>Orzecznictwo>NSA>1999 >

Orzeczenie prawomocne

WYROK

W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

dnia 21 lutego 2000 r.

Naczelny Sąd Administracyjny po rozpoznaniu sprawy ze skargi RDP Spółka z o.o. w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 22 lipca 1999 r. (...) w przedmiocie nakazu usunięcia uchybień w procesie przetwarzania danych osobowych –

oddala skargę

UZASADNIENIE

   Decyzją, z dnia 22 lipca 1999 r. Generalny Inspektor Ochrony Danych Osobowych na podstawie art. 127 par. 3, art. 138 par. 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego /t.j. Dz.U. 1980 nr 9 poz. 26 ze zm./, art. 18 ust. 1 pkt 1, 3, 5 i art. 21 w zw. z art. 32 ust. 1, art. 36, art. 39 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych /Dz.U. nr 133 poz. 883/, par. 2 pkt 6, par. 4, par. 6 i par. 11, par. 16 i par. 17 rozporządzenia Ministra Spraw Wewnętrznych i administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych /Dz.U. nr 80 poz. 521/, po przeprowadzeniu postępowania w sprawie wniosku RDP Sp. z o.o. z siedzibą w W., z dnia 17 czerwca 1999 r. o ponowne rozpatrzenie sprawy zakończonej decyzją Generalnego Inspektora Ochrony Danych Osobowych z dnia 29 maja 1999 r. (...) nakazującą RDP Sp. z o.o. usunięcie uchybień w procesie przetwarzania danych osobowych, utrzymał zaskarżoną decyzję w mocy z następującym uzasadnieniem:
   Dnia 15 marca 1999 r. Biuro Generalnego Inspektora Ochrony Danych Osobowych zostało powiadomione przez pana Jacka B., dziennikarza telewizyjnych "Wiadomości", że na terenie Warszawskich Zakładów Papierniczych S.A. w K.-J., zwanych dalej WZP, na wysypisku zakładowej makulatury, wśród innych materiałów znajdują się też dokumenty pochodzące od RDP Sp. z o.o. w W. Dokumentami tymi były karty uczestnictwa w loterii organizowanej przez Spółkę, które zawierały dane osobowe uczestników loterii, tj. ich imiona, nazwiska i dokładne adresy.
   W sprawie tej Generalny Inspektor Ochrony Danych Osobowych wszczął i przeprowadził postępowanie administracyjne, które miało na celu wyjaśnienie podstaw, zasad i okoliczności przetwarzania przez RDP danych osobowych swoich klientów. W jego trakcie przeprowadzono m.in. kontrolę w siedzibie Spółki, wyjaśniono okoliczności przetwarzania przez nią danych osobowych swoich klientów i podstawy prawne takiego przetwarzania. W wyniku przeprowadzonego postępowania, Generalny Inspektor Ochrony Danych Osobowych wydał dnia 29 maja 1999 r. decyzję nakazującą usunięcie stwierdzonych uchybień poprzez:
   1/ wprowadzenie efektywnego nadzoru nad procesem niszczenia wszelkich materiałów pochodzących ze Spółki, a zawierających dane osobowe, tak, aby zapobiec ujawnianiu danych osobom nieupoważnionym, zgodnie z art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zwanej dalej "ustawą",
   2/ opracowanie i wdrożenie programu szkolenia osób zatrudnionych przy przetwarzaniu danych osobowych, w zakresie zabezpieczeń systemu informatycznego zgodnie z wymogami określonymi w par. 2 pkt 6 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych /Dz.U. nr 80 poz. 521/, zwanego dalej "rozporządzeniem",
   3/ wprowadzenie ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych oraz określenie indywidualnych zakresów czynności tych osób i zakresu ich odpowiedzialności za przetwarzanie danych osobowych, zgodnie z par. 4 rozporządzenia,
   4/ opracowanie i wdrożenie instrukcji postępowania w sytuacji naruszenia ochrony danych osobowych oraz instrukcji określającej sposób zarządzania systemem informatycznym, zgodnie z wymogami par. 6 i par. 11 rozporządzenia,
   5/ spowodowanie, aby system informatyczny umożliwił udostępnianie na piśmie, w powszechnie zrozumiałej formie treści danych e każdej osobie, wraz ze stosownymi informacjami, o których mowa w art. 32 ust. 1 ustawy i w par. 16 i par. 17 rozporządzenia, tj.:
   - daty pierwszego wprowadzenia danych tej osoby,
   - źródła pochodzenia danych, jeśli dane pochodzić mogą z różnych źródeł,
   - identyfikatora użytkownika wprowadzającego dane,
   - informacji, komu, kiedy i w jakim zakresie dane zostały udostępnione, jeśli przewidziane jest udostępnienie danych innym podmiotom, chyba że dane te traktuje się jako dane powszechnie dostępne,
   - żądania, o którym mowa w art. 32 ust. 1 pkt 7 ustawy, po jego uwzględnieniu, oraz sprzeciwu określonego w art. 32 ust. 1 pkt 8 ustawy.
   Przeprowadzone postępowanie administracyjne wykazało bowiem, że RDP narusza ustawę w zakresie stwierdzonych uchybień.
   Dnia 17 czerwca, w ustawowym terminie, RDP złożył wniosek o ponowne rozpatrzenie sprawy. Skarżący podniósł w nim, że przetwarza dane osobowe swoich klientów zgodnie z prawem, tj. ustawą i rozporządzeniem.
   Co do zarzutu z punktu 1 decyzji, RDP wskazał we wniosku, że posiada on umowy z firmami dostarczającymi makulaturę do WZP. Nie są, to co prawda umowy pisemne, ale stosownie do przepisów Kc nie istnieje bezwzględny wymóg zawierania tego typu umów w pisemnej formie. W umowach tych określone są dokładne obowiązki stron, w szczególności co do zachowania przez WZP poufności przekazywanych im danych. Spółka nie ponosi winy za niewłaściwe niszczenie przekazywanych materiałów, gdyż przekazuje je podmiotom zawodowo trudniącym się niszczeniem takich materiałów. Powołując się na art. 429 Kc skarżący podniósł, że nie ponosi winy za czyny niedozwolone.
   Nie naruszono więc art. 36 ustawy.
   W zakresie uchybień stwierdzonych w punkcie 2 decyzji z dnia 29 maja, skarżący wskazał na fakt przeszkolenia wszystkich pracowników zatrudnionych przy przetwarzaniu danych co do odpowiedniej procedury zabezpieczeń danych osobowych. Szkolenia takie obejmują nie tylko pracowników zatrudnionych przy przetwarzaniu danych, którzy je już przeszli, ale również innych pracowników. Stwierdzenie Pawła R. o braku szkoleń, dotyczyło, według skarżącego, właśnie tych innych osób. Nie ma zatem naruszenia par. 2 pkt 6 rozporządzenia.
   RDP podniósł w odwołaniu, że indywidualny zakres czynności każdego pracownika jest określony i zawiera ponadto zakres odpowiedzialności za ochronę danych osobowych.
   Zdaniem RDP wyniki przeprowadzonej kontroli nie upoważniają do wniosków zawartych w punkcie 3 decyzji nakazującej. Nietrafny z tego powodu jest zarzut złamania par. 4 rozporządzenia. Prowadzona jest też ewidencja osób zatrudnionych przy przetwarzaniu danych.
   Skarżący nie zgodził się też z zarzutem, że w Spółce nie istnieje instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych oraz instrukcja określającej sposób zarządzania systemem informatycznym, której wymaga par. 6 i par. 11 rozporządzenia /pkt 4 decyzji/.
   Spółka wskazała ponadto na możliwość udostępnienia na piśmie, w powszechnie zrozumiałej formie, wydruku wszelkich informacji wymaganych w art. 32 ustawy i par. 16 i par. 17 rozporządzenia. Skarżący zakwestionował z tego powodu zasadność punktu 5 decyzji.
   Generalny Inspektor Ochrony Danych Osobowych zajmuje w odniesieniu do tych zarzutów następujące stanowisko:
   Wniosek Spółki o ponowne rozpatrzenie sprawy nie zasługiwał na uwzględnienie bo:
   1/ Zgodnie z art. 36 ustawy, administrator danych zobowiązany jest do zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych, w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem, uszkodzeniem lub zniszczeniem. Na administratorze ciąży bezwzględny obowiązek zabezpieczenia zbiorów danych przed udostępnieniem osobom nieupoważnionym. Z obowiązku takiego nie zwalnia nawet zawarcie na podstawie art. 31 ustawy pisemnej umowy, której przedmiotem byłoby przetwarzanie danych osobowych przez inny podmiot. Nie jest zasadne powoływanie się w tej sytuacji na art. 429 Kc, który znosi cywilną odpowiedzialność majątkową, podmiotu nie ponoszącego winy w wyborze. Przedmiotem niniejszego postępowania jest natomiast odpowiedzialność administracyjnoprawna za naruszenie m.in. przepisu art. 36 ustawy o ochronie danych osobowych. Naruszenie to jest oczywiste - RDP jako administrator danych nie spowodował należytego zabezpieczenia danych pochodzących z prowadzonego przez siebie zbioru danych. Nie ma tu znaczenia fakt zawarcia ewentualnej umowy o przetwarzanie danych na podstawie art. 31 ustawy, gdyż, jak wskazano wyżej, jej skuteczne zwarcie nie zwalnia administratora z obowiązku zabezpieczenia danych. Przepis ten stanowi w ust. 4: "W przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową".
   Generalny Inspektor Ochrony Danych Osobowych podtrzymuje nie mniej swoje stanowisko, że ustna umowa, o której mowa we wniosku o ponowne rozpatrzenie sprawy, nie jest umową określoną w art. 31 ustawy.
   2/ Należy podtrzymać stanowisko wyrażone w punkcie 2 decyzji z dnia 29 maja. Inspektorzy dokonujący kontroli w siedzibie RDP zażądali od osób go reprezentujących wykazania faktu przeszkolenia osób zatrudnionych przy przetwarzaniu danych, w zakresie zabezpieczeń systemu informatycznego. Z oświadczenia Pawła R. (...) wynika, że pracownicy RDP nie przechodzili żadnych szkoleń w tym zakresie. Twierdzenie, że takie szkolenia wstały zorganizowane i obejmują nie tylko pracowników zatrudnionych. przy przetwarzaniu danych osobowych, nie znalazło żadnego potwierdzenia w zebranym materiale kontrolnym. Punkty 2 i 3.7 instrukcji nie spełniają prawnych wymogów w tym zakresie - dotyczą innych zagadnień, a i tak stanowią tylko projekt a nie obowiązujący akt. Brak takich szkoleń narusza natomiast dyspozycję par. 2 pkt 6 rozporządzenia.
   3/ Twierdzenie administratora, że w Spółce funkcjonuje opracowany zakres obowiązków pracowników i zakres ich odpowiedzialności za ochronę danych także nie jest poparte żadnym materiałem dowodowym. Z tego powodu nie zasługuje ono na uwzględnienie.
   Przeprowadzona przez Inspektorów Biura Generalnego Inspektora Ochrony Danych Osobowych inspekcja uprawniała do stanowiska, że nie jest prowadzona ewidencja osób zatrudnionych przy przetwarzaniu danych, brak jest zatem określenia ich obowiązków z tym związanych i zakresu odpowiedzialności za ochronę danych. Tym samym złamano przepis 4 rozporządzenia oraz art. 39 ust. 1 ustawy.
   4/ W żaden sposób nie zostało wykazane istnienie instrukcji zarządzania danymi osobowymi ani instrukcji postępowania w sytuacji naruszenia ochrony danych. Ponownie należy zaznaczyć, że Generalny Inspektor Ochrony Danych Osobowych nie stawia wymogu umieszczenia tych instrukcji w jednym dokumencie. Istota nieprawidłowości polega na braku takich dokumentów w ogóle. Brak ten wykazała kontrola inspektorów Biura Generalnego Inspektora Ochrony Danych Osobowych, co zostało potwierdzone w protokóle kontrolnym i załączonych dokumentach (...). Ponieważ naruszono przez to par. 6 ust. 2 rozporządzenia, stanowisko wyrażone w punkcie 4 decyzji jest zasadne.
   5/ Nie zasługiwało na uwzględnienie stwierdzenie RDP, że system informatyczny używany przez Spółkę umożliwia udostępnienie na piśmie, w formie wydruku, wszelkich informacji wymaganych w par. 16 i par. 17 rozporządzenia. Przeczą temu ustalenia poczynione w czasie inspekcji. Oczywiste jest w tej sytuacji naruszenie przywołanych przepisów rozporządzenia oraz art. 32 ust. 1 pkt 3 ustawy.
   Podkreślenia wymaga, że dla poprawnej oceny podstaw prawnych i okoliczności przetwarzania danych przez RDP, dokonano szczegółowej kontroli jego działalności.
   Uzyskano wyjaśnienia i zeznania od pracowników Spółki, odebrano też pisemne wyjaśnienia od niej. Tak zebrany materiał upoważniał do wydania decyzji z dnia 29 maja 1999 r. Wniosek o ponowne rozpatrzenie sprawy nie zawierał natomiast żadnych nowych okoliczności - sprowadzał się jedynie do polemiki z ustaleniami inspektorów i nie był poparty żadną merytoryczną argumentacją.
   Powyższa decyzja była przedmiotem skargi Spółki RDP, która wniosła o jej uchylenie wraz z decyzją poprzedzającą.
   W skardze podniesiono zarzuty:
   - naruszenia art. 7 Kpa przez wydanie decyzji bez dokładnego wyjaśnienia stanu faktycznego oraz bez uwzględnienia słusznego interesu skarżącego;
   - naruszenia art. 10 Kpa poprzez wydanie decyzji bez umożliwienia stronie skarżącej wypowiedzenia się co do zebranych dowodów i materiałów,
   - naruszenia art. 107 par. 1 i 3 Kpa przez wydanie decyzji, w której uzasadnienie faktyczne jest sprzeczne z ustalonymi faktami i w uzasadnieniu której nie wyjaśniono dlaczego odmówiono wiarygodności i mocy dowodowej określonym materiałom i dowodom wskazanym przez skarżącą.
   W konsekwencji tych uchybień, zdaniem skarżącej Spółki, decyzje administracyjne nie spełniają wymogów z art. 8 Kpa. Uzasadniając powyższe zarzuty skarżąca podniosła w szczególności, iż:
   Kontrola pracowników Głównego Inspektora Ochrony Danych Osobowych miała charakter wyrywkowy i uwzględniała tylko część dokumentacji. Tymczasem wnioski kontrolerów dotyczy całej działalności Spółki. Dlatego Spółka odmówiła podpisania protokołu kontroli i przedstawiła pisemne stanowisko Generalnemu Inspektorowi Ochrony Danych Osobowych na podstawie art. 16 ust. 3 ustawy o ochronie danych osobowych.
   Uzasadnienie faktyczne skarżonej decyzji sprzeczne jest z treści protokołów przesłuchań dokonanych w trakcie kontroli. Posłużono się wypowiedziami wyrwanymi z kontekstu. Wobec braku uzasadnienia dlaczego niektórym dowodom i materiałom odmówiono wiarygodności, wskazane działanie stanowiło naruszenie art. 107 par. 3 Kpa.
   Oparcie decyzji tylko na ustaleniach kontroli bez wysłuchania strony naruszało art. 10 Kpa.
   Dlatego zaskarżona decyzja nie pogłębia zaufania do organów Państwa, jest więc wydana z naruszeniem także art. 8 Kpa.
   Odnosząc się do szczegółowych ustaleń zawartych w decyzji skarżąca zarzuciła, iż:
   1/ nie ma uzasadnienia w wynikach kontroli zarzut, iż Spółka nie prowadzi efektywnego nadzoru nad procesem niszczenia wszelkich materiałów od niej pochodzących.
   Materiały te są powierzone wyspecjalizowanym firmom z zaznaczeniem, że są tajne i przeznaczone do niszczenia.
   2/ Nie jest zgodne z prawdą ustalenie, że Spółka nie prowadziła szkolenia pracowników. Pan Paweł R. powiedział, że przeprowadzono wstępne szkolenie pracowników polegające na zapoznaniu ich z procedurą dotyczącą zasad bezpieczeństwa przy przetwarzaniu danych w systemie informatycznym. Opracowano też plan szkolenia pracowników.
   3/ Zebrane w toku kontroli dokumenty nie dają podstaw do twierdzenia, że indywidualny zakres czynności każdej osoby zatrudnionej przy przetwarzaniu danych osobowych w Spółce nie zawiera zakresu odpowiedzialności za ochronę danych. Wszystkie "zakresy czynności", których okazania zażądali kontrolerzy spełniały powyższe wymogi.
   4/ Nie jest prawdziwe ustalenie, że w Spółce nie istniała instrukcja zarządzania danych osobowymi ani instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych.
   W rzeczywistości instrukcje takie były ale nie w odrębnym dokumencie.
   5/ System informatyczny używany przez Spółkę umożliwia udostępnienie w piśmie w formie wydruku wszelkich informacji wymaganych w 16 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych /Dz.U. nr 80 poz. 521/.
   Krytyczna jego ocena przez inspektorów organu nie jest uzasadniona.
   Odpowiadając na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, a ustosunkowując się do zawartych w niej zarzutów oświadczył, że podtrzymuje stanowisko wyrażone w swych decyzjach. Jego zdaniem, dodatkowo za oddaleniem skargi przemawiają następujące okoliczności:
   1/ Zgodnie z art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych /Dz.U. nr 133 poz. 883/ administrator danych powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem. Przepis ten w stanowczej, jednoznacznej formie zobowiązuje administratora do zapewnienia efektywnej ochrony danych osobowych w czasie ich przetwarzania. Formą, przetwarzania danych osobowych jest też ich usuwanie ze zbioru poprzez niszczenie /art. 7 pkt 2 ustawy/. Z przepisu tego jednoznacznie zatem wynika obowiązek zabezpieczenia danych przed dostępem osób nieupoważnionych, także na etapie niszczenia materiałów zawierających dane osobowe. Zawierając umowę z (...) Zakładami Papierniczymi, RDP powinien bezwzględnie dopilnować, aby w procesie niszczenia danych osobowych uniemożliwić do nich wgląd osobom postronnym. Dostęp do tych materiałów miało natomiast wiele osób - np. pracownicy Zakładów czy inne osoby, które znalazły na ich terenie. Dla wywiązania się z obowiązku należytego zabezpieczenia danych w niniejszej sprawie wystarczyłoby jedynie dopilnowanie przez pracownika Spółki zniszczenia materiałów zawierających dane osobowe.
   Ustawa o ochronie danych osobowych przewiduje w art. 31 możliwość zawarcia pisemnej umowy o przetwarzanie danych osobowych. Jej stronami może być administrator danych oraz podmiot wykonujący określone operacje na danych. Przedmiotem takiej umowy może być m.in. usuwanie danych osobowych poprzez ich niszczenie. Określenie przedmiotu takiej umowy nie może więc polegać na wskazaniu jakiejkolwiek czynności faktycznej, którą wykonać ma jej strona, gdyż byłaby to w rzeczywistości zwykła cywilnoprawna umowa o dzieło. Takie stanowisko prezentuje natomiast skarżący; jego zdaniem zawarcie umowy o wywóz makulatury z RDP zwalnia Spółkę z odpowiedzialności za dalszy los tych materiałów. Tymczasem przedmiot takiej umowy jest Szczególny - chodzi w niej o określoną formę przetwarzania danych osobowych, np. o ich zniszczenie. Obydwie strony takiej umowy powinny być świadome jej szczególnego przedmiotu. Zawarcie takiej umowy nie zwalnia administratora danych /w niniejszej sprawie RDP/ z odpowiedzialności za ich przetwarzanie niezgodnie z ustawą /art. 31 ust. 4 ustawy/. "Administrator danych odpowiada zarówno za własne przetwarzanie danych, jak również za przetwarzanie danych powierzone zleceniobiorcy" /Arwid Mednis "Ustawa o ochronie danych osobowych" Komentarz, Wydawnictwo Prawnicze, Warszawa 1999 r., str. 98/. Po raz kolejny należy jednak podkreślić, że zarzut Generalnego Inspektora Ochrony Danych Osobowych jest merytoryczny - Spółka nie dopilnowała bezpieczeństwa danych osobowych.
   Nie jest istotne niezachowanie formy pisemnej umowy o wywóz makulatury, gdyż Kodeks cywilny w art. 747 par. 1 i następnie nie przewiduje szczególnej formy umowy zlecenia, której przedmiotem byłoby niszczenie dokumentów. Sama umowa bowiem, której przedmiotem jest taka czynność w ogóle nie dotyczy kwestii przetwarzania danych i dlatego z punktu widzenia ustawy jest obojętna. Wymóg formy pisemnej przewiduje natomiast art. 31 ustawy. Umowy zawarte między RDP a poszczególnymi podmiotami niszczącymi pochodzące ze Spółki nie określały zakresu odpowiedzialności tych podmiotów za przetwarzanie danych niezgodnie z tymi umowami, nie były też zawarte na piśmie. Upoważnia to do stanowiska, że nie odpowiadały one umowie określonej w art. 31 ustawy. Nie mniej, nie to jest istotą, zarzutu Generalnego Inspektora Ochrony Danych Osobowych. Główny zarzut polega na niedopełnieniu ustawowego obowiązku zabezpieczenia danych przed dostępem osób nieuprawnionych. W sentencjach i uzasadnieniach obydwu zaskarżonych decyzji stanowisko to zostało jasno i wyraźnie przedstawione. Fakt braku zawarcia takiej umowy i, co za tym idzie, nieprzestrzeganie wymagań w zakresie bezpieczeństwa przetwarzania danych był przyczyną, udostępnienia wglądu do nich osobom nieuprawnionym. W ten sposób naruszony został art. 36 ustawy.
   2/ W całości aktualne pozostaje uzasadnienie zaskarżonej decyzji w punkcie 2. Inspektorzy przeprowadzający kontrolę przetwarzania danych osobowych przez RDP zażądali, na podstawie art. 14 ustawy, złożenia wyjaśnień i zeznań przez pracowników Spółki. Czynności te zostały udokumentowane stosownymi protokółami. Na ich podstawie ustalono, że RDP nie przeszkoliła pracowników pracujących przy przetwarzaniu danych w zakresie ich ochrony. Oświadczenie Pawła R. jest w tym względzie jednoznaczne. Brak takiego przeszkolenia narusza par. 2 pkt 6 przywołanego rozporządzenia.
   3/ Poprzez zaniechanie prowadzenia ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych naruszono art. 39 ust. 1 ustawy.
   Wobec braku takiej ewidencji nie określono też zakresów obowiązków z tym związanych i odpowiedzialności za przetwarzanie danych. Tym samym naruszono par. 4 rozporządzenia. Uzasadnienie stanowiska Generalnego Inspektora Ochrony Danych Osobowych ta tym zakresie zawarte jest w decyzjach i pozostaje nadal aktualne.
   4/ Przeprowadzona kontrola nie była wyrywkowa i niekompletna. Dotyczyła ona wszelkich zagadnień związanych z ochroną danych osobowych zawartych w ustawie i rozporządzeniu.
   Prawidłowo przeprowadzona inspekcja nie wykazała, aby RDP prowadził instrukcje wymagane przez par. 6 i par. 11 rozporządzenia.
   5/ W protokóle kontrolnym wykazano, że Spółka nie zapewniła, aby stosowany przez nią system informatyczny umożliwił udostępnienie na piśmie w powszechnie zrozumiałej formie treści danych o osobie, której dane są przetwarzane wraz z informacjami, o których mówi par. 16 i par. 17 rozporządzenia. Z tego powodu konieczne było nakazanie w punkcie 5 zaskarżonej decyzji takiego skonstruowania systemu informatycznego, aby umożliwił on udostępnianie na piśmie, w powszechnie zrozumiałej formie treści danych o każdej osobie, wraz ze stosownymi informacjami, o których mowa w art. 32 ust. 1 ustawy i w par. 16 i par. 17 rozporządzenia.
   Zarzuty skarżącego dotyczące naruszenia przepisów postępowania nie zasługują na uwzględnienie. Generalny Inspektor Ochrony Danych Osobowych wydał decyzje po wszechstronnym zbadaniu sprawy. Zasadnicze znaczenie miała inspekcja w siedzibie Spółki przeprowadzona w dniach 24-25 marca 1999 r. W jej trakcie inspektorzy żądali przedstawienia wszelkich dokumentów istotnych dla ustalenia okoliczności przetwarzania przez RDP danych osobowych. Przesłuchano świadków i odebrano wyjaśnienia od pracowników, czynności te udokumentowano protokółami. Do protokółów dołączone zostały umowy o przetwarzanie danych zawarte pomiędzy RDP, a innymi podmiotami. Tak zebrany materiał dowodowy został poddany szczegółowej, obiektywnej analizie, z zachowaniem zasady wynikającej z art. 8 Kpa. Przepis ten wskazuje, idąc za orzecznictwem Naczelnego Sądu Administracyjnego, że "Organ prowadzący postępowanie musi dążyć do ustalenia prawny materialnej i według swej wiedzy, doświadczenia oraz wewnętrznego przekonania ocenia wartość dowodową poszczególnych środków dowodowych, wpływ udowodnienia jednej okoliczności na inne okoliczności. Nie do biegłych, a do organu administracji należy ocena wiarygodności zeznań świadków i innych dowodów zebranych w sprawie" /wyrok NSA z dnia 20 sierpnia 1997 r., V SA 150/96 - nie publ./. Poczynione w sprawie ustalenia faktyczne odpowiadaj prawdzie materialnej. Chybiony jest też zarzut uniemożliwienia stronie wypowiedzenia się co do zebranych dowodów. Decyzja z dnia 29 maja 1999 r. została wydana po pisemnym ustosunkowaniu się RDP pismem z dnia 2 kwietnia 1999 r. do wyników kontroli. We wniosku o ponowne rozpatrzenie sprawy nie wskazano natomiast żadnych nowych okoliczności. Art. 10 Kpa nie został zatem naruszony. W toku postępowania zapewniony był czynny udział strony w każdym jego stadium. RDP mógł przeglądać akta sprawy, zgłaszać wszelkie dowody i wnioski dotyczące sprawy. Spółka w toku postępowania korzystała z tego uprawnienia. Skarżący został pouczony o prawie złożenia wniosku o ponowne rozpatrzenie sprawy oraz o prawie złożenia skargi do Naczelnego Sądu Administracyjnego.
   Należy zgodzić się ze stanowiskiem RDP, że materia ochrony danych osobowych jest nowa, a praktyka w tym względzie dopiero się kształtuje. Tym bardziej jednak istotne jest, aby przestrzeganie wszystkich przepisów jej dotyczących było rzeczywiste, a nie iluzoryczne.
   Działalności Generalnego Inspektora Ochrony Danych Osobowych przyświeca idea rzetelnej ochrony danych osobowych, zgodnie z art. 12 pkt 1 i 2 ustawy. Ma on także na uwadze interesy administratorów danych. Wydanie zaskarżonej decyzji jest przejawem tego, że w sytuacji wyraźnego konfliktu między interesami administratorów danych, a prawami osób, których dane osobowe są przetwarzane, administrator danych naruszający przepisy musi dostosować się do obowiązującego w tej materii prawa.
  
Naczelny Sąd Administracyjny zważył co następuje:
   Dnia 15 marca 1999 r. Biuro Generalnego Inspektora Ochrony Danych Osobowych zostało powiadomione przez Jacka B. dziennikarza telewizyjnych "Wiadomości", że na terenie (...) Zakładów Papierniczych S.A. w K.-J., zwanych dalej WZP, na wysypisku zakładowej makulatury, wśród innych materiałów znajdują się też dokumenty pochodzące od RDP Sp. z o.o. w W., ul. Ł. 2/4/6, dalej zwaną RDP lub Spółką. Dokumentami tymi były karty uczestnictwa w loterii organizowanej przez Spółkę. Zawierały one dane osobowe uczestników loterii, tj. ich imiona, nazwiska i dokładne adresy.
   Celem sprawdzenia powyższej informacji, na teren WZP udali się pracownicy Biura Generalnego Inspektora Ochrony Danych Osobowych. Potwierdzili oni otrzymane zawiadomienie. W wyniku dokonanych dnia 16 marca 1999 r. oględzin, ustalono, że materiały te znajdują się pod wiatą WZP, a dostęp do nich mają pracownicy oraz osoby, które znaleźć się mogą, na tym terenie. Fakt ten wskazywał na możliwość naruszenia przepisów ustawy o ochronie danych osobowych, poprzez nienależyte zabezpieczenie dokumentów zawierających dane osobowe przed dostępem osób nieupoważnionych /art. 36 ustawy/.
   W niniejszej sprawie Generalny Inspektor Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne, mające na celu wyjaśnienie okoliczności sprawy, warunków i sposobów przetwarzania danych osobowych przez RDP oraz przestrzeganie przepisów ustawy przez tę Spółkę. W dniach 24 i 25 marca 1999 r. inspektorzy Biura Generalnego Inspektora Ochrony Danych Osobowych przeprowadzili też kontrolę w siedzibie RDP w W., jako administratora danych osobowych w rozumieniu art. 7 pkt 4 ustawy. W jej trakcie odebrano od pracowników RDP wyjaśnienia i zeznania, skontrolowano systemy informatyczne, w których przetwarzane są, dane osobowe oraz wykonano inne czynności kontrolne. W toku postępowania odebrano też pisemne wyjaśnienia od pracowników Spółki. Na podstawie tak zgromadzonego materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych RDP dopuścił się istotnych uchybień, naruszył przepisy ustawy i wydane na jej podstawie przepisy wykonawcze. Uchybienia te polegały na: braku nadzoru nad niszczeniem materiałów zawierających dane osobowe, braku programu szkolenia osób zatrudnionych przy przetwarzaniu danych osobowych, braku ewidencji tych osób i określenia zakresu ich obowiązków oraz odpowiedzialności za przetwarzanie danych, braku stosownych instrukcji nakazanych przez przepisy wykonawcze, braku w systemie informatycznym funkcji udostępniania na piśmie stosownych, określonych przez przepisy wykonawcze informacji.
   W odpowiedzi na zawarte w protokóle kontroli wnioski sporządzone przez kontrolerów, RDP nadesłał pisemne wyjaśnienia z dnia 2 kwietnia 1999 r., w których zakwestionował poczynione w trakcie kontroli ustalenia i sporządzone z niej wnioski. Wyjaśnił w nich, że zawiera z podmiotami zewnętrznymi, firmami "W." i "M." umowy o niszczenie materiałów zawierających dane osobowe. Spółka zastrzega, że dokumenty te nie mogą zostać ujawnione i, dodatkowo, opatruje je klauzulą niejawności. Według wyjaśnień RDP, nie ponosi on winy za nienależyte zniszczenie danych i ich udostępnienie osobom postronnym. Nie jest za to odpowiedzialny. Podano też, że wszystkie osoby zatrudnione przy przetwarzaniu danych przechodzą stosowne szkolenia, mają one określone zakresy obowiązków za ochronę danych i czynności należące do nich, prowadzona jest ich ewidencja, obowiązuje w Spółce instrukcja wymagana przez odpowiednie przepisy wykonawcze a system informatyczny zawiera funkcję zapewniającą, możliwość udostępnienia wymaganych przez ustawę informacji.
   Opierając się na wynikach kontroli zawierających m.in. dokumenty i zeznania Generalny Inspektor Ochrony Danych Osobowych nakazał:
   RDP Spółce z o.o. z siedzibą w W., usunięcie uchybień w procesie przetwarzania danych osobowych swoich klientów w terminie 14 dni od daty otrzymania decyzji, poprzez:
   1/ wprowadzenie efektywnego nadzoru nad procesem niszczenia wszelkich materiałów pochodzących ze Spółki, a zawierających dane osobowe, tak, aby zapobiec ujawnianiu,
   2/ opracowanie i wdrożenie programu szkolenia osób zatrudnionych przy przetwarzaniu danych osobowych, w zakresie zabezpieczeń systemu informatycznego zgodnie z wymogami określonymi w par. 2 pkt 6 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i system informatyczne służące do przetwarzania danych osobowych /Dz.U. nr 80 poz. 521/, zwanego dalej "rozporządzeniem",
   3/ wprowadzenie ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych oraz określenie indywidualnych zakresów czynności tych osób i zakresu ich odpowiedzialności za przetwarzanie danych osobowych, zgodnie z par. 4 rozporządzenia,
   4/ opracowanie i wdrożenie instrukcji postępowania w sytuacji naruszenia ochrony danych osobowych oraz instrukcji określającej sposób zarządzania systemem informatycznym, zgodnie z wymogami 6 i par. 11 rozporządzenia,
   5/ spowodowanie, aby system informatyczny umożliwił udostępnianie na piśmie, w powszechnie zrozumiałej formie treści danych o każdej osobie, wraz ze stosownymi informacjami, o których mowa w art. 32 ust. 1 ustawy i w par. 16 i par. 17 rozporządzenia, tj.:
   - daty pierwszego wprowadzenia danych tej osoby,
   - źródła pochodzenia danych, jeśli dane pochodzić mogą, z różnych źródeł,
   - identyfikatora użytkownika wprowadzającego dane,
   - informacji, komu, kiedy i w jakim zakresie dane zostały udostępnione, jeśli przewidziane jest udostępnienie danych innym podmiotom, chyba że dane te traktuje się jako dane powszechnie dostępne,
   - żądanie, o którym mowa w art. 32 ust. 1 pkt 7 ustawy, po jego uwzględnieniu oraz sprzeciwu określonego w art. 32 ust. 1 pkt 8 ustawy.
   Zawarte w skardze zarzuty naruszenia przepisów procesowych nie są zasadne.
   Wbrew twierdzeniom skarżącej Spółki stan faktyczny sprawy ustalony został na podstawie dowodów, które nie były kwestionowane.
   Nie było też konieczności analizowania wszystkich dokumentów Spółki, skoro ocenione przez Sąd, wystarczająco uzasadniały podjęcie wymienionych wyżej decyzji.
   Z protokółu kontroli przeprowadzonej przez inspektorów Ambrożego W. i Bogusławy P. wynika, że dokonano jej w obecności menadżera Spółki Pawła R., który fakt ten potwierdził własnoręcznym podpisem.
   Z tych powodów skarga, jako niezasadna została oddalona na podstawie art. 27 ust. 1 ustawy o NSA.