Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Anna Mierzejewska, Sędziowie WSA Joanna Kube, WSA Sławomir Antoniuk (spr.), Protokolant Łukasz Bazyluk, po rozpoznaniu na rozprawie w dniu 24 października 2008 r. sprawy ze skargi M. Spółka z o.o. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] września 2006 r. nr [...] w przedmiocie ochrony danych osobowych - oddala skargę -

Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] września 2006 r. nr [...] utrzymał w mocy własną decyzję z dnia [...] czerwca 2006 r. nr [...] nakazującą spółce M.z siedzibą w W. naprawę uchybień w procesie przetwarzania danych osobowych.

Z akt postępowania administracyjnego i sądowoadministracyjnego wynika następujący stan sprawy:

Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] czerwca 2006 r., wydaną na podstawie art. 104 § 1 k.p.a. oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1, pkt 6 i art. 22 w związku z art. 26 ust. 1 pkt 1 oraz art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez M. Sp. z o.o. z siedzibą w W., nakazał spółce naprawę uchybień w procesie przetwarzania danych osobowych poprzez: 1) zaprzestanie zbierania danych dotyczących karalności pracowników od dnia, w którym niniejsza decyzja stanie się ostateczna; 2) usunięcie ze zbioru danych pracowników, danych dotyczących ich karalności w terminie miesiąca od dnia, w którym niniejsza decyzja stanie się ostateczna; 3) zaprzestanie zbierania danych dotyczących nazwiska rodowego matki pracownika od dnia, w którym niniejsza decyzja stanie się ostateczna; 4) zgłoszenie do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych zawartych w raportach ze zdarzeń na terenie [...], sporządzanych przez pracowników Służby Ochrony [...], w terminie siedmiu dni od dnia, w którym niniejsza decyzja stanie się ostateczna.

Spółka M. wniosła o ponowne rozpatrzenie sprawy zakończonej powyższą decyzją, zaskarżając pkt 4 nakazu, dotyczący zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych osobowych zawartych w raportach ze zdarzeń na terenie [...] oraz [...], sporządzanych przez pracowników Służby Ochrony [...] oraz wystąpiła o umorzenie postępowania w tej części.

Stwierdzając brak podstaw do uwzględnienia wniosku odwoławczego, Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] września 2006 r., wydaną na podstawie art. 138 § 1 pkt 1 k.p.a., utrzymał zaskarżoną decyzję w mocy. W uzasadnieniu organ wskazał, iż zgodnie z treścią art. 40 ustawy o ochronie danych osobowych, administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 przedmiotowej ustawy. W toku kontroli przeprowadzonej przez organ ustalono, że do zadań pracowników Służby Ochrony [...] należało rejestrowanie zdarzeń na terenie [...] oraz [...] w formie raportów służbowych. Obowiązek prowadzenia przez wewnętrzne służby ochrony dziennika wydarzeń wynikał z treści § 8 ust. 1 pkt 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 17 listopada 1998 r. w sprawie wewnętrznych służb ochrony (Dz. U. z 1999 r. Nr 4, poz. 31 ze zm.), zgodnie z którym w wewnętrznych służbach ochrony prowadzi się dziennik wydarzeń zawierający: wpis daty i godziny zaistniałego wydarzenia, opis wydarzenia, dane personalne osób uczestniczących w wydarzeniu, dane personalne pracowników ochrony, którzy podejmowali interwencje. Z akt kontroli wynikało, że pracownicy Służby Ochrony [...] wpisywali do raportów dane osobowe uczestników zdarzeń, tj.: imiona i nazwiska, ewentualnie adresy, datę urodzenia, imiona rodziców, w przypadku, gdy dane takie od uczestnika zdarzenia uzyskał uprawniony podmiot (np.: Policja, lekarz pogotowia). Raporty ułożone były chronologicznie, zgodnie z datą zdarzenia według stacji metra. Oddzielnie dodatkowo przechowywano raporty ze zdarzeń z udziałem Pogotowia Ratunkowego. W ramach ustaleń poczynionych w trakcie kontroli, uznać należało, iż wskazane raporty tworzyły zbiór, a zatem istniał obowiązek zgłoszenia go do rejestracji Generalnemu Inspektorowi. Zgodnie z treścią art. 7 pkt 1 ustawy o ochronie danych osobowych, ilekroć w ustawie jest mowa o zbiorze danych, rozumieć przez to należy każdy posiadający strukturę zestaw danych o charakterze osobowym. W opisanej sytuacji, w ocenie Generalnego Inspektora, przedmiotowe raporty stanowiły zestaw danych o charakterze osobowym, który posiadał własną strukturę, ponieważ stanowił on sumę uporządkowanych elementów, w tym przypadku formularzy raportów zawierających rubrykę przeznaczoną na wpisanie danych osobowych uczestników zdarzeń. Sposób ułożenia raportów wskazywał na istnienie kryteriów dostępności do danych osobowych zawartych w raportach. Organ nie znalazł podstaw, aby zakładać, że dane osobowe miałyby być dostępne według kryteriów osobowych, rozumianych jako zapewniające dostęp do danych identyfikujących, ponieważ ustawa o ochronie danych osobowych nie posługuje się takim pojęciem. Zdaniem Generalnego Inspektora, wystarczyło występowanie jednego kryterium wyszukiwawczego w zestawieniu danych, aby zaklasyfikować go jako zbiór danych w rozumieniu art. 7 pkt 1 ustawy. Nie można było przyjąć, w ocenie organu, że sposób ułożenia raportów nie dotyczył danych osobowych, lecz zdarzeń, albowiem w przypadku wyżej wymienionego zbioru, miejsca i daty zdarzenia stanowiły kryteria dostępu do danych osobowych uczestników zdarzeń. Spółka skarżąca tworząc taki zbiór nie była zwolniona od obowiązku zgłoszenia go do rejestracji, stosownie do treści art. 43 ust. 1 pkt 11 ustawy o ochronie danych osobowych. Regulacja ta zwalnia z obowiązku zgłoszenia administratorów danych przetwarzanych w zakresie drobnych bieżących spraw życia codziennego. Prowadzenie zbioru danych uczestników zdarzeń na terenie [...] i [...] nie można było zakwalifikować jako drobnych bieżących spraw życia codziennego, albowiem rejestracja takich zdarzeń należała do określonych w przepisach prawa obowiązków Służby Ochrony [...]. Organ nie podzielił stanowiska skarżącej spółki w zakresie zwolnienia jej od obowiązku rejestracji przedmiotowego zbioru. Generalny Inspektor Ochrony Danych Osobowych wskazał także, że nie można do zakresu działań wewnętrznych służb ochrony osób i obiektów przyjmować wykonywania czynności operacyjno-rozpoznawczych w postaci ochrony osób i obiektów oraz zabezpieczenia miejsca popełnienia czynów przestępczych. Tym samym do sporządzanych przez te służby raportów powinny mieć zastosowanie przepisy art. 43 ust. 1 pkt 1a ustawy o ochronie danych osobowych.

Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] września 2006 r., stała się przedmiotem skargi wniesionej przez Spółkę M. [...]. Zaskarżając jedynie pkt 4 tej decyzji, strona skarżąca wniosła o uchylenie decyzji w tej części. W uzasadnieniu skargi podniesiono, iż organ wydając decyzję naruszył szereg przepisów ustawy o ochronie danych osobowych, w szczególności art. 7 pkt 1 tej ustawy. Wskazano, że raporty sporządzane przez pracowników Służby Ochrony [...] ze zdarzeń na terenie [...] i [...], nie stanowiły zbioru danych. Fakt ich chronologicznego ułożenia nie pozwalał na dostęp do danych, które były ułożone tylko według jednego kryterium - chronologii zdarzeń - tymczasem treść przepisu wskazuje, iż takie kryteria powinny wystąpić, co najmniej dwa razy. Podkreślono ponadto, iż zgodnie z treścią art. 43 ust. 1 pkt 11 ustawy o ochronie danych osobowych, obowiązek rejestracji nie dotyczy drobnych bieżących spraw życia codziennego. Sporządzane raporty dotyczyły takich właśnie spraw. W myśl art. 8 ust. 1 ustawy z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (tekst jednolity Dz. U. z 2005 r. Nr 145, poz. 1221 ze zm.) oraz § 5 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 17 listopada 1998 r. w sprawie wewnętrznych służb ochrony (Dz. U. z 1999 r. Nr 4, poz. 31), do zakresu działań takich służb jak Służba Ochrony [...] należy również wykonywanie czynności operacyjno - rozpoznawczych, a tym samym uzyskane w ich wyniku dane nie podlegają, zgodnie z art. 43 ust. 1 pkt 1 a ustawy o ochronie danych osobowych, obowiązkowi rejestracji.

W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie oraz podtrzymał argumentację zaprezentowaną w uzasadnieniu zaskarżonej decyzji.

Wojewódzki Sąd Administracyjny w Warszawie uznając skargę za zasadną, wyrokiem z dnia 16 marca 2007 r., sygn. akt II SA/Wa 2110/06 uchylił zaskarżoną decyzję oraz decyzję ją poprzedzającą z dnia [...] czerwca 2006 r. oraz stwierdził, że zaskarżona decyzja nie podlega wykonaniu w całości.

Na skutek rozparzenia skargi kasacyjnej Generalnego Inspektora Ochrony Danych Osobowych wniesionej od powyższego wyroku, Naczelny Sąd Administracyjny wyrokiem z dnia 7 maja 2008 r., sygn. akt I OSK 983/07 uchylił zaskarżony wyrok i przekazał sprawę Wojewódzkiemu Sądowi Administracyjnemu w Warszawie do ponownego rozpoznania. W uzasadnieniu wyroku Sąd II instancji podniósł, iż zawarty w skardze kasacyjnej zarzut błędnej wykładni art. 7 pkt 1 ustawy o ochronie danych osobowych (zwanej dalej ustawą) przez uznanie, że raporty ze zdarzeń na terenie stacji linii metra sporządzane przez pracowników Służby Ochrony [...], nie są w rozumieniu tego przepisu zbiorem danych osobowych, stał się zasadny. Powołany przepis stanowi, że przez zbiór danych rozumie się każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Sąd pierwszej instancji uznając, że zbiór raportów sporządzonych przez pracowników Służby Ochrony [...] nie jest zbiorem danych osobowych wskazał, że podstawowym kryterium, dla którego można stwierdzić, czy mamy do czynienia z takim zbiorem jest kryterium osobowe. Zbiór danych, o którym mowa w art. 7 pkt 1 ustawy o ochronie danych osobowych, jak wskazał Sąd I instancji, to zestaw danych o charakterze osobowym, w którym dane te są danymi podstawowymi, posiadający własną strukturę i podzielony funkcjonalnie. Naczelny Sąd Administracyjny nie podzielił poglądu wyrażonego w tym zakresie przez Sąd I instancji. Sąd odwołaczy stwierdził, iż dane osobowe zgodnie z art. 1 ust. 1 ustawy podlegają ochronie. Powinny one podlegać tej ochronie wtedy, kiedy są przez jakiś podmiot przetwarzane, tj.: m.in. zbieranie, utrwalanie, przechowywanie, zwłaszcza jeżeli proces przetwarzania jest, jak w omawianym przypadku, procesem ciągłym, a ilość zgromadzonych danych może ciągle rosnąć i nie jest to liczba zamknięta. Z art. 7 ust. 1 ustawy nie wynika, że dane osobowe mają być w definiowanym tam "zbiorze danych" danymi podstawowymi. Nie wynika również, że kryterium dostępu do tych danych mają być dane identyfikacyjne (imię, nazwisko, adres, "PESEL"). Naczelny Sąd Administracyjny podkreślił, że byłoby sprzeczne z intencją ustawodawcy i gwarancjami konstytucyjnymi przyjęcie, że dane osobowe prowadzone i przechowywane w zbiorach tworzonych dla realizowania celów gospodarczych, czy ochrony bezpieczeństwa, mają nie podlegać ochronie tylko dlatego, że nie są w tych zbiorach danymi podstawowymi. Zbiór, którego dotyczy zaskarżona decyzja co do danych osobowych jest zbiorem rozproszonym, a dostępność do niego określona jest według trzech kryteriów: daty zdarzenia, stacji metra oraz udziału innych służb (np.: Policja, Pogotowie Ratunkowe). Należy w tej sytuacji uznać, że zbiór gromadzony przez Spółkę M. [...] jest zbiorem danych, o którym mowa w art. 7 pkt 1 ustawy o ochronie danych osobowych. Ponadto Sąd II instancji zwrócił uwagę, iż skarga do Sądu Wojewódzkiego złożona przez skarżącą spółkę dotyczyła pkt 4 decyzji wydanej w pierwszej instancji, natomiast Sąd uchylił obie decyzje w całości, nie wskazując przyczyn, dla których wyszedł poza granice skargi i uznał decyzję w niezaskarżonej części za sprzeczną z prawem.

Wojewódzki Sąd Administracyjny w Warszawie po ponownym rozpatrzeniu sprawy zważył, co następuje:

Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonego aktu administracyjnego i to z przepisami obowiązującymi w dacie jego wydania. W konsekwencji, sąd administracyjny nie orzeka co do istoty rzeczy w zakresie danego przypadku, lecz jedynie kontroluje zgodność rozstrzygnięcia z prawem materialnym i obowiązującymi przepisami prawa procesowego.

W świetle powyżej określonych kryteriów skarga podlega oddaleniu, gdyż zaskarżona decyzja Generalnego Inspektora Ochrony Danych Osobowych jest zgodna z prawem.

Stosownie do postanowień art. 190 - Prawa o postępowaniu przed sądami administracyjnymi sąd, któremu sprawa została przekazana, związany jest wykładnią prawa dokonaną w tej sprawie przez Naczelny Sąd Administracyjny.

Na wstępie należy wskazać, iż zgodnie z art. 12 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926), do zadań Generalnego Inspektora w szczególności należy: 1) kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych, 2) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych, 3) prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach, 4) opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych, 5) inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych, 6) uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.

W niniejszej sprawie Generalny Inspektor Ochrony Danych Osobowych realizował zadanie ustawowe, określone w punkcie 1 powyżej przytoczonego przepisu, z którego wynikają jego uprawnienia kontrolne w stosunku do administratorów danych w zakresie przetwarzania przez nich danych, zgodnie z przepisami o ochronie danych osobowych.

Zgodnie z art. 40 ww. ustawy, administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1. Powyższy obowiązek jest skierowany do wszystkich administratorów dysponujących zbiorami danych osobowych za wyjątkiem wymienionych w art. 43 ust. 1 (do których strona skarżąca się nie zalicza), a więc do podmiotów decydujących o celach i środkach przetwarzania danych osobowych, o których mowa w art. 3 tej ustawy.

Stosownie do postanowień art. 7 pkt 1 ww. ustawy, obowiązkowi określonemu powyżej podlega każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. W doktrynie i orzecznictwie przyjmuje się, iż wymogowi rejestracji poddane są: 1) zbiory nastawione na przetwarzanie danych "na zewnątrz", jak i "na potrzeby własne", 2) zbiory funkcjonujące w sektorze publicznym, jak i w sektorze prywatnym, 3) zbiory, w których przetwarzanie danych służy celom komercyjnym, jak i zbiory służące innym celom, 4) zbiory zautomatyzowane oraz zbiory tradycyjne (manualne). Odnośnie ostatniego z tych elementów wskazać należy, iż w ustawodawstwie polskim nie skorzystano z możliwości wyłączenia "zbiorów tradycyjnych" z obowiązku rejestracji, relatywnie na wprowadzeniu dla nich odrębnej, uproszczonej procedury zgłoszeniowej, którą dopuszcza dyrektywa 95/46/WE.

W niniejszej sprawie istota sporu sprowadza się do wyjaśnienia, czy strona skarżąca gromadząc dane osobowe w raportach ze zdarzeń na trasie [...] oraz [...] sporządzanych przez pracowników Służby Ochrony [...], stanowią zbiór danych osobowych w rozumieniu art. 7 pkt 1 powołanej ustawy.

Zwrócić należy uwagę, iż zbiór, o którym mowa powyżej musi zawierać strukturę uporządkowaną, nie może natomiast być przypadkowym zestawem, sumą elementów składowych. Strukturę uporządkowaną charakteryzuje istnienie cechy albo cech pozwalających na odnalezienie informacji bez potrzeby przeglądania całego zestawu. Uporządkowanie zbioru może odnosić się albo do indywidualnych osób, w tym wypadku oznaczonych imieniem i nazwiskiem, lub do oznaczonych kryteriów łączących pewne grupy osób, np. miejsce wystąpienia zdarzenia odnotowanego w raporcie. Wartym przytoczenia jest pogląd wyrażony przez A. Drozda w tezie 7 artykułu "Zakres zakazu przetwarzania danych osobowych", opublikowanym w PiP 2003/2/39: "Zgodnie z definicją legalną terminu "zbiór danych", ta postać przetwarzania danych osobowych musi umożliwiać dostęp do nich według określonych kryteriów. Dostęp taki winien istnieć obiektywnie. Natomiast fakt, że jest on dla administratora (innego podmiotu) "łatwy" lub "trudny" jest prawnie bez znaczenia. Nie ma również podstaw, by zakładać, że dane osobowe mają być dostępne według kryteriów osobowych. Nadto przyjęcie poglądu, że dane osobowe mają być dostępne według kryteriów osobowych, umożliwiałoby obchodzenie ustawy i unikanie rejestracji zbiorów danych". Naczelny Sąd Administracyjny w wyroku z dnia 12 stycznia 2007 r., sygn. akt I OSK 218/06 (publik. LEX nr 290699) stwierdził, iż stosownie do przepisu art. 7 pkt 1 ustawy o ochronie danych osobowych przez zbiór danych należy rozumieć "każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie". Skoro ustawodawca użył w tym przepisie sformułowania "kryteria" w liczbie mnogiej, to zgodnie z założeniem racjonalnego ustawodawcy należy przyjąć, że dostępność zestawu danych o charakterze osobowym musi być możliwa w oparciu, o co najmniej dwa kryteria.

Odnosząc powyższe rozważania na grunt niniejszej sprawy należy podkreślić, że Naczelny Sąd Administracyjny w uzasadnieniu ww. wyroku jednoznacznie stwierdził, iż w badanej sprawie dostępność do zbioru raportów następuje poprzez 3 kryteria: datę zdarzenia, stację [...], udział innych służb, tj. np. policjantów, pracowników pogotowia ratunkowego. Sąd odwoławczy także jednoznacznie przesądził, że zbiór gromadzony przez Spółkę M. [...], jest zbiorem danych, o którym mowa w art. 7 pkt 1 ustawy o ochronie danych osobowych. Nie może zatem budzić wątpliwości, iż przedmiotowy zbiór podlega, na podstawie art. 40 powołanej ustawy, zgłoszeniu do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.

Sąd badając zaskarżoną decyzję nie stwierdził, aby była ona niezgodna z prawem w części niezaskarżonej przez M. [...]. Generalny Inspektor Ochrony Danych Osobowych w wyniku właściwie przeprowadzonego postępowania administracyjnego zgromadził w sprawie niezbędny materiał dowodowy i po jego rozpatrzeniu wydał decyzję odpowiadającą prawu.

W tym stanie rzeczy Wojewódzki Sąd Administracyjny w Warszawie na podstawie art. 151 w zw. z art. 132 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.) orzekł, jak w sentencji.