 22 ustawy o ochronie danych osobowych. Zgodnie z art. 18 ust. 1 pkt 1 powołanej ustawy, w razie stwierdzenia naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej nakazuje administratorowi danych, w drodze decyzji administracyjnej, przywrócenie stanu zgodnego z prawem, a w szczególności: 1) usunięcie uchybień. Z akt sprawy wynika, że Generalny Inspektor wszczął z urzędu postępowanie administracyjne w sprawie przetwarzania danych osobowych przez Zarząd Dróg Miejskich, którego przedmiotem były uchybienia w procesie przetwarzania danych osobowych, stwierdzone w trakcie kontroli przeprowadzonej w Zarządzie Dróg Miejskich, przez upoważnionych inspektorów Generalnego Inspektora. Zgodnie z art. 6 przedmiotowej ustawy, w jej rozumieniu za dane osobowe uważa się każdą informację dotyczącą osoby fizycznej, pozwalającej na określenie tożsamości tej osoby. Natomiast art. 7 pkt 2 tej ustawy stanowi, że ilekroć w ustawie jest mowa o: przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, a zwłaszcza te, które wykonuje się w systemach informatycznych. W doktrynie i orzecznictwie przyjmuje się, że za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Do informacji takich, wbrew twierdzeniu Zarządu Dróg Miejskich z całą pewnością należy informacja o numerze rejestracyjnym pojazdu. Taka informacja pozwala bowiem na identyfikację właściciela (współwłaścicieli) pojazdu poprzez dostęp do Centralnej Ewidencji Pojazdów, który posiada Zarząd Dróg Miejskich. Należy zgodzić się z organem, że istnieje również możliwość identyfikacji osoby fizycznej przy wykorzystaniu numeru [...][...], którą uiszczana jest opłata w parkometrach typ "[...]". W ocenie Sądu, organ zasadnie uznał, że informacje o numerze rejestracyjnym pojazdu jak i numerze [...] mogą stanowić dane osobowe w rozumieniu art. 6 ustawy. Skoro zatem dochodzi do przetwarzania danych osobowych, to zgodnie z art. 24 ust. 1 przedmiotowej ustawy, w przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, 3) prawie dostępu do treści swoich danych oraz ich poprawiania, 4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej. Podkreślić należy, że obowiązki wynikające z powyżej przytoczonego przepisu odnoszą się do wszystkich podmiotów przetwarzających dane osobowe, a nie ulega wątpliwości, że należy do nich Zarząd Dróg Miejskich, który zobowiązany jest wykonać w tym zakresie nakaz Generalnego Inspektora Danych Osobowych. W art. 39 a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) została zawarta delegacja dla ministra właściwego do spraw administracji publicznej w porozumieniu z ministrem właściwym do spraw informatyzacji do określenia, w drodze rozporządzenia, sposób prowadzenia i zakres dokumentacji, o której mowa w art. 36 ust. 2, oraz podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, uwzględniając zapewnienie ochrony przetwarzanych danych osobowych odpowiedniej do zagrożeń oraz kategorii danych objętych ochroną, a także wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzanych danych. Minister Spraw Wewnętrznych i Administracji w dniu 29 kwietnia 2004 r. wydał rozporządzenie w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). Zgodnie z załącznikiem A do rozporządzenia pkt II ppkt 2 lit. b), w systemie informatycznym służącym do przetwarzania danych osobowych stosuje się mechanizmy kontroli dostępu do tych danych, jeżeli dostęp do danych przetwarzanych w systemie informatycznym posiadają co najmniej dwie osoby, wówczas zapewnia się, aby dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia. W ocenie Sądu organ ustalając, że dochodzi do przetwarzania danych osobowych w systemie informatycznym "[...]" przy użyciu terminali kontrolerskich, który nie jest zabezpieczony poprzez uwierzytelnienie użytkownika za pomocą logowania (wprowadzenia identyfikatora i dokonaniu uwierzytelnienia), to na administratorze (Zarząd Dróg Miejskich) ciąży obowiązek aby dostęp do danych zawartych w tym systemie był możliwy wyłącznie, po spełnieniu warunków określonych w powyżej przytoczonym przepisie rozporządzenia. Mając powyższe na względzie nie mógł uwzględnić zarzutów podniesionych w skardze. Organ wydając zaskarżoną decyzję nie naruszył przepisów prawa materialnego i procesowego. Wynikły spór pomiędzy stronami zasadniczo sprowadzał się do odmiennej interpretacji art. 6 przedmiotowej ustawy, tzn. czy informacja o numerze rejestracyjnym pojazdu to dane osobowe. Zdaniem Sądu stanowisko przedstawione przez organ, a dotyczące szerokiego rozumienia tego pojęcia jest zgodne z intencją ustawodawcy, co znajduje potwierdzenie w stanowisku Grupy Roboczej ds. Ochrony Danych powołanej na podstawie art. 29 dyrektywy 95/46.WE, zawartej w opinii 4/2007 w sprawie pojęcia danych osobowych. Jednocześnie Sąd stoi na stanowisku, że nie jest zasadne stanowisko Zarządu Dróg Miejskich, że brak jest uzasadnienia do stosowania zabezpieczenia systemu "[...]" do wymogów określonych w przedmiotowym rozporządzeniu. Przepisy tego rozporządzenia odnoszą się do wszystkich systemów informatycznych, w których są przetwarzane dane osobowe, a skoro tak, to zabezpieczenie dostępu powinno nastąpić zgodnie z jego przepisami. Z powyższych względów Wojewódzki Sąd Administracyjny w Warszawie na podstawie art 151 w zw. z art. 132 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2012 r., poz. 270 ze zm.) orzekł, jak w sentencji wyroku. |