(I OSK 2012/10)
Naczelny Sąd Administracyjny w składzie:
| Przewodniczący: |
Anna Lech |
| Sprawozdawca: |
Jan Paweł Tarno |
| Leszek Kiermaszek |
Wyrokiem z 26 sierpnia 2010 r., II SA/Wa 828/10, Wojewódzki Sąd Administracyjny w Warszawie ddalił skargę I. G. Komornika Sądowego przy Sądzie Rejonowym dla Warszawy-Pragi Południe na decyzję Generalnego Inspektora Ochrony Danych Osobowych z [...] marca 2010 r., nr [...] w rzedmiocie przetwarzania danych osobowych. Powyższy wyrok zapadł w następujących kolicznościach faktycznych i prawnych:
Generalny Inspektor Ochrony Danych Osobowych, decyzją nr [...] z [...] stycznia 2010 r. nakazał I. G., komornikowi Sądowemu przy Sądzie Rejonowym dla Warszawy-Pragi Południe, przywrócenie stanu zgodnego z prawem w procesie przetwarzania danych osobowych przez:
a. zapewnienie, aby system informatyczny o nazwie "Komornik SQL" (system informatyczny służący do przetwarzania danych dłużników i wierzycieli), dla każdej osoby, której dane są przetwarzane w tym systemie informatycznym, odnotowywał źródło danych w przypadku zbierania danych nie od osoby, której one dotyczą w terminie jednego miesiąca od dnia, w którym niniejsza decyzja stanie się ostateczna,
b. zapewnienie, aby system informatyczny o nazwie "Komornik SQL" dla każdej osoby, której dane są przetwarzane w tym systemie, umożliwiał sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje o źródle danych w przypadku zbierania danych nie od osoby, której one dotyczą w terminie 1 miesiąca od dnia, w którym niniejsza decyzja stanie się ostateczna, a w pozostałym zakresie postępowanie umorzył.
Zdaniem organu uchybienia Komornika polegały na:
1) niezawarciu w treści umowy zawartej z [...] Sp. z o. o. z siedzibą w Warszawie przy ulicy [...], w dniu [...] lipca 2009 r. pełnego celu, jak również zakresu przetwarzania danych osobowych (art. 31 ust. 2 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych - Dz. U. z 2002 r. Nr 101, poz. 926 ze zm., zwanej dalej "ustawą o.d.o."),
2)niezastosowaniu odpowiednich środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności niezabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną (art. 36 ust. 1 ustawy), gdyż jak ustalono w toku kontroli, w pomieszczeniu sekretariatu (nr 6) na otwartym regale w otwartych pudełkach przechowywane są zwrotne potwierdzenia odbioru, które zawierają w swej treści dane osobowe tj. imię i nazwisko, jak również adres odbiorcy,
3) niezapewnieniu, aby w systemie informatycznym o nazwie "Komornik DOS" (system informatyczny służący do przetwarzania danych dłużników i wierzycieli) rejestrowany był dla każdego odrębny weryfikator, a dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia (część A pkt II ust. 2 lit. a i lit. b załącznika do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych - Dz. U. Nr 100, poz. 1024),
4) niezawarciu w dokumencie stanowiącym instrukcję zarządzania systemem informatycznym informacji dotyczących systemu informatycznego o nazwie "Komornik DOS" (§ 5 rozporządzenia),
5) niezapewnieniu przez administratora danych, zgodnie z art. 38 ustawy, kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone, gdyż wymienione systemy nie zapewniają odnotowania źródła danych w przypadku zbierania danych nie od osoby, której one dotyczą (§ 7 ust. 1 pkt 3 rozporządzenia), nie umożliwiają dla każdej osoby, której dane są przetwarzane w tych systemach, sporządzenia i wydrukowania raportu zawierającego w powszechnie rozumianej formie informacje, o których mowa w § 7 ust. 1 pkt 3 rozporządzenia (§ 7 ust. 3 rozporządzenia).
I. G. złożył wniosek o ponowne rozpatrzenie sprawy, w którym wskazał, że decyzja została wydana z naruszeniem prawa, ponieważ z jego strony nie nastąpiło naruszenie prawa w procesie przetwarzania danych osobowych. Podkreślił, że zasady prowadzenia akt komorniczych oraz urządzeń ewidencyjnych prowadzonych przez komorników sądowych regulowane są wyłącznie przez przepisy ustawy z 29 sierpnia 1997 r. o komornikach sądowych i egzekucji (Dz. U. z 2006 r. Nr 167, poz. 1191 ze zm.) oraz przepisy rozporządzenia Ministra Sprawiedliwości z 20 grudnia 2005 r. w sprawie określenia
szczegółowych przepisów o biurowości i ewidencji operacji finansowych kancelarii komorniczych (Dz.. Nr 266, poz. 2242).
Wskazał, że brak jest podstaw do uznania przepisów rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) jako lex specialis w stosunku do przepisów wyżej powołanych, rozporządzenie służy jedynie wykonaniu ustawy. Wyłączne rygory dotyczące zbierania danych osobowych stanowią art. 24 ust. 2 i art. 25 ust. 2 ustawy o.d.o.
Wskazał ponadto, że kodeks postępowania cywilnego szczegółowo przewiduje sytuacje usprawiedliwiające zbieranie określonych informacji o dłużniku i wskazuje sposób
podejmowania czynności w tym zakresie.
Generalny Inspektor Ochrony Danych Osobowych decyzją nr [...] z [...] marca 2010 r., utrzymał w mocy zaskarżoną decyzję.
Podkreślił, że komornik jest funkcjonariuszem publicznym upoważnionym do prowadzenia egzekucji sądowej w sprawach cywilnych i zgodnie z art. 16 ust. 1 ustawy o komornikach sądowych jest obowiązany postępować zgodnie z przepisami prawa. Jeżeli brak jest normy uprawniającej komornika do wyłączenia go spod działania innych przepisów prawa jest on bezwzględnie zobowiązany do ich stosowania. Zakres podmiotowy ustawy o ochronie danych osobowych został szczegółowo określony w art. 3 stanowiącym, że ustawę stosuje się do organów państwowych, organów samorządu terytorialnego, do państwowych i komunalnych jednostek organizacyjnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczpospolitej Polskiej. Jednocześnie żaden z przepisów ustawy o.d.o. nie zwalnia komornika, jako administratora danych, z obowiązku jej stosowania. Wyłączenie stosowania tych przepisów może nastąpić jedynie wówczas, gdy przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują ochronę dalej idącą, niż wynika to z przepisów ustawy o ochronie danych osobowych (art. 5 ustawy o.d.o.).
System informatyczny wykorzystywany przez komorników do przetwarzania danych osobowych stron postępowań egzekucyjnych musi być wyposażony w mechanizmy uwierzytelniania użytkowników, ochronę antywirusową oraz zapewniać odnotowania informacji o dacie pierwszego wprowadzenia danych osobowych do systemu i identyfikatorze użytkownika wprowadzającego dane osobowe do systemu, czyli dane muszą być zabezpieczone przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Używany przez komornika system "Komornik SQL" nie spełnia wymogów określonych w § 7 ust. 1 pkt 3 i § 7 ust. 3 rozporządzenia, z którego wynika wymóg sporządzenia i wydrukowania z informacjami w § 7 ust. 1 ww. rozporządzenia dla każdej osoby, której dane są przetwarzane w systemie, a nie raportu zawierającego wszystkie dane przechowywane w pamięci systemu. Powyższy wymóg jest niezależny od obowiązku wynikającego z art. 25 ust. 1 ustawy o.d.o.
W skardze wniesionej do Wojewódzkiego Sądu Administracyjnego w Warszawie I. G. wniósł o uchylenie zaskarżonej decyzji, podnosząc że:
- wskazany w § 7 ust. 1 pkt 3 rozporządzenia wymóg, by dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym system ten zapewniał odnotowanie źródła danych, w przypadku zbierania danych nie od osoby, której dane dotyczą, jak również zawarty w § 7 ust. 3 rozporządzenia wymóg, by dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewniał sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w ust. 1, zdaniem skarżącego pozostają w ścisłym związku z przepisem art. 25 ust. 2 pkt 5 ustawy o.d.o., zgodnie z którym komornik jako organ państwowy, o którym mowa w art. 3 ust. 1 ustawy o.d.o., przetwarza dane na podstawie przepisów prawa i dlatego w przypadku zbierania danych osobowych nie od osoby, której one dotyczą nie ma obowiązku jej informować o źródle danych (art. 25 ust. 1 pkt 3 ustawy o o.d.o.).
- nie zgadza się, że system informatyczny "Komornik SQL" musi spełniać wymogi wynikające z § 7 ust. 1 pkt 3 rozporządzenia oraz z § 7 ust. 3 rozporządzenia, ponieważ zasady prowadzenia akt komorniczych oraz urządzeń ewidencyjnych prowadzonych przez komorników sądowych regulowane są wyłącznie przez przepisy ustawy z 29 sierpnia 1997 r. o komornikach sądowych i egzekucji oraz rozporządzenia Ministra Sprawiedliwości z 20 grudnia 2005 r. w sprawie określenia szczegółowych przepisów o biurowości i ewidencji operacji finansowych kancelarii komorniczych (Dz. U. z 2006 r. Nr 167, poz. 1191 ze zm.),
- przepisy Kodeksu postępowania cywilnego, przepisy rozporządzenia Ministra Sprawiedliwości z 20 grudnia 2005 r. w sprawie określenia szczegółowych przepisów o biurowości i ewidencji operacji finansowych kancelarii komorniczych (Dz. U. Nr 266, poz. 2242) mają charakter przepisów lex specialis w stosunku do przepisów ustawy o ochronie danych osobowych oraz w stosunku do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r., gdyż przepisy k.p.c. oraz rozporządzenia Ministra Sprawiedliwości z 20 grudnia 2005 r. regulują ochronę danych osobowych w sposób odmienny i zapewniają dalej idącą ochronę niż ustawa o ochronie danych osobowych.
W uzasadnieniu wyroku z 26 sierpnia 2010 r. Wojewódzki Sąd Administracyjny w Warszawie stwierdził, że skarga nie zasługuje na uwzględnienie. Przypomniał, że w art. 1 ust. 1 ustawy o.d.o., została zawarta podstawowa zasada, że "każdy ma prawo do ochrony dotyczących go danych osobowych". Natomiast art. 3 ustawy określa zakres podmiotowy jej stosowania i z § 1 wynika, że ustawę stosuje się do organów państwowych, co oznacza, że stosuje się ją również do komorników sądowych. Wyłączenie stosowania niniejszej ustawy wynika jedynie z art. 5 ustawy "jeżeli przepisy odrębnych ustaw, które odnoszą się przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw".
Działanie komornika jako funkcjonariusza państwowego regulują:
1) ustawa z 29 sierpnia 1997 r. o komornikach sądowych i egzekucji (Dz. U. z 2006 r. Nr 167, poz. 1191 ze zm.),
2) k.p.c.,
3) rozporządzenie Ministra Sprawiedliwości z 20 grudnia 2005 r. w sprawie określenia szczegółowych przepisów o biurowości i ewidencji operacji finansowych kancelarii komorniczych.
Wyżej wskazane przepisy nie regulują kwestii środków technicznych i organizacyjnych, jakie komornik ma podjąć w celu zabezpieczenia danych osobowych, gromadzonych w toku postępowania egzekucyjnego. Dokonując oceny relacji występującej między przepisami k.p.c., dotyczącymi zbierania i innych form przetwarzania danych osobowych a ustawą o ochronie danych osobowych, wskazać należy, że ustawa o.d.o. nie zawiera postanowień, które by stawiały komornika sądowego poza zakresem jej działania. Ograniczenie jej stosowania w odniesieniu do działania komornika związanego ze zbieraniem, przechowywaniem i udostępnianiem danych osobowych mogą być wyprowadzone, co podkreślono już wyżej, tylko z art. 5 u.o.d.o.
Regulacja zawarta w art. 761 § 1 k.p.c. i w art. 2 ust. 5 ustawy o komornikach kształtuje uprawnienia komornika sądowego w sytuacji, w której udzielenie informacji nie zostało uregulowane w przepisach szczególnych. W stosunku do szeregu informacji i danych ustawodawca zdecydował się przyjąć odrębne zasady dysponowania nimi. Wiele z nich np. reguluje udostępnianie danych będących w posiadaniu organów administracji publicznej. Poddanie ich regulacji szczególnej decyduje o wyłączeniu stosowania wobec nich art. 761 § 1 k.p.c. i art. 2 ust. 5 ustawy o komornikach. Jako przykład przepisów regulujących w sposób odrębny udostępnianie danych pozostających w posiadaniu organów administracji publicznej wskazać można ustawę z 22 stycznia 1999 r. o ochronie informacji niejawnych (Dz. U. z 2005 r. Nr 196, poz. 1631 ze zm.) i ustawę z 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. Nr 112, poz. 1198 ze zm.). Przepisy te stanowią lex specialis w stosunku do art. 761 k.p.c. i art. 2 ust. 5 ustawy o komornikach.
Natomiast zgodnie z art. 23 ust. 1 pkt 2 u.o.d.o. jedną z przesłanek legalności przetwarzania danych osobowych (a zatem również udzielania informacji zawierających dane osobowe) jest zezwolenie udzielone przez art. 761 § 1 k.p.c.. W razie odmowy udzielenia informacji dopuszczalna jest skarga do Generalnego Inspektora Ochrony Danych Osobowych (art. 12 pkt 2 u.o.d.o.).
Z art. 37a ust. 1 ustawy o komornikach sądowych wynika jedynie obowiązek utworzenia akt dla każdej sprawy z zakresu wskazanego w art. 2 ust. 1 ww. ustawy, zaś z § 4 ust. 1 i § 5 rozporządzenia Ministra Sprawiedliwości w sprawie określenia szczegółowych przepisów o biurowości ..., wynikają obowiązki dotyczące prowadzenia urządzeń ewidencyjnych przy użyciu systemu informatycznego w zakresie zapewnienia wydruku danych i sporządzenia kopii zbiorów. Przepisy te nie regulują obowiązku wyposażenia systemu w mechanizmy uwierzytelnienia użytkowników, ochrony antywirusowej oraz zapewnienia odnotowania informacji o dacie pierwszego wprowadzenia danych osobowych do systemu i identyfikatorze użytkownika wprowadzającego dane osobowe do systemu, a w konsekwencji zabezpieczenia danych przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieupoważnioną oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
System informatyczny "Komornik SQL" spełnia wymagania wynikające z przepisów rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, z wyjątkiem wymogów określonych w § 7 ust. 1 pkt 3 i § 7 ust. 3 rozporządzenia.
Podstawą dla wydania ww. rozporządzenia jest art. 39a u.o.d.o. Rozporządzanie zatem służy realizacji ustawy, której przepisy mają zastosowanie do komorników sądowych.
Nie ma sprzeczności postanowień rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych (...) z przepisami k.p.c., ustawy o komornikach sądowych oraz rozporządzenia Ministra Sprawiedliwości w sprawie określenia szczegółowych przepisów o biurowości (...). Wymienione przepisy nie regulują kwestii środków technicznych i organizacyjnych, które powinny być zastosowane w celu ochrony danych osobowych. W tym właśnie zakresie komornicy są zobowiązani stosować wymogi wynikające z przepisów o ochronie danych osobowych.
Sąd nie zgodził się ze stanowiskiem komornika, że regulacja zawarta w § 7 ust. 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych (...) jest bezprzedmiotowa z uwagi na treść § 5 rozporządzenia Ministra Sprawiedliwości w sprawie określenia szczegółowych przepisów o biurowości (...), z którego wynika wymóg, aby system informatyczny obsługujący urządzenia ewidencyjne zapewniał wydruk wszystkich zapisów przechowywanych w pamięci trwałej systemu. Z przepisu § 7 ust. 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji wynika bowiem wymóg sporządzenia i wydrukowania raportu z informacjami wymienionymi w § 7 ust. 1 ww. rozporządzenia dla każdej osoby, której dane są przetwarzane w systemie, a nie raportu zawierającego wszystkie dane przechowywane w pamięci systemu.
W toku czynności kontrolnych ustalono, że dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym "Komornik SQL" system ten nie zapewnia odnotowywania źródła danych w przypadku zbierania danych nie od osoby, której one dotyczą. Ponadto ustalono również, że dla każdej osoby, której dane osobowe są przetwarzane w ww. systemie informatycznym, system ten nie zapewnia sporządzania i wydrukowania raportu zawierającego w powszechnie zrozumiałej formie informacji o źródle danych w przypadku zbierania danych nie od osoby, której one dotyczą. Nie podzielono poglądu, że za wyłączeniem stosowania ustawy o.d.o. przemawia też poddanie komorników nadzorowi judykacyjnemu sądu, kontroli prezesów sądów rejonowych oraz nadzorowi zwierzchniemu Ministra Sprawiedliwości. Nadzór, o jakim mówi komornik, dotyczy kontroli nad przestrzeganiem prawa materialnego i procesowego, natomiast nie dotyczy kontroli przestrzegania przepisów o ochronie danych osobowych. W tym zakresie komornik podlega przepisom ustawy o.d.o.
Zgodnie z art. 38 u.o.d.o., administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są one przekazywane. Wobec stwierdzenia naruszenia § 7 ust. 1 pkt 3 i § 7 ust. 3 cyt. rozporządzenia Ministra Spraw Wewnętrznych i Administracji, decyzja nakazująca przywrócenie stanu zgodnego z prawem i zabezpieczająca przed takimi naruszeniami w przyszłości jest decyzją prawidłową.
Powyższy wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie został zaskarżony skargą kasacyjną w całości przez I. G., w której zarzucono Sądowi:
1) naruszenie przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy (art. 174 pkt 2 ustawy z 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - Dz. U. Nr 153, poz. 1270, ze zm.), tj.:
a) niewłaściwe zastosowanie art. 151 p.p.s.a., skutkiem czego oddalono skargę strony,
b) niezastosowanie art. 145 § 1 pkt 1 pkt a) i c) p.p.s.a., skutkiem czego winno być uchylenie decyzji,
c) naruszenie art. 134 § 1 p.p.s.a. poprzez nieuwzględnienie z urzędu naruszenia przez organ administracji przepisów postępowania administracyjnego, które mogło mieć istotny wpływ na załatwienie sprawy poprzez naruszenie art. 130 § 2, art. 138 § 1 pkt 1 i 2 k.p.a. w zw. z art. 21 ust. 1 ustawy o ochronie danych osobowych oraz naruszenie art. 7 k.p.a. w zw. z art. 22 ustawy o ochronie danych osobowych, które przejawia się w tym, iż organ utrzymując w mocy zaskarżoną decyzję z [...] stycznia 2010 r. nie zmienił wyznaczonego terminu wykonania obowiązków nałożonych na stronę.
2) naruszenie prawa materialnego (art. 174 pkt 1 p.p.s.a.) poprzez niewłaściwe zastosowanie § 7 ust. 1 pkt 3 oraz § 7 ust. 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych (...) z obrazą dla art. 92 ust. 1 Konstytucji.
Równocześnie wniesiono o uchylenie zaskarżonego wyroku i przekazanie sprawy do ponownego rozpoznania lub ewentualnie uchylenie zaskarżonego wyroku oraz zaskarżonej decyzji, a także o zasądzenie od organu na rzecz skarżącego kosztów postępowania, w tym uiszczonej opłaty sądowej i skarbowej od pełnomocnictwa oraz kosztów zastępstwa procesowego wg norm przepisanych.
W uzasadnieniu skargi kasacyjnej podniesiono, że w ponownie wydanej decyzji organ nie zmienił terminu wykonania obowiązku określonego w decyzji z [...] stycznia 2010 r. Zgodnie z rozstrzygnięciem strona winna wykonać obowiązek w terminie miesiąca od dnia, w którym decyzja z [...] stycznia 2010 r. stała się ostateczna. Zgodnie z pouczeniem zawartym w tej decyzji stała się ona ostateczna z chwilą wydania, a więc obowiązek miał być wykonany jeszcze przed wydaniem decyzji z [...] marca 2010 r., wydanej na skutek wniosku o ponowne rozpatrzenie sprawy. Strona winna mieć możliwość wykonania decyzji w rozsądnie wyznaczonym terminie. Uwzględnienia tego słusznego interesu strony wymaga art. 7 k.p.a.
Decyzja z [...] stycznia 2010 r. była ostateczna już w chwili jej wydania - wynika to ze specyfiki tego organu, wobec którego nie istnieje organ wyższego stopnia w rozumieniu art. 17 k.p.a. Od decyzji GIODO odwołanie nie przysługuje, natomiast zamiast niego złożyć można wniosek o ponowne rozpatrzenie sprawy (art. 21 ust. 1 ustawy). Organ sam zresztą zamieścił w pouczeniu decyzji z [...] stycznia 2010 r. informację, że decyzja ta jest ostateczna. W związku z tym, z chwilą otrzymania decyzji z [...] stycznia 2010 r. zaczęły biec wskazane w niej terminy na wykonanie poszczególnych obowiązków. Wskutek rozpatrywania środka odwoławczego skarżącego i wydania ponownej decyzji dopiero [...] marca 2010 r. efektywnie zostały też skrócone terminy na wykonanie obowiązków określonych w punktach I.1 i I.2. decyzji z [...] stycznia 2010 r. Ponowna decyzja utrzymywała w całości w mocy decyzję pierwotną, w tym terminy na wykonanie poszczególnych obowiązków.
Tymczasem, kierując się dyrektywą art. 7 k.p.a. i uwzględniając fakt, że wniesienie odwołania wstrzymuje wykonanie zaskarżonej decyzji (art. 130 § 2 k.p.a.), organ powinien zmienić terminy na wykonanie tych obowiązków i zagwarantować stronie możliwość terminowego, faktycznego ich wykonania.
Sąd I instancji naruszył prawo materialne (art. 174 pkt 1 p.p.s.a.) poprzez niewłaściwe zastosowanie § 7 ust. 1 pkt 3 oraz § 7 ust. 3 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych (...). Wskazane przepisy Rozporządzenia zostały wydane z przekroczeniem ustawowego upoważnienia zawartego w art. 39a ustawy o.d.o., który stanowi, iż: "Minister właściwy do spraw administracji publicznej w porozumieniu z ministrem właściwym do spraw informatyzacji określi, w drodze rozporządzenia, sposób prowadzenia i zakres dokumentacji, o której mowa w art. 36 ust. 2, oraz podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, uwzględniając zapewnienie ochrony przetwarzanych danych osobowych odpowiedniej do zagrożeń oraz kategorii danych objętych ochroną, a także wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzanych danych." Rozporządzenie miało określić sposób dokumentacji, o której mowa w art. 36 ust. 2 u.o.d.o., tj. dokumentacji opisującej sposób przetwarzania danych.
Zgodnie z art. 36 ust. 1 ustawy, administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Rozporządzenie zatem, miało uszczegółowić techniczne aspekty zabezpieczania danych osobowych. Tymczasem, nałożyło ono na stronę nowe obowiązki nieprzewidziane w ustawie. W ustawie bowiem brak obowiązku wpisywania do systemu informatycznego źródła danych, w przypadku zbierania danych nie od osoby, której one dotyczą. Co prawda, zgodnie z art. 25 ust. 1 pkt 3 u.o.d.o., w przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych o źródle danych. Niemniej z obowiązku tego zwolnieni
są komornicy oraz inne organy państwowe na mocy art. 25 ust. 2 pkt 5 ustawy o.d.o.
Trudno zaakceptować tezę, że komornicy oraz inne organy państwowe (w tym sądy) z jednej strony nie mają obowiązku powiadomienia osoby, której dane zostały zgromadzone o fakcie zgromadzenia tych danych, a jednocześnie miałby spoczywać na nich obowiązek odnotowywania tychże danych (źródło pochodzenia danych) w systemie informatycznym.
Zdaniem skarżącego, Minister w zastosowanych przepisach przekroczył delegację ustawową nakładając na stronę obowiązek, o którym nie stanowi ustawa. W tym kontekście Sąd I instancji zastosował przepisy rozporządzenia wydane z obrazą art. 92 ust. 1 Konstytucji. Ten przepis Konstytucji wskazuje na instrumentalny charakter rozporządzenia w stosunku do regulacji prawnej stanowionej ustawą upoważniającą.
Pomiędzy tą ustawą a rozporządzeniem powinien istnieć merytoryczny związek i normy rozporządzenia powinny służyć realizacji ustawy. Treść regulacji zawartych w rozporządzeniu musi dotyczyć tej samej problematyki, zmierzać do realizacji tych samych zadań i służyć tym samym celom, jakie znajdują wyraz w przepisach ustawy. Wykorzystanie choćby wyraźnych upoważnień ustawowych do innych celów, niż założone w upoważnieniu, albo wyjście poza jego zakres stanowi naruszenie legalności działania Ministra. Badając poprawność wydawania rozporządzeń, sądy powinny zwracać uwagę nie tylko na spełnienie wymogów formalnych, ale także materialnych, tzn. czy rozporządzenie nie reguluje materii zastrzeżonych konstytucyjnie dla ustawy lub też materii nieuregulowanych w ustawie (tak: B. Banaszak w Konstytucja Rzeczypospolitej Polskiej. Komentarz; C.H.Beck 2009; komentarz do art. 92 Konstytucji). Wobec powyższego skarżący wnosi o odmówienie zastosowania przepisów wydanych z przekroczeniem ustawowego upoważnienia.
Naczelny Sąd Administracyjny zważył, co następuje:
W postępowaniu przed NSA prowadzonym na skutek wniesienia skargi kasacyjnej obowiązuje generalna zasada ograniczonej kognicji tego sądu (art. 183 § 1 p.p.s.a.).
NSA jako sąd II instancji rozpoznaje sprawę w granicach skargi kasacyjnej, wyznaczonych przez przyjęte w niej podstawy, określające zarówno rodzaj zarzucanego zaskarżonemu orzeczeniu naruszenia prawa, jak i jego zakres.
Z urzędu bierze pod rozwagę tylko nieważność postępowania. Ta jednak nie miała miejsca w rozpoznawanej sprawie.
Skarga kasacyjna nie mogła być uwzględniona, albowiem podniesione w niej zarzuty przeciwko zaskarżonemu wyrokowi Wojewódzkiego Sądu Administracyjnego w Warszawie nie są trafne.
Zgodnie z art. 145 § 1 pkt. 1 lit. c) p.p.s.a. Sąd uwzględniając skargę na decyzję uchyla ją w całości albo w części, jeżeli stwierdzi inne naruszenie przepisów postępowania, niż dające podstawę do wznowienia postępowania administracyjnego, jeżeli mogło ono mieć istotny wpływ na wynik sprawy. Uchybienie polegające na braku zmiany terminu wykonania obowiązków nałożonych na stronę, wyznaczonego w
decyzji z [...] stycznia 2010 r. pozostaje bez wpływu na wynik sprawy, czego najlepszym dowodem jest niewykonanie przez skarżącego wynikających z tej decyzji obowiązków, mimo utrzymania jej w mocy decyzją GIODO z [...] marca 2010 r., nr [...] przynajmniej do dnia wydania zaskarżonego wyroku WSA w warszawie z 26 sierpnia 2010 r., II SA/Wa 828/10.
Zarzut niewłaściwego zastosowania § 7 ust. 1 pkt 3 oraz § 7 ust. 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych (...) z obrazą dla art. 92 ust. 1 Konstytucji również nie ma uzasadnionych podstaw. Minister Spraw Wewnętrznych i Administracji nie przekroczył granic ustawowego upoważnienia zawartego w art. 39a ustawy o.d.o., nakładając na stronę obowiązki, o których mowa w § 7 ust. 1 pkt 3 oraz § 7 ust. 3 cyt. rozporządzenia. W przywołanej delegacji ustawowej upoważniono bowiem Ministra do określenia, w drodze rozporządzenia, sposobu prowadzenia i zakresu dokumentacji, o której mowa w art. 36 ust. 2, oraz podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, przy uwzględnieniu zapewnienia ochrony przetwarzanych danych osobowych odpowiedniej do zagrożeń oraz kategorii danych objętych ochroną, a także wymagań w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzanych danych. Nie ulega najmniejszej wątpliwości, że obowiązki administratora danych wynikające z § 7 ust. 1 pkt 3 oraz § 7 ust. 3 cyt. rozporządzenia mieszczą się w zakresie odnotowywania "udostępniania danych osobowych i bezpieczeństwa przetwarzanych danych", a więc w zakresie określonym upoważnieniem ustawowym.
Mając powyższe na uwadze, Naczelny Sąd Administracyjny uznał skargę kasacyjną za niemającą usprawiedliwionych podstaw i na podstawie art. 184 Prawa o postępowaniu przed sądami administracyjnymi orzekł jak w sentencji.
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
