drukuj    zapisz    Powrót do listy

647 Sprawy związane z ochroną danych osobowych, Ochrona danych osobowych, Generalny Inspektor Ochrony Danych Osobowych, Uchylono decyzję I i II instancji, II SA/Wa 735/08 - Wyrok WSA w Warszawie z 2008-08-19, Centralna Baza Orzeczeń Naczelnego (NSA) i Wojewódzkich (WSA) Sądów Administracyjnych, Orzecznictwo NSA i WSA

II SA/Wa 735/08 - Wyrok WSA w Warszawie

Data orzeczenia
2008-08-19 orzeczenie nieprawomocne
Data wpływu
2008-05-26
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Anna Mierzejewska
Bronisław Szydło /przewodniczący sprawozdawca/
Ewa Kwiecińska
Symbol z opisem
647 Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
I OSK 1379/08 - Wyrok NSA z 2009-09-08
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono decyzję I i II instancji
Powołane przepisy
Dz.U. 1997 nr 133 poz 883 art. 7 pkt 4 oraz art. 24 ust. 1 pkt 3
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Dz.U. 2007 nr 42 poz 275 art. 4 ust. 1
Ustawa z dnia 9 listopada 2000 r. o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości - tekst jednolity
Dz.U. 2004 nr 116 poz 1206 art. 18 ust. 1
Ustawa z dnia 20 kwietnia 2004 r. o Narodowym Planie Rozwoju
Sentencja

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Bronisław Szydło (spr.), Sędziowie WSA Ewa Kwiecińska, Anna Mierzejewska, Protokolant Łukasz Bazyluk, po rozpoznaniu na rozprawie w dniu 19 sierpnia 2008 r. sprawy ze skargi P. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] kwietnia 2008 r. nr [...] w przedmiocie ochrona danych osobowych 1. uchyla zaskarżoną decyzję oraz poprzedzającą z dnia [...] grudnia 2007 r. 2. zaskarżona decyzja nie podlega wykonaniu 3. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz P. kwotę [...] zł ([...]) tytułem zwrotu kosztów postępowania

Uzasadnienie

W dniach 26 lutego – 1 marca 2007 r. Inspektorzy, upoważnieni przez Generalnego Inspektora Ochrony Danych Osobowych, przeprowadzili kontrolę w B. Sp. z o.o. z siedzibą w P., zwanej dalej także Spółką, w celu ustalenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, tj. ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) oraz rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024).

W toku kontroli ustalono, że Spółka pozyskuje dane osób biorących udział w projektach realizowanych w ramach Sektorowego Programu Operacyjnego Rozwoju Zasobów Ludzkich 2004 – 2006, zwanego dalej także SPO RZL 2004-2006, na podstawie umowy z dnia 3 października 2005 r. oraz umowy z dnia 3 kwietnia 2006 r. zawartej z P., z siedzibą w W. przy ul. [...], zwaną dalej również Agencją lub P. Umowy te dotyczą doskonalenia wiedzy i umiejętności pracowników sektora bankowości spółdzielczej oraz doskonalenia umiejętności kadr audytu wewnętrznego w bankach spółdzielczych. Wskazane wyżej umowy stanowią umowę powierzenia przetwarzania danych osobowych, w świetle art. 31 ust. 1 przywołanej ustawy. Stąd też administratorem danych osób biorących udział w projektach realizowanych w ramach SPO RZL 2004-2006 jest P., a Spółka podmiotem, o którym mowa w art. 31 ust. 1 powołanej ustawy, tj. podmiotem, któremu administrator danych powierzył przetwarzanie danych ww. osób.

Ponadto w oparciu o zgromadzony w toku kontroli materiał dowodowy ustalono, że nie jest realizowany obowiązek informacyjny w zakresie prawa dostępu do treści swoich danych oraz ich poprawiania w stosunku do uczestników szkoleń, których dane osobowe są pozyskiwane w związku z realizacją projektu pt. "Doskonalenie wiedzy i umiejętności pracowników bankowości spółdzielczej", tj. obowiązek określony w art. 24 ust. 1 pkt 3 powołanej ustawy o ochronie danych osobowych.

W związku z powyższym, w dniu [...] października 2007 r. Generalny Inspektor Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne w niniejszej sprawie w celu wyjaśnienia okoliczności sprawy (nr [...]).

W piśmie z dnia [...] października 2007 r. informującym o wszczęciu postępowania w niniejszej sprawie Generalny Inspektor Ochrony Danych Osobowych wskazał, że stosownie do treści art. 31 ust. 1 powołanej ustawy, podmiot, któremu administrator powierzył przetwarzanie danych osobowych, obowiązany jest przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39 powołanej ustawy, oraz spełnić wymagania określone w przepisach, o których mowa art. 39a cyt. ustawy. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych. Natomiast zgodnie z art. 31 ust. 4 powołanej ustawy, w przypadkach, o których mowa w ust. 1-3 odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.

Organ wyjaśnił również, że przedmiotem postępowania w niniejszej sprawie jest uchybienie polegające na niespełnieniu wymogów określonych w art. 24 ust. 1 pkt 3 cyt. ustawy, tj. wykraczających poza obowiązki podmiotu, o którym mowa w art. 31 ust. 1 ustawy (wynikające z art. 31 ust. 2 i ust. 3 powołanej ustawy) i w związku z tym stroną postępowania administracyjnego jest P., jako administrator danych.

Postępowanie to Generalny Inspektor Ochrony Danych Osobowych zakończył wydaniem w dniu [...] grudnia 2007 r. decyzji nr [...], nakazującej P., jako administratorowi danych beneficjentów ostatecznych, usunięcie uchybienia w procesie przetwarzania danych osobowych poprzez dopełnienie obowiązku informacyjnego w zakresie prawa dostępu do treści swoich danych oraz ich poprawiania w stosunku do uczestników szkoleń, których dane osobowe są pozyskiwane w związku z realizacją projektu pt. "Doskonalenie wiedzy i umiejętności pracowników bankowości spółdzielczej", w terminie 1 miesiąca od dnia, w którym decyzja ta stanie się ostateczna.

Decyzja ta stała się następnie przedmiotem wniosku o ponowne rozpatrzenie sprawy złożonego przez P. We wniosku P. podniosła, że kwestia uchybień w zakresie spełnienia obowiązku informacyjnego wobec osób, których dane osobowe przetwarzane są w związku z realizacją projektu "Doskonalenie wiedzy i umiejętności pracowników bankowości spółdzielczej", została już rozstrzygnięta decyzją Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2007 r. o umorzeniu postępowania w przedmiotowym zakresie. Adresatem tej decyzji był B. Sp. z o.o.

Ponadto P. podniosła, że nieprawidłowym jest uznanie jej za administratora danych osób biorących udział w projektach realizowanych w ramach Sektorowego Programu Operacyjnego Rozwoju Zasobów Ludzkich 2004 – 2006 (Działanie 2.3).

Na poparcie tak zajętego stanowiska P. wyjaśniła, że SPO RZL 2004-2006 realizowany jest w ramach struktury, w której występuje szereg podmiotów. Struktura ta składa się z instytucji zarządzającej, instytucji pośredniczącej oraz instytucji wdrażających, a także regionalnych instytucji finansujących. W ramach wspomnianego programu rolę instytucji zarządzającej oraz instytucji pośredniczącej pełni Ministerstwo Rozwoju Regionalnego - Departament Zarządzania Europejskim Funduszem Społecznym. P. jest więc jedynie jedną z szeregu instytucji wdrażających Sektorowy Program Operacyjny Rozwój Zasobów Ludzkich 2004 - 2006. Rolę powyższą potwierdza treść art. 4 ust. 1a pkt 1 ustawy z dnia 9 listopada 2000 r. o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości (t.j. Dz. U. z 2007 r., Nr 42, poz. 275).

Wskazanie podmiotu będącego administratorem danych przetwarzanych na potrzeby SPO RZL 2004 - 2006, w tym danych osobowych beneficjentów ostatecznych, nie może odbyć się z pominięciem przepisów ustawy z dnia 20 kwietnia 2004 r. o Narodowym Planie Rozwoju (Dz. U. Nr 116, poz. 1206 ze zm.). Przepisy tej ustawy wskazują w jakich celach mogą być przetwarzane dane osobowe w ramach realizowanych programów. W sytuacji takiej za administratora danych należy uznać podmiot, który decydując o celu przetwarzania danych będzie jedynie konkretyzował jego zakres, tak aby odpowiadał on potrzebom bardziej szczegółowo określonego zadania publicznego.

Zdaniem P. administratorem danych w tym przypadku jest Ministerstwo Rozwoju Regionalnego, jako Instytucja Zarządzająca projektem. Ministerstwo posiada bowiem kompetencje do wydawania innym podmiotom uczestniczącym w realizacji Programu wiążących poleceń dotyczących m. in. zakresu przetwarzania danych osobowych. Ministerstwo jako Instytucja Zarządzająca wskazało środki, przy pomocy których obsługiwany będzie SPO RZL 2004-2006 oraz przekazało wraz z bibliotekami binarnymi PEFS przeznaczonymi do instalacji w zasobach użytkownika, pliki przeznaczone do aplikacji MS Excel, za pomocą których Ostateczni Odbiorcy mieli przekazywać do Instytucji Wdrażających dane wprowadzane przez te instytucje do systemu PEFS.

W dalszej części wniosku P. wskazała, że z informacji zamieszczonych w informacjach o narzędziach informatycznych obsługujących Europejski Fundusz Społeczny P. jest jedynie użytkownikiem systemu PEFS a nie jego administratorem. Zdaniem Agencji prowadzi to do wniosku, że nie jest ona uprawniona do podejmowania decyzji o środkach przetwarzania danych, jak wymaga tego definicja administratora danych zawarta w art. 7 pkt 4 powołanej ustawy o ochronie danych osobowych.

Agencja podniosła również, że w myśl przepisów powołanej ustawy o Narodowym Planie Rozwoju (art. 18, 18a oraz 19 ustawy) instytucja zarządzająca, w tym przypadku Ministerstwo Rozwoju Regionalnego, odpowiedzialna jest za przygotowanie i realizację programu, a w szczególności za wydawanie wytycznych dotyczących wdrażania programów skierowanych do podmiotów uczestniczących w realizacji danego programu. Ponadto Instytucja Zarządzająca może przekazać w drodze porozumienia zarządzanie, monitorowanie i kontrolę poszczególnych priorytetów operacyjnych, działań lub projektów instytucjom pośredniczącym. Porozumienie to może przewidywać możliwość przekazania elementów zarządzania innym instytucjom określonym w planie (instytucjom wdrażającym), przy czym w przypadku przekazania przez Instytucję Zarządzającą kompetencji, Instytucja Zarządzająca ponosi pełną odpowiedzialność za skuteczność i prawidłowość zarządzania programem.

P. podała również, że w ramach realizacji SPO RZL 2004-2006 związana jest z Ministerstwem Rozwoju Regionalnego dwiema umowami finansowania Działania 2.3 w ramach Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004-2006, powierzającymi Agencji wdrażanie Działania 2.3 ww. Programu. Zdaniem Agencji dokumenty wskazują również na konieczność stosowania się przez instytucję wdrażającą, tj. P., do wytycznych instytucji zarządzającej, przygotowanych przez nią wzorów formularzy oraz przedstawiania do zatwierdzenia procedur realizacji Działania 2.3 SPO RZL 2004-2006.

Generalny Inspektor Ochrony Danych Osobowych, po ponownym rozpatrzeniu sprawy, decyzją z dnia [...] kwietnia 2008 r. nr [...] utrzymał w mocy swoją wcześniejszą decyzję z dnia [...] grudnia 2007 r.

W uzasadnieniu decyzji organ wyjaśnił, że decyzją Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2007 r. nr [...] zostały rozstrzygnięte następujące kwestie:

1. niezawarcie w ewidencji osób upoważnionych do przetwarzania danych osobowych informacji o dacie nadania i ustania upoważnienia do przetwarzania danych osobowych oraz identyfikatora osoby przetwarzającej dane w systemie informatycznym (art. 39 ust. 1 ustawy),

2. niezapewnienie, aby system informatyczny "PEFS" (plik MS Excel o nazwie "Dane BO wersja 2-1.xls"), który służy do przetwarzania danych "Beneficjentów Ostatecznych", umożliwiał odnotowanie daty pierwszego wprowadzenia danych do systemu (§ 7 ust. 1 pkt 1 rozporządzenia),

3. niezapewnienie, aby system informatyczny "PEFS" (plik MS Excel o nazwie "Dane BO wersja 2-1.xls"), umożliwiał dla każdej osoby, której dane osobowe są przetwarzane w ww. systemie, sporządzanie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w § 7 ust. 1 rozporządzenia (§ 7 ust. 3 rozporządzenia).

Decyzją z dnia [...] grudnia 2007 r. nr [...] rozstrzygnięta została natomiast kwestia dotycząca niedopełnienia obowiązku informacyjnego w zakresie prawa dostępu do treści swoich danych oraz ich poprawiania w stosunku do uczestników szkoleń, których dane osobowe są pozyskiwane w związku z realizacją projektu pt: "Doskonalenie wiedzy i umiejętności pracowników bankowości spółdzielczej".

Odnosząc się do kwestii uznania P. jako administratora danych, Generalny Inspektor Ochrony Danych Osobowych wskazał, że zgodnie z art. 7 pkt 4 ustawy o ochronie danych osobowych ilekroć w ustawie jest mowa o administratorze danych – rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3 ustawy decydujące o celach i środkach przetwarzania danych.

Powołując się na dokonane w toku postępowania ustalenia organ wyjaśnił, że dane osobowe pozyskiwane przez B. Sp. z o.o. w związku z wykonywaniem przez nią projektów są przekazywane do P., wyłącznie w wersji elektronicznej (płyty CD lub dyskietki). Agencja wprowadza dane do systemu o nazwie "PEFS" (Podsystem Monitorowania Europejskiego Funduszu Spójności). Dane osobowe z ww. systemu nie są przekazywane przez P. do Ministerstwa Rozwoju Regionalnego, jako "instytucji zarządzającej". Organ zaznaczył przy tym, że Minister Rozwoju Regionalnego nie posiada dostępu do danych przetwarzanych w systemie o nazwie "PEFS", które przechowywane są w P. Co więcej, P. dokonał zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbiorów danych dotyczących beneficjentów ostatecznych i zbiory te zostały przez Generalnego Inspektora Ochrony Danych Osobowych zarejestrowane.

W dalszej części uzasadnienia decyzji wskazano, że P., jako "instytucja wdrażająca", zgodnie z treścią rozdziału 5.2.3 załącznika do rozporządzenia Ministra Gospodarki i Pracy z dnia 1 lipca 2004 r. w sprawie przyjęcia Sektorowego Programu Operacyjnego Rozwoju Zasobów Ludzkich 2004-2006 (Dz. U. Nr 166, poz. 1743 ze zm.), pozostaje odpowiedzialna za: formalną kontrolę zgodności wniosków składanych przez potencjalnych odbiorców pomocy, wybór projektów przeznaczonych do realizacji w ramach SPO RZL 2004 - 2006, podpisywanie umów z beneficjentami na podstawie decyzji instytucji zarządzającej lub upoważnienia wynikającego z umowy finansowania działania zawartej pomiędzy instytucją zarządzającą a instytucją wdrażającą. Stosownie do treści rozdziału 5.4 załącznika do ww. rozporządzenia w sprawie przyjęcia SPO RZL 2004 - 2006, w celu monitorowania i rzetelnej oceny projektów oraz transferu danych został utworzony System Informatyczny Monitoringu i Kontroli Finansowej (SIMIK). Uzupełnieniem tego systemu informatycznego jest podsystem informatyczny PEFS (system informatyczny o nazwie "PEFS", służący do przetwarzania danych osobowych beneficjentów ostatecznych w celu prowadzenia, monitorowania i ewaluacji projektów realizowanych w ramach SPO RZL), za którego wdrożenie i sprawne funkcjonowanie odpowiedzialne jest Ministerstwo Rozwoju Regionalnego. Natomiast za wprowadzenie danych do ww. podsystemu odpowiedzialne są instytucje wdrażające. P. jest zatem głównym użytkownikiem tego systemu.

Ponadto organ zwrócił uwagę, że P., jako "instytucja wdrażająca" dokonała zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych dotyczących "beneficjentów ostatecznych", który został zarejestrowany.

W konsekwencji oznacza to, że administratorem danych osobowych beneficjentów ostatecznych przetwarzanych w związku z realizacją działania 2.3 SPO RZL 2004 - 2006 jest P., działająca w ramach programu jako instytucja wdrażająca.

Na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] kwietnia 2008 r. nr [...] skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie wniosła P. Zaskarżonej decyzji zarzuciła:

– naruszenie przepisów postępowania, tj. art. 156 ust. 1 pkt 2 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (t. j. Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.) i wydanie decyzji z rażącym naruszeniem prawa poprzez oparcie jej o fakty znane organowi z urzędu bez zakomunikowania ich adresatowi decyzji oraz naruszenie art. 156 ust. 1 pkt 3 kpa poprzez wydanie decyzji administracyjnej w sprawie rozstrzygniętej inną decyzją ostateczną, co stanowi naruszenie przepisów postępowania mające istotny wpływ na wynik sprawy;

– naruszenie prawa materialnego, a mianowicie art. 24 ust. 1 powołanej ustawy o ochronie danych osobowych poprzez nałożenie obowiązku realizacji postanowień wynikających z tego przepisu na podmiot niebędący adresatem tego przepisu oraz art. 7 pkt 4 ustawy o ochronie danych osobowych poprzez uznanie, wbrew okolicznościom faktycznym utrwalonym w aktach administracyjnych, P. za administratora danych Sektorowego Programu Operacyjnego Zasobów Ludzkich 2004-2006.

P. wniosła o uchylenie zaskarżonej decyzji oraz decyzji ją poprzedzającej oraz o zasądzenie na jej rzecz kosztów postępowania.

W uzasadnieniu skargi P. wskazała, że ustalenie podmiotu będącego administratorem danych może odbyć się wyłącznie przez odniesienie do treści art. 7 pkt 4 ustawy o ochronie danych osobowych, który jako warunek konieczny dla uznania podmiotów wymienionych w art. 3 za administratorów danych stawia wymóg decydowania przez nich o celach i środkach przetwarzania danych osobowych. W ocenie Agencji, organ wydając w sprawie rozstrzygnięcie odstąpił od analizy elementów wskazanych w art. 7 pkt 4 ustawy, a w miejsce tego przepisu zastosował inne przepisy prawa oraz zewnętrzne przejawy przetwarzania danych osobowych .

P. nie zgodziła się ze stanowiskiem GIODO, że przekazywanie danych osobowych do Agencji przez podmioty, które zawarły umowę dofinansowania oraz wprowadzanie danych do sytemu "PEFS" przez P. przesądza o statusie Agencji jako administratora tych danych. Zdaniem P., a wbrew stanowisku organu, nie jest ona administratorem danych, a jedynie przetwarza dane osobowe w oparciu o umowy wiążące ją z Ministerstwem Rozwoju Regionalnego - Departamentem Zarządzania Europejskim Funduszem Społecznym, będącym instytucją zarządzającą wspomnianym projektem. Z kolei umowy te powierzają Agencji wdrażanie Działania 2.3 Sektorowego Programu Operacyjnego Zasobów Ludzkich, a zatem są to umowy, o których mowa w art. 31 ustawy o ochronie danych osobowych. W tej sytuacji P. (inny podmiot od administratora) przetwarza dane osobowe w ramach powierzenia określonego umową i nie ma tu znaczenia, podniesiona przez Generalnego Inspektora, okoliczność braku dostępu Ministerstwa Rozwoju Regionalnego (instytucji zarządzającej) do danych przetwarzanych w systemie "PEFS". Zdaniem Agencji, administrator danych powierzając przetwarzanie danych innemu podmiotowi w pełnym zakresie może nie mieć faktycznego dostępu do przetwarzanych w jego imieniu danych, ale nadal pozostaje ich administratorem spełniając przesłanki z art. 7 pkt 4 ustawy. Ponadto, jak dodała Agencja, nawet w sytuacji powierzenia danych szereg obowiązków w dalszym ciągu obciąża administratora (art. 24 ust. 1, art. 25 ust. 1, czy art. 40), a fakt powierzenia danych nie pozbawia administratora możliwości powierzenia tych samych danych jeszcze innemu podmiotowi.

Skarżąca podniosła też, że określenie administratora danych w sektorze publicznym musi opierać się o analizę właściwych przepisów prawa regulujących ustrój

i działanie danego podmiotu. Stąd też w niniejszej sprawie nie można pominąć przepisów powołanej ustawy o Narodowym Planie Rozwoju. Przepisy tej ustawy wskazują w jakich celach mogą być przetwarzane dane osobowe w ramach realizowanych programów. W tej sytuacji za administratora danych należy uznać podmiot, który decydując o celu przetwarzania danych będzie jedynie konkretyzował jego zakres, tak aby odpowiadał on potrzebom bardziej szczegółowo określonego zadania publicznego. Stąd też za administratora danych przetwarzanych w systemie PEFS należy uznać Instytucję Zarządzającą programem, ponieważ to ona skonkretyzowała cel i zakres przetwarzania danych.

Skarżąca wskazuje ponadto, iż niezależnie od faktu zawarcia przez P. i Instytucję Zarządzającą – Ministerstwo Rozwoju Regionalnego Departament Zarządzania Europejskim Funduszem Społecznym – umów powierzających Agencji wdrażanie Działania 2.3 Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004-2006, pozycja P. jako przetwarzającego została uregulowana powszechnie obowiązującymi przepisami prawa. W szczególności wskazać należy na przepisy powołanej ustawy o Narodowym Planie Rozwoju, a zwłaszcza jej art. 19 i następne stanowiące, że działania objęte SPO RZL 2004 – 2006, mogą być realizowane przez instytucje wdrażające ustanawiane dla poszczególnych działań, a szczegółowe zadania instytucji wdrażających, zasady i warunki realizacji działań oraz uprawnienia i obowiązki stron określa umowa zawarta z instytucją zarządzającą programem lub instytucją pośredniczącą. Stosownie natomiast do treści art. 19 ust. 4 powołanej ustawy o Narodowym Planie Rozwoju w przypadku przekazania przez instytucję zarządzającą kompetencji do zarządzania, monitorowania i kontroli poszczególnych priorytetów operacyjnych, działań lub projektów, instytucja zarządzająca ponosi pełną odpowiedzialność za skuteczność i prawidłowość zarządzania programem. Stąd też odpowiedzialność za realizację programu, w tym za prawidłowe przetwarzanie danych osobowych, pozostaje nadal przy Instytucji Zarządzającej. Charakter działań P. określa zaś art. 4 ust. 1a pkt 1 ustawy z dnia 9 listopada 2000 r. o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości (Dz. U. z 2007 r. Nr 42, poz. 275), w myśl którego P. uczestniczy w realizacji programów operacyjnych, o których mowa w ustawie o Narodowym Planie Rozwoju jako instytucja udzielająca pomocy finansowej określonym grupom beneficjentów.

W ocenie skarżącej, Generalny Inspektor Ochrony Danych Osobowych nie wziął pod uwagę powyższych okoliczności, a w wydanych decyzjach nie powołał się na żadne dowody w zakresie ustalenia podmiotu będącego administratorem danych ani nie wypowiedział się co do trafności dowodów i argumentów przedstawionych przez Agencję, w tym całkowicie zignorował fakt powierzenia przetwarzania danych Agencji na mocy dwóch, zawartych z Ministerstwem Rozwoju Regionalnego umów.

Podniosła także, że treść wyników kontroli w sprawach o sygn. [...] oraz [...] nie została zakomunikowana P. w postaci pisma Generalnego Inspektora Ochrony Danych Osobowych ani w postaci adnotacji (notatki służbowej) załączonej do akt niniejszego postępowania.

P. wskazała również, że kwestia uzupełnienia obowiązku informacyjnego, o którym mowa w art. 24 ust. 1 ustawy, będąca przedmiotem decyzji z dnia [...] grudnia 2007 r. i utrzymującej ją w mocy decyzji z dnia [...] kwietnia 2008 r. została już wcześniej rozstrzygnięta decyzją z dnia [...] listopada 2007 r. oraz decyzją z dnia [...] marca 2008 r. umarzającą postępowanie odwoławcze.

W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych powtórzył argumenty zawarte w zaskarżonej decyzji i wniósł o jej oddalenie. Organ pokreślił, że w ramach oceny zebranego w toku postępowania materiału dowodowego w świetle powołanych w uzasadnieniach obydwu decyzji przepisów administratorem danych w rozpoznawanej sprawie jest P. i jako instytucja wdrażająca udziela wsparcia finansowego na realizację projektów z zakresu Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004 - 2006. Inspektor zaznaczył, że w ramach prowadzonej działalności Agencja zawiera z beneficjentami umowy o dofinansowanie projektów, które są umowami powierzenia przetwarzania danych osobowych (art. 31 ust. 1 ustawy o ochronie danych osobowych), co tym samym oznacza, że Agencja zawiera je działając jako administrator danych osób biorących udział w projektach.

W odniesieniu do zarzutów sformułowanych wobec prowadzonego postępowania dowodowego stwierdził, że wbrew twierdzeniom skarżącej, wziął pod uwagę jej stanowisko i przedstawione przez nią dowody, lecz po rozpatrzeniu całości zgromadzonego materiału dowodowego uznał, że o statusie P. jako administratora danych osobowych zadecydował brak dostępu Ministerstwa Rozwoju Regionalnego do przedmiotowych danych oraz zarejestrowanie przez Generalnego Inspektora zbioru danych beneficjentów ostatecznych przetwarzanych przez Agencję.

Ponadto organ wskazał, że materiał dowodowy, który był podstawą wydania decyzji z dnia [...] kwietnia 2008 r. nr [...] został zgromadzony w oparciu o czynności kontrolne dokonane w B. Sp. z o.o. nr [...]. P., jako administrator danych, została poinformowana o prawie czynnego udziału w każdym stadium postępowania a przed wydaniem decyzji wypowiedzenia się co do zebranych dowodów i materiałów oraz zgłoszonych żądań. P. skorzystała również z prawa przeglądania akt sprawy i sporządzenia z nich notatek stosownie do treści art. 73 § 1 kpa.

W replice na powyższą odpowiedź Agencja powtórzyła argumenty zamieszczone w skardze i wskazała, że fakt zawierania przez Agencję (instytucję wdrażającą) umów z innymi podmiotami (beneficjentami) nie przesądza o tym, że powierzając na ich podstawie przetwarzanie danych występuje jako administrator tych danych, bowiem w świetle regulacji art. 31 ustawy dopuszczalne jest dokonanie dalszego powierzenia przetwarzania danych, a o tym czy powierzający jest administratorem danych ostatecznie decyduje fakt, w czyim imieniu przetwarzane są dane osobowe, a w tej konkretnej sprawie dane te są przetwarzane w imieniu Ministerstwa Rozwoju Regionalnego na mocy wcześniej zawartych z nim umów.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.) sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. Sąd, stosownie do art. 134 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), zwanej dalej p.p.s.a., rozstrzyga w granicach danej sprawy nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną.

Analizując niniejszą sprawę pod tym kątem Sąd stwierdził, że skarga zasługuje na uwzględnienie.

Przystępując do oceny zgodności z prawem wydanych w sprawie decyzji administracyjnych trzeba podkreślić, że istota sporu i zarazem podstawowy zarzut skargi sprowadza się do sposobu interpretacji pojęcia administrator danych w rozumieniu art. 7 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), zwanej dalej ustawą o ochronie danych, w sytuacji gdy dane osobowe są przetwarzane przez co najmniej dwa podmioty z sektora publicznego, a cele i środki przetwarzania tych danych wynikają z powszechnie obowiązujących przepisów prawa.

Stosownie do treści art. 7 pkt 4 w zw. z art. 3 ustawy o ochronie danych administratorem danych jest organ, jednostka organizacyjna, podmiot lub osoba (państwowa lub samorządowa) decydujące o celach i środkach przetwarzania danych osobowych.

W odniesieniu do podmiotów publicznych trudność w ustaleniu, kto jest administratorem danych wynika z tej podstawowej przyczyny, że w ich przypadku o celach i środkach przetwarzania danych osobowych decyduje zazwyczaj ustawodawca, stanowiąc przepisy prawa (por. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona Danych Osobowych, Komentarz, Wyd. 4., Kraków 2007, str. 375). Oczywistym jest, że nie jest możliwym przyznanie statusu administratora danych ustawodawcy tylko dlatego, że tworząc określone przepisy ujął on cele i środki przetwarzania danych w sposób ogólny. Zważywszy natomiast na fakt, że organy i podmioty władzy publicznej działają na podstawie i w granicach określonych przepisami prawa (art. 7 Konstytucji Rzeczypospolitej Polskiej), a stosując prawo dokonują konkretyzacji norm o charakterze ogólnym i abstrakcyjnym, to mniej lub bardziej ogólnie wyznaczony w przepisach prawa cel będzie podlegał konkretyzacji. Tym samym administratorem danych będzie ten podmiot, który decydując o celu przetwarzania danych będzie konkretyzował jego zakres, aby odpowiadał on potrzebom bardziej szczegółowo określonego zadania publicznego (por. R. Hauser "Przetwarzanie danych osobowych: cel i środki", Rzeczpospolita z dnia 6 kwietnia 1999 r., cyt. za J. Barta, P. Fajgielski, R. Markiewicz, tamże).

W rozpatrywanej sprawie cele i środki przetwarzania danych osobowych zostały określone przez ustawodawcę w ustawie z dnia 20 kwietnia 2004 r. o Narodowym Planie Rozwoju (Dz. U. Nr 116, poz. 1206 ze zm.) oraz w wydanym na jej podstawie rozporządzeniu Ministra Gospodarki i Pracy z dnia 1 lipca 2004 r. w sprawie przyjęcia Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004 – 2006 (Dz. U. Nr 166, poz. 1743 ze zm.) i załączniku do tego rozporządzenia. Wymienione przepisy normują także sytuację prawną podmiotów realizujących ten program i określają zakres przypisanych im kompetencji, przy czym w stosunku do P (zwanej dalej Agencją lub P.) powyższe regulacje uzupełniają przepisy ustawy z dnia 9 listopada 2000 r. o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości (t. j. Dz. U. z 2007 r. Nr 42, poz. 275 ze zm.).

Zgodnie z art. 1 ust. 2 ustawy o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości, Agencja jest państwową osobą prawną, a stosownie do treści art. 4 ust. 1a pkt 1 tej ustawy Agencja uczestniczy w realizacji programów operacyjnych, o których mowa w ustawie z dnia 20 kwietnia 2004 r. o Narodowym Planie Rozwoju oraz w ustawie z dnia 6 grudnia 2006 r. o zasadach prowadzenia polityki rozwoju, jako instytucja wdrażająca (instytucja pośrednicząca II stopnia) albo pośrednicząca, udzielająca pomocy finansowej beneficjentom określonym w art. 6b ust. 1. Definicję instytucji wdrażającej ustawodawca zamieścił w art. 2 pkt 4 ustawy o Narodowym Planie Rozwoju stanowiąc, że jest nią podmiot publiczny lub prywatny odpowiedzialny za realizację działania w ramach programu operacyjnego na podstawie umowy

z instytucją zarządzającą.

Z kolei, instytucją zarządzającą, zgodnie z art. 2 pkt 5 powołanej ustawy, jest właściwy minister odpowiedzialnego za przygotowanie i realizację programu operacyjnego albo za przygotowanie i nadzorowanie realizacji strategii wykorzystania Funduszu Spójności, o których mowa w rozporządzeniu Rady (WE) nr 1260/1999 z dnia 21 czerwca 1999 r. ustanawiającym przepisy ogólne w sprawie funduszy strukturalnych (Dz. Urz. WE L 161 z 26.06.1999, L 198 z 21.07.2001 oraz L 158 z 27.06.2003; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 14, t. 1, str. 31) oraz w rozporządzeniu Rady (WE) nr 1164/1994 z dnia 16 maja 1994 r. ustanawiającym Fundusz Spójności (Dz. Urz. WE L 130 z 25.05.1994, L 161 z 26.06.1999; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 14, t. 1, str. 9). Początkowo ministrem tym był Minister Gospodarki i Pracy (por. rozdział V załącznika do rozporządzenia Ministra Gospodarki i Pracy z dnia 1 lipca 2004 r.), a obecnie jest, jako jego następca prawny, Minister Rozwoju Regionalnego, co wynika z rozporządzenia Rady Ministrów z dnia 31 października 2005 r. w sprawie utworzenia Ministerstwa Rozwoju Regionalnego (Dz. U. Nr 220, poz. 1882).

Relacje pomiędzy instytucją zarządzającą a wdrażającą, poza wymienioną w art. 2 pkt 4 umową, regulują także jednostronne działania samej instytucji zarządzającej. Mianowicie, jak stanowi art. 18 ust. 1 ustawy o Narodowym Planie Rozwoju, za przygotowanie i realizację programów albo za przygotowanie i nadzór nad realizacją strategii wykorzystania Funduszu Spójności, a w szczególności za wydawanie wytycznych dotyczących wdrażania programów i strategii wykorzystania Funduszu Spójności, o których mowa w art. 8 ust. 1 (m.in. sektorowych programów operacyjnych), skierowanych do podmiotów uczestniczących w realizacji danego programu, są odpowiedzialne właściwe instytucje zarządzające.

W oparciu o rozporządzenie Ministra Gospodarki i Pracy, podrozdział 5.4 załącznika, utworzono System Informatyczny Monitoringu i Kontroli Finansowej Funduszy Strukturalnych i Funduszy Spójności, a w przypadku SPO RZL 2004-2006 ustalono, że na system monitorowania składać się będą dwa tworzące ze sobą komplementarną i spójną całość systemy informatyczne zbierania, przetwarzania i elektronicznego przetwarzania danych: SIMIK oraz Podsystem Monitorowania EFS oraz wskazano, że dane do systemu będą wprowadzane na bieżąco i bez opóźnienia przez instytucje wdrażające, natomiast oświadczenia i raporty dotyczące postępów w realizacji zadań, zweryfikowane przez instytucję zarządzającą i Komitet Monitorujący zostaną wprowadzone zgodnie z ustawą o Narodowym Planie Rozwoju, a nadto zastrzeżono, że to instytucja zarządzająca gwarantuje dobrą jakość danych.

Z akt administracyjnych wynika, że instytucja zarządzająca – Minister Gospodarki i Pracy, a następnie Minister Rozwoju Regionalnego zawarła z instytucją wdrażającą – P. dwie umowy w przedmiocie finansowania działania 2.3 w ramach Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich: w dniu 26 lipca 2004 r. oraz w dniu 20 kwietnia 2006 r. Na mocy § 19 pierwszej z umów strony postanowiły, że instytucja wdrażająca zobowiązuje się do wprowadzania do Podsystemu danych przekazywanych przez beneficjentów na formularzu "Dane o beneficjentach ostatecznych" a także, że instytucja wdrażająca zobowiązana jest do aktualizacji informacji w bazach danych składających się na Podsystem oraz tworzenia kopii zapasowych informacji przechowywanych w bazach danych zgodnie z przepisami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Na podstawie drugiej z umów – § 20 i 21 – instytucja wdrażająca przyjęła odpowiedzialność za zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych zgromadzonych w ramach zarządzania i wdrażania działania oraz zobowiązała się do wprowadzania danych na temat realizowanych projektów z aplikacji DaneBO do "PEFS", a także zobowiązała się do aktualizacji informacji w bazie danych "PEFS" i rejestrowania bazy danych zgodnie z ustawą o ochronie danych osobowych.

Ponadto w aktach sprawy znajdują się dokumenty świadczące o tym, że instytucja zarządzająca przekazywała Agencji (instytucji wdrażającej) pisemne instrukcje w zakresie obsługi systemu "PEFS" (k. 591, 595, 597, 604 akt administracyjnych) załączając do nich (także w formie elektronicznej) przeznaczone do stosowania wzory formularzy, które szczegółowo określały zakres przetwarzanych danych osobowych, łącznie z danymi sensytywnymi (v. k. 582-588, k. 598-602 akt administracyjnych).

W konsekwencji, w ocenie Sądu, P. przetwarzając dane osobowe beneficjentów ostatecznych nie działała jako administrator danych osobowych, lecz jako przetwarzający te dane w ramach umowy zawartej z administratorem danych, o której mowa w art. 31 ustawy o ochronie danych osobowych.

Świadczą o tym bowiem szczegółowe postanowienia dwóch ww., a zawartych na piśmie umów.

Ponadto, w ocenie Sądu, to Minister Gospodarki i Pracy, a potem Minister Rozwoju Regionalnego zawierając powyższe umowy występował jako administrator danych. Wynika to z następujących faktów.

Po pierwsze, to Minister jako instytucja zarządzająca konkretyzował cele i środki przetwarzania danych osobowych beneficjentów ostatecznych, będąc odpowiedzialnym tak za przygotowanie sektorowego programu operacyjnego, jak i jego realizację (art. 17, 18 i następne ustawy o Narodowym Planie Rozwoju oraz przepisy rozporządzenia Ministra Gospodarki i Pracy z dnia 1 lipca 2004 r. w sprawie przyjęcia Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004 – 2006).

Po drugie, na co wskazuje zgromadzony w toku postępowania materiał dowodowy, Minister korzystał z przewidzianych w art. 18 ustawy o Narodowym Planie Rozwoju kompetencji i realizując Program wydawał P. wytyczne. Należy wskazać, że przepis art. 18 stanowi także podstawę do wydawania wytycznych dotyczących przetwarzania danych w Podsystemie EFS, który w świetle rozporządzenia Ministra Gospodarki i Pracy jest koniecznym elementem dla wdrożenia całego Programu Sektorowego. Działając na tej podstawie Minister Gospodarki i Pracy przekazał wszystkim instytucjom wdrażającym tenże Podsystem, a następnie określił zasady i zakres przetwarzania danych osobowych w systemie informatycznym "PEFS" i nadał im formę "Instrukcji wprowadzania danych o beneficjentach ostatecznych do PEFS" wraz z kwestionariuszami (k. 582-590 akt administracyjnych).

Z analizy tego dokumentu wynika, że to właśnie w oparciu o ten dokument został skonkretyzowany zakres przetwarzania danych osobowych w systemie "PEFS" o beneficjentach ostatecznych. Z dokumentu tego wynika, że mają być zbierane takie dane osobowe jak: imię i nazwisko, adres zamieszkania, dane kontaktowe, nr PESEL, NIP, a także dane sensytywne jak na przykład kategoria społeczna, pochodzenie, stwierdzony stopień niepełnosprawności, czy okres pobierania zasiłku dla bezrobotnych. Z pozostałych dokumentów wynika natomiast, że w ten sposób skonkretyzowany zakres przetwarzania danych osobowych był dalej doprecyzowany przez Ministra Rozwoju Regionalnego, który jako następca prawny Ministra Gospodarki i Pracy stał się administratorem danych.

Zdaniem Sądu, oznacza to, że P. przetwarzając dane osobowe beneficjentów ostatecznych czyniła to, w oparciu o umowy zawarte z administratorem danych, a przetwarzanie to nie miało charakteru samodzielnego; Agencja ani nie decydowała o celach i środkach przetwarzania danych ani nie konkretyzowała zakresu ich przetwarzania.

Zgodnie z treścią art. 24 ust. 1 pkt 3 ustawy o ochronie danych w przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o prawie dostępu do treści swoich danych oraz ich poprawiania.

Mając na uwadze treść powyższego przepisu oraz biorąc pod uwagę powyższe rozważania należy stwierdzić, że adresatem decyzji nakazującej usunięcie uchybienia w procesie przetwarzania danych osobowych poprzez dopełnienia obowiązku informacyjnego w zakresie prawa dostępu do treści swoich danych oraz ich poprawiania w stosunku do uczestników szkoleń, których dane osobowe są pozyskiwane w związku z realizacją projektu pt. "Doskonalenie wiedzy i umiejętności pracowników bankowości spółdzielczej" powinien być Minister Rozwoju Regionalnego, jako administrator tych danych.

Konsekwencją bowiem przeprowadzenia rozgraniczenia między "administratorem danych" a "przetwarzającym dane na zlecenie", na gruncie powołanej ustawy o ochronie danych, jest zwolnienie tego ostatniego podmiotu od wszelkich obowiązków informacyjnych (art. 24 i 25 ustawy o ochronie danych osobowych). Obowiązek taki po stronie przetwarzającego dane na zlecenie może mieć źródło jedynie w umowie z administratorem (por. J. Barta ..., tamże, str. 561).

Należy zauważyć, że w umowach w przedmiocie finansowania Działania 2.3 w ramach Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich zawartych między Ministrem Rozwoju Regionalnego a P. w dniu 26 lipca 2004 r. oraz w dniu 20 kwietnia 2006 r. znajdują się zapisy zobowiązujące P. do dokonywania działań związanych z realizacją przez zainteresowane osoby uprawnień wynikających z obowiązku nałożonego na administratora danych w art. 24 ust. 1 pkt ustawy o ochronie danych osobowych. Z treści § 20 ust 4 umowy z dnia 20 kwietnia 2006 r. wynika bowiem, że Instytucja Wdrażająca jest odpowiedzialna w szczególności, w zakresie swoich zadań, za m. in. zmienianie i usuwanie danych zgromadzonych w ramach zarządzania i wdrażania Działania 2.3 SPO RZL 2004-2006. Instytucja Wdrażająca jest również zobowiązana do aktualizacji informacji w bazie danych PEFS (§ 21 ust. 1 umowy). Analogiczne zapisy zawarte są również w umowie z dnia 26 lipca 2004 r. (§ 18 ust 4 oraz § 19 ust 3 tej umowy).

W tej sytuacji P., występująca w sprawie jako przetwarzający dane osobowe na podstawie umowy, winna mieć zapewniony czynny udział w postępowaniu, stosownie do treści art. 10 kpa w zw. z art. 22 ustawy o ochronie danych.

Reasumując stwierdzić należy, że w niniejszej sprawie organ nie dopełnił obowiązku przewidzianego w art. 10 kpa i nie zapewnił Ministrowi Rozwoju Regionalnego udziału na żadnym etapie postępowania. Tym samym w postępowaniu wystąpiło naruszenie prawa dające podstawę do jego wznowienia (art. 145 § 1 pkt 4 kpa).

To zaś, w ocenie Sądu, skutkuje koniecznością uchylenia zaskarżonej decyzji i decyzji ją poprzedzającej bez potrzeby badania, czy naruszenie to miało wpływ na wynik sprawy. Dodać też należy, iż zgodnie z poglądem Sądem Najwyższego (por. wyrok z dnia 4 grudnia 2002 r., III RN 200/01, OSNPUS 2003, nr 24, poz. 582) dla obligatoryjnego uchylenia zaskarżonej decyzji nie ma znaczenia, że zgodnie z art. 147 kpa, wznowienie postępowania z przyczyny określonej w art. 145 § 1 pkt 4 kpa następuje tylko na żądanie strony.

Biorąc powyższe pod uwagę Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit. "b" ustawy - Prawo o postępowaniu przed sądami administracyjnymi w zw. z art. 145 § 1 pkt 4 kpa, orzekł jak w pkt 1 sentencji. Rozstrzygnięcie zawarte w pkt 2 wyroku uzasadnione jest treścią art. 152 powołanej ustawy. O kosztach postępowania, w pkt 3 wyroku, orzeczono na podstawie art. 200, art. 209 i art. 205 § 2 ww. ustawy.



Powered by SoftProdukt