Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Jacek Fronczyk (sprawozdawca), Sędziowie WSA Danuta Kania, Janusz Walawski, Protokolant, referent stażysta Katarzyna Skurzyńska, po rozpoznaniu na rozprawie w dniu 5 lipca 2012 r. sprawy ze skargi G. z siedzibą w M. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] lutego 2012 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę.

Decyzją z dnia [...] grudnia 2011 r. nr [...] Generalny Inspektor Ochrony Danych Osobowych, stosując art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (t. j.: Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.), art. 12 pkt 2, art. 18 ust. 1 pkt 1 i art. 22 w związku z art. 36 ust. 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j.: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), nakazał G. z siedzibą w M. [...] usunięcie uchybienia w procesie przetwarzania danych osobowych, poprzez wyznaczenie administratora bezpieczeństwa informacji, w terminie 3 dni od dnia, w którym decyzja stanie się ostateczna.

W motywach rozstrzygnięcia organ wyjaśnił, że w toku kontroli zgodności przetwarzania danych przy użyciu urządzeń i systemów informatycznych, służących do [...], z przepisami ww. ustawy o ochronie danych osobowych i rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), ustalono, iż w procesie przetwarzania danych osobowych Spółka G., jako administrator danych, naruszyła przepisy o ochronie danych osobowych w ten sposób, że nie wyznaczyła administratora bezpieczeństwa informacji, jak tego wymaga art. 36 ust. 3 ustawy o ochronie danych osobowych. Zgodnie bowiem z tym przepisem, administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1 (administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem), chyba że sam wykonuje te czynności. Zdaniem GIODO, wykonywanie przez administratora danych czynności administratora bezpieczeństwa informacji możliwe jest jedynie wówczas, gdy administrator danych jest osobą fizyczną. Jednak w przedmiotowej sprawie tak nie jest, gdyż G. nie jest osobą fizyczną. W takiej sytuacji Spółka, jako administrator danych, powinna wyznaczyć osobę fizyczną, która byłaby odpowiedzialna za proces bezpieczeństwa informacji i nadzór nad przestrzeganiem zasad ochrony. Dla wzmocnienia swojej argumentacji organ ochrony danych osobowych powołał się na przepis art. 18 ust. 2 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. WE L. 281 z dnia 23 listopada 1995 r., s. 31 ze zm.), który stanowi o powołaniu urzędnika do spraw ochrony danych osobowych, odpowiedzialnego w szczególności za zapewnienie w niezależny sposób wewnętrznego stosowania przepisów prawa krajowego, przyjętych na mocy dyrektywy. W ocenie GIODO, na gruncie ustawy o ochronie danych osobowych administrator bezpieczeństwa informacji jest odpowiednikiem wymienionego w powyższym przepisie dyrektywy urzędnika do spraw ochrony danych osobowych i trudno uznać, by jego kompetencje mogła wykonywać osoba prawna.

We wniosku o ponowne rozpatrzenie sprawy G. z siedzibą w M., zarzucając naruszenie przepisów prawa materialnego, wniosła o uchylenie powyższej decyzji i umorzenie postępowania w sprawie. Spółka wskazała, że art. 36 ust. 3 ww. ustawy o ochronie danych osobowych przewiduje dwie odrębne sytuacje sprawowania nadzoru nad przestrzeganiem zasad ochrony danych osobowych, tj. poprzez wyznaczenie administratora bezpieczeństwa informacji oraz poprzez samodzielne wykonywanie przez administratora danych czynności nadzorczych. Na odrębność tych dwóch sytuacji wskazuje literalne brzmienie przepisu, w tym przede wszystkim zawarty w nim spójnik "chyba że". W odniesieniu do drugiej sytuacji, przepis art. 36 ust. 3 ustawy nie zawiera jakichkolwiek ograniczeń podmiotowych, które wskazywałyby, że może ona mieć zastosowanie wyłącznie do określonej kategorii administratorów danych, np. wyłącznie do osób fizycznych prowadzących działalność gospodarczą. W przepisie tym jest mowa jedynie o "administratorze danych", wykonującym czynności w nim wskazane, którym jest – zgodnie z art. 7 pkt 4 ustawy – każdy podmiot lub osoba decydująca o celach i środkach przetwarzania danych osobowych, a więc także osoba prawna. Brak jest zatem jakichkolwiek podstaw do przyjmowania na gruncie art. 36 ust. 3 ustawy innego rozumienia pojęcia "administratora danych", niż to, które wynika z jego definicji ustawowej. Z brzmienia powołanego przepisu ustawy wynika, że ustawodawca przyjął regułę wyznaczenia administratora bezpieczeństwa informacji i powierzenie mu czynności nadzoru, jednak administratorowi danych pozostawiono możliwość samodzielnego nadzorowania tych zasad wówczas, gdy nie wyznaczy on administratora bezpieczeństwa informacji. W tej bowiem sytuacji administrator danych sam wykonuje czynności nadzoru. Administrator danych nie staje się administratorem bezpieczeństwa informacji ani też nie "przejmuje" jego funkcji. Z istoty czynności nadzoru w żadnym razie nie wynika, że czynności te mogą być wykonywane wyłącznie przez osobę fizyczną. Na gruncie samej ustawy na administratorze danych ciążą obowiązki wykonania wielu czynności związanych z dbałością o przestrzeganie przepisów o ochronie danych osobowych, a to oznacza istnienie obowiązku sprawowania przez administratora danych bieżącej kontroli nad przestrzeganiem zasad ochrony danych osobowych w trakcie ich przetwarzania. W ocenie G., nie powinno ulegać wątpliwości, że w ramach struktury organizacyjnej administratora danych, będącego osobą prawną, sam administrator danych (a konkretnie osoby kierujące daną jednostką organizacyjną, zgodnie z mającą zastosowanie regulacją prawną) jest władny do podejmowania decyzji i wyciągania określonych konsekwencji wobec pracowników upoważnionych do przetwarzania danych osobowych. W praktyce działania te okazują się o wiele bardziej skuteczne, zapewniające wyższy poziom ochrony danych osobowych, niż określone działania podejmowane przez administratora bezpieczeństwa informacji. Na każdym administratorze danych ciążą obowiązki kontroli i nadzoru, w tym na administratorze danych, będącym osobą prawną. Rozwiązanie to zgodne jest z przyjmowanym na gruncie polskich przepisów prawa modelem sprawowania nadzoru, zgodnie z którym dopuszczalne jest wykonywanie czynności nadzoru przez jednostki organizacyjne, nie zaś wyłącznie przez osoby fizyczne. Zdaniem Spółki, potwierdza to również orzecznictwo sądowe, np. wyrok Sądu Najwyższego z dnia 10 września 1971 r. o sygn. akt I CR 260/71, a także literatura przedmiotu (m.in. P. Fajgielski, Kontrola przetwarzania i ochrony danych osobowych. Studium teoretyczno – prawne. Lublin 2008, str. 183). Uznaje się, że art. 36 ust. 3 ustawy o ochronie danych osobowych jest w istocie przejawem możliwości delegowania przez administratora danych części obowiązków z zakresu kontroli przetwarzania danych na inną osobę w drodze wyznaczenia administratora bezpieczeństwa informacji. Akceptacja stanowiska GIODO oznaczałaby wręcz, że w większości przypadków nie ma możliwości sprawowania nadzoru przez administratora danych z uwagi na to, że status administratora danych przysługuje często jednostce organizacyjnej (np. spółce), a nie konkretnej osobie fizycznej. W ocenie G., należy raczej przyjąć, że to administrator bezpieczeństwa informacji przejmuje obowiązki administratora danych dotyczące sprawowania nadzoru, a nie odwrotnie. Nietrafne jest zatem powoływanie się przez Generalnego Inspektora Ochrony Danych Osobowych na brzmienie przepisów dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych, a odnoszących się do urzędnika do spraw ochrony danych osobowych. Instytucja ta wykazuje bowiem immanentny związek z obowiązkiem rejestracji zbiorów danych osobowych. Spółka zaznaczyła, iż organ wskazał, że art. 37 ustawy wymaga udzielenia konkretnej osobie fizycznej przez administratora danych upoważnienia do podejmowania czynności związanych z przetwarzaniem danych osobowych, którym musi dysponować także administrator bezpieczeństwa informacji, jednak argument ten nie może być w żaden sposób zastosowany w odniesieniu do administratora danych, który dla legalnego przetwarzania danych osobowych nie udziela przecież sam sobie upoważnienia, lecz musi dysponować jedną z materialno – prawnych przesłanek wynikających z art. 23 (lub art. 27) ustawy. Spółka wyjaśniła także, że G. jest członkiem programu [...] i podlega regularnemu, corocznemu procesowi badania zgodności z certyfikatem [...]. Daje to m.in. gwarancje przetwarzania danych osobowych zgodnie z zasadami wynikającymi z dyrektywy 95/46/WE, a więc i z polską ustawą o ochronie danych osobowych, co oznacza, że wdrożone przez G. procedury związane z ochroną danych osobowych są zgodne z zasadami określonymi w przywołanej dyrektywie.

Decyzją z dnia [...] lutego 2012 r. nr [...] Generalny Inspektor Ochrony Danych Osobowych, mając za podstawę art. 138 § 1 pkt 1 Kodeksu postępowania administracyjnego oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1 i art. 22 w związku z art. 36 ust. 3 ustawy o ochronie danych osobowych, utrzymał w mocy zaskarżoną decyzję, nie znajdując podstaw do uwzględnienia wniosku i powołując się na użyte wcześniej argumenty faktyczne oraz prawne.

W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie na powyższą decyzję G. z siedzibą w M. podniosła zarzut nieważności decyzji GIODO, wskazując w tym względzie na art. 156 § 1 pkt 2 kpa w związku z art. 2 ust. 3 oraz art. 18 ust. 1 ustawy o ochronie danych osobowych i twierdząc, że nie ma podstawy prawnej do wydania nakazu w przypadku zbiorów doraźnych, o których mowa w art. 2 ust. 3 ustawy o ochronie danych osobowych, a o tego rodzaju zbiór chodzi w niniejszej sprawie. Spółka postawiła także zarzut naruszenia art. 36 ust. 3 w związku z art. 36 ust. 1 ustawy o ochronie danych osobowych, poprzez przyjęcie, że administrator danych osobowych może samodzielnie wykonywać zadania administratora bezpieczeństwa informacji wyłącznie wówczas, gdy jest osobą fizyczną prowadzącą działalność gospodarczą, pomimo że ograniczenia takiego nie zawiera przepis art. 36 ust. 3 tej ustawy. Ponadto, wskazała również na naruszenie przepisów postępowania, w tym art. 7 i art. 77 kpa, poprzez wadliwe przeprowadzenie postępowania dowodowego, bez utrwalenia w aktach sprawy wszystkich dowodów i bez pełnego odniesienia się do nieformalnie czynionych ze stroną ustaleń co do zakresu obowiązków objętych zakresem przedmiotowej sprawy; art. 14 w związku z art. 67 § 1 kpa, poprzez niedochowanie zasady pisemności w prowadzonym przez organ postępowaniu w zakresie przeprowadzanych dowodów, w szczególności nieutrwalenia w formie protokołu czynności postępowania, które miały istotne znaczenie dla sprawy. Formułując przedstawione zarzuty, skarżąca wniosła o stwierdzenie nieważności obu decyzji, ewentualnie o ich uchylenie oraz o zasądzenie kosztów postępowania według norm przepisanych.

Udzielając odpowiedzi na skargę, Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, powołując się na argumentację, jakiej użył w podjętych w sprawie decyzjach.

W piśmie procesowym z dnia [...] czerwca 2012 r. G. z siedzibą w M. podtrzymała swoje twierdzenia, zarzuty i wnioski, akcentując, że istotą sprawy jest ustalenie, czy przepis art. 36 ust. 3 ustawy o ochronie danych osobowych nakłada na administratora danych obowiązek wyznaczenia administratora bezpieczeństwa informacji w sytuacji, gdy administrator danych samodzielnie wykonuje zadania nadzoru nad przestrzeganiem zasad ochrony.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Stosownie do treści art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującymi w dacie jej wydania. Innymi słowy, sąd administracyjny kontroluje legalność rozstrzygnięcia zapadłego w postępowaniu z punktu widzenia jego zgodności z prawem materialnym i obowiązującymi przepisami prawa procesowego.

Skarga analizowana pod tym kątem nie zasługuje na uwzględnienie.

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j.: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) jest regulacją stwarzającą prawne podstawy stosowania ochrony państwowej w sytuacjach niezgodnego z prawem przetwarzania danych osobowych przez zarówno podmioty prawa publicznego, jak i podmioty prawa prywatnego, które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej (art. 3 ustawy), jak to ma miejsce w rozpoznawanej sprawie, wszak G. z siedzibą w M. przetwarza dane przy użyciu urządzeń i systemów informatycznych, służących do [...], dostępnej na terytorium Rzeczypospolitej Polskiej.

W celu realizacji wspomnianej ochrony, organ ochrony danych osobowych został wyposażony w kompetencje władcze, umożliwiające mu sankcjonowanie stwierdzanych nieprawidłowości w procesie przetwarzania danych osobowych. Generalny Inspektor Ochrony Danych Osobowych może więc – w drodze decyzji administracyjnej – nakładać stosowne nakazy bądź zakazy, których zasadniczą rolą jest przywrócenie stanu zgodnego z prawem. Wydanie decyzji merytorycznej możliwe jest zatem, gdy organ stwierdza naruszenie przepisów ustawy o ochronie danych osobowych. Organ ochrony danych osobowych jest bowiem zobowiązany do merytorycznego rozstrzygania tylko w tych sytuacjach, w jakich przepisy ustawy o ochronie danych osobowych pozwalają mu na wydanie odpowiedniego zakazu bądź nakazu. GIODO, oceniając stan sprawy i dokonując subsumpcji, stwierdza więc, czy kwestionowane przetwarzanie danych osobowych pozwala mu na władczą ingerencję, w dalszej kolejności zaś, czy znajduje oparcie w przepisach ustawy, i w zależności od występujących w sprawie ustaleń – organ albo wydaje nakaz lub zakaz, ewentualnie odmawia uwzględnienia wniosku, albo umarza postępowanie.

W niniejszej sprawie Generalny Inspektor Ochrony Danych Osobowych miał podstawy do wydania decyzji merytorycznej, nakazującej G. z siedzibą w M. usunięcie uchybienia w procesie przetwarzania danych osobowych, poprzez wyznaczenie administratora bezpieczeństwa informacji.

Zgodnie z brzmieniem art. 36 ust. 3 ustawy o ochronie danych osobowych, administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności. Z uwagi na fakt, iż przepis ten odwołuje się do art. 36 ust. 1 tej ustawy, konieczne jest także przywołanie jego treści. W myśl tego przepisu, administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Dokonując analizy powyższych norm, należy dojść do wniosku, że art. 36 ust. 3 ustawy o ochronie danych osobowych nakłada na administratora danych obowiązek wyznaczenia ("wyznacza") administratora bezpieczeństwa informacji w każdym przypadku, jeśli zadań administratora bezpieczeństwa informacji administrator danych nie wykonuje sam lub nie może wykonywać ich samodzielnie. Rację ma skarżąca, twierdząc, że powyższy przepis przewiduje dwie odrębne sytuacje sprawowania nadzoru nad przestrzeganiem zasad ochrony danych osobowych. Pierwszą jest wyznaczenie administratora bezpieczeństwa informacji, drugą zaś – samodzielne wykonywanie przez administratora danych czynności nadzorczych. Istotnie, odrębność tych dwóch sytuacji potwierdza zwrot "chyba że". Jednakże wprowadzenie takiej właśnie konstrukcji w brzmieniu tego przepisu ma swoje uzasadnienie prawne. Skoro bowiem ustawa o ochronie danych osobowych wskazuje w art. 7 pkt 4, że administratorem danych jest organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych, to nie powinno budzić wątpliwości, że w każdej sytuacji, w której struktura organizacyjna administratora danych jest wieloosobowa, powinien on w ramach tej struktury wyznaczyć osobę fizyczną odpowiedzialną za wykonywanie czynności nadzorczych, powierzając jej obowiązki administratora bezpieczeństwa informacji, i to niezależnie od tego, czy administrator danych jest organem, jednostką organizacyjną, podmiotem czy osobą prawną. Wychodząc z reguł wykładni celowościowej, warto zwrócić uwagę, że ustawodawca, tworząc podstawy bezpieczeństwa w procesie przetwarzania danych osobowych (art. 36 – art. 39 ww. ustawy), swą uwagę koncentruje na odpowiedzialności i możliwości jej egzekwowania, zwłaszcza w wymiarze prawnokarnym (Rozdział 8 ustawy), co w przypadku podmiotów o wieloosobowej strukturze organizacyjnej jest szczególnie ważne. W przepisach prawnokarnych ustawy o ochronie danych osobowych (art. 51, art. 52, art. 53, art. 54) chodzi bowiem o przestępstwa indywidualne, popełniane w związku z naruszeniem przepisów tej ustawy, a więc rzecz dotyczy odpowiedzialności konkretnych osób fizycznych, zważywszy że ustawa rozróżnia pojęcia "administratora danych" i "administrującego zbiorem danych". To z tego względu prawodawca zdecydował o takim właśnie brzmieniu art. 36 ust. 3 ustawy, wprowadzając obowiązek, by osobą odpowiedzialną za nadzór i bezpieczeństwo przetwarzania danych osobowych w podmiotach o wieloosobowej strukturze organizacyjnej była konkretnie wskazana osoba fizyczna. Jedynie bowiem w przypadku administratorów danych, będących osobami fizycznymi, którzy samodzielnie (osobiście) administrują proces przetwarzania danych, ustawa nie nakłada obowiązku wyznaczenia administratora bezpieczeństwa informacji, gdyż tylko w takiej sytuacji administrator danych jednocześnie dzierży uprawnienia i obowiązki administratora bezpieczeństwa informacji, co pozwala na ustalenie jego odpowiedzialności i w konsekwencji na zastosowanie sankcji karnych, gdyby – prowadząc swą działalność – naruszył przepisy o ochronie danych osobowych.

Generalny Inspektor Ochrony Danych Osobowych słusznie wskazuje na przepis art. 18 ust. 2 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. WE L. 281 z dnia 23 listopada 1995 r., s. 31 ze zm.), który stanowi o powołaniu urzędnika do spraw ochrony danych osobowych, odpowiedzialnego w szczególności za zapewnienie w niezależny sposób wewnętrznego stosowania przepisów prawa krajowego, przyjętych na mocy dyrektywy. Sąd podziela stanowisko organu, że na gruncie ustawy o ochronie danych osobowych administrator bezpieczeństwa informacji jest odpowiednikiem wymienionego w powyższym przepisie dyrektywy urzędnika do spraw ochrony danych osobowych i nie ma racji skarżąca, wywodząc, że powołanie takiego urzędnika wiąże się jedynie z obowiązkiem rejestracji zbiorów danych osobowych. Przede wszystkim przepis ten, poprzez zwrot "w szczególności", wskazuje tylko w sposób przykładowy na jego kompetencje w zakresie prowadzenia rejestru operacji przetwarzania danych, wykonywanych przez administratora danych i zawierających informacje określone w art. 21 ust. 2 dyrektywy, natomiast jego całe brzmienie nie pozostawia wątpliwości, że urzędnik ten ma być powołany przez administratora danych, zgodnie z dotyczącymi go przepisami krajowymi, i ma odpowiadać za ochronę danych osobowych, co w rzeczy samej koresponduje z treścią art. 36 ust. 3 w związku z art. 36 ust. 1 ustawy o ochronie danych osobowych.

Skoro więc przepisy prawa wspólnotowego łączą obowiązek zapewnienia bezpieczeństwa informacji i nadzoru nad przestrzeganiem zasad ochrony danych z konkretną osobą fizyczną (urzędnikiem), to prawidłową jest dokonana przez organ ochrony danych osobowych wykładnia przepisów krajowych w zakresie konieczności powołania przez G. z siedzibą w M. administratora bezpieczeństwa informacji poprzez wskazanie konkretnej osoby fizycznej, która będzie odpowiadała za proces przetwarzania danych. Oceny tej nie podważa podnoszony przez skarżącą zarzut naruszenia art. 2 ust. 3 ustawy o ochronie danych osobowych, mający w istocie prowadzić do stwierdzenia istnienia podstawy nieważności decyzji, o której mowa w art. 156 § 1 pkt 2 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (t. j.: Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.) w związku z art. 2 ust. 3 oraz art. 18 ust. 1 ustawy o ochronie danych osobowych. Przepis art. 2 ust. 3 ustawy o ochronie danych osobowych stanowi, że w odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5. W ocenie skarżącej, w rozpoznawanej sprawie rzecz dotyczy jedynie zbiorów doraźnych, a to oznacza, że jakkolwiek art. 36 ust. 3 ustawy o ochronie danych osobowych został umieszczony w jej Rozdziale 5, to jednak nie mógł on stanowić podstawy do wydania decyzji nakazowej, gdyż w ten sposób wyłączony został ze stosowania art. 18 ust. 1 tej ustawy, umieszczony w Rozdziale 2, będący podstawą merytorycznej decyzji GIODO. Sąd argumentacji tej jednak nie podziela. Wprawdzie organ ochrony danych osobowych przyjął, że w sprawie chodzi o zbiór doraźny, co – w jego ocenie – nie uniemożliwia władczej ingerencji, gdyż kwestia nieprawidłowego zabezpieczenia danych osobowych implikuje konieczność wydania decyzji nakazowej w trybie art. 18 ust. 1 ww. ustawy, z czym należy się zgodzić, jednak – zdaniem Sądu – pogląd o doraźnym charakterze tworzonego przez skarżącą zbioru danych osobowych należy uznać za błędny, co – mimo wszystko – pozostaje bez wpływu na trafność rozstrzygnięcia GIODO, o czym była mowa powyżej.

Analizując treść art. 2 ust. 3 ustawy o ochronie danych osobowych, nie można nie dostrzec, że "doraźność" tworzenia zbiorów danych osobowych na gruncie tego przepisu ma miejsce wówczas, gdy te sporządzane są wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych. Tymczasem w niniejszej sprawie chodzi o [...] w ramach usługi [...] i trudno uznać, by przetwarzanie danych przy użyciu urządzeń i systemów informatycznych w tym przypadku służyło tylko celom technicznym (np. służącym sprawdzeniu sprawności urządzeń), szkoleniowym (np. służącym zorganizowaniu konferencji) czy dydaktycznym (np. służącym przeprowadzeniu wykładu), zważywszy że skarżąca prowadzi zarobkową działalność gospodarczą, a świadczenie przez nią choćby tego rodzaju usług wyklucza jedynie techniczny, szkoleniowy i dydaktyczny cel tworzenia zbioru danych. Co więcej, sposób przepływu danych pomiędzy poszczególnymi systemami i cel, którym jest [...] dla realizacji usługi [...], nie pozwalają przyjąć, że w tym przypadku zbiór danych ma charakter doraźny. O doraźnym charakterze zbioru można mówić wówczas, gdy dane osobowe zbierane są na krótko tu i teraz w celu technicznego, szkoleniowego i dydaktycznego ich wykorzystania. Natomiast jeżeli administrator danych, przetwarzając dane osobowe, realizuje określony cel usługowy, nie można uznać, by tworzony w ten sposób zbiór danych był zbiorem doraźnym.

W takim stanie rzeczy, decyzje podjęte w sprawie należy uznać za prawidłowe, zaś zarzuty podniesione w skardze za nieuzasadnione, mające jedynie charakter polemiczny. Sąd nie stwierdził takich naruszeń prawa materialnego i procesowego, które miałyby wpływ na wynik sprawy i skutkowałyby koniecznością uwzględnienia skargi.

Z uwagi na powyższe, Wojewódzki Sąd Administracyjny w Warszawie, działając na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (t. j.: Dz. U. z 2012 r., poz. 270), orzekł, jak w sentencji wyroku.