Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA – Stanisław Marek Pietras (spraw.) Sędzia WSA – Ewa Grochowska – Jung Sędzia WSA – Andrzej Kołodziej Protokolant – starszy sekretarz sądowy Joanna Głowala po rozpoznaniu na rozprawie w dniu 24 kwietnia 2013 r. sprawy ze skargi I. Sp. j. z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] stycznia 2011 r. nr [...] w przedmiocie usunięcia uchybień w przetwarzaniu danych osobowych 1. uchyla zaskarżoną decyzję; 2. zaskarżona decyzja nie podlega wykonaniu w całości; 3. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz I. Sp. j. z siedzibą w W. kwotę 240 (dwieście czterdzieści) złotych tytułem zwrotu kosztów postępowania.

Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] stycznia 2011 r. nr [...], działając na podstawie art. 138 § 1 pkt 1 i 2 k.p.a., art. 12 pkt 2, art. 18 ust. 1 pkt 1 i art. 22 w zw. z art. 23 ust. 1 pkt 1, art. 25 ust. 1, art. 36 ust. 2, art. 37, art. 39 i art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. nr 101, poz. 926 ze zm.) zwanej dalej uodo, po rozpatrzeniu wniosku I. sp. j. z siedzibą w W. o ponowne rozpatrzenie sprawy, utrzymał w mocy swoją decyzję z dnia [...] września 2010 r. nr [...], nakazującą usunięcie uchybień w procesie przetwarzania danych osobowych przez I. Sp. j. z siedzibą w W. W uzasadnieniu podał, że decyzją z dnia [...] września 2010 r. nakazał skarżącej Spółce usunięcie uchybień w procesie przetwarzania danych osobowych, poprzez:

1. dopełnienie wobec osób, których dane pochodzące ze źródeł powszechnie dostępnych (Monitor Sądowy i Monitor Gospodarczy) zostały zebrane i utrwalone przez ww. administratora danych, obowiązku informacyjnego o którym mowa w art. 25 ust. 1 ustawy o ochronie danych osobowych, w terminie 3 miesięcy, od dnia w którym niniejsza decyzja stanie się ostateczna,

2. zgłoszenie do rejestracji zbioru danych osobowych klientów (właścicieli adresów poczty elektronicznej) w terminie 30 dni, od dnia w którym niniejsza decyzja stanie się ostateczna,

3. zapewnienie użytkownikom serwisu [...] możliwości swobodnego wyrażenia zgody na przetwarzanie ich danych osobowych w celach marketingowych w terminie 30 dni, od dnia w którym niniejsza decyzja stanie się ostateczna,

4. opracowanie dokumentacji stanowiącej politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, w terminie 30 dni, od dnia w którym niniejsza decyzja stanie się ostateczna,

5. nadanie upoważnień do przetwarzania danych osobowych osobom, dopuszczonym do przetwarzania danych osobowych w terminie 14 dni, od dnia w którym niniejsza decyzja stanie się ostateczna,

6. opracowaniu ewidencji osób upoważnionych do przetwarzania danych osobowych w terminie 14 dni, od dnia w którym niniejsza decyzja stanie się ostateczna.

W pozostałym zakresie postępowanie zostało umorzone. W dalszej części stwierdził, że w dniu [...] października 2010 r. do Generalnego Inspektora Ochrony Danych Osobowych wpłynął wniosek pełnomocnika Spółki o ponowne rozpatrzenie przedmiotowej sprawy, w którym zarzucono zaskarżonej decyzji naruszenie prawa materialnego, tj. art. 25 ust. 1 i ust. 2 pkt 1 uodo w zw. z art. 8 ust. 1-2 ustawy z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym (Dz. U. z 2007 r. nr 168, poz. 1186 ze zm.) oraz wniesiono o uchylenie zaskarżonej decyzji i umorzenie postępowania. Uzasadniając swoje stanowisko Spółka podniosła, że zaskarżona decyzja została wydana z naruszeniem art. 25 ust. 2 pkt 1 uodo, który wyłącza obowiązek informacyjny określony w ust. 1, w sytuacji, gdy "przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą". W art. 25 ust. 2 pkt 1 uodo wskazane są dwie odrębne kategorie przepisów ustaw szczególnych: przewidujących lub dopuszczających zbieranie danych osobowych bez wiedzy podmiotu danych. W przypadku obwiązywania przepisów chociaż jednej z tych dwóch grup, analizowany wymóg informacyjny nie występuje. Czasownik "przewidywać, przewidzieć" oznacza "określić, oznaczyć coś z góry, zaplanować, założyć" (Słownik Języka Polskiego PWN, t. II, red. M. Szymczak, Warszawa 1998, str. 971-972). W związku z tym, przez normę "przewidującą zbieranie bez wiedzy" należy rozumieć ustawową normę, która expresis verbis określa (ustala) wyłączenie wiedzy podmiotu danych na temat zebrania jego danych przez administratora danych. Dlatego też w doktrynie wskazuje się jako spełnienie tego warunku przepisy niektórych ustaw, w których wprost zapisano, iż określone podmioty mogą gromadzić dane bez wiedzy osoby, której dane dotyczą. Drugi rodzaj normy ustawowej, o której mowa w art. 25 ust. 2 pkt 1 ustawy o ochronie danych osobowych, tylko dopuszcza (a nie przewiduje) zbieranie danych bez wiedzy podmiotu danych. Nie chodzi zatem o normę, która bezpośrednio rozstrzyga kwestię wyłączenia wiedzy podmiotu danych na temat przetwarzania jego danych osobowych. Przyjmując, że występuje inny zakres znaczeniowy tych dwóch słów, to czasownik "dopuszczać, dopuścić" tłumaczy się jako "uznać coś za możliwe, przypuszczać" lub w innym znaczeniu "przystać na coś, nie przeszkodzić czemuś" (Słownik Języka Polskiego PWN, t. I, red. M. Szymczak, Warszawa 1998, str. 401-402). Będzie to więc przepis, który nie sprzeciwia się pozyskaniu danych bez wiedzy podmiotu danych. Z takim dopuszczeniem mamy do czynienia w przypadku ustaw wprowadzających jawność formalną rejestrów publicznych, w tym rejestrów zawierających dane osobowe. Jawność formalna rejestru oznacza prawo każdego do dostępu do danych rejestrowych, bez potrzeby wykazywania w tym swojego interesu prawnego lub faktycznego. Ze względu na powszechną legitymację podmiotową w zakresie dostępu do danych rejestrowanych, uzyskujący informacje z rejestru nie jest w żaden sposób identyfikowany na etapie pozyskania przez niego danych. Ustawy dotyczące rejestrów publicznych, zdaniem Spółki, nie wymagają również odnotowania faktu udostępnienia jawnych danych, czyli ze strony organu rejestrowego brak jest wiedzy komu i kiedy dane zostały ujawnione, a co z tym związane nie może on wykonać obowiązku wskazanego w art. 33 pkt 4 uodo. Zresztą niektóre organy rejestrowe, na podstawie ogólnie sformułowanej zasady jawności, umieszczają dane z rejestrów publicznych w sieci publicznej Internet, co uniemożliwia jakąkolwiek kontrolę udostępnień. Powyższa sytuacja zaistniała w przypadku pojedynczych organów gminy w zakresie ewidencji działalności gospodarczej. Przedstawione powyżej przesłanki zachodzą również w przypadku danych zawartych w Krajowym Rejestrze Sądowym. Zgodnie z art. 8 ust. 1 ustawy o Krajowym Rejestrze Sądowym, rejestr ten jest (w całości) jawny, natomiast w ust. 2 przyznano każdemu prawo dostępu do danych zawartych w KRS za pośrednictwem Centralnej Informacji. Dalej Spółka podkreśliła, że przyjęcie przez Generalnego Inspektora Ochrony Danych Osobowych stanowiska, potwierdzającego obowiązek zbierającego dane z KRS przekazania osobie fizycznej, ujawnionej w rejestrze, informacji określonych w art. 25 ust. 1 uodo, skutkować będzie tym, iż wymóg taki będzie wówczas powszechnie występował w obrocie gospodarczym, w związku z szeregiem czynności związanych z pozyskiwaniem danych z KRS, np. w przypadku kancelarii prawnych sprawdzających prawidłową reprezentację stron stosunków umownych. W zakresie natomiast pozostałych zarzutów, wymienionych w pkt I.2-6 rozstrzygnięcia zaskarżonej decyzji Spółka wyjaśniła, że aktualnie prowadzi działania mające na celu przywrócenie stanu zgodnego z przepisami uodo, wskazując jakiego rodzaju działania przywracające stan zgodny z prawem zostały podjęte. Generalny Inspektor Ochrony Danych Osobowych w uzasadnieniu decyzji z dnia [...] stycznia 2011 r. przywołał treść art. 25 ust. 1 ustawy, zgodnie z którym w przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku, gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych, 3) źródle danych, 4) prawie dostępu do treści swoich danych oraz ich poprawiania, 5) uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8. Natomiast zgodnie z treścią art. 25 ust. 2 pkt 1 ustawy, przepisu ust. 1 nie stosuje się, jeżeli: przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą. Dalej organ podniósł, że – jak wynika ze stanu faktycznego ustalonego na podstawie zebranego w przedmiotowej sprawie materiału dowodowego – Spółka prowadzi działalność w zakresie świadczenia usług odpłatnego udzielania informacji gospodarczej, pochodzącej ze źródeł powszechnie dostępnych (Monitor Sądowy i Monitor Gospodarczy) osobom zainteresowanym. Usługa ta jest udostępniana za pośrednictwem publicznej sieci Internet. W związku z powyższym Spółka, przetwarza dane osobowe w zakresie: imię, nazwisko, nr PESEL, pełniona funkcja, rok urodzenia, które zostały ujawnione w Krajowym Rejestrze Sądowym (KRS). Następnie Generalny Inspektor Ochrony Danych Osobowych zauważył, że uodo nie zakazuje tworzenia odrębnych zbiorów na podstawie danych pochodzących ze źródeł powszechnie dostępnych, jednakże nie oznacza to, że powstałe w ten sposób zbiory nie podlegają przepisom ww. ustawy. Przede wszystkim Spółka, jako administrator ww. danych osobowych powinna legitymować się przesłanką do przetwarzania takich danych. W opisanej sytuacji należałoby uznać, że taką przesłankę może stanowić art. 23 ust. 1 pkt 5 ustawy, tj. przetwarzanie danych, jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Kolejnym obowiązkiem, który ciąży na administratorze danych jest zgłoszenie zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych z wyjątkiem przypadków, o których mowa w art. 43 ust. 1 (art. 40 ustawy). W opisanym przypadku mamy do czynienia z wyjątkiem, o którym mowa w art. 43 ust. 1 pkt 9 ustawy, tj. z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych powszechnie dostępnych. Brak jest natomiast podstaw do zwolnienia Spółki z obowiązku przekazania osobom, których dane dotyczą informacji, o których mowa w art. 25 ust. 1 uodo. Organ podkreślił, że Spółka pozyskuje dane z KRS w celu utworzenia odrębnego zbioru danych, który wykorzystuje dla własnych celów zarobkowych. W ten sposób Spółka staje się administratorem zebranych w opisany sposób danych, zatem jako na administratorze danych, ciąży na niej obowiązek, informacyjny (bezpośrednio po utrwaleniu zebranych danych), o którym mowa w art. 25 ust. 1 uodo. Przesłanki, o których mowa w art. 25 ust. 2 pkt 1 ustawy, dotyczą zaś sytuacji, gdy przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą. Zwolnienie to dotyczy zatem podmiotów, których działalność polegająca na przetwarzaniu danych osobowych została uregulowana szczegółowymi przepisami prawa. Spółka nie jest podmiotem (administratorem danych) prowadzącym rejestry publiczne na podstawie przepisów prawa, a jedynie administratorem danych, który pozyskał dane z takiego rejestru. Zasady dotyczące jawności danych z KRS nie zobowiązują Spółki do upowszechnienia posiadanych informacji, świadczy ona swoje usługi odpłatnie. Co więcej mogłaby ona utajnić posiadane dane i nikt nie mógłby żądać od niej ujawnienia zebranych informacji powołując się na przepisy o Krajowym Rejestrze Sądowym. Organ wskazał również, że dane osobowe zostały umieszczone w Krajowym Rejestrze Sądowym m.in. w celu zapewnienia jawności obrotu gospodarczego. W tym też celu powinny być przetwarzane przez podmioty je pozyskujące. Natomiast Spółka stworzyła swoją bazę na podstawie informacji z KRS i świadczy usługi w zakresie udostępniania informacji, wśród których znajdują się dane osobowe, dla realizacji swoich celów zarobkowych. Konstytucyjnie zagwarantowane prawa osób do nieujawniania dotyczących ich informacji mogą ograniczać wyłącznie przepisy rangi ustawowej. Ustawa o Krajowym Rejestrze Sądowym jest właśnie takim aktem, bowiem zgodnie z treścią art. 35 pkt 1 tej ustawy, ilekroć do Rejestru wpisuje się: osobę fizyczną - zamieszcza się nazwisko i imiona oraz identyfikator nadany w systemie ewidencji ludności, zwany dalej "numerem PESEL". Przy tym rejestr ten jest jawny, bowiem powstał m.in. dla zapewnienia jawności danych podmiotów uczestniczących w życiu gospodarczym. Osoby, o których mowa w przepisach ustawy o KRS, mają zatem obowiązek podania swoich danych w celu ich zamieszczenia w tym rejestrze, muszą też liczyć się z ich ujawnieniem. Nie oznacza to jednak, że muszą one godzić się na wykorzystanie ich danych w celach innych, niż (ogólnie rzecz ujmując) "jawność obrotu gospodarczego". W myśl art. 26 ust. 1 pkt 2 uodo, administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były: zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2. Niedopełnienie przez Spółkę obowiązku informacyjnego wobec osób, których dane dotyczą, pozbawia te osoby podstawowego prawa do informacji o przetwarzaniu ich danych, a tym samym ogranicza możliwość skorzystania z uprawnień, o których mowa w art. 32 ust. 1 pkt 7 i 8 uodo, tj. wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację; wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych. Organ zauważył również, że katalog przypadków pozwalających odstąpić od przekazania informacji, o którym mowa w art. 25 ust. 1 ustawy, uległ zmianie w wyniku nowelizacji ustawy dokonanej w 2004 r. (uchylony został m.in. przepis ust. 2 pkt 2 powołanego artykułu, który zwalniał z dopełnienia tego obowiązku w sytuacji, gdy "dane przewidziane do zebrania są ogólnie dostępne"). Z tych względów należy uznać, iż intencją ustawodawcy było zobowiązanie administratorów danych, którzy zbierają dane "ogólnie dostępne" do dopełniania obowiązków wynikających z powołanego przepisu. Odnosząc się zaś do wniosku o uchylenie decyzji i umorzenie postępowania w zakresie pkt I ppkt 2-6 zaskarżonej decyzji, organ wskazał, że rozstrzygnięcie zawarte w zaskarżonej decyzji jest prawidłowe zarówno z punktu widzenia zgodności z prawem, jak i pod względem celowości. Z uwagi na to, że zaskarżona decyzja została wydana na podstawie właściwie zastosowanych przepisów prawa oraz na podstawie prawidłowo ustalonego stanu faktycznego należało utrzymać ją w mocy. Natomiast na podstawie przedstawionych przez Spółkę dowodów, przedstawionych we wniosku o ponowne rozpatrzenie sprawy z dnia [...] października 2010 r. oraz w piśmie z dnia [...] grudnia 2010 r. organ uznał, że wykonała ona pozostałe nakazy decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] września 2010 r.

W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie skarżąca Spółka wniosła o stwierdzenie nieważności zaskarżonej i poprzedzającej ją decyzji oraz o wstrzymanie wykonalności zaskarżonych decyzji i o zasądzenie na jej rzecz zwrotu kosztów postępowania zarzucając zaskarżonym decyzjom spełnienie przesłanki, o której mowa w art. 156 § 1 pkt 5 k.p.a. powodującej ich nieważność, ze względu na trwałą niewykonalność (istniejącą już w dniu wydania aktów administracyjnych) nałożonego w decyzji obowiązku przekazania informacji osobie, której dane dotyczą, a także naruszenie przepisów uodo, tj. art. 25 ust. 2 pkt 1 w zw. z ust. 1 uodo oraz art. 8 ust. 1-2 ustawy o Krajowym Rejestrze Sądowym, poprzez błędną wykładnię wspomnianego przepisu, polegającą na stwierdzeniu przez organ administracji publicznej, że w przedmiotowej sprawie nie zachodzi wyłączenie obowiązku informacyjnego oraz art. 18 ust. 1 uodo poprzez zawarcie w decyzji administracyjnej wadliwego rozstrzygnięcia, w którym nie określa się przedmiotu nakazu, tj. czynności służących przywróceniu stanu zgodnego z prawem. W uzasadnieniu podała, że w zbiorze danych przetwarzany jest bardzo ograniczony zakres danych osobowych, zawężony do imienia, nazwiska, numeru PESEL, daty urodzenia oraz funkcji pełnionych w podmiotach ujawnionych w KRS. Czyni to trwale niewykonalnym nakaz przekazania informacji do osób, których dane przetwarzane w zbiorze mają historyczny charakter. Chodzi o osoby, które w przeszłości pełniły określone funkcje w podmiotach, ale w chwili obecnej już ich nie pełnią. W przypadku takich osób na podstawie znajdujących się w posiadaniu administratora danych osobowych nie jest on w stanie przekazać im wymaganej informacji. Administrator nie przetwarza bowiem danych umożliwiających bezpośredni kontakt z osobą fizyczną (np. adres zameldowania), a przesłanie informacji na adres podmiotu (np. spółki prawa handlowego), w której w przeszłości pełniła ona funkcję, nie można uznać za wykonanie nakazu. Podmiot taki nie ma obowiązku dalszego przekazania informacji do osoby, której dane dotyczą, a nawet gdyby tego dokonał posiadane przez niego dane adresowe mogą już nie być aktualne. W celu prawidłowego wykonania obowiązku określonego w nakazie Spółka musiałaby zebrać dodatkowe kategorie danych umożliwiających nawiązanie kontaktu. Taki obowiązek powinien jednak stanowić przedmiot jednoznacznie wyrażonego w decyzji nakazu, co nie nastąpiło. W obecnym stanie prawnym, w tym na podstawie skarżonych aktów administracyjnych, Spółka nie ma podstawy prawnej do pozyskania nowych kategorii danych osobowych. Wyznaczony przez organ termin 3 miesięcy jest nierealny dla przeprowadzenia przedsięwzięcia zgromadzenia dodatkowych danych (np. adresowych) w stosunku do wszystkich osób, których dane są zawarte w zbiorze. Spółka podkreśliła, że przedmiotowy zbiór danych zawiera wszystkie dane osobowe znajdujące się w KRS. Również w stosunku do pozostałych osób, których dane są przetwarzane (tj. aktualnie pełniących funkcję), nie jest w decyzji w jakikolwiek sposób dookreślone, w jaki sposób administrator danych ma przekazać informacje, tak aby skutecznie dotarła do podmiotu danych i czy przesłanie danych na adres siedziby podmiotu ujawnionego w KRS jest wystarczające w tym przedmiocie. W dalszej części skargi Spółka powołała się na treść art. 18 ust. 1 uodo, zgodnie z którym Generalny Inspektor rozstrzyga sprawę wydając nakaz przywrócenia stanu zgodnego z prawem. Przedmiotem rozstrzygnięcia organu ds. ochrony danych osobowych jest nakaz podjęcia lub zaniechania określonych czynności w celu prawidłowego wykonania obowiązków ochrony danych osobowych określonych w przepisach o ochronie danych osobowych. Tymczasem, zdaniem skarżącej, skarżone decyzje nie spełniają powyższego warunku, ponieważ nakaz zawiera jedynie proste odesłanie do przepisu ustawy o ochronie danych osobowych wprowadzającego obowiązek informacyjny i nie wskazuje konkretnych czynności, jakie obowiązany jest podjąć administrator danych w celu przywrócenia stanu zgodnego z prawem. W wykonaniu nakazu wydanego przez GIODO, to administrator danych musi dookreślić: 1) czy wystarczające jest przekazanie wymaganych informacji na adres podmiotu ujawnionego w KRS, w którym osoba fizyczna pełni funkcję, 2) na adres jakiego podmiotu przesłać wiadomość, jeżeli osoba pełni funkcję w więcej niż jednym podmiocie oraz 3) czy wystarczające jest przesłanie dokumentu na adres poczty elektronicznej, czy też wymagane jest przesłanie dokumentu tradycyjnego na adres siedziby podmiotu. W ocenie skarżącej Spółki, w skarżonych decyzjach organ dokonał błędnej wykładni art. 25 ust. 2 pkt 1 uodo polegającej na przyjęciu, że nie zachodzi określona w nim przesłanka wyłączająca obowiązek informacyjny, o którym mowa w ust. 1 tegoż artykułu. Powyższy przepis wskazuje bowiem dwie odrębne kategorie przepisów ustaw szczególnych: przewidujących lub dopuszczających zbieranie danych osobowych bez wiedzy podmiotu danych. W tym przepisie przewiduje się zatem dwie odrębne kategorie przepisów szczególnych, które pozwalają na stwierdzenie wyłączenia obowiązku informacyjnego. W ocenie skarżącej, w przypadku ustaw wprowadzających jawność (formalną i materialną) rejestrów publicznych, w tym rejestrów zawierających dane osobowe, mamy do czynienia z prawnym dopuszczeniem, w rozumieniu art. 25 ust. 2 pkt 1 uodo. Jawność formalna rejestru oznacza prawo każdego do dostępu do danych rejestrowych, bez potrzeby wykazywania w tym swojego interesu prawnego lub faktycznego. Ze względu na powszechną legitymację podmiotową w zakresie dostępu do danych rejestrowanych, uzyskujący informacje z rejestru nie jest w żaden sposób identyfikowany na etapie pozyskania przez niego danych. Wykładnia przepisu art. 8 ust. 1-2 ustawy o KRS w zw. z art. 25 ust. 2 pkt 1 uodo dająca podstawę do wyłączenia wiedzy osoby, której dane znajdują się w KRS, na temat pozyskania przez osoby trzecie jej danych z rejestru, znajduje również, w ocenie skarżącej, uzasadnienie aksjologiczne. Cel umieszczenia danych osobowych w KRS jest ściśle związany z obrotem gospodarczym, a co z tym związane powszechna dostępność rejestru nie powinna być traktowana jako ingerencja w sferę prywatności osoby fizycznej ujawnionej w rejestrze. Nie występuje zatem potrzeba zawiadamiania takiej osoby o zebraniu jej danych osobowych, bowiem instrumenty publicznoprawnej ochrony danych osobowych traktowane są jako przejaw ochrony prawa do prywatności. Osoba, która będzie pełniła funkcję w organach spółki prawa handlowego musi zaakceptować, że jej dane znajdą się w jawnym rejestrze publicznym, do którego dostęp będzie miał każdy zainteresowany w obrocie gospodarczym. Cel jakim pozostaje jawność (a co z tym związane pewność obrotu gospodarczego), zdaniem ustawodawcy, przeważa nad ochroną imienia, nazwiska, daty urodzenia i numeru PESEL osoby pełniącej funkcję w organach podmioty wpisanego do KRS. Skarżąca nie zgodziła się również ze stanowiskiem organu wyrażonym w zaskarżonej decyzji, w którym organ przeciwstawia sobie cele funkcjonowania KRS oraz zbioru danych Spółki, ponieważ drugi z nich również funkcjonuje w ramach jawności obrotu gospodarczego. Świadczone przez Spółkę usługi opierają się na danych z jawnych rejestrów publicznych i odnoszą się jedynie do aktywności gospodarczej określonej osoby fizycznej. Takie przetwarzanie dla celów komercyjnych danych uprzednio zgromadzonych przez podmioty publicznoprawne jest dopuszczane prawem unijnym, tj. Dyrektywą 2003/98/WE Rady i Parlamentu Europejskiego w dniu 17 listopada 2003 r. w sprawie ponownego wykorzystywania informacji sektora publicznego. Według wspomnianej dyrektywy wykorzystanie informacji takich podmiotów przyczynia się do osiągnięcia przewidzianego w TUWE ustanowienia rynku wewnętrznego i systemu zapewniającego niezakłóconą konkurencję na tymże rynku (motyw 1 preambuły). Podkreśla się, że informacja sektora publicznego jest ważnym materiałem wyjściowym dla produktów i usług związanych z zasobami cyfrowymi, a większe możliwości ponownego wykorzystania tych informacji powinny pozwolić firmom europejskim na wykorzystanie swojego potencjału oraz przyczynić się do wzrostu gospodarczego i tworzenia miejsc pracy (motyw 5). Właśnie przedmiotowy zbiór danych skarżącej spełnia przedstawiony powyżej opis, ponieważ "usługi informacyjne" I. Sp. j. są oparte na danych pozyskanych z rejestrów publicznych. Spółka podkreśliła, że wykładnia Generalnego Inspektora zaprezentowana w skarżonych decyzjach znacząco ogranicza realizację przedstawionych celów Dyrektywy 2003/98/WE. Korzystanie z jawnych rejestrów gospodarczych (publicznych) zawierających dane osobowe, połączone z utrwaleniem pozyskanych danych w systemie informatycznym korzystających z rejestru, zawsze będzie oznaczało konieczność poinformowania osób, których dane dotyczą. Ze względu na koszt skutecznego przekazania informacji podmiotowi danych pozyskiwanie jawnych informacji sektora publicznego (np. z rejestrów publicznych) stanie się nieopłacalne (lub mniej opłacalne) dla przedsiębiorców, którzy zamierzają opierać swoje produkty i usługi na tychże informacjach. W ocenie skarżącej, nie do zaakceptowania pozostają także konsekwencje stanowiska zajętego w decyzjach przez Generalnego Inspektora Ochrony Danych Osobowych, z którego wynika obowiązek informacyjny dla każdego podmiotu zbierającego dane z KRS, gdy zachodzą sytuacje określone w art. 2 ust. 1-2 uodo. Taki wymóg będzie wówczas powszechnie występował w obrocie gospodarczym w związku z szeregiem czynności związanym z pozyskiwaniem danych z KRS. Biorąc pod uwagę powszechność korzystania z odpisów KRS, m.in. do wskazywania osób uprawnionych do reprezentowania spółki podczas zawierania umowy, prowadziłaby taka wykładnia do paraliżu gospodarczego, a z pewnością także do nieracjonalnych (nadmiernych) nakładów finansowych, w imię ochrony prywatności, która w analizowanym przypadku nie występuje.

W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, wskazując na dotychczasowe ustalenia faktyczne i prawne.

Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 2 lutego 2011 r. sygn. akt II SA/Wa 720/11, oddalił skargę.

Następnie po wniesieniu przez skarżącą Spółkę skargi kasacyjnej, Naczelny Sąd Administracyjny wyrokiem z dnia 24 stycznia 2013 r. sygn. akt I OSK 1827/11, uchylił zaskarżony wyrok i przekazał sprawę do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie. W uzasadnieniu podano m.in., że zarzuty niezgromadzenia niezbędnego do wydania decyzji materiału dowodowego (art. 7, 77 k.p.a.) oraz wiążącego się z tym wadliwego rozstrzygnięcia sprawy w świetle przepisów art. 18 ust. 1 u.o.d.o. i błędnego wyroku WSA wydanego z naruszeniem art. 134 § 1 i art. 145 § 1 pkt 1 lit. c/ P.p.s.a., są zasadne. Z tego mianowicie powodu, że art. 18 ust. 1 ustawy zawiera cały szereg sankcji, które ustawodawca wyraźnie różnicuje stopniując ich rodzaj i zakres, a zatem ich prawidłowe zastosowanie wymaga przeprowadzenia postępowania wyjaśniającego, spełniającego wymogi kodeksowe zamieszczone w przepisach art. 7 i 77 k.p.a., jak również uwzględniającego regulacje materialnoprawne, z których wynika konieczność umiejętnego stopniowania sankcji. Ponadto, stosując nakazy organ winien uwzględniać wynikający również z konkretnego stanu faktycznego charakter stwierdzonego naruszenia, a zastosowana sankcja administracyjna powinna być adekwatna, współmierna do stopnia naruszenia prawa i także winna uwzględniać zagrożenie praw osoby, której dane dotyczą (art. 23 ust. 1 pkt 5 i art. 26 ust. 1 pkt 1, 2 i 3 u.o.d.o.). Natomiast – w ocenie Naczelnego Sądu Administracyjnego – rozstrzygnięcia organu w tej sprawie nie spełniają powyższych kryteriów. W dalszej części wskazano, że "Z ustaleń dokonanych przez organ wynika, iż skarżąca Spółka w ramach prowadzonej działalności komercyjnej świadczenia usług polegających na udzielaniu informacji przetwarza dane o osobach prawnych oraz jednostkach organizacyjnych nieposiadających osobowości prawnej, których dane są ujawnione w Krajowym Rejestrze Sądowym (Monitor Sądowy i Gospodarczy). W zbiorach tych znajdują się również dane osobowe osób fizycznych w zakresie: imię, nazwisko, nr PESEL, pełniona funkcja, rok urodzenia. Monitory Sądowy i Gospodarczy nie zawierają danych o adresach osób fizycznych. Zasadnie skarżąca Spółka podważa w tej sytuacji nałożenie przez organ ogólnie obowiązku spełnienia obowiązku informacyjnego, bez wskazania w jaki sposób i jakimi środkami administrator danych winien je uzyskać. Stwierdzić należy, iż ani z materiałów postępowania wyjaśniającego, ani z uzasadnienia decyzji nie wynika, aby organ rozważał, a następnie oceniał, czy zakres przetwarzania danych przez Spółkę był adekwatny do celów, w jakich były one przetwarzane, zwłaszcza w kontekście zagrożenia interesów osób fizycznych, gdyż tylko z takich względów ustawodawca wprowadził w art. 25 ust. 1 obowiązek informacyjny. Brak jest także materiałów pozwalających przyjąć, iż organ rozważał możliwość zastosowania innych środków, adekwatnych do stwierdzonych uchybień, a pozwalających usunąć stan sprzeczny z prawem przy użyciu środków mniej uciążliwych dla skarżącej Spółki. Tak ogólne sformułowanie obowiązku informacyjnego mogło być rozumiane przez skarżącą, jako prowadzące do uzupełnienia danych osobowych (art. 18 ust. 1 pkt 2 u.o.d.o.) o adresy osób fizycznych. Poszerzenie bazy danych osobowych o adresy osób fizycznych przy przesłance legalizacyjnej z art. 23 ust. 1 pkt 5 u.o.d.o. stwarzałoby niebezpieczeństwo konfliktu z celem przetwarzania danych, a nadto mogłoby godzić w dobro osób, których dane te dotyczą. (...) Przepis art. 25 u.o.d.o. reguluje powinność administratora danych w sytuacji zbierania danych osobowych nie od osoby, której one dotyczą. Ma on wówczas obowiązek powiadomić tę osobę o adresie siedziby i pełnej nazwie lub imieniu i nazwisku oraz miejscu zamieszkania, gdy administratorem jest osoba fizyczna, celu i zakresie zbierania danych oraz odbiorcach, źródle, prawie dostępu do treści swoich danych oraz ich poprawiania i o uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8. Obowiązki te są wyłączone jeżeli przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą (art. 25 ust. 1 pkt 1 u.o.d.o.). Skarżący powołując się na przepisy art. 8 i 13 ustawy o KRS wywodzi, iż zawarta w nich treść normatywna odpowiada przesłankom wyłączającym obowiązek informacyjny. Przyjmując argumentację WSA i organu, że przepisy art. 8 ust. 1 i 2 ustawy o KRS statuują zasadę jawności danych zawartych w Rejestrze, prawo każdego dostępu do danych zawartych w Rejestrze za pośrednictwem Centralnej Informacji oraz obowiązek upublicznienia wpisów przez ogłoszenie ich w Monitorze Sądowym i Gospodarczym, skarżąca Spółka podważa jednocześnie takie rozumienie przepisów obu ustaw, zaprezentowane zarówno w decyzji, jak i w uzasadnieniu zaskarżonego wyroku, które akcentuje konieczność ścisłej interpretacji tych przepisów. Przypomnieć należy, uznając je jednocześnie za trafne, stanowisko organu, że dane dotyczące osób fizycznych wpisane do KRS są danymi osobowymi, a zasady ich przetwarzania jak: zbieranie, przekazywanie, utrwalanie, udostępnianie i zmienianie w sposób kompletny reguluje ustawa z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym. Ustawa ta w sposób ścisły wskazuje równocześnie zakres danych osobowych, dotyczących osób fizycznych wpisanych do Rejestru, które muszą ograniczać się tylko do nazwiska, imienia oraz identyfikatora nadanego w systemie ewidencji ludności, zwanego "numerem PESEL". Wspomniany numer identyfikacyjny, składający się z 11 cyfr określa każdą osobę fizyczną, przy czym, co jest także istotne w tej sprawie, cztery pierwsze cyfry oznaczają dokładną datę urodzenia w kolejności: data roczna, miesięczna oraz dzienna. W połączeniu z nazwiskiem i imionami powyższe dane odpowiadają pojęciu danych osobowych zdefiniowanych w art. 6 ust. 1 i 2 u.o.d.o. (...) Zwrócić należy uwagę, że zgodnie z art. 39 pkt 1 ustawy o KRS w zakresie danych dotyczących reprezentacji podmiotów gospodarczych zamieszcza się oznaczenie organu uprawnionego do reprezentowania podmiotu oraz osób wchodzących w jego skład, ze wskazaniem sposobu reprezentacji. Zakres danych osobowych wynikających z przepisów ustawy o Krajowym Rejestrze Sądowym odpowiada celowi, w jakim został utworzony, a którym jest zapewnienie jawności i pewności obrotu gospodarczego. Na ten cel zasadnie zwrócił uwagę Sąd pierwszej instancji, jak również skarżąca Spółka stwierdzając, że art. 8 ustawy o KRS nie upoważnia do przetwarzania danych osobowych zawartych w KRS w dowolnych celach (s. 9 skargi kasacyjnej). Spółka wywodzi jednakże, że czyni to w tych samych, co KRS celach "co tym samym zwalnia ją z obowiązku informacyjnego". Chociaż z tym twierdzeniem nie można się zgodzić w świetle ustaleń kontroli i wyjaśnień wspólników i pracowników Spółki, na które to ustalenia powołuje się organ w uzasadnieniu decyzji, a przyjął je za prawidłowe Sąd, to należy uznać, iż nakładając na Spółkę nakaz dopełnienia wobec osób, których dane pochodzące ze źródeł powszechnie dostępnych (Monitor Sądowy i Gospodarczy), a które zostały zebrane i utrwalone przez Spółkę, obowiązku informacyjnego, o którym mowa w art. 25 ust. 1 u.o.d.o. Sąd pierwszej instancji nie rozważył i nie uwzględnił w sposób należyty celu w jakim Spółka ta przetwarzała dane osobowe ich zakresu, a w związku z tym zastosowania odpowiedniego środka przewidzianego w art. 18 ust. 1 u.o.d.o. Zwrócić należy uwagę na to, że organ w uzasadnieniu decyzji z dnia [...] stycznia 2011 r. powołał się na przepis art. 23 ust. 1 pkt 5 u.o.d.o., jako przesłankę legalizującą przetwarzanie danych osobowych. Przepis ten dopuszcza przetwarzanie danych tylko wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Cel w jakim I. Sp. z o.o. przetwarza dane osobowe nie może być utożsamiany z tym jakiemu służy Rejestr KRS. (...) Należy zgodzić się z oceną organu i Sądu, iż cele przetwarzania danych objętych KRS, a ujawnionych w Monitorze Sądowym i Gospodarczym nie są tożsame z celami komercyjnymi, dla których dane te przetwarza (zbiera, utrwala, udostępnia itd.) skarżąca Spółka. Rozważenia zatem wymagało, czy dla prowadzenia działalności gospodarczej o charakterze komercyjnym (co nie budzi wątpliwości w świetle ustaleń organu) zakres przetwarzania danych osobowych przez Spółkę jest zgodny z usprawiedliwionym celem realizowanym przez administratora danych. Jawność i powszechna dostępność danych z Rejestru KRS oraz cel, jaki realizuje tą drogą ustawodawca, determinuje rodzaj i zakres przetwarzania danych osobowych osób fizycznych. Ustawa ogranicza je tylko do danych dotyczących imienia nazwiska, pełnionej w podmiotach funkcji oraz numeru identyfikacyjnego PESEL. Są to zatem dane wiążące się ściśle ze sferą obrotu gospodarczego, zaś poza ww. danymi identyfikacyjnymi Rejestr nie pozwala na ujawnienie innych, bardziej szczegółowych danych dot. osób fizycznych, jak np. miejsce zamieszkania. Oznacza to, że dla powszechnie dostępnych celów informacyjnych nie jest dopuszczalne ujawnianie adresu, miejsca zamieszkania osób fizycznych (członków zarządu, wspólników), co można tłumaczyć ochroną sfery prywatnej tych osób. Pozostaje to w zgodzie z konstytucyjną zasadą prawa jednostki do zachowania w tajemnicy informacji dotyczącej własnej osoby. (...) Konieczność respektowania tych przepisów przez organ nadzoru nakłada na niego obowiązek ustalenia i rozważenia, czy zakres przetworzenia danych osób fizycznych przez Spółkę był adekwatny do realizowanych przez nią celów, a w szczególności czy adekwatne byłoby przetwarzanie oprócz takich danych, jak rok urodzenia, PESEL jeszcze danych dotyczących adresu osób fizycznych. Przeprowadzone postępowanie nie wyjaśniło w jakim zakresie wysyłając informację do odbiorców danych (klientów Spółki) przekazuje ona dane osobowe ww. osób i w jakich celach. Konieczność uzupełnienia postępowania w tym kierunku wiąże się z omówionymi wcześniej zasadnymi zarzutami naruszenia przepisów postępowania w sposób mający istotny wpływ na wynik sprawy. Ustawowy wymóg ochrony interesów osób, których dane dotyczą nakłada na organ, jak również sąd administracyjny wykonujący kontrolę, obowiązek czuwania, aby zakres przetwarzania nie wkraczał w sferę prywatną, jak również, aby dane te odpowiadały przesłance adekwatności, a także pozostawały w zgodzie z zasadą proporcjonalności uregulowaną w art. 31 Konstytucji. W takiej sytuacji, jak w przedmiotowej sprawie nie można zatem rozważać możliwości uzupełnienia danych osobowych o adresy osób fizycznych zwłaszcza w drodze ich poszukiwania w CBA, lecz jak wyżej wskazano należy dążyć do ograniczenia ich w zakresie dostosowanym do celu działalności Spółki oraz ochrony interesów osób, których dotyczą. Jeżeli dane uzyskane w wyniku uzupełnionego postępowania wyjaśniającego będą uzasadniały zastosowanie przepisu art. 25 ust. 1 u.o.d.o. organ winien rozważyć możliwość ograniczenia obowiązku informacyjnego. (...) Należy zauważyć, że w toku postępowania wyjaśniającego organ nie rozważał okoliczności wiążących się z sygnalizowanymi przez Spółkę trudnościami w realizacji nakazu. (...) Zachodzi więc konieczność uzupełnienia postępowania administracyjnego, a w razie ustalenia, że skarżącą obciąża obowiązek informacyjny odnieść się także do możliwości jego nałożenia w kontekście zastosowania prounijnej wykładni przepisów prawa (art. 11 ust. 2 Dyrektywy 95/46 WE Parlamentu Europejskiego i Rady). (...) Uchylając zaskarżony wyrok na podstawie art. 185 § 1 P.p.s.a. Naczelny Sąd Administracyjny wskazuje na konieczność uwzględnienia przy ponownym rozpoznaniu sprawy, naruszenia przez Generalnego Inspektora przepisów art. 127 § 3 w zw. z art. 138 § 1 pkt 2 k.p.a. W uzasadnieniu decyzji z dnia [...] stycznia 2011 r. organ odnosząc się do wniosku skarżącej o umorzenie postępowania wobec wykonania nakazów wymienionych w pkt 2–6 decyzji i nie uwzględniając tego wniosku organ stwierdził, że rozstrzygnięcie zawarte w zaskarżonej decyzji jest prawidłowe pod względem zgodności z prawem i celowości. Stanowisko to jest błędne bowiem rozstrzygając sprawę, z wniosku w trybie art. 127 § 3 k.p.a. organ nie ocenia legalności swej poprzedniej decyzji, lecz ponownie rozpoznaje sprawę w jej całokształcie. Oznacza to, że jeżeli strona wykonała nałożone na nią nakazy, organ obowiązany jest, po potwierdzeniu tego, wobec zmiany stanu faktycznego, wydać decyzję na podstawie art. 138 § 1 pkt 2 k.p.a., tj. uchylającą decyzję w tej części i umarzającą postępowanie administracyjne w tym zakresie.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Zgodnie z brzmieniem art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. nr 153, poz. 1269 ze zm.), sąd administracyjny sprawuje wymiar sprawiedliwości m.in. poprzez kontrolę działalności administracji publicznej pod względem zgodności z prawem.

Na wstępie wskazać należy, iż stosownie do postanowień art. 190 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (tekst jedn. Dz. U. z 2012 r., poz. 270 ze zm.) zwanej dalej P.p.s.a., Sąd, któremu sprawa została przekazana, związany jest wykładnią prawa dokonaną w tej sprawie przez Naczelny Sąd Administracyjny. Nie można oprzeć skargi kasacyjnej od orzeczenia wydanego po ponownym rozpoznaniu sprawy na podstawach sprzecznych z wykładnią prawa ustaloną w tej sprawie przez Naczelny Sąd Administracyjny.

Biorąc powyższe pod uwagę należy zatem podkreślić, że rozpoznając ponownie niniejszą sprawę Wojewódzki Sąd Administracyjny w Warszawie jest związany wykładnią prawa dokonaną przez Naczelny Sad Administracyjny w wyroku z dnia 24 stycznia 2013 r. sygn. I OSK 1827/11.

Skarga analizowana pod tym kątem zasługuje na uwzględnienie.

Przede wszystkim podkreślania wymaga fakt, co wskazał w niniejszej sprawie Naczelny Sąd Administracyjny, ale co również zostało pośrednio zarzucone w skardze, że organ rozpoznając sprawę naruszył art. 7 i 77 Kpa poprzez niezgromadzenie niezbędnego do wydania decyzji materiału dowodowego, a w konsekwencji nieprawidłowo zastosował art. 18 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r., nr 101, poz. 926 ze zm.) zwanej dalej u.o.d.o. Z tego mianowicie powodu, że w art. 18 ust 1 uodo ustawodawca zawarł szeroki katalog sankcji, które może zastosować Generalny Inspektor Ochrony Danych Osobowych w przypadku stwierdzenia naruszenia przepisów o ochronie danych osobowych, tj:

1) usunięcie uchybień,

2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych,

3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,

4) wstrzymanie przekazywania danych osobowych do państwa trzeciego,

5) zabezpieczenie danych lub przekazanie ich innym podmiotom,

6) usunięcie danych osobowych.

Prawidłowe zastosowanie tych sankcji wymaga więc przeprowadzenia postępowania wyjaśniającego, spełniającego wymogi kodeksowe zamieszczone w przepisach art. 7 i 77 Kpa, jak również uwzględniającego regulacje materialnoprawne, z których wynika konieczność umiejętnego stopniowania sankcji.

Tymczasem w rozpoznawanej sprawie organ nakazał usunięcie uchybień I. Sp. j. w procesie przetwarzania danych osobowych przez m.in. dopełnienie wobec osób, których dane pochodzą ze źródeł powszechnie dostępnych (Monitor Sądowy i Monitor Gospodarczy), a które zostały zebrane i utrwalone przez ww. administratora danych obowiązku informacyjnego, o którym mowa w art. 25 ust. 1 u.o.d.o, przy czym w żaden sposób nie wyjaśnił, dlaczego zastosował wskazaną sankcję, spośród innych, jakie przewidziane zostały w art. 18 ust 1 uodo. W powołanym wyżej orzeczeniu Naczelny Sąd Administracyjny podkreślił, że stosując nakazy Generalny Inspektor powinien uwzględniać wynikający także z konkretnego stanu faktycznego charakter stwierdzonego naruszenia. Zastosowana sankcja administracyjna powinna być adekwatna, współmierna do stopnia naruszenia prawa, a także winna uwzględniać zagrożenie praw osoby, której dane dotyczą (art. 23 ust. 1 pkt 5 i art. 26 ust. 1 pkt 1, 2 i 3 u.o.d.o.). W rozpoznawanej sprawie natomiast ani z materiałów postępowania wyjaśniającego, ani z uzasadnienia decyzji nie wynika, aby organ rozważał, a następnie oceniał, czy zakres przetwarzania danych przez skarżącą był adekwatny do celów, w jakich były one przetwarzane, zwłaszcza w kontekście zagrożenia interesów osób fizycznych, gdyż tylko z takich względów ustawodawca wprowadził w art. 25 ust. 1 obowiązek informacyjny. Brak jest tam także materiałów pozwalających przyjąć, iż organ rozważał możliwość zastosowania innych środków, adekwatnych do stwierdzonych uchybień, a pozwalających usunąć stan sprzeczny z prawem przy użyciu środków mniej uciążliwych dla skarżącej Spółki. Tak ogólne sformułowanie obowiązku informacyjnego mogło być rozumiane przez skarżącą, jako prowadzące do uzupełnienia danych osobowych (art. 18 ust. 1 pkt 2 u.o.d.o.) o adresy osób fizycznych. Poszerzenie bazy danych osobowych o adresy osób fizycznych przy przesłance legalizacyjnej z art. 23 ust. 1 pkt 5 uodo stwarzałoby niebezpieczeństwo konfliktu z celem przetwarzania danych, a nadto mogłoby godzić w dobro osób, których dane te dotyczą.

Zatem rozpoznając wniosek strony o ponowne rozpatrzenie sprawy, złożony od decyzji z dnia [...] września 2010 r., Generalny Inspektor Ochrony Danych Osobowych wyjaśnił, biorąc pod uwagę cele przetwarzania przez skarżącą spółkę danych osobowych, czy i jakie środki przewidziane w art. 18 ust 1 uodo należy w niniejszej sprawie zastosować, a jego rozważania w tym zakresie znajdą odzwierciedlenie w uzasadnieniu wydanej ponownie decyzji. Jednocześnie podkreślania wymaga, że decyzja wydana w tym zakresie powinna uwzględniać fakt, że zamierzony przez nią cel powinien być osiągnięty środkami możliwie jak najmniej dotkliwymi dla jej adresata.

Co więcej, co także podniósł Naczelny Sąd Administracyjny, w zaskarżonej decyzji organ odnosząc się do wniosku skarżącej o umorzenie postępowania wobec wykonania nakazów wymienionych w pkt 2–6 decyzji z dnia [...] września 2010 r. i nie uwzględniając tego wniosku stwierdził, że rozstrzygnięcie zawarte w zaskarżonej decyzji jest prawidłowe pod względem zgodności z prawem i celowości, podczas gdy stanowisko to jest błędne. Z tego mianowicie powodu, że rozstrzygając sprawę, z wniosku w trybie art. 127 § 3 Kpa organ nie ocenia legalności swej poprzedniej decyzji, lecz ponownie rozpoznaje sprawę w jej całokształcie, co oznacza, iż jeżeli strona wykonała nałożone na nią nakazy, organ obowiązany będzie, po potwierdzeniu tego, wobec zmiany stanu faktycznego, wydać decyzję na podstawie art. 138 § 1 pkt 2 k.p.a., tj. uchylającą decyzję w tej części i umarzającą postępowanie administracyjne w tym zakresie.

Z tych wszystkich względów Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit. c P.p.s.a. orzekł, jak w sentencji. O kosztach Sąd postanowił stosownie do art. 200 P.p.s.a.