>Orzecznictwo>NSA>2002 >

Orzeczenie prawomocne

WYROK

W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

dnia 30 stycznia 2002 r.

Naczelny Sąd Administracyjny w Warszawie po rozpoznaniu w dniu 30 stycznia 2002r. sprawy ze skargi Spółki H. N. I. M. C. Sp. z o.o. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 7 marca 2001r. nr GI-DEC-DP-18/01/194195 w przedmiocie przetwarzania danych osobowych

oddalił skargę na decyzję

UZASADNIENIE:

Stan faktyczny przedstawiał się następująco. W dniu 24 lutego 2000r. Spółka H. N. I. M. C. Sp. z o. o. zwana dalej Spółką wystąpiła do Generalnego Inspektora Ochrony Danych Osobowych ze skargą na działania M. B. byłego członka zarządu, który uniemożliwia przeniesienie danych osobowych Spółki do jej nowej siedziby. Wniosła w związku z tym o przeprowadzenie czynności kontrolnych w trybie art. 14 pkt 1 ustawy o ochronie danych osobowych w byłej siedzibie Spółki i zażądania od pana M. B. wyjaśnień dotyczących bezprawnego przetrzymywania danych osobowych.
Generalny Inspektor zwrócił się wówczas do pana M. B. o udzielenie wyjaśnień, czy odmówił wydania w celu przeniesienia zbioru danych i na jakiej podstawie prawnej. Następnie zobowiązał go do przekazania zbioru Spółce.
W dniu 12 kwietnia 2000r. M. B. przekazał zarządowi Spółki trzy elementy wchodzące w skład bazy danych osobowych. Strony potwierdziły, że nastąpiło to zgodnie z regulaminem i oświadczyły, że nie będą w przyszłości zgłaszać roszczeń ani skarg do GIODO.
W wyniku tego do Generalnego Inspektora wpłynęły dwa pisma, jedno M. B. że dokonał przekazania zbioru i nie posiada niczego więcej, drugie Spółki, iż przekazano większą część zbioru z wyjątkiem zapisu elektronicznego na twardej części dysku oraz comiesięcznych archiwizacji danych osobowych Spółki przechowywanych, zgodnie z § 7 celów Strategii i Polityki Zabezpieczenia Systemów Informatycznych w Spółce z dnia 19 kwietnia 1999r., w kasie pancernej, w mieszkaniu pana M. B.
Co prawda w protokole przekazania było pokwitowanie odbioru pierwszego z tych elementów, a M. B. zaprzeczył aby cokolwiek jeszcze posiadał, ale Spółka wskazała, iż ten zapis nie odzwierciedlał stanu faktycznego. Zgodziła się bowiem na pokwitowanie odbioru, aby odzyskać chociaż część nośników. Podkreśliła, iż pan M. B. nadal posiada archiwizacje.
W dniu 12 czerwca 2000r. Generalny Inspektor Ochrony Danych Osobowych wszczął postępowanie w sprawie niezgodnego z prawem przetwarzania danych osobowych przez M. B. Zwrócił się do pana M. B. z pytaniem na jakiej podstawie posiada comiesięczne archiwizacje i odmówił przekazania zapisu na twardym dysku serwera. Pan M. B. zaprzeczył, że posiada cokolwiek z bazy danych Spółki. Zwrócono się więc do Spółki D., co do której padały zarzuty, iż jest powiązana z osobą M. B. i uniemożliwia wydanie danych. Spółka D. zaprzeczyła, aby od 1996r. miała związki osobowe z panem M. B., zaprzeczył temu też ten ostatni. Zdaniem Spółki D. wynajmował on część pomieszczeń Spółce. Umowa została rozwiązana wskutek niepłacenia czynszu. Spółce D. przysługiwało prawo zastawu na sprzęcie komputerowym. Baza została przekazana przez pana M. B. Na podstawie protokołu przekazania sporządzono protokół wydania.
W kolejnym piśmie Spółka wskazała, iż twardy dysk serwera przetrzymuje Spółka D., a nośniki elektroniczne M. B.
Następnie uznając M. B. i Spółkę D. za administratora danych, Spółka wniosła o wydanie decyzji zobowiązującej M. B. i Spółkę D. do przekazania danych osobowych skarżącemu jako podmiotowi uprawnionemu. Podkreśliła, iż zachodzi niebezpieczeństwo wykorzystania tej bazy przez Spółkę P., której prezesem zarządu jest obecnie M. B. a która pełni także usługi w zakresie doradztwa personalnego.
Z akt wynika, iż Spółka zawiadomiła Prokuratora m.in. o przywłaszczeniu na jej szkodę bazy danych osobowych i dokumentacji oraz wniosła sprawę do sądu cywilnego.
W dniu 8 grudnia 2000r. Generalny Inspektor Ochrony Danych Osobowych umorzył postępowanie w sprawie. Wskazał przy tym, iż kwestia podejrzenia o bezprawne przywłaszczenie danych nie należy według art. 12 ustawy do Generalnego Inspektora z uwagi na fakt, iż M. B. nie jest administratorem w świetle ustawy o ochronie danych osobowych.
Spółka wniosła od tego wniosek o ponowne rozpatrzenie sprawy. Zarzuciła decyzji brak uzasadnienia faktycznego, a przede wszystkim mylne przyjęcie, że M. B. nie pełni funkcji administratora danych, podczas gdy w oparciu o tę bazę prowadzone są dwie spółki T. P. i P. SA.
Decyzją z dnia 7 marca 2001r. (GI-DEC-DP-18/01,194,195) Generalny Inspektor uchylił poprzednią decyzję i odmówił uwzględnienia wniosku Spółki o zakazanie M. B. przetwarzania danych osobowych posiadanych przez Spółkę. Uznał, co prawda, za zasadny zarzut co do sporządzenia uzasadnienia faktycznego decyzji, ale jednocześnie podkreślił, iż nie może być uznany za administratora danych. Nie ma on bowiem umocowania do działania w imieniu Spółki, ani nie wpisał bazy do rejestru jako administrator. Generalny Inspektor wskazał, iż może kierować swoje decyzje tylko do administratorów, a nie innych podmiotów. Nie dysponuje bowiem środkami pozwalającymi na przeszukiwanie mieszkań prywatnych.
W dniu 4 kwietnia 2001 r. Spółka wniosła skargę na tę decyzję do Naczelnego Sądu Administracyjnego. Zarzuciła jej naruszenie art. 107 § 3 kpa przez sporządzenie uzasadnienia decyzji bez wskazania ustalonego stanu faktycznego, naruszenie art. 137 § 3 kpa w związku z art. 127 § 3 kpa przez uchylenie decyzji bez przekazania sprawy do ponownego rozpatrzenia, naruszenie art. 139 kpa przez wydanie decyzji na niekorzyść strony, naruszenie art. 15 kpa przez pozbawienie prawa do II instancji, naruszenie art. 7 pkt 3 w zw. z art. 23 ust. 1 i 26 ustawy o ochronie danych osobowych przez przyjęcie, że M. B. nie jest administratorem danych. Spółka wniosła więc o uchylenie zaskarżonej decyzji i zasądzenie kosztów postępowania.
W uzasadnieniu skargi podkreśliła, iż Inspektor nie wskazał, jaki stan faktyczny został ustalony w trakcie postępowania wyjaśniającego. Podał tylko sprzeczne oświadczenia stron. Nie jest w związku z tym możliwe ustalenie, jaki stan faktyczny organ przyjął za podstawę decyzji. Zarzut ten jest o tyle istotny, iż był już podnoszony we wniosku o ponowne rozpatrzenie sprawy.
Zdaniem Spółki organ nie ma swobody wyboru rozstrzygnięcia z art. 138 kpa. Poprzednią decyzję uchylono z powodu niewskazania w pełni ustalonego w toku postępowania stanu faktycznego. Jako druga instancja organ ten może prowadzić tyko postępowanie wyjaśniające, uzupełniające. Inaczej musi wydać decyzję kasacyjną.
Zarzut reformationis in peius wynika, zdaniem Spółki, z faktu, iż pierwsza decyzja stwierdzała, iż sprawa jest bezprzedmiotowa, a druga uznała, że pan M. B. jest podmiotem, który może dysponować danymi.
Co do meritum Spółka podniosła, iż Generalny Inspektor nie uznał pana M. B. za administratora danych, dlatego utrzymuje, iż nie może być on adresatem żadnej jego decyzji. Tymczasem z celu ustawy o ochronie danych osobowych wynika, iż administratorem danych jest ten, kto sprawuje faktyczną pieczę nad danymi osobowymi, a nie ten kto jako administrator został zarejestrowany. Przemawia za tym literalna wykładnia art. 7 ustawy, gdzie kładzie się nacisk nie na rejestrację lecz praktyczną możliwość przetwarzania danych. Przemawia też za tym wykładnia celowościowa. Trudno bowiem uznać, aby ustawa pozostawiła pewien obszar władztwa nad danymi osobowymi poza ochroną prawną. W przeciwnym wypadku administrator danych byłby pozbawiony realnego wpływu na stwarzanie ochrony.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie. Wskazał, iż stan faktyczny sprawy został ustalony w takim zakresie, jaki był konieczny dla rozpatrzenia sprawy. Pan M. B. nie posiadał umocowania do działania w imieniu Spółki. Ponadto nie wykorzystywał danych w żadnym z celów określonych w art. 3 ust. 2 ustawy o ochronie danych osobowych. Co do pozostałych zarzutów GIODO podkreślił, iż łączy w sobie cechy organu l i II instancji. Sztuczne byłoby więc przekazanie sprawy samemu sobie. Decyzja z dnia 7 marca 2001 r. nie jest zaś bardziej niekorzystna dla Spółki niż ta z 8 grudnia 2000r.
Organ powołał także na postanowienie SN z 11 grudnia 2000r. II KKN 438/2000 odróżniające administrującego danymi i administratora danych. Nie są to więc pojęcia tożsame. Administratorem jest ten, który decyduje o celach i środkach przetwarzania, administrującym zaś podmiot, który zarządza danymi w procesie przetwarzania. Odpowiedzialność karna administrującego wchodzi w rachubę, gdy jego zachowanie karalne wynika z powierzonych mu czynności.
Spółka pozbawiła pana M. B. prawa do administrowania. Nie przestała być jednak administratorem danych. Wytoczyła powództwo cywilne i zawiadomiła o przestępstwie. Wynika z tego, iż jej celem jest decydowanie o sposobie przetwarzania danych.
W nawiązaniu do tej odpowiedzi skarżący podniósł, iż organ mylnie rozumie pojęcie administratora danych, a ponadto nie wyjaśnił wszystkich okoliczności faktycznych. Ustawa nie wyklucza bowiem dwóch administratorów. Spółka nie zaprzecza, iż jest administratorem danych. Funkcję tę pełni jednak też pan M. B. Przetwarza bowiem dane w związku z działalnością zarobkową i decyduje o środkach przetwarzania danych. Spółka ma prawo sądzić o tym pierwszym elemencie. Powinien być on zbadany przez Inspektora, który ma uprawnienia kontrolne z art. 14 ustawy, niezależnie od tego czy kontrolowany jest administratorem czy nie- Dopiero gdy stwierdzi, iż podmiot kontrolowany nie spełnia przesłanek z art. 3 i 7 pkt 4 powinien umorzyć postępowanie.
Zdaniem Spółki organ nie wykazał dostatecznie, dlaczego M. B. nie jest administratorem danych. Według skarżącej status administratora jest niezależny od tego, czy zgromadził on i przetwarza dane zgodnie z prawem.

Naczelny Sąd Administracyjny zważył, że:

W toku postępowania ustalono, iż M. B. dysponował danymi osobowymi Spółki pełniąc funkcję jej jednoosobowego zarządu. Przekazał te dane, o czym świadczy pokwitowanie. Nie jest jasne, czy przekazanie dotyczyło comiesięcznych archiwizacji danych. Co do tego wypowiedzi stron są sprzeczne.
Na tym tle powstaje pytanie, czy Generalny Inspektor Ochrony Danych Osobowych może stosować wobec każdego, kogo podejrzewa o dysponowanie danymi osobowymi, środki przewidziane w art. 14 i 18 ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz. U. nr 133, póz. 883 ze zm.). 0 zastosowanie takich środków wobec M. B. wystąpiła bowiem Spółka.
Artykuł 14 ustawy o ochronie danych osobowych wskazuje po pierwsze, iż przewidziane w nim środki mogą być stosowane w celu wykonania zadań, o których mowa w art. 12 ustawy. Dla przedmiotowej sprawy znaczenie ma fakt, iż mogą być one stosowane dla kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych, wydawania decyzji administracyjnych i rozpatrywania skarg oraz prowadzenia rejestru zbioru danych.
Na pozór art. 14 ustawy ma charakter otwarty. Zaczyna się bowiem zwrotem "w szczególności". Z uwagi jednak na fakt, iż kompetencji władczych państwa nie można domniemywać - traktuje się katalog zawartych w nim środków w sposób wąski - (por. R. Szałowski, Ochrona danych osobowych Komentarz, Zielona Góra 2000r. s. 55, podobnie J. Barta, R. Markiewicz, Ochrona danych osobowych Komentarz, Zakamycze 2001 r. s. 333).
Podkreślenia wymaga także, iż środki przewidziane w art. 14 pkt 1-4, a tylko te mają znaczenie dla sprawy, mogą być zgodnie z art. 15 kierowane jedynie do administratora danych. Tylko administrator jest bowiem zobowiązany umożliwić te czynności.
Zgodnie z art. 18 ustawy w razie stwierdzenia naruszenia przepisów o ochronie danych Generalny Inspektor podejmuje środki jedynie wobec administratora.
Nie jest więc przede wszystkim zasadny zarzut skarżącej, iż przewidziane w art. 14 środki mogą być kierowane wobec każdego.
W literaturze podkreśla się także, iż kompetencje kontrolne odnoszą się tylko do tych przypadków, gdy w kontrolowanych pomieszczeniach znajdują się zarejestrowane zbiory danych osobowych (por. J. Barta, R. Markiewicz, jw. s. 333).
Podstawowy problem sprowadzał się więc do pytania, czy pan był w świetle ustawy administratorem danych, jako że nie budziło wątpliwości, iż comiesięczne archiwizacje, których wydania domagała się skarżąca, należały do zarejestrowanej na jej rzecz bazy danych.
Pojęcie administratora określa art. 7 ust. 4 ustawy. Rozumie się przez to organ, instytucję, jednostkę organizacyjną, podmiot lub osobę, o której mowa w art. 3 ust. 1 i 2, decydujące o celach i środkach przetwarzania danych osobowych. Ponieważ pan M. B. niewątpliwie nie spełnia warunków z art. 3 ust. 1, należałoby wykazać, iż jest on osobą, która przetwarza dane w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych a jednocześnie decyduje o celach i środkach przetwarzania danych. W stosunku do pana M. B. nie wykazano takiego przetwarzania. Skarga nie była natomiast kierowana wobec Spółki P. S.A., która zdaniem skarżącej podobny, zarejestrowany zbiór posiada.
Nie można podzielić zarzutu skarżącej, iż za administratora danych należy uznać każdego dysponenta danych, gdyż inaczej pewne sfery ochrony danych osobowych znalazłyby się poza prawną ochroną. Sfera ochrony dotyczy bowiem nie tylko tych działań, które są dokonywane na podstawie ustawy o ochronie danych osobowych. W grę wchodzi także ochrona np. na podstawie przepisów o zwalczaniu nieuczciwej konkurencji, ochrona cywilnoprawna, ochrona karna itp. Dlatego też m.in. Sąd Najwyższy w postanowieniu z dnia 11 grudnia 2000r. lI KKN 438/00, OSNKW 2001/3-4/33 rozróżnił administratora i administrującego danymi osobowymi. Za administratora uznał jedynie ten podmiot, który decyduje o celach i środkach przetwarzania danych (art. 7 pkt 4 ustawy), natomiast administrującym jest taki podmiot, który zarządza, zawiaduje zbiorem danych lub danymi (art. 50, 51 ,52 ,54 ustawy).
Pojęcie administrującego ma więc szersze znaczenie. Może być nim zarówno administrator, jak i ten kto takiej roli nie pełni. Administratorem nie jest więc każdy dysponent danych osobowych (por. J. Barta, R. Markiewicz, Ochrona [...] s. 307). Jest nim ten, kto decyduje o celach i środkach przetwarzania, przy czym zasadnicze znaczenie ma rodzaj i charakter nadanych przez prawo kompetencji z zakresu spraw publicznych (J. Barta, R Markiewicz [...] s. 306)
Zrozumiała jest obawa skarżącego o zapewnienie właściwej ochrony powierzonych mu danych osobowych. Jednocześnie jednak pamiętać należy o drugiej stronie konstytucyjnego prawa do prywatności. Jej naruszeniem byłaby niewątpliwie możliwość przeszukania pomieszczeń prywatnych u osoby fizycznej, którą podejrzewano by jedynie o wykorzystanie danych osobowych z uwagi na jej miejsce zatrudnienia. Pan M. B. jako osoba fizyczna, nie przetwarza żadnego zbioru. Nie można więc wobec niego zastosować środków kontrolnych, tyko dlatego, iż pełni funkcje zarządu Spółki P. W przypadku wypełnienia dyspozycji przepisów art. 50-54 mogą być natomiast zastosowane wobec niego środki karne.
Ponieważ Sąd podzielił stanowisko Generalnego Inspektora Ochrony Danych Osobowych, iż pan M. B. nie jest administratorem danych i nie może być wobec niego wydawana decyzja o zakazie przetwarzania danych, nie dopatrzył się w sprawie naruszenia prawa materialnego.
Naczelny Sąd Administracyjny podzielił natomiast zarzuty skarżącej odnośnie niewłaściwie sporządzonego uzasadnienia faktycznego decyzji. Nie stwierdził jednak, aby mogło to mieć istotny wpływ na wynik sprawy. Akta mają bowiem charakter pełny. Generalny Inspektor zebrał w nich istniejący w sprawie materiał dowodowy, umożliwił też zapoznanie się z nim stronom, o czym świadczą kierowane pisma.
Sąd nie podzielił natomiast zarzutu skarżącej, aby w przedmiotowej sprawie należało wydać decyzję kasacyjną. Funkcje organu pierwszej i drugiej instancji zbiegają się bowiem w tym przypadku w ręku jednego organu i przepis art. 138 § 1 ustawy z dnia 14 czerwca 1960r. Kodeks postępowania administracyjnego (Dz. U. 2000 r., nr 98, póz. 1071 ze zm.) ma w tym przypadku jedynie odpowiednie zastosowanie.
Sąd nie podzielił też zarzutu strony skarżącej o naruszeniu zasady dwuinstancyjności. Organ odwoławczy zgodnie z art. 136 kpa przeprowadza bowiem tylko uzupełniające postępowanie dowodowe.
Nie jest też słuszny zarzut naruszenia zakazu reformationis in peius. Zgodnie z art. 139 kpa organ odwoławczy nie może wydać decyzji na niekorzyść strony odwołującej się, chyba że zaskarżona decyzja rażąco narusza prawo lub rażąco narusza interes społeczny.
Pierwsza decyzja wydana w sprawie przez Generalnego Inspektora Ochrony Danych Osobowych rażąco naruszała prawo. Umarzała bowiem postępowanie, mimo wniosku skarżącej i przedmiotu sprawy, mianowicie żądania dotyczącego zakazu przetwarzania danych. Ponieważ w sprawie wniesione zostało odwołanie, organ nie mógł w trybie odwoławczym stwierdzić nieważności decyzji. Jedynym możliwym rozstrzygnięciem pozostawało więc uchylenie decyzji o umorzeniu i wydanie decyzji o odmowie wydania decyzji o zakazie przetwarzania danych.
Ponieważ Naczelny Sad Administracyjny nie dopatrzył się w sprawie takiego naruszenia prawa procesowego, które miałoby wpływ na treść decyzji, a nie stwierdził naruszenia prawa materialnego, orzekł na podstawie art. 27 ust. 1 i 53 ust. 2 ustawy z dnia 11 maja 1995r. o Naczelnym Sądzie Administracyjnym (Dz. U. nr 74, póz. 368 ze zm.) w związku z art. 3 ust. 2, 7 ust. 4, 14,15 i 18 powoływanej ustawy o ochronie danych osobowych i art. 136, 138 § 1 w związku z art. 127 § 3 i 139 ustawy kodeks postępowania