Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Janusz Walawski, Sędziowie WSA Stanisław Marek Pietras, Piotr Borowiecki (spr.), , Protokolant: specjalista Monika Gieroń, , po rozpoznaniu na rozprawie w dniu 5 lipca 2018 r. w sprawie ze skargi Ministra Cyfryzacji na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2017 r. nr [...] w przedmiocie przetwarzania danych osobowych - oddala skargę -

Zaskarżoną decyzją z dnia [...] listopada 2017 r., nr [...], (dot. [...]), Generalny Inspektor Ochrony Danych Osobowych, (dalej także: "GIODO" lub "organ"), działając na podstawie art. 138 § 1 pkt 1 i 2 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (tekst jednolity Dz. U. z 2017 r., poz. 1257 ze zm. - dalej: "k.p.a."), a także art. 12 pkt 2, art. 18 ust. 1 pkt 1 i art. 22 w związku z art. 36 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz. U. z 2016 r., poz. 922 ze zm. - dalej także: "u.o.d.o."), po rozpoznaniu wniosku Ministra Cyfryzacji (dalej także: "skarżący Minister" lub "strona skarżąca") z dnia [...] września 2017 r. o ponowne rozpatrzenie sprawy zakończonej wcześniejszą decyzją Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] września 2017 r., nr [...] (dot. [...]), w przedmiocie nakazania Ministrowi Cyfryzacji usunięcia uchybień w procesie przetwarzania danych osobowych - uchylił pkt 2 decyzji z dnia [...] września 2017 r., nr [...] i umorzył postępowanie w tym zakresie (pkt 1 zaskarżonej decyzji), oraz utrzymał w mocy pkt 3 decyzji z [...] września 2017 r., nr [...] (pkt 2 zaskarżonej decyzji).

Zaskarżona decyzja została wydana w następującym stanie faktycznym.

Działając na podstawie upoważnienia Generalnego Inspektora Ochrony Danych Osobowych, inspektorzy GIODO przeprowadzili w Ministerstwie Cyfryzacji z siedzibą w W. przy ul. K. kontrolę zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych (nr sprawy: [...]), tj. ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024, dalej także: "rozporządzenie MSWiA").

Zakresem przedmiotowej kontroli objęto przetwarzanie danych osobowych przez Ministra Cyfryzacji w zbiorze danych osobowych o nazwie "[...]", w tym udostępnianie danych z rejestru PESEL komornikom sądowym.

W toku kontroli Generalny Inspektor Ochrony Danych Osobowych odebrał od pracowników Ministerstwa Cyfryzacji ustne wyjaśnienia, skontrolował systemy informatyczne oraz dokonał stosownych oględzin pomieszczeń, w których odbywa się przetwarzanie danych osobowych. Stan faktyczny został szczegółowo opisany w protokole kontroli, który został podpisany przez Ministra Cyfryzacji.

Wobec powyższego, Generalny Inspektor Ochrony Danych Osobowych przeprowadził postępowanie wyjaśniające, w toku którego ustalił, że w procesie przetwarzania danych osobowych Minister Cyfryzacji, jako administrator danych, naruszył przepisy o ochronie danych osobowych. Generalny Inspektor Ochrony Danych Osobowych ustalił następujące okoliczności faktyczne:

1. brak procedur określających sposób postępowania po zgłoszeniu wstąpienia incydentu związanego z ochroną danych osobowych przetwarzanych w ramach rejestru PESEL;

2. istnienie możliwości przyznania jednemu użytkownikowi więcej, niż jednej karty z certyfikatem umożliwiającym dostęp do rejestru PESEL za pomocą urządzeń teletransmisji danych;

3. niezapewnianie przez aplikację "[...]", za pośrednictwem której realizowany jest dostęp do rejestru PESEL, możliwości podania uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze PESEL;

4. niewdrożenie oprogramowania służącego do analizy logów systemowych, w tym operacji dokonywanych przez użytkowników, którym przyznany został dostęp do rejestru PESEL.

W związku z powyższym, w dniu [...] sierpnia 2017 r. Generalny Inspektor Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne w celu wyjaśnienia okoliczności sprawy.

W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego, Minister Cyfryzacji pismem z dnia [...] sierpnia 2017 r., nr [...], złożył wyjaśnienia, w których poinformował organ, że:

1. z uwagi na identyfikację konieczności realizacji zadań niezbędnych do zapewnienia odpowiedniego poziomu bezpieczeństwa systemu i danych gromadzonych w poszczególnych rejestrach, w ramach [...] (dalej także: "[...]"), po przeprowadzeniu analiz, Ministerstwo Cyfryzacji zwróciło się do Ministra Rozwoju i Finansów o uruchomienie rezerwy celowej pn. "[...]" i zwiększenie planu wydatków na rok 2017.; Minister Cyfryzacji wskazał przy tym, że powyższe środki zostaną przeznaczone na sfinansowanie m.in. tych zadań, których niezbędność realizacji wskazał Generalny Inspektor Ochrony Danych Osobowych;

2. część środków z rezerwy celowej zostanie przeznaczona m.in. na opracowanie polityki bezpieczeństwa [...]; skarżący Minister zauważył, że wdrożenie opracowanej w tym roku polityki bezpieczeństwa planowane jest w 2018 r.; Minister Cyfryzacji stwierdził, że przekazany przez C. wstępny harmonogram przygotowania polityki bezpieczeństwa [...] określa, że jeszcze we wrześniu 2017 r. zostanie zakończona analiza stanu obecnego, zdiagnozowane zostaną potencjalne zagrożenia i ryzyka, przeprowadzone zostaną warsztaty ze specjalistami w poszczególnych obszarach technicznych; Minister Cyfryzacji podkreślił, że w październiku 2017 r. opracowane zostaną główne zasady polityki bezpieczeństwa dla wszystkich systemów w ramach [...], natomiast do grudnia 2017 r. nastąpi opracowanie polityk dziedzinowych, wyspecyfikowanych dla poszczególnych rejestrów.

3. podjęto działania mające na celu niezwłoczną zmianę zapisów polityk certyfikacji dla operatorów oraz infrastruktury [...]. Minister Cyfryzacji wskazał, że nowe wersje polityk nie będą dopuszczały możliwości wydania przez operatorów Centrum Certyfikacji więcej niż jednego ważnego certyfikatu; w konsekwencji, Minister Cyfryzacji zaznaczył, że w przypadku wystąpienia z wnioskiem o dostęp użytkownika zostanie uruchomiona procedura weryfikacji, czy użytkownik nie posiada ważnego certyfikatu na te same dane; strona skarżąca poinformował, że w sytuacji, gdy okaże się, że użytkownik posiada już przynajmniej jeden ważny certyfikat, dotychczasowe certyfikaty zostaną unieważnione; Minister Cyfryzacji wskazał, że zakończenie aktualizacji polityk certyfikacji dla operatorów oraz infrastruktury [...] nastąpi w terminie do [...] sierpnia 2017 r.; Minister Cyfryzacji stwierdził ponadto, że dokumenty zostaną opublikowane na stronie Ministerstwa Cyfryzacji oraz rozesłane na aktualne adresy e-mail lokalnych administratorów systemu celem stosowania przez użytkowników [...];

4. odnosząc się do kwestii obowiązku podawania przez podmioty posiadające dostęp do rejestru PESEL w trybie teletransmisji danych uzasadnienia dla ich pozyskania, Minister Cyfryzacji wskazał, że nie można nie zauważyć, że przedmiotowe wymaganie nie wynika z przepisów prawa; Minister Cyfryzacji wskazał, że wydając decyzję administracyjną przyznającą uprawnionemu podmiotowi dostęp do rejestru PESEL, zastrzega się, stosownie do treści art. 46 ust. 1 ustawy z dnia 24 września 2010 r. o ewidencji ludności (tekst jednolity Dz. U. z 2017 r., poz. 657), że dane mogą być wykorzystane wyłącznie do realizacji zadań ustawowych tego podmiotu; skarżący Minister zwrócić uwagę, że obecne przepisy ustawy o ewidencji ludności nie przewidują, w przeciwieństwie do uchylonych przepisów ustawy o ewidencji ludności i dowodach osobistych, ażeby stosowane urządzenia lub systemy umożliwiały identyfikację celu uzyskania danych; Minister Cyfryzacji podkreślił, że również z przepisów rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych nie wynika konieczność odnotowywania przez system teleinformatyczny parametrów innych, niż w nim wskazane; Minister Cyfryzacji wskazał, że w przypadku realizowania przez służby pewnych czynności operacyjnych nie zawsze będzie możliwe wpisanie w aplikacji dostępowej do rejestru PESEL sygnatury akt sprawy, a tym bardziej uzasadnienia; skarżący Minister zwrócił uwagę na fakt, że takie rozwiązanie będzie możliwe do zastosowania wyłącznie wobec podmiotów, które dostęp do danych zgromadzonych w rejestrze PESEL mają za pośrednictwem aplikacji [...]; Minister Cyfryzacji wskazał, że powoduje to zróżnicowanie podmiotów w zakresie zasad dostępu do prowadzonych rejestrów, co nie znajduje odzwierciedlenia w przepisach prawa.

5. mając jednak na względzie rekomendację Generalnego Inspektora Ochrony Danych Osobowych, Minister Cyfryzacji wskazał, że C. zlecono analizę możliwości technicznych wdrożenia zmiany w aplikacji "[...]" polegającej na odnotowaniu uzasadnienia dostępu do danych lub sygnatury sprawy; Minister Cyfryzacji wskazał, że z uwagi na fakt, iż zaplanowany na 2017 r. budżet dla [...], jak i wniosek o uruchomienie rezerwy celowej nie przewidywał finansowania tej modyfikacji; skarżący Minister poidniósł, że jej realizacja będzie możliwa z rezerwy celowej zabezpieczonej na 2018 r.; Minister Cyfryzacji wskazał, że planowany, realny termin wdrożenia zmiany to III kwartał 2018 r.

6. wdrożenie systemów informatycznych do analizy logów systemowych ujęto we wniosku o uruchomienie rezerwy celowej na 2017 r., a samo oprogramowanie zostało już przez Ministerstwo Cyfryzacji zakupione; ponadto, w związku z koniecznością zwiększenia zdolności monitorowania i zarządzania bezpieczeństwem systemów Minister Cyfryzacji wskazał, że planowany jest zakup komponentów, które pozwolą ten cel zrealizować; niezależnie od powyższego Minister Cyfryzacji wskazał także, że [...] jest monitorowany w trybie ciągłym i zapewnia bezpieczeństwo w procesach udostępniania danych z rejestru PESEL.

W wyniku analizy całokształtu materiału dowodowego zgromadzonego w toku postępowania Generalny Inspektor Ochrony Danych Osobowych - powołując się na przepisy art. 104 § 1 k.p.a. oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1 i art. 22 w związku z art. 36 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - wydał w dniu [...] września 2017 r. decyzję nr [...] nakazującą Ministrowi Cyfryzacji usunięcie uchybień w procesie przetwarzania danych osobowych, poprzez:

1. Opracowanie i wdrożenie procedur określających sposób postępowania po zgłoszeniu wystąpienia incydentu związanego z ochroną danych osobowych przetwarzanych w ramach rejestru PESEL, w terminie do [...] grudnia 2017 r. (pkt 1 decyzji GIODO);

2. Zapewnienie, aby jednemu użytkownikowi nie mogła zostać wydana więcej niż jedna karta z certyfikatem umożliwiającym dostęp do rejestru PESEL za pomocą urządzeń teletransmisji danych, w terminie do [...] września 2017 r. (pkt 2 decyzji GIODO);

3. Modyfikację aplikacji "[...]", za pośrednictwem której realizowany jest dostęp do rejestru PESEL, w taki sposób, aby umożliwiała ona podanie uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze PESEL, w terminie do [...] marca 2018 r. (pkt 3 decyzji GIODO);

4. Wdrożenie oprogramowania służącego do analizy logów systemowych, w tym operacji dokonywanych przez użytkowników, którym przyznany został dostęp do rejestru PESEL, w terminie do [...] grudnia 2017 r. (pkt 4 decyzji GIODO);

W uzasadnieniu decyzji Generalny Inspektor Ochrony Danych Osobowych powołał się na normę prawną wyrażoną w art. 36 ust. 1 u.o.d.o., zgodnie z którym, administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Generalny Inspektor Ochrony Danych Osobowych uznał, że przedstawione przez Ministra Cyfryzacji działania dotyczące ochrony danych osobowych przetwarzanych w ramach rejestru PESEL, mające doprowadzić do usunięcia stwierdzonych w toku kontroli nieprawidłowości w procesie przetwarzania danych osobowych, nie mogą zostać uznane przez organ za przywrócenie stanu zgodnego z prawem.

W świetle powyższego, Generalny Inspektor Ochrony Danych Osobowych stwierdził, że uchybienia stwierdzone w toku kontroli przeprowadzonej w Ministerstwie Cyfryzacji nie zostały usunięte.

Organ podkreśli, że przy zakreślaniu terminów na usunięcie uchybień należało wziąć pod uwagę uwarunkowania organizacyjne i finansowe, w których funkcjonuje Minister Cyfryzacji, a także uwzględnić zadeklarowane w odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego terminy na przywrócenie stanu zgodnego z prawem, za wyjątkiem terminu zaproponowanego do usunięcia nieprawidłowości polegającej na braku zapewnienia przez aplikację "[...]" możliwości podania uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze PESEL. Oznacza to, w ocenie organu, że termin podany przez Ministra Cyfryzacji w piśmie stanowiącym odpowiedź na zawiadomienie o wszczęciu postępowania administracyjnego (III kwartał 2018 r.) jest terminem zbyt odległym biorąc pod uwagę istniejące zagrożenia związane z brakiem wskazanej funkcjonalności w aplikacji "[...]", tj. przede wszystkim możliwością dokonywana sprawdzeń danych w rejestrze PESEL bez związku z prowadzoną sprawą i wykorzystania ich w sposób niezgodny z obowiązującym prawem.

W konsekwencji, organ uznał, że istotne jest jak najszybsze zakończenie działań skutkujących wyposażeniem ww. aplikacji w przedmiotową funkcjonalność, tak aby to zagrożenie zostało wyeliminowane (lub znacznie ograniczone) w możliwie najkrótszym czasie. W ocenie Generalnego Inspektora Ochrony Danych Osobowych, powinno to nastąpić najpóźniej do [...] marca 2018 r.

Zdaniem organu, za tak przyjętym stanowiskiem przemawia także fakt, iż Minister Cyfryzacji o istnieniu omawianego uchybienia został poinformowany w piśmie z dnia [...] marca 2017 r., co - w ocenie organu - oznacza, że było wystarczająco dużo czasu, aby zabezpieczyć na 2017 r. niezbędne środki finansowe do przeprowadzenia modyfikacji aplikacji "[...]" w tym zakresie.

Ustosunkowując się do stanowiska Ministra Cyfryzacji, który wskazał, że obowiązek podawania przez podmioty uprawnione do dostępu do rejestru PESEL uzasadnienia dla dokonywanego w tym rejestrze sprawdzenia danych nie wynika z przepisów prawa, Generalny Inspektor Ochrony Danych Osobowych wskazał, że rzeczywiście takiego obowiązku nie zawierają przepisy ustawy o ewidencji ludności. Niemniej, organ uznał, że można go natomiast wywieść z treści art. 36 ust. 1 ustawy o ochronie danych osobowych, który zobowiązuje administratora danych do zastosowania takich środków technicznych i organizacyjnych, które zapewnią ochronę przetwarzanym danym osobowym odpowiednią do zagrożeń. GIODO uznał, że skoro jednym z już zidentyfikowanych zagrożeń dla danych przetwarzanych w ramach rejestru PESEL jest możliwość dokonywania sprawdzeń w tym rejestrze przez podmioty uprawnione bez związku z prowadzoną sprawą, to oczywistym jest według organu, że konieczne jest podjęcie przez administratora danych działań niezbędnych do wyeliminowania (lub co najmniej ograniczenia) takiej praktyki.

Ponadto, Generalny Inspektor Ochrony Danych Osobowych podniósł, iż wdrożenie w aplikacji "[...]", za pośrednictwem której jest realizowany dostęp do rejestru PESEL, funkcjonalności zmuszającej podawania uzasadnienia dla dokonywanego sprawdzenia, np. w postaci sygnatury sprawy, jest najbardziej odpowiednim sposobem przeciwdziałania opisanym praktykom.

Generalny Inspektor Ochrony Danych Osobowych wskazał, iż w ramach prowadzonego postępowania efektem wdrożenia tej funkcjonalności będzie bowiem możliwość stwierdzenia, czy osoba dokonująca sprawdzenia danych w rejestrze PESEL uczyniła to na potrzeby prowadzonej sprawy, czy też bez związku z nią. Zatem, jak wskazał organ, wyposażenie aplikacji "[...]" w omawianą funkcjonalność będzie skutkowało eliminacją (lub ograniczeniem) jednego z zagrożeń dla danych przetwarzanych w rejestrze PESEL, a tym samym będzie stanowiło realizację obowiązku wynikającego z art. 36 ust. 1 ustawy o ochronie danych osobowych.

W podsumowaniu Generalny Inspektor Ochrony Danych Osobowych zgodził z Ministrem Cyfryzacji, że nie zawsze przy dokonywaniu sprawdzenia danych w rejestrze PESEL będzie możliwe podanie pełnego uzasadnienia dla takiego sprawdzenia. Organ wskazał, że tak może być np. w przypadku służb prowadzących czynności operacyjne. Organ zauważył przy tym, że wpisanie przez taką służbę "czynności operacyjne" lub "rozpoznanie", jako uzasadnienie dla dokonywanego sprawdzenia, też stanowi uzasadnienie i jako takie może pozwolić na przeprowadzenie weryfikacji, czy sprawdzenie rzeczywiście miało miejsce w związku z prowadzonymi czynnościami operacyjnymi.

Generalny Inspektor Ochrony Danych Osobowych wskazał, że kontrola przeprowadzona w Ministerstwie Cyfryzacji była następstwem kontroli przeprowadzonych u komorników sądowych, u których stwierdzono pobieranie znacznych ilości danych z rejestru PESEL. Każdy z poddanych kontroli komorników do sprawdzania danych w rejestrze PESEL wykorzystywał aplikację "[...]". Organ stwierdził, że nie dysponując zatem ustaleniami dotyczącymi realizowania przez podmioty uprawnione dostępu do rejestru PESEL za pośrednictwem własnych systemów informatycznych, a w szczególności w związku z ustaleniami odnośnie funkcjonalności tych systemów, trudno jest ustosunkować się do stwierdzenia Ministra Cyfryzacji zawartego w piśmie stanowiącym odpowiedź na zawiadomienie o wszczęciu postepowania administracyjnego, w którym strona skarżąca podniosła, że wdrożenie w aplikacji "[...]" funkcjonalności pozwalającej na podawanie uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze PESEL spowoduje zróżnicowanie podmiotów korzystających z tej aplikacji w stosunku do podmiotów korzystających z własnych systemów informatycznych w zakresie zasad dostępu do rejestru PESEL.

W piśmie z dnia [...] marca 2017 r. Minister Cyfryzacji złożył wniosek o ponowne rozpatrzenie sprawy.

Wnosząc o uchylenie spornej decyzji GIODO z dnia [...] września 2017 r. w zakresie pkt. 2 i pkt. 3 tej decyzji, Minister Cyfryzacji wskazał w uzasadnieniu, że polityka certyfikacji dla operatorów oraz infrastruktury [...] w zakresie wydawania zduplikowanych certyfikatów dostępowych do rejestru PESEL została zmieniona z dniem [...] sierpnia 2017 r., a zatem - zdaniem strony skarżącej - orzekanie przez Generalnego Inspektora Ochrony Danych Osobowych w tym zakresie w dniu [...] września 2017 r. winno zakończyć się umorzeniem postępowania z uwagi na jego bezprzedmiotowość. Według strony skarżącej, w sytuacji, gdy polityka certyfikacji dla operatorów oraz infrastruktury [...] została zmodyfikowana w sposób, który uniemożliwi wydanie jednemu użytkownikowi więcej niż jednego certyfikatu dostępowego do rejestru PESEL, Generalny Inspektor Ochrony Danych Osobowych nie mógł orzekać w przedmiocie zapewnienia powyższego, poprzez nałożenie na Ministra Cyfryzacji nakazu uprzednio już zrealizowanego.

Ponadto, strona skarżąca stwierdziła, że udostepnienie danych osobowych z rejestrów publicznych następuje na podstawie przepisów regulujących funkcjonowanie tychże rejestrów. Z tego względu, w ocenie strony skarżącej, podawanie przez podmioty uprawione i realizujące dostęp do rejestru PESEL w drodze teletransmisji danych uzasadnienia dla ich każdorazowego pozyskania - jest niezgodne z obowiązującymi przepisami prawa.

Powołując się z kolei na przepis art. 46 ust. 1 ustawy z dnia 24 września 2010 r. o ewidencji ludności, strona skarżąca stwierdziła, że dane mogą być wykorzystane wyłącznie do realizacji zadań ustawowych podmiotów wymienionych w tym przepisie. Zatem, jak uznała strona skarżąca, obowiązkiem Ministra Cyfryzacji jest udostepnienie danych, jeżeli są one niezbędne do osiągnięcia prawnie usprawiedliwionych celów.

Zdaniem strony skarżącej, organ nie wskazał, w jaki sposób modyfikacja aplikacji "[...]", która będzie wymagała podania uzasadnienia lub sygnatury akt sprawy, przełoży się na zwiększenie bezpieczeństwa przetwarzania danych przez podmioty uprawnione. Tymczasem, jak zauważył skarżący Minister, obowiązek taki istnieje po stronie organu administracji publicznej na gruncie art. 8 i art. 11 k.p.a., a w szczególności art. 107 5 1 pkt 6 k.p.a. Ponadto, strona skarżąca zarzuciła, że organ, wydając rozstrzygnięcie zawarte w pkt 3 spornej decyzji, nie wziął pod uwagę, że przedmiotowe rozwiązanie byłoby możliwe do zastosowania wyłącznie wobec podmiotów, które dostęp do danych zgromadzonych w rejestrze PESEL mają za pośrednictwem aplikacji "[...]".

Skarżący Minister uznał, że rekomendowane przez GIODO rozwiązanie nie znajdzie zastosowania w przypadku, w którym podmiot uzyskuje dostęp do danych za pomocą swojego systemu teleinformatycznego, na budowę którego resort cyfryzacji nie ma żadnego wpływu. Skarżący Minister uznał, że doprowadziłoby to do zróżnicowania podmiotów wobec prawa.

Ponadto, skarżący Minister stwierdził, że brak ustaleń w zakresie realizacji dostępu do rejestru PESEL przez podmioty uprawnione za pośrednictwem własnych systemów informatycznych narusza art. 7 k.p.a. Zdaniem strony skarżącej, nakaz sformułowany w pkt 3 spornej decyzji dotyczy nie tylko kilku skontrolowanych kancelarii komorniczych, ale wszystkich podmiotów mających dostęp do rejestru PESEL. Dostęp ten, co nie stoi w sprzeczności z przepisami prawa, jest zróżnicowany i nie zawsze odbywa się za pośrednictwem aplikacji "[...]", czego orzekając nie wziął pod uwagę organ ochrony danych osobowych. W ocenie strony skarżącej, nie należy również zapominać o adekwatności przyjmowanych w dziedzinie ochrony danych osobowych rozwiązań do spodziewanych rezultatów. Zdaniem skarżącego Ministra, rozwiązania te powinny być realizowane poprzez zastosowanie skutecznych środków technicznych i organizacyjnych, zaś skuteczność zastosowanych środków powinna podlegać badaniom, a w tym konkretnym przypadku badanie takie nie jest możliwe do zrealizowania.

W wyniku ponownego rozpatrzenia sprawy, Generalny Inspektor Ochrony Danych Osobowych - działając na podstawie art. 138 § 1 pkt 1 i 2 k.p.a., a także art. 12 pkt 2, art. 18 ust. 1 pkt 1 oraz art. 22 w związku z art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - decyzją z dnia [...] listopada 2017 r., nr [...], uchylił pkt 2 decyzji z dnia [...] września 2017 r. i umorzył postępowanie w tym zakresie (pkt 1 decyzji), a także utrzymał w mocy pkt 3 decyzji z [...] września 2017 r.

W uzasadnieniu decyzji Generalny Inspektor Ochrony Danych Osobowych wskazał, że z przedstawionej przez Ministra Cyfryzacji zaktualizowanej polityki certyfikacji dla operatorów oraz infrastruktury [...] wynika, że obecnie nie jest już możliwe wydanie więcej niż jednego certyfikatu temu samemu użytkownikowi, jak również, iż wskazany dokument został wdrożony. W tej sytuacji, organ uznał, że w tym zakresie przywrócony został stan zgodny z prawem, a zatem należało uchylić pkt 2 spornej decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] września 2017 r., nr [...] i umorzyć postępowanie w tym zakresie.

Uzasadniając wydaną decyzję w pozostałym zakresie, Generalny Inspektor Ochrony Danych Osobowych wskazał, że przepisy ustawy o ewidencji ludności rzeczywiście nie formułują wprost obowiązku podawania przez podmioty uprawnione do dostępu do rejestru PESEL uzasadnienia dla dokonywanego sprawdzenia danych w tym rejestrze, choć - jak zauważył organ - można próbować go wywieść z treści art. 48 pkt 2 cyt. ustawy, który nakłada na podmioty realizujące dostęp do rejestru PESEL za pomocą urządzeń teletransmisji danych obowiązek posiadania zabezpieczeń technicznych i organizacyjnych właściwych dla przetwarzania danych osobowych, uniemożliwiających w szczególności wykorzystanie danych niezgodnie z celem ich uzyskania. W ocenie organu, oznacza to, że niewątpliwie środkiem, który uniemożliwi (lub co najmniej utrudni) wykorzystanie danych niezgodnie z celem ich uzyskania, jest wyposażenie aplikacji "[...]" w funkcjonalność pozwalającą na odnotowanie uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze PESEL. Generalny Inspektor Ochrony Danych Osobowych podniósł, że to Minister Cyfryzacji udostępnia aplikację "[...]" podmiotom uprawnionym do dostępu do rejestru PESEL, a więc winien zapewnić, że aplikacja ta będzie spełniała wszystkie wymogi wynikające z przepisów prawa, w tym wymogi odnoszące się do przetwarzania danych osobowych pobieranych z rejestru PESEL.

W związku z powyższym, organ - powołując się na art. 36 ust. 1 u.o.d.o. - wskazał, że na Ministrze Cyfryzacji, jako administratorze danych przetwarzanych w ramach rejestru PESEL, spoczywa obowiązek zastosowania takich środków technicznych i organizacyjnych, które zapewnią ochronę danych osobowych odpowiednią do zagrożeń.

W związku z powyższym organ wskazał, że skoro jednym z już zidentyfikowanych zagrożeń dla danych przetwarzanych w ramach rejestru PESEL jest możliwość dokonywania sprawdzeń w tym rejestrze przez podmioty uprawnione bez związku z prowadzoną sprawa, to oczywistym jest, że konieczne jest podjęcie przez administratora danych działań niezbędnych do wyeliminowania (lub co najmniej ograniczenia) takiej praktyki. Zdaniem GIODO, nie ulega wątpliwości, że najbardziej odpowiednim sposobem przeciwdziałania ww. praktykom będzie wdrożenie w aplikacji "[...]", za pośrednictwem której jest realizowany dostęp do rejestru PESEL, funkcjonalności wymuszającej podawanie uzasadnienia dla dokonywanego sprawdzenia, np. w postaci sygnatury sprawy.

Generalny Inspektor Ochrony Danych Osobowych wskazał, że z uwagi na to, że konieczność zaimplementowania w aplikacji "[...]" omawianej funkcjonalności, jako środka służącego do wyeliminowania (lub ograniczenia) zagrożenia dla danych przetwarzanych w tym rejestrze, można wywieść zarówno z przepisów ustawy o ewidencji ludności, jak i z przepisów ustawy o ochronie danych osobowych, a wiec z przepisów powszechnie obowiązujących, uznać należy, że takie rozwiązanie jest zgodne z tymi przepisami.

Ustosunkowując się do zarzutów Ministra Cyfryzacji, który stwierdził, że wyposażenie aplikacji "[...]" w funkcjonalność pozwalającą na odnotowywanie uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze PESEL spowoduje zróżnicowanie wobec prawa podmiotów realizujących ten dostęp przy użyciu wspomnianej aplikacji w stosunku do tych podmiotów, które taki dostęp realizują przy wykorzystaniu własnych systemów informatycznych, Generalny Inspektor Ochrony Danych Osobowych wskazał, że potencjalne zróżnicowanie podmiotów uprawnionych do dostępu do rejestru PESEL nie może jednak powodować zaniechania przez administratora danych podejmowania działań zmierzających do zlikwidowania (lub co najmniej ograniczenia) zidentyfikowanego ryzyka dla danych przetwarzanych w ramach rejestru PESEL. Tymczasem, jak zauważył organ, Minister Cyfryzacji wobec możliwości powstania takiego zróżnicowania postanowił zignorować zidentyfikowane już zagrożenie dla danych przetwarzanych w rejestrze PESEL i nie podejmować żadnych działań w celu jego eliminacji lub ograniczenia. Zdaniem organu, taka praktyka - w świetle art. 36 ust. 1 u.o.d.o. - jest jednak niedopuszczalna, a odpowiedzialny administrator danych w takiej sytuacji nie powinien rezygnować z działań zapewniających prawidłową realizacje obowiązków wynikających z ww. przepisu ustawy o ochronie danych osobowych. Generalny Inspektor Ochrony Danych Osobowych uznał, że W przypadku, gdy - w opinii strony skarżącej - może to spowodować powstanie zróżnicowania podmiotów w sposobie realizacji dostępu do rejestru PESEL, to zamiast zignorować istniejące zagrożenie - powinien podjąć działania w celu przeciwdziałania takiemu zróżnicowaniu. Zdaniem organu, przykładem takiego działania może być opracowanie wytycznych dla podmiotów korzystających przy dostępie do rejestru PESEL z własnych systemów informatycznych, w tym wskazówek, jak interpretować wynikający z art. 48 pkt 2 ustawy o ewidencji ludności wymóg posiadania zabezpieczeń technicznych i organizacyjnych uniemożliwiających wykorzystanie danych niezgodnie z celem ich uzyskania.

Generalny Inspektor Ochrony Danych Osobowych stwierdził ponadto, że nie można zgodzić się z Ministrem Cyfryzacji, że w zaskarżonej decyzji nie wskazano, w jaki sposób wyposażenie aplikacji "[...]" w funkcjonalność pozwalającą na podawanie uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze PESEL przyczyni się do zwiększenia bezpieczeństwa danych. Zdaniem organu, w uzasadnieniu decyzji wyraźnie wskazano, że wprowadzenie tej funkcjonalności spowoduje wyeliminowanie lub co najmniej ograniczenie zagrożenia dla danych osobowych przetwarzanych w ramach rejestru PESEL, polegającego na dokonywaniu sprawdzeń danych w tym rejestrze bez związku z prowadzoną sprawą.

W konsekwencji, organ uznał, że nie można mówić o naruszeniu art. 8 k.p.a., art. 11 k.p.a. i art. 107 § 1 pkt 6 k.p.a.

Generalny Inspektor Ochrony Danych Osobowych zauważył, że dokonywanie sprawdzenia danych w rejestrze PESEL bez związku z prowadzoną sprawą może oznaczać, że dostęp ten nie jest realizowany na potrzeby ustawowych zadań uprawnionego podmiotu, których realizacja stanowiła podstawę do przyznania takiemu podmiotowi dostępu do rejestru PESEL w świetle art. 46 ust. 1 ustawy o ewidencji ludności. W tym kontekście, jak stwierdził organ, wyposażenie aplikacji "[...]" w omawianą funkcjonalność przyczyni się także do zapewnienia, że dostęp uprawnionych podmiotów do rejestru PESEL będzie rzeczywiście następował dla celów niezbędnych do realizacji ich ustawowych zadań, a nie w innych celach, niezwiązanych z tymi zadaniami.

Generalny Inspektor Ochrony Danych Osobowych uznał, że Minister Cyfryzacji, jako administrator danych przetwarzanych w rejestrze PESEL, jest zatem zobowiązany do zastosowania takich środków technicznych i organizacyjnych, które zapewnią, aby wykorzystanie danych pobranych z rejestru PESEL przez uprawnione podmioty następowało w celu realizacji ich ustawowych zadań, a nie w innym celu. W konsekwencji, jak stwierdził organ, skarżący Minister powinien zadbać o bezpieczeństwo tych danych nie tylko na etapie przyznawania dostępu do rejestru PESEL za pomocą urządzeń teletransmisji danych, ale także na etapie pobierania danych osobowych z tego rejestru.

W świetle przedstawionych wyżej argumentów, Generalny Inspektor Ochrony Danych Osobowych uznał, że nakaz zawarty w pkt 3 decyzji z dnia [...] września 2017 r. został sformułowany z uwzględnieniem ustalonego w toku kontroli stanu faktycznego i obowiązujących w tym zakresie przepisów prawa.

Zdaniem organu, ustalenia dotyczące aplikacji "[...]" i braku funkcjonalności umożliwiającej podawanie uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze PESEL, potwierdzone kontrolami przeprowadzonymi w Ministerstwie Cyfryzacji oraz u wybranych komorników sądowych, w sposób jednoznaczny pozwalają przyjąć, że doszło do naruszenia art. 36 ust. 1 ustawy o ochronie danych osobowych w związku z niezapewnieniem przez Ministra Cyfryzacji odpowiedniej do zagrożeń ochrony danych osobowych przetwarzanych w ramach rejestru PESEL.

Wobec powyższego, organ stwierdził, że nieuzasadniony jest podniesiony przez stronę skarżącą zarzut naruszenia art. 7 k.p.a.

W piśmie z dnia [...] grudnia 2017 r. strona skarżąca, reprezentowana przez radcę prawnego, wniosła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na powyższą decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2017 r., zaskarżając ją w części, tj. w zakresie pkt. 2 tej decyzji.

Wnosząc o uchylenie pkt 2 zaskarżonej decyzji GIODO z dnia [...] listopada 2017 r. oraz pkt 3 poprzedzającej ją decyzji z dnia [...] września 2017 r., a także o zasądzenie kosztów postępowania według norm przepisanych, Minister Cyfryzacji zarzucił Generalnemu Inspektorowi Ochrony Danych Osobowych:

I. naruszenie przepisów prawa materialnego, tj.:

1) naruszenie art. 32 Konstytucji Rzeczypospolitej Polskiej - poprzez nakazanie Ministrowi Cyfryzacji takiej modyfikacji aplikacji "[...]" (dodanie pola "uzasadnienie/sygnatura" sprawy), za pośrednictwem której uprawnione podmioty mogą realizować dostęp do rejestru PESEL, która doprowadzi do zróżnicowania warunków dostępu do rejestru PESEL pomiędzy podmiotami korzystającymi z tej aplikacji i podmiotami, które dostęp do rejestru PESEL realizują za pośrednictwem aplikacji webowych, a tym samym stanie w oczywistej sprzeczności z zasadą równości podmiotów wobec prawa;

2) naruszenie art. 48 pkt 1 w zw. z art. 46 ust. 1 ustawy z dnia 10 marca 2017 r. o ewidencji ludności - poprzez nakazanie Ministrowi Cyfryzacji gromadzenia dodatkowej informacji - cel dostępu do rejestru PESEL, podczas gdy przepis wymaga identyfikacji przez system teleinformatyczny osoby uzyskującej dostęp do danych z rejestru, zakresu pozyskanych danych oraz daty ich uzyskania, natomiast art. 46 ust. 1 cyt. ustawy niejako z mocy prawa wskazuje, że podmioty uprawnione dostęp do rejestru PESEL otrzymują w celu realizacji zadań ustawowych;

II. naruszenie przepisów postępowania, tj.:

1) naruszenie art. 7 k.p.a., mające istotny wpływ na wynik sprawy - poprzez niewyjaśnienie stanu faktycznego koniecznego do załatwienia [pic]sprawy w zakresie ustalenia kwestii związanej z dostępem do rejestru PESEL tych podmiotów, które nie uzyskują dostępu poprzez aplikację "[...]";[pic]

2) naruszenie art. 11 k.p.a., mające istotny wpływ na wynik sprawy - poprzez niewyjaśnienie zasadność przesłanek, którymi kierował się Generalny Inspektor Ochrony Danych Osobowych przy załatwianiu sprawy.

W uzasadnieniu skargi Minister Cyfryzacji, odnosząc się do nakazu sformułowanego w pkt 3 decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] września 2017 r., utrzymanego w pkt 2 zaskarżonej decyzji, podkreślił, że udostępnianie danych osobowych z rejestrów publicznych następuje na podstawie przepisów regulujących funkcjonowanie tychże rejestrów. Z tego względu, zdaniem strony skarżącej, podawanie przez podmioty uprawnione i realizujące dostęp do rejestru PESEL, w drodze teletransmisji danych, uzasadnienia dla ich każdorazowego pozyskania jest niezgodne z obowiązującymi przepisami prawa.

Strona skarżąca stwierdziła, że administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

W tej sytuacji, strona skarżąca uznała, że należy zatem zastanowić się, czy nałożony na Ministra Cyfryzacji obowiązek w sposób faktyczny przełoży się na poprawę bezpieczeństwa danych osobowych przetwarzanych przez podmioty uprawnione.

Dokonując owych rozważań, skarżący Minister zauważył, że stosownie do treści art. 46 ust. 1 ustawy z dnia 24 września 2010 r. o ewidencji ludności, dane mogą być wykorzystane wyłącznie do realizacji zadań ustawowych podmiotów wymienionych w tym przepisie. W tej sytuacji, jak podniósł skarżący Minister, podstawową przesłanką determinującą zgodę Ministra Cyfryzacji na udostępnienie wskazanym w przepisie podmiotom danych osobowych innych osób jest ich niezbędność do realizacji zadań ustawowych. Zatem, zdaniem strony skarżącej, obowiązkiem organu jest udostępnienie danych, jeżeli są one niezbędne do osiągnięcia prawnie usprawiedliwionych celów.

Strona skarżąca uznała, że przepis art. 46 ust. 1 cyt. ustawy jest jednoznaczny i przesądza o tym, że organ prowadzący rejestr PESEL winien, badając przesłankę niezbędności, odwoływać się do aktów normatywnych będących podstawą funkcjonowania podmiotów wymienionych w tym artykule i określających zakres ich kompetencji.

Tymczasem, jak zarzucił Minister Cyfryzacji, organ ochrony danych osobowych, orzekając w powyższym zakresie, nie wskazał, w jaki sposób modyfikacja aplikacji "[...]", która będzie wymagała podania uzasadnienia lub sygnatury akt sprawy, przełoży się na zwiększenie bezpieczeństwa przetwarzania danych osobowych przez podmioty uprawnione.

Według strony skarżącej, obowiązek taki istnieje po stronie organu administracji publicznej na gruncie art. 11 k.p.a., a w szczególności art. 107 § 1 pkt 6 k.p.a.

Strona skarżąca zarzuciła, że GIODO, wydając rozstrzygnięcie zawarte w pkt 3 decyzji z dnia [...] września 2017 r., a następnie potwierdzając je w pkt 2 zaskarżonej decyzji z dnia [...] listopada 2017 r. - nie wziął pod uwagę faktu, że przedmiotowe rozwiązanie byłoby możliwe do zastosowania wyłącznie wobec podmiotów, które dostęp do danych zgromadzonych w rejestrze PESEL i RDO mają za pośrednictwem aplikacji "[...]".

Skarżący Minister zarzucił więc, iż rekomendowane przez Generalnego Inspektora Ochrony Danych Osobowych rozwiązanie nie znajdzie zastosowania w przypadku, w którym podmiot uzyskuje dostęp do danych za pomocą swojego systemu teleinformatycznego, na budowę którego resort cyfryzacji nie ma żadnego wpływu. Strona skarżąca podniosła, iż żaden przepis prawa nie przesądza bowiem, że dostęp do rejestru PESEL ma być realizowany wyłącznie za pośrednictwem zbudowanej przez Ministra Cyfryzacji aplikacji "[...]".

W konsekwencji, skarżący Minister zarzucił, że wykonanie przez Ministra Cyfryzacji decyzji GIODO w zakresie modyfikacji aplikacji "[...]" doprowadziłoby do zróżnicowania podmiotów wobec prawa, co prowadzi do naruszenia art. 32 Konstytucji RP.

Zdaniem strony skarżącej, wprowadzenie zatem do aplikacji "[...]" pola "cel pozyskania danych/sygnatura sprawy" spowoduje zróżnicowanie podmiotów w zakresie zasad dostępu do prowadzonych w Ministerstwie Cyfryzacji rejestrów, co jest rażąco sprzeczne z literą prawa.

Ponadto, strona skarżąca stwierdziła, że modyfikacja aplikacji "[...]" poprzez dodanie pola "cel pozyskania danych/sygnatura sprawy" spowodowałoby gromadzenia przez system teleinformatyczny dodatkowej informacji, której gromadzenia nie przewiduje prawo, naruszając tym samym art. 48 pkt 1 w zw. z art. 46 ust.1 ustawy o ewidencji ludności.

Skarżący Minister zarzucił jednocześnie, iż Generalny Inspektor Ochrony Danych Osobowych, wydając sporne rozstrzygnięcia, zapomniał o adekwatności przyjmowanych w dziedzinie ochrony danych osobowych rozwiązań do spodziewanych rezultatów. W konsekwencji, zdaniem strony skarżącej, doprowadził do przyjęcia rozwiązania, które - wbrew dyspozycji art. 36 ust. 1 ustawy o ochronie danych osobowych – nie będzie mogło być zrealizowane przez zastosowanie odpowiednich, skutecznych środków technicznych i organizacyjnych.

W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, podtrzymując swoje dotychczasowe stanowisko wyrażone w uzasadnieniu zaskarżonej decyzji z dnia [...] listopada 2017 r.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.

Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (tekst jednolity Dz. U. z 2017 r., poz. 2188 ze zm.), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.

W świetle powołanych przepisów cyt. ustawy, Wojewódzki Sąd Administracyjny w Warszawie, w zakresie swojej właściwości, ocenia zaskarżoną decyzję administracyjną, postanowienie, czy też innych akt lub czynność z zakresu administracji z punktu widzenia ich zgodności z prawem materialnym i przepisami postępowania administracyjnego, według stanu faktycznego i prawnego obowiązującego w dacie wydania tego aktu lub podjęcia spornej czynności. Chodzi więc o kontrolę aktów lub czynności z zakresu administracji publicznej dokonywaną wyłącznie pod względem ich zgodności z obowiązującymi przepisami prawa, nie zaś według kryteriów słuszności.

Ponadto, co wymaga podkreślenia, Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną (vide: art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi - tekst jednolity Dz. U. z 2018 r., poz. 1302 - dalej także: "p.p.s.a.").

Należy jednocześnie wyraźnie zaznaczyć, że od dnia wejścia w życie Traktatu Akcesyjnego z dnia 16 kwietnia 2003 r. (Dz. U. z 2004 r. Nr 90, poz. 864), na mocy, którego Polska stała się państwem członkowskim Unii Europejskiej, kontrola sądu administracyjnego obejmuje również zgodność rozstrzygnięć organów administracji publicznej z prawem europejskim (prawem Unii Europejskiej), rozumianym, jako całokształt dorobku prawnego Unii Europejskiej (acquis communautaire), w tym zasad ogólnych prawa europejskiego, interpretowanych oraz stosowanych w sposób jednolity na całym obszarze Unii Europejskiej.

W ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie, analizowana pod tym kątem skarga Ministra Cyfryzacji nie zasługuje na uwzględnienie, albowiem zaskarżona decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2017 r., nr [...] (dot. dot. [...]) oraz poprzedzająca ją decyzja tego organu z dnia [...] września 2017 r. wydana w przedmiocie nakazania Ministrowi Cyfryzacji usunięcia uchybień w procesie przetwarzania danych osobowych - nie naruszają w zaskarżonym zakresie obowiązujących przepisów prawa.

Wojewódzki Sąd Administracyjny w Warszawie stwierdził, że Generalny Inspektor Ochrony Danych Osobowych, wydając obie sporne decyzje w przedmiocie nakazania Ministrowi Cyfryzacji usunięcia uchybień w procesie przetwarzania danych osobowych - nie dopuścił się naruszenia norm procedury administracyjnej, w tym przede wszystkim przepisów art. 6 k.p.a., art. 7 k.p.a., art. 8 k.p.a., art. 11 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a., a także art. 107 § 3 k.p.a., w stopniu mogącym mieć jakikolwiek istotny wpływ na ostateczny wynik sprawy.

Sąd uznał, że organ prawidłowo ocenił zgromadzony w sprawie materiał dowodowy, ustosunkowując się jednocześnie do wszelkich wątpliwości i argumentów strony skarżącej.

Ponadto, w ocenie Sądu, wydając przedmiotowe decyzje administracyjne, Generalny Inspektor Ochrony Danych Osobowych nie dopuścił się również naruszenia norm prawa materialnego, w tym mających zasadnicze znaczenie w niniejszej sprawie przepisów art. 12 pkt 2, art. 18 ust. 1 pkt 1 i art. 22 w związku z art. 36 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, a także przepisów art. 48 pkt 1 w zw. z art. 46 ust. 1 ustawy z dnia 10 marca 2017 r. o ewidencji ludności. Organ nie uchybił również regulacjom prawnym zawartym w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Wbrew zarzutom skarżącego Ministra, organ nie dopuścił się także jakiejkolwiek obrazy konstytucyjnej zasady równości podmiotów wobec prawa, wyrażonej w przepisie art. 32 Konstytucji Rzeczypospolitej Polskiej.

Sąd uznał bowiem, że - wbrew stanowisku strony skarżącej - Generalny Inspektor Ochrony Danych Osobowych, wydając wskazane powyżej decyzje administracyjne, prawidłowo nakazał Ministrowi Cyfryzacji usunięcia uchybień w procesie przetwarzania danych osobowych, przyjmując zasadnie, że w analizowanej sprawie środkiem, który uniemożliwi (lub co najmniej utrudni) wykorzystanie danych niezgodnie z celem ich uzyskania, jest wyposażenie aplikacji "[...]" w funkcjonalność pozwalającą na odnotowanie uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze PESEL.

Tym samym, Sąd uznał, że Generalny Inspektor Ochrony Danych Osobowych, wydając obie sporne decyzje administracyjne - nie dopuścił się w powyższym zakresie istotnego naruszenia zasady praworządności wyrażonej w przepisach art. 6 k.p.a. i art. 7 in principio k.p.a. oraz art. 7 Konstytucji RP.

Przechodząc do oceny legalności zaskarżonej decyzji, należy na wstępie wyraźnie wskazać, że spór w zasadniczej części sprowadza się do rozstrzygnięcia, czy Generalny Inspektor Ochrony Danych Osobowych, dokonując w ramach prowadzonego postępowania administracyjnego kontroli zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, tj. ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i cyt. rozporządzeniem MSWiA w zbiorze danych osobowych o nazwie "[...] "[...]" w funkcjonalność pozwalającą na odnotowanie uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze PESEL przyczyni się do zwiększenia bezpieczeństwa danych.

Dokonując powyższej oceny, wskazać trzeba, iż Generalny Inspektor Ochrony Danych Osobowych jest organem do spraw ochrony danych osobowych.

Jego podstawowe zadania i kompetencje zostały wymienione w art. 12 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

Jednym z zadań GIODO, określonym w art. 12 ust. 2 cyt. ustawy, jest rozpoznawanie skarg w sprawach wykonania przepisów o ochronie danych osobowych. Przedmiotem takiej skargi może być na przykład brak dbałości administratora o merytoryczną poprawność przetwarzanych danych, przetwarzanie tych danych w innym celu niż te, dla którego zostały zebrane, bezpodstawne nieudostępnianie danych. Skarga może dotyczyć również podejrzenia przetwarzania danych przez osobę nieuprawnioną. Jeżeli zatem określona osoba zgłasza GIODO nieprawidłowości w zakresie przetwarzania danych osobowych, jest on zobligowany do wszczęcia postępowania wyjaśniającego, którego zadaniem jest ustalenie, czy dane osobowe są w istocie przetwarzane, jeżeli tak, to w jakim celu i czy proces ten następuje z poszanowaniem przepisów ustawy o ochronie danych osobowych. GIODO wszczyna i prowadzi postępowanie na wniosek strony według przepisów Kodeksu postępowania administracyjnego i rozstrzyga sprawę indywidualną strony w zakresie objętym jej wnioskiem, wydając w tym zakresie decyzję administracyjną (vide: m.in. wyrok WSA w Warszawie z dnia 9 listopada 2011 r., sygn. akt II SA/Wa 1363/11).

W rozpoznawanej sprawie, Generalny Inspektor Ochrony Danych Osobowych dokonał oceny poprawności przetwarzania danych osobowych w zbiorze danych osobowych o nazwie "[...]", uwzględniając okoliczności przetwarzania tych danych, całokształt materiału dowodowego oraz przepisy prawa, w tym przepisy ustawy o ochronie danych osobowych.

Wykonując powierzone zadania, w świetle przepisów cyt. ustawy, GIODO obowiązany jest dokonać oceny zgodności z prawem przetwarzania danych osobowych.

Rolą organu powołanego do spraw ochrony danych osobowych jest zatem - w każdej indywidualnej sprawie - przede wszystkim ustalenie, czy dane osobowe przetwarzane są zgodnie z prawem. Ocena w tym zakresie determinuje bowiem rodzaj rozstrzygnięcia organu. Pamiętać przy tym należy, że przez przetwarzanie danych rozumie się m.in. ich zbieranie, utrwalanie, opracowywanie, udostępnianie (art. 7 pkt 2 u.o.d.o.).

Stosownie do art. 22 ustawy o ochronie danych osobowych, postępowanie w sprawach uregulowanych w tej ustawie prowadzi się według przepisów Kodeksu postępowania administracyjnego, o ile przepisy ustawy nie stanowią inaczej.

Z uwagi na fakt, iż ustawa o ochronie danych osobowych nie reguluje kwestii postępowania dowodowego i powinności organu związanych z czynieniem ustaleń faktycznych, zastosowanie w tym zakresie znajdują reguły i zasady określone w Kodeksie postępowania administracyjnego.

W ocenie Sądu, należy uznać, że w rozpoznawanej sprawie Generalny Inspektor Ochrony Danych Osobowych przeprowadził postępowanie dowodowe w zakresie niezbędnym do jej rozstrzygnięcia. Postępowanie prowadzone przez GIODO miało charakter kontrolny w tym znaczeniu, że organ badał zgodność przetwarzania danych osobowych z przepisami o ochronie danych osobowych, tj. ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i cyt. rozporządzeniem MSWiA w zbiorze danych osobowych o nazwie "[...]", w tym udostępnianie danych z rejestru PESEL komornikom sądowym. Dokonując owego badania, GIODO ocenił, że w analizowanym procesie przetwarzania doszło do uchybień, których stwierdzenie obligowało Generalnego Inspektora Ochrony Danych Osobowych do wydania stosownego nakazu, zgodnie z treścią art. 18 ust. 1 ustawy.

Zdaniem Sądu, przeprowadzona przez Generalnego Inspektora Ochrony Danych Osobowych kontrola miała postać postępowania wyjaśniającego i została dokonana w ramach realizacji zadania organu określonego w art. 12 pkt 2 u.o.d.o.

Ustalenia faktyczne, jakich dokonał organ, pozwoliły na wyprowadzenie wniosku, który Sąd ocenia jako prawidłowy, że w przedmiotowej sprawie doszło do naruszenia przepisów ustawy o ochronie danych osobowych, były zatem podstawy do zastosowania nakazów przewidzianych w art. 18 ust. 1 u.o.d.o.

Wojewódzki Sąd Administracyjny w Warszawie pragnie wyraźnie zauważyć, że zadaniem ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych nie jest jedynie stanie na straży interesów tych, których przetwarzane dane osobowe dotyczą. Naczelną zasadą ustawy nie jest też zakaz przetwarzania danych osobowych, lecz przestrzeganie zakresu i trybu ich przetwarzania.

W art. 1 ustawy o ochronie danych osobowych stwierdza się bowiem, że przetwarzanie danych osobowych może mieć miejsce, jeżeli służy to dobru publicznemu, dobru osoby, której dane dotyczą lub dobru osób trzecich. Ochrona danych osobowych, na podstawie przepisów powołanej ustawy, nie powinna być oderwana od przepisów służących ochronie innych wartości.

Stosownie do treści art. 7 pkt 2 cyt. ustawy, przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Z kolei w przepisie art. 23 ust. 1 ustawy o ochronie danych osobowych zostały wymienione przesłanki legalizujące przetwarzanie danych osobowych.

Zgodnie z treścią tego przepisu przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: (1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba, że chodzi o usunięcie dotyczących jej danych, (2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, (3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, (4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, (5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Wskazany powyżej przepis ustawy o ochronie danych osobowych określa ogólne materialne przesłanki przetwarzania danych osobowych. Przesłanki te mają charakter generalny, odnoszą się do wszelkich form przetwarzania danych, w tym zarówno do przetwarzania "na własne potrzeby" administratora, jak i "na zewnątrz". Są one co do zasady równoprawne, mają charakter autonomiczny i niezależny, co oznacza, że wystarczy wystąpienie jednej z nich, by przetwarzanie danych mogło być uznane za usprawiedliwione. Oznacza to także, że zgoda osoby, której dane dotyczą, nie jest wyłączną przesłanką przetwarzania danych osobowych (por. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, System Informacji Prawnej LEX, 2015 r.).

Nie ulega wątpliwości, że każda z wymienionych w przepisie art. 23 ust. 1 u.o.d.o. podstaw stanowi odrębną przesłankę dopuszczalności przetwarzania danych osobowych i na gruncie określonego stanu faktycznego musi bezwzględnie uzasadniać przetwarzanie.

Stosownie do art. 36 u.o.d.o., "Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem." Oznacza to, że każdy administrator danych, bez względu na kategorię przetwarzanych danych oraz zagrożenia, ma obowiązek spełnić wymogi wskazane wprost w przepisach art. 36-39 ustawy, tj.: wyznaczyć administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony danych osobowych - chyba, że administrator danych sam wykonuje te czynności (art. 36 ust. 3 ustawy), nadać upoważnienia osobom dopuszczonym do przetwarzania danych osobowych (art. 37 ustawy), prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych (art. 39 ust. 1 ustawy), a także prowadzić dokumentację opisującą sposób przetwarzania danych osobowych oraz środki ich ochrony (art. 36 ust. 2 ustawy).

Na ww. dokumentację, stosownie do treści § 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych składa się polityka bezpieczeństwa, a w przypadku przetwarzania danych w systemie informatycznym również instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Powyższy przepis nie wskazuje, jakie konkretnie środki mają być zastosowane przez administratora danych. Obowiązki administratora wynikają z postawionych mu zadań. Zadania te ujęte są bardzo szeroko i ogólnie: administrator ma zapewnić ochronę przetwarzanych danych osobowych. Tak ujęty obowiązek jest następnie uszczegółowiony w ten sposób, że wskazane zostały najistotniejsze zadania polegające na zabezpieczeniu danych przed ich: udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, uszkodzeniem, zniszczeniem, zmianą, utratą, przetwarzaniem z naruszeniem ustawy.

Sąd wskazuje, że wskazane zadania powinny być zrealizowane przez zastosowanie odpowiednich, skutecznych, środków technicznych i organizacyjnych. Ustawodawca nie przesądza, jakie to mają być środki. Administrator powinien dzięki nim wyeliminować wystąpienie opisanych szkodliwych zdarzeń, a gdy to niemożliwe - maksymalnie ograniczyć ryzyko ich pojawienia się.

W literaturze przedmiotu wskazuje się, że skuteczność zastosowanych środków powinna podlegać badaniom, zaś przy stosowaniu zabezpieczeń powinno się też uwzględniać zmieniające się warunki oraz postęp techniczny (informatyczny), co może powodować konieczność zmiany czy modernizowania wprowadzonych wcześniej przez administratora systemów ochrony.

Stopień zagrożenia wystąpieniem opisanych negatywnych zdarzeń (udostępnieniem nieuprawnionemu, zaborem danych, przetwarzaniem z naruszeniem ustawy, zmianą, utratą, uszkodzeniem lub zniszczeniem) jest różny w odniesieniu do różnych danych osobowych. Stąd też podejmowane przez administratorów środki nie muszą być we wszystkich przypadkach takie same. Można i należy dopasowywać je do konkretnych okoliczności i warunków przetwarzania. Powinna zachodzić adekwatność wspomnianego zagrożenia do skali i rodzajów zastosowanych środków (niekiedy mówi się o zasadzie odpowiedniości środków). Ową adekwatność należy oceniać według zobiektywizowanych kryteriów, typowych, przeciętnych zachowań i potrzeb.

Podejmując decyzję w sprawie zabezpieczenia danych, administrator powinien więc wziąć pod uwagę w szczególności: koszt zainstalowania zabezpieczeń, charakter chronionych danych oraz zagrożeń, jakie wiążą się z ich przetwarzaniem, szkodę (krzywdę), jaka mogłaby powstać w związku z nieuprawnionym dostępem do danych lub innym ich przetwarzaniem.

Ustawa o ochronie danych osobowych nałożyła na administratora danych obowiązek prowadzenia dokumentacji zawierającej opis sposobu przetwarzania danych oraz środków technicznych i organizacyjnych zapewniających ochronę danych. Ogólne sformułowanie ustawy dotyczące obowiązku prowadzenia dokumentacji zostało uzupełnione szczegółowymi regulacjami zawartymi w cyt. rozporządzeniu w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Dokumentacja powinna być prowadzona w formie pisemnej. Obowiązek "wdrożenia" dokumentacji, a więc jej opracowania i upowszechnienia wśród osób przetwarzających dane.

Generalny Inspektor Ochrony Danych Osobowych wydał dokument, który w założeniu ma stanowić pomoc dla administratorów danych przy opracowywaniu polityki bezpieczeństwa. W dokumencie tym (vide: Wytyczne w zakresie opracowania i wdrożenia polityki bezpieczeństwa) wyjaśnione zostało pojęcie polityki bezpieczeństwa, wskazany został cel jej opracowania i wdrożenia oraz opisane zostały poszczególne elementy składowe tego dokumentu. W wytycznych oparto się m.in. na Polskiej Normie PN-ISO/IEC 17799:2003 Technika Informatyczna. Praktyczne zasady zarządzania bezpieczeństwem informacji.

Szczegółowe wyjaśnienia i opisy dotyczące instrukcji można znaleźć także w opracowanym przez GIODO dokumencie: Wskazówki dotyczące sposobu opracowania instrukcji określającej sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem wymogów bezpieczeństwa informacji.

W związku z powyższym, Sąd wskazuje, że obowiązek wdrożenia dokumentacji ciąży na administratorze danych. Przez wdrożenie rozumieć można opracowanie, zatwierdzenie i opublikowanie w odpowiedniej formie (np. zarządzenia) oraz zaznajomienie z ich treścią osób upoważnionych do przetwarzania danych. Dokumentacja powinna być sprawdzana pod kątem zgodności ze stanem faktycznym (zabezpieczenia, ilość zbiorów, kategorie danych itp.), zgodności ze stanem prawnym (wymogi z ustawy i rozporządzenia) oraz poprawności funkcjonowania. Zmiany w tym zakresie powinny być na bieżąco uwzględniane w dokumentacji. Weryfikacji powinien dokonywać administrator danych, na nim także spoczywa obowiązek monitorowania zabezpieczeń systemu informatycznego - w praktyce zazwyczaj czynności te wykonują administrator bezpieczeństwa informacji lub podmioty zewnętrzne (audytorzy).

Powyższe, w ocenie potwierdza słuszność stanowiska Generalnego Inspektora Ochrony Danych Osobowych, iż brak szczegółowych wytycznych w zakresie odnotowywania celu udostepnienia danych osobowych przez podmioty, nie oznacza zatem, że takiego wymogu nie może wprowadzić Minister Cyfryzacji, jako administrator danych w odniesieniu do danych pobieranych przez uprawnione podmioty z rejestru PESEL.

Realizacja omawianych obowiązków administratora danych podlega kontroli Generalnego Inspektora Ochrony Danych Osobowych, jego zastępcy i upoważnionych inspektorów. Mogą oni m.in. domagać się wstępu do pomieszczeń, w których zlokalizowany jest zbiór danych, oraz pomieszczeń, w których przetwarzane są dane poza zbiorem danych, jak też przeprowadzać oględziny urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych. Kierownik kontrolowanej jednostki organizacyjnej oraz kontrolowana osoba fizyczna będąca administratorem danych osobowych są obowiązani umożliwić inspektorowi przeprowadzenie tego rodzaju kontroli (vide: art. 14 i 15 u.o.d.o.). W razie stwierdzenia naruszenia przepisów o ochronie danych osobowych Generalny Inspektor może nakazać, w drodze decyzji administracyjnej, przywrócenie stanu zgodnego z prawem, np. przez zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe (art. 18 u.o.d.o.).

Wymogi określone w rozporządzeniu w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, zostały zróżnicowane przez wprowadzenie tzw. poziomów bezpieczeństwa przetwarzania danych, uwzględniających kategorie przetwarzanych danych oraz zagrożenia związane z przetwarzaniem. Przyjęto przy tym zasadę, że należy zastosować poziom ochrony przynajmniej taki, jaki wynika z kryteriów poddawanych ocenie, co oznacza, że można zastosować poziom wyższy.

Oprócz środków, które mają zapewnić należyty poziom bezpieczeństwa danych, rozporządzenie przewiduje w stosunku do systemów informatycznych, w których przetwarza się dane osobowe, wymogi w zakresie odnotowania gromadzenia i udostępniania danych osobowych.

Sąd wskazuje, iż art. 48 pkt 2 ustawy o ewidencji ludności nakłada na podmioty realizujące dostęp do rejestru PESEL za pomocą urządzeń teletransmisji danych obowiązek posiadania zabezpieczeń technicznych i organizacyjnych właściwych dla przetwarzania danych osobowych, uniemożliwiających w szczególności wykorzystanie danych niezgodnie z celem ich uzyskania.

W związku z powyższym, należy wskazać, że słuszne jest stanowisko Generalnego Inspektora Ochrona Danych Osobowych, który uznał, że środkiem, który uniemożliwi (lub co najmniej utrudni) wykorzystanie danych niezgodnie z celem ich uzyskania, jest wyposażenie aplikacji "[...]" w funkcjonalność pozwalającą na odnotowanie uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze PESEL.

Ponadto, należy - w ocenie Sądu - podzielić stanowisko Generalnego Inspektora Ochrona Danych Osobowych, który wskazał, że to Minister Cyfryzacji udostępnia aplikację "[...]" podmiotom uprawnionym do dostępu do rejestru PESEL, co oznacza, że obowiązek zapewnienia, że aplikacja ta będzie spełniała wszystkie wymogi wynikające z przepisów prawa, w tym wymogi odnoszące się do przetwarzania danych osobowych pobieranych z rejestru PESEL, spoczywa właśnie na Ministrze Cyfryzacji.

Ponadto, w ocenie Sądu należy podkreślić, że proponowane przez Generalnego Inspektora Ochrony Danych Osobowych rozwiązanie pozwoli na dokonanie weryfikacji, czy osoba dokonująca sprawdzenia danych w rejestrze PESEL uczyniła to na potrzeby prowadzonej sprawy, czy też bez żadnego powiązania z nią.

Sąd uznał, że organ w sposób dostatecznie jasny wykazał, że wyposażenie spornej aplikacji "[...]" w omawianą funkcjonalność będzie skutkowało eliminacją lub ograniczeniem jednego z zagrożeń dla danych przetwarzanych w rejestrze PESEL, a tym samym będzie stanowiło realizację obowiązku wynikającego z art. 36 ust. 1 ustawy o ochronie danych osobowych.

Należy także zauważyć, że dokonywanie sprawdzenia danych w rejestrze PESEL bez związku z prowadzoną sprawą może oznaczać, że dostęp ten nie jest realizowany na potrzeby ustawowych zadań uprawnionego podmiotu, których realizacja stanowiła podstawę do przyznania takiemu podmiotowi dostępu do rejestru PESEL w świetle art. 46 ust. 1 ustawy o ewidencji ludności.

Zdaniem Sądu, obowiązkiem Ministra Cyfryzacji winno być odpowiednie zadbanie o bezpieczeństwo tych danych nie tylko na etapie przyznawania dostępu do rejestru PESEL za pomocą urządzeń teletransmisji danych, ale także na etapie pobierania danych osobowych z tego rejestru i tym samym Minister Cyfryzacji powinien wprowadzić odpowiednie środków organizacyjno-techniczne w celu zabezpieczenia i prawidłowego, zgodnego z prawem wykorzystania danych osobowych.

Sąd pragnie podkreślić także, że podziela stanowisko zarówno Generalnego Inspektor Ochrony Danych Osobowych, jak i Ministra Cyfryzacji, że nie zawsze przy dokonywaniu sprawdzenia danych w rejestrze PESEL będzie możliwe podanie pełnego uzasadnienia dla takiego sprawdzenia. Jak podkreślił Generalny Inspektor Ochrony Danych Osobowych "Może być tak np. w przypadku służb prowadzących czynności operacyjne. Wpisanie przez taką służbę "czynności operacyjne" lub "rozpoznanie", jako uzasadnienie dla dokonywanego sprawdzenia też stanowi uzasadnienie i jako takie może pozwolić na przeprowadzenie weryfikacji, czy sprawdzenie rzeczywiście miało miejsce w związku z prowadzonymi czynnościami operacyjnymi".

Zdaniem Sądu, nie ulega wątpliwości, że związanie rygorami procedury administracyjnej oznacza, że GIODO jest obowiązany m.in. do przestrzegania zasady pogłębiania zaufania obywateli do organów praworządnego Państwa (art. 8 k.p.a.). Zdaniem Sądu, organ uwzględniając powyższą zasadę zobowiązany jest dokładnie wyjaśnić okoliczności sprawy, konkretnie ustosunkować się do żądań i twierdzeń strony skarżącej oraz uwzględnić w decyzji zarówno interes społeczny, jak i słuszny interes strony.

Organ administracji jest ponadto obowiązany w sposób wyczerpujący zebrać i ocenić cały materiał dowodowy (art. 7, art. 77 § 1 i art. 80 k.p.a.) oraz uzasadnić swoje rozstrzygnięcie według wymagań określonych w przepisie art. 107 § 3 k.p.a.

Mając powyższe na uwadze, należy uznać, że wydając sporną decyzję administracyjną z dnia [...] listopada 2017 r., Generalny Inspektor Ochrony Danych Osobowych nie dopuścił się w toku postępowania jakichkolwiek istotnych uchybień formalnych, które uniemożliwiłyby Sądowi dokonanie prawidłowej oceny zarzutów skargi i wypowiedzenie się co do legalności (zasadności) podjętego rozstrzygnięcia.

Sąd uznał, że uzasadnienie zaskarżonej decyzji spełnia wymogi przewidziane przez ustawodawcę w przepisie art. 107 § 3 k.p.a., gdyż w jej treści organ wyraźnie wskazał, dlaczego - pomimo podniesionych przez stronę skarżącą argumentów i przedłożonych materiałów dowodowych - zasadne jest wprowadzenie w aplikacji "[...]" funkcjonalności pozwalającej na odnotowanie uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze PESEL.

W konsekwencji powyższych ustaleń, Sąd uznał, że Generalny Inspektor Ochrony Danych Osobowych, stwierdzając, iż w niniejszej sprawie zachodzą podstawy do nakazania kontrolowanej jednostce - Ministrowi Cyfryzacji usunięcia uchybień w procesie przetwarzania danych osobowych w zakresie modyfikacji aplikacji "[...]" - zasadnie nakazał przeprowadzenie stosownej modyfikacji spornej aplikacji, za pośrednictwem której realizowany jest dostęp do rejestru PESEL, w taki sposób, aby umożliwiała ona podanie uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze PESEL.

Sąd nie podzielił zarzutu Ministra Cyfryzacji, jakoby organ ochrony danych osobowych nie wskazał w uzasadnieniu obu spornych decyzji, w jaki sposób wyposażenie aplikacji "[...]" w funkcjonalność pozwalająca na podawanie uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze PESEL przyczyni się do zwiększenia bezpieczeństwa danych. Sąd stwierdził bowiem, że w uzasadnieniu decyzji wyraźnie organ wskazał, że wprowadzenie wspomnianej funkcjonalności spowoduje wyeliminowanie lub co najmniej ograniczenie zagrożenia dla danych osobowych przetwarzanych w ramach rejestru PESEL, polegającego na dokonywaniu sprawdzeń danych w tym rejestrze bez związku z prowadzoną sprawą. Jednocześnie, uznać trzeba, że organ wykazał, że wyposażenie aplikacji "[...]" w omawianą funkcjonalność przyczyni się także do zapewnienia, że dostęp uprawnionych podmiotów do rejestru PESEL będzie rzeczywiście następował dla celów niezbędnych do realizacji ich ustawowych zadań, a nie w innych celach, niezwiązanych z tymi zadaniami.

Zdaniem Sądu, uznać należy jednocześnie, że potencjalne zróżnicowanie podmiotów uprawnionych do dostępu do rejestru PESEL, nie może powodować zaniechania przez administratora danych podejmowania działań zmierzających do zlikwidowania (lub co najmniej ograniczenia) zidentyfikowanego ryzyka dla danych przetwarzanych w ramach rejestru PESEL.

W konsekwencji, nie można mówić o naruszeniu art. 32 Konstytucji RP, jak również o tym, że organ ochrony danych osobowych, rozstrzygając niniejsza sprawę, nie wziął pod uwagę faktu, że dostęp do rejestru PESEL nie zawsze odbywa się przy wykorzystaniu aplikacji "[...]".

Biorąc powyższe pod uwagę, Wojewódzki Sad Administracyjny w Warszawie orzekł, jak w sentencji wyroku, działając na podstawie przepisu art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi.

[pic]