Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie następującym: Przewodniczący Sędzia NSA Małgorzata Jaśkowska, Sędzia NSA Janina Antosiewicz (spr.), Sędzia del. NSA Jacek Hyla, Protokolant starszy inspektor sądowy Kamil Wertyński, po rozpoznaniu w dniu 10 stycznia 2013 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej I. Polska Sp. z o.o. Obsługa Serwisu Internetowego Sp. j. z siedzibą w Warszawie od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 2 czerwca 2011 r. sygn. akt II SA/Wa 720/11 w sprawie ze skargi I. Polska Sp. z o.o. Obsługa Serwisu Internetowego Sp. j. z siedzibą w Warszawie na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] stycznia 2011 r. nr [...] w przedmiocie usunięcia uchybień w przetwarzaniu danych osobowych 1. uchyla zaskarżony wyrok i przekazuje sprawę do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie; 2. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz I. Polska Sp. z o.o. Obsługa Serwisu Internetowego Sp. j. z siedzibą w Warszawie kwotę 380 (trzysta osiemdziesiąt) złotych tytułem zwrotu kosztów postępowania kasacyjnego.

Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 2 czerwca 2011 r., sygn. akt II SA/Wa 720/11, oddalił skargę [...] Polska Sp. z o.o. Obsługa Serwisu Internetowego Sp. j. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] stycznia 2011 r., nr [...] w przedmiocie usunięcia uchybień w przetwarzaniu danych osobowych.

Wyrok został wydany w następujących okolicznościach sprawy.

Generalny Inspektor Ochrony Danych Osobowych w dniu [...] września 2010 r. wydał decyzję nakazującą [...] Polska Sp. z o.o. Obsługa Serwisu Internetowego Sp. j. z siedzibą w Warszawie, zwanej dalej Spółką usunięcie uchybień w procesie przetwarzania danych osobowych, poprzez:

1) dopełnienie wobec osób, których dane pochodzące ze źródeł powszechnie dostępnych (Monitor Sądowy i Monitor Gospodarczy) zostały zebrane i utrwalone przez ww. administratora danych, obowiązku informacyjnego o którym mowa w art. 25 ust. 1 ustawy o ochronie danych osobowych, w terminie 3 miesięcy, od dnia w którym niniejsza decyzja stanie się ostateczna,

2) zgłoszenie do rejestracji zbioru danych osobowych klientów (właścicieli adresów poczty elektronicznej) w terminie 30 dni, od dnia w którym niniejsza decyzja stanie się ostateczna,

3) zapewnienie użytkownikom serwisu [...] możliwości swobodnego wyrażenia zgody na przetwarzanie ich danych osobowych w celach marketingowych w terminie 30 dni, od dnia w którym niniejsza decyzja stanie się ostateczna,

4) opracowanie dokumentacji stanowiącej politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, w terminie 30 dni, od dnia w którym niniejsza decyzja stanie się ostateczna,

5) nadanie upoważnień do przetwarzania danych osobowych osobom, dopuszczonym do przetwarzania danych osobowych w terminie 14 dni, od dnia w którym niniejsza decyzja stanie się ostateczna,

6) opracowanie ewidencji osób upoważnionych do przetwarzania danych osobowych w terminie 14 dni, od dnia w którym niniejsza decyzja stanie się ostateczna.

W pozostałym zakresie postępowanie zostało umorzone.

W dniu 19 października 2010 r. do Generalnego Inspektora Ochrony Danych Osobowych wpłynął wniosek pełnomocnika Spółki o ponowne rozpatrzenie przedmiotowej sprawy, w którym zarzucono zaskarżonej decyzji naruszenie prawa materialnego, tj. art. 25 ust. 1 i ust. 2 pkt 1 u.o.d.o. w zw. z art. 8 ust. 1–2 ustawy z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym (Dz.U. z 2007 r. Nr 168, poz. 1186 ze zm.) oraz wniesiono o uchylenie zaskarżonej decyzji i umorzenie postępowania.

Generalny Inspektor Ochrony Danych Osobowych, działając na podstawie art. 138 § 1 pkt 1 i 2 k.p.a., art. 12 pkt 2, art. 18 ust. 1 pkt 1 i art. 22 w zw. z art. 23 ust. 1 pkt 1, art. 25 ust. 1, art. 36 ust. 2, art. 37, art. 39 i art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.), powoływanej dalej jako u.o.d.o., decyzją z dnia [...] stycznia 2011 r. utrzymał w mocy swoją decyzję z dnia [...] września 2010 r.

Generalny Inspektor Ochrony Danych Osobowych w uzasadnieniu decyzji z dnia [...] stycznia 2011 r. przywołał treść art. 25 ust. 1 ustawy, zgodnie z którym w przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych, 3) źródle danych, 4) prawie dostępu do treści swoich danych oraz ich poprawiania, 5) uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8. Dalej organ podniósł, że jak wynika ze stanu faktycznego ustalonego na podstawie zebranego w przedmiotowej sprawie materiału dowodowego, Spółka prowadzi działalność w zakresie świadczenia usług odpłatnego udzielania informacji gospodarczej, pochodzącej ze źródeł powszechnie dostępnych (Monitor Sądowy i Monitor Gospodarczy) osobom zainteresowanym. Usługa ta jest udostępniana za pośrednictwem publicznej sieci Internet. W związku z powyższym Spółka, przetwarza dane osobowe w zakresie: imię, nazwisko, nr PESEL, pełniona funkcja, rok urodzenia, które zostały ujawnione w Krajowym Rejestrze Sądowym (KRS). Organ podkreślił, że Spółka pozyskuje dane z KRS w celu utworzenia odrębnego zbioru danych, który wykorzystuje dla własnych celów zarobkowych. W ten sposób Spółka staje się administratorem zebranych w opisany sposób danych. Przesłankę do przetwarzania danych osobowych organ upatruje w art. 23 ust. 1 pkt 5 u.o.d.o. Jako na administratorze danych, ciąży na Spółce obowiązek, informacyjny (bezpośrednio po utrwaleniu zebranych danych), o którym mowa w art. 25 ust. 1 u.o.d.o.

W dniu 28 lutego 2011 r. skargę na powyższą decyzję oraz na decyzję ją poprzedzającą, złożyła [...] Polska Sp. z o.o. Obsługa Serwisu Internetowego Sp. j. z siedzibą w Warszawie reprezentowana przez profesjonalnego pełnomocnika, wnosząc o stwierdzenie ich nieważności, ewentualnie o ich uchylenie, ponadto Spółka wniosła o wstrzymanie wykonalności zaskarżonych decyzji i o zasądzenie na jej rzecz zwrotu kosztów postępowania.

Skarżąca zarzuciła zaskarżonym decyzjom spełnienie przesłanki, o której mowa w art. 156 § 1 pkt 5 k.p.a. powodującej ich nieważność, ze względu na trwałą niewykonalność (istniejącą już w dniu wydania aktów administracyjnych) nałożonego w decyzji obowiązku przekazania informacji osobie, której dane dotyczą, a także naruszenie przepisów u.o.d.o., tj. art. 25 ust. 2 pkt 1 w zw. z ust. 1 u.o.d.o. oraz art. 8 ust. 1–2 ustawy o Krajowym Rejestrze Sądowym, poprzez błędną wykładnię wspomnianego przepisu, polegającą na stwierdzeniu przez organ administracji publicznej, że w przedmiotowej sprawie nie zachodzi wyłączenie obowiązku informacyjnego oraz art. 18 ust. 1 u.o.d.o. poprzez zawarcie w decyzji administracyjnej wadliwego rozstrzygnięcia, w którym nie określa się przedmiotu nakazu, tj. czynności służących przywróceniu stanu zgodnego z prawem.

W odpowiedzi na skargę organ wniósł o jej oddalenie i podtrzymał argumenty zawarte w zaskarżonej decyzji.

Wojewódzki Sąd Administracyjny w Warszawie oddalając skargę zaskarżonym wyrokiem wskazał, że polski ustawodawca już w art. 47, 49 i 51 Konstytucji wskazał na prawo do prywatności obywatela w tym także ochronę jego danych przed nadmierną ingerencją innych podmiotów. Rozwinięciem tych przepisów jest ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, która z kolei nawiązuje do rozwiązań zawartych w Dyrektywie Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych. Te akty prawne tworzą obecnie podstawowe ramy dla ochrony danych osobowych w Polsce. Ustawa o ochronie danych osobowych statuuje zasadę ochrony danych osobowych. Zgodnie z art. 1 u.o.d.o. każdy ma prawo do ochrony dotyczących go danych osobowych, a samo przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne lub dobro osoby, której te dane dotyczą. Z treści wyżej wskazanych przepisów wynika, że ochrona danych osobowych jest jednym z podstawowych praw obywatelskich w demokratycznym państwie prawa. Ochrona danych osobowych wiąże się bowiem z ochroną życia prywatnego, a zatem stanowi o wolności obywatela. Prawo do ochrony danych osobowych nie jest jednak prawem absolutnym i podlega ograniczeniu ze względu na interes publiczny lub usprawiedliwiony interes innych osób. Niemniej jednak, skoro jest to prawo obywatelskie decydujące o poczuciu wolności danej osoby, to wyjątki dopuszczające zbieranie i wykorzystywanie danych osobowych powinny być poddane ścisłej wykładni. Ustawodawca kierując się wartościami ochrony praw konstytucyjnych nie może dopuścić do sytuacji, w której to prawo poprzez rozszerzającą interpretację przepisów dotyczących przetwarzania i udostępnienia danych osobowych, jest naruszane.

Przechodząc na grunt rozpatrywanej sprawy jako błędny Sąd uznał pogląd skarżącego, iż podstawa prawna zaniechania przez niego obowiązku informacyjnego określonego w art. 25 ust. 1 u.o.d.o. istnieje w art. 25 ust. 2 pkt 1 w zw. z art. 8 ust. 1–2 ustawy z dnia 27 sierpnia 1997 r. o Krajowym Rejestrze Sądowym. Przepis art. 25 ust. 2 pkt 1 statuuje, iż nie ma obowiązku powiadamiania osoby, której dane dotyczą, w sytuacji, gdy przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której te dane dotyczą. Przepisy ustawy o Krajowym Rejestrze Sądowym określają zasady wpisu do rejestru oraz zasady jego udostępnienia. Wspomniany w skardze art. 8 ust. 1–2 ustawy o Krajowym Rejestrze Sądowym statuuje zasadę jawności danych zawartych w rejestrze. Sąd zauważył jednak, że ww. ustawa z dnia 27 sierpnia 1997 r. reguluje sposób udostępnienia danych osobowych osób, których dane znajdują się w KRS w sposób całkowity. Dane te są udostępniane w drodze elektronicznej przez Centralną Informację KRS lub w drodze przeglądania akt rejestru we właściwych wydziałach sądów. Dane te są udostępniane każdemu zainteresowanemu, dla jego potrzeb związanych z pewnością obrotu gospodarczego. Osoba, która podejmuje działalność, która ma być wpisana do KRS wie, że jej dane są w prowadzonym przez Państwo rejestrze i tylko na podstawie przepisów dotyczących funkcjonowania tego rejestru te dane będą wykorzystane.

Tymczasem skarżący pobiera dane osobowe osób znajdujących się w KRS, takie jak imię, nazwisko, numer PESEL do własnej bazy danych, w której te dane są przetwarzane. Dane Z KRS nie mają służyć do takiego celu, a osoby które udostępniają swoje dane osobowe nie wyrażają zgody na to, aby ich dane osobowe były umieszczane w innej, prywatnej bazie danych. Decydując się na umieszczenie swoich danych w KRS przedsiębiorcy mają zaufanie, że ich dane będą ujawniane i wykorzystywane tylko w taki sposób na jaki zezwala ustawa o Krajowym Rejestrze Sądowym. Takie rozumienie przepisu art. 25 ust. 2 pkt 1 u.o.d.o. w zw. z art. 8 ust. 1–2 ustawy o Krajowym Rejestrze Sądowym wynika ze ściślej interpretacji tych przepisów. Ustawodawca nie może bowiem dopuścić do tego, że ochrona danych osobowych znajdujących się w KRS nie będzie ograniczona wobec podmiotów, które będą chciały wykorzystać te dane w innych celach i na innych zasadach niż dopuszcza to ustawa o Krajowym Rejestrze Sądowym. Wówczas dopuszczono by także do sytuacji, w której dane z KRS mogłyby być w nieograniczony sposób wykorzystywane, bez woli osób w nich ujętych, w celu utworzenia bazy danych dla prowadzenia kampanii marketingowych.

Według Sądu, powyższa interpretacja art. 25 ust. 2 pkt 1 u.o.d.o. ma uzasadnienie także w wykładni historycznej przepisu art. 25 ust. 2 u.o.d.o. Otóż do dnia 1 maja 2004 r. obowiązywał przepis art. 25 ust. 2 pkt 2 u.o.d.o. Przepis ten przewidywał, że administrator nie informował danej osoby o tym, że jej dane znajdują się w bazie danych w sytuacji, gdy dane te pochodziły ze zbiorów powszechnie dostępnych. Wejście w dniu 1 maja 2004 r., a więc w dniu przystąpienia Polski do Unii Europejskiej przepisów ustawy z dnia 22 stycznia 2004 r. o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe (Dz.U. Nr 33, poz. 285) spowodowało, iż "uchylone zostały wyłączenia obowiązku informacyjnego." Dotyczy to tym samym przypadku pozyskiwania danych ze źródeł ogólnie dostępnych (pkt 2), czyli np. opublikowanych we wszelkich wykazach, spisach, rejestrach, książkach telefonicznych, almanachach (...). Również w takich przypadkach istnieje, więc obowiązek poinformowania osoby, której dane dotyczą o ich przetwarzaniu (P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2009, s. 257). Ustawodawca implementując przepisy europejskie do polskiego prawa ochrony danych osobowych wykreślił możliwości nieinformowania osoby o jej uprawnieniach związanych z przetwarzaniem danych osobowych w sytuacji, gdy jej dane są zawarte w powszechnie dostępnych i jawnych rejestrach. Tak więc w sytuacji, gdy skarżący pozyskuje dane osobowe z KRS w celu ich przetwarzania jest zobowiązany do wypełnienia obowiązku informacyjnego określonego w art. 25 ust. 1 u.o.d.o.

Jako nieuzasadniony Sąd uznał zarzut skarżącego, że zaskarżona decyzja stoi w sprzeczności z postanowieniami Dyrektywy 2003/98/WE Rady i Parlamentu Europejskiego w dniu 17 listopada 2003 r. w sprawie ponownego wykorzystywania informacji sektora publicznego. Powyższy akt prawny nie ma zastosowania wprost do polskiego porządku prawnego, bowiem dyrektywy unijne są implementowane do porządku prawnego państwa członkowskiego i dopiero wówczas wchodzą w życie w danym porządku prawnym. Powyższa dyrektywa nie jest przyjęta do prawa polskiego i dopiero trwają prace nad jej implementacją (por. Założenia do projektu ustawy o ponownym wykorzystaniu informacji publicznej z dnia 3 września 2009 r., opublikowane w bip.mswia.gov.pl/download.php?s=4&id=5366).

Wbrew zarzutom skargi Sąd uznał, że zaskarżona decyzja jest wykonalna. Skarżący budując własną bazę danych osobowych posiada dane, które zezwalają mu na wykonanie obowiązku informacyjnego wobec osób, które w tej bazie znajdują się; są tam bowiem imiona i nazwiska osób oraz numery PESEL osób fizycznych, a także siedziba podmiotów gospodarczych, w których pełnią one funkcje. Nadto skarżąca może skorzystać z usług Centralnego Biura Adresowego. Fakt, że jest to duże przedsięwzięcie organizacyjne i dotyczy znacznej liczby osób nie oznacza, że jest ono niewykonalne. Skarżący budując dużą bazę danych musiał się liczyć, że w stosunku do takiej liczby osób będzie miał określone przepisami ustawy o ochronie danych osobowych obowiązki.

Decyzje wydane przez Generalnego Inspektora Ochrony Danych Osobowych nie naruszają treści art. 18 ust. 1 u.o.d.o. Dyspozycja w tym zakresie jest jasna. Skarżący ma wykonać obowiązek informacyjny określony w treści art. 25 ust. 1 u.o.d.o. Organ nie miał obowiązku wskazywać, w jaki konkretny sposób ma ten obowiązek wykonać. Sposób w jaki zostaną zawiadomione osoby, których dane osobowe znajdują się w bazie danych jest pozostawiony skarżącemu, który powinien go dostosować do posiadanych danych i swoich możliwości organizacyjnych. Wskazanie przez organ na konkretny sposób zawiadomienia np. tylko pocztą albo tylko drogą elektroniczną nie miałoby uzasadnienia w charakterze sprawy, a nawet mogłoby doprowadzić do niewykonalności decyzji.

Mając powyższe na względzie, Wojewódzki Sąd Administracyjny w Warszawie na podstawie art. 151 w zw. z art. 132 ustawy – Prawo o postępowaniu przed sądami administracyjnymi oddalił skargę.

Od powyższego wyroku [...] Polska Sp. z o.o. Obsługa Serwisu Internetowego Sp. j. wniosła skargę kasacyjną, zaskarżając wyrok w całości; zaskarżonemu wyrokowi zarzucając naruszenie przepisów prawa materialnego poprzez błędną ich wykładnię lub niewłaściwe zastosowanie, tj.:

1) art. 25 ust. 2 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych poprzez jego niezastosowanie, w wyniku błędnej wykładni art. 8 i art. 13 ustawy z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym i przyjęcie, że na podmiotach zbierających i utrwalających dane osobowe zawarte w treści wpisu do rejestru przedsiębiorców, ogłoszonego w Monitorze Sądowym i Gospodarczym, ciąży obowiązek informacyjny wobec osób, których te dane dotyczą.

Zaskarżonemu wyrokowi zarzucono również naruszenie przepisów postępowania, co miało istotny wpływ na wynik sprawy, tj.:

2) art. 134 § 1 P.p.s.a. w zw. z art. 1 § 2 ustawy z dnia 25 lipca 2002 r. Prawo o ustroju sądów administracyjnych i art. 288 Traktatu o funkcjonowaniu Unii Europejskiej (Dz.U. z 2004 r. Nr 90, poz. 864), poprzez przyjęcie, że dyrektywy wspólnotowe, nie mają znaczenia dla kontroli zgodności z prawem dokonywanej przez sądy administracyjne;

3) art. 135 i art. 145 § 1 pkt 1 lit. a/ w zw. z art. 134 § 1 P.p.s.a. poprzez nieuchylenie zaskarżonej decyzji, w sytuacji, gdy zaskarżona decyzja wydana została z mającym wpływ na wynik sprawy naruszeniem prawa materialnego:

a) art. 91 Konstytucji RP w zw. z art. 288 Traktatu o funkcjonowaniu Unii Europejskiej poprzez przyjęcie, że art. 25 ust. 2 pkt 3 u.o.d.o. określa, iż obowiązek informacyjny ciąży na administratorze danych, nawet jeżeli wymaga to niewspółmiernie dużego wysiłku w rozumieniu art. 11 ust. 2 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U.UE.L.95.281.31, dalej "Dyrektywa 95/46/WE");

4) art. 135 i art. 145 § 1 pkt 1 lit. c/ w zw. z art. 134 § 1 P.p.s.a. poprzez nieuchylenie zaskarżonej decyzji, w sytuacji, gdy zaskarżona decyzja wydana została z mogącym mieć istotny wpływ na wynik sprawy naruszeniem:

a) art. 7, art. 77 k.p.a. poprzez niezgromadzenie materiału dowodowego niezbędnego do wydania decyzji w zakresie "niewspółmiernie dużego wysiłku" w rozumieniu art. 11 ust. 2 Dyrektywy 95/46/WE;

b) art. 104 § 1 pkt 5 i art. 156 § 1 pkt 5 k.p.a. w zw. z art. 18 ust. 1 u.o.d.o. poprzez nałożenie w decyzji administracyjnej rozstrzygającej co do całości istoty sprawy, obowiązku trwale niewykonalnego w jej świetle oraz poprzez niezastosowanie w treści decyzji art. 18 ust. 1 pkt 2 u.o.d.o. nakazującego uzupełnienie danych osobowych, co byłoby podstawą prawną (interesem prawnym) w celu uzyskania dodatkowych danych osobowych przez skarżącą, jako administratora danych.

Wobec powyższego skarżąca wniosła o:

1) uchylenie zaskarżonego wyroku w całości i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie,

2) zasądzenie kosztów postępowania według norm przepisanych.

Ponadto na podstawie art. 61 § 3 P.p.s.a. w zw. z art. 193 P.p.s.a. wniosła o:

3) wstrzymanie wykonalności decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia 21 stycznia 2011 r. oraz poprzedzającej jej decyzji tego organu z dnia 24 września 2010 r.

W przypadku powzięcia przez Naczelny Sąd Administracyjny wątpliwości, co do prawidłowej wykładni przepisów art. 11 ust. 2 Dyrektywy 95/46/WE, wniosła o:

4) zawieszenie postępowania w trybie art. 124 § 1 pkt 5 P.p.s.a. i zwrócenie się do Trybunału Sprawiedliwości Unii Europejskiej, na podstawie art. 267 pkt b Traktatu o funkcjonowaniu Unii Europejskiej, z następującymi pytaniami prawnymi w trybie prejudycjalnym:

1) Czy art. 11 ust. 2 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, należy interpretować w ten sposób, iż sprzeciwia się on przepisowi krajowemu, który nakłada na administratora danych bezwzględny obowiązek informacyjny w stosunku do osób, których dane dotyczą, w sytuacji gdy dane osobowe zostały pozyskane z publicznych, jawnych zbiorów danych (rejestrów), a dostarczenie takich informacji wymaga niewspółmiernie dużego wysiłku?

2) Czy art. 11 ust. 2 Dyrektywy 95/46/WE spełnia przesłanki wymagane przez orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej dla przyznania mu bezpośredniej skuteczności?

W obszernym uzasadnieniu skargi kasacyjnej podniesiono m.in., że decydujące jest określenie, czy zgodnie z intencjami ustawodawcy, wyrażona w art. 8 i art. 13 ustawy o KRS zasada jawności rejestru ograniczona jest – nałożonym na podmioty, które pozyskują danych z Krajowego Rejestru Sądowego (np. poprzez uzyskanie odpis z KRS) – obowiązkiem informacyjnym wobec osób pełniące określone funkcje w ramach jednostek organizacyjnych wpisanych do KRS. Ocena, czy w przypadku zbierania danych osobowych z KRS dochodzi do powstania obowiązku informacyjnego, wymaga zatem dokonania wykładni norm prawnych regulujących dostęp do KRS. Znaczenie ma określenie, w jakim przypadku osoby korzystające z przewidzianej w art. 8 i art. 13 ustawy o KRS zasady jawności rejestru (w tym możliwości uzyskania odpisów i zaświadczeń), muszą o tym fakcie informować osoby, których dane osobowe są w nim zawarte. Przyjmując rygorystyczną wykładnię tego przepisu zaproponowaną przez WSA w Warszawie, dane osobowe zawarte w KRS powinny być przetwarzane "w prowadzonym przez Państwo rejestrze i tylko na podstawie przepisów dotyczących funkcjonowania tego rejestru dane te będą wykorzystywane" (s. 14 uzasadnienia skarżonego wyroku). Przyjęcie takiej wykładni jako prawidłowej powodowałoby, że każde przechowywanie zbiorów poświadczonych odpisów, wyciągi, zaświadczenia i informacje, a nawet przechowywanie pojedynczego odpisu z KRS w formie elektronicznej, uzyskanych na podstawie dyspozycji art. 8 ust. 3 ustawy o KRS, w celach innych niż ściśle prywatne – w szczególności w obrocie gospodarczym (m.in. wszystkie kancelarie adwokackie i radcowskie) – stanowić będzie przetwarzanie danych osobowych w rozumieniu u.o.d.o. i w konsekwencji wymagałoby spełnienia obowiązku informacyjnego.

Niewątpliwie zbiór kilku numerów Monitora Sądowego i Gospodarczego stanowi uporządkowany według kryterium chronologicznego i przedmiotowego zbiór danych osobowych w rozumieniu art. 7 pkt 1 u.o.d.o., a tym samym – zgodnie z art. 2 ust. 2 pkt 1 u.o.d.o. – ustawa ta znajdowałaby zastosowania, a przechowywanie takich danych w celach innych niż prywatne rodziłoby obowiązek informacyjny. W przypadku wyciągów otrzymywanych drogą elektroniczną do stosowania ustawy i powstania obowiązku informacyjnego wystarczałoby otrzymanie pojedynczego odpisu z KRS, gdyż zgodnie z art. 2 ust. 2 pkt 2 u.o.d.o. nie miałoby znaczenia czy dane osobowe przetwarzane są w zbiorze, czy poza nim. Przyjmując tak niski próg wskazany w u.o.d.o. do istnienia obowiązku informacyjnego i biorąc pod uwagę, że ustawodawca wyraźnie przewidział w art. 8 ust. 2 i ust. 3 ustawy o KRS, prawo uzyskania odpisów KRS, również drogą elektroniczną, wykładnia przedstawiona przez WSA w Warszawie nie może zostać zaakceptowana. Należy zatem dokonać takiej wykładni tego przepisu, która pozwoli – zgodnie z domniemaniem racjonalności ustawodawcy i systemowym wyłożeniem zasady jawności rejestru – na przyjęcie, że nie każdy odbiorca informacji z KRS musi informować o fakcie przechowywania odpisu z KRS wszystkie osoby, których dane się w takim odpisie znajdują. Identyczna wykładnia w zw. z art. 13 ustawy o KRS powinna zostać zastosowana w przypadku danych, które pochodzą "ze źródeł powszechnie dostępnych (Monitor Sądowy i Monitor Gospodarczy)", o których mowa w sentencji decyzji i które "zostały zebrane i utrwalone przez ww. administratora danych." W istocie akceptacja przez WSA w Warszawie wykładni przedstawionej przez GIODO powoduje, że na skarżącej ciąży obowiązek informacyjny już w momencie nabycia (sentencja decyzji: "zostały zebrane") i skserowania lub elektronicznego zarchiwizowania (sentencja decyzji: "utrwalone") dowolnego numeru MSiG. Obowiązek ten ciążył będzie na skarżącej nawet gdyby całkowicie zaprzestała prowadzonej przez siebie działalności polegającej na udostępnianiu informacji z KRS lub MSiG.

Zdaniem skarżącej, z oczywistych względów interpretacja WSA w Warszawie jest chybiona. W tej sytuacji przedmiotem problemu powinno być nie pytanie – czy art. 8 i art. 13 ustawy o KRS wyłączają obowiązek informacyjny – lecz udzielenie odpowiedzi na pytanie w jakim zakresie odnoszą taki skutek. Zgodzić się należy, że art. 8 ustawy o KRS nie upoważnia do przetwarzania danych osobowych zawartych w KRS w dowolnych celach. W szczególności należy zgodzić się z WSA w Warszawie, że niedopuszczalne byłoby przetwarzanie danych osobowych z rejestru w celach marketingowych, bez poinformowania o tym osoby, której dane dotyczą (s. 14 uzasadnienia skarżonego wyroku). Należy jednak zauważyć, że żaden element stanu faktycznego – objętego postępowaniem administracyjnym prowadzonym przez GIODO – nie wskazuje aby skarżąca tak czyniła lub miała zamiar czynić.

Z punktu widzenia przepisów u.o.d.o. bez znaczenia jest czy dane zawarte w zbiorze danych przechowuje się w oryginalnej formie w jakiej się je otrzymało (tu: odpisy z KRS lub kolejne numery MSiG), czy też formę taką się zmienia (np. skanując odpisy KRS czy kolejne numery MSiG); w obu przypadkach mamy do czynienia z przetwarzaniem danych w rozumieniu u.o.d.o. i tertium non datur występuje albo nie występuje obowiązek informacyjny. Zmiana formy pierwotnej informacji uzyskanej bezpośrednio z KRS również nie powinna być czynnikiem "aktywującym" powstanie obowiązku informacyjnego. W istocie zatem wydaje się, że przedmiotem oceny powinna być kwestia – nie formy przetwarzania danych zawartych w KRS – lecz to, czy skarżąca przetwarza(-ła) dane osobowe, w tych samych celach w jakich został utworzony rejestr publiczny. W tym kontekście nie ma zatem znaczenia dla istnienia obowiązku informacyjnego fakt dokonywania przez skarżącą takich operacji jakimi są pozyskiwanie i utrwalanie danych z KRS i MSiG, lecz jedynie cel tego działania.

W ocenie skarżącej, w istocie zatem przyczyną, dla której stała się ona adresatem decyzji GIODO nie wydaje się fakt pozyskiwania, przetwarzania lub nawet udostępniania danych osobowych zawartych w MSiG i KRS. Szukając takiej przyczyny należy raczej wskazać na skalę działalności i jej komercyjny charakter. Fakt takiego działania skarżącej nie może być jednak uznany za prawnie doniosły, a co za tym idzie nie można znaleźć usprawiedliwienia dla stosowania wobec niej odmiennej wykładni art. 8 i art. 13 ustawy o KRS w zw. z art. 25 u.o.d.o., niż w stosunku do dotychczasowych i powszechnie akceptowanych działań przedsiębiorców, związanych z pozyskiwaniem, utrwalaniem i udostępnianiem danych z MSiG i odpisów KRS, wraz z zawartymi w nich danymi osobowymi.

Art. 25 ust. 1 u.o.d.o. nie uzależnienia istnienia lub nieistnienia obowiązku informacyjnego od tego czy przetwarzanie danych następuje w wyniku działalności nakierowanej na osiągnięcie zysku bądź od skali takiej działalności. Wskazać również należy, że fakt odpłatnego przekazywania danych zawartych w MSiG czy KRS nie neguje tego, że przekazywanie to odbywa się dokładnie w tym samych celach, co udostępnianie ich pomiędzy przedsiębiorcami lub innymi podmiotami w "zwykłym" obrocie. W obu przypadkach cel jest bowiem ten sam – uzyskanie informacji o konkretnych osobach prawnych lub jednostkach organizacyjnych wpisanych do KRS. Również TSUE w wyroku z dnia 16 grudnia 2008 r. (Tietosuojavaltuutettu v. Satakunnan Markkinaporssi Oy, Satamedia Oy, C-73/07), ocenił, że dla oceny czy dane działanie ma charakter informacyjny, nie ma znaczenia fakt czy jest podejmowane w celu uzyskania zysku.

Skarżąca wskazała na jeszcze jeden błąd popełniony przez WSA w Warszawie przy wykładni art. 25 ust. 2 pkt 1 u.o.d.o. w zw. z art. 8 i 13 ustawy o KRS. Jak wynika z uzasadnienia (s. 13 uzasadnienia skarżonego wyroku), WSA w Warszawie dokonując wykładni wziął pod uwagę jedynie niektóre spośród konstytucyjnych wartości. Niewątpliwie, co najmniej na równi z przepisami regulującymi prawo do prywatności (art. 47 i 51 Konstytucji RP), należy postawić art. 22 Konstytucji RP ustanawiający zasadę wolności gospodarczej, art. 54 Konstytucji RP zapewniający jednostkom wolność pozyskiwania i rozpowszechniania informacji oraz art. 31 Konstytucji RP, wprowadzający zasadę proporcjonalności ograniczeń. WSA w Warszawie powinien zatem dokonać oceny skarżonych decyzji uwzględniając wszystkie zasady konstytucyjne, ważąc interesy osób pełniących funkcje w organach podmiotów wpisanych do KRS, z interesami przedsiębiorcy, który w ramach prowadzonej działalności gospodarczej realizuje konstytucyjną wolność pozyskiwania i rozpowszechnia – jawnych – informacji o takich zarejestrowanych podmiotach.

Na koniec również zauważono, że nietrafna jest dokonana przez sąd administracyjny wykładnia historyczna art. 25 ust. 2 pkt 2 u.o.d.o. Przyczyny wykreślenia wyłączenia obowiązku informacyjnego w przypadku gdy "dane przewidziane do zebrania są ogólnie dostępne" możemy odszukać w uzasadnieniu do projektu ustawy z dnia 22 stycznia 2004 r. o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe (druk sejmowy Nr 2120, z dnia 17 października 2003 r.). W dokumencie projektodawca wskazał, że podstawą zmian były przypadki "nadużywania przez sektor prywatny zwolnień z obowiązku informacyjnego wobec osób, których dane pozyskano np. z książki telefonicznej lub od innego administratora danych w celu jednokrotnego wykorzystania (...)". Podkreślano również, że zmiana przepisów miała na celu zapobieżenie takim sytuacjom, gdy osoby, których dane znajdowały się w powszechnie dostępnych źródłach – jednakże nie takich, których jawność gwarantują przepisy prawa – "nawet – jeżeli otrzymywały imiennie adresowane materiały o charakterze marketingowym – na materiałach tych nie umieszczano informacji, o których mowa w art. 25 ust. 1 ustawy." W tej sytuacji nie sposób przyjąć, że zamiarem ustawodawcy była taka zmiana przepisów, że w każdym przypadku gdy pozyskiwane są dane, które pochodzą z powszechnie dostępnego, zgodnie z obowiązkiem prawnym, źródła – nawet jeżeli cel zbierania jest zgodny z celami jawnego rejestru prowadzonego na podstawie przepisów prawa – należy realizować obowiązek informacyjny, ze względu na wykładnię historyczną. Wobec powyższego należy uznać, że art. 8 i art. 13 ustawy o KRS są przepisami dopuszczającymi zbieranie danych osobowych, bez wiedzy osoby, której dane dotyczą – tak długo jak przetwarzanie danych osobowych mieści się w celu, dla którego dane te umieszczone zostały w KRS lub MSiG. Przy czym celu tego nie można rozumieć tak wąsko jak wykłada to WSA w Warszawie – ograniczając go do pierwszego pozyskania takiej informacji z KRS.

Jak wskazała skarżąca, WSA w Warszawie w treści uzasadnienia skarżonego wyroku wyraźnie stwierdził, że "dyrektywy unijne są implementowane do porządku prawnego i dopiero wówczas wchodzą w życie w danym porządku prawnym" (s. 15 uzasadnienia). Uznano zatem, że dokonując oceny zgodności skarżonych decyzji z prawem, sąd administracyjny całkowicie pominął treść dyrektyw. Dokonanie oceny zgodności decyzji administracyjnej, pod kątem zgodności z przepisami prawa wspólnotowego, jest obowiązkiem sądu krajowego i to nawet w przypadku braku powołania się przez stronę skarżącą na konkretną treść przepisów wspólnotowych. Jak się podkreśla, "w sprawie van Schijndel TS odpowiadał na pytanie, czy sądy państw członkowskich są obowiązane do powoływania z urzędu prawa unijnego w rozpoznawanych przez nie sprawach cywilnych. Na podstawie zasady ekwiwalentności TS stwierdził, że tam, gdzie na mocy przepisów prawa państw członkowskich sąd krajowy ma obowiązek stosować z urzędu te przepisy, które nie zostały podniesione przez strony w procesie, taki obowiązek istnieje także w odniesieniu do przepisów prawa unijnego" (P. Brzeziński, Unijny obowiązek odmowy zastosowania przez sąd krajowy ustawy niezgodnej z dyrektywą Unii Europejskiej, w: Lex 2010). W tej sytuacji WSA w Warszawie, ze względu na treść art. 134 § 1 P.p.s.a. zobowiązany był uwzględnić z urzędu nie tylko przepisy prawa polskiego, lecz również treść wiążącego prawa unijnego (wspólnotowego), a w szczególności Dyrektywy 95/46/WE.

Zgodnie z art. 25 ust. 2 pkt 3 u.o.d.o. obowiązek informacyjny w przypadku zbierania danych osobowych nie od osoby, której dane dotyczą, nie dotyczy sytuacji, w której "dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie wymagań określonych w ust. 1 wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania." Przepis ten stanowi wdrożenie art. 11 ust. 2 Dyrektywy 95/46/WE; implementacje tę należy jednak uznać za błędną i zawężającą w stosunku do treści Dyrektywy 95/46/WE. Zgodnie bowiem ze wspomnianym przepisem Dyrektywy 95/46/WE "ust. 1 (tzn. obowiązek informacyjny w sytuacji tzw. wtórnego zbierania danych osobowych) nie ma zastosowania w przypadku gdy, szczególnie w przypadku przetwarzania danych do celów statystycznych, historycznych lub naukowych, dostarczenie takich informacji wymagałoby niewspółmiernie dużego wysiłku (...)". Ponadto w pkt 40 preambuły do Dyrektywy 95/46/WE wskazano wyraźnie, że "(...) obowiązek taki nie występuje wówczas, (...) jeżeli dostarczanie informacji osobie, której dane dotyczą, okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku, co może mieć miejsce w przypadku przetwarzania danych do celów historycznych, statystycznych lub naukowych; pod tym względem można brać pod uwagę liczbę osób, których dane dotyczą, wiek danych oraz przyjęte środki wyrównawcze".

Wskazano zatem na zasadniczą rozbieżność pomiędzy treścią Dyrektywy 95/46/WE a przepisem art. 25 ust. 2 pkt 3 u.o.d.o. Pierwowzór unijny w art. 11 ust. 2 Dyrektywy 95/46/WE ab initio, powołuje sytuację przetwarzania danych dla celów statystycznych, historycznych lub naukowych jedynie jako przykład ("szczególnie w przypadku", ang. "in particular for", niem. "insbesondere bei"), w żaden sposób nie zawężając do tegoż przypadku zdefiniowanego tam wyłączenia. Wyraźnie wynika to również z pkt 40 preambuły Dyrektywy 95/46/WE, który wskazuje, że sytuacja kiedy "dostarczanie informacji osobie, (...) wymagałoby niewspółmiernie dużego wysiłku" przykładowo "może mieć miejsce w przypadku przetwarzania danych do celów historycznych, statystycznych lub naukowych." Wyłączeniu wynikającemu z niewspółmiernie dużego wysiłku niezbędnego do realizacji obowiązku informacyjnego nadać tym samym należy generalne znaczenie – jako samodzielnej, wystarczającej okoliczności zwalniającej od obowiązku informacyjnego – mającej zastosowanie do wszelkich sytuacji związanych z przetwarzaniem danych, a nie tylko do celów (mających związek z) statystycznych, historycznych lub naukowych (por. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Kraków 2011, s. 522).

W przedmiotowym postępowaniu skarżąca spełnia jeden ze wskazanych w art. 25 ust. 2 pkt 3 u.o.d.o. warunków, tj. realizacja w jej przypadku obowiązku informacyjnego wymagać będzie niewspółmiernie dużego wysiłku (w u.o.d.o. implementowanych jako "nadmiernych nakładów"). Biorąc pod uwagę konieczność pozyskania danych osobowych umożliwiającą kontakt z osobami, których dane zawarte są w odpisach z KRS i MSiG, wymagane wysiłki zarówno organizacyjne, jak i finansowe – z całą pewnością można uznać za niewspółmiernie duże. Kwestia ta została zresztą zauważona również przez WSA w Warszawie, który stwierdził, że "jest to duże przedsięwzięcie i dotyczy dużej liczby osób" (s. 16 uzasadnienia skarżonego wyroku). Literalna wykładnia art. 25 ust. 2 pkt 3 u.o.d.o. prowadziłaby natomiast do nieuprawnionego – i niezgodnego z prawem unijnym – wykluczenia skarżącej spod wskazanego w art. 11 ust. 2 Dyrektywy 95/46WE wyłączenia.

Decyzja, której oceny dokonał skarżony wyrok, nakazywała wykonanie obowiązku informacyjnego wobec osób, których dane zostały pozyskane z Monitora Sądowego i Gospodarczego. Bezsprzecznie jednak Monitor Sądowy i Gospodarczy nie zawiera informacji pozwalających na realizację takiego obowiązku. Zgodnie z treścią art. 18 ust. 1 pkt 2 u.o.d.o. GIODO wydając decyzję nakazującą przywrócenie stanu zgodnego z prawem nakazuje w szczególności uzupełnienie danych osobowych. Skarżona decyzja nie nakładała jednak na administratora danych takiego obowiązku i w konsekwencji nie stanowi podstawy legalizującej przetwarzanie (uzyskanie dodatkowych = uzupełnienie) danych osobowych. W tym świetle wątpliwe są twierdzenia Sądu, że "skarżąca może skorzystać z usług Centralnego Biura Adresowego." Należy bowiem zwrócić uwagę, że udostępnienie danych osobowych ze zbiorów meldunkowych może nastąpić wyłącznie w przypadku wykazania przez skarżącą istnienia interesu prawnego względem określonej osoby. Sytuacja ta nie ma jednak miejsca, w przypadku ogólnego wskazania w decyzji istnienia obowiązku informacyjnego. Dopiero decyzja nakazująca pozyskanie danych i uzupełnienie zbioru w rozumieniu art. 18 ust. 1 pkt 2 u.o.d.o., mogłaby stanowić podstawę do uzyskania z Centralnego Biura Adresowego informacji umożliwiających realizację obowiązku informacyjnego. Wskutek powyższego istnieje realne zagrożenie, że skarżąca nie będzie w stanie pozyskać danych osobowych z Centralnego Biura Adresowego, wobec braku możliwości wykazania interesu prawnego – jednocześnie dalej pozostając zobowiązaną do realizacji obowiązków nałożonych w skarżonej decyzji.

Skarżąca podkreśliła, że w przypadku decyzji GIODO nie można mówić o częściowym rozpoznaniu sprawy, w takim przypadku przedmiotowe decyzje wyraźnie musiałyby wskazywać na taki fakt. Jak wskazał NSA w wyroku z dnia 8 marca 2002 r. (II SA 2361/00, LEX nr 81977): "Każda decyzja administracyjna winna w całości lub w części, jednak kompleksowo w zakresie swego rozstrzygnięcia, załatwiać dana sprawę administracyjną przez podanie wszystkich istotnych jej elementów." Niewątpliwie obowiązek uzupełnienia zbioru danych, w celu wykonania obowiązku informacyjnego musi być w tej sytuacji uznany za niezbędny element, który uniemożliwia wydanie decyzji w części – jedynie w zakresie nakazania realizacji obowiązku informacyjnego.

W złożonej odpowiedzi na skargę kasacyjną, Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie jako niezasadnej. Organ podzielił argumenty przedstawione w uzasadnieniu zaskarżonego wyroku. Zdaniem GIODO niezasadne jest powoływanie się przez Spółkę na przesłanki zwolnienia z obowiązku informacyjnego, o którym mowa w art. 25 ust. 2 pkt 1 u.o.d.o. Niedopełnienie przez Spółkę obowiązku informacyjnego wobec osób, których dane dotyczą (pochodzące z KRS), pozbawia te osoby możliwości skorzystania z uprawnień, o których mowa w art. 32 ust. 1 pkt 7 i 8 u.o.d.o. Podkreślono, że ochrona danych osobowych również należy do praw zagwarantowanych w Konstytucji RP. Odnośnie zarzutu nietrafnej wykładni historycznej wskazano, że przytoczone przez Spółkę argumenty do projektu ustawy z dnia 22 stycznia 2004 r. o zmianie ustawy o ochronie danych osobowych... dotyczą raczej innego zwolnienia z obowiązku informacyjnego, które istniało przez nowelizacją ustawy. W kwestii implementacji art. 11 Dyrektywy 95/46/WE, którą Spółka uznała za błędną i zawężającą, wskazano, że przepis ten znajduje swoje odzwierciedlenie w całym ustępie 2 art. 23 u.o.d.o. W kwestii podnoszonego przez Spółkę "niewspółmiernie dużego wysiłku" przytoczono opinię komentatorów, że nie jest to samodzielna, wystarczająca okoliczności do zwolnienia z obowiązku informacyjnego.

Naczelny Sąd Administracyjny zważył, co następuje:

skarga kasacyjna zawiera usprawiedliwione podstawy.

Zamieszczono w niej zarówno zarzuty naruszenia przepisów postępowania jak i zarzuty materialnoprawne. W takiej sytuacji Sąd odwoławczy bada najpierw zasadność zarzutów naruszenia przepisów postępowania, gdyż dopiero wówczas gdy stan faktyczny został prawidłowo ustalony można ocenić prawidłowość stosowania norm prawa materialnego.

Jako naruszone w sposób mający istotny wpływ na wynik sprawy skarga kasacyjna wskazuje przepisy art. 134 § 1 i art. 145 § 1 lit. c/ P.p.s.a. w zw. z art. 7, 77, art. 104 § 1 pkt 5 k.p.a., art. 156 § 1 pkt 5 k.p.a. w zw. z art. 18 ust. 1 u.o.d.o. (pkt 4 a i b petitum skargi kasacyjnej).

Przystępując do rozpoznania skargi kasacyjnej należy zauważyć, iż w pkt 4 b autor skargi kasacyjnej powołuje nieistniejący w k.p.a. przepis art. 104 § 1 pkt 5 k.p.a., stąd w odniesieniu do tego przepisu Sąd odwoławczy, będąc związany granicami skargi, nie zajmie stanowiska.

Natomiast w pozostałym zakresie, to jest zarzutów niezgromadzenia niezbędnego do wydania decyzji materiału dowodowego (art. 7, 77 k.p.a.) oraz wiążącego się z tym wadliwego rozstrzygnięcia sprawy w świetle przepisów art. 18 ust. 1 u.o.d.o. i błędnego wyroku WSA wydanego z naruszeniem art. 134 § 1 i art. 145 § 1 pkt 1 lit. c/ P.p.s.a. Naczelny Sąd Administracyjny uznał je za zasadne.

Przepis art. 18 ust. 1 zawiera katalog możliwych do zastosowania rozstrzygnięć w przypadku gdy Generalny Inspektor Ochrony Danych Osobowych stwierdzi naruszenie prawa.

W zaskarżonej decyzji organ swe rozstrzygnięcie oparł na przepisie art. 18 ust. 1 pkt 1 nakazując [...] Polska Sp. z o.o. Obsługa Serwisu Internetowego Sp. j. usunięcie uchybień w procesie przetwarzania danych osobowych przez m.in. dopełnienie wobec osób, których dane pochodzą ze źródeł powszechnie dostępnych (Monitor Sądowy i Monitor Gospodarczy), a które zostały zebrane i utrwalone przez ww. administratora danych obowiązku informacyjnego, o którym mowa w art. 25 ust. 1 u.o.d.o.

Zauważyć należy, iż art. 18 ust. 1 zawiera cały szereg sankcji, które ustawodawca wyraźnie różnicuje stopniując ich rodzaj i zakres.

Prawidłowe zastosowanie tych sankcji wymaga więc przeprowadzenia postępowania wyjaśniającego, spełniającego wymogi kodeksowe zamieszczone w przepisach art. 7 i 77 k.p.a., jak również uwzględniającego regulacje materialnoprawne, z których wynika konieczność umiejętnego stopniowania sankcji.

Stosując nakazy Generalny Inspektor powinien uwzględniać wynikający także z konkretnego stanu faktycznego charakter stwierdzonego naruszenia. Zastosowana sankcja administracyjna powinna być adekwatna, współmierna do stopnia naruszenia prawa, a także winna uwzględniać zagrożenie praw osoby, której dane dotyczą (art. 23 ust. 1 pkt 5 i art. 26 ust. 1 pkt 1, 2 i 3 u.o.d.o.).

W doktrynie oprócz tego wyraża się pogląd, iż decyzje Generalnego Inspektora powinny być podejmowane rozważnie, tak aby osiągnąć zamierzony cel (stan zgodności z prawem) środkami możliwie jak najmniej dotkliwymi (uciążliwymi) dla adresata decyzji (G. Sibiga, Postępowanie w sprawach ochrony danych osobowych, Warszawa 2003, s. 153, J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, wyd. 5, Lex a Wolters Kluwer Business, Warszawa 2011, s. 430 i 431).

Podzielając powyższe poglądy Naczelny Sąd Administracyjny zauważa, iż rozstrzygnięcia organu w tej sprawie nie spełniają powyższych kryteriów.

Z ustaleń dokonanych przez organ wynika, iż skarżąca Spółka w ramach prowadzonej działalności komercyjnej świadczenia usług polegających na udzielaniu informacji przetwarza dane o osobach prawnych oraz jednostkach organizacyjnych nieposiadających osobowości prawnej, których dane są ujawnione w Krajowym Rejestrze Sądowym (Monitor Sądowy i Gospodarczy). W zbiorach tych znajdują się również dane osobowe osób fizycznych w zakresie: imię, nazwisko, nr PESEL, pełniona funkcja, rok urodzenia. Monitory Sądowy i Gospodarczy nie zawierają danych o adresach osób fizycznych.

Zasadnie skarżąca Spółka podważa w tej sytuacji nałożenie przez organ ogólnie obowiązku spełnienia obowiązku informacyjnego, bez wskazania w jaki sposób i jakimi środkami administrator danych winien je uzyskać.

Stwierdzić należy, iż ani z materiałów postępowania wyjaśniającego, ani z uzasadnienia decyzji nie wynika, aby organ rozważał, a następnie oceniał, czy zakres przetwarzania danych przez Spółkę był adekwatny do celów, w jakich były one przetwarzane, zwłaszcza w kontekście zagrożenia interesów osób fizycznych, gdyż tylko z takich względów ustawodawca wprowadził w art. 25 ust. 1 obowiązek informacyjny. Brak jest także materiałów pozwalających przyjąć, iż organ rozważał możliwość zastosowania innych środków, adekwatnych do stwierdzonych uchybień, a pozwalających usunąć stan sprzeczny z prawem przy użyciu środków mniej uciążliwych dla skarżącej Spółki. Tak ogólne sformułowanie obowiązku informacyjnego mogło być rozumiane przez skarżącą, jako prowadzące do uzupełnienie danych osobowych (art. 18 ust. 1 pkt 2 u.o.d.o.) o adresy osób fizycznych. Poszerzenie bazy danych osobowych o adresy osób fizycznych przy przesłance legalizacyjnej z art. 23 ust. 1 pkt 5 u.o.d.o. stwarzałoby niebezpieczeństwo konfliktu z celem przetwarzania danych, a nadto mogłoby godzić w dobro osób, których dane te dotyczą. Powyższe niebezpieczeństwo jawi się jako realne w świetle stanowiska Wojewódzkiego Sądu Administracyjnego, wyrażonego w zaskarżonym wyroku, a dopuszczającego możliwość skorzystania przez administratora danych osobowych z usług Centralnego Biura Adresowego. Tym samym realizacja obowiązku prowadziłaby do uzupełnienia danych osobowych o adresy osób fizycznych. Niedostrzeżenie błędów organu oraz wadliwe sformułowanie wskazań dla organu oznacza, iż Sąd pierwszej instancji wadliwie wykonał obowiązek kontroli legalności, a zarzuty skargi kasacyjnej naruszenia wskazanych wyżej przepisów ustawy Prawo o postępowaniu administracyjnym, k.p.a. oraz art. 18 ust. 1 pkt 1 i 2 u.o.d.o. należy uznać za usprawiedliwione.

Pozostałe zarzuty naruszenia przepisów postępowania zostały sformułowane w ten sposób, że zarzut naruszenia przepisów proceduralnych przedstawia się jako wynik wadliwego zastosowania prawa materialnego, a ponadto postawiono także zarzut naruszenia przepisów prawa materialnego w rozumieniu podstawy z art. 174 pkt 1 P.p.s.a.

Zarzuty te Sąd odwoławczy uznał częściowo za przedwczesne, jednocześnie w pewnym zakresie, usprawiedliwionym dotychczasowymi ustaleniami, nie podzielił argumentacji skarżącej Spółki.

Wskazany jako naruszony przepis art. 25 ust. 2 pkt 1 ustawy o ochronie danych osobowych został w zarzucie powiązany z przepisami art. 8 i 13 ustawy z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym. Przepis art. 25 u.o.d.o. reguluje powinność administratora danych w sytuacji zbierania danych osobowych nie od osoby, której one dotyczą. Ma on wówczas obowiązek powiadomić tę osobę o adresie siedziby i pełnej nazwie lub imieniu i nazwisku oraz miejscu zamieszkania gdy administratorem jest osoba fizyczna, celu i zakresie zbierania danych oraz odbiorcach, źródle, prawie dostępu do treści swoich danych oraz ich poprawiania i o uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8.

Obowiązki te są wyłączone jeżeli przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą (art. 25 ust. 1 pkt 1 u.o.d.o.).

Skarżący powołując się na przepisy art. 8 i 13 ustawy o KRS wywodzi, iż zawarta w nich treść normatywna odpowiada przesłankom wyłączającym obowiązek informacyjny.

Przyjmując argumentację WSA i organu, że przepisy art. 8 ust. 1 i 2 ustawy o KRS statuują zasadę jawności danych zawartych w Rejestrze, prawo każdego dostępu do danych zawartych w Rejestrze za pośrednictwem Centralnej Informacji oraz obowiązek upublicznienia wpisów przez ogłoszenie ich w Monitorze Sądowym i Gospodarczym, skarżąca Spółka podważa jednocześnie takie rozumienie przepisów obu ustaw, zaprezentowane zarówno w decyzji jak i w uzasadnieniu zaskarżonego wyroku, które akcentuje konieczność ścisłej interpretacji tych przepisów.

Przypomnieć należy, uznając je jednocześnie za trafne, stanowisko organu, że dane dotyczące osób fizycznych wpisane do KRS są danymi osobowymi, a zasady ich przetwarzania jak: zbieranie, przekazywanie, utrwalanie, udostępnianie i zmienianie w sposób kompletny reguluje ustawa z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym.

Ustawa ta w sposób ścisły wskazuje równocześnie zakres danych osobowych, dotyczących osób fizycznych wpisanych do Rejestru, które muszą ograniczać się tylko do nazwiska, imienia oraz identyfikatora nadanego w systemie ewidencji ludności, zwanego "numerem PESEL".

Wspomniany numer identyfikacyjny, składający się z 11 cyfr określa każdą osobę fizyczną, przy czym, co jest także istotne w tej sprawie, cztery pierwsze cyfry oznaczają dokładną datę urodzenia w kolejności: data roczna, miesięczna oraz dzienna. W połączeniu z nazwiskiem i imionami powyższe dane odpowiadają pojęciu danych osobowych zdefiniowanych w art. 6 ust. 1 i 2 u.o.d.o.

W myśl tych przepisów za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (ust. 1). Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (ust. 2). Zauważyć należy, iż powyższa definicja stanowi implementację definicji, zawartej w art. 2 pkt a Dyrektywy 95/46 WE Parlamentu Europejskiego i Rady.

Zwrócić należy uwagę, że zgodnie z art. 39 pkt 1 ustawy o KRS w zakresie danych dotyczących reprezentacji podmiotów gospodarczych zamieszcza się oznaczenie organu uprawnionego do reprezentowania podmiotu oraz osób wchodzących w jego skład, ze wskazaniem sposobu reprezentacji.

Zakres danych osobowych wynikających z przepisów ustawy o Krajowym Rejestrze Sądowym odpowiada celowi, w jakim został utworzony, a którym jest zapewnienie jawności i pewności obrotu gospodarczego.

Na ten cel zasadnie zwrócił uwagę Sąd pierwszej instancji, jak również skarżąca Spółka stwierdzając, że art. 8 ustawy o KRS nie upoważnia do przetwarzania danych osobowych zawartych w KRS w dowolnych celach (s. 9 skargi kasacyjnej). Spółka wywodzi jednakże, że czyni to w tych samych co KRS celach "co tym samym zwalnia ją z obowiązku informacyjnego".

Chociaż z tym twierdzeniem nie można się zgodzić w świetle ustaleń kontroli i wyjaśnień wspólników i pracowników Spółki, na które to ustalenia powołuje się organ w uzasadnieniu decyzji, a przyjął je za prawidłowe Sąd, to należy uznać, iż nakładając na Spółkę nakaz dopełnienia wobec osób, których dane pochodzące ze źródeł powszechnie dostępnych (Monitor Sądowy i Gospodarczy), a które zostały zebrane i utrwalone przez Spółkę, obowiązku informacyjnego, o którym mowa w art. 25 ust. 1 u.o.d.o. Sąd pierwszej instancji nie rozważył i nie uwzględnił w sposób należyty celu w jakim Spółka ta przetwarzała dane osobowe, ich zakresu a w związku z tym zastosowania odpowiedniego środka przewidzianego w art. 18 ust. 1 u.o.d.o.

Zwrócić należy uwagę na to, że organ w uzasadnieniu decyzji z dnia 21 stycznia 2011 r. powołał się na przepis art. 23 ust. 1 pkt 5 u.o.d.o. jako przesłankę legalizującą przetwarzanie danych osobowych.

Przepis ten dopuszcza przetwarzanie danych tylko wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Cel w jakim [...] Polska Sp. z o.o. przetwarza dane osobowe nie może być utożsamiany z tym jakiemu służy Rejestr KRS.

W stosunkach umownych cel przetwarzania danych osobowych wynika najczęściej z treści umowy, jednakże w razie wątpliwości cel powinien być m.in. zgodny z przedmiotem działalności przedsiębiorstwa (A. Mednis, Obowiązki podmiotów prywatnych wykorzystujących dane osobowe, Monitor Prawniczy, 1998, nr 8, s. 293).

Posługując się tym kryterium należy odwołać się do rodzaju działalności Spółki wpisanej do KRS, określonej jako działalność w zakresie oprogramowania, doradztwa w zakresie prowadzenia działalności gospodarczej i zarządzania oraz działalność związana z bazami danych. Powyższe potwierdzają wyniki kontroli, na które powołuje się organ, a co zaakceptował Sąd, iż Spółka prowadzi działalność świadczenia odpłatnie usług z zakresu informacji gospodarczej ze źródeł powszechnie dostępnych (Monitory Sądowy i Gospodarczy) osobom zainteresowanym, a usługa ta jest udostępniana za pomocą publicznej sieci Internet. W związku z tą działalnością przetwarza dane osobowe osób fizycznych ujawnione w Rejestrze jak imię, nazwisko, numer PESEL, pełnione funkcje, rok urodzenia.

Należy zgodzić się z oceną organu i Sądu, iż cele przetwarzania danych objętych KRS, a ujawnionych w Monitorze Sądowym i Gospodarczym nie są tożsame z celami komercyjnymi, dla których dane te przetwarza (zbiera, utrwala, udostępnia itd.) skarżąca Spółka.

Rozważenia zatem wymagało, czy dla prowadzenia działalności gospodarczej o charakterze komercyjnym (co nie budzi wątpliwości w świetle ustaleń organu) zakres przetwarzania danych osobowych przez Spółkę jest zgodny z usprawiedliwionym celem realizowanym przez administratora danych. Jawność i powszechna dostępność danych z Rejestru KRS oraz cel, jaki realizuje tą drogą ustawodawca, determinuje rodzaj i zakres przetwarzania danych osobowych osób fizycznych. Ustawa ogranicza je tylko do danych dotyczących imienia nazwiska, pełnionej w podmiotach funkcji oraz numeru identyfikacyjnego PESEL. Są to zatem dane wiążące się ściśle ze sferą obrotu gospodarczego, zaś poza ww. danymi identyfikacyjnymi Rejestr nie pozwala na ujawnienie innych, bardziej szczegółowych danych dot. osób fizycznych jak np. miejsce zamieszkania. Oznacza to, że dla powszechnie dostępnych celów informacyjnych nie jest dopuszczalne ujawnianie adresu, miejsca zamieszkania osób fizycznych (członków zarządu, wspólników), co można tłumaczyć ochroną sfery prywatnej tych osób. Pozostaje to w zgodzie z konstytucyjną zasadą prawa jednostki do zachowania w tajemnicy informacji dotyczącej własnej osoby.

W art. 51 ust. 1 Konstytucja Rzeczypospolitej Polskiej gwarantuje obywatelom, że nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawnienia informacji dotyczącej jego osoby. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym (ust. 2), zaś zasady i tryb określać może tylko ustawa (ust. 5). Realizacja tej zasady znalazła odzwierciedlenie w art. 26 u.o.d.o., który nakłada na administratora danych obowiązek dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności obowiązany jest zapewnić, aby dane te były przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane. Powyższy przepis odpowiada wymaganiom zawartym w art. 6 ust. 1 pkt a, b, c. d Dyrektywy 95/46 WE, wśród których znalazł się wymóg gromadzenia danych do określonych, jednoznacznych i legalnych celów oraz zakaz niepodawania dalszemu przetwarzaniu w sposób niezgodny z tym celem (b), merytorycznej poprawności, stosowności oraz wymóg aby były nienadmierne ilościowo w stosunku do celów, dla których zostały zgromadzone i/lub dalej przetworzone (c).

Konieczność respektowania tych przepisów przez organ nadzoru nakłada na niego obowiązek ustalenia i rozważenia, czy zakres przetworzenia danych osób fizycznych przez Spółkę był adekwatny do realizowanych przez nią celów, a w szczególności czy adekwatne byłoby przetwarzanie oprócz takich danych jak rok urodzenia, PESEL jeszcze danych dotyczących adresu osób fizycznych. Przeprowadzone postępowanie nie wyjaśniło w jakim zakresie wysyłając informację do odbiorców danych (klientów Spółki) przekazuje ona dane osobowe ww. osób i w jakich celach.

Konieczność uzupełnienia postępowania w tym kierunku wiąże się z omówionymi wcześniej zasadnymi zarzutami naruszenia przepisów postępowania w sposób mający istotny wpływ na wynik sprawy.

Ustawowy wymóg ochrony interesów osób, których dane dotyczą nakłada na organ, jak również sąd administracyjny wykonujący kontrolę, obowiązek czuwania, aby zakres przetwarzania nie wkraczał w sferę prywatną, jak również, aby dane te odpowiadały przesłance adekwatności, a także pozostawały w zgodzie z zasadą proporcjonalności uregulowaną w art. 31 Konstytucji.

W takiej sytuacji jak w przedmiotowej sprawie nie można zatem rozważać możliwości uzupełnienia danych osobowych o adresy osób fizycznych zwłaszcza w drodze ich poszukiwania w CBA, lecz jak wyżej wskazano należy dążyć do ograniczenia ich w zakresie dostosowanym do celu działalności Spółki oraz ochrony interesów osób, których dotyczą.

Jeżeli dane uzyskane w wyniku uzupełnionego postępowania wyjaśniającego będą uzasadniały zastosowanie przepisu art. 25 ust. 1 u.o.d.o. organ winien rozważyć możliwość ograniczenia obowiązku informacyjnego. Należy zważyć, iż przepis art. 42 ust. 1 k.p.a. jako równoważne uznaje doręczanie pism osobom fizycznym w ich mieszkaniu lub miejscu pracy. W takiej sytuacji konkretyzacja nakazu uwzględniałaby z jednej strony ochronę danych osób pełniących funkcje w podmiotach gospodarczych, z drugiej byłaby mniej dotkliwa niż wykonanie tego obowiązku w sposób wskazany przez Sąd, tj. ustalanie adresu (miejsca zamieszkania) za pośrednictwem Centralnego Biura Adresowego. Dodać należy, iż taki sposób realizacji obowiązku – bez zastosowania odpowiednich środków zabezpieczających stwarzałby niebezpieczeństwo poszerzenia zakresu przetwarzanych danych osobowych osób fizycznych pozostając w konflikcie z obowiązkami organu wynikającymi z przepisów art. 25 ust. 1 pkt 5 i art. 26 ust. 1 u.o.d.o.

Należy zauważyć, że w toku postępowania wyjaśniającego organ nie rozważał okoliczności wiążących się z sygnalizowanymi przez Spółkę trudnościami w realizacji nakazu. Wynikało to m.in. stąd, że zarzuty w tym zakresie zostały sformułowane przez Spółkę dopiero przy okazji wniosku o wstrzymanie wykonania zaskarżonej decyzji. W uzasadnieniu zaskarżonego wyroku Sąd ocenił to jako duże przedsięwzięcie, lecz jego rozmiary, skala trudności, nakłady oraz konsekwencje pozostały poza ramami postępowania administracyjnego. Zachodzi więc konieczność uzupełnienia postępowania administracyjnego a w razie ustalenia, że skarżącą obciąża obowiązek informacyjny odnieść się także do możliwości jego nałożenia w kontekście zastosowania prounijnej wykładni przepisów prawa (art. 11 ust. 2 Dyrektywy 95/46 WE Parlamentu Europejskiego i Rady).

Z uwagi na opisane wyżej mankamenty postępowania wyjaśniającego Naczelny Sąd Administracyjny nie mógł rozpoznać w pełni zarzutów naruszenia przepisów prawa materialnego uznając je w takiej sytuacji za przedwczesne; za przedwczesne należało także uznać wystąpienie z pytaniem do Trybunału Sprawiedliwości Unii Europejskiej.

Uchylając zaskarżony wyrok na podstawie art. 185 § 1 P.p.s.a. Naczelny Sąd Administracyjny wskazuje na konieczność uwzględnienia przy ponownym rozpoznaniu sprawy, naruszenia przez Generalnego Inspektora przepisów art. 127 § 3 w zw. z art. 138 § 1 pkt 2 k.p.a.

W uzasadnieniu decyzji z 21 stycznia 2011 r. organ odnosząc się do wniosku skarżącej o umorzenie postępowania wobec wykonania nakazów wymienionych w pkt 2–6 decyzji i nie uwzględniając tego wniosku organ stwierdził, że rozstrzygnięcie zawarte w zaskarżonej decyzji jest prawidłowe pod względem zgodności z prawem i celowości.

Stanowisko to jest błędne bowiem rozstrzygając sprawę, z wniosku w trybie art. 127 § 3 k.p.a. organ nie ocenia legalności swej poprzedniej decyzji, lecz ponownie rozpoznaje sprawę w jej całokształcie.

Oznacza to, że jeżeli strona wykonała nałożone na nią nakazy, organ obowiązany jest, po potwierdzeniu tego, wobec zmiany stanu faktycznego, wydać decyzję na podstawie art. 138 § 1 pkt 2 k.p.a., tj. uchylającą decyzję w tej części i umarzającą postępowanie administracyjne w tym zakresie.

Podobny pogląd wyrażono w cytowanym wcześniej Komentarzu do ustawy o ochronie danych osobowych (s. 431), w którym stwierdzono, że stan naruszenia przepisów ustawy o ochronie danych osobowych powinien istnieć w dacie wydania decyzji. Jeżeli w trakcie wszczętego postępowania nieprawidłowości zostaną usunięte postępowanie staje się bezprzedmiotowe, a organ wydaje decyzję o jego umorzeniu na podstawie art. 105 § 1 k.p.a.

Jest oczywiste, że stosowanie art. 105 § 1 k.p.a. w postępowaniu prowadzonym na podstawie art. 127 § 3 k.p.a. następuje w zw. z art. 138 § 1 pkt 2 k.p.a.

Z powyższych względów Naczelny Sąd Administracyjny na podstawie art. 185 § 1 P.p.s.a. i art. 203 pkt 1 powołanej ustawy orzekł jak w sentencji, uznając zasądzone koszty postępowania za współmierne do rodzaju i udziału pełnomocnika w sprawie.