II SA/Wa 1086/04
2009-04-09
Orzeczenie prawomocne
WYROK
W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ
Dnia 23 września 2004 r.
Wojewódzki Sąd Administracyjny w Warszawie […], po rozpoznaniu na rozprawie w dniu 23 września 2004 r. sprawy ze skargi M. S.A. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] kwietnia 2004 r. Nr [...] w przedmiocie przetwarzania danych osobowych
oddala skargę
Uzasadnienie:
Upoważnieni inspektorzy Biura Generalnego Inspektora Ochrony Danych Osobowych przeprowadzili w dniach [...] października 2003 r. kontrolę zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych w M. S.A. z siedzibą w W.
Ustalenia kontroli zawarte w protokole z dnia 12 listopada 2003 r. stwierdzające, iż administrator danych nie dopełnił ciążącego na nim, zgodnie z art. 40 ustawy o ochronie danych osobowych, obowiązku zgłoszenia do rejestracji prowadzonego zbioru danych osobowych oraz, że systemy informatyczne służące do przetwarzania danych nie spełniają kryteriów określony w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, stały się podstawą do wszczęcia z urzędu postępowania administracyjnego w przedmiocie przetwarzania danych osobowych przez Spółkę.
Decyzją z dnia [...] lutego 2004 r. nr [...] Generalny Inspektor Ochrony Danych Osobowych nakazał M.S.A. z siedzibą w W.usunięcie uchybień w procesie przetwarzania danych osobowych poprzez:
1. Zgłoszenie do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych osobowych klientów, przetwarzanych w związku z realizacją usługi przewozowej.
2. Zaznajomienie osób zatrudnionych przy przetwarzaniu danych osobowych z przepisami o ochronie danych osobowych - w terminie miesiąca od dnia, kiedy niniejsza decyzja stanie się ostateczna.
3. Wyznaczenie administratora bezpieczeństwa informacji odpowiedzialnego za bezpieczeństwo danych w systemie informatycznym - w terminie dwóch tygodni od dnia, kiedy niniejsza decyzja stanie się ostateczna.
4. Opracowanie instrukcji postępowania w sytuacji naruszenia ochrony danych osobowych - w terminie miesiąca od dnia, kiedy niniejsza decyzja stanie się ostateczna.
5. Opracowanie instrukcji określającej sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych - w terminie miesiąca od dnia, kiedy niniejsza decyzja stanie się ostateczna.
6. Uzupełnienie prowadzonej ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych o wszystkie osoby upoważnione do przetwarzania danych osobowych - w terminie miesiąca od dnia, kiedy niniejsza decyzja stanie się ostateczna.
7. Wydanie upoważnień do obsługi systemu informatycznego oraz urządzeń wchodzących w jego skład, służących do przetwarzania danych, osobom zatrudnionym przy ich przetwarzaniu w systemie informatycznym - w terminie miesiąca od dnia, kiedy niniejsza decyzja stanie się ostateczna.
8. Opracowanie programu szkolenia w zakresie zabezpieczeń systemu informatycznego - w terminie miesiąca od dnia, kiedy niniejsza decyzja stanie się ostateczna.
9. Zapewnienie wymogu zmiany haseł do systemu informatycznego "S." i systemu informatycznego "A." z częstotliwością co najmniej raz na miesiąc - w terminie dwóch tygodni od dnia, kiedy niniejsza decyzja stanie się ostateczna.
10. Zapewnienie przez system informatyczny "W." i system informatyczny "A.", odnotowania dla każdej osoby, której dane są przetwarzane we wskazanych systemach informatycznych, informacji, komu, kiedy i w jakim zakresie dane zostały udostępnione - w terminie trzech miesięcy od dnia, kiedy niniejsza decyzja stanie się ostateczna.
11. Zapewnienie przez system informatyczny "S.", odnotowania dla każdej osoby, której dane są przetwarzane w tym systemie informatycznym, identyfikatora użytkownika wprowadzającego dane oraz informacji, komu, kiedy i w jakim zakresie dane zostały udostępnione innym podmiotom - w terminie trzech miesięcy od dnia, kiedy niniejsza decyzja stanie się ostateczna.
9. Zapewnienie przez system informatyczny "W." i system informatyczny "A." możliwości udostępnienia na piśmie, w powszechnie zrozumiałej formie, treści danych o każdej osobie, której dane są przetwarzane, wraz z informacjami, komu, kiedy i w jakim zakresie dane zostały udostępnione - w terminie trzech miesięcy od dnia, kiedy niniejsza decyzja stanie się ostateczna.
10. Zapewnienie przez system informatyczny "S." możliwości udostępnienia na piśmie, w powszechnie zrozumiałej formie, treści danych o każdej osobie, której dane są przetwarzane, wraz z informacjami o identyfikatorze użytkownika wprowadzającego dane oraz komu, kiedy i w jakim zakresie dane zostały udostępnione innym podmiotom - w terminie trzech miesięcy od dnia, kiedy niniejsza decyzja stanie się ostateczna.
W pozostałym zakresie postępowanie umorzył.
W uzasadnieniu wskazał, iż w celu realizacji usługi przewozowej lub pocztowej przez M. S.A. sporządzany jest list przewozowy, który jest jednocześnie umową zawartą pomiędzy zleceniodawcą a zleceniobiorcą. Do listu przewozowego wpisywane jest imię i nazwisko lub nazwa nadawcy, adres nadawcy wraz z numerem telefonu oraz w przypadku przesyłek za tzw. pobraniem wpisywany jest numer konta bankowego nadawcy, nazwa banku oraz numer NIP - gdy klient decyduje się go podać w celu wystawienia faktury VAT (dotyczy to wyłącznie podmiotów gospodarczych).
Osoba fizyczna niebędąca podmiotem gospodarczym podając adres nie informuje, czy jest to jej adres zamieszkania, zameldowania lub inny, adres ten wykorzystywany jest w celu kontaktu z klientem oraz w celu zwrotu niedoręczonej przesyłki.
Dane nadawcy niezbędne do realizacji usługi obejmują nazwisko, imię (lub nazwę podmiotu), adres dostarczenia (nazwa ulicy, nr domu i lokalu, pocztowy kod adresowy, nazwa miejscowości) oraz numer telefonu. Dane osobowe odbiorcy są wpisywane w liście przewozowym w takim samym zakresie, jak w przypadku nadawcy.
GIODO podał również, że dane z listu przewozowego są wprowadzane do systemu informatycznego o nazwie "W." wraz z numerem listu. Natomiast w celu ewidencjonowania sprzedaży usług użytkowany jest system informatyczny o nazwie "O.", do którego są wprowadzane dane z faktur w zakresie podanym przez klienta.
Ponadto Spółka rozpatruje reklamacje klientów zgodnie z § 13 "Regulaminu świadczenia usług przewozowych i pocztowych w obrocie krajowym", dane zgłaszającego w systemie informatycznym wyszukiwane są na podstawie numeru listu przewozowego. W celu ewidencjonowania złożonych reklamacji użytkowany jest odrębny system informatyczny o nazwie "A.".
W związku z tym Generalny Inspektor uznał, że dane osobowe pozyskiwane przez Spółkę w związku z realizacją usługi przewozowej i pocztowej (brak rozróżnienia na dane podmiotów gospodarczych i osób fizycznych) tworzą zbiór danych osobowych w rozumieniu art. 7 pkt 1 ustawy o ochronie danych osobowych i podlegają rejestracji stosownie do art. 40 ustawy.
Wobec poczynionych ustaleń, że celem prowadzenia zbioru danych jest wywiązanie się z umowy usługi przewozowej, wystawienie faktury oraz archiwizacja danych, a nadto, że są one przetworzone w celu rozpatrywania ewentualnych reklamacji z tytułu niewykonania lub nienależytego wykonania usługi przewozowej i pocztowej, w ocenie organu nie zachodzi przesłanka zwolnienia administratora danych osobowych z obowiązku zgłoszenia zbioru danych wskazana w art. 43 ust. 1 pkt 8 ustawy.
Generalny Inspektor odniósł się również szczegółowo do naruszeń przepisów wspomnianego rozporządzenia Ministra Spraw Wewnętrznych i Administracji.
Stwierdził ponadto, że prowadzony przez Spółkę zbiór umów cywilnoprawnych stanowi zbiór danych osobowych w rozumieniu art. 7 pkt 1 ustawy o ochronie danych osobowych, lecz zgodnie z art. 43 ust. 1 pkt 4 nie podlega on obowiązkowi rejestracji co było podstawą umorzenia postępowania w tym zakresie.
We wniosku o ponowne rozpatrzenie sprawy M. S.A. zarzuciła zaskarżonej decyzji rażące naruszenie prawa materialnego poprzez przyjęcie, iż Spółka zobowiązana jest, zgodnie z art. 40 ustawy o ochronie danych osobowych do zgłoszenia zbioru danych do rejestracji w GIODO i niezastosowania w przedmiotowej sprawie dyspozycji art. 43 § 1 ustawy oraz rażące naruszenie prawa procesowego polegające na naruszeniu art. 77 § 1 kpa i art. 7 kpa poprzez błędne ustalenie stanu faktycznego.
W uzasadnieniu podała, że Generalny Inspektor bezpodstawnie wymienia w decyzji nazwę systemu "W.", skoro jest on wycofywany z użytku a na jego miejsce jest wdrażany system "S.".
Ponadto część uchybień wskazanych przez GIODO jest na tyle ogólnych, iż uniemożliwia to w praktyce ich usunięcie zgodnie z decyzją.
Podniosła też, że dane umieszczone w zbiorze danych osobowych służą, podobnie jak i systemy informatyczne je obsługujące, jedynie do wystawiania faktur oraz prowadzenia sprawozdawczości finansowej, więc zbiór, zgodnie z art. 43 ust. 1 pkt 8 ustawy, jest zwolniony z rejestracji.
Nadto wskazała, że system "O." przetwarza dane ze zbioru wyłącznie w celach ewidencjonowania sprzedaży, co stanowi jeden z elementów sprawozdawczości finansowej, zaś przetwarzanie danych w celu rozpatrywania reklamacji w sposób pośredni, ale wyłączny, prowadzi do wystawienia faktury korygującej bądź potwierdzenia prawidłowości faktury pierwotnej.
Spółka powołała się też na rządowy projekt zmiany ustawy o ochronie danych osobowych, który poddaje w wątpliwość wzywanie jej do dokonania rejestracji zbioru zawierającego dane współpracowników, który wkrótce rejestracji nie będzie wymagał.
Decyzją z dnia [...] kwietnia 2004 r. nr [...] Generalny Inspektor Ochrony Danych Osobowych utrzymał w mocy decyzję z dnia[...] lutego 2004 r. nr [...].
W uzasadnieniu podtrzymał swoje stanowisko zawarte w zaskarżonej decyzji, iż dane osobowe klientów Spółki przetwarzane w związku z realizacją usługi przewozowej i pocztowej, nie są zbierane wyłącznie w celu wystawienia faktury i prowadzenia sprawozdawczości finansowej, lecz także służą odrębnemu celowi - rozpatrzeniu reklamacji.
Wskazał, że do przetwarzania danych osobowych klientów M.S.A. są wykorzystywane systemy informatyczne "W.", "O." oraz "A.". Dane z systemu "W." są importowane zarówno do systemu "O." - w celu zaksięgowania transakcji, jak też do systemu "A." - w celu ewidencjonowania reklamacji. Zatem dane osobowe klientów przetwarzane przy wykorzystaniu ww. systemów, w związku z realizacją usługi pocztowej lub przewozowej, a także rozpatrzenie ewentualnej reklamacji, tworzą zbiór danych osobowych zawierający informacje służące tym celom.
Generalny Inspektor odniósł się do zarzutów zawartych we wniosku o ponowne rozpatrzenie sprawy i stwierdził, że nie zasługują one na uwzględnienie.
W szczególności podniósł, że fakt zwolnienia zbioru z obowiązku rejestracji na podstawie art. 43 ust. 1 pkt 4 nie prowadzi do zniesienia obowiązków ciążących na administratorze danych, w tym wynikających z rozporządzenia wykonawczego do ustawy o ochronie danych osobowych.
Ustosunkowując się do zarzutu dotyczącego systemu "W." GIODO stwierdził, że ten system został wskazany przez Spółkę w czasie kontroli jako służący do wystawiania faktur i został poddany w związku z tym badaniu.
Zatem, jeśli w celu wykonania decyzji administracyjnej Spółka wdroży inny system informatyczny, który będzie spełniał kwestionowane wymogi, wówczas stan zgodny z prawem zostanie przywrócony.
W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie M. S.A. wniosła o uchylenie zaskarżonej decyzji na zasadzie art. 145 § 1 pkt 1 ustawy - Prawo o postępowaniu przed sądami administracyjnymi, wstrzymanie wykonania zaskarżonej decyzji na zasadzie art. 61 § 3 ww. ustawy, ze względu na istnienie niebezpieczeństwa wyrządzenia skarżącemu znacznej szkody oraz zasądzenie od organu, który wydał zaskarżoną decyzję kosztów postępowania zarzucając jej:
? rażące naruszenie prawa materialnego poprzez przyjęcie, że Spółka zobowiązana jest zgodnie z art. 40 ustawy o ochronie danych osobowych do zgłoszenia zbioru danych do rejestracji w GIODO i niezastosowanie w przedmiotowej sprawie dyspozycji art. 43 § 1 ustawy,
? rażące naruszenie prawa materialnego poprzez przyjęcie, że M. S.A. przetwarza dane osobowe podmiotów objętych reżimem ustawy o ochronie danych osobowych, tj. art. 1, art. 2 oraz art. 7 ust. 1 oraz 2 ustawy,
? rażące naruszenie prawa procesowego polegające na naruszeniu art. 77 § 1 kpa oraz art. 7 kpa poprzez błędne ustalenie stanu faktycznego przy niezastosowaniu w przedmiotowej sprawie uprawnienia wynikającego z art. 136 kpa,
? istnienie okoliczności uzasadniających stwierdzenie nieważności decyzji na podstawie art. 156 § 1 pkt 5 kpa.
Spółka wniosła ponadto o przeprowadzenie postępowania mediacyjnego przez wyznaczeniem rozprawy.
W uzasadnieniu skargi M. S.A. podniosła, że w istocie spór dotyczy zakwalifikowania systemu informatycznego "A." służącego do ewidencji zgłoszonych reklamacji, zatem Spółka pełni w tej sytuacji rolę bierną. System ten w jej ocenie dokonuje operacji na zbiorze danych jedynie w celach określonych w art. 43 ust. 1 pkt 8 ustawy o ochronie danych osobowych, bowiem jest oczywiste, że ustawodawca posługując się pojęciem "wystawienia faktury, wydruku" zakwalifikował do tego zbioru także przypadki faktur oraz rachunków korygujących.
Podkreśliła, że nie istnieją jakiekolwiek przyczyny, dla których M. SA. miałaby zbierać dane związane z postępowaniami reklamacyjnymi, poza koniecznością wystawienia faktur i rachunków korygujących.
Skarżąca wskazała ponadto, że zbiory informatyczne funkcjonujące w M. S.A. nie spełniają warunków definicji zbioru danych w rozumieniu art. 7 ust. 1 ustawy, jak również nie można mówić o przetwarzaniu tych danych w rozumieniu art. 7 ust. 2 ustawy. Stwierdziła przy tym, że Spółka świadczy swoje usługi głównie dla podmiotów gospodarczych, natomiast osoby fizyczne nieprowadzące działalności gospodarczej stanowią około 0,5 % ogólnej liczby klientów. Z uwagi na istniejące w Spółce rozwiązanie informatyczne, dane tych osób zostają automatycznie wpisane do systemu informatycznego, a jedyną przyczyną wpisania tych danych do systemu jest konieczność wystawienia faktury za wykonane usługi.
Przedmiotem przetwarzania danych osobowych są jedynie, podmioty gospodarcze, zaś wpisane "niejako z automatu" dane osób fizycznych nie posiadają żadnej struktury zestawu danych o charakterze osobowym, dostępnym według określonych kryteriów.
Spółka stwierdziła nadto, że ochrona wynikająca z ustawy o ochronie danych osobowych wyłączona została wobec każdego podmiotu, którego aktywność ma cechę działalności gospodarczej.
Skarżąca podniosła dodatkowo, że w dacie wydania zaskarżonej decyzji w M.. S.A. funkcjonował jedynie system "S.", o czym organ uzyskał informację od Spółki. W związku z powyższym organ podtrzymał decyzję obarczoną cechą wadliwości, bowiem Spółka nie może spełnić części z nałożonych na nią obowiązków ze względu na brak przedmiotu regulacji, co jest podstawą do stwierdzenia jej nieważności na podstawie art. 156 § 1 pkt 5 kpa.
Przy wydawaniu zaskarżonej decyzji Generalny Inspektor dopuścił się naruszenia przepisów prawa procesowego świadomie opierając się przy jej wydawaniu na stanie faktycznym, który był już nieaktualny.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie i podtrzymał w całości swoje stanowisko faktyczne i prawne zawarte w zaskarżonej decyzji.
Ponadto organ odniósł się obszernie do zarzutów skargi stwierdzając w szczególności, że zbiór danych nie musi być tożsamy z systemem informatycznym służącym do przetwarzania danych.
O uznaniu zestawu danych przetwarzanych przez administratora danych (niezależnie, czy odbywa się to w jednym, czy w kilku systemach informatycznych) decyduje w szczególności wspólny cel zbierania danych.
Zgłoszeniu do rejestracji podlegają zatem zbiory danych osobowych, a nie poszczególne systemy informatyczne wykorzystywane do przetwarzania tych danych.
Generalny Inspektor wskazał także, że ustawodawca nie wprowadził limitu danych osobowych decydującego o uznaniu zestawu danych za zbiór danych osobowych. W świetle przepisów ustawy o ochronie danych osobowych dla oceny, czy zestaw danych tworzy zbiór w ich rozumieniu, istotny jest sam fakt przetwarzania informacji stanowiących dane osobowe, zaś bez znaczenia pozostaje łączne przetwarzanie w tym samym systemie informatycznym danych osobowych osób nieprowadzących działalności gospodarczej z danymi przedsiębiorców.
Odnosząc się do zarzutu błędnego ustalenia stanu faktycznego organ stwierdził, że nakazy decyzji odnosiły się do systemu informatycznego "W." poddanego oględzinom w toku przeprowadzonych czynności kontrolnych, zaś system "S." był w tym okresie wdrażany do użytku i był przedmiotem wyjaśnień pracowników Spółki.
Skarżąca nie przedstawiła żadnego dowodu potwierdzającego zaprzestanie użytkowania systemu "W.".
Generalny Inspektor wyjaśnił ponadto sposób realizacji przez Spółkę nałożonych na nią obowiązków w związku z utratą mocy obowiązującej przepisów rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. i wejściem w życie z dniem 1 maja 2004 r. przepisów nowego rozporządzenia.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Skarga nie zasługuje na uwzględnienie.
Przedmiotem działalności M. S.A. z siedzibą w W. są usługi przewozowe i pocztowe na terenie kraju i za granicą. Dane osobowe klientów przetwarzane są w celu wywiązania się z usługi przewozowej, wystawienia faktury oraz w celach archiwalnych, jak również w celu rozpatrzenia ewentualnych reklamacji z tytułu niewykonania lub nienależytego wykonania usług przewozowych i pocztowych.
W celu realizacji usługi sporządzany jest list przewozowy będący równocześnie umową zawartą pomiędzy zleceniodawcą a zleceniobiorcą.
Dane niezbędne do realizacji usługi dotyczące zarówno nadawcy, jak i odbiorcy obejmują nazwisko, imię (lub nazwę podmiotu), adres dostarczenia (nazwa ulicy, nr domu i lokalu, kod pocztowy, nazwa miejscowości) oraz numer telefonu. Dane te są wpisywane w liście przewozowym, następnie z listu przewozowego są wprowadzane do systemu informatycznego "W." wraz z jego numerem.
W celu ewidencjonowaniu sprzedaży usług użytkowany jest przez M. S.A. system informatyczny "O.", do którego wprowadzane są dane z faktur w zakresie podanym przez klienta.
Z kolei system informatyczny "A." służy do ewidencjonowania złożonych reklamacji, zaś dane w nim są importowane z systemu "W.".
Stosownie do przepisu art. 2 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 133, poz. 883 z późn. zm.) ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych.
Ponadto, zgodnie z przepisami art. 6 ust. 1 ww. ustawy, za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Przepis art. 7 pkt 1 tej ustawy zawiera z kolei definicję zbioru danych, przez który rozumie się każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
Nie ulega wątpliwości, iż M. S.A. w związku z prowadzoną działalnością przetwarza dane osobowe osób fizycznych nieprowadzących działalności gospodarczej.
Przyznaje to skarżąca Spółka argumentując jednakowoż, że dane takie są marginesem w odniesieniu do danych osób prawnych, czy też fizycznych prowadzących działalność gospodarczą, ponieważ stanowią jedynie około 0,5 % danych ogólnej liczby klientów Spółki.
Należy zauważyć w związku z tym, że ustawa o ochronie danych osobowych nie określa minimalnego limitu danych osobowych, który decyduje o uznaniu zestawu danych osobowych za zbiór danych osobowych.
Nie wypowiada się ponadto, czy dane osobowe w rozumieniu ustawy mogą być przetwarzane w odrębnym zbiorze danych, czy też w zbiorze zawierającym również dane osobowe osób prawnych, które nie podlegają reżimowi ustawy.
Decydujące znaczenie dla oceny, czy zestaw danych tworzy zbiór w rozumieniu ustawy o ochronie danych osobowych, ma fakt przetwarzania w nim danych osobowych osób fizycznych, nie ma znaczenia natomiast dla takiej oceny łączne przetwarzanie w zbiorze danych osobowych osób nieprowadzących działalności gospodarczej z danymi osób taką działalność prowadzącymi.
Nie sposób zgodzić się ze stanowiskiem skarżącej, że wprowadzone do systemu informatycznego dane osobowe w celu wystawienia faktury nie są następnie przetwarzane, bowiem świadczenie usług dla osób fizycznych nie pozostaje w sferze zainteresowań Spółki.
W myśl bowiem przepisu art. 7 pkt 2 ustawy o ochronie danych osobowych przetwarzaniem danych są jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
Zagadnienie rejestracji zbiorów danych osobowych reguluje rozdział 6 ustawy o ochronie danych osobowych. Przepis art. 40 ustawy stanowi, że administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi z wyjątkiem przypadków, o których mowa w art. 43 ust. 1.
Bezspornym jest w rozpatrywanej sprawie, że M. S.A. przetwarza dane osobowe w różnych systemach informatycznych ("W;" i "O;"), które należy jednakże traktować jako jeden zbiór danych osobowych, którego zasadniczym celem jest wykonywanie usług przewozowych i pocztowych. Powyższe dane wraz z danymi wprowadzonymi do systemu "A;" są wykorzystywane dodatkowo w celu rozpatrywania ewentualnych reklamacji klientów z tytułu niewykonania lub nienależytego wykonania usługi.
Pomimo wcześniejszego zarzutu Spółki zawartego we wniosku o ponowne rozpatrzenie sprawy kwestionującego fakt, iż mamy do czynienia w przedmiotowej sprawie ze zbiorem danych w rozumieniu ustawy, skarżąca podzieliła stanowisko Generalnego Inspektora Danych Osobowych w tym zakresie.
Nie można jednak zgodzić się z konsekwentnie podtrzymywanym zarzutem M. S.A., że zbiór danych osobowych, którym administruje, podlega wyłączeniu z obowiązku rejestracji na zasadzie art. 43 ust. 1 pkt 8 ustawy o ochronie danych osobowych.
Należy wskazać, że zgodnie z definicją zawartą w art. 7 pkt 1 ustawy, zbiorem danych jest każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
Wzgląd na powyższe wymogi pozwala stwierdzić, że zbiór danych mogą tworzyć zarówno dane osobowe przetwarzane w jednym systemie informatycznym, jak również dane, do przetwarzania których wykorzystywanych jest więcej takich systemów.
Należy równocześnie zauważyć, że zbiór danych nie musi być tożsamy z systemem informatycznym służącym do przetwarzania danych.
Do uznania zestawu danych przetwarzanych przez administratora decydujące znaczenie ma nie ilość zastosowanych do przetwarzania systemów informatycznych, lecz wspólny cel tego przetwarzania.
Zgłoszeniu do rejestracji podlega zatem zbiór danych, niezależnie od ilości systemów informatycznych, jakie służą do ich przetwarzania.
Nietrafne jest stanowisko skarżącej, że celem przetwarzania danych jest wyłącznie wystawienie faktury, rachunku lub prowadzenie sprawozdawczości finansowej, prowadzące w konsekwencji do zwolnienia zbioru danych, którego jest ona administratorem, z obowiązku rejestracji, gdyż rozpatrzenie reklamacji sprowadza się, w przypadku jej uznania, jedynie do wystawienia faktury korygującej.
Nie można bowiem wykluczyć dalszego wykorzystania danych osobowych będących w dyspozycji Spółki do dochodzenia roszczeń w postępowaniu sądowym, zarówno przez klienta, jak też i przez nią samą. Mogą ponadto pojawić się kwestie związane z egzekucją ewentualnych wierzytelności wynikających ze stosunku umownego łączącego skarżącą z klientem i wynikającą w związku z tym konieczność wykorzystania danych osobowych ze zbioru.
W odniesieniu do podnoszonego przez M. S.A. zarzutu błędnego ustalenia przez organ stanu faktycznego, należy stwierdzić, iż nie jest on zasadny.
Generalny Inspektor szczegółowo odniósł się do niego w odpowiedzi na skargę podnosząc, że w toku czynności kontrolnych przeprowadzanych w Spółce system "S; " był na etapie wdrażania, natomiast systemem informatycznym poddanym kontroli był system "W.". Analiza akt postępowania kontrolnego pozwala stwierdzić, że skarżąca nie kwestionowała protokołu kontroli nr [...], gdzie używa się przemiennie nazwy systemu "S." i "W.". Ponadto we wniosku o ponowne rozpatrzenie sprawy Spółka przyznała, że system "S." jest na etapie wdrażania.
W świetle powyższego chybiony jest zarzut skarżącej zaistnienia okoliczności uzasadniających stwierdzenie nieważności decyzji na podstawie art. 156 § 1 pkt 5 Kodeksu postępowania administracyjnego z uwagi na jej częściową niewykonalność.
Należy przychylić się do stanowiska Generalnego Inspektora, iż jeśli zastąpiony przez system "S." system "W." spełnia wszelkie wymogi wynikające z przepisów regulujących zgodne z prawem przetwarzania danych osobowych, to skarżąca wykonała nałożone na nią przez organ nakazy zmierzające do wyeliminowania wskazanych uchybień.
Mając powyższe na względzie, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), orzekł jak w sentencji wyroku.
