II SA/Wa 143/08
2009-04-09
Orzeczenie prawomocne
WYROK
W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ
Dnia 13 marca 2008r
Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu na rozprawie w dniu 13 marca 2008 r. sprawy ze skargi K. M. R. prowadzącej działalność pod nazwą "P." z siedzibą S. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2007 r. nr [...] w przedmiocie zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych oraz usunięcia danych osobowych
oddala skargę
UZASADNIENIE
Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] listopada 2007 r., nr [...] utrzymał w mocy własną decyzję z dnia [...] sierpnia 2007 r., nr [...] nakazującą K. M. R., prowadzącej działalność gospodarczą pod firmą "P." z siedzibą w S. przy ul. K. [...], usunięcie uchybień w procesie przetwarzania danych osobowych poprzez: 1) zgłoszenie do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych dotyczących klientów, z którymi K. M. R. prowadzącą działalność gospodarczą pod firmą "P." z siedzibą w S. zawarła umowy kupna - sprzedaży, w terminie od dnia, w którym decyzja stanie się ostateczna, 2) usunięcie przez K. M. R., prowadzącą działalność gospodarczą pod firmą "P." z siedzibą w S., danych dotyczących potencjalnych klientów, odnośnie których cel marketingowy, dla którego ww. dane były zbierane, został zrealizowany, w terminie czternastu dni od dnia, w którym decyzja stanie się ostateczna.
W uzasadnieniu powyższej decyzji Generalny Inspektor Ochrony Danych Osobowych podniósł, że w toku czynności kontrolnych dokonanych w dniach 23 - 26 kwietnia 2007 r. w firmie K. M. R. prowadzącej działalność gospodarczą pod nazwą "P." z siedzibą w S., ustalono, iż przedsiębiorca nie zgłosił do rejestracji zbioru danych dotyczących klientów, z którymi zawarł umowy kupna - sprzedaży, przetwarzanych w sposób tradycyjny oraz w postaci elektronicznej w programie o nazwie "Symfonia 2006". Ponadto kontrola wykazała, że przedsiębiorca przetwarza dane potencjalnych klientów, odnośnie których ustalono, iż cel marketingowy, dla którego były one gromadzone, został zrealizowany.
Generalny Inspektor Ochrony Danych Osobowych, stwierdziwszy naruszenie przez ww. przedsiębiorcę przepisów art. 40 i 26 ust. 1 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 ze zm.), decyzją z dnia [...] sierpnia 2007 r. nakazał usunięcie uchybień w zakresie przetwarzania danych osobowych.
W dniu 24 września 2007 r. pełnomocnik K. M. R. wniósł o ponowne rozpatrzenie sprawy zakończonej decyzją Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] sierpnia 2007 r. i uchylenie tej decyzji w całości oraz umorzenie postępowania. We wniosku strona podniosła, iż przedsiębiorca nie prowadził zbioru danych osobowych w rozumieniu art. 7 pkt 1 ustawy o ochronie danych osobowych, albowiem brak było w tym zbiorze (zestawieniu) kryterium dostępu do poszczególnych umów. Zakwestionowane jako zbiór danych umowy kupna-sprzedaży były ułożone chronologicznie, według daty zawarcia umów. Dane klientów były wprowadzane do programu o nazwie "Symfonia 2006" wyłącznie dla celów podatkowych. Zdaniem wnioskodawcy, łączenie umów kupna-sprzedaży z programem "Symfonia 2006" i traktowanie ich jako ewentualnego zbioru podlegającego zgłoszeniu jest niczym nie uzasadnione. Zestaw umów kupna-sprzedaży nie ma bowiem charakteru osobowego i nie jest on również dostępny wg określonych kryteriów. Nie jest zatem możliwy bezpośredni dostęp do danych osobowych bez wcześniejszego przejrzenia pozostałych umów. Nie istnieje też jakiekolwiek kryterium "osobowe", przez które możliwy jest dostęp do informacji.
Generalny Inspektor Ochrony Danych Osobowych po ponownym rozpatrzeniu sprawy, rozstrzygnięciem z dnia [...] listopada 2007 r. wydanym na podstawie art. 138 § 1 pkt 1 k.p.a. oraz art. 12 pkt 2 i art. 18 ust. 1 pkt 1 i art. 22 w związku z art. 26 ust. 1 pkt 4, art. 40 ustawy o ochronie danych osobowych, utrzymał zaskarżoną decyzję w mocy. Uznając argumenty podniesione we wniosku o ponowne rozpatrzenie sprawy za niezasadne organ podniósł, iż stosownie do art. 40 ww. ustawy, administrator danych jest zobowiązany do zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, za wyjątkiem przypadków, o których mowa w art. 43 ust. 1 tej ustawy. Zgodnie z art. 7 pkt 1 ustawy o ochronie danych osobowych, zbiorem danych osobowych jest każdy posiadający strukturę, zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Z materiału dowodowego zebranego w sprawie wynikało, iż dane osobowe w kontrolowanych umowach kupna-sprzedaży tworzyły jeden zbiór danych osobowych, prowadzony w formie "papierowej" i elektronicznej. Zbiór ten był prowadzony w dwóch celach, tj. w celu realizacji umów oraz w celu sprawozdawczości finansowej. Dostęp do danych osobowych dotyczących klienta, zawartych w konkretnej umowie, był możliwy poprzez system informatyczny o nazwie "Symfonia 2006". Zawarta w tym systemie data wprowadzenia danych określonego klienta, zbieżna do daty zawarcia umowy kupna-sprzedaży z tym klientem pozwalała na odnalezienie jego danych zawartych w konkretnej umowie, bez konieczności przeglądania wszystkich zgromadzonych danych. Nie można więc traktować danych osobowych zawartych w umowach kupna-sprzedaży oraz danych osobowych przetwarzanych w systemie informatycznym o nazwie "Symfonia 2006", jako dwóch odrębnych, niepowiązanych ze sobą zestawów danych osobowych. Ponadto, ww. system informatyczny pozwalał na dostęp do danych osobowych klientów według wielu kryteriów, takich jak: imię, nazwisko, adres zamieszkania. W związku z powyższym należało stwierdzić, iż dane osobowe zawarte w umowach kupna- sprzedaży i dane osobowe zawarte w systemie informatycznym o nazwie "Symfonia 2006" są przetwarzane w jednym zbiorze danych osobowych w rozumieniu art. 7 pkt 1 ustawy o ochronie danych osobowych. To z kolei skutkowało nakazaniem przedsiębiorcy usunięcia stwierdzonych w toku kontroli uchybień.
Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2007 r. stała się przedmiotem skargi wniesionej przez pełnomocnika K. M. R. do Wojewódzkiego Sądu Administracyjnego w Warszawie, w której strona wystąpiła o uchylenie w całości zaskarżonej decyzji i orzeczenie co do istoty sprawy przez uznanie w całości żądania skarżącego zawartego we wniosku o ponowne rozpatrzenie sprawy z dnia 24 września 2007 r., ewentualnie uchylenie zaskarżonej decyzji w całości i przekazanie sprawy do ponownego rozpatrzenia. W uzasadnieniu skargi skarżąca podniosła, iż stanowisko Generalnego Inspektora Danych Osobowych zajęte w sprawie jest błędne. Z materiału dowodowego zgromadzonego przez organ nie wynika, iż dane osobowe zawarte w umowach kupna-sprzedaży tworzą jeden zbiór danych osobowych, prowadzony zarówno w formie papierowej jak i elektronicznej. Skarżąca nie posiada zbioru danych w rozumieniu przepisu art. 7 ust. 1 ustawy o ochronie danych osobowych i z tego powodu nie miała obowiązku zgłaszania zbioru Generalnemu Inspektorowi Ochrony Danych Osobowych. Zawarte przez przedsiębiorcę umowy kupna-sprzedaży były i są przechowywane, ułożone chronologicznie według dat zawarcia umów. Ułożenie chronologiczne oznacza, że miało miejsce wpinanie tych umów sukcesywnie w miarę ich zawierania i z tego powodu układają się chronologicznie. Odnośnie programu "Symfonia", do którego są wprowadzane dane klientów dla celów podatkowych, skarżąca wskazała, że tylko w takim celu dane były wykorzystywane. Nie stanowi on zatem kryterium dostępu do umów. Łączenie umów kupna-sprzedaży z programem komputerowym do rozliczenia z podatku i traktowanie ich jako ewentualnego zbioru podlegającego zgłoszeniu w rozumieniu ustawy o ochronie danych osobowych jest niczym nieuzasadnione. Prowadzony zbiór umów nie ma charakteru osobowego, nie jest on również dostępny wg określonych kryteriów. W niniejszej sprawie ewentualnie można mówić o "zestawach z każdego dnia umów kupna - sprzedaży", umowy wpinane były w segregator w miarę podpisywania. Ten sposób gromadzenia przedmiotowych umów nie daje bezpośredniego dostępu do danych osobowych, bez wcześniejszego przejrzenia pozostałych umów. Nie istnieje zatem jakiekolwiek kryterium "osobowe", przez które możliwy jest dostęp do informacji. W zaistniałej sytuacji nie może być mowy o przetwarzaniu danych w zbiorze danych w rozumieniu przepisu art. 7 pkt 1 ww. ustawy. Ustosunkowując się do nakazu usunięcia danych dotyczących potencjalnych klientów, odnośnie których cel marketingowy, dla którego dane te były zbierane, został zrealizowany, strona podniosła, iż cel marketingowy nie został zrealizowany, bowiem firma dalej na bieżąco prowadzi działalność gospodarczą i przygotowuje prezentacje.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie oraz podtrzymał argumentację przedstawioną w uzasadnieniu zaskarżonej decyzji. Odnosząc się do zarzutów skargi organ podniósł m.in., iż nakaz usunięcia danych dotyczących potencjalnych klientów, odnośnie których cel marketingowy został zrealizowany, został wydany w oparciu o ustalenia kontrolne dokonane w protokóle kontroli, do którego skarżąca nie wnosiła zastrzeżeń. Strona nie kwestionowała tych ustaleń zarówno w postępowaniu zakończonym decyzją z dnia [...] sierpnia 2007 r., jak i w postępowaniu odwoławczym, lecz odniosła się do ustaleń pokontrolnych w powyższym zakresie dopiero w skardze do Sądu.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269) sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonego aktu administracyjnego i to z przepisami obowiązującymi w dacie jego wydania. W konsekwencji, sąd administracyjny nie orzeka co do istoty rzeczy w zakresie danego przypadku, lecz jedynie kontroluje zgodność rozstrzygnięcia z prawem materialnym i obowiązującymi przepisami prawa procesowego.
W świetle powyżej określonych kryteriów skarga podlega oddaleniu, gdyż zaskarżona decyzja Generalnego Inspektora Ochrony Danych Osobowych jest zgodna z prawem.
Na wstępie należy wskazać, iż zgodnie z art. 12 ustawy z dnia z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926), do zadań Generalnego Inspektora w szczególności należy:
1) kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
2) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych,
3) prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach,
4) opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych,
5) inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych,
6) uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.
W niniejszej sprawie Generalny Inspektor Ochrony Danych Osobowych realizował zadanie ustawowe, określone w punkcie 1 powyżej przytoczonego przepisu, z którego wynikają jego uprawnienia kontrolne w stosunku do administratorów danych w zakresie przetwarzania przez nich danych, zgodnie z przepisami o ochronie danych osobowych.
Zgodnie z art. 40 ww. ustawy administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1. Powyższy obowiązek jest skierowany do wszystkich administratorów dysponujących zbiorami danych osobowych za wyjątkiem wymienionych w art. 43 ust. 1 (do których strona skarżąca się nie zalicza), a więc do podmiotów decydujących o celach i środkach przetwarzania danych osobowych, o których mowa w art. 3 tej ustawy.
Stosownie do postanowień art. 7 pkt 1 ww. ustawy, obowiązkowi określonemu powyżej podlega każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. W doktrynie i orzecznictwie przyjmuje się, iż wymogowi rejestracji poddane są: 1) zbiory nastawione na przetwarzanie danych "na zewnątrz", jak i "na potrzeby własne", 2) zbiory funkcjonujące w sektorze publicznym, jak i w sektorze prywatnym, 3) zbiory, w których przetwarzanie danych służy celom komercyjnym, jak i zbiory służące innym celom, 4) zbiory zautomatyzowane oraz zbiory tradycyjne (manualne). Odnośnie ostatniego z tych elementów wskazać należy, iż w ustawodawstwie polskim nie skorzystano z możliwości wyłączenia "zbiorów tradycyjnych" z obowiązku rejestracji, relatywnie na wprowadzeniu dla nich odrębnej, uproszczonej procedury zgłoszeniowej, którą dopuszcza dyrektywa 95/46/WE.
Ponadto, art. 26 ust. 1 pkt 4 ustawy o ochronie danych osobowych nakłada na administratora danych przetwarzającego dane powinność dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności obowiązek zapewnienia, aby dane te były przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
W niniejszej sprawie istota sporu sprowadza się do wyjaśnienia, czy strona skarżąca posiadając umowy kupna-sprzedaży gromadzone w segregatorach w porządku chronologicznym (wpinane wg dat zawierania umów) oraz dane osobowe nabywców w programie płatniczym "Symfonia 2006 r.", posiada w istocie zbiór danych w rozumieniu art. 7 pkt 1 powołanej ustawy.
Zwrócić należy uwagę, iż zbiór, o którym mowa powyżej musi zawierać strukturę uporządkowaną, nie może natomiast być przypadkowym zestawem, sumą elementów składowych. Strukturę uporządkowaną charakteryzuje istnienie cechy albo cech pozwalających na odnalezienie informacji bez potrzeby przeglądania całego zestawu. Uporządkowanie zbioru może odnosić się albo do indywidualnych osób, w tym wypadku oznaczonych imieniem i nazwiskiem, lub do oznaczonych kryteriów łączących pewne grupy osób, np. miejsce zamieszkania, preferencje co do zakupów. Wartym przytoczenia jest pogląd wyrażony przez A. Drozda w tezie 7 artykułu "Zakres zakazu przetwarzania danych osobowych" opublikowany w PiP 2003/2/39: "Zgodnie z definicją legalną terminu "zbiór danych", ta postać przetwarzania danych osobowych musi umożliwiać dostęp do nich według określonych kryteriów. Dostęp taki winien istnieć obiektywnie. Natomiast fakt, że jest on dla administratora (innego podmiotu) "łatwy" lub "trudny" jest prawnie bez znaczenia. Nie ma również podstaw, by zakładać, że dane osobowe mają być dostępne według kryteriów osobowych. Nadto przyjęcie poglądu, że dane osobowe mają być dostępne według kryteriów osobowych, umożliwiałoby obchodzenie ustawy i unikanie rejestracji zbiorów danych". Naczelny Sąd Administracyjny w wyroku z dnia 12 stycznia 2007 r., sygn. akt I OSK 218/06 (publik. LEX nr 290699) stwierdził, iż stosownie do przepisu art. 7 pkt 1 ustawy o ochronie danych osobowych przez zbiór danych należy rozumieć "każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie". Skoro ustawodawca użył w tym przepisie sformułowania "kryteria" w liczbie mnogiej, to zgodnie z założeniem racjonalnego ustawodawcy należy przyjąć, że dostępność zestawu danych o charakterze osobowym musi być możliwa w oparciu, o co najmniej dwa kryteria.
Odnosząc powyższe rozważania na grunt niniejszej sprawy podnieść należy, iż gromadzone przez skarżącego przedsiębiorcę dane osobowe zawarte w umowach kupna-sprzedaży i dane osobowe zawarte w systemie informatycznym o nazwie "Symfonia 2006", trzeba traktować jako zbiór danych w rozumieniu ustawy o ochronie danych osobowych (art. 7 pkt 1), albowiem zawierają te same, wspólne dane klientów (choć gromadzone w innym celu, na potrzeby podatkowe i realizacji umów cywilnoprawnych), posiadają strukturę uporządkowaną w programie informatycznym oraz więcej niż jedno kryterium dostępu (poprzez imię, nazwisko, adres zamieszkania) realizowane przez ten program. Dane tego typu, choć z oczywistych względów niezbędne dla celów podatkowych, mogą być również wykorzystywane dla innych celów, np. marketingowych, poprzez określenie preferencji nabywców ze względu na płeć, czy teren zamieszkiwania.
Tym samym należy stwierdzić, iż Generalny Inspektor Ochrony Danych Osobowych w wyniku właściwie przeprowadzonego postępowania administracyjnego zgromadził w sprawie niezbędny materiał dowodowy i po jego rozpatrzeniu wydał decyzję zgodną z prawem.
Odnosząc się do zarzutu podniesionego w skardze, dotyczącego bezpodstawnego wydania nakazu usunięcia danych dotyczących potencjalnych klientów, odnośnie których cel marketingowy został zrealizowany, z uwagi na dalsze prowadzenie działalności i przygotowywania prezentacji sprzedawanych towarów, dla którego to celu dane te były gromadzone, stwierdzić należy, że nie jest on trafny. Ustalenia kontrolne Generalnego Inspektora Ochrony Danych Osobowych dokonane w oparciu o wyjaśnienia księgowej firmy "P." A. L. jednoznacznie wskazywały, iż dane potencjalnych klientów w czasie prowadzenia kontroli były przechowywane przez przedsiębiorcę, lecz nie były wykorzystywane w jakimkolwiek celu, w tym marketingowym. Protokół z kontroli został bez zastrzeżeń podpisany przez właścicielkę firmy K. M. R.. Zatem informacja zawarta w skardze o bieżącym prowadzeniu działalności gospodarczej i przygotowywaniu prezentacji, a nie podnoszona w toku toczącego się postępowania administracyjnego, nie może mieć wpływu na końcowy wynik rozstrzygnięcia.
W tym stanie rzeczy Wojewódzki Sąd Administracyjny w Warszawie na podstawie art. 151 w zw. z art. 132 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.) orzekł, jak w sentencji.
