drukuj    zapisz    Powrót do listy

647 Sprawy związane z ochroną danych osobowych, Ochrona danych osobowych, Generalny Inspektor Ochrony Danych Osobowych, Uchylono decyzję I i II instancji, II SA/Wa 605/08 - Wyrok WSA w Warszawie z 2008-08-19, Centralna Baza Orzeczeń Naczelnego (NSA) i Wojewódzkich (WSA) Sądów Administracyjnych, Orzecznictwo NSA i WSA

II SA/Wa 605/08 - Wyrok WSA w Warszawie

Data orzeczenia
2008-08-19 orzeczenie nieprawomocne
Data wpływu
2008-04-29
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Anna Mierzejewska
Bronisław Szydło /przewodniczący sprawozdawca/
Ewa Kwiecińska
Symbol z opisem
647 Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
I OSK 1377/08 - Wyrok NSA z 2009-09-08
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono decyzję I i II instancji
Powołane przepisy
Dz.U. 1997 nr 133 poz 883 art. 7 pkt 4
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Dz.U. 2007 nr 42 poz 275 art. 4 ust. 1
Ustawa z dnia 9 listopada 2000 r. o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości - tekst jednolity
Dz.U. 2004 nr 116 poz 1206 art. 18 ust. 1
Ustawa z dnia 20 kwietnia 2004 r. o Narodowym Planie Rozwoju
Sentencja

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Bronisław Szydło (spr.) Sędziowie WSA Ewa Kwiecińska Anna Mierzejewska Protokolant Łukasz Bazyluk po rozpoznaniu na rozprawie w dniu 19 sierpnia 2008 r. sprawy ze skargi P. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] marca 2008 r. nr [...] w przedmiocie ochrony danych osobowych 1) uchyla zaskarżoną decyzję oraz poprzedzającą ją decyzję z dnia [...] listopada 2007 r., 2) zaskarżona decyzja nie podlega wykonaniu w całości, 3) zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz P. kwotę [...] zł ([...]) tytułem zwrotu kosztów postępowania.

Uzasadnienie

W dniach 26 lutego – 1 marca 2007 r. Inspektorzy, upoważnieni przez Generalnego Inspektora Ochrony Danych Osobowych, przeprowadzili kontrolę w B. Sp. z o.o. z siedzibą w P., zwanej dalej także Spółką, w celu ustalenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, tj. ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) oraz rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024).

W toku kontroli ustalono, że Spółka pozyskuje dane osób biorących udział w projektach realizowanych w ramach Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004 – 2006, zwanego dalej także SPO RZL 2004-2006, na podstawie umowy z dnia 3 października 2005 r. oraz umowy z dnia 3 kwietnia 2006 r. zawartej z P., z siedzibą w W. przy ul. [...], zwaną dalej również Agencją lub P. Umowy te dotyczą doskonalenia wiedzy i umiejętności pracowników sektora bankowości spółdzielczej oraz doskonalenia umiejętności kadr audytu wewnętrznego w bankach spółdzielczych. Wskazane wyżej umowy stanowią umowę powierzenia przetwarzania danych osobowych, w świetle art. 31 ust. 1 przywołanej ustawy. Stąd też administratorem danych osób biorących udział w projektach realizowanych w ramach SPO RZL 2004-2006 jest P., a Spółka podmiotem, o którym mowa w art. 31 ust. 1 powołanej ustawy, tj. podmiotem, któremu administrator danych powierzył przetwarzanie danych ww. osób.

Ponadto w oparciu o zgromadzony w toku kontroli materiał dowodowy ustalono, że w procesie przetwarzania danych osobowych naruszone zostały przepisy o ochronie danych osobowych. Uchybienia te polegały na:

– nieprowadzeniu pełnej ewidencji osób upoważnionych do przetwarzania danych osobowych – ewidencja prowadzona w tym zakresie przez Spółkę nie zawiera informacji o dacie nadania i ustania upoważnienia do przetwarzania danych osobowych oraz identyfikatora osoby przetwarzającej dane w systemie informatycznym (art. 39 ust. 1 powołanej ustawy),

– niezapewnieniu, aby system informatyczny o nazwie "PEFS" (służący do przetwarzania danych osobowych beneficjentów ostatecznych) umożliwiał dla każdej osoby, której dane są przetwarzane w tym systemie, odnotowanie daty pierwszego wprowadzenia danych do systemu (§ 7 ust. 1 pkt 1 powołanego rozporządzenia),

– niezapewnieniu, aby system informatyczny o nazwie "PEFS" umożliwiał dla każdej osoby, której dane są przetwarzane w tym systemie, sporządzenia i wydrukowania raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w § 7 ust. 1 powołanego rozporządzenia (§ 7 ust. 3 powołanego rozporządzenia).

W związku z powyższym, w dniu [...] października 2007 r. Generalny Inspektor Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne w niniejszej sprawie w celu wyjaśnienia okoliczności sprawy (nr [...]).

W piśmie z dnia [...] października 2007 r. informującym o wszczęciu postępowania w niniejszej sprawie Generalny Inspektor Ochrony Danych Osobowych wskazał, że stosownie do treści art. 31 ust. 1 powołanej ustawy, podmiot, któremu administrator powierzył przetwarzanie danych osobowych, obowiązany jest przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36 - 39 powołanej ustawy, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a cyt. ustawy. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych. Natomiast zgodnie z art. 31 ust. 4 powołanej ustawy, w przypadkach, o których mowa w ust. 1-3 odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.

Organ wyjaśnił również, że biorąc pod uwagę treść powołanych wyżej przepisów ustawy, uznać należy, że stroną postępowania administracyjnego w zakresie opisanych wyżej uchybień jest zarówno P., jako administrator danych osób biorących udział w projektach realizowanych w ramach SPO RZL 2004-2006, jak i Spółka, jako podmiot, któremu powierzono na podstawie umów przetwarzanie danych ww. osób.

Postępowanie to Generalny Inspektor Ochrony Danych Osobowych zakończył wydaniem w dniu [...] listopada 2007 r. decyzji nr [...] nakazującej B. Sp. z o.o. z siedzibą w P., jako podmiotowi, któremu na mocy zawartych z P. umów z dnia 3 października 2005 r. oraz z dnia 3 kwietnia 2006 r. powierzone zostało przetwarzanie danych osób biorących udział w projektach realizowanych w ramach SPO RZL 2004-2006, usunięcie uchybień w procesie przetwarzania danych osobowych poprzez:

1. zapewnienie, aby system informatyczny PEFS (plik MS Excel o nazwie "Dane BO wersja 2-1.xls"), służący do przetwarzania danych "Beneficjentów Ostatecznych" umożliwiał odnotowanie daty pierwszego wprowadzenia danych do systemu, w terminie 3 miesięcy od dnia, w którym niniejsza decyzja stanie się ostateczna,

2. zapewnienie, aby system "PEFS" zapewniał, dla każdej osoby, której dane osobowe są przetwarzane w ww. systemie, sporządzenie i wydrukowanie raportu zawierającego w powszechnej formie informacje, o których mowa w § 7 ust. 1 powołanego rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, w terminie 3 miesięcy od dnia, w którym niniejsza decyzja stanie się ostateczna.

W pkt 3 decyzji organ wskazał zaś, że w pozostałym zakresie postępowanie zostaje umorzone. Uzasadniając tę część rozstrzygnięcia Generalny Inspektor Ochrony Danych Osobowych wskazał, że z pisemnych wyjaśnień pełnomocnika Spółki oraz przedstawionych dowodów wynika, że pozostałe uchybienia stanowiące przedmiot postępowania zostały usunięte, tj. uzupełniono ewidencję osób upoważnionych do przetwarzania danych osobowych, stosownie do treści art. 39 ust. 1 ustawy.

Decyzja ta stała się następnie przedmiotem wniosku o ponowne rozpatrzenie sprawy z dnia 4 grudnia 2007 r. złożonego przez P. oraz z dnia 10 grudnia 2007 r. złożonego przez B. Sp. z o.o.

W uzasadnieniu swojego wniosku o ponowne rozpatrzenie sprawy Spółka wniosła o uchylenie zaskarżonej decyzji i umorzenie postępowania w całości. W uzasadnieniu wniosku Spółka wyjaśniła, że realizuje projekty w ramach SPO RZL 2004-2006 poprzez organizację szkoleń. W tym celu Spółka zawarła w dniu 3 października 2005 r. oraz w dniu 3 kwietnia 2006 r. umowy z P. Jako podmiot realizujący projekty w ramach SPO RZL 2004-2006, a tym samym korzystający z pomocy finansowej w formie dotacji stanowiącej refundację poniesionych kosztów ze środków Europejskiego Funduszu Społecznego, Spółka obowiązana jest gromadzić dane uczestników szkoleń w Podsystemie Monitorowania Europejskiego Funduszu Społecznego i przesyłać P. kwartalny raport. W tej sytuacji Spółka nie posiada jakichkolwiek uprawnień do dokonywania zmian w Podsystemie, np. przez dodanie modułu umożliwiającego wprowadzenie odnotowania daty pierwszego wprowadzenia danych do systemu i generowanie raportu. Ponadto wyjaśniła, że zwróciła się do P. pismem z dnia 22 października 2007 r. o wprowadzenie zmian do systemu celem przyznania Spółce uprawnień do odnotowania w systemie informatycznym daty pierwszego wprowadzenia danych osobowych do systemu, jak również zapewnienia możliwości drukowania dla każdej osoby, której dane osobowe są przetwarzane w tym systemie, sporządzenia i wydrukowania raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w § 7 ust. 1 powołanego wyżej rozporządzenia.

Jak podaje Spółka, w odpowiedzi na powyższe pismo P. wskazała, że nie jest administratorem danych przetwarzanych w systemie informatycznym PEFS, a obowiązek stosowania tego systemu do obsługi projektów realizowanych w ramach SPO RZL 2004 -2006, jak również posługiwania się formularzami zawartymi w plikach "Dane BO wersja 2-1.xls", został nałożony na Agencję przez Ministerstwo Rozwoju Regionalnego. W związku z tym, zdaniem Agencji, instytucją upoważnioną do dokonywania zmian w systemie informatycznym "PEFS" oraz w formularzach aplikacji MS Excel wykorzystywanymi do obsługi tego systemu jest wyłącznie Ministerstwo Rozwoju Regionalnego – Departament Zarządzania Europejskim Funduszem Społecznym, do którego Agencja wystąpiła o dostosowanie funkcjonalności systemu "PEFS" do wymogów wynikających z przepisów regulujących warunki przetwarzania danych osobowych. Podała także, że z przedstawionych jej wyjaśnień Agencji wynika, że Ministerstwo Rozwoju Regionalnego, pełniące funkcję Instytucji Zarządzającej SPO – RZL 2004 -2006, podjęło właściwe działania zmierzające do wprowadzenia zmian w funkcjonowaniu zarówno bazy "PEFS", jak i formularzy celem dostosowania do zaleceń Generalnego Inspektora Ochrony Danych Osobowych.

Pismem z dnia 19 lutego 2008 r. skierowanym do Generalnego Inspektora Ochrony Danych Osobowych Spółka cofnęła złożony wcześniej wniosek o ponowne rozpatrzenie sprawy.

W piśmie tym poinformowała, że decyzja organu z dnia [...] listopada 2007 r. nr [...] została w całości wykonana przez Spółkę. Wyjaśniła, że pismem z dnia [...] stycznia 2008 r. sygn. [...] Ministerstwo Rozwoju Regionalnego Departament Zarządzania Europejskim Funduszem Społecznym poinformowało Spółkę, iż podjęło kroki zmierzające do spełnienia zaleceń pokontrolnych inspektorów GIODO poprzez zmianę funkcjonalności formularza "PEFS" (plik MS – Excel). W chwili obecnej przeprowadzane są testy aplikacji. Podała również, iż otrzymała nową wersję formularza "PEFS" uwzględniającego zalecenia pokontrolne inspektorów GIODO. Do pisma tego Spółka dołączyła wersję elektroniczną formularza systemu "PEFS" oraz uwierzytelnione kopie Instrukcji wypełniania formularza "PEFS" wersja 21.01.2008 oraz wydruku z formularza systemu "PEFS" danych beneficjenta ostatecznego.

Decyzją z dnia [...] marca 2008 r. nr [...] Generalny Inspektor Ochrony Danych Osobowych wobec wycofania przez B. Sp. z o.o. wniosku o ponowne rozpatrzenie sprawy zakończonej decyzją Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2007 r. nr [...] umorzył postępowanie odwoławcze.

W uzasadnieniu decyzji wskazał, że nie zaistniały jakiekolwiek przesłanki aby uznać, że cofnięcie wniosku prowadziłoby do utrzymania w mocy decyzji naruszającej prawo lub interes społeczny. Wobec powyższego organ uwzględnił cofnięcie wniosku w tej sprawie.

Decyzją z dnia [...] kwietnia 2008 r. nr [...] Generalny Inspektor Ochrony Danych Osobowych, po rozpatrzeniu wniosku P. o ponowne rozpatrzenie sprawy, utrzymał w mocy decyzję z dnia [...] listopada 2007 r. nr [...]. Decyzja ta jest przedmiotem skargi wniesionej do Wojewódzkiego Sądu Administracyjnego w Warszawie przez P. w sprawie o sygn. akt II SA/Wa 734/08.

Na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] marca 2008 r. nr [...] skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie wniosła P. Zaskarżonej decyzji zarzuciła naruszenie przepisów postępowania, tj. art. 156 ust. 1 pkt 2 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego i wydanie decyzji z rażącym naruszeniem prawa poprzez oparcie jej o fakty znane organowi z urzędu bez zakomunikowania ich adresatowi decyzji, oraz naruszenie prawa materialnego, a mianowicie art. 7 pkt 4 ustawy o ochronie danych osobowych poprzez uznanie, wbrew okolicznościom faktycznym utrwalonym w aktach administracyjnych, P. za administratora danych Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004-2006.

P. wniosła o uchylenie zaskarżonej decyzji oraz decyzji ją poprzedzającej oraz o zasądzenie na jej rzecz kosztów postępowania.

W uzasadnieniu skargi P. wskazała, że treść wyników kontroli w sprawach o sygn. [...] oraz [...] nie została zakomunikowana P. w postaci pisma Generalnego Inspektora Ochrony Danych Osobowych ani w postaci adnotacji (notatki służbowej) załączonej do akt niniejszego postępowania. Tym samym organ ochrony danych osobowych naruszył art. 77 § 4 kpa.

Skarżąca podniosła, że stosownie do treści art. 7 pkt 4 powołanej ustawy o ochronie danych osobowych administratorem danych w rozumieniu ustawy jest organ, jednostka organizacyjna, podmiot lub osoba wskazane w art. 3 ustawy decydujące o celach i środkach przetwarzania danych osobowych. W odniesieniu do sektora publicznego za administratora danych należy uznać podmiot, który decydując o celu przetwarzania danych będzie jedynie konkretyzował jego zakres, tak aby odpowiadał on potrzebom bardziej szczegółowo określonego zadania publicznego.

W dalszej części skargi Agencja wskazuje, że stosownie do przepisów ustawy z dnia 20 kwietnia 2004 r. o Narodowym Planie Rozwoju (Dz. U. Nr 116, poz. 1206 ze zm.), w tym w szczególności biorąc pod uwagę art. 19 i następne tej ustawy, działania objęte SPO RZL 2004-2006, mogą być realizowane przez instytucje wdrażające ustanawiane dla poszczególnych działań, a szczegółowe zadania instytucji wdrażających, o których mowa w ust. 1 i 2, zasady i warunki realizacji działań oraz uprawnienia i obowiązki stron określa umowa zawarta z instytucją zarządzającą programem lub instytucją pośredniczącą. Jednocześnie stosownie do treści art. 19 ust. 4 powołanej ustawy o Narodowym Planie Rozwoju w przypadku przekazania przez instytucję zarządzającą kompetencji do zarządzania, monitorowania i kontroli poszczególnych priorytetów operacyjnych, działań lub projektów, instytucja zarządzająca ponosi pełną odpowiedzialność za skuteczność i prawidłowość zarządzania programem. W ocenie Agencji, wynika z tego, że odpowiedzialność za realizację programu, w tym za prawidłowe przetwarzanie danych osobowych pozostaje nadal przy Instytucji Zarządzającej niezależnie od faktu wyznaczenia dla danego działania instytucji wdrażającej. Stąd też Instytucja Zarządzająca jest administratorem danych, a innym podmiotom występującym w ramach realizacji programu, takim jak Instytucje Wdrażające, przysługuje status podmiotów, którym powierzono przetwarzanie danych osobowych. P. wskazała ponadto, że stosownie do treści art. 4 ust. 1a pkt 1 ustawy z dnia 9 listopada 2000 r. o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości (Dz. U. z 2007 r. Nr 42, poz. 275), Agencja uczestniczy w realizacji programów operacyjnych, o których mowa w ustawie o Narodowym Planie Rozwoju jako instytucja udzielająca pomocy finansowej określonym grupom beneficjentów.

Agencja podniosła także, iż organ całkowicie pominął fakt, że Ministerstwo Rozwoju Regionalnego – Departament Zarządzania Europejskim Funduszem Społecznym, jako Instytucja Zarządzająca SPO RZL 2004-2006 powierzyło P. – Instytucji Wdrażającej – przetwarzanie danych osobowych w ramach Działania 2.3 "Rozwój kadr nowoczesnej gospodarki" SPO RZL 2004-2006 w drodze dwóch umów zawartych w dniach 26 lipca 2004 r. oraz 20 kwietnia 2006 r.

W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych powtórzył argumenty zawarte w zaskarżonej decyzji i wniósł o jej oddalenie. Organ wyjaśnił, że materiał dowodowy, który był podstawą wydania decyzji z dnia [...] marca 2008 r. nr [...] został zgromadzony w oparciu o czynności kontrolne dokonane w B. Sp. z o.o. nr [...]. P. jako administrator danych została poinformowana o prawie czynnego udziału w każdym stadium postępowania a przed wydaniem decyzji wypowiedzenia się co do zebranych dowodów i materiałów oraz zgłoszonych żądań. P. skorzystała również z prawa przeglądania akt sprawy i sporządzenia z nich notatek stosownie do treści art. 73 § 1 kpa.

W replice na powyższą odpowiedź Agencja powtórzyła argumenty zamieszczone w skardze i wskazała, że Generalny Inspektor Ochrony Danych Osobowych w swoich decyzjach nie wykazał na jakiej podstawie uznał P. za podmiot decydujący o celach i środkach przetwarzania danych osobowych na potrzeby SPO RZL 2004-2006, w szczególności nie wypowiedział się co do dowodów przekazanych przez P. wskazujących jednoznacznie na Instytucję Zarządzającą wspomnianym programem tj. Ministerstwo Rozwoju Regionalnego – Departament Zarządzania Europejskim Funduszem Społecznym, jako administratora danych. W toku postępowania zostały zignorowane dwie umowy zawarte pomiędzy Instytucją Zarządzającą a P. powierzające tej ostatniej realizację Działania 2.3 SPO RZL 2004-2006. Umowy te jasno wskazują, że P. przetwarza dane gromadzone w toku realizacji wspomnianego działania w imieniu Instytucji Zarządzającej.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.) sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. Sąd, stosownie do art. 134 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), zwanej dalej p.p.s.a., rozstrzyga w granicach danej sprawy nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną.

Analizując niniejszą sprawę pod tym kątem Sąd stwierdził, że skarga zasługuje na uwzględnienie.

Przystępując do oceny zgodności z prawem wydanych w sprawie decyzji administracyjnych trzeba podkreślić, że istota sporu i zarazem podstawowy zarzut skargi sprowadza się do sposobu interpretacji pojęcia administrator danych w rozumieniu art. 7 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), zwanej dalej ustawą o ochronie danych, w sytuacji gdy dane osobowe są przetwarzane przez co najmniej dwa podmioty z sektora publicznego, a cele i środki przetwarzania tych danych wynikają z powszechnie obowiązujących przepisów prawa.

Stosownie do treści art. 7 pkt 4 w zw. z art. 3 ustawy o ochronie danych administratorem danych jest organ, jednostka organizacyjna, podmiot lub osoba (państwowa lub samorządowa) decydujące o celach i środkach przetwarzania danych osobowych.

W odniesieniu do podmiotów publicznych trudność w ustaleniu, kto jest administratorem danych wynika z tej podstawowej przyczyny, że w ich przypadku o celach i środkach przetwarzania danych osobowych decyduje zazwyczaj ustawodawca, stanowiąc przepisy prawa (por. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona Danych Osobowych, Komentarz, Wyd. 4., Kraków 2007, str. 375). Oczywistym jest, że nie jest możliwym przyznanie statusu administratora danych ustawodawcy tylko dlatego, że tworząc określone przepisy ujął on cele i środki przetwarzania danych w sposób ogólny. Zważywszy natomiast na fakt, że organy i podmioty władzy publicznej działają na podstawie i w granicach określonych przepisami prawa (art. 7 Konstytucji Rzeczypospolitej Polskiej), a stosując prawo dokonują konkretyzacji norm o charakterze ogólnym i abstrakcyjnym, to mniej lub bardziej ogólnie wyznaczony w przepisach prawa cel będzie podlegał konkretyzacji. Tym samym administratorem danych będzie ten podmiot, który decydując o celu przetwarzania danych będzie konkretyzował jego zakres, aby odpowiadał on potrzebom bardziej szczegółowo określonego zadania publicznego (por. R. Hauser "Przetwarzanie danych osobowych: cel i środki", Rzeczpospolita z dnia 6 kwietnia 1999 r., cyt. za J. Barta, P. Fajgielski, R. Markiewicz, tamże).

W rozpatrywanej sprawie cele i środki przetwarzania danych osobowych zostały określone przez ustawodawcę w ustawie z dnia 20 kwietnia 2004 r. o Narodowym Planie Rozwoju (Dz. U. Nr 116, poz. 1206 ze zm.) oraz w wydanym na jej podstawie rozporządzeniu Ministra Gospodarki i Pracy z dnia 1 lipca 2004 r. w sprawie przyjęcia Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004 – 2006 (Dz. U. Nr 166, poz. 1743 ze zm.) i załączniku do tego rozporządzenia. Wymienione przepisy normują także sytuację prawną podmiotów realizujących ten program i określają zakres przypisanych im kompetencji, przy czym w stosunku do P. (zwanej dalej Agencją lub P.) powyższe regulacje uzupełniają przepisy ustawy z dnia 9 listopada 2000 r. o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości (t.j. Dz. U. z 2007 r. Nr 42, poz. 275 ze zm.).

Zgodnie z art. 1 ust. 2 ustawy o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości, Agencja jest państwową osobą prawną, a stosownie do treści art. 4 ust. 1a pkt 1 tej ustawy Agencja uczestniczy w realizacji programów operacyjnych, o których mowa w ustawie z dnia 20 kwietnia 2004 r. o Narodowym Planie Rozwoju oraz w ustawie z dnia 6 grudnia 2006 r. o zasadach prowadzenia polityki rozwoju, jako instytucja wdrażająca (instytucja pośrednicząca II stopnia) albo pośrednicząca, udzielająca pomocy finansowej beneficjentom określonym w art. 6b ust. 1. Definicję instytucji wdrażającej ustawodawca zamieścił w art. 2 pkt 4 ustawy o Narodowym Planie Rozwoju stanowiąc, że jest nią podmiot publiczny lub prywatny odpowiedzialny za realizację działania w ramach programu operacyjnego na podstawie umowy z instytucją zarządzającą.

Z kolei, instytucją zarządzającą, zgodnie z art. 2 pkt 5 powołanej ustawy, jest właściwy minister odpowiedzialnego za przygotowanie i realizację programu operacyjnego albo za przygotowanie i nadzorowanie realizacji strategii wykorzystania Funduszu Spójności, o których mowa w rozporządzeniu Rady (WE) nr 1260/1999 z dnia 21 czerwca 1999 r. ustanawiającym przepisy ogólne w sprawie funduszy strukturalnych (Dz. Urz. WE L 161 z 26.06.1999, L 198 z 21.07.2001 oraz L 158 z 27.06.2003; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 14, t. 1, str. 31) oraz w rozporządzeniu Rady (WE) nr 1164/1994 z dnia 16 maja 1994 r. ustanawiającym Fundusz Spójności (Dz. Urz. WE L 130 z 25.05.1994, L 161 z 26.06.1999; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 14, t. 1, str. 9). Początkowo ministrem tym był Minister Gospodarki i Pracy (por. rozdział V załącznika do rozporządzenia Ministra Gospodarki i Pracy z dnia 1 lipca 2004 r.), a obecnie jest, jako jego następca prawny, Minister Rozwoju Regionalnego, co wynika z rozporządzenia Rady Ministrów z dnia 31 października 2005 r. w sprawie utworzenia Ministerstwa Rozwoju Regionalnego (Dz. U. Nr 220, poz. 1882).

Relacje pomiędzy instytucją zarządzającą a wdrażającą, poza wymienioną w art. 2 pkt 4 umową, regulują także jednostronne działania samej instytucji zarządzającej. Mianowicie, jak stanowi art. 18 ust. 1 ustawy o Narodowym Planie Rozwoju, za przygotowanie i realizację programów albo za przygotowanie i nadzór nad realizacją strategii wykorzystania Funduszu Spójności, a w szczególności za wydawanie wytycznych dotyczących wdrażania programów i strategii wykorzystania Funduszu Spójności, o których mowa w art. 8 ust. 1 (m.in. sektorowych programów operacyjnych), skierowanych do podmiotów uczestniczących w realizacji danego programu, są odpowiedzialne właściwe instytucje zarządzające.

W oparciu o rozporządzenie Ministra Gospodarki i Pracy, podrozdział 5.4 załącznika, utworzono System Informatyczny Monitoringu i Kontroli Finansowej Funduszy Strukturalnych i Funduszy Spójności, a w przypadku SPO RZL 2004-2006 ustalono, że na system monitorowania składać się będą dwa tworzące ze sobą komplementarną i spójną całość systemy informatyczne zbierania, przetwarzania i elektronicznego przetwarzania danych: SIMIK oraz Podsystem Monitorowania EFS oraz wskazano, że dane do systemu będą wprowadzane na bieżąco i bez opóźnienia przez instytucje wdrażające, natomiast oświadczenia i raporty dotyczące postępów w realizacji zadań, zweryfikowane przez instytucję zarządzającą i Komitet Monitorujący zostaną wprowadzone zgodnie z ustawą o Narodowym Planie Rozwoju, a nadto zastrzeżono, że to instytucja zarządzająca gwarantuje dobrą jakość danych.

Z akt administracyjnych wynika, że instytucja zarządzająca – Minister Gospodarki i Pracy, a następnie Minister Rozwoju Regionalnego zawarła z instytucją wdrażającą – P. dwie umowy w przedmiocie finansowania działania 2.3 w ramach Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich: w dniu 26 lipca 2004 r. oraz w dniu 20 kwietnia 2006 r. Na mocy § 19 pierwszej z umów strony postanowiły, że instytucja wdrażająca zobowiązuje się do wprowadzania do Podsystemu danych przekazywanych przez beneficjentów na formularzu "Dane o beneficjentach ostatecznych" a także, że instytucja wdrażająca zobowiązana jest do aktualizacji informacji w bazach danych składających się na Podsystem oraz tworzenia kopii zapasowych informacji przechowywanych w bazach danych zgodnie z przepisami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Na podstawie drugiej z umów - § 20 i 21 - instytucja wdrażająca przyjęła odpowiedzialność za zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych zgromadzonych w ramach zarządzania i wdrażania działania oraz zobowiązała się do wprowadzania danych na temat realizowanych projektów z aplikacji DaneBO do "PEFS", a także zobowiązała się do aktualizacji informacji w bazie danych "PEFS" i rejestrowania bazy danych zgodnie z ustawą o ochronie danych osobowych.

Ponadto w aktach sprawy znajdują się dokumenty świadczące o tym, że instytucja zarządzająca przekazywała Agencji (instytucji wdrażającej) pisemne instrukcje w zakresie obsługi systemu "PEFS" (k. 435, 439, 441, 448 akt administracyjnych) załączając do nich (także w formie elektronicznej) przeznaczone do stosowania wzory formularzy, które szczegółowo określały zakres przetwarzanych danych osobowych, łącznie z danymi sensytywnymi (v. k. 426-432, k. 442-446 akt administracyjnych).

W konsekwencji, w ocenie Sądu, P. przetwarzając dane osobowe beneficjentów ostatecznych nie działała jako administrator danych osobowych, lecz jako przetwarzający te dane w ramach umowy zawartej z administratorem danych, o której mowa w art. 31 ustawy o ochronie danych osobowych.

Świadczą o tym bowiem szczegółowe postanowienia dwóch ww., a zawartych na piśmie umów.

Ponadto, w ocenie Sądu, to Minister Gospodarki i Pracy, a potem Minister Rozwoju Regionalnego zawierając powyższe umowy występował jako administrator danych. Wynika to z następujących faktów.

Po pierwsze, to Minister jako instytucja zarządzająca konkretyzował cele i środki przetwarzania danych osobowych beneficjentów ostatecznych, będąc odpowiedzialnym tak za przygotowanie sektorowego programu operacyjnego, jak i jego realizację (art. 17, 18 i następne ustawy o Narodowym Planie Rozwoju oraz przepisy rozporządzenia Ministra Gospodarki i Pracy z dnia 1 lipca 2004 r. w sprawie przyjęcia Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004-2006).

Po drugie, na co wskazuje zgromadzony w toku postępowania materiał dowodowy, Minister korzystał z przewidzianych w art. 18 ustawy o Narodowym Planie Rozwoju kompetencji i realizując Program wydawał P. wytyczne. Należy wskazać, że przepis art. 18 stanowi także podstawę do wydawania wytycznych dotyczących przetwarzania danych w Podsystemie EFS, który w świetle rozporządzenia Ministra Gospodarki i Pracy jest koniecznym elementem dla wdrożenia całego Programu Sektorowego. Działając na tej podstawie Minister Gospodarki i Pracy przekazał wszystkim instytucjom wdrażającym tenże Podsystem, a następnie określił zasady i zakres przetwarzania danych osobowych w systemie informatycznym "PEFS" i nadał im formę "Instrukcji wprowadzania danych o beneficjentach ostatecznych do PEFS" wraz z kwestionariuszami (k. 426-434 akt administracyjnych).

Z analizy tego dokumentu wynika, że to właśnie w oparciu o ten dokument został skonkretyzowany zakres przetwarzania danych osobowych w systemie "PEFS" o beneficjentach ostatecznych. Z dokumentu tego wynika, że mają być zbierane takie dane osobowe jak: imię i nazwisko, adres zamieszkania, dane kontaktowe, nr PESEL, NIP, a także dane sensytywne jak na przykład kategoria społeczna, pochodzenie, stwierdzony stopień niepełnosprawności, czy okres pobierania zasiłku dla bezrobotnych. Z pozostałych dokumentów wynika natomiast, że w ten sposób skonkretyzowany zakres przetwarzania danych osobowych był dalej doprecyzowany przez Ministra Rozwoju Regionalnego, który jako następca prawny Ministra Gospodarki i Pracy stał się administratorem danych.

Zdaniem Sądu, oznacza to, że P. przetwarzając dane osobowe beneficjentów ostatecznych czyniła to, w oparciu o umowy zawarte z administratorem danych, a przetwarzanie to nie miało charakteru samodzielnego; Agencja ani nie decydowała o celach i środkach przetwarzania danych ani nie konkretyzowała zakresu ich przetwarzania.

Przetwarzanie danych osobowych przez B. Sp. z o.o. następowało zaś na podstawie umowy z dnia 3 października 2005 r. oraz umowy z dnia 3 kwietnia 2006 r. zawartej z P. Nastąpiło tu więc dalsze powierzenie przetwarzania danych osobowych.

B. Sp. z o.o. przetwarzając dane osobowe jako podmiot, o którym mowa w art. 31 ust. 1 ustawy o ochronie danych, miał obowiązek spełnić wymagania określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (art. 31 ust. 3 ustawy) i podlegał w tym zakresie kontroli Generalnego Inspektora Ochrony Danych Osobowych (art. 31 ust. 5 ustawy).

Odesłanie zawarte w art. 31 ust. 5 ustawy nakazujące "odpowiednie" stosowanie przepisów oznacza, że w postępowaniu kontrolnym, a zwłaszcza przy wydawaniu decyzji, powinna być uwzględniona specyfika przetwarzania danych na podstawie umowy. Natomiast przy ustalaniu adresata decyzji należałoby przyjąć, iż te decyzje Generalnego Inspektora, które odnoszą się do uchybień w zakresie określonym w art. 36-39 i przepisach wykonawczych określonych w art. 39a powinny być z reguły skierowane do podmiotu przetwarzającego dane (por. J. Barta..., tamże, str. 567-568).

Adresatem decyzji Generalnego Inspektora Ochrony Danych Osobowych nakazującej przywrócenie stanu zgodnego z prawem mógł być zatem B. Sp. z o.o. występujący w sprawie jako przetwarzający dane osobowe na podstawie umowy. Możliwość taką przewiduje zresztą wprost ustawa o ochronie danych w art. 18 w zw. z art. 31 ust. 3 i 5.

Czym innym jest jednak właściwe ustalenie adresata decyzji, a czym innym jest zapewnienie stronie czynnego udziału w postępowaniu administracyjnym, do którego organ zobligowany jest na mocy art. 10 kpa w zw. z art. 22 ustawy o ochronie danych. Jak wynika z akt postępowania organ nie dopełnił tego obowiązku i nie zapewnił Ministrowi Rozwoju Regionalnego udziału na żadnym etapie postępowania, choć niewątpliwie administrator danych osobowych był stroną tego postępowania.

W rezultacie administrator danych nie mógł występować w postępowaniu w obronie własnego interesu prawnego dotyczącego ciążącej na nim odpowiedzialności w sytuacji umownego powierzenia przetwarzania danych innemu podmiotowi (art. 31 ust. 4 ustawy o ochronie danych), a tym samym w postępowaniu wystąpiło naruszenie prawa dające podstawę do jego wznowienia (art. 145 § 1 pkt 4 kpa).

To zaś, w ocenie Sądu, skutkuje koniecznością uchylenia zaskarżonej decyzji i decyzji ją poprzedzającej bez potrzeby badania, czy naruszenie to miało wpływ na wynik sprawy. Dodać też należy, iż zgodnie z poglądem Sądu Najwyższego (por. wyrok z dnia 4 grudnia 2002 r., III RN 200/01, OSNPUS 2003, nr 24, poz. 582) dla obligatoryjnego uchylenia zaskarżonej decyzji nie ma znaczenia, że zgodnie z art. 147 kpa, wznowienie postępowania z przyczyny określonej w art. 145 § 1 pkt 4 kpa następuje tylko na żądanie strony.

Biorąc powyższe pod uwagę Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit. "b" ustawy - Prawo o postępowaniu przed sądami administracyjnymi w zw. z art. 145 § 1 pkt 4 kpa, orzekł jak w pkt 1 sentencji. Rozstrzygnięcie zawarte w pkt 2 wyroku uzasadnione jest treścią art. 152 powołanej ustawy. O kosztach postępowania, w pkt 3 wyroku, orzeczono na podstawie art. 200, art. 209 i art. 205 § 2 ww. ustawy.



Powered by SoftProdukt