Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Barbara Adamiak sędzia NSA Ewa Dzbeńska sędzia del. NSA Jolanta Sikorska (spr.) Protokolant starszy sekretarz sądowy Karolina Kubik po rozpoznaniu w dniu 13 lutego 2014 roku na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Generalnego Inspektora Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 6 czerwca 2012 r. sygn. akt II SA/Wa 453/12 w sprawie ze skargi D. R. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] stycznia 2012 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę kasacyjną.

Wyrokiem z dnia 6 czerwca 2012 r. sygn. akt II SA/Wa 453/12, Wojewódzki Sąd Administracyjny w Warszawie, po rozpoznaniu skargi D. R., dalej także skarżący, na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] stycznia 2012 r. nr [...] w przedmiocie przetwarzania danych osobowych, uchylił zaskarżoną decyzję oraz poprzedzającą ją decyzję z dnia [...] sierpnia 2011 r. (pkt 1 wyroku), stwierdził, że zaskarżona decyzja nie podlega wykonaniu w całości (pkt 2 wyroku) oraz zasądził od organu na rzecz skarżącego 200 zł tytułem zwrotu kosztów postępowania (pkt 3 wyroku).

Wyrok powyższy zapadł w następującym stanie faktycznym i prawnym sprawy.

Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] sierpnia 2011 r., wydaną na podstawie art. 104 § 1 k.p.a. oraz art. 12 pkt 2, art. 22 w związku z art. 6 ust. 1 i art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (j.t. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), dalej również ustawa oraz ustawa o ochronie danych osobowych, po przeprowadzeniu postępowania w sprawie ze skargi D. R. na przetwarzanie jego danych osobowych przez A. z siedzibą w P., odmówił uwzględnienia wniosku.

We wniosku o ponowne rozpatrzenie sprawy skarżący wniósł o dołączenie do akt sprawy wyroku z dnia 31 maja 2011 r. oraz opinii biegłego z zakresu informatyki, znajdujących się w aktach sprawy Sądu Rejonowego w P., sygn. [...]. Decyzji wydanej w postępowaniu pierwszoinstancyjnym zarzucił, że nie odpowiada prawu, jest niespójna i wewnętrznie sprzeczna. Podniósł też, że działania pracodawcy polegające na przetwarzaniu jego danych osobowych, naruszają jego prawa i wolności. Wskazał, że prywatność jest konstytucyjnie chronioną wartością, której naruszenie może dotyczyć tylko i wyłącznie wypadków nadzwyczajnych i nie można usprawiedliwiać takiego działania bezpieczeństwem systemu, gdyż dla jego zapewnienia są inne narzędzia.

Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] stycznia 2012 r., po ponownym rozpatrzeniu sprawy, utrzymał w mocy decyzję własną z dnia [...] sierpnia 2011 r. W uzasadnieniu podtrzymał stanowisko i argumentację zawartą w decyzji wydanej w postępowaniu pierwszoinstancyjnym.

W uzasadnieniu ponowie wskazał, że informacje, których dotyczy skarga wniesiona przez D. R. (adres IP komputera, czas zainicjowania połączeń, adres stron internetowych lub plików, z którymi nastąpiło połączenie oraz oznaczenia określające metodę przesyłania danych wykorzystaną przy poszczególnych połączeniach), są jego danymi osobowymi w rozumieniu ustawy o ochronie danych osobowych. Zgodnie bowiem z art. 6 ust. 1 i 2 tej ustawy, za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Generalny Inspektor podał, że administrator danych, którym w niniejszym postępowaniu jest A., może przetwarzać dane osobowe, o ile spełniona zostanie jedna z przesłanek legalności określona w art. 23 ust. 1 pkt 1-5 ustawy i/lub art. 27 ust. 2 pkt 1-10 ustawy, o ile przetwarza dane szczególnie chronione, o których mowa w art. 27 ust. 1 ustawy. Przesłanki wymienione w w/w przepisach są rozłączne i równoprawne co oznacza, że każda z nich może stanowić samoistną podstawę do legalnego przetwarzania danych osobowych, a zatem zgoda osoby, której dane dotyczą, nie jest jedyną przesłanką przetwarzania danych przez administratora.

Organ uznał, że zbieranie informacji o połączeniach z komputera użytkowanego przez skarżącego z siecią publiczną było dopuszczalne, a przesłanką je legalizującą jest art. 23 ust. 1 pkt 5 ustawy stanowiący, że przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Podał, że oprogramowanie zbierające informacje o połączeniach pomiędzy siecią wewnętrzną A. a siecią publiczną, niewątpliwie jest zabezpieczeniem logicznym, o którym mowa w pkt. XII załącznika do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024 ze zm.). Zatem względy bezpieczeństwa systemu informatycznego są uzasadniającym zbieranie i dalsze przetwarzanie tych informacji prawnie usprawiedliwionym celem, o którym mowa w art. 23 ust. 1 pkt 5 ustawy. System informatyczny jest bowiem częścią mienia A. i nie można jej odmówić prawa do stosowania rozwiązań służących zapewnieniu jego bezpieczeństwa, w tym monitoringu wdrożonych zabezpieczeń systemu.

Odnosząc się do zarzutów odwołania stwierdził m.in., że mając na względzie treść art. 12 ustawy o ochronie danych osobowych określającego zadania organu, Generalny Inspektor nie może wkraczać w zakres kompetencji zastrzeżonych zgodnie z prawem dla innych podmiotów (np. sądów, prokuratur), co potwierdza wyrok Naczelnego Sądu Administracyjnego z dnia 21 listopada 2000 r., sygn. akt II SA 308/00.

Podtrzymał również argumentację, że działania A. nie naruszają praw i wolności skarżącego, ponieważ wyważenie jego interesów i interesów A., przy uwzględnieniu celu ustawy, jakim jest ochrona prywatności w rozumieniu art. 47 Konstytucji RP, nie wskazuje, aby w przypadku, gdy dane osobowe są zbierane ze względu na konieczność właściwego zarządzenia systemem informatycznym A., przeważał interes osoby, której dane dotyczą. Organ podniósł też, że skarżący ma prawo do ochrony swej prywatności, jednak zakres zebranych przez Spółkę informacji i cel ich zbierania, nie daje podstaw do przyjęcia, że ingerencja A. w jego prywatność przekroczyła dopuszczalne granice. A. jest bowiem zobligowana zapewnić bezpieczeństwo swojego mienia, w tym także narzędzi przetwarzania danych osobowych, na podstawie art. 36 ust. 1 ustawy. Prawidłowe zarządzanie zasobami informacyjnymi, zwłaszcza w zakresie bezpieczeństwa informacji, wymaga zaś właściwej identyfikacji tych zasobów oraz określenia miejsca i sposobu ich przechowywania.

Na powyższą decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] stycznia 2012 r. skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie złożył D. R., wnosząc o jej uchylenie i zasądzenie na swoją rzecz kosztów postępowania.

Zaskarżonej decyzji zarzucił:

1) naruszenie art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych w związku z art. 7 pkt f oraz pkt 33 Preambuły Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych w zw. z art. 91 ust. 2 Konstytucji RP, poprzez błędną wykładnię i przyjęcie, że przetwarzanie danych jest dopuszczalne, gdy jest niezbędne dla prawnie usprawiedliwionych celów, pomimo naruszenia praw i wolności osoby, której dotyczą, podczas gdy poprawna wykładnia, przy uwzględnieniu prawa wspólnotowego i celu dyrektywy powinna być taka, że zabronione jest przetwarzanie danych w sytuacji braku przesłanki prawnie usprawiedliwionych celów oraz naruszenia praw i wolności osoby, której dane dotyczą;

2) naruszenie art. 23 ust. 4 w związku z art. 23 ust. 4 pkt 5 ustawy o ochronie danych osobowych, w związku z art. 7 pkt f oraz pkt 33 powołanej wyżej Preambuły Dyrektywy 95/46/WE, w związku z art. 91 ust. 2 Konstytucji RP przez:

- niezastosowanie definicji legalnej pojęcia prawnie usprawiedliwionego celu, podczas gdy zastosowanie art. 23 ust. 4 ustawy prowadzi do wniosku, że przetwarzanie danych osobowych skarżącego przez A., nie miało prawnie usprawiedliwionego celu,

- zastosowanie pkt. XII załącznika do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. dla prawnie usprawiedliwionych celów w sytuacji, gdy rozporządzenie to nie ma zastosowania ze względu na podstawę prawną, na jakiej zostało wydane, zaś prawnie usprawiedliwiony cel może wynikać jedynie z przepisów rangi ustawowej,

- niezastosowanie art. 22¹ § 4 i 5 Kodeksu pracy w sytuacji, gdy przetwarzanie danych może być dokonywane jedynie co do konkretnych danych osobowych wskazanych w Kodeksie.

3) naruszenie art. 7, art. 77 § 1 i art. 80 k.p.a. przez dokonanie oceny zebranego materiału w sposób wybiórczy, tendencyjny, z pominięciem jego całokształtu, co doprowadziło do naruszenia zasady prawdy obiektywnej,

4) naruszenie art. 6 i art. 7 w związku z art. 76 § 1 k.p.a., w związku z art. 365 k.p.c. przez uznanie, że ustalenia jakie zostały poczynione w prawomocnym wyroku Sądu Rejonowego w Płocku z dnia 31 maja 2011 r. wraz z uzasadnieniem, przedłożonym jako dowód w sprawie, nie wiążą Generalnego Inspektora Danych Osobowych,

5) naruszenie art. 107 § 3 k.p.a., przez brak w uzasadnieniu decyzji faktów, które organ uznał za udowodnione, w szczególności wskazania przyczyn, dla których przyjął, że wdrażany był system zabezpieczeń w Spółce,

6) naruszenie art. 12 k.p.a., przez złamanie zasady szybkości postępowania i nieinformowania strony o przedłużeniu terminu załatwienia sprawy.

W obszernym uzasadnieniu skarżący rozwinął zarzuty skargi, powołując się przy tym na orzecznictwo Europejskiego Trybunału Sprawiedliwości, w świetle którego przepisy prawa krajowego powinny być interpretowane w taki sposób, aby zapewnić realizację celu, na jaki kładzie nacisk powołana dyrektywa. Celem tym jest ochrona prywatności, która winna być rozpatrywana z uwzględnieniem art. 8 Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności.

W odpowiedzi na skargę organ wniósł o jej oddalenie podtrzymując stanowisko i argumentację zawartą w zaskarżonej decyzji.

Uwzględniając skargę Sąd pierwszej instancji wskazał, że ustalony w rozpoznawanej sprawie stan faktyczny nie budzi wątpliwości. A. z siedzibą w P., jako pracodawca skarżącego zbierał i przetwarzał informacje dotyczące adresu IP użytkowanego przez niego komputera, czasu zainicjowania połączeń, adresów stron internetowych lub plików, z którymi nastąpiło połączenie oraz oznaczeń określających metodę przesyłania danych wykorzystaną przy poszczególnych połączeniach, dokonywanych w okresie od dnia 8 lutego do dnia 11 czerwca 2010 r.

Sąd ten podzielił stanowisko organu, że powyższe informacje są danymi osobowymi skarżącego w rozumieniu ustawy o ochronie danych osobowych, a ich przetwarzanie podlega jej przepisom.

Wskazał, że zgodnie z art. 6 powołanej ustawy, za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (ust. 1). Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (ust. 2).

Powyższe oznacza, że dane osobowe w rozumieniu ustawy to nie tylko informacje o osobie, której tożsamość jest określona, lecz również informacje dotyczące osoby o nieznanej tożsamości, którą na podstawie tych danych można określić.

Sąd pierwszej instancji wskazał, że taka sytuacja miała miejsce w niniejszej sprawie, gdyż zebrane przez Spółkę jako administratora danych informacje o połączeniach z zewnętrzną siecią komputerową, umożliwiły zidentyfikowanie skarżącego jako osoby, która te połączenia inicjowała.

W ocenie tego Sądu, nie sposób zgodzić się z Generalnym Inspektorem Ochrony Danych Osobowych, że przesłanką legalizującą przetwarzanie przedmiotowych danych jest art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Zgodnie z jego treścią, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Przykładowe określenie prawnie usprawiedliwionego celu zawiera art. 23 ust. 4 ustawy, a celem tym jest marketing bezpośredni własnych produktów lub usług administratora danych i dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

Do zaakceptowania jest, w ocenie Sądu pierwszej instancji, argumentacja organu w zakresie, w jakim dotyczy ona obowiązków administratora danych wynikających z przepisu art. 36 ust. 1 ustawy o ochronie danych osobowych oraz z rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024 ze zm.).

Zgodnie bowiem z powołanym przepisem ustawowym, administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Z kolei powołane rozporządzenie nakłada na administratorów danych obowiązek wdrożenia rozwiązań służących zapewnieniu bezpieczeństwa systemów informatycznych.

Natomiast § 1 pkt 2 rozporządzenia określa podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. W przypadku, gdy przynajmniej jedno urządzenie systemu informatycznego służące do przetwarzania danych osobowych połączone jest z siecią publiczną, rozwiązania stosowane przez administratora danych muszą co najmniej spełnić wymagania określone w pkt. XII załącznika do rozporządzenia. Zgodnie z nim, system informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem (ust. 1). W przypadku zastosowania logicznych zabezpieczeń, o których mowa w ust. 1, obejmują one: a) kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną, b) kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych (ust. 2). Ponadto pkt VII załącznika zobowiązuje administratora danych do monitorowania wdrożonych zabezpieczeń systemu informatycznego.

Zdaniem Sądu pierwszej instancji, o ile można by było zgodzić się z twierdzeniem organu, że działania podejmowane przez A. jako administratora danych, znajdują oparcie w powołanych wyżej przepisach, co oznacza, że jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora, o tyle nieuprawniony jest pogląd Generalnego Inspektora, że przetwarzanie danych osobowych skarżącego nie naruszało jego praw i wolności.

Sąd ten zauważył, że oprogramowanie zbierające informacje o połączeniach pomiędzy siecią wewnętrzną A. a siecią publiczną, zastosowane w ramach monitoringu (kontroli), o którym mowa w pkt. XII załącznika do cytowanego rozporządzenia, w istocie stanowi też monitoring pracownika w miejscu pracy, skoro pozwala na sprawdzenie wykazów odwiedzanych stron internetowych, czasu zainicjowanych połączeń, adresów stron lub plików, z którymi nastąpiło połączenie.

Sąd pierwszej instancji podał, że w piśmiennictwie podkreśla się, że taki monitoring musi spełniać wymogi zgodności z prawem, usprawiedliwionego celu, proporcjonalności, transparentności oraz uwzględnienia przepisów o ochronie danych osobowych. Wymóg transparentności oznacza zaś, że pracownicy powinni mieć świadomość, że są poddawani monitoringowi. Pracodawca winien zatem szczegółowo określić zasady monitoringu i zapoznać z nimi pracowników, którzy fakt zapoznania się powinni potwierdzić stosownym podpisanym oświadczeniem o ich akceptacji.

Wskazał również, że kwestie monitoringu w miejscu pracy były wielokrotnie przedmiotem orzecznictwa Europejskiego Trybunału Praw Człowieka. W wyroku z dnia 3 kwietnia 2007 r. w sprawie Copland przeciwko Zjednoczonemu Królestwu (sygn. 62617/00, lex nr 527588), dotyczącym monitorowania przez przełożonego w miejscu pracy telefonu, poczty elektronicznej i połączeń internetowych Lynette Copland, przy czym monitorowanie użytkowania Internetu przybrało postać analizy odwiedzanych stron, daty i czasu odwiedzin oraz długości ich trwania, Trybunał uznał, że rozmowy telefoniczne z pracy, e-maile i użytkowanie internetu są objęte terminami "życie prywatne" i "tajemnica korespondencji". Podniósł też, że powódka nie została nigdy ostrzeżona, że jej rozmowy, e-maile oraz korzystanie z internetu mogą być monitorowane, a więc miała uzasadnione oczekiwanie zachowania ich prywatności. Trybunał stwierdził, że w sprawie doszło do ingerencji w prawa zagwarantowane przez art. 8 Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności, zgodnie z którym każdy ma prawo do poszanowania życia prywatnego i rodzinnego, swojego mieszkania i swojej korespondencji (ust. 1). Niedopuszczalna jest ingerencja władzy publicznej w korzystanie z tego prawa z wyjątkiem przypadków przewidzianych przez ustawę i koniecznych w demokratycznym społeczeństwie z uwagi na bezpieczeństwo państwowe, bezpieczeństwo publiczne lub dobrobyt gospodarczy kraju, ochronę porządku i zapobieganie przestępstwom, ochronę zdrowia i moralności lub ochronę praw i wolności innych osób. Trybunał zwrócił ponadto uwagę, że pracownik musi mieć świadomość możliwości monitorowania jego czynności, a to wymaga stworzenia odpowiedniej procedury oraz zaznajomienia pracownika z trybem postępowania.

Powyższe rozważania prowadzą zdaniem Sądu pierwszej instancji do wniosku, że nawet przy przyjęciu, że monitoring systemu informatycznego jest niezbędny dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez Spółkę jako administratora danych, art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych nie mógł być przesłanką legalnego przetwarzania danych osobowych skarżącego, gdyż przetwarzanie to naruszało prawo do prywatności w sytuacji, kiedy skarżący nie miał świadomości monitoringu użytkowania komputera.

Ponadto Sąd ten uznał, że zasadnie skarżący powołał się w niniejszej sprawie na przepisy Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. U. L. 281, 23/11/1995 P. 0031-0050), która już w pkt 33 Preambuły stanowi, że dane mogące ze względu na ich charakter powodować naruszenie podstawowych wolności lub prywatności, nie powinny być przetwarzane, o ile osoba, której dotyczą, nie udzieli wyraźnej zgody, należy jednak przewidzieć odstępstwa od tego zakazu dla szczególnych potrzeb, zwłaszcza w przypadkach, gdy przetwarzanie danych odbywa się w określonych celach zdrowotnych przez osoby podlegające prawnemu obowiązkowi zachowania tajemnicy zawodowej, lub też w trakcie legalnych działań niektórych stowarzyszeń lub fundacji, których celem jest umożliwienie realizacji podstawowych wolności.

Natomiast art. 7f dyrektywy stanowi, że przetwarzanie danych jest konieczne dla potrzeb wynikających z uzasadnionych interesów administratora danych lub osoby trzeciej, lub osobom, których dane są zbywalne, z wyjątkiem sytuacji, kiedy interesy takie podporządkowane są interesom związanym z podstawowymi prawami i wolnościami osoby, której dane dotyczą, które gwarantują ochronę na podstawie art. 1 ust. 1.

Sąd pierwszej instancji zważył, że obowiązek interpretacji przepisów krajowych w zgodzie z postanowieniami przedmiotowej dyrektywy wynika z art. 91 Konstytucji RP.

W tym kontekście za zasadny Sąd ten uznał zarzut naruszenia przez organ przepisów procesowych, a to art. 6 (zasada praworządności) oraz art. 7 (zasada prawdy obiektywnej) k.p.a.

Sąd pierwszej instancji uznał natomiast za nietrafne pozostałe zarzuty skargi, w tym w szczególności zarzut naruszenia art. 23 ust. 4 ustawy o ochronie danych osobowych podnosząc, że prawidłowo organ wskazał, że określenie w w/w przepisie prawa prawnie usprawiedliwionego celu ma charakter przykładowy, o czym świadczy użycie sformułowania "w szczególności".

Zarzut niezastosowania art. 22¹ § 4 i 5 Kodeksu pracy Sąd ten uznał za chybiony z uwagi na to, że przepis ten odnosi się do żądania, jakie pracodawca kieruje pod adresem pracownika lub osoby ubiegającej się o zatrudnienie, a nie do informacji o połączeniach z siecią publiczną dokonywanych z komputera użytkowanego przez skarżącego. Inne informacje dotyczące pracownika mogą być bowiem gromadzone przez pracodawcę, o ile zezwalają na to inne przepisy prawa, w tym w szczególności ustawa o ochronie danych osobowych.

W tej sytuacji Sąd pierwszej instancji, na podstawie art. 145 § 1 pkt 1 lit. a i lit. c ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), dalej p.p.s.a., orzekł jak w sentencji wyroku. O wstrzymaniu wykonania zaskarżonej decyzji orzekł na podstawie art. 152 p.p.s.a., zaś o kosztach postępowania na podstawie art. 200 p.p.s.a.

Skargę kasacyjną od powyższego wyroku złożył pełnomocnik Generalnego Inspektora Ochrony Danych Osobowych, wnosząc o uchylenie zaskarżonego wyroku w całości i przekazanie sprawy do ponownego rozpoznania Sądowi pierwszej instancji.

Zaskarżonemu wyrokowi zarzucił naruszenie:

- art. 134 i art. 3 § 1 p.p.s.a. w związku z art. 1 ustawy z dnia 25 lipca 2002 r. Prawo o ustroju sądów administracyjnych (Dz. U. 2002 r. Nr 153, poz. 1269 ze zm.), dalej p.u.s.a., przez sprawowanie niewłaściwej kontroli nad postępowaniem administracyjnym na skutek błędnego przyjęcia, że przetwarzanie danych osobowych skarżącego przez A. nie wypełnia przesłanki prawnie usprawiedliwionego celu, o którym stanowi art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, co miało istotny wpływ na wynik sprawy,

- art. 134 i art. 3 § 1 p.p.s.a w związku z art. 1 p.u.s.a., przez sprawowanie niewłaściwej kontroli nad postępowaniem administracyjnym na skutek błędnego przyjęcia, że Generalny Inspektor Ochrony Danych Osobowych wydał decyzję z dnia [...] stycznia 2012 r. z naruszeniem art. 6 oraz art. 7 k.p.a., co miało istotny wpływ na wynik sprawy,

- art. 134 i art. 3 § 1 p.p.s.a, w związku z art. 1 p.u.s.a., przez niezawarcie w wyroku wskazówek dla organu co do dalszego postępowania,

- art. 153 p.p.s.a przez niezawarcie w wyroku wskazówek dla organu w zakresie dalszego postępowania w sprawie.

W uzasadnieniu skargi kasacyjnej podał, że organ nie podziela oceny dokonanej przez Sąd pierwszej instancji, że przesłanką legalizującą przetwarzanie danych osobowych skarżącego w przedmiotowej sprawie nie był art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Zdaniem pełnomocnika organu ww. przepis oznacza, że administrator danych - w przedmiotowej sprawie jest nim A. - musi legitymować się prawnie usprawiedliwionym celem dla przetwarzania danych osobowych. Ponadto, cel ten nie może skutkować naruszeniem praw i wolności osoby, której dane zostały zebrane dla tego celu. Racjonalny ustawodawca wskazał w art. 23 ust. 4 ustawy o ochronie danych osobowych jedynie przykładowe cele, które są zarówno prawnie usprawiedliwione, jak też nie naruszają praw i wolności osoby, której dane dotyczą. Katalog ten nie został zamknięty, a zatem ustawodawca dopuszcza także inne okoliczności, w ramach których administrator danych nie naruszy praw i wolności osoby, bowiem będzie przetwarzać dane w prawnie usprawiedliwionym celu. W ocenie organu, A. przetwarzała dane osobowe skarżącego w prawnie usprawiedliwionym celu, zaś zakres zebranych przez Spółkę informacji nie daje podstaw do przyjęcia, że jej ingerencja w prywatność skarżącego przekroczyła dopuszczalne granice, które skutkowałyby naruszeniem jego praw i wolności.

Wskazał także, że każdy pracodawca stosuje wszelkie niezbędne środki dla ochrony swojego mienia przed zagrożeniami, w tym przed jego uszkodzeniem czy też utratą. W przedmiotowej sprawie kroki zabezpieczające podjęła także A., która wprowadziła funkcjonalność w obrębie wewnętrznego systemu informatycznego polegającą na łączeniu się z siecią Internet poprzez serwer pełniący rolę "bramki internetowej". Wyjaśnił, że A. nie stosuje powyższej funkcjonalności w celach kontroli prawidłowości realizacji obowiązków pracowniczych, niemniej jednak, w przedmiotowej sprawie A. miała na względzie zarówno bezpieczeństwo swojego systemu, jak i danych w nim przetwarzanych. Podniósł, że o zakresie i sposobie wdrożonych środków bezpieczeństwa decyduje A., która ponosi odpowiedzialność za prawidłowe zabezpieczenie nie tylko sieci wewnętrznej, ale także informacji, w tym danych osobowych przetwarzanych w obrębie tej sieci.

A. legitymowała się zatem usprawiedliwionym celem dla przetwarzania danych osobowych skarżącego w związku z czym nie można mówić o naruszeniu jego praw i wolności.

Pełnomocnik organu przyznał, że A. nie poinformowała skarżącego o istnieniu funkcjonalności systemu, która polega na gromadzeniu informacji pomiędzy siecią wewnętrzną a siecią Internet. W następstwie tego ustalenia organ zasygnalizował Spółce w dniu [...] sierpnia 2011 r. konieczność uzupełnienia dokumentacji wewnętrznej A. w taki sposób, aby pracownicy byli poinformowani o istnieniu systemu monitorowania połączeń. Podniósł, że Generalny Inspektor nie stwierdził jednak - poza tym brakiem - nieprawidłowości w procesie przetwarzania danych osobowych skarżącego. W ocenie pełnomocnika organu, brak realizacji obowiązku informacyjnego przez Spółkę nie oznacza jednak braku podstawy prawnej dla przetwarzania danych osobowych. Oznacza to, że A. miała prawo dla przetwarzania danych osobowych skarżącego nawet w sytuacji, gdy obowiązek informacyjny został wobec niego spełniony w okresie późniejszym. Zdaniem skarżącego kasacyjnie, nie można a priori utożsamiać wadliwości w realizacji obowiązku informacyjnego przez Spółkę wobec skarżącego z wadliwością legalności przetwarzania przez Spółkę jego danych osobowych. Są to odrębne elementy (cechy) procesu przetwarzania danych osobowych, które zobligowany jest wypełnić administrator danych, a nad przestrzeganiem przepisów ustawy o ochronie danych osobowych czuwa Generalny Inspektor Ochrony Danych Osobowych.

Zdaniem autora skargi kasacyjnej, nie można zgodzić się ze stanowiskiem Sądu pierwszej instancji, że skarżący nie miał świadomości monitoringu użytkowania komputera, bowiem korzystał on z cudzego mienia należącego do A., a korzystanie z cudzego mienia winno odbywać się zgodnie z jego przeznaczeniem i należytą starannością. Brak wyraźnej informacji od pracodawcy o monitorowaniu korzystania z mienia nie może stanowić usprawiedliwienia dla nieprawidłowego korzystania z tego mienia przez pracownika, tudzież skutkować absolutnym brakiem świadomości, że taki monitoring istnieje w Spółce. Wskazał, że nie jest pozbawiony racji pogląd, że świadomość monitoringu systemu wewnętrznego przed przystąpieniem do korzystania z niego skutkowałaby większą rzetelnością i poprawnością w jego użyciu. Dodał, że pracownik jest natomiast zobligowany do wykonywania pracy określonego rodzaju na rzecz pracodawcy zgodnie z przepisami Kodeksu pracy, w tym m.in. ma obowiązek dbać o dobro zakładu pracy i chronić jego mienie.

Autor skargi kasacyjnej wskazał, że Generalny Inspektor w konsekwencji nie podziela oceny dokonanej przez Sąd pierwszej instancji, że w przedmiotowej sprawie naruszone zostały przepisy art. 6 i art. 7 k.p.a. W ocenie organu przepisy ustawy o ochronie danych osobowych prawidłowo implementują przepisy Dyrektywy 95/46/WE do porządku prawnego Rzeczypospolitej Polskiej. Na mocy przepisów powszechnie obowiązującego prawa, w tym ustawy o ochronie danych osobowych, Generalny Inspektor ustalił stan faktyczny, a następnie wydał decyzję administracyjną, w której rzetelnie ocenił zgromadzony materiał dowodowy i uzasadnił, które dowody oraz okoliczności uznał za istotne dla rozstrzygnięcia, a jednocześnie wskazał podstawę prawną tego rozstrzygnięcia.

Pełnomocnik organu podniósł, że Sąd pierwszej instancji naruszył art. 153 p.p.s.a., zgodnie z którym ocena prawna i wskazania co do dalszego postępowania wyrażone w orzeczeniu sądu wiążą w sprawie ten sąd oraz organ, którego działanie, bezczynność lub przewlekłe prowadzenie postępowania było przedmiotem zaskarżenia. Zarzucił, że Sąd pierwszej instancji dokonał wprawdzie w zaskarżonym wyroku oceny prawnej, wskutek której uchylił zaskarżoną decyzję oraz poprzedzającą ją decyzję i stwierdził, że zaskarżona decyzja nie podlega wykonaniu w całości, niemniej jednak nie zostały zawarte żadne wskazówki dla organu w zakresie dalszego postępowania. W ocenie pełnomocnika organu, Generalny Inspektor jest wprawdzie związany oceną prawną wskazaną przez Wojewódzki Sąd Administracyjny w Warszawie w zaskarżonym wyroku, ale pozostawiono mu uznaniowość w zakresie dalszego postępowania w sprawie, bowiem wyrok ten nie zawiera żadnych wskazań w tej kwestii.

W odpowiedzi na skargę kasacyjną skarżący wniósł o jej oddalenie. Stwierdził, że skarga kasacyjna jest niezasadna, zaś zarzuty postawione zaskarżonemu wyrokowi są całkowicie chybione.

Uznaje, że poprawnie zaimplementowano przepisy Dyrektywy 95/46/WE, lecz kwestionuje sposób wykładni tych przepisów dokonanych przez organ w zaskarżonej decyzji. Dokonana wykładnia nie jest zgodna z założeniami ww. dyrektywy i w sposób oczywisty sprzeczna z jej Preambułą, na co wskazał Sąd pierwszej instancji w zaskarżonym wyroku.

Podzielił stanowisko tego Sądu, że naruszony został art. 6 i 7 k.p.a. Nie zgodził się natomiast ze stanowiskiem organu, że A. nie miała innej możliwości ochrony mienia. Podniósł, że nie można a priori zakładać, że pracownik, używając cudzego mienia, winien mieć świadomość, że może być monitorowany. Wyjaśnił, że używał sprzętu zgodnie z przeznaczeniem, starannie i nie doszło do żadnej szkody w tym zakresie, zaś cała sprawa była sfingowana na potrzebę pozbycia się go z pracy, co potwierdził wyrok sądu pracy. Podniósł również, że nie można zgodzić się ze stanowiskiem skarżącego kasacyjnie, że Sąd pierwszej instancji nie udzielił organowi wskazówek co do dalszego postępowania, bowiem zostały one w sposób oczywisty i jasny zawarte w uzasadnieniu zaskarżonego wyroku. Organ winien uznać postępowanie A. za niezgodne z ustawą o ochronie danych osobowych.

Naczelny Sąd Administracyjny zważył, co następuje.

Stosownie do treści art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2012 r. poz. 270 ze zm.), powoływanej dalej jako p.p.s.a., Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, bierze jednak z urzędu pod rozwagę nieważność postępowania, której przesłanki zostały określone w art. 183 § 2 p.p.s.a. Żadna z przesłanek nieważności postępowania wymienionych w art. 183 § 2 p.p.s.a. nie zachodzi w niniejszej sprawie. Zatem sprawa ta mogła być przez Naczelny Sąd Administracyjny rozpoznana tylko w granicach zakreślonych skargą kasacyjną.

Granice skargi kasacyjnej wyznaczają między innymi wymienione w art. 176 p.p.s.a. podstawy kasacyjne, które zgodnie z art. 174 tej ustawy mogą stanowić: 1) naruszenie prawa materialnego przez błędną wykładnię lub niewłaściwe zastosowanie; 2) naruszenie przepisów postępowania, jeżeli mogło mieć istotny wpływ na wynik sprawy. W podstawach kasacji wnoszący skargę kasacyjną musi wskazać konkretną normę prawa materialnego, czy procesowego, której naruszenie zarzuca zaskarżonemu orzeczeniu.

Za nietrafny, zdaniem Naczelnego Sądu Administracyjnego, uznać należy podniesiony w skardze kasacyjnej zarzut naruszenia zarówno art. 134 i art. 3 § 1 p.p.s.a, w związku z art. 1 ustawy - Prawo o ustroju sądów administracyjnych, dalej p.u.s.a., jak i art. 153 p.p.s.a. przez niezawarcie w wyroku wskazówek dla organu co do dalszego postępowania.

Z przepisu art. 134 § 1 p.p.s.a. wynika, że Sąd rozstrzyga w granicach danej sprawy nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną. Wynikający z tego przepisu brak związania granicami skargi oznacza, że Sąd pierwszej instancji ma prawo dokonania oceny zgodności z prawem zaskarżonego aktu nawet wtedy, gdy dany zarzut nie został w skardze podniesiony. Jednak to strona określa, jaki akt lub czynność organu podlega zaskarżeniu. W rozpatrywanej sprawie strona jednoznacznie wskazała przedmiot skargi. Przepis art. 134 § 1 p.p.s.a. jest tak skonstruowany, że powołanie się w skardze kasacyjnej na jego naruszenie musi być powiązane z przepisami, których złamania przez organ sąd pierwszej instancji nie zauważył z urzędu. Ponadto zarzut naruszenia art. 134 § 1 p.p.s.a. może być usprawiedliwiony tylko wówczas, gdyby w postępowaniu administracyjnym popełniono uchybienia na tyle istotne, a przy tym oczywiste, że sąd powinien je dostrzec i uwzględnić, bez względu na treść zarzutów sformułowanych w skardze wniesionej do wojewódzkiego sądu administracyjnego. (por. wyrok NSA z 11.09.2012 r., sygn. akt I OSK 1234/12, lex 1260068). Podnosząc zarzut niezawarcia w wyroku wskazówek dla organu co do dalszego postępowania, skarżący kasacyjnie powiązał zarzut naruszenia art. 134 p.p.s.a. z art. 3 § 1 p.p.s.a, w związku z art. 1 p.u.s.a.

Naruszenie art. 3 § 1 p.p.s.a. ma miejsce wówczas, gdy sąd rozpoznający sprawę uchyli się od obowiązku wykonania kontroli zaskarżonej decyzji (por. wyrok NSA z 21.03.2013 r., sygn. akt I OSK 2132/11, lex nr 1332337). Taka sytuacja w niniejszej sprawie nie miała miejsca.

Powołany zaś w skardze kasacyjnej przepis art. 1 p.u.s.a., którego zarzut naruszenia dotyczy, zawiera normę o charakterze ustrojowym, która określa funkcje sądów administracyjnych wyjaśniając, że sądy te sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, która dokonywana jest pod względem zgodności z prawem. Zarzut naruszenia powołanego przepisu mógłby stanowić podstawę skargi kasacyjnej, gdyby sąd administracyjny rozpoznał skargę z uwzględnieniem innych kryteriów niż zgodność z prawem. Taka sytuacja w rozpoznawanej sprawie nie wystąpiła.

Sąd pierwszej instancji w niczym także nie naruszył art. 153 p.p.s.a. Zgodnie z art. 153 p.p.s.a. ocena prawna i wskazania co do dalszego postępowania wyrażone w orzeczeniu sądu wiążą w sprawie ten sąd oraz organ, którego działanie, bezczynność lub przewlekłe prowadzenie postępowania było przedmiotem zaskarżenia. Przepis art. 153 p.p.s.a. może znaleźć zastosowanie tylko w sprawach, w których sąd już orzekał. Tym samym oczywiste jest, że sąd pierwszej instancji, po raz pierwszy orzekając w sprawie, nie może przepisowi temu uchybić. (por. wyrok NSA z dnia 15.03.2013 r., sygn. akt I GSK 1121/11, lex nr 1339538). W niniejszej sprawie Wojewódzki Sąd Administracyjny orzekał po raz pierwszy.

W wyroku z dnia 02.03.2012 r., sygn. akt II FSK 1649/10 (lex nr 1137545) Naczelny Sąd Administracyjny wskazał, że naruszenie art. 153 p.p.s.a. może polegać na pominięciu wiążącej oceny i przyjęciu stanowiska odmiennego niż z niej wynikające, bądź niewykonaniu wytycznych co do dalszego postępowania. Niezawarcie w uzasadnieniu wyroku któregoś z elementów konstrukcyjnych tego uzasadnienia można kwestionować poprzez zarzut naruszenia art. 141 § 4 p.p.s.a.

Za nietrafny także uznać należało podniesiony w skardze kasacyjnej zarzut naruszenia art. 134 i art. 3 § 1 p.p.s.a. w związku z art. 1 p.u.s.a., przez sprawowanie niewłaściwej kontroli nad postępowaniem administracyjnym na skutek błędnego przyjęcia, że przetwarzanie danych osobowych skarżącego przez A. nie wypełnia przesłanki prawnie usprawiedliwionego celu, o którym stanowi art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.

Zgodnie z art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Przykładowe określenie prawnie usprawiedliwionego celu zawiera art. 23 ust. 4 tej ustawy.

Zgodzić się należy ze stanowiskiem Sądu pierwszej instancji, że do zaakceptowania jest argumentacja organu w zakresie, w jakim dotyczy obowiązków administratora danych wynikających z przepisu art. 36 ust. 1 ustawy o ochronie danych osobowych oraz z rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024 ze zm.). Przepis art. 36 ust. 1 ustawy o ochronie danych osobowych nakłada na administratora danych obowiązek stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Powołane wyżej rozporządzenie, podjęte na podstawie delegacji ustawowej wynikającej z art. 39a ustawy o ochronie danych osobowych, nakłada na administratorów danych obowiązek wdrożenia rozwiązań służących zapewnieniu bezpieczeństwa systemów informatycznych. Przepis § 1 pkt 2 rozporządzenia określa podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. W przypadku, gdy przynajmniej jedno urządzenie systemu informatycznego służące do przetwarzania danych osobowych połączone jest z siecią publiczną, rozwiązania stosowane przez administratora danych muszą co najmniej spełnić wymagania określone w pkt. XII załącznika do rozporządzenia. Zgodnie z nim, system informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem (ust. 1). W przypadku zastosowania logicznych zabezpieczeń, o których mowa w ust. 1, obejmują one: a) kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną, b) kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych (ust. 2). Ponadto pkt VII załącznika zobowiązuje administratora danych do monitorowania wdrożonych zabezpieczeń systemu informatycznego.

Wbrew odmiennemu w tym względzie stanowisku skarżącego kasacyjnie, trafnie w świetle powyższych regulacji prawnych Sąd pierwszej instancji przyjął, że o ile można byłoby zgodzić się z twierdzeniem organu, że działania podejmowane przez ówczesnego pracodawcę skarżącego jako administratora danych, znajdują oparcie w powyższych przepisach prawa w zakresie niezbędności wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora, o tyle nieuprawniony jest pogląd organu, że przetwarzanie danych osobowych skarżącego nie naruszało jego praw i wolności. Trafnie zauważa Sąd pierwszej instancji, że oprogramowanie zbierające informacje o połączeniach pomiędzy siecią wewnętrzną A. a siecią publiczną, zastosowane w ramach monitoringu (kontroli), o którym mowa w pkt. XII załącznika do powołanego wyżej rozporządzenia, w istocie stanowi też monitoring pracownika w miejscu pracy, skoro pozwala na sprawdzenie wykazów odwiedzanych stron internetowych, czasu zainicjowanych połączeń, adresów stron lub plików, z którymi nastąpiło połączenie. Prawidłowo Sąd ten akcentuje, że taki monitoring musi spełniać wymogi zgodności z prawem, usprawiedliwionego celu, proporcjonalności, transparentności oraz uwzględnienia przepisów o ochronie danych osobowych. Wymóg transparentności oznacza, że pracownicy powinni mieć świadomość, że są poddawani monitoringowi. Pracodawca winien zatem szczegółowo określić zasady monitoringu i zapoznać z nimi pracowników, którzy fakt zapoznania się powinni potwierdzić stosownym podpisanym oświadczeniem o ich akceptacji.

Identycznego stanu faktycznego, jaki ma miejsce w niniejszej sprawie dotyczy powołany trafnie przez Sąd pierwszej instancji wyrok Europejskiego Trybunału Praw Człowieka z dnia 3 kwietnia 2007 r. w sprawie Copland przeciwko Zjednoczonemu Królestwu (sygn. 62617/00, lex nr 527588), w którym Trybunał uznał, że rozmowy telefoniczne z pracy, e-maile i użytkowanie Internetu są objęte terminami "życie prywatne" i "tajemnica korespondencji". Trybunał stwierdził, że w okolicznościach rozpatrywanej przez niego sprawy doszło do ingerencji w prawa zagwarantowane przez art. 8 Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności.

Z prawidłowych i niekwestionowanych przez skarżącego kasacyjnie ustaleń poczynionych w sprawie wynika, że A. nie poinformowała skarżącego o istnieniu funkcjonalności systemu, która polega na gromadzeniu informacji pomiędzy siecią wewnętrzną a siecią Internet. Okoliczność powyższą przyznaje skarżący kasacyjnie także w skardze kasacyjnej podając, że w następstwie ustalenia powyższego braku organ zasygnalizował Spółce w dniu [...] sierpnia 2011 r. konieczność uzupełnienia dokumentacji wewnętrznej A. w taki sposób, aby pracownicy byli poinformowani o istnieniu takiego systemu monitorowania połączeń. Niepoinformowanie skarżącego, będącego pracownikiem A., o istnieniu funkcjonalności systemu polegającej na gromadzeniu informacji pomiędzy siecią wewnętrzną a siecią Internet powodowało, że skarżący nie miał świadomości, że jest poddawany monitoringowi, a brak ten pozbawiał prowadzonego monitoringu transparentności i naruszał prawo do prywatności.

Trafnie w świetle powyższego Sąd pierwszej instancji przyjął, że przy przyjęciu, że monitoring systemu informatycznego jest niezbędny dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez pracodawcę jako administratora danych, art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych nie mógł być przesłanką legalnego przetwarzania danych osobowych skarżącego, gdyż przetwarzanie to naruszało prawo do prywatności w sytuacji, kiedy skarżący nie miał świadomości monitoringu użytkowania komputera.

Wbrew odmiennemu w tym względzie stanowisku skarżącego kasacyjnie, Sąd pierwszej instancji nie kwestionuje prawidłowości implementacji do ustawodawstwa polskiego przez ustawę o ochronie danych osobowych przepisów Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. U. L. 281, 23/11/1995 P. 0031-0050). Wskazuje jednak na wynikający z art. 91 Konstytucji RP obowiązek wykładni przepisów tej ustawy, w tym także stanowiącego podstawę prawną rozstrzygnięcia niniejszej sprawy przepisu art. 23 ust. 1 pkt 5 ustawy, z postanowieniami w/w dyrektywy, w szczególności z postanowieniami pkt 33 jej Preambuły oraz art. 7f dyrektywy.

W tym też kontekście trafnie Sąd ten uznał za zasadnie podniesiony w rozpatrywanej skardze zarzut naruszenia przez organ art. 6 i art. 7 k.p.a.

Skoro zatem podniesione w skardze kasacyjnej zarzuty okazały się niezasadne, skarga kasacyjna podlegała oddaleniu, co orzeczono na podstawie art. 184 p.p.a.a.