II SA/Wa 1786/06
2009-04-09
Orzeczenie prawomocne
W Y R O K
W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ
Dnia 6 lutego 2007 r.
Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu na rozprawie w dniu 6 lutego 2007 r. sprawy ze skargi J. K. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia […] nr […] w przedmiocie ochrony danych osobowych
1) oddala skargę;
2) przyznaje ze środków budżetowych Wojewódzkiego Sądu Administracyjnego w Warszawie na rzecz adwokata M. P. kwotę 240 zł (dwieście czterdzieści złotych) powiększoną o należny podatek od towarów i usług w wysokości 52,80 zł (pięćdziesiąt dwa złote osiemdziesiąt groszy), tytułem nieopłaconej pomocy prawnej udzielonej z urzędu.
U Z A S A D N I E N I E
Decyzją z dnia […] nr […] Generalny Inspektor Ochrony Danych Osobowych, działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) oraz art. 12 pkt 2, art. 22, art. 23 ust. 1 pkt 2 i art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), odmówił uwzględnienia wniosku J. K. w sprawie udostępnienia przez Spółdzielnię Mieszkaniową z siedzibą w A. jego danych osobowych P. Sp. z o.o. z siedzibą w B.
W uzasadnieniu decyzji organ podał, że w toku postępowania administracyjnego ustalono, iż J. K. jest członkiem Spółdzielni Mieszkaniowej w A. i przysługuje mu spółdzielcze własnościowe prawo do lokalu mieszkalnego. W lokalu tym nie zostały zainstalowane podzielniki kosztów centralnego ogrzewania.
W świetle § 16 pkt 1 Statutu Spółdzielni członek Spółdzielni zobowiązany jest przestrzegać postanowień Statutu, regulaminów i innych uchwał organów Spółdzielni, stosownie zaś do postanowień § 4 i § 7 obowiązującego w Spółdzielni „Regulaminu systemu rozliczania kosztów centralnego ogrzewania oraz dostawy ciepłej i zimnej wody dla lokali mieszkalnych i użytkowych będących w zasobach Spółdzielni Mieszkaniowej
w A.”, odczytów oraz rozliczenia kosztów ogrzewania dokonuje firma rozliczająca. Z § 8 ww. Regulaminu wynika z kolei, że dla lokali, w których nie ma zainstalowanych podzielników kosztów centralnego ogrzewania zostanie ustalone szacunkowe zużycie według maksymalnego zużycia jednostek, zarejestrowanego przez podzielniki w lokalu w danym budynku w przeliczeniu na 1 m 2 powierzchni użytkowej rozliczanego lokalu.
W dniu 7 października 2002 r. Spółdzielnia zawarła z P. Sp. z o.o. z siedzibą w B. umowę rozliczeniową nr OP/28/2002, dotyczącą obsługi systemu rozliczania kosztów centralnego ogrzewania za pomocą elektronicznych podzielników kosztów typu SIEMENS WHE2. Na podstawie przedmiotowej umowy Spółdzielnia zleciła Spółce m. in. dokonywanie odczytów wskazań podzielników oraz rozliczanie kosztów dostarczonego do budynku ciepła oraz przygotowywanie indywidualnego rozliczenia dla użytkowników lokali. Spółdzielnia zobowiązała się również do dostarczania Spółce aktualnych i kompletnych danych niezbędnych do dokonania rozliczeń. W celu wykonania ww. umowy Spółdzielnia przekazała Spółce dane osobowe użytkowników lokali będących w zasobach Spółdzielni, w tym dane osobowe J. K.
Generalny Inspektor Ochrony Danych Osobowych, dokonując oceny stanu faktycznego, powołał się na przepisy ustawy z dnia 16 września 1982 r. Prawo spółdzielcze (Dz. U. z 2003 r. Nr 188, poz. 1848 z późn. zm.) oraz przepisy ustawy
z dnia 15 grudnia 2000 r. o spółdzielniach mieszkaniowych (Dz. U. z 2003 r. Nr 119, poz. 1116 z późn. zm.), a także wskazał na art. 7 pkt 2 i 4, art. 31 ust. 1 i 2 ustawy
o ochronie danych osobowych i stwierdził, że udostępnienie danych osobowych J. K. przez Spółdzielnię Mieszkaniową Spółce […] odbyło się zgodnie
z prawem, a podstawę legalnego przetwarzania danych zainteresowanego stanowił art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych.
W dniu 26 maja 2006 r. J. K., będąc niezadowolonym z powyższej decyzji, skierował do Generalnego Inspektora Ochrony Danych Osobowych wniosek
o ponowne rozpatrzenie sprawy. Zarzucił organowi naruszenie art. 87 Konstytucji Rzeczypospolitej Polskiej i podniósł, że ustalenia organu zostały oparte na nieprawdziwych dowodach, złożonych przez Spółdzielnię. Spółdzielnia przedstawiła bowiem Statut oraz „Regulamin systemu rozliczania kosztów centralnego ogrzewania oraz dostawy ciepłej i zimnej wody dla lokali mieszkalnych i użytkowych będących
w zasobach Spółdzielni Mieszkaniowej w A.”, które to dokumenty nie obowiązywały w chwili zawarcia przez Spółdzielnię oraz Spółkę umowy rozliczeniowej nr OP/28/2002.
J. K. zauważył także, że zarówno w aktualnie, jak i poprzednio obowiązującym Statucie i regulaminach, brak jest zapisów o możliwości rozliczania przez podmiot trzeci lokatora, u którego nie ma podzielnika. Podkreślił, że w jego mieszkaniu nie zostały zainstalowane żadne podzielniki ciepła i z tego względu Spółka nie jest upoważniona do przetwarzania jego danych osobowych. W jego ocenie, Spółka jest uprawniona do przetwarzania danych osobowych tylko tych osób, w lokalach których są zamontowane elektroniczne podzielniki ciepła. W umowie zawartej przez Spółdzielnię ze Spółką brak jest zapisu, z którego wynikałoby, że jej postanowienia odnoszą się również do lokatorów, w lokalach których znajdują się „wyparkowe podzielniki ciepła” lub nie zostały zainstalowane jakiekolwiek podzielniki.
Ponadto zaznaczył, że pojęcie „podzielniki ciepła” zostało wprowadzone dopiero ustawą z dnia 4 marca 2005 r. o zmianie ustawy – Prawo energetyczne oraz ustawy – Prawo środowiska, co oznacza, że stosowanie ww. urządzeń przed tą datą było bezprawne. J. K.i podniósł także, że podpisana przez Spółdzielnię i Spółkę umowa nie zawiera wymaganych ustawą o ochronie danych osobowych zapisów dotyczących zabezpieczeń danych osobowych.
Decyzją z dnia […] nr […] Generalny Inspektor Ochrony Danych Osobowych utrzymał w mocy swoje poprzednie rozstrzygnięcie, nie podzielając zarzutów strony i nie znajdując podstaw do uwzględnienia wniosku.
W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie na powyższą decyzję J. K. powtórzył zarzuty zawarte we wniosku o ponowne rozpatrzenie sprawy.
Skarżący podkreślił, że Spółdzielnia miała prawo przekazać Spółce jedynie dane osobowe tych użytkowników lokali, w których zamontowano podzielniki typu SIEMENS WHE2. W jego ocenie, tylko taki skutek rodzi zawarta między Spółdzielnią a Spółką umowa. Zakwestionował legalność przetwarzania jego danych przez Spółkę w świetle art. 31 ust. 2 ustawy o ochronie danych osobowych.
J. K. stwierdził, że czynność prawna wywołuje nie tylko skutki w niej określone, ale także skutki wynikające z ustawy, zasad współżycia społecznego
i przyjętych zwyczajów, czego GIODO nie wziął pod uwagę.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, podtrzymując w uzasadnieniu swego stanowiska procesowego argumenty przedstawione w wydanych w sprawie decyzjach.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Stosownie do treści art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 z późn. zm.), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującymi w dacie jej wydania. Innymi słowy, sąd administracyjny kontroluje legalność rozstrzygnięcia zapadłego w postępowaniu z punktu widzenia jego zgodności z prawem materialnym
i obowiązującymi przepisami prawa procesowego.
Skarga analizowana pod tym kątem nie zasługuje na uwzględnienie.
Faktem bezspornym jest, że w dniu 7 października 2002 r. Spółdzielnia Mieszkaniowa w A. zawarła z P. Sp. z o.o. z siedzibą w B. umowę rozliczeniową nr OP/28/2002, dotyczącą obsługi systemu rozliczania kosztów centralnego ogrzewania za pomocą elektronicznych podzielników kosztów typu SIEMENS WHE2. J. K. wywodzi, że na skutek tej umowy Spółdzielnia w sposób nieuprawniony przekazała Spółce […] jego dane osobowe, które przetwarzane są z naruszeniem przepisów ustawy o ochronie danych osobowych.
Ocena legalności wydanych w sprawie decyzji wymaga wyraźnego rozgraniczenia dwóch aspektów tej sprawy, wynikających z różnych regulacji prawnych, albowiem zawarcie tego rodzaju umowy wywołuje skutki prawne regulowane przepisami Kodeksu cywilnego i przepisami ustawy o ochronie danych osobowych. Ocena dopuszczalności, skuteczności czy też ważności takiej umowy należy do sądów powszechnych. Jest to aspekt cywilnoprawny tej sprawy, który nie może być przedmiotem zainteresowań organu administracji publicznej ani tego Sądu.
Przedmiotem kontroli Generalnego Inspektora Ochrony Danych Osobowych, zgodnie z art. 12 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j.: Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), jest jedynie zgodność przetwarzania danych z przepisami o ochronie danych osobowych. W tym konkretnym zaś przypadku kontrola ta powinna polegać na zbadaniu, czy w wyniku zawartej umowy cywilnoprawnej, P. Sp. z o.o. z siedzibą w B. mogło przetwarzać dane osobowe J. K., przekazane przez Spółdzielnię Mieszkaniową w A., i czy odbyło się to zgodnie z przepisami ustawy o ochronie danych osobowych. GIODO nie jest natomiast uprawniony do badania, czy mogło dojść do zawarcia przedmiotowej umowy, zgodnie z przepisami Kodeksu cywilnego, czy umowa jest ważna i prawnie skuteczna, gdyż w tym przypadku organ administracji publicznej, jakim niewątpliwie jest GIODO, wykraczałby poza swoje ustawowo określone kompetencje. Tym bardziej więc organ nie mógł się wypowiadać na temat legalności samych urządzeń pomiarowych, jak
i obowiązku ich instalowania w lokalach mieszkalnych. Dla Generalnego Inspektora Ochrony Danych Osobowych zawarta umowa powinna być czynnością prawną nie podlegającą jego ocenie, wywołującą skutki prawne do czasu, dopóki nie zostanie zakwestionowana w formie i trybie przewidzianym przez prawo.
GIODO miał więc ocenić legalność przetwarzania danych osobowych J. K. w zaistniałym stanie faktycznym, co zresztą uczynił. W tym celu organ sprawdził, czy Spółka […] była uprawniona do legalnego przetwarzania jego danych osobowych w świetle ustawy o ochronie danych osobowych.
Z art. 1 ust. 2 ustawy o ochronie danych osobowych wynika, iż przysługujące każdemu prawo do ochrony dotyczących go danych osobowych nie ma charakteru absolutnego, bowiem przetwarzanie danych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą lub dobro osób trzecich w zakresie i trybie określonym ustawą.
W myśl art. 7 pkt 2 ustawy o ochronie danych osobowych, przez przetwarzanie danych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie
i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
Przesłanki dopuszczalności przetwarzania danych osobowych zostały określone w art. 23 ust. 1 ustawy o ochronie danych osobowych. Przetwarzanie danych osobowych jest więc dopuszczalne tylko wtedy, gdy:
1) osoba, której dane dotyczą, wyrazi na to zgodę;
2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;
3) jest to konieczne dla realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
5) jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Powyższe przesłanki mają charakter autonomiczny i niezależny. Wystarczy zatem wystąpienie jednej z nich, by przetwarzanie danych mogło być uznane za usprawiedliwione. Oznacza to także, że zgoda osoby, której dane dotyczą, nie jest wyłączną przesłanką przetwarzania danych osobowych.
Funkcjonowanie spółdzielni mieszkaniowych zostało uregulowane w przepisach ustawy z dnia 16 września 1982 r. – Prawo spółdzielcze (Dz. U. z 2003 r. Nr 188, poz. 1848 z późn. zm.) oraz ustawy z dnia 15 grudnia 2000 r. o spółdzielniach mieszkaniowych (Dz. U. z 2003 r. Nr 119, poz. 1116 z późn. zm.).
Według art. 1 § 1 Prawa spółdzielczego spółdzielnia jest dobrowolnym zrzeszeniem nieograniczonej liczby osób, o zmiennym składzie osobowym i zmiennym funduszu udziałowym, które w interesie swoich członków prowadzi wspólną działalność gospodarczą. Stosownie natomiast do treści art. 48 § 1 powołanej ustawy, zarząd kieruje działalnością spółdzielni oraz reprezentuje ją na zewnątrz. Z kolei w myśl art. 1 ust. 3 ustawy o spółdzielniach mieszkaniowych, spółdzielnia ma obowiązek zarządzania nieruchomościami stanowiącymi jej mienie lub nabyte na podstawie ustawy mienie jej członków. Podkreślenia także wymaga, że zgodnie z art. 4 ust. 1 ustawy
o spółdzielniach mieszkaniowych, członkowie spółdzielni, którym przysługują spółdzielcze prawa do lokali, są obowiązani uczestniczyć w wydatkach związanych
z eksploatacją i utrzymaniem nieruchomości w częściach przypadających na ich lokale, eksploatacją i utrzymaniem nieruchomości stanowiących mienie spółdzielni oraz
w zobowiązaniach spółdzielni z innych tytułów przez uiszczanie opłat zgodnie
z postanowieniami statutu.
W świetle przepisów ustawy – Prawo spółdzielcze i ustawy o spółdzielniach mieszkaniowych Spółdzielnia Mieszkaniowa w A., będąc administratorem danych członków Spółdzielni, była uprawniona do przetwarzania danych osobowych skarżącego. Na gruncie ustawy o ochronie danych osobowych podstawę legalnego przetwarzania danych stanowił art. 23 ust. 1 pkt 2.
Administrator danych, którym w myśl art. 7 pkt 4 ustawy o ochronie danych osobowych jest podmiot decydujący o celach i środkach przetwarzania danych osobowych, może przetwarzać przedmiotowe dane sam albo powierzyć to innemu podmiotowi.
Zgodnie bowiem z treścią przepisu art. 31 ust. 1 ustawy, administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. W myśl natomiast art. 31 ust. 2 ustawy, podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie. Należy przy tym zwrócić uwagę, że powierzenie przetwarzania danych dokonane przez administratora na podstawie umowy powierzenia, o której mowa w art. 31 ustawy, nie wymaga uzyskania zgody osoby, której dane dotyczą.
W świetle powyższego Spółdzielnia mogła zatem na podstawie pisemnej umowy przekazać dane osobowe skarżącego podmiotowi trzeciemu, który w ten sposób nabył uprawnienie do przetwarzania jego danych osobowych wyłącznie w zakresie i celu przewidzianym w umowie.
W niniejszej sprawie taką umową, na mocy której doszło do powierzenia danych osobowych J. K. przez administratora jego danych innemu podmiotowi, jest wspomniana na wstępie umowa z dnia 7 października 2002 r. nr OP/28/2002, zawarta pomiędzy Spółdzielnią Mieszkaniową w A. a P. Sp. z o.o. z siedzibą w B. Nazwa tej umowy wskazuje, że jest to umowa rozliczeniowa, dotycząca obsługi systemu rozliczania kosztów centralnego ogrzewania za pomocą elektronicznych podzielników kosztów typu SIEMENS WHE2. Jednak nie o nazwę umowy tu chodzi.
Sąd zwraca uwagę, że wbrew temu, co może sugerować podtytuł umowy, nie dotyczy ona tylko obsługi systemu rozliczania kosztów centralnego ogrzewania za pomocą elektronicznych podzielników kosztów typu SIEMENS WHE2. Przedmiot umowy bowiem jest znacznie szerszy, o czym świadczy treść umowy.
Jak wynika z § 1 umowy, określającego jej przedmiot, Spółdzielnia zleciła Spółce m. in. dokonywanie odczytów wskazań podzielników kosztów centralnego ogrzewania we wskazanych budynkach mieszkalnych, rozliczanie kosztów dostarczonego do budynku ciepła oraz przygotowywanie indywidualnego rozliczenia dla użytkowników lokali. Spółdzielnia zobowiązała się również do dostarczania Spółce aktualnych
i kompletnych danych niezbędnych do dokonania rozliczeń. W celu wykonania ww. umowy Spółdzielnia przekazała Spółce dane osobowe użytkowników lokali będących
w zasobach Spółdzielni, w tym dane osobowe J. K.. Dalsza część umowy potwierdza to, że dokonywanie rozliczeń zużytego ciepła przez Spółkę […] nie dotyczy tylko lokali, w których zainstalowane są podzielniki (§ 6 – Postanowienia szczegółowe).
Jeśli można zgodzić się ze skarżącym, to tylko w takim zakresie, że kwestionowana przez niego umowa w sposób mało przejrzysty i precyzyjny reguluje objęte nią kwestie, co jednocześnie nie oznacza, że Sąd dokonuje jej merytorycznej oceny. Nie można natomiast podzielić argumentacji skarżącego, że umowa w żaden sposób nie dotyczy jego osoby tylko dlatego, że w podtytule umowy znalazł się zapis dotyczący obsługi systemu rozliczania kosztów centralnego ogrzewania za pomocą elektronicznych podzielników kosztów typu SIEMENS WHE2, którego to urządzenia w lokalu skarżącego nie zainstalowano.
Z § 6 pkt 7 wynika, że przedmiotem umowy jest system rozliczeń. Chodzi zatem niewątpliwie o koszty zużytego ciepła w całym budynku, czyli przez wszystkich mieszkających w nim lokatorów, a to czy jedni z nich mają zainstalowane urządzenia pomiarowe, a inni nie mają, ma tylko to znaczenie, że w przypadku tych drugich rozliczenia przeprowadzane są w oparciu o wewnętrzne regulacje Spółdzielni (§ 6 pkt 3 umowy), których mimo wszystko na podstawie tej umowy ma dokonywać Spółka […]. Potwierdza to także przyjęty przez Radę Nadzorczą Spółdzielni w dniu 16 grudnia 2004 r., a wchodzący w życie z dniem 1 stycznia 2005 r. „Regulamin systemu rozliczania kosztów centralnego ogrzewania oraz dostawy ciepłej i zimnej wody dla lokali mieszkalnych i użytkowych będących w zasobach Spółdzielni Mieszkaniowej
w A.” (§ 4, § 7 i § 8 Regulaminu).
Nie można wobec tego przyznać racji skarżącemu, że w sprawie doszło do naruszenia art. 31 ust. 2 ustawy o ochronie danych osobowych. Spółdzielnia, jako administrator danych, mogła przekazać Spółce […] dane osobowe swych członków, ta zaś na podstawie zawartej ze Spółdzielnią umowy wykorzystywała i wykorzystuje je zgodnie z zakresem i celem umowy. Dlatego też, zarzuty skarżącego w tej kwestii są całkowicie chybione. Nie zasługuje także na uwzględnienie podnoszony w postępowaniu administracyjnym zarzut naruszenia art. 87 Konstytucji Rzeczypospolitej Polskiej. Również powoływanie się na zasady współżycia społecznego i przyjęte zwyczaje nie znajduje jakiegokolwiek uzasadnienia prawnego.
W postępowaniu administracyjnym nie mają zastosowania zasady współżycia społecznego. Podobnie rzecz się ma, gdy chodzi o zwyczaj. Przepisy art. 6 i art. 7 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (t.j.: Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) wykluczają stosowanie zasad współżycia społecznego w postępowaniu administracyjnym, tym bardziej, że zasady współżycia społecznego nie mogą stanowić podstawy prawnej decyzji administracyjnej i skargi sądowej, nie mogą modernizować i modyfikować przepisów materialnego prawa administracyjnego oraz nie mogą stanowić dyrektywy wykładni przepisów prawa materialnego stosowanych w trybie postępowania administracyjnego (por. wyrok Naczelnego Sądu Administracyjnego z dnia 18 grudnia 1984 r. sygn. akt SA/Po 1028/84).
Ponadto, wbrew twierdzeniom skarżącego, przepisy ustawy o ochronie danych osobowych nie nakładają na strony umów cywilnoprawnych obowiązku wprowadzania do ich treści zapisów dotyczących ochrony danych osobowych.
Reasumując, przeprowadzona przez Sąd kontrola legalności wydanych w sprawie decyzji wykazuje, że przetwarzanie danych osobowych J. K. przez Spółdzielnię Mieszkaniową w A. i P. Sp. z o.o. z siedzibą w B. było zgodne z przepisami ustawy o ochronie danych osobowych. Zatem wydane w sprawie decyzje należy uznać za prawidłowe.
Z uwagi na powyższe, nie mając podstaw do uwzględnienia skargi, Wojewódzki Sąd Administracyjny w Warszawie w oparciu o art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270
z późn. zm.) orzekł, jak w sentencji wyroku.
Na podstawie art. 250 ustawy – Prawo o postępowaniu przed sądami administracyjnymi w związku z § 18 ust. 1 pkt 1 lit. „c” i w związku z § 2 ust. 3 rozporządzenia Ministra Sprawiedliwości z dnia 28 września 2002 r. w sprawie opłat za czynności adwokackie oraz ponoszenia przez Skarb Państwa kosztów nieopłaconej pomocy prawnej udzielonej z urzędu (Dz. U. Nr 163, poz. 1348 z późn. zm.), Sąd przyznał pełnomocnikowi skarżącego wynagrodzenie w wysokości 240 zł powiększone o należny podatek od towarów i usług, tytułem nieopłaconej pomocy prawnej udzielonej z urzędu.
