II SA/Wa 2260/06
2009-04-09
Orzeczenie prawomocne
W Y R O K
W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ
Dnia 7 marca 2007 r.
Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu na rozprawie w dniu 7 marca 2007 r. sprawy ze skargi T. K. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia […] nr […] w przedmiocie ochrony danych osobowych;
- oddala skargę -
UZASADNIENIE
Skarżąca – T. K. – 15 marca 2005 r. skierowała do Generalnego Inspektora Ochrony Danych Osobowych obszerne pismo, w którym przedstawiła swoje uwagi i obawy dotyczące prowadzenia jej dokumentacji osobowej przez P. S.A. w związku z realizacją jej roszczeń ubezpieczeniowych. Wskazała, że w 2003 r. zaczęła odbierać połączenia telefoniczne od nieznanych jej osób, które próbowały oferować jej swoje usługi w zakresie dochodzenia roszczeń odszkodowawczych od P. S.A., zakupu sprzętu rehabilitacyjnego usprawniającego leczenie nogi, zakupu specjalistycznego samochodu, itd. Tych rozmów w okresie 2003-2004 było kilkanaście. Poinformowała, że wszyscy rozmówcy pytani przez nią, skąd posiadają informacje dotyczące jej osoby, nie udzielali odpowiedzi, względnie przerywali połączenie. Po tych „dziwnych telefonach” skradziono jej samochód, za pomocą którego, jako osoba niepełnosprawna przemieszczała się. Zwróciła uwagę, że tego rodzaju zdarzenia pozwalają jej przypuszczać, że ubezpieczyciel w sposób nieprawidłowy prowadzi dokumentację ubezpieczeniową. Poinformowała, że nie zna idei ochrony danych osobowych, ale to, że w taki sposób postępuje się z posiadanymi informacjami, że umożliwiają one zidentyfikowanie osoby fizycznej, uważa za niezgodne z prawem.
Postanowieniem z [...]. utrzymanym w mocy postanowieniem z […], Generalny Inspektor Ochrony Danych Osobowych przekazał sprawę T. K. do Rzecznika Ubezpieczonych w W., jako organu właściwego w sprawie.
Powyższe postanowienia wskutek wniesienia skargi przez T. K. mocą wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z 23 listopada 2005 r. sygn. akt II SA/Wa 1488/05 zostały uchylone. Sąd wskazał, że podanie skarżącej dotyczy oceny legalności przetwarzania danych osobowych, które powinno zostać rozpoznane przez Generalnego Inspektora Ochrony Danych Osobowych.
Wobec powyższego Generalny Inspektor podjął działania mające na celu wyjaśnienie sprawy. W toku prowadzonego postępowania P. S.A. wyjaśniła, iż w związku z koniecznością rozpatrzenia zasadności zgłoszonego przez skarżącą roszczenia dotyczącego zwrotu kosztów zakupu pojazdu dostosowanego do przewożenia poszkodowanej oraz wózka inwalidzkiego, P. S.A. Inspektorat w W. wystąpił 5 maja 2003 r. do Państwowego Funduszu Rehabilitacji Osób Niepełnosprawnych o udzielenie informacji w sprawie przystosowania pojazdu do potrzeb poszkodowanej. W odpowiedzi na ww. wystąpienie Fundusz wskazał na dwa podmioty zawodowo trudniące się tego rodzaju przystosowaniem („S.” w B. oraz „M.” w B.), do których Inspektorat w W. zwrócił się pismem z 21 maja 2003 r. W tej korespondencji udostępniono dane osobowe skarżącej, w tym dane o stanie jej zdrowia w zakresie: imię i nazwisko, adres zamieszkania, informacja o 98% trwałego inwalidztwa skarżącej. Ponadto P. S.A. poinformowała Generalnego Inspektora, iż w związku z prowadzonym postępowaniem, w sprawie skarżącej wystąpiono do Starostwa Powiatowego w W.. W ocenie P. S.A. powyższe działania wiązały się z rozpatrywaniem roszczenia dotyczącego zakupu pojazdu dla skarżącej.
W złożonych wyjaśnieniach wskazano także, iż akta szkodowe skarżącej znajdują się w Wydziale Likwidacji Szkód Osobowych Rent i NNW, który mieści się w budynku Inspektoratu P. S.A. w C. Dokumentacja dotycząca szkód przechowywana jest w zamykanych na zamki drewnianych szafach znajdujących się w pomieszczeniu wydziału. Pomieszczenie to ma odrębne wejście zamykane na zamek patentowy. Ponadto budynek jest objęty ochroną fizyczną przez agencję ochrony. P. S.A. wyjaśniła jednocześnie, iż „zgodnie z przepisami art. 16 ust. 4 i 19 ust. 2 ustawy z dnia 22 maja 2003 r. o działalności ubezpieczeniowej, art. 14 ust. 14 ust. 5 ustawy z dnia 22 maja 2003 r. o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych (…) oraz Zarządzenia Prezesa P. S.A. Nr 28/2003 z dnia 23 grudnia 2003 r. w sprawie zasad udostępniania akt szkody, dokumentacja gromadzona w toku postępowania likwidacyjnego udostępniana jest do wglądu i sporządzania odpisów lub kserokopii jedynie w ściśle określonym w wyżej przytoczonych przepisach podmiotom i osobom (…). Fakt dokonania wglądu do akt szkody i wykonania odpisów lub kserokopii każdorazowo odnotowywany jest w dokumentacji szkody i z załączonego do pisma dokumentu wynika, że w przedmiotowej sprawie akta szkody udostępniane były jedynie T. K. (…)”.
Ponadto P. S.A. wskazała, iż „(…) nie można wnioskować, że otrzymywane przez poszkodowaną telefony, czy też kradzież pojazdu była wynikiem uzyskania od P. S.A. informacji na temat jej imienia, nazwiska i adresu poszkodowanej, tym bardziej, że takie dane są w posiadaniu również innych instytucji, podmiotów”.
Skarżąca w piśmie z 16 marca 2006 r. podniosła, iż w „sprawie jaką w piśmie do GIODO z 12 marca 2005 r. poruszyłam dotyczyła jednoznacznego stwierdzenia przez GIODO, czy P. S.A. popełniło czy nie popełniło przestępstwa z art. 6 i 27 ustawy o ochronie danych osobowych, tak w świetle polskiej ustawy o ochronie danych osobowych, jak i w świetle Dyrektywy 95/46/WE Parlamentu Europejskiego I Rady UE z dnia 24 października 1995 r. (…). Powinnam mieć udzieloną ze strony GIODO pełną odpowiedź o rozmiarze popełnionego przestępstwa przez P. S.A. (…)”.
Mając na uwadze powyższe ustalenia Generalny Inspektor Ochrony Danych Osobowych decyzją z [...] nr […] nakazał P. S.A. nieudostępnianie w przyszłości danych osobowych Pani T. K. , w tym w szczególności danych o stanie zdrowia innym podmiotom bez spełnienia jednej z przesłanek określonych w art. 27 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.). W pozostałym zakresie odmówiono uwzględnienia wniosku.
W uzasadnieniu stwierdził, że P. S.A. udostępniła wskazanym przez skarżącą podmiotom zarówno jej dane tzw. zwykłe (imię, nazwisko, adres zamieszkania), jak i dane dotyczące stanu zdrowia (stopnia inwalidztwa), w kwestii ustalenia legalności przetwarzania przedmiotowych danych zastosowanie mają przepisy art. 23 ust. 1 oraz art. 27 ww. ustawy. Przetwarzanie danych zwykłych jest dopuszczalne – zgodnie z art. 23 ust. 1 pkt 2 ustawy – m.in. wtedy, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Natomiast przetwarzanie danych o stanie zdrowia jest – w myśl art. 27 ust. 1 ustawy – co do zasady zabronione, a dopuszczalne tylko w enumeratywnie wymienionych w art. 2 tego przepisu sytuacjach m.in. jeżeli przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą i stwarza pełne gwarancje ich ochrony. Organ uznał, że art. 25 ust. 1 ustawy o działalności ubezpieczeniowej – wskazany przez P. S.A., jako podstawa udostępnienia danych osobowych skarżącej innym podmiotom – dotyczy udzielania informacji (w tym udostępniania danych osobowych) zakładom ubezpieczeń przez inne podmioty, nie zaś przez zakład ubezpieczeń tym podmiotom. Nie kwestionując prawa spółki do podejmowania czynności ukierunkowanych na ustalenie istotnych okoliczności dla prowadzonego przez spółkę postępowania, należy podkreślić, że przedmiotowe działania nie mogą odbywać się z naruszeniem praw skarżącej do ochrony jej danych osobowych, w szczególności danych o stanie zdrowia. Jest to tym bardziej uzasadnione, że na podstawie samej ustawy o działalności ubezpieczeniowej, w szczególności art. 19 ust. 1, zakład ubezpieczeń i osoby w nim zatrudnione są obowiązane do zachowania tajemnicy dotyczącej poszczególnych umów ubezpieczenia. W ust. 2 wymienionego przepisu enumeratywnie wymieniono podmioty, którym na wniosek zakłady ubezpieczeń mogą udzielać informacji, przy jednoczesnym spełnieniu warunków wskazanych w tym przepisie. Organ stwierdził, że nie należą do nich podmioty, którym spółka udostępniła dane osobowe skarżącej. Przepisy ustawy o działalności ubezpieczeniowej w żadnym razie nie stanowią podstawy prawnej dla spółki do udostępniania danych osobowych skarżącej ww. podmiotom, szczególnie w zakresie imienia, nazwiska, adresu zamieszkania w połączeniu z informacją o stopniu inwalidztwa. Uzyskanie informacji koniecznych dla spółki mogło odbyć się poprzez sam opis problemu w zakresie przystosowania pojazdu do przewozu osoby niepełnosprawnej i kosztu takiego przystosowania, bez zamieszczania w skierowanych do tych podmiotów pismach informacji o danych osobowych skarżącej w połączeniu z informacją o stopniu jej inwalidztwa. Natomiast przekazanie przez spółkę w piśmie skierowanym do Starostwa Powiatowego w W. danych osobowych skarżącej w postaci imienia, nazwiska i adresu zamieszkania znajdowało uzasadnienie z uwagi na potrzebę uzyskania od Starostwa informacji, czy skarżąca (bądź jej małżonek) za pomocą zakupionego samochodu prowadzi obecnie dzielność gospodarczą w pełnym lub ograniczonym zakresie, to przekazanie tych danych łącznie z informacją o jej stopniu inwalidztwa, a mianowicie że porusza się ona na wózku inwalidzkim, należy traktować jako działanie nieuprawnione. W konsekwencji uzasadnione jest postawienie P. S.A. zarzutu niedochowania należytej staranności w celu ochrony interesów skarżącej. W świetle przytoczonych okoliczności organ uznał, że P. S.A. naruszyło art. 23 ust. 1, art. 27 i art. 26 ust. 1 ww. ustawy i koniecznym było wydanie wobec spółki nakazu nieudostępniania ww. danych osobowych skarżącej podmiotom nieuprawnionym do ich posiadania.
Odnosząc się do zarzutu skarżącej dotyczącego „wycieku” informacji z P. S.A. organ wskazał, że jednym z podstawowych obowiązków administratora jest wynikający z art. 36 ustawy obowiązek zastosowania środków technicznych i organizacyjnych, zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Przytoczony przepis dotyczy wyłącznie kwestii stosowania przez administratorów właściwych narzędzi techniczno – organizacyjnych w celu odpowiedniego zabezpieczenia przetwarzania danych osobowych. W ocenie organu P. S.A., jako administrator danych osobowych skarżącej zawartych w aktach szkodowych, stosuje środki organizacyjno – techniczne, które zapewniają skuteczną ochronę tychże danych.
Ponadto odnosząc się do twierdzeń skarżącej, która wiąże fakt wystosowania przez spółkę pism do wskazanych powyżej podmiotów z zaistniałymi po ich wysłaniu wydarzeniami, w szczególności z kradzieżą samochodu, organ podkreślił, że jednoznaczne stwierdzenie istnienia takiego powiązania może zostać dokonane wyłącznie przez właściwe organy ścigania po przeprowadzeniu stosownego postępowania. Organ stwierdził także, że nie jest władny aby „stwierdzić popełnienie przestępstwa” przez jakikolwiek podmiot. Właściwe w tym zakresie są wyłącznie sądy powszechne.
We wniosku o ponowne rozpatrzenie sprawy z 16 lipca 2006 r., uzupełnionym pismami z 21 i 28 sierpnia 2006 r., skarżąca podtrzymała swoje stanowisko o naruszeniu przepisów o ochronie danych osobowych przez P. S.A. w zakresie dotyczącym zabezpieczenia danych osobowych i wniosła o stwierdzenie popełnienia wobec niej przez osoby odpowiedzialne w P. S.A. przestępstwa z art. 49 ustawy o ochronie danych osobowych.
Decyzją z […] Generalny Inspektor Ochrony Danych Osobowych utrzymał w mocy zaskarżoną decyzję.
Odnosząc się do zarzutów stwierdzenia popełnienia przestępstwa z ustawy o ochronie danych osobowych przez P. S.A. wobec skarżącej, organ stwierdził, iż nie jest organem uprawnionym do orzekania w sprawach dotyczących stosowania przepisów karnych zawartych w ustawie. Zgodnie bowiem ze stanowiskiem NSA zaprezentowanym w wyroku z 19 listopada 2001 r. sygn. akt II SA 2702/00, elementem decyzji wydanej w trybie art. 18 ustawy nie jest zawiadomienie organu powołanego do ścigania przestępstw o popełnieniu przestępstwa, do czego GIODO w myśl dyspozycji przepisu art. 19 ustawy jest zobowiązany w razie stwierdzenia, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej będącej administratorem danych, wyczerpuje znamiona przestępstwa określonego w ustawie (por. art. 49 i nast. ustawy). Przepis ten nakłada określony w nim obowiązek na GIODO, niemniej jednak obowiązek ten nie mieści się w sferze decyzyjnych, merytorycznych rozstrzygnięć GIODO, dotyczących nakazania przywrócenia stanu zgodnego z prawem. Ponadto NSA stwierdził, że osoba dochodząca ochrony swych spraw w trybie ww. ustawy o ochronie danych osobowych nie jest podmiotem postępowania obliczonego na wydanie decyzji o zawiadomieniu stosownego organu o przestępstwie w zakresie przetwarzania danych osobowych i nie może się tego domagać od GIODO w administracyjno-prawnych formach tego postępowania.
Generalny Inspektor stwierdził, że stosownie do przyznanych mu ustawowo kompetencji, nie jest uprawniony do stwierdzenia, czy w sprawie popełniono czyn zabroniony, określony w art. 49 – 54 ustawy, gdyż organami, które mogą ten problem rozstrzygnąć są wyłącznie organy ścigania. Jednocześnie organ podtrzymał w pełni, iż P. S.A. wobec udostępnienia danych osobowych skarżącej osobom nieupoważnionym, naruszyła przepisy o ochronie danych osobowych. Tym samym Generalny Inspektor rozstrzygając merytorycznie i stosownie do przyznanych mu ustawowo kompetencji (art. 18 ustawy) nakazał P. S.A. zaprzestanie stosowania podobnych praktyk w przyszłości.
Na powyższą decyzję 26 października 2006 r. skarżąca złożyła skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie, w której wniosła o uchylenie decyzji z […].
W motywach skargi skarżąca zarzuciła organowi, iż analizując materiał dowodowy niniejszej sprawy nie dopatrzył się przestępstwa z art. 49 ust. 2 ustawy o ochronie danych osobowych. Skarżąca podniosła jednocześnie, że Generalny Inspektor w zaskarżonych decyzjach „używa określeń jakoby akta chronione były w dostateczny sposób”, natomiast w ocenie skarżącej w przedmiotowej sprawie „nie chodzi o chronienie akt ale sposób prowadzenia korespondencji zgodnej z prawem”. Ponadto skarżąca nie zgodziła się ze wskazanym przez organ ustaleniem, iż „spółka zastosowała odpowiednie procedury gwarantujące zabezpieczenie danych skarżącej przed ich przetwarzaniem niezgodnie z art. 36 ustawy”. W ocenie skarżącej, gdyby administrator danych osobowych stosował wytyczne z art. 36 ustawy, to wówczas nie doszłoby w przedmiotowej sprawie do popełnienia przestępstwa. Ponadto, zdaniem skarżącej „prawdopodobnie wytyczne z art. 36 wprowadzone zostały w P. dopiero zarządzeniem Prezesa Nr 28/2003 z dnia 23 grudnia 2003 r. (…) gdy tymczasem niezgodnie z prawem pisma rozesłane zostały w okresie od 5 do 21 maja 2003 r.” Skarżąca podniosła także, że organ w przedmiotowej sprawie nie był bezstronny. Skarżąca nie zgodziła się także ze stanowiskiem zawartym w zaskarżonej decyzji, że Generalny Inspektor „zwraca się, stosownie do właściwych przepisów ustawy o ochronie danych osobowych, wyłącznie do tych podmiotów, które w jego ocenie w danej sprawie mogą złożyć wyjaśnienia mające wpływ na ustalenie dokładnego stanu faktycznego w sprawie”.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych podtrzymał okoliczności faktyczne i prawne zawarte w zaskarżonej decyzji i wniósł o oddalenie skargi.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Stosownie do treści art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonego aktu administracyjnego i to z przepisami obowiązującymi w dacie jego wydania. Innymi słowy, sąd administracyjny kontroluje legalność rozstrzygnięcia zapadłego w postępowaniu z punktu widzenia jego zgodności z prawem materialnym i obowiązującymi przepisami prawa procesowego.
Skarga analizowana pod tym kątem nie zasługuje na uwzględnienie.
Na wstępie należy zaznaczyć, iż skarżąca wniosła o uchylenie decyzji Generalnego Inspektora Ochrony Danych Osobowych w całości, a więc także w zakresie w jakim organ uznał, iż doszło do naruszenia przez P. S.A. art. 23 ust. 1, art. 27 i art. 26 ust. 1 ustawy o ochronie danych osobowych i nakazał P. S.A. nieudostępnianie w przyszłości danych osobowych skarżącej, w tym w szczególności danych o stanie zdrowia innym podmiotom bez spełnienia jednej z przesłanek określonych w art. 27 ust. 2 ww. ustawy.
Ponadto z treści skargi wynika, iż skarżąca przede wszystkim domaga się od Generalnego Inspektora Ochrony Danych Osobowych jednoznacznego stwierdzenia, „czy popełniono względem niej i jej rodziny przestępstwa z art. 49 ustawy o ochronie danych osobowych”.
Odnosząc się do powyższego wskazać należy, iż przedmiotem kontroli Generalnego Inspektora Ochrony Danych Osobowych, zgodnie z art. 12 pkt 1 ustawy o ochronie danych osobowych, jest kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych. W przedmiotowej sprawie kontrola ta polegała na zbadaniu, czy w wyniku zawartej umowy ubezpieczeniowej przez skarżącą z P. S.A., a następnie prowadzonego przez P. S.A. postępowania odszkodowawczego, doszło do naruszenia przepisów o ochronie danych osobowych.
W sprawie bezsporne jest, iż P. S.A. zwróciła się do Państwowego Funduszu Rehabilitacji Osób Niepełnosprawnych, a następnie do S. w B., M. w B. oraz Starostwa Powiatowego w W., pismami w których udostępniła dane osobowe skarżącej, takie jak: imię i nazwisko, adres zamieszkania oraz informację stopniu inwalidztwa.
Sąd uznał, iż trafnie organ przyjął, że powołany przez P. S.A. przepis art. 25 ustawy z dnia 28 lipca 1990 r. o działalności ubezpieczeniowej, nie stanowił podstawy prawnej dla udostępniania danych osobowych skarżącej wymienionym podmiotom, szczególnie w zakresie imienia, nazwiska, adresu zamieszkania w połączeniu z informacją o stopniu inwalidztwa. Po pierwsze dlatego, iż przepis art. 25 ust. 1 ustawy o działalności ubezpieczeniowej dotyczy udzielania informacji zakładom ubezpieczeń przez inne podmioty, nie zaś przez zakład ubezpieczeń innym podmiotom. Po drugie art. 19 ust. 2 ustawy o działalności ubezpieczeniowej, nie wymienia ww. pomiotów, jako tych którym zakład ubezpieczeń może udzielać tego typu informacji przy jednoczesnym spełnieniu warunków wskazanych w tym przepisie.
Prawidłowo organ skonstatował, iż uzyskanie od ww. podmiotów koniecznych dla P. S.A. informacji mogło odbyć się przez sam opis problemu w zakresie przystosowania pojazdu do przewozu osoby niepełnosprawnej i kosztu takiego przystosowania, bez zamieszczania w skierowanych do tych podmiotów pismach informacji o danych osobowych skarżącej w połączeniu z informacją o stopniu jej inwalidztwa. Sama zaś informacja o stopniu inwalidztwa, wobec potrzeby wprowadzenia w pojeździe koniecznych zmian, nie stanowiłaby naruszenia, ponieważ na tej postawie skarżącej nie udałoby się zidentyfikować. W konsekwencji organ trafnie przyjął, że P. S.A. niedochowała należytej staranności w celu ochrony interesów skarżącej, czym naruszyła art. 23 ust. 1, art. 27 i art. 26 ust. 1 ustawy o ochronie danych osobowych i zasadnie – na podstawie art. 18 ust. 1 pkt 2 ww. ustawy – nakazał P. S.A. nieudostępnianie danych osobowych skarżącej, w tym w szczególności danych osobowych o stanie zdrowia innym podmiotom bez spełnienia jednej z przesłanek określonych w art. 27 ust. 2 ustawy.
Podkreślić należy – co słusznie podniósł organ, powołując się na wyroki NSA (z 21 listopada 2002 r. sygn. akt II SA 1682/01, LEX nr 14965 oraz z 19 listopada 2001 r. sygn. akt II SA 2702/00) – że w świetle ustawy o ochronie danych osobowych, naruszenie jej przepisów staje się źródłem odpowiedzialności administracyjnej, prowadzącej w istocie do obowiązku przywrócenia stanu zgodnego z prawem (art. 18 ustawy) oraz odpowiedzialności karnej (art. 19, art. 49 – 54 ustawy). Przy czym jedynie ten pierwszy rodzaj odpowiedzialności realizowany jest w drodze wydania decyzji administracyjnej. W przypadku zaś, gdy wyniki działania kontrolnego będą wskazywać na to, iż działanie lub zaniechanie kierownika jednostki, jej pracownika lub innej osoby fizycznej będącej administratorem danych nosi znamiona przestępstwa, GIODO ma obowiązek skierowania zawiadomienia o popełnieniu przestępstwa do organu powołanego do ścigania przestępstw. Nie dokonuje tego jednak, jak w przypadku art. 18 w drodze decyzji administracyjnej, lecz w drodze wystąpienia, które stanowi realizację jego kompetencji w tej sprawie. Wskazuje na to zarówno wyraźne określenie formy decyzji w art. 18 ustawy, a brak tego określenia w art. 19 ustawy, jak i istota oraz znaczenie decyzji administracyjnej. Nakłada ona bowiem na stronę pewne uprawnienie lub obowiązek lub odmawia jego przyznania. Tymczasem wystąpienie do prokuratury z informacją o podejrzeniu przestępstwa nie ma takiego charakteru. Osoba dochodząca ochrony swych praw w trybie ustawy o ochronie danych osobowych nie jest podmiotem postępowania obliczonego na wydanie decyzji o zawiadomieniu stosownego organu o przestępstwie w zakresie przetwarzania danych osobowych i nie może się tego domagać od GIODO w administracyjno – prawnych formach przewidzianych ustawą. Sposób załatwienia sprawy co do meritum reguluje art. 18 ustawy, przyznając GIODO uprawnienia w zakresie nakazania administratorowi winnemu naruszeń przywrócenia stanu zgodnego z prawem.
W związku z powyższym, należy wyraźnie podkreślić, iż Generalny Inspektor Ochrony Danych Osobowych w swych decyzjach nie mógł, co więcej nie miał prawa wypowiadać się w kwestii popełnienia, bądź też braku popełnienia wobec skarżącej przestępstwa z art. 49 ustawy, ponieważ przez to wykroczyłby poza swoje ustawowo określone kompetencje. Natomiast umieszczanie w ustawie o ochronie danych osobowych przez ustawodawcą przepisów karnych, dotyczących przestępstw z ochrony danych osobowych nie oznacza, iż w tym zakresie właściwym do orzekania jest Generalny Inspektor Ochrony Danych Osobowych. Jedynymi organami właściwymi do oceny, czy w danej sprawie zostało popełnione przestępstwo z art. 49 – 54 ustawy, jest prokuratura i sąd powszechny.
Ponadto rację ma organ twierdząc, iż kierowanie zawiadomień o popełnieniu przestępstwa do organów ścigania należy do autonomicznych, samodzielnych kompetencji Generalnego Inspektora Ochrony Danych Osobowych, realizowanych przez niego z urzędu – a nie na wniosek osób zainteresowanych, na co wskazuje sam przepis art. 19 ustawy, w którym to mówi się „w razie stwierdzenia” i nie ma zapisów, które stanowiłby o wystosowywaniu takich zawiadomień na wniosek strony postępowania. Dlatego też zarzuty skarżącej dotyczące „niedopatrzenia się przez organ przestępstwa z art. 49 ust. 2 ustawy” Sąd uznał za chybione.
Za nietrafne Sąd uznał również zarzuty skarżącej dotyczące naruszenia art. 36 ustawy i podzielił stanowisko organu, że P. S.A. zastosowała odpowiednie procedury gwarantujące zabezpieczenie danych osobowych skarżącej. Słusznie organ stwierdza w odpowiedzi na skargę, że podnoszona przez skarżącą okoliczność, iż P. S.A. wprowadziła wytyczne z art. 36 ustawy dopiero zarządzeniem Prezesa P. S.A. Nr 28/2003 z dnia 23 grudnia 2003 r., jest bez znaczenia, ponieważ istotnym jest, że w chwili wydawania w niniejszej sprawie decyzji administracyjnej, tj. […] w P. S.A. obowiązywały odpowiednie procedury gwarantujące przetwarzanym danym ochronę wynikającą z art. 36 ustawy. Natomiast kwestii świadomego i celowego udostępniania danych osobowych poprzez kierowanie do innych podmiotów korespondencji, jak miało to miejsce w niniejszej sprawie, nie należy traktować w kategorii braku zastosowania środków z art. 36 ustawy. Sąd zwraca uwagę, iż organ stwierdził, iż P. S.A. prowadził korespondencję w sposób niewłaściwy z naruszeniem przepisów, czemu dał wyraz nakazując spółce – w decyzji z […] – nieudostępnianie danych osobowych skarżącej, w tym szczególności danych osobowych o stanie zdrowia innym podmiotom bez spełnienia jednej z przesłanek określonych w art. 27 ust. 2 ustawy.
Nietrafne są także zarzuty skargi dotyczące prowadzania przez organ postępowania w sposób stronniczy. Z akt sprawy wynika, iż decyzje w niniejszej sprawie zostały wydane na podstawie prawidłowo zebranego materiału dowodowego z zachowaniem zasad postępowania administracyjnego.
W świetle powyższych rozważań Sąd uznał, że zaskarżona decyzja jest zgodna z prawem, gdyż zarówno argumentacja skargi, jak i analiza akt sprawy nie ujawniła wad tego rodzaju, że mogłyby one mieć wpływ na podjęte rozstrzygnięcie.
Z uwagi na powyższe, Wojewódzki Sąd Administracyjny w Warszawie w oparciu o art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.) orzekł, jak w sentencji wyroku.
