drukuj    zapisz    Powrót do listy

647 Sprawy związane z ochroną danych osobowych, Ochrona danych osobowych, Generalny Inspektor Ochrony Danych Osobowych, Uchylono decyzję I i II instancji, II SA/Wa 736/08 - Wyrok WSA w Warszawie z 2008-08-19, Centralna Baza Orzeczeń Naczelnego (NSA) i Wojewódzkich (WSA) Sądów Administracyjnych, Orzecznictwo NSA i WSA

II SA/Wa 736/08 - Wyrok WSA w Warszawie

Data orzeczenia
2008-08-19 orzeczenie prawomocne
Data wpływu
2008-05-26
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Anna Mierzejewska
Bronisław Szydło /przewodniczący/
Ewa Kwiecińska /sprawozdawca/
Symbol z opisem
647 Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
I OSK 1472/08 - Wyrok NSA z 2009-08-28
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono decyzję I i II instancji
Powołane przepisy
Dz.U. 1997 nr 133 poz 883 art. 7 pkt 4 w zw. z art. 3, art. 18 w zw. z art. 31 ust. 3 i 5
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Dz.U. 2004 nr 116 poz 1206 art. 18 ust. 1
Ustawa z dnia 20 kwietnia 2004 r. o Narodowym Planie Rozwoju
Sentencja

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Bronisław Szydło, Sędziowie WSA Ewa Kwiecińska (spr.), Anna Mierzejewska, Protokolant Łukasz Bazyluk, po rozpoznaniu na rozprawie w dniu 19 sierpnia 2008 r. sprawy ze skargi P. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] kwietnia 2008 r. nr [...] w przedmiocie ochrony danych osobowych 1. uchyla zaskarżoną decyzję oraz poprzedzającą ją decyzję z dnia [...] listopada 2007 r. nr [...]; 2. stwierdza, że zaskarżona decyzja nie podlega wykonaniu w całości; 3. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz P. kwotę 457,- zł (słownie: czterysta pięćdziesiąt siedem złotych) tytułem zwrotu kosztów postępowania.

Uzasadnienie

W dniach 10 - 13 kwietnia 2007 r. Inspektorzy, upoważnieni przez Generalnego Inspektora Ochrony Danych Osobowych, przeprowadzili kontrolę w P. z siedzibą w W. przy ul. [...], zwaną dalej Agencją lub P., w celu ustalenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych (sygn. [...]), tj. ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) oraz rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024).

W oparciu o zgromadzony w toku kontroli materiał dowodowy ustalono, że w procesie przetwarzania danych osobowych P., jako administrator danych, naruszył przepisy o ochronie danych osobowych. Uchybienia te polegały na: - po pierwsze - niezapewnieniu, aby system informatyczny o nazwie "PEFS" (służący do przetwarzania danych osobowych beneficientów ostatecznych) umożliwiał odnotowanie informacji o odbiorcach, w rozumieniu art. 7 pkt 6 przywołanej ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia (§ 7 ust. 1 pkt 4 ww. rozporządzenia), a - po drugie - niezapewnieniu, aby system informatyczny o nazwie "PEFS" umożliwiał sporządzenie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w § 7 ust. 1 pkt 4 cyt. rozporządzenia, tj. informacje o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia (§ 7 ust. 3 rozporządzenia).

W związku z powyższym, w dniu 5 października 2007 r. Generalny Inspektor Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne w niniejszej sprawie w celu wyjaśnienia okoliczności sprawy (nr [...]).

Postępowanie to Generalny Inspektor Ochrony Danych Osobowych zakończył wydaniem w dniu [...] listopada 2007 r. decyzji nr [...], nakazującej P. z siedzibą w W. przy ul. [...], jako administratorowi danych beneficjentów ostatecznych przetwarzanych w związku z realizacją działania 2.3 Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004 - 2006 (zwanego dalej: SPO RZL 2004-2006), usunięcie uchybień w procesie przetwarzania danych osobowych poprzez: 1) zapewnienie, aby system informatyczny o nazwie "PEFS" (służący do przetwarzania danych osobowych beneficientów ostatecznych) umożliwiał, dla każdej osoby, odnotowanie informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy o ochronie danych osobowych, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, 2) zapewnienie, aby system informatyczny o nazwie "PEFS" umożliwiał, dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w § 7 ust. 1 pkt 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, tj. o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy o ochronie danych osobowych, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia.

Decyzja ta stała się następnie przedmiotem wniosku o ponowne rozpatrzenie sprawy złożonego przez P.. We wniosku P. podniosła, że nieprawidłowym jest uznanie jej za administratora danych beneficjentów ostatecznych przetwarzanych w związku z realizacją działania 2.3 Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004 - 2006.

Na poparcie tak zajętego stanowiska P. wyjaśniła, że Sektorowy Program Operacyjny Rozwój Zasobów Ludzkich 2004 – 2006 realizowany jest w ramach struktury, w której występuje szereg podmiotów. Struktura ta składa się z instytucji zarządzającej, instytucji pośredniczącej oraz instytucji wdrażających, a także regionalnych instytucji finansujących. W ramach wspomnianego programu rolę instytucji zarządzającej oraz instytucji pośredniczącej pełni Ministerstwo Rozwoju Regionalnego - Departament Zarządzania Europejskim Funduszem Społecznym. Toteż P. jest jedynie jedną z szeregu instytucji wdrażających Sektorowy Program Operacyjny Rozwój Zasobów Ludzkich 2004 - 2006. Rolę powyższą potwierdza treść art. 4 ust. 1a pkt 1 ustawy z dnia 9 listopada 2000 r. o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości (t.j. Dz. U. z 2007 r., Nr 42, poz. 275).

Z kolei system informatyczny o nazwie "Podsystem Monitorowania Europejskiego Funduszu Społecznego", zwany dalej "PEFS", przeznaczony został do obsługi Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004 – 2006, a administratorem danych przetwarzanych w tym systemie jest Ministerstwo Rozwoju Regionalnego jako instytucja zarządzająca Sektorowym Programem Operacyjnym Rozwój Zasobów Ludzkich 2004 - 2006. Przede wszystkim zaś Ministerstwo pełniąc rolę wskazanej powyżej instytucji posiada kompetencje do wydawania innym podmiotom uczestniczącym w realizacji programu wiążących poleceń dotyczących m.in. zakresu przetwarzanych danych osobowych, a nadto Ministerstwo - instytucja zarządzająca - wskazało system "PEFS" jako system informatyczny przeznaczony do obsługi Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich oraz przekazało, wraz z bibliotekami binarnymi "PEFS" przeznaczonymi do instalacji w zasobach użytkownika, pliki przeznaczone do aplikacji MS Excel, za pomocą których ostateczni odbiorcy mieli przekazywać do instytucji wdrażających dane wprowadzane przez te instytucje do systemu "PEFS".

Zdaniem P., w tej sytuacji jest ona jedynie użytkownikiem systemu "PEFS", a nie jego administratorem.

Dalej P. podkreśliła, że w realizacji Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004 – 2006 uczestniczy jako instytucja wdrażająca, tj. podmiot, o którym mowa w art. 31 ustawy z dnia 20 kwietnia 2004 r. o Narodowym Planie Rozwoju (Dz. U. Nr 116, poz. 1206 ze zm.), a w oparciu o art. 18 a oraz art. 19 tej ustawy to instytucja zarządzająca danym programem operacyjnym (w tym przypadku Ministerstwo Rozwoju Regionalnego), a nie instytucja wdrażająca, odpowiedzialna jest za przygotowanie i realizację programu, a w szczególności za wydanie wytycznych dotyczących wdrażania programu skierowanych do podmiotów uczestniczących w realizacji danego programu.

Zwróciła zarazem uwagę, że choć instytucja zarządzająca może przekazać instytucjom pośredniczącym, w drodze porozumienia, poza zarządzaniem, monitorowaniem i kontrolą poszczególnych priorytetów operacyjnych, działań lub projektów także elementy zarządzania innym instytucjom określonym w planie (instytucjom wdrażającym), to nawet przy tego rodzaju przekazaniu kompetencji instytucja zarządzająca ponosi pełną odpowiedzialność za skuteczność i prawidłowość zarządzania programem.

Wyjaśnienia w tym zakresie P. uzupełniła następnie w formie dwóch złożonych do sprawy pism wraz z załącznikami (odpowiednio z dnia 24 stycznia 2008 r. oraz z dnia 15 lutego 2008 r.), w których powołała się na postanowienia umów finansowania działania 2.3 w ramach Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004-2006, powierzających Polskiej Agencji Rozwoju Przedsiębiorczości wdrożenie działania 2.3 ww. Programu, z tym zastrzeżeniem, że Agencja w toku realizacji Programu zobowiązana jest kierować się wytycznymi instytucji zarządzającej oraz przygotowanymi przez nią formularzami (§ 8 ust. 1 umowy z dnia 26 lipca 2004 r.).

Generalny Inspektor Ochrony Danych Osobowych, po ponownym rozpatrzeniu sprawy, decyzją z dnia [...] kwietnia 2008 r. nr [...] utrzymał w mocy swoją wcześniejszą decyzję z dnia [...] listopada 2007 r.

Na wstępie uzasadnienia ww. decyzji organ przytoczył treść art. 7 pkt 4 ustawy o ochronie danych osobowych, w myśl którego ilekroć w ustawie jest mowa o administratorze danych - rozumie się przez to organ, jednostkę organizacyjną podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych oraz powołał art. 31 ust. 1 i ust. 2 tej ustawy, zgodnie z którym administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych, a podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.

Dalej Generalny Inspektor Ochrony Danych Osobowych wskazał, że wg ustaleń, których dokonał w trakcie postępowania administracyjnego dane osobowe pozyskiwane przez beneficjentów (podmioty korzystające z publicznych środków wspólnotowych i krajowych na podstawie umowy o dofinansowanie projektu), w związku z wykonywaniem przez nich projektów są przekazywane do właściwych instytucji wdrażających, np. P.. Dane przekazywane są wyłącznie w wersji elektronicznej (płyty CD lub dyskietki). Otrzymane dane instytucje wdrażające wprowadzają do systemu o nazwie "PEFS" (Podsystem Monitorowania Europejskiego Funduszu Społecznego). Dane osobowe z ww. systemu nie są przekazywane przez instytucje wdrażające do Ministerstwa Rozwoju Regionalnego, jako instytucji zarządzającej. Każda z instytucji wdrażających, wdrażając SPO RZL 2004 - 2006, prowadzi odrębny zbiór danych dotyczących uczestników projektów w systemie o nazwie "PEFS". Stwierdził, że instytucje wdrażające, tj. Ministerstwo Pracy i Polityki Społecznej, Kancelaria Prezesa Rady Ministrów, Ministerstwo Edukacji Narodowej, P., Państwowy Fundusz Rehabilitacji Osób Niepełnosprawnych i 16 wojewódzkich urzędów pracy, zgodnie z treścią rozdziału 5.2.3 załącznika do rozporządzenia Ministra Gospodarki i Pracy z dnia 1 lipca 2004 r. w sprawie przyjęcia Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004-2006 (Dz. U. Nr 166, poz. 1743 z późn. zm.), pozostają odpowiedzialne za: formalną kontrolę zgodności wniosków składanych przez potencjalnych odbiorców pomocy, wybór projektów przeznaczonych do realizacji w ramach SPO RZL 2004 - 2006, podpisywanie umów z beneficjentami na podstawie decyzji instytucji zarządzającej lub upoważnienia wynikającego z umowy finansowania działania zawartej pomiędzy instytucją zarządzającą a instytucją wdrażającą. Stosownie do treści rozdziału 5.4 załącznika do ww. rozporządzenia w sprawie przyjęcia SPO RZL 2004 - 2006, w celu monitorowania i rzetelnej oceny projektów oraz transferu danych został utworzony System Informatyczny Monitoringu i Kontroli Finansowej (SIMIK). Uzupełnieniem tego systemu informatycznego jest podsystem informatyczny EFS (system informatyczny o nazwie "PEFS", służący do przetwarzania danych osobowych beneficjentów ostatecznych w celu prowadzenia, monitorowania i ewaluacji projektów realizowanych w ramach SPO RZL), za którego wdrożenie i sprawne funkcjonowanie odpowiedzialne jest Ministerstwo Rozwoju Regionalnego. Natomiast za wprowadzenie danych do ww. podsystemu odpowiedzialne są instytucje wdrażające. Są one zatem głównymi użytkownikami tego systemu.

Organ zaznaczył przy tym, że Minister Rozwoju Regionalnego nie posiada dostępu do danych przetwarzanych w systemie o nazwie "PEFS", które przechowywane są w poszczególnych instytucjach wdrażających. Co więcej, instytucje te dokonały zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbiorów danych dotyczących beneficjentów ostatecznych i zbiory te zostały przez Generalnego Inspektora Ochrony Danych Osobowych zarejestrowane.

W konsekwencji oznacza to, że administratorem danych osobowych beneficjentów ostatecznych przetwarzanych w związku z realizacją działania 2.3 SPO RZL 2004 - 2006 jest P., działająca w ramach Programu jako instytucja wdrażająca. Natomiast przypisany P. przymiot administratora nakłada na nią obowiązki określone w § 7 ust. 1 pkt 4 i § 7 ust. 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji, a jak wynikało z przeprowadzonej kontroli, P. obowiązków tych nie wypełniła.

Wprawdzie, jak stwierdził organ, P. w powołanym już piśmie z dnia 15 lutego 2008 r. przesłał dowody potwierdzające, iż system informatyczny o nazwie "PEFS" został dostosowany do wymogów określonych w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, niemniej jednak usunięcie ww. uchybienia nie może stanowić podstawy do uchylenia zaskarżonej decyzji, bowiem we wniosku o ponowne rozpatrzenie sprawy, decyzji z dnia [...] listopada 2007 r. zarzucono nieprawidłowe przyznanie P. statusu administratora danych beneficjentów ostatecznych przetwarzanych w związku z realizacją działania 2.3 Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004 - 2006, a nie zasadność stwierdzonych w toku kontroli uchybień.

Na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] kwietnia 2008 r. skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie wniosła P.. Zaskarżonej decyzji zarzuciła naruszenie przepisów postępowania, tj. art. 156 ust. 1 pkt 2 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego i wydanie decyzji z rażącym naruszeniem prawa poprzez oparcie jej o fakty znane organowi z urzędu bez zakomunikowania ich adresatowi decyzji oraz naruszenie prawa materialnego, a mianowicie art. 7 pkt 4 ustawy o ochronie danych osobowych poprzez uznanie, wbrew okolicznościom faktycznym utrwalonym w aktach administracyjnych, P. za administratora danych Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004-2006.

P. wniosła o uchylenie zaskarżonej decyzji oraz decyzji ją poprzedzającej oraz o zasądzenie na jej rzecz kosztów postępowania.

W uzasadnieniu skargi P. wskazała, że ustalenie podmiotu będącego administratorem danych może odbyć się wyłącznie przez odniesienie do treści art. 7 pkt 4 ustawy o ochronie danych osobowych, który jako warunek konieczny dla uznania podmiotów wymienionych w art. 3 za administratorów danych stawia wymóg decydowania przez nich o celach i środkach przetwarzania danych osobowych. W ocenie Agencji organ wydając w sprawie rozstrzygnięcie odstąpił od analizy elementów wskazanych w art. 7 pkt 4 ustawy, a w miejsce tego przepisu zastosował inne przepisy prawa oraz zewnętrzne przejawy przetwarzania danych osobowych .

P. nie zgodził się ze stanowiskiem GIODO, że przekazywanie danych osobowych do Agencji przez podmioty, które zawarły umowę dofinansowania oraz wprowadzanie danych do sytemu "PEFS" przez P. przesądza o statusie Agencji jako administratora tych danych. Zdaniem P., a wbrew stanowisku organu, nie jest ona administratorem danych, a jedynie przetwarza dane osobowe w oparciu o umowy wiążące ją z Ministerstwem Rozwoju Regionalnego - Departamentem Zarządzania Europejskim Funduszem Społecznym będącym instytucją zarządzającą wspomnianym projektem. Z kolei umowy te powierzają Agencji wdrażanie działania 2.3 Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004-2006, a zatem są to umowy, o których mowa w art. 31 ustawy o ochronie danych osobowych. W tej sytuacji P. (inny podmiot od administratora) przetwarza dane osobowe w ramach powierzenia określonego umową i nie ma tu znaczenia, podniesiona przez Generalnego Inspektora, okoliczność braku dostępu Ministerstwa Rozwoju Regionalnego (instytucji zarządzającej) do danych przetwarzanych w systemie "PEFS", ponieważ administrator danych powierzając przetwarzanie danych innemu podmiotowi w pełnym zakresie może nie mieć faktycznego dostępu do przetwarzanych w jego imieniu danych, ale nadal pozostaje ich administratorem spełniając przesłanki z art. 7 pkt 4 ustawy. Ponadto, jak dodała Agencja, nawet w sytuacji powierzenia danych szereg obowiązków w dalszym ciągu obciąża administratora (art. 24 ust. 1, art. 25 ust. 1, czy art. 40), a fakt powierzenia danych nie pozbawia administratora możliwości powierzenia tych samych danych jeszcze innemu podmiotowi.

Skarżąca podniosła też, że ustalenie celów, o których mowa w art. 7 pkt 4 ustawy, w przypadku administratora danych działającego w sektorze publicznym, nie może odbywać się w oderwaniu od przepisów cyt. ustawy o Narodowym Planie Rozwoju, które określają cele w jakich mogą być przetwarzane dane osobowe w ramach realizowanych programów. Przy czym cele określone w ustawie maja charakter ogólny, a ich zakres podlega konkretyzacji przez administratora danych tak, aby odpowiadał on potrzebom bardziej szczegółowo określonego zadania publicznego. O pozycji Ministerstwa Rozwoju Regionalnego jako administratora danych świadczą zatem nie tylko złożone do akt administracyjnych umowy, ale przepisy tej ustawy, w szczególności jej art. 19 i następne stanowiące, że działania objęte Sektorowym Programem Operacyjnym Rozwój Zasobów Ludzkich 2004-2006, mogą być realizowane przez instytucje wdrażające ustanawiane dla poszczególnych działań, a szczegółowe zadania instytucji wdrażających, zasady i warunki realizacji działań oraz uprawnienia i obowiązki stron określa umowa zawarta z instytucją zarządzającą programem lub instytucją pośredniczącą, a jak wyraźnie stanowi art. 19 ust. 4 w przypadku przekazania przez instytucję zarządzającą kompetencji do zarządzania, monitorowania i kontroli poszczególnych priorytetów operacyjnych, działań lub projektów instytucja zarządzająca ponosi pełną odpowiedzialność za skuteczność i prawidłowość zarządzania programem. Charakter działań P. określa zaś art. 4 ust. 1a pkt 1 cyt. ustawy o utworzeniu P., w myśl którego P. uczestniczy w realizacji programów operacyjnych, o których mowa w ustawie o Narodowym Planie Rozwoju jako instytucji udzielającej pomocy finansowej określonym grupom beneficjentów.

W ocenie skarżącej, Generalny Inspektor Ochrony Danych Osobowych nie wziął pod uwagę powyższych okoliczności, a w wydanych decyzjach nie powołał się na żadne dowody w zakresie ustalenia podmiotu będącego administratorem danych ani nie wypowiedział się co do trafności dowodów i argumentów przedstawionych przez Agencję, w tym całkowicie zignorował fakt powierzenia przetwarzania danych Agencji na mocy dwóch, zawartych z Ministerstwem Rozwoju Regionalnego umów.

W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych powtórzył argumenty zawarte w zaskarżonej decyzji i wniósł o jej oddalenie. Organ pokreślił, że w ramach oceny zebranego w toku postępowania materiału dowodowego w świetle powołanych w uzasadnieniach obydwu decyzji przepisów administratorem danych w rozpoznanej sprawie jest P. i jako instytucja wdrażająca udziela wsparcia finansowego na realizację projektów z zakresu Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004 - 2006. Inspektor zaznaczył, że w ramach prowadzonej działalności Agencja zawiera z beneficjentami umowy o dofinansowanie projektów, które są umowami powierzenia przetwarzania danych osobowych (art. 31 ust. 1 ustawy o ochronie danych osobowych), co tym samym oznacza, że Agencja zawiera je działając jako administrator danych osób biorących udział w projektach.

W odniesieniu do zarzutów sformułowanych wobec prowadzonego postępowania dowodowego stwierdził, że wbrew twierdzeniom skarżącej, wziął pod uwagę jej stanowisko i przedstawione przez nią dowody, lecz po rozpatrzeniu całości zgromadzonego materiału dowodowego uznał, że o statusie P. jako administratora danych osobowych zadecydował brak dostępu Ministerstwa Rozwoju Regionalnego do przedmiotowych danych oraz zarejestrowanie przez Generalnego Inspektora zbioru danych beneficjentów ostatecznych przetwarzanych przez Agencję.

W replice na powyższą odpowiedź Agencja powtórzyła argumenty zamieszczone w skardze i wskazała, że fakt zawierania przez Agencję (instytucję wdrażającą) umów z innymi podmiotami (beneficjentami) nie przesądza o tym, że powierzając na ich podstawie przetwarzanie danych występuje jako administrator tych danych, bowiem w świetle regulacji art. 31 ustawy dopuszczalne jest dokonanie dalszego powierzenia przetwarzania danych, a o tym czy powierzający jest administratorem danych ostatecznie decyduje fakt, w czyim imieniu przetwarzane są dane osobowe, a w tej konkretnej sprawie dane te są przetwarzane w imieniu Ministerstwa Rozwoju Regionalnego na mocy wcześniej zawartych z nim umów.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.) sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. Sąd, stosownie do art. 134 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), zwanej dalej p.p.s.a., rozstrzyga w granicach danej sprawy nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną.

Analizując niniejszą sprawę pod tym kątem Sąd stwierdził, że skarga zasługuje na uwzględnienie.

Na wstępie należy zaznaczyć, że wykonanie decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2007 r. nr [...], która to okoliczność wynika z akt administracyjnych (v. pismo P. z dnia 15 lutego 2008 r. znak [...], [...] – k. 1174-1175 akt administracyjnych), nie miało wpływu na prawidłowość zaskarżonego rozstrzygnięcia, bowiem wykonanie przez stronę decyzji nieostatecznej nie stanowi podstawy do umorzenia postępowania administracyjnego, o ile strona nie cofnęła środka odwoławczego (por. wyroki Naczelnego Sądu Administracyjnego z dnia 17 kwietnia 1985 r., sygn. akt SA/Wr 111/85, ONSA 1985/1/21 oraz z dnia 17 kwietnia 2002 r. sygn. akt II SA/Gd 1266/00, LEX nr 76113). Taka sytuacja miała miejsce w niniejszej sprawie, tj. strona wykonała nieostateczną decyzję organu i nie cofnęła złożonego następnie wniosku o ponowne rozpatrzenie sprawy.

Przystępując do oceny zgodności z prawem wydanych w sprawie decyzji administracyjnych trzeba podkreślić, że istota sporu i zarazem podstawowy zarzut skargi sprowadza się do sposobu interpretacji pojęcia administrator danych w rozumieniu art. 7 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), zwanej dalej ustawą o ochronie danych, w sytuacji gdy dane osobowe są przetwarzane przez co najmniej dwa podmioty z sektora publicznego, a cele i środki przetwarzania tych danych wynikają z powszechnie obowiązujących przepisów prawa.

Stosownie do treści art. 7 pkt 4 w zw. z art. 3 ustawy o ochronie danych administratorem danych jest organ, jednostka organizacyjna, podmiot lub osoba (państwowa lub samorządowa) decydujące o celach i środkach przetwarzania danych osobowych.

W odniesieniu do podmiotów publicznych trudność w ustaleniu, kto jest administratorem danych wynika z tej podstawowej przyczyny, że w ich przypadku o celach i środkach przetwarzania danych osobowych decyduje zazwyczaj ustawodawca, stanowiąc przepisy prawa (por. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona Danych Osobowych, Komentarz, Wyd. 4., Kraków 2007, str. 375). Oczywistym jest, że nie jest możliwym przyznanie statusu administratora danych ustawodawcy tylko dlatego, że tworząc określone przepisy ujął on cele i środki przetwarzania danych w sposób ogólny. Zważywszy natomiast na fakt, że organy i podmioty władzy publicznej działają na podstawie i w granicach określonych przepisami prawa (art. 7 Konstytucji Rzeczypospolitej Polskiej), a stosując prawo dokonują konkretyzacji norm o charakterze ogólnym i abstrakcyjnym, to mniej lub bardziej ogólnie wyznaczony w przepisach prawa cel będzie podlegał konkretyzacji. Tym samym administratorem danych będzie ten podmiot, który decydując o celu przetwarzania danych będzie konkretyzował jego zakres, aby odpowiadał on potrzebom bardziej szczegółowo określonego zadania publicznego (por. R. Hauser "Przetwarzanie danych osobowych: cel i środki", Rzeczpospolita z dnia 6 kwietnia 1999 r., cyt. za J. Barta, P. Fajgielski, R. Markiewicz, tamże).

W rozpatrywanej sprawie cele i środki przetwarzania danych osobowych zostały określone przez ustawodawcę w ustawie z dnia 20 kwietnia 2004 r. o Narodowym Planie Rozwoju (Dz. U. Nr 116, poz. 1206 ze zm.) oraz w wydanym na jej podstawie rozporządzeniu Ministra Gospodarki i Pracy z dnia 1 lipca 2004 r. w sprawie przyjęcia Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004 – 2006 (Dz. U. Nr 166, poz. 1743 ze zm.) i załączniku do tego rozporządzenia. Wymienione przepisy normują także sytuację prawną podmiotów realizujących ten program i określają zakres przypisanych im kompetencji, przy czym w stosunku do P. (zwanej dalej Agencją lub P.) powyższe regulacje uzupełniają przepisy ustawy z dnia 9 listopada 2000 r. o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości (t.j. Dz. U. z 2007 r. Nr 42, poz. 275 ze zm.).

Zgodnie z art. 1 ust. 2 ustawy o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości, Agencja jest państwową osobą prawną, a stosownie do treści art. 4 ust. 1a pkt 1 tej ustawy Agencja uczestniczy w realizacji programów operacyjnych, o których mowa w ustawie z dnia 20 kwietnia 2004 r. o Narodowym Planie Rozwoju oraz w ustawie z dnia 6 grudnia 2006 r. o zasadach prowadzenia polityki rozwoju, jako instytucja wdrażająca (instytucja pośrednicząca II stopnia) albo pośrednicząca, udzielająca pomocy finansowej beneficjentom określonym w art. 6b ust. 1. Definicję instytucji wdrażającej ustawodawca zamieścił w art. 2 pkt 4 ustawy o Narodowym Planie Rozwoju stanowiąc, że jest nią podmiot publiczny lub prywatny odpowiedzialny za realizację działania w ramach programu operacyjnego na podstawie umowy z instytucją zarządzającą.

Z kolei, instytucją zarządzającą, zgodnie z art. 2 pkt 5 powołanej ustawy, jest właściwy minister odpowiedzialnego za przygotowanie i realizację programu operacyjnego albo za przygotowanie i nadzorowanie realizacji strategii wykorzystania Funduszu Spójności, o których mowa w rozporządzeniu Rady (WE) nr 1260/1999 z dnia 21 czerwca 1999 r. ustanawiającym przepisy ogólne w sprawie funduszy strukturalnych (Dz. Urz. WE L 161 z 26.06.1999, L 198 z 21.07.2001 oraz L 158 z 27.06.2003; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 14, t. 1, str. 31) oraz w rozporządzeniu Rady (WE) nr 1164/1994 z dnia 16 maja 1994 r. ustanawiającym Fundusz Spójności (Dz. Urz. WE L 130 z 25.05.1994, L 161 z 26.06.1999; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 14, t. 1, str. 9). Początkowo ministrem tym był Minister Gospodarki i Pracy (por. rozdział V załącznika do rozporządzenia Ministra Gospodarki i Pracy z dnia 1 lipca 2004 r.), a obecnie jest, jako jego następca prawny, Minister Rozwoju Regionalnego, co wynika z rozporządzenia Rady Ministrów z dnia 31 października 2005 r. w sprawie utworzenia Ministerstwa Rozwoju Regionalnego (Dz. U. Nr 220, poz. 1882).

Relacje pomiędzy instytucją zarządzającą a wdrażającą, poza wymienioną w art. 2 pkt 4 umową, regulują także jednostronne działania samej instytucji zarządzającej. Mianowicie, jak stanowi art. 18 ust. 1 ustawy o Narodowym Planie Rozwoju, za przygotowanie i realizację programów albo za przygotowanie i nadzór nad realizacją strategii wykorzystania Funduszu Spójności, a w szczególności za wydawanie wytycznych dotyczących wdrażania programów i strategii wykorzystania Funduszu Spójności, o których mowa w art. 8 ust. 1 (m.in. sektorowych programów operacyjnych), skierowanych do podmiotów uczestniczących w realizacji danego programu, są odpowiedzialne właściwe instytucje zarządzające.

W oparciu o rozporządzenie Ministra Gospodarki i Pracy, podrozdział 5.4 załącznika, utworzono System Informatyczny Monitoringu i Kontroli Finansowej Funduszy Strukturalnych i Funduszy Spójności, a w przypadku SPO RZL 2004-2006 ustalono, że na system monitorowania składać się będą dwa tworzące ze sobą komplementarną i spójną całość systemy informatyczne zbierania, przetwarzania i elektronicznego przetwarzania danych: SIMIK oraz Podsystem Monitorowania EFS oraz wskazano, że dane do systemu będą wprowadzane na bieżąco i bez opóźnienia przez instytucje wdrażające, natomiast oświadczenia i raporty dotyczące postępów w realizacji zadań, zweryfikowane przez instytucję zarządzającą i Komitet Monitorujący zostaną wprowadzone zgodnie z ustawą o Narodowym Planie Rozwoju, a nadto zastrzeżono, że to instytucja zarządzająca gwarantuje dobrą jakość danych.

Z akt administracyjnych wynika, że instytucja zarządzająca – Minister Gospodarki i Pracy, a następnie Minister Rozwoju Regionalnego zawarła z instytucją wdrażającą – P. dwie umowy w przedmiocie finansowania działania 2.3 w ramach Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich: w dniu 26 lipca 2004 r. oraz w dniu 20 kwietnia 2006 r. Na mocy § 19 pierwszej z umów strony postanowiły, że instytucja wdrażająca zobowiązuje się do wprowadzania do Podsystemu danych przekazywanych przez beneficjentów na formularzu "Dane o beneficjentach ostatecznych" a także, że instytucja wdrażająca zobowiązana jest do aktualizacji informacji w bazach danych składających się na Podsystem oraz tworzenia kopii zapasowych informacji przechowywanych w bazach danych zgodnie z przepisami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Na podstawie drugiej z umów - § 20 i 21- instytucja wdrażająca przyjęła odpowiedzialność za zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych zgromadzonych w ramach zarządzania i wdrażania działania oraz zobowiązała się do wprowadzania danych na temat realizowanych projektów z aplikacji DaneBO do "PEFS", a także zobowiązała się do aktualizacji informacji w bazie danych "PEFS" i rejestrowania bazy danych zgodnie z ustawą o ochronie danych osobowych.

Ponadto w aktach sprawy znajdują się dokumenty świadczące o tym, że instytucja zarządzająca przekazywała Agencji (instytucji wdrażającej) pisemne instrukcje w zakresie obsługi systemu "PEFS" (k. 1130, 1134, 1136, 1143 akt administracyjnych) załączając do nich (także w formie elektronicznej) przeznaczone do stosowania wzory formularzy, które szczegółowo określały zakres przetwarzanych danych osobowych, łącznie z danymi sensytywnymi (v. k. 1121-1127, k.1137-1141 akt administracyjnych).

W konsekwencji, w ocenie Sądu, P. przetwarzając dane osobowe beneficjentów ostatecznych nie działała jako administrator danych osobowych, lecz jako przetwarzający te dane w ramach umowy zawartej z administratorem danych, o której mowa w art. 31 ustawy o ochronie danych osobowych. Świadczą o tym bowiem szczegółowe postanowienia dwóch ww., a zawartych na piśmie umów.

Ponadto, w ocenie Sądu, to Minister Gospodarki i Pracy, a potem Minister Rozwoju Regionalnego zawierając powyższe umowy występował jako administrator danych. Wynika to z następujących faktów.

Po pierwsze, to Minister jako instytucja zarządzająca konkretyzował cele i środki przetwarzania danych osobowych beneficjentów ostatecznych, będąc odpowiedzialnym tak za przygotowanie sektorowego programu operacyjnego, jak i jego realizację (art. 17, 18 i następne ustawy o Narodowym Planie Rozwoju oraz przepisy rozporządzenia Ministra Gospodarki i Pracy z dnia 1 lipca 2004 r. w sprawie przyjęcia Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004 – 2006).

Po drugie, na co wskazuje zgromadzony w toku postępowania materiał dowodowy, Minister korzystał z przewidzianych w art. 18 ustawy o Narodowym Planie Rozwoju kompetencji i realizując Program wydawał P. wytyczne. Należy wskazać, że przepis art. 18 stanowi także podstawę do wydawania wytycznych dotyczących przetwarzania danych w Podsystemie EFS, który w świetle rozporządzenia Ministra Gospodarki i Pracy jest koniecznym elementem dla wdrożenia całego Programu Sektorowego. Działając na tej podstawie Minister Gospodarki i Pracy przekazał wszystkim instytucjom wdrażającym tenże Podsystem, a następnie określił zasady i zakres przetwarzania danych osobowych w systemie informatycznym "PEFS" i nadał im formę "Instrukcji wprowadzania danych o beneficjentach ostatecznych do PEFS" wraz z kwestionariuszami (k. 1121-1129 akt administracyjnych).

Z analizy tego dokumentu wynika, że to właśnie w oparciu o ten dokument został skonkretyzowany zakres przetwarzania danych osobowych w systemie "PEFS" o beneficjentach ostatecznych. Z dokumentu tego wynika, że mają być zbierane takie dane osobowe jak: imię i nazwisko, adres zamieszkania, dane kontaktowe, nr PESEL, NIP, a także dane sensytywne jak na przykład kategoria społeczna, pochodzenie, stwierdzony stopień niepełnosprawności, czy okres pobierania zasiłku dla bezrobotnych. Z pozostałych dokumentów wynika natomiast, że w ten sposób skonkretyzowany zakres przetwarzania danych osobowych był dalej doprecyzowany przez Ministra Rozwoju Regionalnego, który jako następca prawny Ministra Gospodarki i Pracy stał się administratorem danych.

Zdaniem Sądu, oznacza to, że P. przetwarzając dane osobowe beneficjentów ostatecznych czyniła to, w oparciu o umowy zawarte z administratorem danych, a przetwarzanie to nie miało charakteru samodzielnego; Agencja ani nie decydowała o celach i środkach przetwarzania danych ani nie konkretyzowała zakresu ich przetwarzania.

Z drugiej strony Agencja przetwarzając dane osobowe jako podmiot, o którym mowa w art. 31 ust. 1 ustawy o ochronie danych, miała obowiązek spełnić wymagania określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (art. 31 ust. 3 ustawy) i podlegała w tym zakresie kontroli Generalnego Inspektora Ochrony Danych Osobowych (art. 31 ust. 5 ustawy).

Odesłanie zawarte w art. 31 ust. 5 ustawy nakazujące "odpowiednie" stosowanie przepisów oznacza, że w postępowaniu kontrolnym, a zwłaszcza przy wydawaniu decyzji, powinna być uwzględniona specyfika przetwarzania danych na podstawie umowy. Natomiast przy ustalaniu adresata decyzji należałoby przyjąć, iż te decyzje Generalnego Inspektora, które odnoszą się do uchybień w zakresie określonym w art. 36-39 i przepisach wykonawczych określonych w art. 39a powinny być z reguły skierowane do podmiotu przetwarzającego dane (por. J. Barta..., tamże, str. 567-568).

Adresatem decyzji Generalnego Inspektora Ochrony Danych Osobowych nakazującej przywrócenie stanu zgodnego z prawem mogła być zatem P., ale występująca w sprawie jako przetwarzający dane osobowe na podstawie umowy, a nie jako administrator tych danych. Możliwość taką przewiduje zresztą wprost ustawa o ochronie danych w art. 18 w zw. z art. 31 ust. 3 i 5.

Czym innym jest jednak właściwe ustalenie adresata decyzji, a czym innym jest zapewnienie stronie czynnego udziału w postępowaniu administracyjnym, do którego organ zobligowany jest na mocy art. 10 kpa w zw. z art. 22 ustawy o ochronie danych. Jak wynika z akt postępowania organ nie dopełnił tego obowiązku i nie zapewnił Ministrowi Rozwoju Regionalnego udziału na żadnym etapie postępowania, choć niewątpliwie administrator danych osobowych był stroną tego postępowania.

W rezultacie administrator danych nie mógł występować w postępowaniu w obronie własnego interesu prawnego dotyczącego ciążącej na nim odpowiedzialności w sytuacji umownego powierzenia przetwarzania danych innemu podmiotowi (art. 31 ust. 4 ustawy o ochronie danych), a tym samym w postępowaniu wystąpiło naruszenie prawa dające podstawę do jego wznowienia (art. 145 § 1 pkt 4 kpa).

To zaś, w ocenie Sądu, skutkuje koniecznością uchylenia zaskarżonej decyzji i decyzji ją poprzedzającej bez potrzeby badania, czy naruszenie to miało wpływ na wynik sprawy. Dodać też należy, iż zgodnie z poglądem Sądu Najwyższego (por. wyrok z dnia 4 grudnia 2002 r., III RN 200/01, OSNPUS 2003, nr 24, poz. 582) dla obligatoryjnego uchylenia zaskarżonej decyzji nie ma znaczenia, że zgodnie z art. 147 kpa, wznowienie postępowania z przyczyny określonej w art. 145 § 1 pkt 4 kpa następuje tylko na żądanie strony.

Biorąc powyższe pod uwagę Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit. "b" ustawy - Prawo o postępowaniu przed sądami administracyjnymi w zw. z art. 145 § 1 pkt 4 kpa, orzekł jak w pkt 1 sentencji. Rozstrzygnięcie zawarte w pkt 2 wyroku uzasadnione jest treścią art. 152 powołanej ustawy. O kosztach postępowania, w pkt 3 wyroku, orzeczono na podstawie art. 200, art. 209 i art. 205 § 2 ww. ustawy.



Powered by SoftProdukt