Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Małgorzata Pocztarek (spr.) Sędziowie: Sędzia NSA Izabella Kulig-Maciszewska Sędzia del. NSA Janusz Furmanek Protokolant starszy asystent sędziego Maciej Kozłowski po rozpoznaniu w dniu 17 lipca 2015 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej D.S. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 17 kwietnia 2013 r. sygn. akt II SA/Wa 284/13 w sprawie ze skargi D.S. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 6 grudnia 2012 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. oddala skargę kasacyjną; 2. zasądza od D.S. na rzecz Generalnego Inspektora Ochrony Danych Osobowych kwotę 180 (sto osiemdziesiąt) złotych tytułem zwrotu kosztów postępowania kasacyjnego.

Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 17 kwietnia 2013 r., sygn. akt II SA/Wa 284/13, oddalił skargę D.S. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 6 grudnia 2012 r. nr [..] w przedmiocie przetwarzania danych osobowych.

Z uzasadnienia zaskarżonego wyroku wynika, że Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia 1 października 2012 r. nr [..], wydaną na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2000 r. nr 98, poz. 1071 ze zm.) - dalej: "K.p.a.", art. 12 pkt 2, art. 22, art. 23 ust. 1 pkt 2 i 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. nr 101, poz. 926 ze zm.), po przeprowadzeniu postępowania w sprawie skargi D.S. na przetwarzanie przez Bank [..] S.A. z siedzibą w Warszawie jego danych osobowych, odmówił uwzględnienia wniosku.

Pismem z dnia 19 października 2012 r. D.S. złożył wniosek o ponowne rozpatrzenie sprawy, rozstrzygniętej decyzją GIODO z dnia 1 października 2012 r., wnosząc o jej uchylenie oraz uwzględnienie jego wniosku w sprawie przetwarzania danych osobowych przez Bank [..] S.A. z siedzibą w Warszawie.

Generalny Inspektor Ochrony Danych Osobowych, po rozpatrzeniu przedmiotowego wniosku, działając na podstawie art. 138 § 1 pkt 1 K.p.a. oraz art. 12 pkt 2, art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. nr 101, poz. 926 ze zm.), decyzją z dnia 6 grudnia 2012 r. nr [..], utrzymał w mocy zaskarżoną decyzję.

W uzasadnieniu ww. decyzji Generalny Inspektor Ochrony Danych Osobowych wyjaśnił, że w dniu 29 marca 2012 r. do Biura GIODO wpłynęła skarga D.S. (dalej: skarżący) na przetwarzanie jego danych osobowych przez Bank [..] S.A. z siedzibą w Warszawie (dalej: Bank).

Generalny Inspektor Ochrony Danych Osobowych, na podstawie zebranego w sprawie materiału dowodowego, ustalił, że:

- D.S. w dniu 18 grudnia 2006 r. zawarł z Bankiem umowę o prowadzenie rachunku bankowego,

- z wyjaśnień Banku wynika, iż "(...) wobec faktu, że D.S. (...) w październiku 2010 r. poinformował telefonicznie Bank [..], że nie wyraża zgody na przesyłanie mu pism o treści marketingowej, Bank [..] zaprzestał przetwarzania danych osobowych klienta w celach marketingowych. Oświadczenie klienta (...) Bank uznał za sprzeciw w rozumieniu art. 32 ust. 1 pkt 8 ustawy o ochronie danych osobowych (...)",

- pismem z dnia 31 stycznia 2012 r. Bank przesłał D.S. zestawienie operacji, wykonywanych w związku z prowadzeniem rachunku bankowego wraz z ofertą marketingową. Z wyjaśnień Banku wynikało, że przesłanie D.S. treści marketingowej nastąpiło na skutek błędu, a Bank w wyniku skargi ww. podjął stosowne działania w celu uniknięcia podobnych pomyłek w przyszłości,

- w piśmie z dnia 16 lipca 2012 r., skierowanym do GIODO, Bank wskazał, że "(...) dane osobowe D.S. przetwarzane są aktualnie przez Bank [..] w zbiorze [..] – Klienci – nr książki [..] – w celu wykonania obowiązującej umowy z dnia 18 grudnia 2006 r. (...)", aktualnie zaś Bank nie przetwarza danych osobowych D.S. w celach marketingowych.

W tym stanie faktycznym Generalny Inspektor Ochrony Danych Osobowych w dniu 1 października 2012 r. wydał decyzję, którą odmówił uwzględnienia wniosku D.S. w sprawie jego skargi na przetwarzanie jego danych osobowych przez Bank [..] S.A. z siedzibą w Warszawie.

W treści wniosku o ponowne rozpatrzenie sprawy, rozstrzygniętej ww. decyzją, D.S. wniósł o jej uchylenie oraz uwzględnienie jego wniosku w sprawie przetwarzania danych osobowych przez Bank [..] S.A. z siedzibą w Warszawie.

Po powtórnym rozpatrzeniu sprawy organ II instancji podniósł, iż zgodnie z art. 7 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. nr 101, poz. 926 ze zm.), przetwarzanie danych to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Ustawa o ochronie danych osobowych określa obowiązki administratora danych, do których należy przetwarzanie danych osobowych z zachowaniem przesłanek określonych w ustawie. Przepisem uprawniającym administratorów danych do przetwarzania danych osób fizycznych, w tym ich udostępnienia, jest art. 23 ust. 1 ustawy, zgodnie z którym przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Stosownie do treści powołanego przepisu, przetwarzanie danych jest dopuszczalne wtedy, gdy: osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych (pkt 1), jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (pkt 2), jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (pkt 3), jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (pkt 4), jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (pkt 5). Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny, co oznacza, że przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. W konsekwencji zgoda osoby, której dane dotyczą, nie jest jedyną podstawą przetwarzania danych osobowych, bowiem proces przetwarzania danych będzie zgodny z ustawą również wówczas, gdy administrator danych wykaże spełnienie innej z wyżej wymienionych przesłanek.

Generalny Inspektor Ochrony Danych Osobowych podkreślił, że legalność przetwarzania danych osobowych skarżącego przez Bank znajduje oparcie w przepisach ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe (Dz. U. z 2002 r. nr 72, poz. 665 ze zm.), w której określone zostały prawa i obowiązki banku względem posiadaczy rachunków bankowych. Ponadto, zgodnie z art. 728 § 2 ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny (Dz. U. nr 16, poz. 93), bank jest obowiązany przesyłać posiadaczowi, co najmniej raz w miesiącu, bezpłatnie, wyciąg z rachunku z informacją o zmianach stanu rachunku i ustaleniem salda, chyba że posiadacz wyraził pisemnie zgodę na inny sposób informowania o zmianach stanu rachunku i ustaleniu salda.

W związku z powyższym, w ocenie GIODO, w decyzji organu I instancji trafnie wskazano, że aktualnie Bank przetwarza dane osobowe skarżącego na podstawie art. 23 ust. 1 pkt 3 ustawy w związku z łączącą Bank i skarżącego umową z dnia 18 grudnia 2006 r.

Odnosząc się do zarzutu skarżącego, dotyczącego przesyłania mu wyciągu operacji dokonanych na prowadzonym przez Bank koncie bankowym, GIODO wskazał, że art. 728 § 2 ustawy – Kodeks cywilny nakłada na bank obowiązek przesyłania co najmniej raz w miesiącu wyciągu z rachunku z informacją o zmianach stanu rachunku i ustaleniem konta.

W związku z powyższym, organ II instancji podkreślił, że przetwarzanie danych osobowych skarżącego poprzez przesłanie przez Bank skarżącemu samego wyciągu operacji dokonywanych na koncie bankowym skarżącego, było działaniem zgodnym z prawem na podstawie art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych w związku z art. 728 § 2 ustawy – Kodeks cywilny.

Odnosząc się do zarzutu skarżącego, dotyczącego zawarcia przez Bank w wyciągu nr 1/[..] z dnia 31 stycznia 2012 r. oferty marketingowej po uprzednim otrzymaniu od skarżącego sprzeciwu w tym zakresie, GIODO stwierdził, że działanie to było działaniem nieuprawnionym. Niemniej jednak, wobec oświadczenia Banku, że powyższe nastąpiło na skutek błędu i miało charakter incydentalny, GIODO podniósł, że brak jest podstaw do uznania, by w niniejszej sprawie aktualnie istniał stan naruszenia przepisów ustawy o ochronie danych osobowych, a tym samym brak jest podstaw do wydania przez GIODO jakiegokolwiek nakazu, ukierunkowanego na przywrócenie stanu zgodnego z prawem. Generalny Inspektor Ochrony Danych Osobowych bowiem, w myśl art. 18 ust. 1 ustawy, wyłącznie w razie stwierdzenia naruszenia przepisów o ochronie danych osobowych w drodze decyzji administracyjnej nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: 1) usuniecie uchybień, 2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, 3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, 4) wstrzymanie przekazywania danych osobowych do państwa trzeciego, 5) zabezpieczenie danych lub przekazanie ich innym podmiotom, 6) usunięcie danych osobowych. Organ w przedmiotowej sprawie nie stwierdził, aby stan naruszenia istniał obecnie.

GIODO podniósł dodatkowo, że jeśli wskutek działań Banku doszło w ocenie skarżącego do naruszenia jego dóbr osobistych, może on dochodzić ich ochrony na gruncie przepisów Kodeksu cywilnego.

Pismem z dnia 3 stycznia 2013 r. D.S., działając przez profesjonalnego pełnomocnika, złożył do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na decyzję GIODO z dnia 6 grudnia 2012 r. nr [..], wnosząc o jej uchylenie w całości, uchylenie decyzji ją poprzedzającej z dnia 1 października 2012 r. oraz o zasądzenie od organu na rzecz skarżącego kosztów postępowania, w tym kosztów zastępstwa procesowego według norm przepisanych.

Skarżący zarzucił zaskarżonej decyzji naruszenie art. 18 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych poprzez nieuwzględnienie wniosku strony o przywrócenie stanu zgodnego z prawem, pomimo stwierdzenia naruszenia przepisów o ochronie danych osobowych przy przetwarzaniu danych osobowych strony przez Bank [..] S.A. z siedzibą w Warszawie.

W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując stanowisko wyrażone w zaskarżonej decyzji.

Sąd I instancji uznał, iż skarga nie zasługuje na uwzględnienie.

W pierwszej kolejności Sąd I instancji podniósł, że zgodnie z art. 7 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. nr 101, poz. 926 ze zm.), przetwarzanie danych to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zawłaszcza te, które wykonuje się w systemach informatycznych. Zgodnie z art. 23 ust. 1 ustawy, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych (pkt 1), jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (pkt 2), jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (pkt 3), jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (pkt 4), jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (pkt 5). Spełnienie co najmniej jednej z ww. przesłanek stanowi o zgodnym z prawem przetwarzaniu danych osobowych.

W świetle powyższych regulacji Sąd zgodził się z organem orzekającym, że wobec zawartej w dniu 18 grudnia 2006 r. pomiędzy skarżącym a Bankiem [..] S.A. z siedzibą w Warszawie umowy o prowadzenie rachunku bankowego, aktualnie Bank przetwarza dane osobowe skarżącego na podstawie art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych.

Odnosząc się do kwestii zawarcia przy wyciągu z rachunku bankowego nr 1/[..] z dnia 31 stycznia 2012 r. treści marketingowych, po uprzednim otrzymaniu przez Bank od skarżącego sprzeciwu w tym zakresie w rozumieniu art. 32 ust. 1 pkt 8 ustawy o ochronie danych osobowych, Sąd I instancji stwierdził, że powyższe działanie było działaniem nieuprawnionym.

Jednakże zauważył, że w wyjaśnieniach złożonych przez Bank w piśmie z dnia 16 lipca 2012 r., skierowanym do Generalnego Inspektora, wskazano, że "przesłanie D.S. treści marketingowych przy wyciągu nr 1/[..] z dnia 31 stycznia 2012 r. nastąpiło na skutek błędu, a Bank [..], w wyniku ww. skargi, podjął stosowne działania w celu uniknięcia podobnych pomyłek w przyszłości".

Sąd I instancji zgodził się z organem, iż wobec ww. oświadczenia Banku, wskazującego na incydentalny charakter nieuprawnionego działania, brak było podstaw do uznania, by w niniejszej sprawie aktualnie (w dacie wydania zaskarżonej decyzji) istniał stan naruszenia przepisów ustawy o ochronie danych osobowych. Tym samym brak było podstaw do wydania przez Generalnego Inspektora jakiegokolwiek nakazu, ukierunkowanego na przywrócenie stanu zgodnego z prawem w rozumieniu art. 18 ust. 1 ustawy o ochronie danych osobowych. Stosownie do powołanego przepisu, w przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: 1) usuniecie uchybień, 2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, 3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, 4) wstrzymanie przekazywania danych osobowych do państwa trzeciego, 5) zabezpieczenie danych lub przekazanie ich innym podmiotom, 6) usunięcie danych osobowych.

Sąd I instancji podkreślił, że sam fakt stwierdzenia przez organ w toku postępowania wyjaśniającego naruszenia przepisów ustawy o ochronie danych osobowych nie daje jeszcze podstaw do uwzględnienia wniosku i wydania decyzji w trybie art. 18 ust. 1 ustawy. Ocena legalności przetwarzania danych następuje bowiem według stanu na dzień wydania decyzji, zaś Generalny Inspektor stosuje konkretne nakazy z uwzględnieniem wszystkich okoliczności ujawnionych w toku postępowania wyjaśniającego oraz charakteru stwierdzonego naruszenia prawa, tj. adekwatnie do stopnia naruszenia i zagrożenia praw osoby, której dane dotyczą.

W świetle powyższego Sąd uznał, że organ prawidłowo odmówił uwzględnienia wniosku skarżącego "o wydanie decyzji administracyjnej w celu zapobieżenia bezprawnym działaniom". Stwierdzone naruszenie (przesłanie skarżącemu treści marketingowych przy wyciągu nr 1/[..] z dnia 31 stycznia 2012 r.) miało bowiem charakter incydentalny i było skutkiem pomyłki, przy czym - jak wynika z akt sprawy - Bank niezwłocznie podjął niezbędne działania w celu uniknięcia podobnych pomyłek w przyszłości. Skoro Bank, poza ww. jednostkowym przypadkiem, nie przetwarzał danych osobowych skarżącego w celach marketingowych, brak było podstaw do wydania przez organ decyzji w trybie art. 18 ust. 1 ustawy o ochronie danych osobowych. Cel postępowania, jakim jest zgodność przetwarzania danych osobowych z przepisami ustawy, został osiągnięty bez konieczności wydawania wnioskowanej decyzji.

Skargę kasacyjną od powyższego wyroku złożył D.S., zaskarżając go w całości zarzucił Sądowi I instancji naruszenie prawa procesowego, które miało istotny wpływ na wynik sprawy tj. art. 151 ustawy Prawo o postępowaniu przed sądami administracyjnymi w zw. art. 18 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926 ze zm.), poprzez oddalenie skargi na decyzję organu II instancji utrzymującą w mocy decyzję nieuwzględniającą wniosku strony o przywrócenie stanu zgodnego z prawem, pomimo stwierdzenia naruszenia przepisów o ochronie danych osobowych przy przetwarzaniu danych osobowych strony przez Bank [..] S.A. z siedzibą w Warszawie.

W konluzji skargi kasacyjnej wniesiono o uchylenie zaskarżonego wyroku w całości i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie oraz zasądzenie kosztów postępowania według norm przepisanych.

W uzasadnieniu skargi kasacyjnej podkreślono, iż skarga dotyczyła wyłącznie wadliwości zastosowania ( a właściwie niezastosowania) przez organ administracji art. 18 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych w sytuacji ustalenia, iż doszło do bezprawnego przetwarzania danych osobowych strony. Literalne brzmienie tego przepisu nie pozostawia w tym zakresie żadnych wątpliwości, iż w taki stanie faktycznym organ administracji winien wydać decyzję stosującą wobec administratora danych jeden z opisanych w tym przepisie środków.

Zdaniem skarżącego kasacyjnie, wykładnia opisanego powyżej przepisu dokonana przez Sąd I instancji, prowadzi w praktyce do jego unieważnienia, gdyż jego zastosowania jest uzależnione od złożenia lub niezłożenia wątpliwej wiarygodności oświadczenia przez administratora danych. Tym samym prowadzi w praktyce do pozbawienia strony jakiejkolwiek ochrony prawnej w zakresie przetwarzania danych osobowych, gdyż strona bez względu na skalę naruszenia przepisów przy przetwarzaniu jej danych w efekcie nigdy nie uzyska korzystnej dla siebie decyzji administracyjnej.

W odpowiedzi na skargę kasacyjną organ wniósł o jej oddalenie.

Naczelny Sąd Administracyjny zważył, co następuje:

Skarga kasacyjna nie ma usprawiedliwionych podstaw.

Naczelny Sąd Administracyjny związany jest podstawami skargi kasacyjnej, zgodnie bowiem z art. 183 § 1 P.p.s.a. rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc z urzędu pod uwagę jedynie nieważność postępowania. Przytoczenie podstaw kasacyjnych, rozumiane jako wskazanie przepisów, które - zdaniem wnoszącego skargę kasacyjną - zostały naruszone przez wojewódzki sąd administracyjny, nakłada na Naczelny Sąd Administracyjny, w myśl art. 174 pkt 1 i 2 oraz art. 183 § 1 P.p.s.a., obowiązek odniesienia się do wszystkich zarzutów powołanych przez stronę. Nie uprawnia natomiast Sądu II instancji do uzupełniania takich zarzutów kasacyjnych oraz doszukiwania się z urzędu innych uchybień, do jakich ewentualnie mogło dojść przy wydaniu zaskarżonego orzeczenia.

W rozpoznawanej sprawie nie zachodzi nieważność postępowania, a zarzuty na jakich oparta została skarga kasacyjna nie mogły odnieść zamierzonego skutku.

W swych podstawach skarga kasacyjna powołuje się na zarzut naruszenia art. 151 P.p.s.a. w zw. z art. 18 ust. 1 ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych ( Dz. U. z 2002r. Nr. 101, poz. 926 ze zm. ).

Badając stanowiącą przedmiot sprawy kwestię przesłania D.S. przez Bank oferty marketingowej po uprzednim otrzymaniu od skarżącego sprzeciwu w tym zakresie, Generalny Inspektor Ochrony Danych Osobowych stwierdził, że jakkolwiek stan naruszenia przepisów ustawy o ochronie danych osobowych miał miejsce, to jednak w chwili obecnej już nie zachodzi, zatem aktualnie brak jest podstaw do sformułowania jakiegokolwiek nakazu, o którym mowa w art. 18 ust. 1 ustawy.

Zgodnie z tym przepisem, w sytuacji, gdy dochodzi do naruszenia przepisów ustawy o ochronie danych osobowych Generalny Inspektor, w razie stwierdzenia tego naruszenia, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, poprzez wydanie określonych nakazów wymienionych w tym przepisie.

W literaturze przedmiotu podkreśla się, że decyzja Generalnego Inspektora wydawana na podstawie powyższego przepisu ma służyć przywróceniu stanu zgodnego z prawem. Ustawodawca nie wprowadza żadnych dodatkowych wskazówek w zakresie wyboru konkretnego nakazu, pozostawiając to organowi wydającemu decyzję. Biorąc pod uwagę systematykę przepisu, przyjąć należy, że mamy do czynienia ze stopniowaniem sankcji administracyjnych (w zależności od rodzaju uchybienia), a Generalny Inspektor powinien stosować konkretne nakazy z uwzględnieniem charakteru stwierdzonego naruszenia, tj. adekwatnie (współmiernie) do stopnia naruszenia i zagrożenia praw osoby, której dane dotyczą. Pośrednio wynika to również z samego celu nakazu, którym jest przywrócenie stanu zgodnego z prawem ochrony danych osobowych, bez niepotrzebnego nakładania zbędnych obowiązków na administratora danych (por. G. Sibiga, Postępowanie w sprawach ochrony danych osobowych, Dom Wydawniczy ABC, Warszawa 2003, str. 153).

W wyroku z dnia 14 stycznia 2013r. I OSK 1827/11 Lex nr. 1554654 Naczelny Sąd Administracyjny wyraził pogląd zgodnie z którym przepis art. 18 ust. 1 u.o.d.o. zawiera cały szereg sankcji, które ustawodawca wyraźnie różnicuje stopniując ich rodzaj i zakres. Prawidłowe zastosowanie tych sankcji wymaga więc przeprowadzenia postępowania wyjaśniającego, spełniającego wymogi kodeksowe zamieszczone w przepisach art. 7 i 77 k.p.a., jak również uwzględniającego regulacje materialnoprawne, z których wynika konieczność umiejętnego stopniowania sankcji. Stosując nakazy Generalny Inspektor Ochrony Danych Osobowych powinien uwzględniać wynikający także z konkretnego stanu faktycznego charakter stwierdzonego naruszenia. Zastosowana sankcja administracyjna powinna być adekwatna, współmierna do stopnia naruszenia prawa, a także winna uwzględniać zagrożenie praw osoby, której dane dotyczą.

Przesłanką wydania nakazu jest stwierdzenie naruszenia przepisów o ochronie danych osobowych, tj. z zebranego w postępowaniu materiału dowodowego musi wynikać, że swoim działaniem lub zaniechaniem administrator naruszył przepisy prawa. Co ważne, stwierdzony przez organ stan naruszenia przepisów o ochronie danych osobowych powinien istnieć w dacie wydania decyzji.

Stanowisko takie znajduje akceptację, nie tylko w orzecznictwie sądów administracyjnych, ale jest zbieżne z poglądami wyrażanymi przez komentatorów ustawy o ochronie danych osobowych. Według nich stwierdzony przez organ stan naruszenia przepisów o ochronie danych osobowych powinien istnieć w dacie wydania decyzji, natomiast jeżeli postępowanie administracyjne zostało wszczęte w wyniku stwierdzenia nieprawidłowości przez inspekcję, a w trakcie tego postępowania ustanie stan naruszenia prawa (np. administrator usunie uchybienia), postępowanie staje się bezprzedmiotowe, a organ wydaje decyzję o jego umorzeniu na podstawie art. 105 k.p.a. ( por. J. Barta, P. Fajgielski, R. Markiewicz. Komentarz do art. 18 ustawy Lex 2011 ).

W sytuacji gdy administrator danych, pomimo wcześniejszego naruszenia prawa, podjął działania w celu wyeliminowania ich w przyszłości i podjęte środki okazały się skuteczne tj. gdy ponownie nie doszło do naruszenia prawa w procesie przetwarzania danych osobowych, wydanie decyzji na podstawie art. 18 ust. 1 ustawy o ochronie danych osobowych wydaje się niecelowe. Skoro wymieniony przepis stanowi o przywróceniu przez GIODO w drodze decyzji administracyjnej stanu zgodnego z prawem, to wydanie decyzji możliwe jest w przypadku gdy stan naruszenia prawa trwa nadal, w przeciwnym bowiem razie nie ma co przywracać.

W ocenie Naczelnego Sądu Administracyjnego, Sąd I instancji nie naruszył art. 151 P.p.s.a. w zw. z art. 18 ust. 1 ustawy o ochronie danych osobowych, bowiem w niniejszej sprawie organ prawidłowo uznał, że brak było podstaw do wydania nakazu usunięcia uchybień. Wprawdzie w rozpoznawanej sprawie przed jej rozstrzygnięciem doszło do naruszenia przepisów ustawy o ochronie danych osobowych, jednakże było to naruszenie przypadkowe i jednorazowe. Sytuacja przesłania skarżącemu treści marketingowej była bowiem zdarzeniem incydentalnym, a uchybienie to więcej nie powtórzyło się, bowiem ze stanu faktycznego sprawy, który nie został zakwestionowany nie wynika, aby Bank nadal naruszał ustawę o ochronie danych osobowych, poprzez nierespektowanie sprzeciwu skarżącego w w/w kwestii .

Nieuprawnione jest również twierdzenie skarżącego kasacyjnie, że wykładnia art. 18 ust. 1 ustawy o ochronie danych osobowych dokonana przez Sąd, prowadzi w praktyce do jego unieważnienia. Postępowanie w przedmiocie ochrony danych osobowych stosownie do art. 22 ustawy prowadzi się według przepisów K.p.a. Oznacza to, że warunkiem wydania decyzji o jakiej mowa w art. 18 ust. 1 ustawy o ochronie danych osobowych jest ustalenie, że w chwili jej podejmowania prawa osoby, której dane osobowe są przetwarzane są naruszane. Środki przewidziane art. 18 ust. 1 mają służyć wyeliminowaniu istniejącego naruszenia prawa i zapobiec dalszym naruszeniom. W tym kontekście każdorazowo przed podjęciem decyzji GIODO zobowiązany jest ustalić, czy zastosowanie nakazów o jakich mowa w art. 18 ust. 1 znajduje uzasadnienie faktyczne i prawne. Ustalenie, że w przeszłości doszło do naruszenia prawa nie rodzi automatycznie, jak chce tego skarżący kasacyjnie, obowiązku wydania decyzji na podstawie art. 18 ust. 1 ustawy. Wydanie decyzji na podstawie art. 18 ust. 1 ustawy o ochronie danych osobowych wymaga przecież zgodnie z art. 107 § 3 K.p.a. sporządzenia uzasadnienia ( faktycznego i prawnego ), wskazującego celowość zastosowania określonego nakazu.

Mając powyższe na względzie, Naczelny Sąd Administracyjny, na podstawie art. 184 w zw. z art. 204 pkt. 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2012 r., poz. 270 ze zm.), skargę kasacyjną oddalił.