drukuj    zapisz    Powrót do listy

647 Sprawy związane z ochroną danych osobowych, Ochrona danych osobowych, Generalny Inspektor Ochrony Danych Osobowych, Oddalono skargę kasacyjną, I OSK 1472/08 - Wyrok NSA z 2009-08-28, Centralna Baza Orzeczeń Naczelnego (NSA) i Wojewódzkich (WSA) Sądów Administracyjnych, Orzecznictwo NSA i WSA

I OSK 1472/08 - Wyrok NSA

Data orzeczenia
2009-08-28 orzeczenie prawomocne
Data wpływu
2008-12-09
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Anna Lech /przewodniczący sprawozdawca/
Joanna Banasiewicz
Stanisław Marek Pietras
Symbol z opisem
647 Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
II SA/Wa 736/08 - Wyrok WSA w Warszawie z 2008-08-19
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę kasacyjną
Powołane przepisy
Dz.U. 2002 nr 101 poz 926 art. 7 pkt 4
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - tekst jedn.
Dz.U. 2007 nr 42 poz 275 art. 1 ust. 2
Ustawa z dnia 9 listopada 2000 r. o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości - tekst jednolity
Dz.U. 2004 nr 116 poz 1206 art. 2, pkt 4 art. 18
Ustawa z dnia 20 kwietnia 2004 r. o Narodowym Planie Rozwoju
Dz.U. 2002 nr 153 poz 1270 art. 184
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi.
Sentencja

Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Anna Lech (spr.) Sędziowie sędzia NSA Joanna Banasiewicz sędzia del. WSA Stanisław Marek Pietras Protokolant Urszula Radziuk po rozpoznaniu w dniu 28 sierpnia 2009 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Generalnego Inspektora Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 19 sierpnia 2008 r. sygn. akt II SA/Wa 736/08 w sprawie ze skargi Polskiej Agencji Rozwoju Przedsiębiorczości z siedzibą w Warszawie na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] 2008 r. nr [...] w przedmiocie ochrony danych osobowych 1/ oddala skargę kasacyjną; 2/ zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz Polskiej Agencji Rozwoju Przedsiębiorczości z siedzibą w Warszawie kwotę 120 ( sto dwadzieścia ) złotych tytułem zwrotu kosztów postępowania kasacyjnego.

Uzasadnienie

Wyrokiem z dnia 19 sierpnia 2008 r., sygn. akt II SA/Wa 736/08, Wojewódzki Sąd Administracyjny w Warszawie uchylił decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] kwietnia 2008 r. nr [...] oraz poprzedzającą ją decyzję z dnia [...] listopada 2007 r. nr [...] w przedmiocie ochrony danych osobowych.

W uzasadnieniu powyższego wyroku Sąd wskazał na następujący stan faktyczny i prawny sprawy: w dniach [...] kwietnia 2007 r. inspektorzy, upoważnieni przez Generalnego Inspektora Ochrony Danych Osobowych, przeprowadzili kontrolę w Polskiej Agencji Rozwoju Przedsiębiorczości z siedzibą w W. przy ul. [...], w celu ustalenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych (sygn. [...]), to jest ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) oraz rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024).

Ustalono, że w procesie przetwarzania danych osobowych Polska Agencja Rozwoju Przedsiębiorczości, jako administrator danych, naruszyła przepisy o ochronie danych osobowych. Uchybienia te polegały na: - po pierwsze - niezapewnieniu, aby system informatyczny o nazwie "[...]" (służący do przetwarzania danych osobowych beneficientów ostatecznych) umożliwiał odnotowanie informacji o odbiorcach, w rozumieniu art. 7 pkt 6 przywołanej ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia (§ 7 ust. 1 pkt 4 powołanego rozporządzenia), a - po drugie - niezapewnieniu, aby system informatyczny o nazwie "[...]" umożliwiał sporządzenie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w § 7 ust. 1 pkt 4 powołanego rozporządzenia, to jest informacje o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia.

W dniu [...] listopada 2007 r. Generalny Inspektor Ochrony Danych Osobowych decyzją nr [...], nakazał Polskiej Agencji Rozwoju Przedsiębiorczości usunięcie uchybień w procesie przetwarzania danych osobowych poprzez: 1) zapewnienie, aby system informatyczny o nazwie "[...]" umożliwiał, dla każdej osoby, odnotowanie informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy o ochronie danych osobowych, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, 2) zapewnienie, aby system informatyczny o nazwie "[...]" umożliwiał, dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w § 7 ust. 1 pkt 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, tj. o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy o ochronie danych osobowych, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia.

Polska Agencja Rozwoju Przedsiębiorczości złożyła wniosek o ponowne rozpatrzenie sprawy, podnosząc, że nieprawidłowym jest uznanie jej za administratora danych beneficjentów ostatecznych przetwarzanych w związku z realizacją działania 2.3 Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004 - 2006.

Po ponownym rozpatrzeniu sprawy, Generalny Inspektor Ochrony Danych Osobowych, decyzją z dnia [...] kwietnia 2008 r. nr [...] utrzymał w mocy swoją wcześniejszą decyzję z dnia [...] listopada 2007 r.

Na tę decyzję Polska Agencja Rozwoju Przedsiębiorczości złożyła skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie, wskazując między innymi, że ustalenie podmiotu będącego administratorem danych może odbyć się wyłącznie przez odniesienie do treści art. 7 pkt 4 ustawy o ochronie danych osobowych, który jako warunek konieczny dla uznania podmiotów wymienionych w art. 3 za administratorów danych stawia wymóg decydowania przez nich o celach i środkach przetwarzania danych osobowych. W ocenie Agencji organ wydając w sprawie rozstrzygnięcie odstąpił od analizy elementów wskazanych w art. 7 pkt 4 ustawy, a w miejsce tego przepisu zastosował inne przepisy prawa oraz zewnętrzne przejawy przetwarzania danych osobowych .

Skarżąca podniosła też, że ustalenie celów, o których mowa w art. 7 pkt 4 ustawy, w przypadku administratora danych działającego w sektorze publicznym, nie może odbywać się w oderwaniu od przepisów ustawy z dnia 20 kwietnia 2004 r. o Narodowym Planie Rozwoju (Dz. U. Nr 116, poz. 1206 ze zm.), które określają cele, w jakich mogą być przetwarzane dane osobowe w ramach realizowanych programów.

Zdaniem skarżącej Agencji o pozycji Ministerstwa Rozwoju Regionalnego jako administratora danych świadczą nie tylko złożone do akt administracyjnych umowy, ale przepisy tej ustawy, w szczególności jej art. 19 i następne stanowiące, że działania objęte Sektorowym Programem Operacyjnym Rozwój Zasobów Ludzkich 2004-2006, mogą być realizowane przez instytucje wdrażające ustanawiane dla poszczególnych działań, a szczegółowe zadania instytucji wdrażających, zasady i warunki realizacji działań oraz uprawnienia i obowiązki stron określa umowa zawarta z instytucją zarządzającą programem lub instytucją pośredniczącą, a jak wyraźnie stanowi art. 19 ust. 4 w przypadku przekazania przez instytucję zarządzającą kompetencji do zarządzania, monitorowania i kontroli poszczególnych priorytetów operacyjnych, działań lub projektów instytucja zarządzająca ponosi pełną odpowiedzialność za skuteczność i prawidłowość zarządzania programem. Charakter działań Polskiej Agencji Rozwoju Przedsiębiorczości określa zaś art. 4 ust. 1a pkt 1 ustawy z dnia 9 listopada 2000 r. o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości (t.j. Dz. U. z 2007 r. Nr 42, poz. 275 ze zm.), w myśl którego Agencja ta uczestniczy w realizacji programów operacyjnych, o których mowa w ustawie o Narodowym Planie Rozwoju jako instytucji udzielającej pomocy finansowej określonym grupom beneficjentów.

W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych powtórzył argumenty zawarte w zaskarżonej decyzji, podkreślając, że w ramach oceny zebranego w toku postępowania materiału dowodowego w świetle powołanych w uzasadnieniach obydwu decyzji przepisów administratorem danych w rozpoznanej sprawie jest Polska Agencja Rozwoju Przedsiębiorczości, i jako instytucja wdrażająca udziela wsparcia finansowego na realizację projektów z zakresu Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004 - 2006. Inspektor zaznaczył, że w ramach prowadzonej działalności Agencja zawiera z beneficjentami umowy o dofinansowanie projektów, które są umowami powierzenia przetwarzania danych osobowych (art. 31 ust. 1 ustawy o ochronie danych osobowych), co tym samym oznacza, że Agencja zawiera je działając jako administrator danych osób biorących udział w projektach.

Wyrokiem z dnia 19 sierpnia 2008 r., sygn. akt II SA/Wa 736/08, Wojewódzki Sąd Administracyjny w Warszawie uchylił decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] kwietnia 2008 r. nr [...] oraz poprzedzającą ją decyzję z dnia [...] listopada 2007 r. nr [...] w przedmiocie ochrony danych osobowych.

Na wstępie swych rozważań Sąd pierwszej instancji wskazał, że istota sporu i zarazem podstawowy zarzut skargi sprowadza się do sposobu interpretacji pojęcia administrator danych w rozumieniu art. 7 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), w sytuacji, gdy dane osobowe są przetwarzane przez co najmniej dwa podmioty z sektora publicznego, a cele i środki przetwarzania tych danych wynikają z powszechnie obowiązujących przepisów prawa.

Sąd zaznaczył, że stosownie do treści art. 7 pkt 4 w zw. z art. 3 powołanej ustawy o ochronie danych, administratorem danych jest organ, jednostka organizacyjna, podmiot lub osoba (państwowa lub samorządowa) decydujące o celach i środkach przetwarzania danych osobowych.

Natomiast cele i środki przetwarzania danych osobowych zostały określone przez ustawodawcę w powołanej ustawie o Narodowym Planie Rozwoju oraz w wydanym na jej podstawie rozporządzeniu Ministra Gospodarki i Pracy z dnia 1 lipca 2004 r. w sprawie przyjęcia Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004 - 2006 (Dz. U. Nr 166, poz. 1743 ze zm.) i załączniku do tego rozporządzenia. Wymienione przepisy normują także sytuację prawną podmiotów realizujących ten program i określają zakres przypisanych im kompetencji, przy czym w stosunku do Polskiej Agencji Rozwoju Przedsiębiorczości wskazane regulacje uzupełniają przepisy powołanej ustawy o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości.

Sąd wskazał, że zgodnie z art. 1 ust. 2 ustawy o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości, Agencja jest państwową osobą prawną, a stosownie do treści art. 4 ust. 1a pkt 1 tej ustawy Agencja uczestniczy w realizacji programów operacyjnych, o których mowa w powołanej ustawie o Narodowym Planie Rozwoju oraz w ustawie z dnia 6 grudnia 2006 r. o zasadach prowadzenia polityki rozwoju, jako instytucja wdrażająca (instytucja pośrednicząca II stopnia) albo pośrednicząca, udzielająca pomocy finansowej beneficjentom określonym w art. 6b ust. 1. Definicję instytucji wdrażającej ustawodawca zamieścił zaś w art. 2 pkt 4 ustawy o Narodowym Planie Rozwoju stanowiąc, że jest nią podmiot publiczny lub prywatny odpowiedzialny za realizację działania w ramach programu operacyjnego na podstawie umowy z instytucją zarządzającą.

Sąd pierwszej instancji wskazał, że instytucją zarządzającą, w myśl art. 2 pkt 5 powołanej ustawy, jest właściwy minister odpowiedzialny za przygotowanie i realizację programu operacyjnego albo za przygotowanie i nadzorowanie realizacji strategii wykorzystania Funduszu Spójności, o których mowa w rozporządzeniu Rady (WE) nr 1260/1999 z dnia 21 czerwca 1999 r. ustanawiającym przepisy ogólne w sprawie funduszy strukturalnych (Dz. Urz. WE L 161 z 26.06.1999, L 198 z 21.07.2001 oraz L 158 z 27.06.2003; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 14, t. 1, str. 31) oraz w rozporządzeniu Rady (WE) nr 1164/1994 z dnia 16 maja 1994 r. ustanawiającym Fundusz Spójności (Dz. Urz. WE L 130 z 25.05.1994, L 161 z 26.06.1999; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 14, t. 1, str. 9). Początkowo ministrem tym był Minister Gospodarki i Pracy, a obecnie jest, jako jego następca prawny, Minister Rozwoju Regionalnego, co wynika z rozporządzenia Rady Ministrów z dnia 31 października 2005 r. w sprawie utworzenia Ministerstwa Rozwoju Regionalnego (Dz. U. Nr 220, poz. 1882).

Wojewódzki Sąd Administracyjny w Warszawie zauważył, że relacje pomiędzy instytucją zarządzającą a wdrażającą, poza wymienioną w art. 2 pkt 4 umową, regulują także jednostronne działania samej instytucji zarządzającej, bowiem, jak stanowi art. 18 ust. 1 ustawy o Narodowym Planie Rozwoju, za przygotowanie i realizację programów albo za przygotowanie i nadzór nad realizacją strategii wykorzystania Funduszu Spójności, a w szczególności za wydawanie wytycznych dotyczących wdrażania programów i strategii wykorzystania Funduszu Spójności, o których mowa w art. 8 ust. 1 (m.in. sektorowych programów operacyjnych), skierowanych do podmiotów uczestniczących w realizacji danego programu, są odpowiedzialne właściwe instytucje zarządzające.

Sąd zauważył, że z akt niniejszej sprawy wynika, iż Minister Gospodarki i Pracy, a następnie Minister Rozwoju Regionalnego, zawarł z instytucją wdrażającą - Polską Agencją Rozwoju Przedsiębiorczości dwie umowy w przedmiocie finansowania działania 2.3 w ramach Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich: w dniu [...] lipca 2004 r. oraz w dniu [...] kwietnia 2006 r. Na mocy § 19 pierwszej z umów strony postanowiły, że instytucja wdrażająca zobowiązuje się do wprowadzania do Podsystemu danych przekazywanych przez beneficjentów na formularzu "Dane o beneficjentach ostatecznych" a także, że instytucja wdrażająca zobowiązana jest do aktualizacji informacji w bazach danych składających się na Podsystem oraz tworzenia kopii zapasowych informacji przechowywanych w bazach danych zgodnie z przepisami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Na podstawie drugiej z umów - § 20 i 21- instytucja wdrażająca przyjęła odpowiedzialność za zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych zgromadzonych w ramach zarządzania i wdrażania działania oraz zobowiązała się do wprowadzania danych na temat realizowanych projektów z aplikacji DaneBO do "[...]", a także zobowiązała się do aktualizacji informacji w bazie danych "[...]" i rejestrowania bazy danych zgodnie z ustawą o ochronie danych osobowych.

Sąd wskazał ponadto, iż w aktach sprawy znajdują się także dokumenty świadczące o tym, że instytucja zarządzająca przekazywała Agencji (instytucji wdrażającej) pisemne instrukcje w zakresie obsługi systemu "[...]" (k. [...] akt administracyjnych) załączając do nich (także w formie elektronicznej) przeznaczone do stosowania wzory formularzy, które szczegółowo określały zakres przetwarzanych danych osobowych, łącznie z danymi sensytywnymi ([...]akt administracyjnych).

W związku z tym Sąd pierwszej instancji uznał, że Polska Agencja Rozwoju Przedsiębiorczości przetwarzając dane osobowe beneficjentów ostatecznych nie działała jako administrator danych osobowych, lecz jako przetwarzający te dane w ramach umowy zawartej z administratorem danych, o której mowa w art. 31 ustawy o ochronie danych osobowych. Świadczą o tym bowiem szczegółowe postanowienia dwóch wskazanych wyżej umów.

Ponadto, w ocenie Sądu, to Minister Gospodarki i Pracy, a potem Minister Rozwoju Regionalnego zawierając powyższe umowy występował jako administrator danych, bowiem to Minister jako instytucja zarządzająca konkretyzował cele i środki przetwarzania danych osobowych beneficjentów ostatecznych, będąc odpowiedzialnym tak za przygotowanie sektorowego programu operacyjnego, jak i jego realizację, a po drugie, Minister korzystał z przewidzianych w art. 18 ustawy o Narodowym Planie Rozwoju kompetencji i realizując Program wydawał Polskiej Agencji Rozwoju Przedsiębiorczości wytyczne. Należy wskazać, że przepis art. 18 stanowi także podstawę do wydawania wytycznych dotyczących przetwarzania danych w Podsystemie [...], który w świetle rozporządzenia Ministra Gospodarki i Pracy jest koniecznym elementem dla wdrożenia całego Programu Sektorowego. Działając na tej podstawie Minister Gospodarki i Pracy przekazał wszystkim instytucjom wdrażającym tenże Podsystem, a następnie określił zasady i zakres przetwarzania danych osobowych w systemie informatycznym "[...]" i nadał im formę "Instrukcji wprowadzania danych o beneficjentach ostatecznych do [...]" wraz z kwestionariuszami (k. [...] akt administracyjnych).

W ocenie Sądu z analizy tego dokumentu wynika, że to właśnie w oparciu o ten dokument został skonkretyzowany zakres przetwarzania danych osobowych w systemie "[...]" o beneficjentach ostatecznych. Z pozostałych dokumentów wynika natomiast, że w ten sposób skonkretyzowany zakres przetwarzania danych osobowych był dalej doprecyzowany przez Ministra Rozwoju Regionalnego, który jako następca prawny Ministra Gospodarki i Pracy stał się administratorem danych.

Zdaniem Sądu, oznacza to, że Polska Agencja Rozwoju Przedsiębiorczości przetwarzając dane osobowe beneficjentów ostatecznych czyniła to w oparciu o umowy zawarte z administratorem danych, a przetwarzanie to nie miało charakteru samodzielnego, gdyż Agencja ani nie decydowała o celach i środkach przetwarzania danych ani nie konkretyzowała zakresu ich przetwarzania.

Sąd zauważył także, że Agencja Rozwoju Przedsiębiorczości przetwarzając dane osobowe jako podmiot, o którym mowa w art. 31 ust. 1 ustawy o ochronie danych, miała równocześnie obowiązek spełnić wymagania określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych i podlegała w tym zakresie kontroli Generalnego Inspektora Ochrony Danych Osobowych.

Sąd wskazał, że przy ustalaniu adresata decyzji należy przyjąć, iż te decyzje Generalnego Inspektora, które odnoszą się do uchybień w zakresie określonym w art. 36-39 i przepisach wykonawczych określonych w art. 39a powinny być z reguły skierowane do podmiotu przetwarzającego dane. W związku z tym adresatem decyzji Generalnego Inspektora Ochrony Danych Osobowych nakazującej przywrócenie stanu zgodnego z prawem mogła być Agencja Rozwoju Przedsiębiorczości, ale występująca w sprawie jako przetwarzający dane osobowe na podstawie umowy, a nie jako administrator tych danych. Możliwość taką przewiduje wprost ustawa o ochronie danych w art. 18 w związku z art. 31 ust. 3 i 5.

Wojewódzki Sąd Administracyjny w Warszawie podkreślił przy tym, że czym innym jest właściwe ustalenie adresata decyzji, a czym innym jest zapewnienie stronie czynnego udziału w postępowaniu administracyjnym, do którego organ zobligowany jest na mocy art. 10 kpa w związku z art. 22 ustawy o ochronie danych. Zdaniem Sądu z akt niniejszego postępowania wynika, że organ nie dopełnił tego obowiązku i nie zapewnił Ministrowi Rozwoju Regionalnego udziału na żadnym etapie postępowania, choć niewątpliwie administrator danych osobowych był stroną tego postępowania.

Ta okoliczność, w ocenie Sądu, skutkuje koniecznością uchylenia zaskarżonej decyzji i decyzji ją poprzedzającej bez potrzeby badania, czy naruszenie to miało wpływ na wynik sprawy. Sąd wskazał, że zgodnie z poglądem Sądu Najwyższego (wyrok z dnia 4 grudnia 2002 r., III RN 200/01, OSNPUS 2003, nr 24, poz. 582), dla obligatoryjnego uchylenia zaskarżonej decyzji nie ma znaczenia, że zgodnie z art. 147 k.p.a., wznowienie postępowania z przyczyny określonej w art. 145 § 1 pkt 4 k.p.a. następuje tylko na żądanie strony.

Od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie skargę kasacyjną złożył Generalny Inspektor Danych Osobowych reprezentowany przez radcę prawnego J. W., wnosząc o jego uchylenie w całości i przekazanie sprawy do ponownego rozpoznania Sądowi pierwszej instancji oraz o zasądzenie kosztów postępowania według norm przepisanych.

Zaskarżonemu wyrokowi zarzucono naruszenie przepisu prawa materialnego, to jest art. 7 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), poprzez jego błędną wykładnię i niewłaściwe zastosowanie, polegające na uznaniu, iż Minister Rozwoju Regionalnego jest administratorem danych osób biorących udział w projektach realizowanych w ramach działania 2.3 Sektorowego Programu Operacyjnego Rozwoju Zasobów Ludzkich, lata 2004-2006.

W uzasadnieniu skargi kasacyjnej podniesiono, że o tym, czy dany organ, jednostka organizacyjna albo innego rodzaju podmiot jest administratorem danych osobowych, decyduje przede wszystkim rodzaj i charakter nadanych im przez prawo kompetencji z obszaru spraw publicznych oraz wyznaczone ustawowo zadania.

Zdaniem Generalnego Inspektora Danych Osobowych z przepisów ustawy o Narodowym Planie Rozwoju, rozporządzenia Ministra Gospodarki i Pracy z dnia 11 sierpnia 2004 r. w sprawie przyjęcia uzupełnienia Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004-2006 (Dz. U. Nr 197, poz. 2024 ze zm.), rozporządzenia Ministra Gospodarki i Pracy z dnia 16 września 2004 r. w sprawie udzielania przez Polską Agencję Rozwoju Przedsiębiorczości pomocy finansowej w ramach Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004-2006 (Dz. U. Nr 207, poz. 2115) oraz rozporządzenia Ministra Rozwoju Regionalnego z dnia 16 sierpnia 2006 r. zmieniającego rozporządzenie w sprawie udzielania przez Polską Agencję Rozwoju Przedsiębiorczości pomocy finansowej w ramach Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004-2006 (Dz. U. Nr 154, poz. 1102) wynika, iż Polska Agencja Rozwoju Przedsiębiorczości jako "instytucja wdrażająca", udziela wsparcia finansowego na realizację projektów z zakresu SPORZL lata 2004-2006. Natomiast status "beneficjenta" posiadają podmioty korzystające z publicznych środków wspólnotowych i publicznych środków krajowych na podstawie umowy o dofinansowanie projektu. Wskazano, że jednocześnie osoby uczestniczące na przykład w szkoleniach, posiadają status "beneficjentów ostatecznych", to jest podmiotów korzystających z projektu realizowanego przez "beneficjenta". W SPORZL lata 2004 – 2006 uczestniczy również Ministerstwo Rozwoju Regionalnego z siedzibą w Warszawie przy ul. Wspólnej 2/4, któremu przysługuje status "instytucji zarządzającej", tj. podmiotu odpowiedzialnego za przygotowanie i nadzorowanie realizacji SPORZL lata 2004 - 2006.

Autor skargi kasacyjnej wskazał, że dane osobowe "beneficjentów ostatecznych" (osoby fizyczne uczestniczące w projektach SPO RZL 2004-2006) pozyskiwane przez "beneficjentów", w związku z wykonywaniem przez nich projektów są przekazywane do właściwych "instytucji wdrażających", np. PARP, na podstawie umów o dofinansowanie projektu. Na podstawie tych umów Polska Agencja Rozwoju Przedsiębiorczości między innymi przekazuje środki na realizację projektów realizowanych w ramach SPORZL lata 2004-2006, zleca przetwarzanie danych osobowych w zakresie określonym przez "instytucję zarządzającą", przeprowadza kontrole i audyt. Natomiast beneficjent zobowiązany jest między innymi do niezwłocznego informowania Polskiej Agencji Rozwoju Przedsiębiorczości o problemach w realizacji projektów, opracowania okresowych i rocznych sprawozdań oraz końcowego sprawozdania z realizacji projektów i przekazywania ich do Polskiej Agencji Rozwoju Przedsiębiorczości, przekazywania w formie elektronicznej informacji o wszystkich "beneficjentach ostatecznych" w ramach SPORZL lata 2004-2006.

W związku z tym stwierdzono, że wskazane wyżej umowy stanowią umowę powierzenia przetwarzania danych osobowych (art. 31 ust. 1 ustawy). Tym samym administratorem danych osób biorących udział w projektach realizowanych w ramach SPORZL lata 2004-2006 jest Polska Agencja Rozwoju Przedsiębiorczości, a beneficjenci są podmiotami, o których mowa w art. 31 ust. 1 ustawy, tj. podmiotami, którym administratorzy danych powierzyli przetwarzanie danych wskazanych osób.

Jednocześnie ustalono, iż do danych przetwarzanych w systemie o nazwie "[...]", które przechowywane są w Polskiej Agencji Rozwoju Przedsiębiorczości nie ma dostępu Minister Rozwoju Regionalnego. Instytucja wdrażająca", tj. Polska Agencja Rozwoju Przedsiębiorczości pozostaje odpowiedzialna za formalną kontrolę zgodności wniosków składanych przez potencjalnych odbiorców pomocy, wybór projektów przeznaczonych do realizacji w ramach SPORZL lata 2004 – 2006 oraz podpisywanie umów z beneficjentami na podstawie decyzji "instytucji zarządzającej" lub upoważnienia wynikającego z umowy finansowej działania zawartej pomiędzy "instytucją zarządzającą" a "instytucją wdrażającą".

Podniesiono także, iż stosownie do treści rozdziału 5.4 załącznika do powołanego rozporządzenia w sprawie przyjęcia SPORZL lata 2004 - 2006, w celu monitorowania i rzetelnej oceny projektów oraz transferu danych został utworzony System Informatyczny Monitoringu i Kontroli Finansowej (SIMIK). Natomiast uzupełnieniem tego systemu informatycznego jest podsystem informatyczny o nazwie "[...]" (system informatyczny o nazwie "[...]", służący do przetwarzania danych osobowych "beneficjentów ostatecznych" w celu prowadzenia monitorowania i ewaluacji projektów realizowanych w ramach SPORZL lata 2004 - 2006). Podkreślono, że za wprowadzenie danych do tego podsystemu odpowiedzialna jest Polska Agencja Rozwoju Przedsiębiorczości jako "instytucja wdrażająca", która jest jednocześnie głównym użytkownikiem tego systemu.

Zdaniem Generalnego Inspektora Ochrony Danych Osobowych, za argumentem przemawiającym, iż administratorem wskazanych wyżej danych jest Polska Agencja Rozwoju Przedsiębiorczości przemawia fakt, iż podmiot ten samodzielnie przechowuje, opracowuje, zmieniania, udostępniania i usuwa dane osobowe "beneficjentów ostatecznych".

Wskazano, że w niniejszej sprawie z akt kontroli wynika, iż na mocy umowy z dnia 26 lipca 2004 r. Polska Agencja Rozwoju Przedsiębiorczości zobowiązała się do wprowadzenia do podsystemu danych przekazywanych przez "beneficjentów" na formularzu "Dane o beneficjentach ostatecznych", a także zobowiązała się do aktualizacji w bazach danych składających się na podsystem oraz tworzenia kopii zapasowych informacji przechowywanych w bazach danych zgodnie z przepisami ustawy o ochronie danych osobowych. Natomiast na podstawie umowy z dnia [...] kwietnia 2006 r. Polska Agencja Rozwoju Przedsiębiorczości przyjęła odpowiedzialność za zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie udostępnianie i usuwanie danych zgromadzonych w ramach zarządzenia i wdrażania działania oraz zobowiązała się do wprowadzania danych na temat realizowanych projektów z aplikacji [...] do "[...]" i rejestrowania bazy danych zgodnie z ustawą o ochronie danych osobowych. Na podstawie tych umów Minister Rozwoju Regionalnego przekazał Agencji elementy zarządzania programem operacyjnym.

Wskazano, że "instytucja wdrażająca", to jest Polska Agencja Rozwoju Przedsiębiorczości dokonała zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych dotyczących "beneficjentów ostatecznych", który został zarejestrowany.

Zdaniem skarżącego kasacyjnie Polska Agencja Rozwoju Przedsiębiorczości zgłaszając powyższy zbiór uznała się za administratora przedmiotowych danych, w związku z czym za niezasadny należy uznać zarzut Wojewódzkiego Sądu Administracyjnego, że Ministrowi Rozwoju Regionalnego nie zapewniono czynnego udziału w postępowaniu administracyjnym na mocy art. 10 K.p.a. Jak bowiem wynika z zebranego w sprawie materiału dowodowego Minister Rozwoju Regionalnego nie został uznany za stronę przedmiotowego postępowania administracyjnego, zatem nie nastąpiło naruszenie wskazanych przepisów kodeksu postępowania administracyjnego.

W odpowiedzi na skargę kasacyjną Prezes Polskiej Agencji Rozwoju Przedsiębiorczości, podzielając argumentację Sądu pierwszej instancji, wniósł o jej oddalenie, podkreślając, że kwestia posiadania dostępu do danych osobowych oraz okoliczność zgłoszenia zbioru danych do rejestracji jako pozostająca poza przesłankami określonymi w art. 7 pkt 4 ustawy, nie jest, zgodnie z treścią tego przepisu, okolicznością przesądzającą o uznaniu określonego podmiotu za administratora danych.

Wskazano ponadto, że odnosząc się do definicji administratora danych zawartej w art. 2 (d) Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. U. UE L Nr 281, poz. 31 z późn. zm.), wskazać należy, że żaden przepis regulujący realizację SPO RZL nie wskazuje z nazwy konkretnego podmiotu jako administratora danych przetwarzanych na potrzeby tego programu. Tym samym w celu ustalenia administratora danych należy posłużyć się ogólną definicją zawartą w art. 7 pkt 4 ustawy, która w połączeniu z przepisami ustawy o Narodowym Planie Rozwoju jednoznacznie wskazuje na instytucję zarządzającą SPO RZL, to jest na podmiot określający cele i środki przetwarzania danych osobowych, jako na administratora danych.

Naczelny Sąd Administracyjny zważył, co następuje:

skarga kasacyjna nie zasługuje na uwzględnienie.

Zgodnie z art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, bierze jednak z urzędu pod rozwagę nieważność postępowania. W niniejszej sprawie nie występują przesłanki nieważności określone w art. 183 § 2 powołanej ustawy Prawo o postępowaniu przed sądami administracyjnymi, zatem Naczelny Sąd Administracyjny związany był granicami skargi kasacyjnej.

W niniejszej sprawie istotną kwestią jest interpretacja pojęcia "administrator danych" w rozumieniu art. 7 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), w sytuacji, gdy dane osobowe są przetwarzane przez co najmniej dwa podmioty z sektora publicznego, a cele i środki przetwarzania tych danych wynikają z powszechnie obowiązujących przepisów prawa.

Wskazać na wstępie wypada, że w przypadku podmiotów publicznych, ustalenie, kto jest administratorem danych, nie zawsze jest jednoznaczne. Trudność taka wynika z dwóch przyczyn: po pierwsze, w odniesieniu do podmiotów publicznych o celu i środkach przetwarzania danych osobowych decyduje zazwyczaj ustawodawca, stanowiąc przepisy prawa, a po drugie, art. 7 pkt 4 powołanej wyżej ustawy stanowi, iż administratorem może być organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3.

Pierwsza ze wskazanych powyżej kwestii jest konsekwencją zasady legalizmu, zgodnie z którą organy władzy publicznej (administracji publicznej) działają na podstawie i w granicach określonych przepisami prawa. Podmioty publiczne są zobowiązane do przetwarzania danych osobowych dla realizacji określonych ustawowo celów. Zazwyczaj także środki, jakie służyć mają przetwarzaniu danych osobowych, wskazane są w przepisach ustawowych lub w wydanych na ich podstawie przepisach aktów wykonawczych. Stąd też możność decydowania przez podmioty publiczne o celu i środkach przetwarzania danych osobowych jest stosunkowo niewielka. Jak stwierdza R. Hauser (Przetwarzanie danych osobowych: cel i środki, Rzeczpospolita z 6 kwietnia 1999 r.), cel przetwarzania danych osobowych będzie mniej lub bardziej ogólnie wyznaczony przepisami prawa, a określony ich administrator, decydując o celu przetwarzania danych, będzie jedynie konkretyzował jego zakres, aby odpowiadał on potrzebom bardziej szczegółowo określonego zadania publicznego.

Druga przyczyna wątpliwości powstających w tym obszarze dotyczy szerokiego kręgu podmiotów publicznych, które mogą być uznane za administratorów danych. Tu administratorem danych mogą być organy państwowe, organy samorządu terytorialnego, ale także państwowe i komunalne jednostki organizacyjne. Niekiedy jednak pojawiają się trudności z jednoznacznym rozstrzygnięciem, czy administratorem danych jest określony organ administracji, czy jednostka organizacyjna. Uznać zatem należy, że o tym, czy dany organ, jednostka organizacyjna albo innego rodzaju podmiot jest administratorem danych osobowych, decyduje przede wszystkim rodzaj i charakter nadanych im przez prawo kompetencji z obszaru spraw publicznych oraz wyznaczone ustawowo zadania. Do uznania danego podmiotu za administratora danych potrzebna jest jednak zawsze analiza konkretnych przepisów mających zastosowanie w określonej sytuacji, dokonywana często wedle skomplikowanych reguł interpretacji tekstu prawnego.

Niekiedy jednak, nawet po dokonaniu szczegółowej analizy przepisów, trudno jednoznacznie rozstrzygnąć, kto w konkretnym przypadku jest administratorem danych osobowych. Możliwość zaistnienia tego rodzaju problemów dostrzeżono podczas prac nad dyrektywą 95/46/WE, co znalazło odzwierciedlenie w przepisie art. 2 lit. d dyrektywy, zgodnie z którym jeżeli cele i sposoby przetwarzania danych są określone w ustawach i innych przepisach krajowych lub przepisach Wspólnoty, administrator danych może być powoływany lub kryteria jego powołania mogą być ustalone przez ustawodawstwo krajowe lub ustawodawstwo Wspólnoty.

Nie jest natomiast administratorem ten, kto przetwarza dane w pełni według poleceń, wskazówek innego podmiotu, na jego zlecenie. Nie jest również administratorem danych osoba, której administrator powierzył przetwarzanie danych, co wynika z art. 31 ustawy o ochronie danych osobowych, w szczególności z jego ust. 4, który przewiduje sytuacje, w których administrator danych powierza innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Może więc też być tak, że administrator tylko w pewnym zakresie będzie sam przetwarzał dane, wykonywanie zaś pozostałych operacji powierzy innemu podmiotowi. Dla kwestii określenia administratora zawsze ważne pozostanie tylko to, kto podejmuje decyzje wskazujące na cele i środki przetwarzania danych.

Wskazać w tym miejscu należy, że w niniejszej sprawie cele i środki przetwarzania danych osobowych zostały określone przez ustawodawcę w ustawie z dnia 20 kwietnia 2004 r. o Narodowym Planie Rozwoju (Dz. U. Nr 116, poz. 1206 ze zm.) oraz w wydanym na jej podstawie rozporządzeniu Ministra Gospodarki i Pracy z dnia 1 lipca 2004 r. w sprawie przyjęcia Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004 - 2006 (Dz. U. Nr 166, poz. 1743 ze zm.) i załączniku do tego rozporządzenia. Przepisy te normują także sytuację prawną podmiotów realizujących ten program i określają zakres przypisanych im kompetencji, przy czym w stosunku do Polskiej Agencji Rozwoju Przedsiębiorczości wskazane wyżej regulacje zostały uzupełnione przez przepisy ustawy z dnia 9 listopada 2000 r. o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości (Dz. U. z 2007 r. Nr 42, poz. 275 ze zm.).

I tak, zgodnie z art. 1 ust. 2 ustawy o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości, Agencja jest państwową osobą prawną, a stosownie do treści art. 4 ust. 1a pkt 1 tej ustawy Agencja uczestniczy w realizacji programów operacyjnych, o których mowa w ustawie z dnia 20 kwietnia 2004 r. o Narodowym Planie Rozwoju oraz w ustawie z dnia 6 grudnia 2006 r. o zasadach prowadzenia polityki rozwoju, jako instytucja wdrażająca (instytucja pośrednicząca II stopnia) albo pośrednicząca, udzielająca pomocy finansowej beneficjentom określonym w art. 6b ust. 1. Definicję instytucji wdrażającej ustawodawca zamieścił w art. 2 pkt 4 ustawy o Narodowym Planie Rozwoju stanowiąc, że jest nią podmiot publiczny lub prywatny odpowiedzialny za realizację działania w ramach programu operacyjnego na podstawie umowy z instytucją zarządzającą.

Natomiast instytucją zarządzającą, zgodnie z art. 2 pkt 5 powołanej ustawy, jest właściwy minister odpowiedzialnego za przygotowanie i realizację programu operacyjnego albo za przygotowanie i nadzorowanie realizacji strategii wykorzystania Funduszu Spójności, o których mowa w rozporządzeniu Rady (WE) nr 1260/1999 z dnia 21 czerwca 1999 r. ustanawiającym przepisy ogólne w sprawie funduszy strukturalnych (Dz. Urz. WE L 161 z 26.06.1999, L 198 z 21.07.2001 oraz L 158 z 27.06.2003; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 14, t. 1, str. 31) oraz w rozporządzeniu Rady (WE) nr 1164/1994 z dnia 16 maja 1994 r. ustanawiającym Fundusz Spójności (Dz. Urz. WE L 130 z 25.05.1994, L 161 z 26.06.1999; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 14, t. 1, str. 9). Początkowo ministrem tym był Minister Gospodarki i Pracy, a obecnie jest, jako jego następca prawny, Minister Rozwoju Regionalnego.

W świetle powyższego oraz na podstawie dokumentacji niniejszej sprawy uznać zatem należy, że to Minister Rozwoju Regionalnego jako instytucja zarządzająca konkretyzował cele i środki przetwarzania danych osobowych beneficjentów ostatecznych, będąc odpowiedzialnym tak za przygotowanie sektorowego programu operacyjnego, jak i jego realizację. Minister korzystał też z przewidzianych w art. 18 ustawy o Narodowym Planie Rozwoju kompetencji i realizując Program wydawał wytyczne Polskiej Agencji Rozwoju Przedsiębiorczości.

W niniejszej sprawie za Sądem pierwszej instancji uznać należy, że Polska Agencja Rozwoju Przedsiębiorczości przetwarzając dane osobowe beneficjentów ostatecznych nie działała jako administrator danych osobowych, lecz jako przetwarzający te dane w ramach umowy zawartej z administratorem danych, o której mowa w art. 31 ustawy o ochronie danych osobowych. Natomiast jako administrator danych występował Minister Gospodarki i Pracy, a potem Minister Rozwoju Regionalnego. Zatem adresatem decyzji Generalnego Inspektora Ochrony Danych Osobowych nakazującej przywrócenie stanu zgodnego z prawem mogła być Polska Agencja Rozwoju Przedsiębiorczości, ale występująca w sprawie jako przetwarzający dane osobowe na podstawie umowy, a nie jako administrator tych danych. Możliwość taką przewiduje art. 18 w związku z art. 31 ust. 3 i 5 powołanej ustawy o ochronie danych osobowych.

Za Sądem pierwszej instancji zauważyć również trzeba, że jak wynika z akt administracyjnych niniejszej sprawy, Generalny Inspektor Danych Osobowych nie wypełnił ciążącego na nim obowiązku i nie zapewnił Ministrowi Rozwoju Regionalnego – jako administratorowi danych – udziału w toczącym się postępowaniu, do czego był obowiązany na podstawie art. 10 k.p.a. w związku z art. 22 powołanej ustawy o ochronie danych osobowych. Konsekwencją takiego stanu rzeczy było uniemożliwienie administratorowi danych występowanie w postępowaniu w obronie własnego interesu prawnego.

W związku z tym uznać należy, że nie zasługują na uwzględnienie zarzuty skargi kasacyjnej o naruszeniu w zaskarżonym wyroku art. 7 pkt 4 ustawy o ochronie danych osobowych.

Mając powyższe na uwadze, Naczelny Sąd Administracyjny na podstawie art. 184 powołanej ustawy Prawo o postępowaniu przed sądami administracyjnymi, orzekł, jak w sentencji.

O kosztach orzeczono na podstawie art. 204 pkt 2 wskazanej ustawy.



Powered by SoftProdukt