Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Grochowska-Jung, Sędzia WSA Ewa Kwiecińska, asesor WSA Przemysław Szustakiewicz (spr.), Protokolant Michał Sułkowski, po rozpoznaniu na rozprawie w dniu 16 marca 2007 r. sprawy ze skargi M. Sp. z o.o. w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...]r. nr [...] w przedmiocie ochrony danych osobowych 1. uchyla zaskarżoną decyzję oraz decyzję ją poprzedzającą z dnia [...] 2. stwierdza, że zaskarżona decyzja nie podlega wykonaniu w całości 3. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz skarżącej M. Sp. z o. o. w W. kwotę 457 (słownie: czterysta pięćdziesiąt siedem złotych) tytułem zwrotu kosztów postępowania.

Generalny Inspektor Ochrony Danych Osobowych działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1, pkt 6 i art. 22 w związku z art. 26 ust. 1 pkt 1 oraz art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez M. Sp. z o.o. z siedzibą w W. decyzją nr [...] z dnia [...], nakazał spółce naprawę uchybień w procesie przetwarzania danych osobowych poprzez:

zaprzestanie zbierania danych dotyczących karalności pracowników od dnia, w którym niniejsza decyzja stanie się ostateczna;

usunięcie ze zbioru danych pracowników danych dotyczących karalności pracowników w terminie miesiąca od dnia, w którym niniejsza decyzja stanie się ostateczna;

zaprzestanie zbierania danych dotyczących nazwiska rodowego matki pracownika od dnia, w którym niniejsza decyzja stanie się ostateczna;

zgłoszenie do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych osobowych zawartych w raportach ze zdarzeń na terenie Stacji [...] oraz [...] , sporządzanych przez pracowników Służby Ochrony [...], w terminie siedmiu dni od dnia, w którym niniejsza decyzja stanie się ostateczna.

W dniu 21 czerwca 2006 r. wniosek o ponowne rozpatrzenie sprawy dotyczącej nakazu zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych osobowych zawartych w raportach ze zdarzeń na terenie Stacji [...] oraz [...] , sporządzanych przez pracowników Służby Ochrony [...] (pkt 4 decyzji) oraz o umorzenie postępowania we wskazanym zakresie zgłosiła spółka.

Generalny Inspektor Ochrony Danych Osobowych działając na podstawie art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1 i art. 22 w związku z art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, decyzją nr [...] z dnia [...]r., utrzymał w mocy zaskarżoną decyzję. W uzasadnieniu organ podniósł, że zgodnie z treścią art. 40 ustawy o ochronie danych osobowych administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1. W toku kontroli przeprowadzonej przez organ ustalono, iż do zadań pracowników Służby Ochrony [...] (...) należy rejestrowanie zdarzeń na terenie Stacji [...] oraz [...] w formie raportów służbowych. Obowiązek prowadzenia przez wewnętrzne służby ochrony dziennika wydarzeń wynika z treści § 8 ust. 1 pkt 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 17 listopada 1998 r. w sprawie wewnętrznych służb ochrony (Dz. U. z 1999 r. Nr 4, poz. 31 z późn. zm.), zgodnie z którym w wewnętrznych służbach ochrony prowadzi się dziennik wydarzeń zawierający: a) wpis daty i godziny zaistniałego wydarzenia, b) opis wydarzenia, c) dane personalne osób uczestniczących w wydarzeniu, d) dane personalne pracowników ochrony, którzy podejmowali interwencje. Z akt kontroli wynika, iż pracownicy [...] wpisują do raportów dane osobowe uczestników zdarzeń, tj.: imiona i nazwiska, ewentualnie adresy, datę urodzenia, imiona rodziców, w przypadku gdy dane takie od uczestnika zdarzenia uzyskał uprawniony podmiot (Policja, lekarz pogotowia). Raporty ułożone są chronologicznie, zgodnie z datą zdarzenia, jak również z podziałem na miejsce zdarzenia (stacje [...] ). Oddzielnie przechowywane są raporty ze zdarzeń z udziałem Pogotowia Ratunkowego. W świetle powyższych ustaleń, wskazane raporty tworzą zbiór, a zatem istnieje obowiązek zgłoszenia go do rejestracji Generalnemu Inspektorowi. Zgodnie z treścią art. 7 pkt 1 ustawy o ochronie danych osobowych, ilekroć w ustawie jest mowa o zbiorze danych – rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. W myśl wskazanej ustawowej definicji muszą być spełnione określone przesłanki, aby uznać, że dane są przetwarzane w zbiorze danych. Na podstawie ustaleń kontroli nie budzi wątpliwości, że w opisanej sytuacji mamy do czynienia z zestawem danych o charakterze osobowym, który posiada własną strukturę, stanowi bowiem sumę uporządkowanych elementów, w tym przypadku formularzy raportów zawierających rubrykę przeznaczoną na wpisanie danych osobowych uczestników zdarzeń. Jak już wskazano raporty ułożone są chronologicznie, zgodnie z datą zdarzenia, jak również z podziałem na miejsce zdarzenia (stacje [...] ), a oddzielnie przechowywane są raporty ze zdarzeń z udziałem Pogotowia Ratunkowego. Opisany sposób ułożenia raportów wskazuje na istnienie kryteriów dostępności do danych osobowych zawartych w raportach. Nie ma natomiast podstaw, by zakładać, że dane osobowe mają być dostępne według kryteriów osobowych, rozumianych jako zapewniające dostęp do danych identyfikujących (np. imię, nazwisko, adres, numery PESEL i NIP), gdyż ustawa o ochronie danych osobowych nie posługuje się takim pojęciem. Należy także wskazać, że "wystarczy występowanie jednego kryterium wyszukiwawczego w zestawieniu danych, aby zaklasyfikować go jako zbiór danych w rozumieniu art. 7 pkt 1 ustawy". Nie można też przyjąć, że sposób ułożenia raportów nie dotyczy danych osobowych lecz zdarzeń, bowiem w przypadku ww. zbioru, miejsce i data zdarzenia stanowią kryteria dostępu do danych osobowych uczestników tych zdarzeń. Organ uznał, że skoro raporty tworzą zbiór, to nie można przyjąć, że byłby on zwolniony z obowiązku zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych na podstawie art. 43 ust. 1 pkt 11 ustawy, należy wskazać że przesłanka ta dotyczy zwolnienia z rejestracji zbioru danych, administratorów danych przetwarzanych w zakresie drobnych bieżących spraw życia codziennego. Pojęcie "drobnych bieżących spraw życia codziennego" nie zostało w przepisach zdefiniowane, jednak można uznać, że oznacza ono sprawy, które z obiektywnego punktu widzenia są niewielkiej wagi. Prowadzenia zbioru danych uczestników zdarzeń na terenie Stacji [...] i [...] nie można zakwalifikować jako drobnych bieżących sprawach życia codziennego, bowiem rejestracja takich zdarzeń należy do określonych w przepisach prawa obowiązków [...] , jako wewnętrznej służby ochrony (dzienniki wydarzeń zawierające m.in. dane personalne osób uczestniczących w wydarzeniu stanowią dokumentację ochronną, o której mowa w § 8 ust. 1 rozporządzenia w sprawie wewnętrznych służb ochrony, ponadto w § 8 pkt 5 ww. rozporządzenia wskazano, że dokumentacja ochronna prowadzona jest w formie pisemnej, zaś z punktu 6 wynika obowiązek kolejnego numerowania kart tej dokumentacji). Z powyższych względów nie można zgodzić się ze stanowiskiem Spółki w zakresie zwolnienia omawianego zbioru danych z obowiązku rejestracji na podstawie art. 43 ust. 1 pkt 11 ustawy. Organ wskazał także, iż nie można przyjąć, iż do zakresu działań wewnętrznych służb ochrony należy wykonywanie czynności operacyjno-rozpoznawczych w zakresie ochrony osób i obiektów oraz zabezpieczenia miejsca popełnienia czynów przestępczych, dlatego do sporządzanych przez te służby raportów powinny mieć zastosowanie przepisy art. 43 ust. 1 pkt 1 a ustawy o ochronie danych osobowych, należy wskazać, że obowiązujące w Polsce ustawodawstwo przyznaje prawo do wykonywania czynności operacyjno-rozpoznawczych organom ścigania, w tym m.in. Policji, Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu, Żandarmerii Wojskowej, czy Straży Granicznej. Z przepisów ustawy o ochronie osób i mienia nie wynika natomiast, aby takie prawo miały również wewnętrzne służby ochrony, zatem w opisanej sytuacji nie będzie miała zastosowania przesłanka zwalniająca opisywany zbiór z obowiązku rejestracji, tj. art. 43 ust. 1 pkt 1a.

W świetle powyższych ustaleń należy zdaniem GIODO uznać, że wskazane raporty tworzą zbiór danych osobowych, który powinien być zgłoszony do rejestracji Generalnemu Inspektorowi, bowiem nie zachodzą tu przesłanki zwolnienia z rejestracji, o których mowa w art. 43 ust. 1 ustawy.

W dniu 11 października 2006 r. skargę na powyższą decyzję złożyło M. Sp. z o. o. Skarżący wnosząc o uchylenie zaskarżonej decyzji i przywołując bogatą literaturę, dotyczącą ustawy o ochronie danych osobowych wskazał, że:

- narusza ona art. 7 pkt 1 uodo, gdyż raporty sporządzane przez pracowników [...] ze zdarzeń na Stacji [...] i [...] nie stanowią zbioru danych, bowiem dane osobowe pojawiają się w nim sporadycznie, a ułożenie raportów chronologicznie nie pozwala na dostęp do danych, nadto są ułożone wedle jednego kryterium (chronologii zdarzenia), tymczasem treść przepisu wskazuje, iż takie kryteria powinny wystąpić co najmniej dwa razy;

- zgodnie z art. 43 ust. 1 pkt 11 uodo nie istnieje obowiązek rejestracji danych osobowych, które dotyczą drobnych spraw życia codziennego, tymczasem sporządzane raporty dotyczą właśnie takich spraw;

- zgodnie z art. 43 ust. 1 pkt 1 a z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych, które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności, tymczasem zgodnie z art. 8 ust. 1 ustawy z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (t.j. Dz. U z roku 2005 Nr 145, poz. 1221 ze zm.) oraz § 5 rozporządzenia MSWiA z dnia 17 listopada 1998 r. w sprawie wewnętrznych służb ochrony (Dz. U. z roku 1999 Nr 4, poz. 31) do zakresu takich służb należy wykonywanie takich czynności, a zatem i z tego powodu zbiór nie podlega rejestracji.

W odpowiedzi na skargę organ wniósł o jej oddalenie i podtrzymał argumenty zawarte w zaskarżonej decyzji.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Na podstawie art. 13 § 2 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi ( Dz. U. Nr 153, poz.1270 ze zm.) do rozpoznania sprawy właściwy jest wojewódzki sąd administracyjny, na którego obszarze właściwości ma siedzibę organ administracji publicznej, którego działalność została zaskarżona.

Natomiast zgodnie z treścią art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz.1269 ze zm.) sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującymi w dacie jej wydania.

Rozpatrywana pod tym względem skarga zasługuje na uwzględnienie.

Na wstępie należy wskazać, ze podstawą materialnoprawną są przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U z roku 2002 Nr 101, poz. 926 ze zm.). Ustawa ta w art. 7 pkt 1 definiuje pojęcie zbioru danych osobowych, wskazując, że rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, a zatem jest to:

zestaw danych o charakterze osobowym,

posiadający własną strukturę,

podzielony funkcjonalnie.

Z akt sprawy wynika, że Generalny Inspektor Ochrony Danych Osobowych uznał, że raporty ze zdarzeń na terenie Stacji [...] oraz [...] , sporządzanych przez pracowników Służby Ochrony [...] są zbiorem danych osobowych i jako takie podlegają rejestracji. Wskazać należy, że Służba Ochrony [...] jest wewnętrzną służbą ochrony, powołaną zgodnie z przepisami rozdziału 3 ustawy z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (t.j. Dz. U. z roku 2005 Nr 145, poz. 1221 ze zm.). Szczegółowe zasady funkcjonowania wewnętrznych służb ochrony reguluje rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 17 listopada 1998 r. w sprawie wewnętrznych służb ochrony (Dz. U. z roku 1999 Nr 4, poz. 31 ze zm.). Rozporządzenie nakłada w § 8 ust. 1 pkt 3 obowiązek prowadzenia przez wewnętrzne służby ochrony dziennika wydarzeń zawierającego: wpis daty i godziny zaistniałego wydarzenia, opis zaistniałego wydarzenia, dane personalne osób uczestniczących w wydarzeniu, dane personalne pracowników ochrony, którzy podejmowali interwencję. Tak więc raporty zdarzeń sporządzane przez pracowników [...] są wypełnieniem dyspozycji ww. przepisu. Jak wynika z treści § 8 ust. 1 pkt 3 cyt. rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 17 listopada 1998 r., jest to udokumentowanie działań wewnętrznych służb ochrony, a nie zbieranie danych osobowych osób, które uczestniczyły w zajściach. Wynika to także z akt postępowania kontrolnego, gdzie wskazano, iż pracownicy [...] zamieszczają w raportach informacje o zdarzeniach, które miały miejsce na obszarze działania służby, a dane osobowe osób uczestniczących w zdarzeniu znajdują się tam tylko wtedy, gdy zostały podane pracownikom [...] przez Policję lub Pogotowie Ratunkowe. Tymczasem wedle tekstu ustawy o ochronie danych osobowych podstawowym kryterium, dla którego można stwierdzić, że mamy do czynienia ze zbiorem danych osobowych jest kryterium osobowe. Tymczasem raporty sporządzane przez pracowników [...] dotyczą zdarzeń zaistniałych na terenie Stacji [...] i [...] , a ewentualne dane osobowe znajdują się w nich niejako przypadkowo, wówczas gdy są już odebrane przez inne uprawnione służby. Dane osobowe nie są podstawowe dla danego zbioru. Trudno jest zatem mówić, że zbiór raportów sporządzonych przez pracowników [...] stanowi zbiór danych osobowych (por.: J. Barta, R. Markiewicz Ochrona danych osobowych. Komentarz, Zakamycze 2002, s. 328-329.).

Należy także podnieść, że jedynym z kryteriów, dla którego można mówić, że dany zbiór jest zbiorem danych osobowych jest kryterium dostępności do informacji o osobach znajdujących się w zbiorze. Inaczej mówiąc, ze zbiorem danych osobowych mamy do czynienia, gdy łatwo jest dostać się do informacji o konkretnych osobach. W rozpatrywanej sprawie należy wskazać, że raporty są pogrupowane według kryterium chronologicznego. Nie można zatem wskazać, że dane zebrane w raportach ze zdarzeń na terenie Stacji [...] oraz [...] , sporządzanych przez pracowników Służby Ochrony [...] są łatwo dostępne (por.: A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Warszawa 2004, s. 52-53.). Brak prostego, nieskomplikowanego dostępu do danych osobowych zebranych w raportach wskazuje, iż nie można mówić, że stanowią one zbiór danych osobowych, o którym mowa w art. 7 pkt 1 ustawy o ochronie danych osobowych.

Reasumując należy stwierdzić, że raporty ze zdarzeń na terenie Stacji [...] oraz [...] , sporządzane przez pracowników Służby Ochrony [...] nie są zbiorem danych osobowych i nie podlegają rejestracji jaka jest wymagana dla tego typu zbiorów.

Mając powyższe na względzie, na podstawie art. 145 § 1 pkt 1 lit. a i c ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), Wojewódzki Sąd Administracyjny w Warszawie orzekł jak w sentencji. O wykonalności zaskarżonej decyzji Sąd orzekł na podstawie art. 152 powołanej ustawy – Prawo o postępowaniu przed sądami administracyjnymi.