drukuj    zapisz    Powrót do listy

647 Sprawy związane z ochroną danych osobowych, Ochrona danych osobowych, Generalny Inspektor Ochrony Danych Osobowych, Uchylono decyzję I i II instancji, II SA/Wa 734/08 - Wyrok WSA w Warszawie z 2008-08-19, Centralna Baza Orzeczeń Naczelnego (NSA) i Wojewódzkich (WSA) Sądów Administracyjnych, Orzecznictwo NSA i WSA

II SA/Wa 734/08 - Wyrok WSA w Warszawie

Data orzeczenia
2008-08-19 orzeczenie nieprawomocne
Data wpływu
2008-05-26
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Anna Mierzejewska
Bronisław Szydło /przewodniczący sprawozdawca/
Ewa Kwiecińska
Symbol z opisem
647 Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
I OSK 1378/08 - Wyrok NSA z 2009-09-08
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono decyzję I i II instancji
Powołane przepisy
Dz.U. 1997 nr 133 poz 883 art. 7 pkt 4
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Dz.U. 2007 nr 42 poz 275 art. 4 ust. 1a pkt 1
Ustawa z dnia 9 listopada 2000 r. o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości - tekst jednolity
Dz.U. 2004 nr 116 poz 1206 art. 18 ust. 1
Ustawa z dnia 20 kwietnia 2004 r. o Narodowym Planie Rozwoju
Sentencja

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Bronisław Szydło (spr.), Sędziowie WSA Ewa Kwiecińska, Anna Mierzejewska, Protokolant Łukasz Bazyluk, po rozpoznaniu na rozprawie w dniu 19 sierpnia 2008 r. sprawy ze skargi P. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] kwietnia 2008 r. nr [...] w przedmiocie ochrony danych osobowych 1. uchyla zaskarżoną decyzję oraz poprzedzającą z dnia [...] listopada 2007 2. zaskarżona decyzja nie podlega wykonaniu 3. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz P. kwotę [...] zł ([...]) tytułem zwrotu kosztów postępowania

Uzasadnienie

W dniach 26 lutego – 1 marca 2007 r. Inspektorzy, upoważnieni przez Generalnego Inspektora Ochrony Danych Osobowych, przeprowadzili kontrolę w B. Sp. z o.o. z siedzibą w P., zwanej dalej także Spółką, w celu ustalenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, tj. ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) oraz rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024).

W toku kontroli ustalono, że Spółka pozyskuje dane osób biorących udział w projektach realizowanych w ramach Sektorowego Programu Operacyjnego Rozwoju Zasobów Ludzkich 2004 – 2006, zwanego dalej także SPO RZL 2004-2006, na podstawie umowy z dnia 3 października 2005 r. oraz umowy z dnia 3 kwietnia 2006 r. zawartej z P., z siedzibą w W. przy ul. [...], zwaną dalej również Agencją lub P. Umowy te dotyczą doskonalenia wiedzy i umiejętności pracowników sektora bankowości spółdzielczej oraz doskonalenia umiejętności kadr audytu wewnętrznego w bankach spółdzielczych. Wskazane wyżej umowy stanowią umowę powierzenia przetwarzania danych osobowych, w świetle art. 31 ust. 1 przywołanej ustawy. Stąd też administratorem danych osób biorących udział w projektach realizowanych w ramach SPO RZL 2004-2006 jest P., a Spółka podmiotem, o którym mowa w art. 31 ust. 1 powołanej ustawy, tj. podmiotem, któremu administrator danych powierzył przetwarzanie danych ww. osób.

Ponadto w oparciu o zgromadzony w toku kontroli materiał dowodowy ustalono, że w procesie przetwarzania danych osobowych naruszone zostały przepisy o ochronie danych osobowych. Uchybienia te polegały na:

– nieprowadzeniu pełnej ewidencji osób upoważnionych do przetwarzania danych osobowych – ewidencja prowadzona w tym zakresie przez Spółkę nie zawiera informacji o dacie nadania i ustania upoważnienia do przetwarzania danych osobowych oraz identyfikatora osoby przetwarzającej dane w systemie informatycznym (art. 39 ust. 1 powołanej ustawy),

– niezapewnieniu, aby system informatyczny o nazwie "PEFS" (służący do przetwarzania danych osobowych beneficjentów ostatecznych) umożliwiał dla każdej osoby, której dane są przetwarzane w tym systemie, odnotowanie daty pierwszego wprowadzenia danych do systemu § 7 ust. 1 pkt 1 powołanego rozporządzenia),

– niezapewnieniu, aby system informatyczny o nazwie "PEFS" umożliwiał dla każdej osoby, której dane są przetwarzane w tym systemie, sporządzenia i wydrukowania raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w § 7 ust. 1 powołanego rozporządzenia (§ 7 ust. 3 powołanego rozporządzenia).

W związku z powyższym, w dniu [...] października 2007 r. Generalny Inspektor Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne w niniejszej sprawie w celu wyjaśnienia okoliczności sprawy (nr [...]).

W piśmie z dnia [...] października 2007 r. informującym o wszczęciu postępowania w niniejszej sprawie Generalny Inspektor Ochrony Danych Osobowych wskazał, że stosownie do treści art. 31 ust. 1 powołanej ustawy podmiot, któremu administrator powierzył przetwarzanie danych osobowych, obowiązany jest przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36 - 39 powołanej ustawy, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a cyt. ustawy. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych. Natomiast zgodnie z art. 31 ust. 4 powołanej ustawy, w przypadkach, o których mowa w ust. 1-3 odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.

Organ wyjaśnił również, że biorąc pod uwagę treść powołanych wyżej przepisów ustawy, uznać należy, że stroną postępowania administracyjnego w zakresie opisanych wyżej uchybień jest zarówno P., jako administrator danych osób biorących udział w projektach realizowanych w ramach SPO RZL 2004-2006, jak i Spółka, jako podmiot, któremu powierzono na podstawie umów przetwarzanie danych ww. osób.

Postępowanie to Generalny Inspektor Ochrony Danych Osobowych zakończył wydaniem w dniu [...] listopada 2007 r. decyzji nr [...], nakazującej B. Sp. z o.o. z siedzibą w P., jako podmiotowi, któremu na mocy zawartych z P. umów z dnia 3 października 2005 r. oraz z dnia 3 kwietnia 2006 r. powierzone zostało przetwarzanie danych osób biorących udział w projektach realizowanych w ramach SPO RZL 2004-2006, usunięcie uchybień w procesie przetwarzania danych osobowych poprzez:

1. zapewnienie, aby system informatyczny PEFS (plik MS Excel o nazwie "Dane BO wersja 2-1.xls"), służący do przetwarzania danych "Beneficjentów Ostatecznych" umożliwiał odnotowanie daty pierwszego wprowadzenia danych do systemu. W terminie 3 miesięcy od dnia, w którym niniejsza decyzja stanie się ostateczna,

2. zapewnienie, aby system "PEFS" zapewniał, dla każdej osoby, której dane osobowe są przetwarzane w ww. systemie, sporządzenie i wydrukowanie raportu zawierającego w powszechnej formie informacje, o których mowa w § 7 ust. 1 powołanego rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

W pkt 3 decyzji organ wskazał zaś, że w pozostałym zakresie postępowanie zostaje umorzone. Uzasadniając tę część rozstrzygnięcia Generalny Inspektor Ochrony Danych Osobowych wskazał, że z pisemnych wyjaśnień pełnomocnika Spółki oraz przedstawionych dowodów wynika, że pozostałe uchybienia stanowiące przedmiot postępowania zostały usunięte, tj. uzupełniono ewidencję osób upoważnionych do przetwarzania danych osobowych, stosownie do treści art. 39 ust. 1 ustawy.

Decyzja ta stała się następnie przedmiotem wniosku o ponowne rozpatrzenie sprawy z dnia 4 grudnia 2007 r. złożonego przez P. oraz z dnia 10 grudnia 2007 r. złożonego przez B. Sp. z o.o.

W złożonym przez siebie wniosku P. podniosła, że nieprawidłowym jest uznanie jej za administratora danych beneficjentów ostatecznych przetwarzanych w związku z realizacją działania 2.3 Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004 - 2006.

Na poparcie tak zajętego stanowiska P. wyjaśniła, że Sektorowy Program Operacyjny Rozwój Zasobów Ludzkich 2004 – 2006 realizowany jest w ramach struktury, w której występuje szereg podmiotów. Struktura ta składa się z instytucji zarządzającej, instytucji pośredniczącej oraz instytucji wdrażających, a także regionalnych instytucji finansujących. W ramach wspomnianego programu rolę instytucji zarządzającej oraz instytucji pośredniczącej pełni Ministerstwo Rozwoju Regionalnego - Departament Zarządzania Europejskim Funduszem Społecznym. Toteż P. jest jedynie jedną z szeregu instytucji wdrażających Sektorowy Program Operacyjny Rozwój Zasobów Ludzkich 2004-2006. Rolę powyższą potwierdza treść art. 4 ust. 1a pkt 1 ustawy z dnia 9 listopada 2000 r. o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości (t.j. Dz. U. z 2007 r., Nr 42, poz. 275).

Wskazanie podmiotu będącego administratorem danych przetwarzanych na potrzeby SPO RZL 2004-2006, w tym danych osobowych beneficjentów ostatecznych, nie może odbyć się z pominięciem przepisów ustawy z dnia 20 kwietnia 2004 r. o Narodowym Planie Rozwoju (Dz. U. Nr 116, poz. 1206 ze zm.). Przepisy tej ustawy wskazują w jakich celach mogą być przetwarzane dane osobowe w ramach realizowanych programów. W sytuacji takiej za administratora danych należy uznać podmiot, który decydując o celu przetwarzania danych będzie jedynie konkretyzował jego zakres, tak aby odpowiadał on potrzebom bardziej szczegółowo określonego zadania publicznego.

Zdaniem P. administratorem danych w tym przypadku jest Ministerstwo Rozwoju Regionalnego, jako Instytucja Zarządzająca projektem. Ministerstwo posiada bowiem kompetencje do wydawania innym podmiotom uczestniczącym w realizacji Programu wiążących poleceń dotyczących m. in. zakresu przetwarzania danych osobowych. Ministerstwo jako Instytucja Zarządzająca wskazało system "PEFS" jako system informatyczny przeznaczony do obsługi Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004 – 2006 oraz przekazało wraz z bibliotekami binarnymi PEFS przeznaczonymi do instalacji w zasobach użytkownika, pliki przeznaczone do aplikacji MS Excel, za pomocą których Ostateczni Odbiorcy mieli przekazywać do Instytucji Wdrażających dane wprowadzane przez te instytucje do systemu PEFS. W dalszej części wniosku P. wskazała, że z informacji zamieszczonych w informacjach o narzędziach informatycznych obsługujących Europejski Fundusz Społeczny P. jest jedynie użytkownikiem systemu PEFS a nie jego administratorem.

Agencja podniosła również, że w myśl przepisów powołanej ustawy o Narodowym Planie Rozwoju (art. 18, 18a oraz 19 ustawy) instytucja zarządzająca, w tym przypadku Ministerstwo Rozwoju Regionalnego, odpowiedzialna jest za przygotowanie i realizację programu, a w szczególności za wydawanie wytycznych dotyczących wdrażania programów skierowanych do podmiotów uczestniczących w realizacji danego programu. Ponadto Instytucja Zarządzająca może przekazać w drodze porozumienia zarządzanie, monitorowanie i kontrolę poszczególnych priorytetów operacyjnych, działań lub projektów instytucjom pośredniczącym. Porozumienie to może przewidywać możliwość przekazania elementów zarządzania innym instytucjom określonym w planie (instytucjom wdrażającym), przy czym w przypadku przekazania przez Instytucję Zarządzającą kompetencji, Instytucja Zarządzająca ponosi pełną odpowiedzialność za skuteczność i prawidłowość zarządzania programem.

P. podała również, że w ramach realizacji SPO RZL 2004-2006 związana jest z Ministerstwem Rozwoju Regionalnego dwiema umowami finansowania Działania 2.3 w ramach Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004-2006, powierzającymi Agencji wdrażanie Działania 2.3 ww. Programu. Wskazuje przy tym, że kontrola realizacji Programu Operacyjnego Rozwój Zasobów Ludzkich 2004-2006, przez Ministerstwo Rozwoju Regionalnego zapewnione jest m. in. przez weryfikację i zatwierdzanie procedur instytucji wdrażającej w tym procedur dotyczących obsługi przekazanego Agencji do użytkowania systemu "PEFS".

Wyjaśnienia w tym zakresie P. uzupełniła następnie w piśmie z dnia 24 stycznia 2008 r. złożonym do sprawy, w którym powołała się na postanowienia umów finansowania działania 2.3 w ramach Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004-2006, powierzających P. wdrożenie działania 2.3 ww. Programu, z tym zastrzeżeniem, że Agencja w toku realizacji Programu zobowiązana jest kierować się wytycznymi instytucji zarządzającej oraz przygotowanymi przez nią formularzami (§ 8 ust. 1 umowy z dnia 26 lipca 2004 r.).

Decyzją z dnia [...] marca 2008 r. nr [...] Generalny Inspektor Ochrony Danych Osobowych wobec wycofania przez B. Sp. z o.o. wniosku o ponowne rozpatrzenie sprawy zakończonej decyzją Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2007 r. nr [...], umorzył postępowanie odwoławcze. Decyzja ta jest przedmiotem skargi wniesionej do Wojewódzkiego Sądu Administracyjnego w Warszawie przez P. w sprawie o sygn. akt II SA/Wa 605/08.

Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] kwietnia 2008 r. nr [...], po rozpatrzeniu wniosku P. o ponowne rozpatrzenie sprawy, utrzymał w mocy swoją poprzednią decyzję.

Na wstępie uzasadnienia ww. decyzji organ przytoczył treść art. 7 pkt 4 ustawy o ochronie danych osobowych, w myśl którego ilekroć w ustawie jest mowa o administratorze danych - rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych oraz powołał art. 31 ust. 1 i ust. 2 tej ustawy, zgodnie z którym administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych, a podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.

Dalej Generalny Inspektor Danych Osobowych wskazał, że wg ustaleń, których dokonał w trakcie postępowania administracyjnego dane osobowe pozyskiwane przez B. Sp. z o.o., w związku z wykonywaniem przez nią projektów są przekazywane do P. Dane przekazywane są wyłącznie w wersji elektronicznej (płyty CD lub dyskietki). Otrzymane dane P. wprowadza do systemu o nazwie "PEFS" (Podsystem Monitorowania Europejskiego Funduszu Społecznego). Dane osobowe z ww. systemu nie są przekazywane przez P. do Ministerstwa Rozwoju Regionalnego, jako instytucji zarządzającej. P. wdrażając SPO RZL 2004 - 2006, prowadzi odrębny zbiór danych dotyczących uczestników projektów w systemie o nazwie "PEFS". Do danych przetwarzanych w systemie "PEFS", które są przechowywane w P. nie ma dostępu Minister Rozwoju Regionalnego.

Stwierdził, że Instytucja wdrażająca, tj. P., zgodnie z treścią rozdziału 5.2.3 załącznika do rozporządzenia Ministra Gospodarki i Pracy z dnia 1 lipca 2004 r. w sprawie przyjęcia Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004-2006 (Dz. U. Nr 166, poz. 1743 ze zm.), pozostaje odpowiedzialna za: formalną kontrolę zgodności wniosków składanych przez potencjalnych odbiorców pomocy, wybór projektów przeznaczonych do realizacji w ramach SPO RZL 2004 - 2006, podpisywanie umów z beneficjentami na podstawie decyzji instytucji zarządzającej lub upoważnienia wynikającego z umowy finansowania działania zawartej pomiędzy instytucją zarządzającą a instytucją wdrażającą. Stosownie do treści rozdziału 5.4 załącznika do ww. rozporządzenia w sprawie przyjęcia SPO RZL 2004 - 2006, w celu monitorowania i rzetelnej oceny projektów oraz transferu danych został utworzony System Informatyczny Monitoringu i Kontroli Finansowej (SIMIK). Uzupełnieniem tego systemu informatycznego jest podsystem informatyczny PEFS (system informatyczny o nazwie "PEFS", służący do przetwarzania danych osobowych beneficjentów ostatecznych w celu prowadzenia, monitorowania i ewaluacji projektów realizowanych w ramach SPO RZL), za którego wdrożenie i sprawne funkcjonowanie odpowiedzialne jest Ministerstwo Rozwoju Regionalnego. Natomiast za wprowadzenie danych do ww. podsystemu odpowiedzialny jest P. P. jest głównym użytkownikiem tego systemu.

Organ zaznaczył przy tym, że P. dokonała zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbiorów danych dotyczących beneficjentów ostatecznych i zbiory te zostały przez Generalnego Inspektora Ochrony Danych Osobowych zarejestrowane.

W konsekwencji oznacza, to, że administratorem danych osobowych beneficjentów ostatecznych przetwarzanych w związku z realizacją działania 2.3 SPO RZL 2004 - 2006 jest P., działająca w ramach Programu jako instytucja wdrażająca.

Na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] kwietnia 2008 r. nr [...] skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie wniosła P. Zaskarżonej decyzji zarzuciła naruszenie przepisów postępowania, tj. art. 156 ust. 1 pkt 2 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego i wydanie decyzji z rażącym naruszeniem prawa poprzez oparcie jej o fakty znane organowi z urzędu bez zakomunikowania ich adresatowi decyzji, a także oparcie decyzji o nie w pełni rozpatrzony materiał dowodowy oraz naruszenie prawa materialnego, a mianowicie art. 7 pkt 4 ustawy o ochronie danych osobowych poprzez uznanie, wbrew okolicznościom faktycznym utrwalonym w aktach administracyjnych, P. za administratora danych Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004-2006.

P. wniosła o uchylenie zaskarżonej decyzji oraz decyzji ją poprzedzającej oraz o zasądzenie na jej rzecz kosztów postępowania.

W uzasadnieniu skargi P. wskazała, że ustalenie podmiotu będącego administratorem danych może odbyć się wyłącznie przez odniesienie do treści art. 7 pkt 4 ustawy o ochronie danych osobowych, który jako warunek konieczny dla uznania podmiotów wymienionych w art. 3 za administratorów danych stawia wymóg decydowania przez nich o celach i środkach przetwarzania danych osobowych. W ocenie Agencji, organ wydając w sprawie rozstrzygnięcie odstąpił od analizy elementów wskazanych w art. 7 pkt 4 ustawy, a w miejsce tego przepisu zastosował inne przepisy prawa oraz zewnętrzne przejawy przetwarzania danych osobowych .

P. nie zgodziła się ze stanowiskiem GIODO, że przekazywanie danych osobowych do Agencji przez podmioty, które zawarły umowę dofinansowania oraz wprowadzanie danych do sytemu "PEFS" przez P. przesądza o statusie Agencji jako administratora tych danych. Zdaniem P., a wbrew stanowisku organu, nie jest ona administratorem danych, a jedynie przetwarza dane osobowe w oparciu o umowy wiążące ją z Ministerstwem Rozwoju Regionalnego - Departamentem Zarządzania Europejskim Funduszem Społecznym będącym instytucją zarządzającą wspomnianym projektem. Z kolei umowy te powierzają Agencji wdrażanie działania 2.3 Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004-2006, a zatem są to umowy, o których mowa w art. 31 ustawy o ochronie danych osobowych. W tej sytuacji P. (inny podmiot od administratora) przetwarza dane osobowe w ramach powierzenia określonego umową i nie ma tu znaczenia, podniesiona przez Generalnego Inspektora, okoliczność braku dostępu Ministerstwa Rozwoju Regionalnego (instytucji zarządzającej) do danych przetwarzanych w systemie "PEFS", ponieważ administrator danych powierzając przetwarzanie danych innemu podmiotowi w pełnym zakresie może nie mieć faktycznego dostępu do przetwarzanych w jego imieniu danych, ale nadal pozostaje ich administratorem spełniając przesłanki z art. 7 pkt 4 ustawy. Ponadto, jak dodała Agencja, nawet w sytuacji powierzenia danych szereg obowiązków w dalszym ciągu obciąża administratora (art. 24 ust. 1, art. 25 ust. 1, czy art. 40), a fakt powierzenia danych nie pozbawia administratora możliwości powierzenia tych samych danych jeszcze innemu podmiotowi.

Skarżąca podniosła też, że określenie administratora danych w sektorze publicznym musi opierać się o analizę właściwych przepisów prawa regulujących ustrój

i działanie danego podmiotu. Stąd też w niniejszej sprawie nie można pominąć przepisów powołanej ustawy o Narodowym Planie Rozwoju. Przepisy tej ustawy wskazują w jakich celach mogą być przetwarzane dane osobowe w ramach realizowanych programów. W tej sytuacji za administratora danych należy uznać podmiot, który decydując o celu przetwarzania danych będzie jedynie konkretyzował jego zakres, tak aby odpowiadał on potrzebom bardziej szczegółowo określonego zadania publicznego. Stąd też za administratora danych przetwarzanych w systemie PEFS należy uznać Instytucję Zarządzającą programem, ponieważ to ona skonkretyzowała cel i zakres przetwarzania danych.

Skarżąca wskazuje ponadto, iż niezależnie od faktu zawarcia przez P. i Instytucję Zarządzającą – Ministerstwo Rozwoju Regionalnego Departament Zarządzania Europejskim Funduszem Społecznym – umów powierzających Agencji wdrażanie Działania 2.3 Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004-2006, pozycja P. jako przetwarzającego została uregulowana powszechnie obowiązującymi przepisami prawa. W szczególności wskazać należy na przepisy powołanej ustawy o Narodowym Planie Rozwoju, a zwłaszcza jej art. 19 i następne stanowiące, że działania objęte SPO RZL 2004–2006, mogą być realizowane przez instytucje wdrażające ustanawiane dla poszczególnych działań, a szczegółowe zadania instytucji wdrażających, zasady i warunki realizacji działań oraz uprawnienia i obowiązki stron określa umowa zawarta z instytucją zarządzającą programem lub instytucją pośredniczącą. Stosownie natomiast do treści art. 19 ust. 4 powołanej ustawy o Narodowy Planie Rozwoju w przypadku przekazania przez instytucję zarządzającą kompetencji do zarządzania, monitorowania i kontroli poszczególnych priorytetów operacyjnych, działań lub projektów, instytucja zarządzająca ponosi pełną odpowiedzialność za skuteczność i prawidłowość zarządzania programem. Stąd też odpowiedzialność za realizację programu, w tym za prawidłowe przetwarzanie danych osobowych, pozostaje nadal przy Instytucji Zarządzającej. Charakter działań P. określa zaś art. 4 ust. 1a pkt 1 ustawy z dnia 9 listopada 2000 r. o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości (Dz. U. z 2007 r. Nr 42, poz. 275), w myśl którego P. uczestniczy w realizacji programów operacyjnych, o których mowa w ustawie o Narodowym Planie Rozwoju jako instytucja udzielająca pomocy finansowej określonym grupom beneficjentów.

W ocenie skarżącej, Generalny Inspektor Danych Osobowych nie wziął pod uwagę powyższych okoliczności, a w wydanych decyzjach nie powołał się na żadne dowody w zakresie ustalenia podmiotu będącego administratorem danych ani nie wypowiedział się co do trafności dowodów i argumentów przedstawionych przez Agencję, w tym całkowicie zignorował fakt powierzenia przetwarzania danych Agencji na mocy dwóch, zawartych z Ministerstwem Rozwoju Regionalnego umów.

Podniosła także, że treść wyników kontroli w sprawach o sygn. [...] oraz [...] nie została zakomunikowana P. w postaci pisma Generalnego Inspektora Ochrony Danych Osobowych ani w postaci adnotacji (notatki służbowej) załączonej do akt niniejszego postępowania.

Ponadto skarżąca wskazała, że kwestia uznania Agencji za administratora danych przetwarzanych na potrzeby SPO RZL 2004–2006 została rozstrzygnięta już decyzją Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] marca 2008 r. umarzającą postępowanie odwoławcze i w tym zakresie utrzymującą w mocy decyzję z dnia [...] listopada 2007 r. Tym samym zaskarżona decyzja z dnia [...] kwietnia 2008 r. dotyczy spraw rozstrzygniętych już inną decyzją ostateczną co stanowi podstawę do stwierdzenia nieważności w trybie art. 156 ust. 1 pkt 3 kpa.

W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych powtórzył argumenty zawarte w zaskarżonej decyzji i wniósł o jej oddalenie. Organ pokreślił, że w ramach oceny zebranego w toku postępowania materiału dowodowego w świetle powołanych w uzasadnieniach obydwu decyzji przepisów administratorem danych w rozpoznawanej sprawie jest P. i jako instytucja wdrażająca udziela wsparcia finansowego na realizację projektów z zakresu Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004-2006. B. Sp. z o. o jest natomiast podmiotem, o którym mowa w art. 31 ust. 1 powołanej ustawy o ochronie danych osobowych.

W odniesieniu do zarzutów sformułowanych wobec prowadzonego postępowania dowodowego stwierdził że, wbrew twierdzeniom skarżącej, wziął pod uwagę jej stanowisko i przedstawione przez nią dowody, lecz po rozpatrzeniu całości zgromadzonego materiału dowodowego uznał, że o statusie P. jako administratora danych osobowych zadecydował brak dostępu Ministerstwa Rozwoju Regionalnego do przedmiotowych danych oraz zarejestrowanie przez Generalnego Inspektora zbioru danych beneficjentów ostatecznych przetwarzanych przez Agencję.

Organ wyjaśnił ponadto, że decyzją z dnia [...] marca 2008 r. nr [...] została rozstrzygnięta kwestia dotycząca cofnięcia przez B. Sp. z o.o. wniosku o ponowne rozpatrzenie sprawy zakończonej decyzją Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2007 r. nr [...].

Ponadto organ wskazał, że materiał dowodowy, który był podstawą wydania decyzji z dnia [...] kwietnia 2008 r. nr [...] został zgromadzony w oparciu o czynności kontrolne dokonane w B. Sp. z o.o. nr [...]. P. jako administrator danych została poinformowana o prawie czynnego udziału w każdym stadium postępowania a przed wydaniem decyzji wypowiedzenia się co do zebranych dowodów i materiałów oraz zgłoszonych żądań. P. skorzystała również z prawa przeglądania akt sprawy i sporządzenia z nich notatek stosownie do treści art. 73 § 1 kpa.

W replice na powyższą odpowiedź Agencja powtórzyła argumenty zamieszczone w skardze i wskazała, że analiza § 17 umowy z dnia 3 października 2005 r. oraz § 17 umowy z dnia 3 kwietnia 2006 r., na których organ oparł swoje stanowisko w zakresie uznania P. za administratora danych przetwarzanych na potrzeby Działania 2.3 SPO RZL 2004–2006 dowodzi, że P. powierzając przetwarzanie danych osobowych B. Sp. z o.o. zawarła wskazane wyżej umowy jako przetwarzający a nie administrator danych. Wskazuje bowiem na to zapis "zleca Ostatecznemu Odbiorcy (beneficjentowi) [tj. B. Sp. z o.o.] przetwarzanie danych osobowych w zakresie określonym przez Instytucję Zarządzającą".

Podniosła również, powołując się na treść pisma Dyrektora Departamentu Zarządzania Europejskim Funduszem Społecznym Ministerstwa Rozwoju Regionalnego, tj. Instytucji Zarządzającej, z dnia [...] marca 2006 r. (znak pisma: [...]), że Instytucja Zarządzająca, wbrew twierdzeniom organu posiada dostęp do danych osobowych przetwarzanych w systemie "PEFS". Zdaniem skarżącej świadczy o tym zapis "wprowadzanie danych dla schematu b [Działania 2.3 SPO RZL 2004 – 2006] na potrzeby PEFS wyłącznie na poziomie instytucjonalnego beneficjenta ostatecznego wyklucza możliwość objęcia uczestników projektów ankietowaniem kwartalnym, prowadzonym przez Instytucję Zarządzającą".

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.) sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. Sąd, stosownie do art. 134 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), zwanej dalej p.p.s.a., rozstrzyga w granicach danej sprawy nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną.

Analizując niniejszą sprawę pod tym kątem Sąd stwierdził, że skarga zasługuje na uwzględnienie.

Przystępując do oceny zgodności z prawem wydanych w sprawie decyzji administracyjnych trzeba podkreślić, że istota sporu i zarazem podstawowy zarzut skargi sprowadza się do sposobu interpretacji pojęcia administrator danych w rozumieniu art. 7 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), zwanej dalej ustawą o ochronie danych, w sytuacji gdy dane osobowe są przetwarzane przez co najmniej dwa podmioty z sektora publicznego, a cele i środki przetwarzania tych danych wynikają z powszechnie obowiązujących przepisów prawa.

Stosownie do treści art. 7 pkt 4 w zw. z art. 3 ustawy o ochronie danych administratorem danych jest organ, jednostka organizacyjna, podmiot lub osoba (państwowa lub samorządowa) decydujące o celach i środkach przetwarzania danych osobowych.

W odniesieniu do podmiotów publicznych trudność w ustaleniu, kto jest administratorem danych wynika z tej podstawowej przyczyny, że w ich przypadku o celach i środkach przetwarzania danych osobowych decyduje zazwyczaj ustawodawca, stanowiąc przepisy prawa (por. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona Danych Osobowych, Komentarz, Wyd. 4., Kraków 2007, str. 375). Oczywistym jest, że nie jest możliwym przyznanie statusu administratora danych ustawodawcy tylko dlatego, że tworząc określone przepisy ujął on cele i środki przetwarzania danych w sposób ogólny. Zważywszy natomiast na fakt, że organy i podmioty władzy publicznej działają na podstawie i w granicach określonych przepisami prawa (art. 7 Konstytucji Rzeczypospolitej Polskiej), a stosując prawo dokonują konkretyzacji norm o charakterze ogólnym i abstrakcyjnym, to mniej lub bardziej ogólnie wyznaczony w przepisach prawa cel będzie podlegał konkretyzacji. Tym samym administratorem danych będzie ten podmiot, który decydując o celu przetwarzania danych będzie konkretyzował jego zakres, aby odpowiadał on potrzebom bardziej szczegółowo określonego zadania publicznego (por. R. Hauser "Przetwarzanie danych osobowych: cel i środki", Rzeczpospolita z dnia 6 kwietnia 1999 r., cyt. za J. Barta, P. Fajgielski, R. Markiewicz, tamże).

W rozpatrywanej sprawie cele i środki przetwarzania danych osobowych zostały określone przez ustawodawcę w ustawie z dnia 20 kwietnia 2004 r. o Narodowym Planie Rozwoju (Dz. U. Nr 116, poz. 1206 ze zm.) oraz w wydanym na jej podstawie rozporządzeniu Ministra Gospodarki i Pracy z dnia 1 lipca 2004 r. w sprawie przyjęcia Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004 – 2006 (Dz. U. Nr 166, poz. 1743 ze zm.) i załączniku do tego rozporządzenia. Wymienione przepisy normują także sytuację prawną podmiotów realizujących ten program i określają zakres przypisanych im kompetencji, przy czym w stosunku do P. (zwanej dalej Agencją lub P.) powyższe regulacje uzupełniają przepisy ustawy z dnia 9 listopada 2000 r. o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości (t.j. Dz. U. z 2007 r. Nr 42, poz. 275 ze zm.).

Zgodnie z art. 1 ust. 2 ustawy o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości, Agencja jest państwową osobą prawną, a stosownie do treści art. 4 ust. 1a pkt 1 tej ustawy Agencja uczestniczy w realizacji programów operacyjnych, o których mowa w ustawie z dnia 20 kwietnia 2004 r. o Narodowym Planie Rozwoju oraz w ustawie z dnia 6 grudnia 2006 r. o zasadach prowadzenia polityki rozwoju, jako instytucja wdrażająca (instytucja pośrednicząca II stopnia) albo pośrednicząca, udzielająca pomocy finansowej beneficjentom określonym w art. 6b ust. 1. Definicję instytucji wdrażającej ustawodawca zamieścił w art. 2 pkt 4 ustawy o Narodowym Planie Rozwoju stanowiąc, że jest nią podmiot publiczny lub prywatny odpowiedzialny za realizację działania w ramach programu operacyjnego na podstawie umowy z instytucją zarządzającą.

Z kolei, instytucją zarządzającą, zgodnie z art. 2 pkt 5 powołanej ustawy, jest właściwy minister odpowiedzialnego za przygotowanie i realizację programu operacyjnego albo za przygotowanie i nadzorowanie realizacji strategii wykorzystania Funduszu Spójności, o których mowa w rozporządzeniu Rady (WE) nr 1260/1999 z dnia 21 czerwca 1999 r. ustanawiającym przepisy ogólne w sprawie funduszy strukturalnych (Dz. Urz. WE L 161 z 26.06.1999, L 198 z 21.07.2001 oraz L 158 z 27.06.2003; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 14, t. 1, str. 31) oraz w rozporządzeniu Rady (WE) nr 1164/1994 z dnia 16 maja 1994 r. ustanawiającym Fundusz Spójności (Dz. Urz. WE L 130 z 25.05.1994, L 161 z 26.06.1999; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 14, t. 1, str. 9). Początkowo ministrem tym był Minister Gospodarki i Pracy (por. rozdział V załącznika do rozporządzenia Ministra Gospodarki i Pracy z dnia 1 lipca 2004 r.), a obecnie jest, jako jego następca prawny, Minister Rozwoju Regionalnego, co wynika z rozporządzenia Rady Ministrów z dnia 31 października 2005 r. w sprawie utworzenia Ministerstwa Rozwoju Regionalnego (Dz. U. Nr 220, poz. 1882).

Relacje pomiędzy instytucją zarządzającą a wdrażającą, poza wymienioną w art. 2 pkt 4 umową, regulują także jednostronne działania samej instytucji zarządzającej. Mianowicie, jak stanowi art. 18 ust. 1 ustawy o Narodowym Planie Rozwoju, za przygotowanie i realizację programów albo za przygotowanie i nadzór nad realizacją strategii wykorzystania Funduszu Spójności, a w szczególności za wydawanie wytycznych dotyczących wdrażania programów i strategii wykorzystania Funduszu Spójności, o których mowa w art. 8 ust. 1 (m.in. sektorowych programów operacyjnych), skierowanych do podmiotów uczestniczących w realizacji danego programu, są odpowiedzialne właściwe instytucje zarządzające.

W oparciu o rozporządzenie Ministra Gospodarki i Pracy, podrozdział 5.4 załącznika, utworzono System Informatyczny Monitoringu i Kontroli Finansowej Funduszy Strukturalnych i Funduszy Spójności, a w przypadku SPO RZL 2004-2006 ustalono, że na system monitorowania składać się będą dwa tworzące ze sobą komplementarną i spójną całość systemy informatyczne zbierania, przetwarzania i elektronicznego przetwarzania danych: SIMIK oraz Podsystem Monitorowania EFS oraz wskazano, że dane do systemu będą wprowadzane na bieżąco i bez opóźnienia przez instytucje wdrażające, natomiast oświadczenia i raporty dotyczące postępów w realizacji zadań, zweryfikowane przez instytucję zarządzającą i Komitet Monitorujący zostaną wprowadzone zgodnie z ustawą o Narodowym Planie Rozwoju, a nadto zastrzeżono, że to instytucja zarządzająca gwarantuje dobrą jakość danych.

Z akt administracyjnych wynika, że instytucja zarządzająca – Minister Gospodarki i Pracy, a następnie Minister Rozwoju Regionalnego zawarła z instytucją wdrażającą – P. dwie umowy w przedmiocie finansowania działania 2.3 w ramach Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich: w dniu 26 lipca 2004 r. oraz w dniu 20 kwietnia 2006 r. Na mocy § 19 pierwszej z umów strony postanowiły, że instytucja wdrażająca zobowiązuje się do wprowadzania do Podsystemu danych przekazywanych przez beneficjentów na formularzu "Dane o beneficjentach ostatecznych" a także, że instytucja wdrażająca zobowiązana jest do aktualizacji informacji w bazach danych składających się na Podsystem oraz tworzenia kopii zapasowych informacji przechowywanych w bazach danych zgodnie z przepisami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Na podstawie drugiej z umów - § 20 i 21- instytucja wdrażająca przyjęła odpowiedzialność za zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych zgromadzonych w ramach zarządzania i wdrażania działania oraz zobowiązała się do wprowadzania danych na temat realizowanych projektów z aplikacji DaneBO do "PEFS", a także zobowiązała się do aktualizacji informacji w bazie danych "PEFS" i rejestrowania bazy danych zgodnie z ustawą o ochronie danych osobowych.

Ponadto w aktach sprawy znajdują się dokumenty świadczące o tym, że instytucja zarządzająca przekazywała Agencji (instytucji wdrażającej) pisemne instrukcje w zakresie obsługi systemu "PEFS" (k. 435, 439, 441, 448 akt administracyjnych) załączając do nich (także w formie elektronicznej) przeznaczone do stosowania wzory formularzy, które szczegółowo określały zakres przetwarzanych danych osobowych, łącznie z danymi sensytywnymi (v. k. 426-432, k. 442-446 akt administracyjnych).

W konsekwencji, w ocenie Sądu, P. przetwarzając dane osobowe beneficjentów ostatecznych nie działała jako administrator danych osobowych, lecz jako przetwarzający te dane w ramach umowy zawartej z administratorem danych, o której mowa w art. 31 ustawy o ochronie danych osobowych.

Świadczą o tym bowiem szczegółowe postanowienia dwóch ww., a zawartych na piśmie umów.

Ponadto, w ocenie Sądu, to Minister Gospodarki i Pracy, a potem Minister Rozwoju Regionalnego zawierając powyższe umowy występował jako administrator danych. Wynika to z następujących faktów.

Po pierwsze, to Minister jako instytucja zarządzająca konkretyzował cele i środki przetwarzania danych osobowych beneficjentów ostatecznych, będąc odpowiedzialnym tak za przygotowanie sektorowego programu operacyjnego, jak i jego realizację (art. 17, 18 i następne ustawy o Narodowym Planie Rozwoju oraz przepisy rozporządzenia Ministra Gospodarki i Pracy z dnia 1 lipca 2004 r. w sprawie przyjęcia Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004 – 2006).

Po drugie, na co wskazuje zgromadzony w toku postępowania materiał dowodowy, Minister korzystał z przewidzianych w art. 18 ustawy o Narodowym Planie Rozwoju kompetencji i realizując Program wydawał P. wytyczne. Należy wskazać, że przepis art. 18 stanowi także podstawę do wydawania wytycznych dotyczących przetwarzania danych w Podsystemie EFS, który w świetle rozporządzenia Ministra Gospodarki i Pracy jest koniecznym elementem dla wdrożenia całego Programu Sektorowego. Działając na tej podstawie Minister Gospodarki i Pracy przekazał wszystkim instytucjom wdrażającym tenże Podsystem, a następnie określił zasady i zakres przetwarzania danych osobowych w systemie informatycznym "PEFS" i nadał im formę "Instrukcji wprowadzania danych o beneficjentach ostatecznych do PEFS" wraz z kwestionariuszami (k. 426-434 akt administracyjnych).

Z analizy tego dokumentu wynika, że to właśnie w oparciu o ten dokument został skonkretyzowany zakres przetwarzania danych osobowych w systemie "PEFS" o beneficjentach ostatecznych. Z dokumentu tego wynika, że mają być zbierane takie dane osobowe jak: imię i nazwisko, adres zamieszkania, dane kontaktowe, nr PESEL, NIP, a także dane sensytywne jak na przykład kategoria społeczna, pochodzenie, stwierdzony stopień niepełnosprawności, czy okres pobierania zasiłku dla bezrobotnych. Z pozostałych dokumentów wynika natomiast, że w ten sposób skonkretyzowany zakres przetwarzania danych osobowych był dalej doprecyzowany przez Ministra Rozwoju Regionalnego, który jako następca prawny Ministra Gospodarki i Pracy stał się administratorem danych.

Zdaniem Sądu, oznacza to, że P. przetwarzając dane osobowe beneficjentów ostatecznych czyniła to, w oparciu o umowy zawarte z administratorem danych, a przetwarzanie to nie miało charakteru samodzielnego; Agencja ani nie decydowała o celach i środkach przetwarzania danych ani nie konkretyzowała zakresu ich przetwarzania.

Przetwarzanie danych osobowych przez B. Sp. z o.o. następowało zaś na podstawie umowy z dnia 3 października 2005 r. oraz umowy z dnia 3 kwietnia 2006 r. zawartej z P. Nastąpiło tu więc dalsze powierzenie przetwarzania danych osobowych.

B. Sp. z o.o. przetwarzając dane osobowe jako podmiot, o którym mowa w art. 31 ust. 1 ustawy o ochronie danych, miał obowiązek spełnić wymagania określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (art. 31 ust. 3 ustawy) i podlegał w tym zakresie kontroli Generalnego Inspektora Ochrony Danych Osobowych (art. 31 ust. 5 ustawy).

Odesłanie zawarte w art. 31 ust. 5 ustawy nakazujące "odpowiednie" stosowanie przepisów oznacza, że w postępowaniu kontrolnym, a zwłaszcza przy wydawaniu decyzji, powinna być uwzględniona specyfika przetwarzania danych na podstawie umowy. Natomiast przy ustalaniu adresata decyzji należałoby przyjąć, iż te decyzje Generalnego Inspektora, które odnoszą się do uchybień w zakresie określonym w art. 36-39 i przepisach wykonawczych określonych w art. 39a powinny być z reguły skierowane do podmiotu przetwarzającego dane (por. J. Barta..., tamże, str. 567-568).

Adresatem decyzji Generalnego Inspektora Ochrony Danych Osobowych nakazującej przywrócenie stanu zgodnego z prawem mógł być zatem B. Sp. z o.o. występujący w sprawie jako przetwarzający dane osobowe na podstawie umowy. Możliwość taką przewiduje zresztą wprost ustawa o ochronie danych w art. 18 w zw. z art. 31 ust. 3 i 5.

Czym innym jest jednak właściwe ustalenie adresata decyzji, a czym innym jest zapewnienie stronie czynnego udziału w postępowaniu administracyjnym, do którego organ zobligowany jest na mocy art. 10 kpa w zw. z art. 22 ustawy o ochronie danych. Jak wynika z akt postępowania organ nie dopełnił tego obowiązku i nie zapewnił Ministrowi Rozwoju Regionalnego udziału na żadnym etapie postępowania, choć niewątpliwie administrator danych osobowych był stroną tego postępowania.

W rezultacie administrator danych nie mógł występować w postępowaniu w obronie własnego interesu prawnego dotyczącego ciążącej na nim odpowiedzialności w sytuacji umownego powierzenia przetwarzania danych innemu podmiotowi (art. 31 ust. 4 ustawy o ochronie danych), a tym samym w postępowaniu wystąpiło naruszenie prawa dające podstawę do jego wznowienia (art. 145 § 1 pkt 4 kpa).

To zaś, w ocenie Sądu, skutkuje koniecznością uchylenia zaskarżonej decyzji i decyzji ją poprzedzającej bez potrzeby badania, czy naruszenie to miało wpływ na wynik sprawy. Dodać też należy, iż zgodnie z poglądem Sądem Najwyższego (por. wyrok z dnia 4 grudnia 2002 r., III RN 200/01, OSNPUS 2003, nr 24, poz. 582) dla obligatoryjnego uchylenia zaskarżonej decyzji nie ma znaczenia, że zgodnie z art. 147 kpa, wznowienie postępowania z przyczyny określonej w art. 145 § 1 pkt 4 kpa następuje tylko na żądanie strony.

Biorąc powyższe pod uwagę Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit. "b" ustawy - Prawo o postępowaniu przed sądami administracyjnymi w zw. z art. 145 § 1 pkt 4 kpa, orzekł jak w pkt 1 sentencji. Rozstrzygnięcie zawarte w pkt 2 wyroku uzasadnione jest treścią art. 152 powołanej ustawy. O kosztach postępowania, w pkt 3 wyroku, orzeczono na podstawie art. 200, art. 209 i art. 205 § 2 ww. ustawy.



Powered by SoftProdukt