Projekt Unijnego Rozporządzenia dot. ochrony danych osobowych
Na stronie internetowej KE możemy zapoznać się z projektem nowego aktu prawnego, który ma obowiązywać również w Polsce....

  
Wyszukiwarka orzeczeń i decyzji

Jeśli są Państwo zainteresowani otrzymaniem darmowego newslettera z informacjami dotyczącymi prawnej ochrony danych prosimy o podanie adresu e-mail:


Dodaj Usuń

Administratorem Twoich danych osobowych, udostępnionych dobrowolnie, jest Omni Modo z siedzibą w Warszawie (03-937), przy ul. Zwycięzców 45/29. Dane osobowe będą przetwarzane w celu przesyłania newslettera oraz będą udostępniane innym podmiotom współpracującym z Administratorem. Przysługuje Ci prawo dostępu do treści swoich danych oraz ich poprawiania.

Wyrażam zgodę na przesyłanie na udostępniony przeze mnie adres poczty elektronicznej newslettera zawierającego informację handlową w rozumieniu ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. 2002 nr 144 poz. 1204 z późn. zm.).

Więcej informacji dotyczących ochrony danych osobowych Użytkowników i Regulamin świadczenia usług drogą elektroniczną tutaj


  

>Orzecznictwo>WSA>2007 >



II SA/Wa 1256/06
2009-04-09

II Sa/Wa 1256/06 → I OSK 998/07

Orzeczenie prawomocne

 

W Y R O K

W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

Dnia 26 stycznia 2007 r.

Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu na rozprawie w dniu 26 stycznia 2007 r. sprawy ze skargi S. P. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia […]. nr […] w przedmiocie zabezpieczenia danych osobowych

oddala skargę


UZASADNIENIE

    Pismem z dnia […] S. P. wniósł do Generalnego Inspektora Ochrony Danych Osobowych skargę na byłego pracodawcę – Przedsiębiorstwo […] S.A. z siedzibą w D. – jako administratora jego danych osobowych. Byłemu pracodawcy zarzucił naruszenie art. 36 ust. 1 ustawy o ochronie danych osobowych, wynikające z braku odpowiedniego zabezpieczenia dokumentów personalnych skarżącego, złożonych w biurku znajdującym się pomieszczeniu budynku Centralnej Ciepłowni […], należącego do P. S.A. w D.    Generalny Inspektor Ochrony Danych Osobowych decyzją nr […]z dnia […], wydaną na podstawie art. 104 § 1 k.p.a., art. 22, art. 12 pkt 2 i art. 18 ust. 1 a contrario w zw. z art. 36 i art. 26 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. jedn. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), odmówił uwzględnienia wniosku S. P., nie dopatrując się w działaniu administratora danych osobowych naruszenia przepisów obowiązującego prawa.
    Powyższa decyzja została przez Generalnego Inspektora Ochrony Danych Osobowych utrzymana w mocy decyzją nr […]z dnia […] wydaną na podstawie art. 138 § 1 pkt 1 k.p.a., art. 22, art. 12 pkt 2 i art. 18 ust. 1 a contrario w zw. z art. 36 i 26 § 1 ustawy o ochronie danych osobowych, po rozpoznaniu wniosku S. P. o ponowne rozpatrzenie sprawy.
    W uzasadnieniu organ podał, że prowadzone przez niego postępowanie wyjaśniające musi odpowiadać regułom określonym w przepisach obowiązującego prawa. W szczególności przepis art. 77 § 1 k.p.a. zobowiązuje Generalnego Inspektora do wyczerpującego zebrania i rozpatrzenia całego materiału dowodowego. Organ realizuje ten obowiązek przy wykorzystaniu instrumentów przewidzianych w przepisach ustawy o ochronie danych osobowych (art. 14), gdyż ten akt prawny określa zasadnicze środki, którymi posługuje się organ właściwy do ochrony danych osobowych przy wykonywaniu swoich ustawowych zadań. Przepis art. 14 ustawy o ochronie danych osobowych przewiduje, że w celu realizacji zadań, o których mowa w art. 12 pkt 1 i 2 ustawy, Generalny Inspektor ma prawo m.in. żądać złożenia pisemnych lub ustnych wyjaśnień, a także wglądu do wszelkich dokumentów i danych mających bezpośredni związek z przedmiotem kontroli oraz do sporządzania ich kopii (pkt 2 i 3). Zdaniem organu, przepisy ustawy o ochronie danych osobowych nie formułują wymogu odbierania pisemnych lub ustnych wyjaśnień pod rygorem odpowiedzialności karnej za składanie fałszywych zeznań. Brak jest zatem podstaw do przyjęcia, że regulacja zawarta w omawianej ustawie jest w tym zakresie niekompletna, wobec czego, stosownie do art. 22 ustawy, wiąże się z obowiązkiem odpowiedniego stosowania przepisów Kodeksu postępowania administracyjnego dotyczących postępowania dowodowego.
    Generalny Inspektor Ochrony powołał się w tej materii na pogląd piśmiennictwa, zgodnie z którym art. 22 ustawy o ochronie danych osobowych, w myśl którego postępowanie w sprawach nieuregulowanych w ustawie prowadzi się według przepisów k.p.a., o ile przepisy ustawy nie stanowią inaczej, odsyła do Kodeksu postępowania administracyjnego wyłącznie w takim zakresie, w jakim niezbędne jest wypełnienie luki w unormowaniach proceduralnych ustawy o ochronie danych osobowych (J. Barta, P. Fajgielski, R. Markiewicz „Ochrona danych osobowych.” Komentarz, wyd. III, Zakamycze 2004, str. 467).
    Organ stwierdził w związku z tym, że korzystając z uprawnień zawartych w art. 14 pkt 2 i 3 ustawy o ochronie danych osobowych, umożliwił Spółce ustosunkowanie się do zarzutów podniesionych pod jej adresem przez S. P..
    Generalny Inspektor Ochrony Danych Osobowych wskazał, że cytowana ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1). Ustawa ta w rozdziale 5 nakłada na administratora danych obowiązek należytego zabezpieczenia danych osobowych. Zgodnie bowiem z brzmieniem art.  36 ust. 1, administrator danych jest obowiązany zastosować środki techniczne i organizacyjne, zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Powołany przepis jest więc konkretyzacją przepisu art. 26 ust. 1 pkt 1 ustawy, w myśl którego administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem.
    Generalny Inspektor podniósł również, że niewątpliwe jest, iż dokument określający zakres obowiązków S. P. na stanowisku mistrza zmianowego (w określonej liczbie egzemplarzy) został powierzony przez Spółkę właśnie zainteresowanemu, za pisemnym pokwitowaniem i pozostawał przez pewien czas w jego dyspozycji. Zatem zarzut w stosunku do Spółki niewłaściwego zabezpieczenia w tym okresie danych osobowych strony, utrwalonych w ww. dokumencie, jest bezzasadny, skoro to sam zainteresowany był w tym czasie jego dysponentem. Właśnie od niego, jako dysponenta „zakresu obowiązków”, należało wymagać sprawowania pieczy nad dokumentem oraz dbałość o nieujawnianie informacji w nim zawartych osobom trzecim, tym bardziej, że dotyczyło to ochrony jego interesów jako osoby, której przedmiotowy dokument dotyczył.
    Jednocześnie, w ocenie organu, brak jest jakichkolwiek dowodów potwierdzających fakt dostępu do danych osoby nieupoważnionej. Taką osobą nie jest sam zainteresowany i w związku z tym zarzut przekazania mu przez Spółkę dokumentu określającego zakres jego obowiązków jako osobie nieupoważnionej, jest całkowicie bezzasadny i nie wymaga komentarza.
    Odnosząc się do odmowy uwzględnienia przez organ wniosku dowodowego dotyczącego sporządzenia ekspertyzy „zakresu  obowiązków”, potwierdzającej, że dokument ten przerobiła osoba trzecia, a znajdującego się w aktach Sądu Rejonowego Wydział IV Pracy w O., które to akta dołączone są do akt sprawy w Sądzie Okręgowym Wydział VI Pracy w K., Generalny Inspektor wskazał, że nie jest właściwy do ingerowania w toczące się postępowania sądowe. Na poparcie swojego stanowiska przywołał wyrok Naczelnego Sądu Administracyjnego z dnia 2 marca 2001 r. sygn. akt. II SA 401/2000 oraz wyroki Trybunału Konstytucyjnego z dnia 18 lutego 2004 r. sygn. akt K12/2003 i z dnia 9 listopada 1993 r. sygn. akt K 11/93.
    Dodatkowo organ podniósł, że podnoszone przez S. P. zarówno na etapie postępowania w pierwszej instancji, jak też we wniosku o ponowne rozpatrzenie sprawy, zarzuty dotyczące rzekomych nieprawidłowości w toku postępowania sądowego dotyczącego przywrócenia go do pracy oraz nieprawidłowości byłego pracodawcy, które miały miejsce w czasie jego zatrudnienia w Spółce, nie mają związku z przedmiotowym postępowaniem i nie podlegają ocenie przez organ do spraw ochrony danych osobowych.
    W skardze na powyższą decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie S. P. wniósł o jej uchylenie w całości oraz zasądzenie od Generalnego Inspektora Ochrony Danych Osobowych na jego rzecz kosztów postępowania według norm przepisanych.
    Organowi skarżący zarzucił:
1)    naruszenie zasady prawdy obiektywnej przez wyłącznie subiektywną ocenę okoliczności sprawy i istniejących dowodów,
2)    naruszenie zasady udziału stron przez dowolną ocenę podanych przez niego okoliczności faktycznych (we wniosku) żądania doręczenia uwierzytelnionych odpisów wyjaśnień i oświadczeń administratora danych i w związku z powyższą oceną odmową wydania odpisów dokumentów i pozbawienia skarżącego możliwości wypowiedzenia się co do treści dokumentów administratora danych (art. 10 § 1 k.p.a.),
3)    naruszenie zasady uwzględniania (z urzędu) słusznego interesu strony (art. 7 k.p.a.) przez nieuwzględnienie ważnego interesu skarżącego wynikającego z jego oświadczenia we wniosku o wydanie i doręczenie żądanych uwierzytelnionych odpisów dokumentów, który nie pozostawał w kolizji z przepisami prawa, tj. art. 73 § 2 k.p.a.,
4)    naruszenie zasady swobodnej oceny dowodów przez brak logicznej poprawności przy ocenie dowodów stron (skarżącego) oraz pominięcia prawdopodobieństwa jego wersji zdarzenia, niezebranie i nierozpatrzenie w sposób sumienny i wyczerpujący materiału dowodowego na skutek nieuwzględnienia wniosku skarżącego o przeprowadzenie ekspertyzy jego trzech egzemplarzy „zakresu obowiązków” w związku z art. 14 pkt 5 ustawy o ochronie danych osobowych i art. 77 § 1 k.p.a., a nadto przez uznanie wiarygodności oświadczeń administratora danych bez rygoru odpowiedzialności za fałszywe zeznania (art. 75 § 2 k.p.a.),
5)    naruszenie zasady odrębności postępowania administracyjnego przez przyjęcie ustaleń sądów pracy (Sąd Rejonowy w O. i Sąd Okręgowy w K.) jako własnych, które nie były i nie mogły być wiążące oraz bez przeprowadzenia dowodów, tj. m.in. ekspertyzy dokumentów mających istotne znaczenie dla rozstrzygnięcia w przedmiotowej sprawie, a nadto przez wydanie decyzji administracyjnych przez organ przy uznaniu się w związku z powyższym organem niewłaściwym do merytorycznego rozstrzygnięcia sprawy.
W uzasadnieniu wskazał w szczególności, że przekazanie skarżącemu 3 egzemplarzy dokumentu, które do niego nie należały, w czasowe posiadanie, nastąpiło z woli administratora danych i na jego ryzyko.
Skarżący, nie będąc administratorem bezpieczeństwa informacji, nie był zaznajomiony ze stosownymi przepisami dotyczącymi ochrony danych osobowych w  dokumentach, które do niego nie należały, zaś w ramach należytej staranności przechowywał je w pomieszczeniu i biurku przeznaczonym do użytkowania przez administratora danych.
Podniósł ponadto, że przytoczone przez organ wyroki NSA i TK nie mogą mieć zastosowania w przedmiotowym postępowaniu, albowiem okoliczność naruszenia ustawy o ochronie danych osobowych nie była wcześniej przedmiotem rozstrzygnięcia sądu powszechnego.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie i podtrzymał swoje dotychczasowe stanowisko faktyczne oraz prawne.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

    Zgodnie z przepisem art. 1 § 1 i § 2ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sądy administracyjne sprawują wymiar sprawiedliwości w szczególności przez kontrolę działalności administracji publicznej, a kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.
Skarga oceniania pod tym kątem nie zasługuje na uwzględnienie.
Stosownie do treści art. 36 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. jedn. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), administrator danych jest obowiązany zastosować środki techniczne i organizacyjne, zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Powyższe wymogi zabezpieczenia danych osobowych odnoszą się zarówno do zbiorów, w których przetwarzanie danych odbywa się w sposób tradycyjny (manualny), jak również do zbiorów funkcjonujących w systemach informatycznych.
Obowiązki, o których mowa w powołanym przepisie ciążą nie tylko na administratorze danych, lecz także na osobie, której administrator, w drodze umowy zawartej na piśmie, powierzył przetwarzanie takich danych, przy czym w takim przypadku administrator nie jest zwalniany z odpowiedzialności związanej z brakiem zabezpieczenia zbiorów danych oraz innych obowiązków wynikających z przepisów ustawy.
Zupełnie odmienna jest natomiast sytuacja, kiedy administrator danych osobowych przekazuje do dyspozycji osobie, której dane dotyczą, dokument zawierający jej dane osobowe.
Nie ulega najmniejszej wątpliwości, że osoba, której dane dotyczą nie jest niczym ograniczona w dysponowaniu swoimi danymi. Ponadto posiada ona szczególną pozycję również wtedy, gdy jej dane osobowe są przetwarzane przez inny podmiot. Świadczy o tym chociażby zamieszczenie w ustawie o ochronie danych osobowych rozdziału 4 zatytułowanego „Prawa osoby, której dane dotyczą”. Stosownie o przepisu art. 32 ust. 1 pkt 3 ustawy, osobie takiej przysługuje m.in. prawo do kontroli przetwarzania danych zawartych w zbiorach, a zwłaszcza do uzyskania informacji od kiedy przetwarza się w zbiorze dane jej dotyczące oraz uzyskania w powszechnie zrozumiałej formie treści tych danych. Oznacza to, że osoby, której dane dotyczą nie można w ogóle rozpatrywać w kategorii osoby nieupoważnionej, bądź nieuprawnionej, o której mowa w cytowanym przepisie art. 36 ust. 1 ustawy o ochronie danych osobowych.
Wobec powyższego, zarzut naruszenia przez Przedsiębiorstwo […]S.A. w D. jako administratora danych ww. przepisu, poprzez udostępnienie jako osobie nieupoważnionej skarżącemu dokumentu pod nazwą „zakres obowiązków”, zawierającego jego dane osobowe, jawi się jako całkowicie bezzasadny.
Chybiony jest również podstawowy zarzut skarżącego sprowadzający się do twierdzenia, iż to na administratorze danych ciążył obowiązek zabezpieczenia danych osobowych skarżącego, zawartych we wskazanym wyżej dokumencie, pomimo przekazania skarżącemu przez administratora trzech egzemplarzy tego dokumentu do czasowej dyspozycji celem zapoznania się z nim, podpisania go, a następnie zwrotu po podpisaniu. W ocenie Sądu, od chwili przekazania trzech egzemplarzy dokumentu do dyspozycji skarżącego, który to fakt skarżący pokwitował, to właśnie na nim spoczywał obowiązek właściwego zabezpieczenia tego dokumentu. W interesie bowiem zainteresowanego było, by nie dostał się on w ręce osób trzecich.
Brak jest jakichkolwiek racjonalnych przesłanek, by to pracodawcę uznać odpowiedzialnym za ochronę danych osobowych skarżącego zawartych w przedmiotowym dokumencie. Nie jest istotne przy tym, że skarżący pozostawił trzy egzemplarze dokumentu w miejscu pracy, w niezamykanym, jak stwierdził, biurku, do którego mogły mieć dostęp inne osoby.

Skarżący uczynił to bowiem na własną odpowiedzialność i własne ryzyko i  powinien zdawać sobie sprawę z ewentualnych konsekwencji takiego działania. Natomiast samo miejsce pozostawienia dokumentu – miejsce pracy – nie może przesądzać o odpowiedzialności administratora (pracodawcy).
Również zarzut niezebrania przez organ i nierozpatrzenia w sposób wyczerpujący całego materiału dowodowego na skutek nieuwzględnienia wniosku skarżącego o przeprowadzenie ekspertyzy trzech egzemplarzy jego „zakresu obowiązków”, nie jest zasadny. W rozpatrywanej sprawie nie ma bowiem znaczenia okoliczność, jak doszło do przerobienia trzech egzemplarzy „zakresu obowiązków”, które czasowo pozostawały w dyspozycji skarżącego, czy uczynił to skarżący, czy też inna osoba, a która to okoliczność spowodowała zwolnienie S. P. z pracy. Toczące się postępowania przed sądami powszechnymi w przedmiocie przywrócenia skarżącego do pracy nie pozostają w żadnym związku z badaniem, czy doszło do naruszenia przepisów ustawy o ochronie danych osobowych. Nawet ustalenie po przeprowadzeniu ekspertyzy, kto dopuścił się przerobienia dokumentu, nic do sprawy dotyczącej zgodnego z prawem zabezpieczenia danych osobowych nie wniesie. Zbędnym było wiec w ogóle odwoływanie się przez organ do orzecznictwa Naczelnego Sądu Administracyjnego i  Trybunału Konstytucyjnego dotyczącego zakazu ingerencji ze strony organów administracji publicznej w funkcjonowanie sądów w zakresie ich kompetencji jurysdykcyjnych.
Odnosząc się natomiast do zarzutu nieuprawnionego uznania przez Generalnego Inspektora wiarygodności oświadczeń administratora danych bez rygoru odpowiedzialności za fałszywe zeznania, należy zgodzić się ze stanowiskiem w tym zakresie zaprezentowanym przez organ w zaskarżonej decyzji. Trafnie organ wskazał, iż stosownie do treści art. 14 pkt 2 i 3 ustawy o ochronie danych osobowych, umożliwił Spółce ustosunkowanie się do zarzutów sformułowanych pod jej adresem przez S. P.. Ustawa o ochronie danych osobowych nie stanowi zaś wymogu, aby pisemne lub ustne wyjaśnienia odbierane były przez organ pod rygorem odpowiedzialności za składanie fałszywych zeznań. Zasadny jest również pogląd, że regulacja ustawy o ochronie danych osobowych jest w tym zakresie kompletna, tak więc nie ma potrzeby odpowiedniego stosowania przepisów Kodeksu postępowania administracyjnego dotyczących postępowania dowodowego, stosownie do przepisu art. 22 ustawy. Pogląd ten, jak podniósł organ, akceptuje również literatura przedmiotu (J. Barta, P. Fajgielski, R. Markiewicz „Ochrona danych osobowych. Komentarz” wyd. III. Zakamycze 2004, str. 467).
Ustosunkowując się zaś do zarzutów naruszenia zasady udziału strony w postępowaniu oraz uwzględnienia jej słusznego interesu przez odmowę wydania i doręczenia uwierzytelnionych odpisów dokumentów z akt postępowania prowadzonego przez GIODO, należy stwierdzić, iż nie mogą być oceniane w rozpoznawanej sprawie.
Jak wynika bowiem z akt postępowania administracyjnego, wniosek skarżącego w tym przedmiocie organ rozpoznał odmownie postanowieniem z dnia […]. nr […], pouczając go o środku zaskarżenia w postaci wniosku o ponowne rozpatrzenie sprawy. Po rozpoznaniu takiego wniosku S. P., Generalny Inspektor postanowieniem z dnia […]. nr […] , utrzymał zaskarżone postanowienie w mocy i pouczył o przysługującym skarżącemu prawie wniesienia na to postanowienie skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie. Z prawa tego S. P. skorzystał, wnosząc skargę do Sądu, lecz postanowieniem z dnia 9 listopada 2006 r. sygn. akt II SA/Wa 1781/06, WSA w Warszawie odrzucił jego skargę z uwagi na naruszenie przewidzianego prawem trybu jej wniesienia i uchybienia terminu do wniesienia skargi.
    Mając powyższe na względzie, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), Sąd orzekł jak w sentencji wyroku.

Sygnatura powiązana

Copyright (c) 2007 by E-Ochronadanych.pl - Wszelkie prawa zastrzeżone Polityka prywatności | Regulamin | Nota prawna
Kopiowanie materiałów - zabronione Ustawa o ochronie danych osobowych | GIODO | Administrator bezpieczeństwa informacji