Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Adam Lipiński Sędziowie WSA Ewa Pisula - Dąbrowska Przemysław Szustakiewicz (spr.) Protokolant specjalista Elwira Sipak po rozpoznaniu na rozprawie w dniu 2 czerwca 2011 r. sprawy ze skargi I. Sp. z o.o. O. Sp. j. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] stycznia 2011 r. nr [...] w przedmiocie usunięcia uchybień w przetwarzaniu danych osobowych oddala skargę

Generalny Inspektor Ochrony Danych Osobowych, działając na podstawie art. 138 § 1 pkt 1 i 2 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2, art. 18 ust. 1 pkt 1 i art. 22 w związku z art. 23 ust. 1 pkt 1, art. 25 ust. 1, art. 36 ust. 2, art. 37, art. 39 i art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), powoływanej dalej jako uodo, decyzją z dnia [...] stycznia 2011 r. nr [...], po rozpatrzeniu wniosku I. Sp. j. z siedzibą w W. o ponowne rozpatrzenie sprawy, utrzymał w mocy swoją decyzję z dnia [...] września 2010 r., nr [...], nakazującą usunięcie uchybień w procesie przetwarzania danych osobowych przez I. Sp. j. z siedzibą w W.

Organ wskazał na następujący stan faktyczny w sprawie. Generalny Inspektor Ochrony Danych Osobowych w dniu [...] września 2010 r. wydał decyzję nakazującą I. Sp. j. z siedzibą w W., zwanej dalej Spółką usunięcie uchybień w procesie przetwarzania danych osobowych, poprzez:

1. dopełnienie wobec osób, których dane pochodzące ze źródeł powszechnie dostępnych (Monitor Sądowy i Monitor Gospodarczy) zostały zebrane i utrwalone przez ww. administratora danych, obowiązku informacyjnego o którym mowa w art. 25 ust. 1 ustawy o ochronie danych osobowych, w terminie 3 miesięcy, od dnia w którym niniejsza decyzja stanie się ostateczna,

2. zgłoszenie do rejestracji zbioru danych osobowych klientów (właścicieli adresów poczty elektronicznej) w terminie 30 dni, od dnia w którym niniejsza decyzja stanie się ostateczna,

3. zapewnienie użytkownikom serwisu I. możliwości swobodnego wyrażenia zgody na przetwarzanie ich danych osobowych w celach marketingowych w terminie 30 dni, od dnia w którym niniejsza decyzja stanie się ostateczna,

4. opracowanie dokumentacji stanowiącej politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, w terminie 30 dni, od dnia w którym niniejsza decyzja stanie się ostateczna,

5. nadanie upoważnień do przetwarzania danych osobowych osobom, dopuszczonym do przetwarzania danych osobowych w terminie 14 dni, od dnia w którym niniejsza decyzja stanie się ostateczna,

6. opracowaniu ewidencji osób upoważnionych do przetwarzania danych osobowych w terminie 14 dni, od dnia w którym niniejsza decyzja stanie się ostateczna.

W pozostałym zakresie postępowanie zostało umorzone.

W dniu [...] października 2010 r. do Generalnego Inspektora Ochrony Danych Osobowych wpłynął wniosek pełnomocnika Spółki o ponowne rozpatrzenie przedmiotowej sprawy, w którym zarzucono zaskarżonej decyzji naruszenie prawa materialnego, tj. art. 25 ust. 1 i ust. 2 pkt 1 uodo w zw. z art. 8 ust. 1-2 ustawy z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym (Dz. U. z 2007 r. Nr 168, poz. 1186 ze zm.) oraz wniesiono o uchylenie zaskarżonej decyzji i umorzenie postępowania.

W uzasadnieniu Spółka podniosła, że zaskarżona decyzja została wydana z naruszeniem art. 25 ust. 2 pkt 1 uodo, który wyłącza obowiązek informacyjny określony w ust. 1, w sytuacji gdy "przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą". W art. 25 ust. 2 pkt 1 uodo wskazane są dwie odrębne kategorie przepisów ustaw szczególnych: przewidujących lub dopuszczających zbieranie danych osobowych bez wiedzy podmiotu danych. W przypadku obwiązywania przepisów chociaż jednej z tych dwóch grup, analizowany wymóg informacyjny nie występuje. Czasownik "przewidywać, przewidzieć" oznacza "określić, oznaczyć coś z góry, zaplanować, założyć" (Słownik Języka Polskiego PWN, t. II, red. M. Szymczak, Warszawa 1998, str. 971-972). W związku z tym, zdaniem Spółki, przez normę "przewidującą zbieranie bez wiedzy" należy rozumieć ustawową normę, która expresis verbis określa (ustala) wyłączenie wiedzy podmiotu danych na temat zebrania jego danych przez administratora danych. Dlatego też w doktrynie wskazuje się jako spełnienie tego warunku przepisy niektórych ustaw, w których wprost zapisano, iż określone podmioty mogą gromadzić dane bez wiedzy osoby, której dane dotyczą.

Drugi rodzaj normy ustawowej, o której mowa w art. 25 ust. 2 pkt 1 ustawy o ochronie danych osobowych, tylko dopuszcza (a nie przewiduje) zbieranie danych bez wiedzy podmiotu danych. Nie chodzi zatem o normę, która bezpośrednio rozstrzyga kwestię wyłączenia wiedzy podmiotu danych na temat przetwarzania jego danych osobowych. Przyjmując, że występuje inny zakres znaczeniowy tych dwóch słów, to czasownik "dopuszczać, dopuścić" tłumaczy się jako "uznać coś za możliwe, przypuszczać" lub w innym znaczeniu "przystać na coś, nie przeszkodzić czemuś" (Słownik Języka Polskiego PWN, t. I, red. M. Szymczak, Warszawa 1998, str. 401-402). Będzie to więc przepis, który nie sprzeciwia się pozyskaniu danych bez wiedzy podmiotu danych. Z takim dopuszczeniem mamy do czynienia w przypadku ustaw wprowadzających jawność formalną rejestrów publicznych, w tym rejestrów zawierających dane osobowe. Jawność formalna rejestru oznacza prawo każdego do dostępu do danych rejestrowych, bez potrzeby wykazywania w tym swojego interesu prawnego lub faktycznego. Ze względu na powszechną legitymację podmiotową w zakresie dostępu do danych rejestrowanych, uzyskujący informacje z rejestru nie jest w żaden sposób identyfikowany na etapie pozyskania przez niego danych.

Ustawy dotyczące rejestrów publicznych, zdaniem Spółki, nie wymagają również odnotowania faktu udostępnienia jawnych danych, czyli ze strony organu rejestrowego brak jest wiedzy komu i kiedy dane zostały ujawnione, a co z tym związane nie może on wykonać obowiązku wskazanego w art. 33 pkt 4 uodo. Zresztą niektóre organy rejestrowe, na podstawie ogólnie sformułowanej zasady jawności, umieszczają dane z rejestrów publicznych w sieci publicznej Internet, co uniemożliwia jakąkolwiek kontrolę udostępnień. Powyższa sytuacja zaistniała w przypadku pojedynczych organów gminy w zakresie ewidencji działalności gospodarczej. Przedstawione powyżej przesłanki zachodzą również w przypadku danych zawartych w Krajowym Rejestrze Sądowym. Zgodnie z art. 8 ust. 1 ustawy o Krajowym Rejestrze Sądowym, rejestr ten jest (w całości) jawny, natomiast w ust. 2 przyznano każdemu prawo dostępu do danych zawartych w KRS za pośrednictwem Centralnej Informacji.

Spółka podkreśliła, że przyjęcie przez Generalnego Inspektora Ochrony Danych Osobowych stanowiska, potwierdzającego obowiązek zbierającego dane z KRS przekazania osobie fizycznej, ujawnionej w rejestrze, informacji określonych w art. 25 ust. 1 uodo, skutkować będzie tym, iż wymóg taki będzie wówczas powszechnie występował w obrocie gospodarczym, w związku z szeregiem czynności związanych z pozyskiwaniem danych z KRS, np. w przypadku kancelarii prawnych sprawdzających prawidłową reprezentację stron stosunków umownych.

W zakresie natomiast pozostałych zarzutów, wymienionych w pkt I.2-6 rozstrzygnięcia zaskarżonej decyzji Spółka wyjaśniła, że aktualnie prowadzi działania mające na celu przywrócenie stanu zgodnego z przepisami uodo, wskazując jakiego rodzaju działania przywracające stan zgodny z prawem zostały podjęte.

Generalny Inspektor Ochrony Danych Osobowych w uzasadnieniu decyzji z dnia [...] stycznia 2011 r. przywołał treść art. 25 ust. 1 ustawy, zgodnie z którym w przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych, 3) źródle danych, 4) prawie dostępu do treści swoich danych oraz ich poprawiania, 5) uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8. Natomiast zgodnie z treścią art. 25 ust. 2 pkt 1 ustawy, przepisu ust. 1 nie stosuje się, jeżeli: przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą.

Dalej organ podniósł, że jak wynika ze stanu faktycznego ustalonego na podstawie zebranego w przedmiotowej sprawie materiału dowodowego, Spółka prowadzi działalność w zakresie świadczenia usług odpłatnego udzielania informacji gospodarczej, pochodzącej ze źródeł powszechnie dostępnych (Monitor Sądowy i Monitor Gospodarczy) osobom zainteresowanym. Usługa ta jest udostępniana za pośrednictwem publicznej sieci Internet. W związku z powyższym Spółka, przetwarza dane osobowe w zakresie: imię, nazwisko, nr PESEL, pełniona funkcja, rok urodzenia, które zostały ujawnione w Krajowym Rejestrze Sądowym (KRS).

Następnie Generalny Inspektor Ochrony Danych Osobowych zauważył, że uodo nie zakazuje tworzenia odrębnych zbiorów na podstawie danych pochodzących ze źródeł powszechnie dostępnych, jednakże nie oznacza to, że powstałe w ten sposób zbiory nie podlegają przepisom ww. ustawy. Przede wszystkim Spółka, jako administrator ww. danych osobowych powinna legitymować się przesłanką do przetwarzania takich danych. W opisanej sytuacji należałoby uznać, że taką przesłankę może stanowić art. 23 ust. 1 pkt 5 ustawy, tj. przetwarzanie danych, jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Kolejnym obowiązkiem, który ciąży na administratorze danych jest zgłoszenie zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych z wyjątkiem przypadków, o których mowa w art. 43 ust. 1 (art. 40 ustawy). W opisanym przypadku mamy do czynienia z wyjątkiem, o którym mowa w art. 43 ust. 1 pkt 9 ustawy tj. z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych powszechnie dostępnych. Brak jest natomiast podstaw do zwolnienia Spółki z obowiązku przekazania osobom, których dane dotyczą informacji, o których mowa w art. 25 ust. 1 uodo.

Organ podkreślił, że Spółka pozyskuje dane z KRS w celu utworzenia odrębnego zbioru danych, który wykorzystuje dla własnych celów zarobkowych. W ten sposób Spółka staje się administratorem zebranych w opisany sposób danych, zatem jako na administratorze danych, ciąży na niej obowiązek, informacyjny (bezpośrednio po utrwaleniu zebranych danych), o którym mowa w art. 25 ust. 1 uodo.

Przesłanki, o których mowa w art. 25 ust. 2 pkt 1 ustawy, dotyczą zaś sytuacji, gdy przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą. Zwolnienie to dotyczy zatem podmiotów, których działalność polegająca na przetwarzaniu danych osobowych została uregulowana szczegółowymi przepisami prawa. Spółka nie jest podmiotem (administratorem danych) prowadzącym rejestry publiczne na podstawie przepisów prawa, a jedynie administratorem danych, który pozyskał dane z takiego rejestru. Zasady dotyczące jawności danych z KRS nie zobowiązują Spółki do upowszechnienia posiadanych informacji, świadczy ona swoje usługi odpłatnie. Co więcej mogłaby ona utajnić posiadane dane i nikt nie mógłby żądać od niej ujawnienia zebranych informacji powołując się na przepisy o Krajowym Rejestrze Sądowym.

Organ wskazał również, że dane osobowe zostały umieszczone w Krajowym Rejestrze Sądowym m.in. w celu zapewnienia jawności obrotu gospodarczego. W tym też celu powinny być przetwarzane przez podmioty je pozyskujące. Natomiast Spółka stworzyła swoją bazę na podstawie informacji z KRS i świadczy usługi w zakresie udostępniania informacji, wśród których znajdują się dane osobowe, dla realizacji swoich celów zarobkowych.

Konstytucyjnie zagwarantowane prawa osób do nieujawniania dotyczących ich informacji mogą ograniczać wyłącznie przepisy rangi ustawowej. Ustawa o Krajowym Rejestrze Sądowym jest właśnie takim aktem, bowiem zgodnie z treścią art. 35 pkt 1 tej ustawy, ilekroć do Rejestru wpisuje się: osobę fizyczną - zamieszcza się nazwisko i imiona oraz identyfikator nadany w systemie ewidencji ludności, zwany dalej "numerem PESEL". Przy tym rejestr ten jest jawny, bowiem powstał m.in. dla zapewnienia jawności danych podmiotów uczestniczących w życiu gospodarczym. Osoby, o których mowa w przepisach ustawy o KRS, mają zatem obowiązek podania swoich danych w celu ich zamieszczenia w tym rejestrze, muszą też liczyć się z ich ujawnieniem. Nie oznacza to jednak, że muszą one godzić się na wykorzystanie ich danych w celach innych, niż (ogólnie rzecz ujmując) "jawność obrotu gospodarczego". W myśl art. 26 ust. 1 pkt 2 uodo, administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były: zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2. Niedopełnienie przez Spółkę obowiązku informacyjnego wobec osób, których dane dotyczą, pozbawia te osoby podstawowego prawa do informacji o przetwarzaniu ich danych, a tym samym ogranicza możliwość skorzystania z uprawnień, o których mowa w art. 32 ust. 1 pkt 7 i 8 uodo, tj. wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację; wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych.

Organ zauważył również, że katalog przypadków pozwalających odstąpić od przekazania informacji, o którym mowa w art. 25 ust. 1 ustawy uległ zmianie w wyniku nowelizacji ustawy dokonanej w 2004 r. (uchylony został m.in. przepis ust. 2 pkt 2 powołanego artykułu, który zwalniał z dopełnienia tego obowiązku w sytuacji gdy "dane przewidziane do zebrania są ogólnie dostępne"). Z tych względów należy uznać, iż intencją ustawodawcy było zobowiązanie administratorów danych, którzy zbierają dane "ogólnie dostępne" do dopełniania obowiązków wynikających z powołanego przepisu.

Odnosząc się do wniosku o uchylenie decyzji i umorzenie postępowania w zakresie pkt I ppkt 2-6 zaskarżonej decyzji, organ wskazał, że rozstrzygnięcie zawarte w zaskarżonej decyzji jest prawidłowe zarówno z punktu widzenia zgodności z prawem, jak i pod względem celowości. Z uwagi na to, że zaskarżona decyzja została wydana na podstawie właściwie zastosowanych przepisów prawa oraz na podstawie prawidłowo ustalonego stanu faktycznego należało utrzymać ją w mocy.

Natomiast na podstawie przedstawionych przez Spółkę dowodów przedstawionych we wniosku o ponowne rozpatrzenie sprawy z dnia [...] października 2010 r. oraz w piśmie z dnia [...] grudnia 2010 r. organ uznał, że wykonała ona pozostałe nakazy decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] września 2010 r.

W dniu 28 lutego 2011 r. skargę na powyższą decyzję oraz na decyzję ją poprzedzającą, złożyła I. Sp. j. z siedzibą w W. reprezentowana przez profesjonalnego pełnomocnika, wnosząc o stwierdzenie ich nieważności, ewentualnie o ich uchylenie, ponadto Spółka wniosła o wstrzymanie wykonalności zaskarżonych decyzji i o zasądzenie na jej rzecz zwrotu kosztów postępowania.

Skarżąca zarzuciła zaskarżonym decyzjom spełnienie przesłanki, o której mowa w art. 156 § 1 pkt 5 k.p.a. powodującej ich nieważność, ze względu na trwałą niewykonalność (istniejącą już w dniu wydania aktów administracyjnych) nałożonego w decyzji obowiązku przekazania informacji osobie, której dane dotyczą, a także naruszenie przepisów uodo, tj. art. 25 ust. 2 pkt 1 w zw. z ust. 1 uodo oraz art. 8 ust. 1-2 ustawy o Krajowym Rejestrze Sądowym, poprzez błędną wykładnię wspomnianego przepisu, polegającą na stwierdzeniu przez organ administracji publicznej, że w przedmiotowej sprawie nie zachodzi wyłączenie obowiązku informacyjnego oraz art. 18 ust. 1 uodo poprzez zawarcie w decyzji administracyjnej wadliwego rozstrzygnięcia, w którym nie określa się przedmiotu nakazu, tj. czynności służących przywróceniu stanu zgodnego z prawem.

W uzasadnieniu skargi Spółka podniosła, że w zbiorze danych przetwarzany jest bardzo ograniczony zakres danych osobowych, zawężony do imienia, nazwiska, numeru PESEL, daty urodzenia oraz funkcji pełnionych w podmiotach ujawnionych w KRS. Czyni to trwale niewykonalnym nakaz przekazania informacji do osób, których dane przetwarzane w zbiorze mają historyczny charakter. Chodzi o osoby, które w przeszłości pełniły określone funkcje w podmiotach, ale w chwili obecnej już ich nie pełnią. W przypadku takich osób na podstawie znajdujących się w posiadaniu administratora danych osobowych nie jest on w stanie przekazać im wymaganej informacji. Administrator nie przetwarza bowiem danych umożliwiających bezpośredni kontakt z osobą fizyczną (np. adres zameldowania), a przesłanie informacji na adres podmiotu (np. spółki prawa handlowego), w której w przeszłości pełniła ona funkcję, nie można uznać za wykonanie nakazu. Podmiot taki nie ma obowiązku dalszego przekazania informacji do osoby, której dane dotyczą, a nawet gdyby tego dokonał posiadane przez niego dane adresowe mogą już nie być aktualne.

W celu prawidłowego wykonania obowiązku określonego w nakazie Spółka musiałaby zebrać dodatkowe kategorie danych umożliwiających nawiązanie kontaktu. Taki obowiązek powinien jednak stanowić przedmiot jednoznacznie wyrażonego w decyzji nakazu, co nie nastąpiło. W obecnym stanie prawnym, w tym na podstawie skarżonych aktów administracyjnych, Spółka nie ma podstawy prawnej do pozyskania nowych kategorii danych osobowych. Wyznaczony przez organ termin 3 miesięcy jest nierealny dla przeprowadzenia przedsięwzięcia zgromadzenia dodatkowych danych (np. adresowych) w stosunku do wszystkich osób, których dane są zawarte w zbiorze. Spółka podkreśliła, że przedmiotowy zbiór danych zawiera wszystkie dane osobowe znajdujące się w KRS.

Również w stosunku do pozostałych osób, których dane są przetwarzane (tj. aktualnie pełniących funkcję), nie jest w decyzji w jakikolwiek sposób dookreślone w jaki sposób administrator danych ma przekazać informacje, tak aby skutecznie dotarła do podmiotu danych i czy przesłanie danych na adres siedziby podmiotu ujawnionego w KRS jest wystarczające w tym przedmiocie.

W dalszej części skargi Spółka powołała się na treść art. 18 ust. 1 uodo, zgodnie z którym Generalny Inspektor rozstrzyga sprawę wydając nakaz przywrócenia stanu zgodnego z prawem. Przedmiotem rozstrzygnięcia organu ds. ochrony danych osobowych jest nakaz podjęcia lub zaniechania określonych czynności w celu prawidłowego wykonania obowiązków ochrony danych osobowych określonych w przepisach o ochronie danych osobowych. Tymczasem, zdaniem skarżącej, skarżone decyzje nie spełniają powyższego warunku, ponieważ nakaz zawiera jedynie proste odesłanie do przepisu ustawy o ochronie danych osobowych wprowadzającego obowiązek informacyjny i nie wskazuje konkretnych czynności, jakie obowiązany jest podjąć administrator danych w celu przywrócenia stanu zgodnego z prawem.

W wykonaniu nakazu wydanego przez GIODO, to administrator danych musi dookreślić: 1) czy wystarczające jest przekazanie wymaganych informacji na adres podmiotu ujawnionego w KRS, w którym osoba fizyczna pełni funkcję, 2) na adres jakiego podmiotu przesłać wiadomość, jeżeli osoba pełni funkcję w więcej niż jednym podmiocie oraz 3) czy wystarczające jest przesłanie dokumentu adres poczty elektronicznej, czy też wymagane jest przesłanie dokumentu tradycyjnego na adres siedziby podmiotu.

W ocenie skarżącej Spółki, w skarżonych decyzjach organ dokonał błędnej wykładni art. 25 ust. 2 pkt 1 uodo polegającej na przyjęciu, że nie zachodzi określona w nim przesłanka wyłączająca obowiązek informacyjny, o którym mowa w ust. 1 tegoż artykułu. Powyższy przepis wskazuje bowiem dwie odrębne kategorie przepisów ustaw szczególnych: przewidujących lub dopuszczających zbieranie danych osobowych bez wiedzy podmiotu danych. W tym przepisie przewiduje się zatem dwie odrębne kategorie przepisów szczególnych, które pozwalają na stwierdzenie wyłączenia obowiązku informacyjnego.

W ocenie skarżącej, w przypadku ustaw wprowadzających jawności (formalną i materialną) rejestrów publicznych, w tym rejestrów zawierających dane osobowe, mamy do czynienia z prawnym dopuszczeniem, w rozumieniu art. 25 ust. 2 pkt 1 uodo. Jawność formalna rejestru oznacza prawo każdego do dostępu do danych rejestrowych, bez potrzeby wykazywania w tym swojego interesu prawnego lub faktycznego. Ze względu na powszechną legitymację podmiotową w zakresie dostępu do danych rejestrowanych, uzyskujący informacje z rejestru nie jest w żaden sposób identyfikowany na etapie pozyskania przez niego danych.

Wykładnia przepisu art. 8 ust. 1-2 ustawy o KRS w zw. z art. 25 ust. 2 pkt 1 uodo dająca podstawę do wyłączenia wiedzy osoby, której dane znajdują się w KRS, na temat pozyskania przez osoby trzecie jej danych z rejestru, znajduje również, w ocenie skarżącej, uzasadnienie aksjologiczne. Cel umieszczenia danych osobowych w KRS jest ściśle związany z obrotem gospodarczym, a co z tym związane powszechna dostępność rejestru nie powinna być traktowana jako ingerencja w sferę prywatności osoby fizycznej ujawnionej w rejestrze. Nie występuje zatem potrzeba zawiadamiania takiej osoby o zebraniu jej danych osobowych, bowiem instrumenty publicznoprawnej ochrony danych osobowych traktowane są jako przejaw ochrony prawa do prywatności. Osoba, która będzie pełniła funkcję w organach spółki prawa handlowego musi zaakceptować, że jej dane znajdą się w jawnym rejestrze publicznym, do którego dostęp będzie miał każdy zainteresowany w obrocie gospodarczym. Cel jakim pozostaje jawność (a co z tym związane pewność obrotu gospodarczego), zdaniem ustawodawcy, przeważa nad ochroną imienia, nazwiska, daty urodzenia i numeru PESEL osoby pełniącej funkcję w organach podmioty wpisanego do KRS.

Skarżąca nie zgodziła się również ze stanowiskiem organu wyrażonym w zaskarżonej decyzji, w którym organ przeciwstawia sobie cele funkcjonowania KRS oraz zbioru danych Spółki, ponieważ drugi z nich również funkcjonuje w ramach jawności obrotu gospodarczego. Świadczone przez Spółkę usługi opierają się na danych z jawnych rejestrów publicznych i odnoszą się jedynie do aktywności gospodarczej określonej osoby fizycznej. Takie przetwarzanie dla celów komercyjnych danych uprzednio zgromadzonych przez podmioty publicznoprawne jest dopuszczane prawem unijnym, tj. Dyrektywą 2003/98/WE Rady i Parlamentu Europejskiego w dniu 17 listopada 2003 r. w sprawie ponownego wykorzystywania informacji sektora publicznego. Według wspomnianej dyrektywy wykorzystanie informacji takich podmiotów przyczynia się do osiągnięcia przewidzianego w TUWE ustanowienia rynku wewnętrznego i systemu zapewniającego niezakłóconą konkurencję na tymże rynku (motyw 1 preambuły). Podkreśla się, że informacja sektora publicznego jest ważnym materiałem wyjściowym dla produktów i usług związanych z zasobami cyfrowymi, a większe możliwości ponownego wykorzystania tych informacji powinny pozwolić firmom europejskim na wykorzystanie swojego potencjału oraz przyczynić się do wzrostu gospodarczego i tworzenia miejsc pracy (motyw 5). Właśnie przedmiotowy zbiór danych skarżącej spełnia przedstawiony powyżej opis, ponieważ "usługi informacyjne" I. Sp. j. są oparte na danych pozyskanych z rejestrów publicznych.

Spółka podkreśliła, że wykładnia Generalnego Inspektora zaprezentowana w skarżonych decyzjach znacząco ogranicza realizację przedstawionych celów Dyrektywy 2003/98/WE. Korzystanie z jawnych rejestrów gospodarczych (publicznych) zawierających dane osobowe, połączone z utrwaleniem pozyskanych danych w systemie informatycznym korzystającego z rejestru, zawsze będzie oznaczało konieczność poinformowania osób, których dane dotyczą. Ze względu na koszt skutecznego przekazania informacji podmiotowi danych pozyskiwanie jawnych informacji sektora publicznego (np. z rejestrów publicznych) stanie się nieopłacalne (lub mniej opłacalne) dla przedsiębiorców, którzy zamierzają opierać swoje produkty i usługi na tychże informacjach.

W ocenie skarżącej, nie do zaakceptowania pozostają także konsekwencje stanowiska zajętego w decyzjach przez Generalnego Inspektora Ochrony Danych Osobowych, z którego wynika obowiązek informacyjny dla każdego podmiotu zbierającego dane z KRS, gdy zachodzą sytuacje określone w art. 2 ust. 1-2 uodo. Taki wymóg będzie wówczas powszechnie występował w obrocie gospodarczym w związku z szeregiem czynności związanym z pozyskiwaniem danych z KRS. Biorąc pod uwagę powszechność korzystania z odpisów KRS, m.in. do wskazywania osób uprawnionych do reprezentowania spółki podczas zawierania umowy, prowadziłaby taka wykładnia do paraliżu gospodarczego, a z pewnością także do nieracjonalnych (nadmiernych) nakładów finansowych, w imię ochrony prywatności, która w analizowanym przypadku nie występuje.

W odpowiedzi na skargę organ wniósł o jej oddalenie i podtrzymał argumenty zawarte w zaskarżonej decyzji.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Na podstawie art. 13 § 2 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz.1270 ze zm.) do rozpoznania sprawy właściwy jest wojewódzki sąd administracyjny, na którego obszarze właściwości ma siedzibę organ administracji publicznej, którego działalność została zaskarżona

Natomiast zgodnie z treścią art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz.1269 ze zm.) sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującymi w dacie jej wydania.

Rozpoznawana pod tym względem skarga nie zasługuje na uwzględnienie.

Na wstępie należy wskazać, że polski ustawodawca już w art. 47, 49 i 51 Konstytucji wskazał na prawo do prywatności obywatela w tym także ochronę jego danych przed nadmierną ingerencją innych podmiotów. Przepis art. 47 Konstytucji określa bowiem zasadę ochrony życia prywatnego, przepis art. 49 ustawy zasadniczej wskazuje na ochronę korespondencji, z kolei przepis art. 51 Konstytucji wskazuje, że nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby (ust. 1), władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym (ust. 2), każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa ( ust. 3) oraz do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą (ust. 4).

Rozwinięciem tych przepisów jest ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z roku 2002 Nr 101, poz. 926 ze zm.) zwana dalej uodo, która z kolei nawiązuje do rozwiązań zawartych w Dyrektywie Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych. Te akty prawne tworzą obecnie podstawowe ramy dla ochrony danych osobowych w Polsce.

Ustawa o ochronie danych osobowych statuuje zasadę ochrony danych osobowych. Zgodnie z art. 1 uodo każdy ma prawo do ochrony dotyczących go danych osobowych, a samo przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne lub dobro osoby, której te dane dotyczą.

Z treści wyżej wskazanych przepisów wynika, że ochrona danych osobowych jest jednym z podstawowych praw obywatelskich w demokratycznym państwie prawa. Ochrona danych osobowych wiąże się bowiem z ochroną życia prywatnego, a zatem stanowi o wolności obywatela. Prawo do ochrony danych osobowych nie jest jednak prawem absolutnym i podlega ograniczeniu ze względu na interes publicznym lub usprawiedliwiony interes innych osób. Niemniej jednak, skoro jest to prawo obywatelskie decydujące o poczuciu wolności danej osoby, to wyjątki dopuszczające zbieranie i wykorzystywanie danych osobowych powinny być poddane ścisłej wykładni. Ustawodawca kierując się wartościami ochrony praw konstytucyjnych nie może dopuścić do sytuacji, w której to prawo poprzez rozszerzającą interpretację przepisów dotyczących przetwarzania i udostępnienia danych osobowych, jest naruszane.

Przechodząc na grunt rozpatrywanej sprawy jako błędny należy uznać pogląd skarżącego, iż podstawa prawna zaniechania przez niego obowiązkowi informacyjnemu określonemu w art. 25 ust. 1 uodo istnieje w art. 25 ust. 2 pkt 1 w zw. z art. 8 ust. 1-2 ustawy z dnia 27 sierpnia 1997 r. o Krajowym Rejestrze Sądowym (Dz. U. z roku 2007 Nr 168, poz.1186 ze zm.). Przepis art. 25 ust. 2 pkt 1 statuuje, iż nie ma obowiązku powiadamiania osoby, której dane dotyczą, w sytuacji, gdy przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby , której te dane dotyczą.

Przepisy ustawy o Krajowym Rejestrze Sądowym określają zasady wpisu do rejestru oraz zasady jego udostępnienia. Wspomniany w skardze art. 8 ust. 1-2 ustawy o Krajowym Rejestrze Sądowym statuuje zasadę jawności danych zawartych w rejestrze. Należy jednak zauważyć, że ww. ustawa z dnia 27 sierpnia 1997 r. reguluje sposób udostępnienia danych osobowych osób, których dane znajdują się w KRS w sposób całkowity. Dane te udostępniane w drodze elektronicznej przez Centralną Informację KRS lub w drodze przeglądania akt rejestru we właściwych wydziałach sądów. Dane te są udostępniane każdemu zainteresowanemu, dla jego potrzeb związanych z pewnością obrotu gospodarczego. Osoba, która podejmuje działalność, która ma być wpisana do KRS wie, że jej dane są w prowadzonym przez Państwo rejestrze i tylko na podstawie przepisów dotyczących funkcjonowania tego rejestru te dane będą wykorzystane.

Tymczasem skarżący pobiera dane osobowe osób znajdujących się w KRS, takie jak imię, nazwisko, numer PESEL do własnej bazy danych, w której te dane są przetwarzane. Dane Z KRS nie mają służyć do takiego celu, a osoby które udostępniają swoje dane osobowe nie wyrażają zgody na to, aby ich dane osobowe były umieszczane w innej , prywatnej bazie danych. Decydując się na umieszczenie swoich danych w KRS przedsiębiorcy mają zaufanie, że ich dane będą ujawniane i wykorzystywane tylko w taki sposób na jaki zezwala ustawa o Krajowym Rejestrze Sądowym. Takie rozumienie przepisu art. 25 ust. 2 pkt 1 uodo w zw. z art. 8 ust. 1 -2 ustawy o Krajowym Rejestrze Sądowym wynika ze ściślej interpretacji tych przepisów. Ustawodawca nie może bowiem dopuścić do tego, że ochrona danych osobowych znajdujących się w KRS nie będzie ograniczona wobec podmiotów, które będą chciały wykorzystać te dane w innych celach i na innych zasadach niż dopuszcza to ustawa o Krajowym Rejestrze Sądowym. Wówczas dopuszczono by także do sytuacji, w której dane z KRS mogłyby być w nieograniczony sposób wykorzystywane, bez woli osób w nich ujętych, w celu utworzenia bazy danych dla prowadzenia kampanii marketingowych.

Powyższa interpretacja art. 25 ust. 2 pkt 1 uodo ma uzasadnienie także w wykładni historycznej przepisu art. 25 ust. 2 uodo. Otóż do dnia 1 maja 2004 r. obowiązywały przepis art. 25 ust. 2 pkt 2 uodo. Przepis ten przewidywał, że administrator nie informował danej osoby o tym, że jej dane znajdują się w bazie danych w sytuacji, gdy dane te pochodziły ze zbiorów powszechnie dostępnych. Wejście w dniu 1 maja 2004 r., a więc w dniu przystąpienia Polski do Unii Europejskiej przepisów ustawy z dnia 22 stycznia 2004 r. o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe (Dz. U. Nr 33, poz. 285) spowodowało, iż "uchylone zostały wyłączenia obowiązku informacyjnego. Tym samym w przypadku pozyskiwania danych ze źródeł ogólnie dostępnych (pkt 2), czyli np. opublikowanych we wszelkich wykazach, spisach, rejestrach, książkach telefonicznych, almanachach(...). Również w takich przypadkach istnieje, więc obowiązek poinformowania osoby, której dane dotyczą o ich przetwarzaniu (P. Barta, P. Litwiński Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2009, s. 257). Ustawodawca implementując przepisy europejskie do polskiego prawa ochrony danych osobowych wykreślił możliwości nieinformowania osoby o jej uprawnieniach związanych z przetwarzaniem danych osobowych w sytuacji, gdy jej dane są zawarte w powszechnie dostępnych i jawnych rejestrach. Tak więc w sytuacji, gdy skarżący pozyskuje dane osobowe z KRS w celu ich przetwarzania jest zobowiązany do wypełnienia obowiązku informacyjnego określonego w art. 25 ust. 1 uodo.

Jako nieuzasadniony należy uznać zarzut skarżącego, że zaskarżona decyzja stoi w sprzeczności z postanowieniami Dyrektywy 2003/98/WE Rady i Parlamentu Europejskiego w dniu 17 listopada 2003 r. w sprawie ponownego wykorzystywania informacji sektora publicznego. Powyższy akt prawny nie ma zastosowania wprost do polskiego porządku prawnego, bowiem dyrektywy unijne są implementowane do porządku prawnego państwa członkowskiego i dopiero wówczas wchodzą w życie w danym porządku prawnym. Powyższa dyrektywa nie jest przyjęta do prawa polskiego i dopiero trwają prace nad jej implementacją (por. Założenia do projektu ustawy o ponownym wykorzystaniu informacji publicznej z dnia 3 września 2009 r., opublikowane w bip.mswia.gov.pl/download.php?s=4&id=5366).

Wbrew zarzutom skargi należy uznać, że zaskarżona decyzja jest wykonalna. Skarżący budując własną bazę danych osobowych posiada dane, które zezwalają mu na wykonanie obowiązku informacyjnego wobec osób, które się w tej bazie znajdują są tam bowiem imiona i nazwiska osób oraz numery PESEL osób fizycznych, a także siedziba podmiotów gospodarczych, w których pełnią one funkcje. Nadto skarżąca może skorzystać z usług Centralnego Biura Adresowego. Fakt, że jest to duże przedsięwzięcie organizacyjne i dotyczy znacznej liczby osób nie oznacza, że jest ono niewykonalne. Skarżący budując dużą bazę danych musiał się liczyć, że w stosunku do takiej liczby osób będzie miał określone przepisami ustawy o ochronie danych osobowych obowiązki.

Decyzje wydane przez Generalnego Inspektora Ochrony Danych Osobowych nie naruszają treści art. 18 ust. 1 uodo. Dyspozycja w tym zakresie jest jasna. Skarżący ma wykonać obowiązek informacyjny określony w treści art. 25 ust. 1 uodo. Organ nie miał obowiązku wskazywać, w jaki konkretny sposób ma ten obowiązek wykonać. Sposób w jaki zostaną zawiadomione osoby, których dane osobowe znajdują się w bazie danych jest pozostawiony skarżącemu, który powinien go dostawać do posiadanych danych i swoich możliwości organizacyjnych. Wskazanie przez organ na konkretny sposób zawiadomienia np. tylko pocztą albo tylko drogą elektroniczną nie miałoby uzasadnienia w charakterze sprawy, a nawet mogłoby doprowadzić do niewykonalności decyzji.

Mając powyższe na względzie, Wojewódzki Sąd Administracyjny w Warszawie na podstawie art. 151 w związku z art. 132 ustawy - Prawo o postępowaniu przed sądami administracyjnymi, orzekł jak w sentencji.