I OSK 218/06
2009-04-14
Orzeczenie prawomocne
WYROK
W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ
Dnia 12 stycznia 2007 r.
Naczelny Sąd Administracyjny w składzie po rozpoznaniu w dniu 12 stycznia 2007 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Prokuratora Okręgowego w O. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 5 października 2005 r. sygn. akt II SA/Wa 734/05 w sprawie ze skargi Prokuratora Okręgowego w O. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 28 stycznia 2005 r. nr przedmiocie usunięcia uchybień w procesie przetwarzania danych osobowych:
uchyla zaskarżony wyrok i przekazuje sprawę do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie
UZASADNIENIE
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 5 października
2005 r., II SA/Wa 734/05, oddalił skargę Prokuratora Okręgowego w O., na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 28 stycznia 2005 r. nr,
w przedmiocie usunięcia uchybień w procesie przetwarzania danych osobowych. Wyrok został wydany w następujących okolicznościach sprawy. Zaskarżoną decyzją Generalny Inspektor Ochrony Danych Osobowych utrzymał w mocy swoją decyzję z dnia 24 listopada 2004 r. w części nakazującej usunięcie uchybień w procesie przetwarzania danych osobowych poprzez dopełnienie obowiązku zgłoszenia do rejestracji zbioru danych, w którym są przetwarzane dane osób składających skargi i wnioski dotyczące działalności Prokuratury Okręgowej w O. oraz prokuratur rejonowych okręgu, a także uzupełnienie polityki bezpieczeństwa o wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do poszczególnych pól informacyjnych i powiązania miedzy nimi, zgodnie z § 4 pkt 2 i pkt 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. nr 100, poz. 1024). Jednocześnie Generalny Inspektor uchylił decyzję z 24 listopada 2004 r. w części dotyczącej punktu 1 nakazującego uzupełnienie ewidencji osób upoważnionych do przetwarzania danych osobowych i umorzył postępowanie w tym zakresie. W uzasadnieniu wskazano, że Prokurator Okręgowy w O. rozpatruje skargi i wnioski dotyczące tej Prokuratury i podległych jej prokuratur rejonowych. Skargi i wnioski są rejestrowane w rzeczowym wykazie akt pod symbolem III S 051 w formularzu „Spis spraw”, zgodnie z kolejnym numerem i datą. Znajdują się w nich dane osobowe skarżących i wnioskodawców. Organ administracji przyjął, że Prokurator Okręgowy prowadzi zbiór danych osobowych, o którym mowa w art. 7 pkt 1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. nr 101, poz. 926 ze zm.), w którym przetwarzane są dane dotyczące osób składających owe skargi i wnioski, które to dane są dostępne według kryteriów – kolejnego numeru i daty wpływu. Zdaniem organu, nie należy utożsamiać skarg i wniosków z pismami procesowymi, gdyż nie są one częścią akt postępowań karnych. W ocenie organu nie utworzono wykazu zbioru danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania danych osobowych oraz nie stworzono opisu struktury zbiorów danych osobowych, czego wymaga § 3 ust. 1 rozporządzenia z 29 kwietnia 2004 r. Punkt 1 decyzji z 24 listopada 2004 r. został uchylony, gdyż przedstawiono dowody potwierdzające uzupełnienie ewidencji osób upoważnionych do przetwarzania danych osobowych o zapisy dotyczące daty nadania i ustania upoważnień do ich przetwarzania. Dlatego też umorzono postępowanie w tym zakresie na podstawie art. 105 § 1 k.p.a.
W skardze do Sądu Prokurator Okręgowy zarzucił zaskarżonej decyzji błędną wykładnię i niewłaściwe zastosowanie przepisów art. 7 i 40 ustawy o ochronie danych osobowych oraz art. 7, 77 § 1 i 80 k.p.a. Zdaniem skarżącego rejestr skarg i wniosków nie stanowi zbioru danych osobowych, gdyż nie mają zastosowania do posługiwaniem się nim wymagane przez przepisy kryteria – ustawodawca użył tu liczby mnogiej, co wyklucza proste alfabetyczne czy też numeryczne bądź według daty wpływu uporządkowanie zestawu.
Wojewódzki Sąd Administracyjny w uzasadnieniu swojego wyroku przyjął, że skargi i wnioski rejestrowane w Prokuraturze Okręgowej zawierają zestawy danych osobowych, które mają charakter uporządkowany, bo posiadają własną strukturę i dane są dostępne według określonych kryteriów – daty wpływu oraz numeru sprawy. Przemawia to za uznaniem ich za zbiór danych w rozumieniu art. 7 pkt 1 ustawy o ochronie danych osobowych. Istnieje więc obowiązek na podstawie art. 40 ustawy zgłoszenia danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Sąd uznał, że nie można przyjąć, że przetwarzanie danych osobowych w związku z rozpatrywaniem skarg i wniosków następuje dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym w rozumieniu art. 43 ust. 1 pkt 2 ustawy. Sąd podzielił też stanowisko organu administracji, że polityka bezpieczeństwa to dokument, który powinien być dostosowany do konkretnych warunków przetwarzania danych u określonego administratora danych osobowych. Konieczne jest, zatem nadanie nazw poszczególnym zbiorom oraz wskazanie nazw używanych do ich przetwarzania programów komputerowych. Konieczne jest też sporządzenie opisu struktury zbioru, a opis pola danych powinien umożliwiać jednoznaczna interpretację jego zawartości. Zdaniem Sądu opis systemu SIP z użyciem terminów informatycznych, jak też dokumentacja techniczna tego systemu, nie może być uznana za politykę bezpieczeństwa, o której mowa w § 3 ust. 1 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. Sąd uznał, iż naruszenie prawa w postępowaniu administracyjnym polegające na braku umożliwienia stronie wypowiedzenia się, co do zebranych dowodów i materiałów nie miało istotnego wypływu na wynik sprawy, gdyż rozstrzygnięcie było oparte na materiale zgromadzonym w toku kontroli i dokumentach dołączonych do wniosku o ponowne rozpoznanie sprawy.
W skardze kasacyjnej Prokurator Okręgowy w O. zaskarżył wyrok Sądu I instancji w całości, zarzucając mu:
1) naruszenie prawa materialnego:
- przez błędną wykładnię art. 7 pkt 1 ustawy o ochronie danych osobowych, polegającą na przyjęciu, iż rejestrowane w Prokuraturze Okręgowej skargi i wnioski zawierają zestawy danych osobowych, które mają charakter uporządkowany, bo posiadają własną strukturę i dane te dostępne są według określonych kryteriów, którymi są data wpływu oraz numer sprawy, podczas, gdy rejestr taki obowiązujący w prokuraturze nie jest zbiorem danych osobowych, ponieważ nie wyczerpuje znamion zorganizowania tych danych w zbiór osobowy;
- przez błędną wykładnię § 4 pkt 2 i 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r., polegającą na przyjęciu, że w skład polityki bezpieczeństwa, która powinna być dostosowana do konkretnych warunków przetwarzania danych osobowych u określonego administratora, nie może wchodzić dokumentacja techniczna programu SIP, mającego zastosowanie w Prokuraturze Okręgowej w O. do przetwarzania danych osobowych, podczas, gdy dokumentacja ta z uwagi na swoją zawartość – opis struktury zbioru danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi, stanowi jeden z elementów tej polityki bezpieczeństwa;
2) naruszenie przepisu postępowania – art. 10 § 1 k.p.a., polegające na uniemożliwieniu skarżącemu przed wydaniem zaskarżonej decyzji wypowiedzenia się co do zebranych dowodów i materiałów, w sytuacji, w której materiał dowodowy jest niekompletny i zachodzi konieczność jego ponownej oceny z uwzględnieniem całości polityki bezpieczeństwa – dokumentacji bezpieczeństwa Systemu Informatycznego Prokuratury „Libra”, którą skarżący dołączył do skargi kasacyjnej, gdyż uchybienie to mogło mieć istotny wpływa na wynik sprawy.
W oparciu o zgłoszone zarzuty wniesiono o uchylenie zaskarżonego wyroku i przekazanie sprawy do ponownego rozpoznania Sądowi I instancji oraz o zasądzenie kosztów postępowania według norm przepisanych.
W uzasadnieniu skargi kasacyjnej podniesiono, że w świetle art. 7 pkt 1 ustawy o ochronie danych osobowych postać przetwarzania danych musi umożliwiać dostęp do danych według przynajmniej dwóch określonych kryteriów. Ustawodawca w zawartej w tym przepisie definicji posłużył się pojęciem kryteria w liczbie mnogiej, a więc wymóg dwóch równocześnie występujących kryteriów dostępu wyklucza numeryczne lub według daty wpływu uporządkowanie zastawu danych w celu przekształcenia go w zbiór danych. Zdaniem skarżącego ustawodawca wymaga, aby dostęp do zbioru danych był łatwy do osiągnięcia. Zbiór danych nie powinien być luźnym zestawem, ale takim zbiorem, w którym istnieją cechy pozwalające na odnalezienie informacji bez potrzeby przeglądania całego zestawu (A. Mednis, Ustawa o ochronie danych osobowych, Komentarz, Warszawa 1999, s. 27). Wolą ustawodawcy było utrzymanie dostępności do danych w przypadku ich wtórnego rozpraszania lub dzielenia na podzbiory. Przeciwna argumentacja byłaby sprzeczna z założeniem racjonalności ustawodawcy, który nie potraktował na równi zbioru i zestawu danych, a zestawu danych nie rejestruje się. Podkreślono, że nietrafnie doszukuje się zbioru danych w rejestrze skarg i wniosków Prokuratury Okręgowej w O. Wymieniony rejestr nie jest zbiorem danych osobowych, gdyż nie wyczerpuje znamion zorganizowania tych danych w zbiór danych, a jest jedynie zestawem danych osób składających skargi. Podkreślono, że w rejestrze skarg i wniosków nie występuje alfabetyczne ułożenie danych osobowych, które pozwalałoby na szybkie odnalezienie informacji bez potrzeby przeglądania całego zbioru. Zauważono, że prokuratura posługuje się Ogólnopolskim Systemem Informatycznym Prokuratury (SIP) „Libra”, który służy do prowadzenia w formie zapisu elektronicznego repertoriów i rejestrów oraz innych urządzeń ewidencyjnych określonych w zarządzeniu Ministra Sprawiedliwości z 11 października 2005 r. w sprawie organizacji i zakresu działania sekretariatów oraz innych działów administracji powszechnych jednostek organizacyjnych prokuratury. Podniesiono, że dokumentacja techniczna SIP „Libra” stanowi jeden z elementów polityki bezpieczeństwa, o której stanowi § 3 ust. 1 rozporządzenia z 29 kwietnia 2004 r. Skarżący podniósł, że w przypadku SIP występuje jeden niepodzielny logicznie zbiór danych, posiadający strukturę i zawierający m.in. dane osobowe, tj. bazę danych systemu SIP „Libra”. Ten zbiór danych został nazwany, jest nim lokalna baza danych systemu SIP „Libra”, zaś jedynym programem służącym do jego przetwarzania jest SIP „Libra”. Jedynym właściwym sposobem opisu struktury bazy danych, jej pól i powiązań jest opis techniczny, z użyciem terminów powszechnie przyjętych przy opisach struktur baz danych. Taki opis zawiera dokumentacja techniczna SIP „Libra” w rozdz. 2.
Podniesiono także, że naruszenie art. 10 § 1 k.p.a. polegało na braku możliwości wypowiedzenia się skarżącego, co do zebranych dowodów i materiałów, w sytuacji, gdy były one niekompletne – nie uwzględniały całości polityki bezpieczeństwa SIP „Libra”. Skarżący dołączył do skargi kasacyjnej całość polityki bezpieczeństwa – dokumentację bezpieczeństwa SIP „Libra” VI Wydziału do Spraw Przestępczości Zorganizowanej i V Wydziału Śledczego Prokuratury Okręgowej w O.
W odpowiedzi na skargę kasacyjną Generalny Inspektor Ochrony Danych Osobowych wniósł o oddalenie skargi kasacyjnej.
Naczelny Sąd Administracyjny zważył, co następuje:
Złożona w rozpatrywanej sprawie skarga kasacyjna ma usprawiedliwione podstawy. Zarzut naruszenia przez Sąd I instancji art. 7 pkt 1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. nr 101, poz. 926 ze zm.), zasługuje na uwzględnienie. Stosownie do tego przepisu przez zbiór danych należy rozumieć „każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”. Trafnie w skardze kasacyjnej podniesiono, że skoro ustawodawca użył w tym przepisie sformułowania „kryteria” w liczbie mnogiej, to zgodnie z założeniem racjonalnego ustawodawcy należy przyjąć, że dostępność zestawu danych o charakterze osobowym musi być możliwa w oparciu, o co najmniej dwa kryteria. Pogląd taki znajduje oparcie także w piśmiennictwie – A. Drozd, Ustawa o ochronie danych osobowych, Komentarz, Wzory pism i przepisy, LexisNexis, Warszawa 2005, s. 53. Podkreśla się tam zresztą, że zgodnie z punktem 15 i 27 dyrektywy Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych 95/46/WE (Dz.U. UE nr 281 z 23 listopada 1995 r.) dostęp do tych danych w oparciu o zastosowane kryteria powinien być łatwy. Tymczasem, w prowadzonym ręcznie rejestrze skarg i wniosków Prokuratury Okręgowej w O. skargi i wnioski są rejestrowane w rzeczowym wykazie akt pod symbolem III S 051 w formularzu „Spis spraw”, zgodnie z kolejnym numerem i datą. Jest rzeczą oczywistą, że w tej sytuacji kolejny numer jest powiązany z datą wpływu skargi lub wniosku. Trudno więc uznać, że numer wpływu i data wpływu stanowią dwa odrębne kryteria dostępu do danych osobowych. Ponadto trudno przyjąć, że dostęp do zawartych w rejestrze skarg i wniosków, uporządkowanych według wskazanego kryterium, jest dostępem łatwym w rozumieniu dyrektywy 95/46/WE. Zauważyć zaś należy, że interpretacja przepisów ustawy o ochronie danych osobowych musi być zgodna z prawem wspólnotowym. Co prawda w literaturze prezentowane jest także stanowisko odmienne, zgodnie, z którym zbiór danych to posiadające strukturę zestawienie danych dostępnych, co najmniej według jednego kryterium wyszukiwawczego – J. Barta, R Markiewicz, Ochrona danych osobowych, Komentarz, Kraków 2001, s. 300 – 301, ale uznać trzeba, że jest ono sprzeczne z wykładnią językową art. 7 pkt 1 ustawy, a ponadto jego przyjęcie byłoby oczywiście sprzeczne z paradygmatem racjonalnego ustawodawcy, który posłużył się w art. 7 pkt 1 ustawy terminem „kryterium” używając go jednak w liczbie mnogiej, co uznać trzeba za świadomy wybór ustawodawcy.
Na uwzględnienie zasługuje także zarzut naruszenia przepisów § 4 pkt 2 i 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. nr 100, poz. 1024). Polityka bezpieczeństwa, o której mowa w tych przepisach odnosi się do sposobu prowadzenia i zakresu dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną - § 1 pkt 1 w zw. z § 3 ust. 1 rozporządzenia z 29 kwietnia 2004 r. Zgodnie z § 4 pkt 2 i 3 polityka bezpieczeństwa zawiera m. in. „wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych” oraz „opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi”. Skoro prokuratura posługuje się Ogólnopolskim Systemem Informatycznym Prokuratury (SIP) „Libra”, który służy do prowadzenia w formie zapisu elektronicznego repertoriów i rejestrów oraz innych urządzeń ewidencyjnych określonych w zarządzeniu Ministra Sprawiedliwości z 11 października 2005 r. w sprawie organizacji i zakresu działania sekretariatów oraz innych działów administracji powszechnych jednostek organizacyjnych prokuratury (Dz.Urz. Min. Sprawiedliwości nr 6, poz. 25), a jedynym zbiorem danych osobowych przetwarzanych w Prokuraturze jest lokalna baza tego systemu, bowiem rejestr skarg i wniosków nie stanowi takiego zbioru, a program zastosowany do przetwarzania tych danych to Systemem Informatycznym Prokuratury (SIP) „Libra”, o którym stanowi § 173 wskazanego zarządzenia Ministra Sprawiedliwości, to trzeba uznać, że przepis § 4 pkt 2 rozporządzenia z 29 kwietnia 2004 r. nie został naruszony przez Prokuratora Okręgowego w O.
Uznać trzeba także trafność zarzutu naruszenia § 4 pkt 3 rozporządzenia z 29 kwietnia 2004 r. Opis struktury zbioru danych osobowych zwarty jest w dokumentacji technicznej programu SIP. Sąd nie wypowiedział się dlaczego uznał, że w opisie tym brak jest wskazania zawartość poszczególnych pól informacyjnych i powiązania między nimi, mimo iż okoliczność, że dane te są zawarte we wskazanej dokumentacji, podnoszona była w skardze. Powoływanie się w odpowiedzi na skargę kasacyjną na zamieszczone na stronach internetowych Generalnego Inspektora Ochrony Danych Osobowych „Wytyczne w zakresie opracowania i wdrożenia polityki bezpieczeństwa” nie znajduje żadnego oparcia w przepisach obowiązującego prawa.
W orzecznictwie sądowym kontrowersje wywołuje podstawa kasacyjna z art. 174 pkt 2 p.p.s.a. Dotyczą one przede wszystkim tego, czy w przepisie tym chodzi wyłącznie o naruszenia prawa procesowego stosowanego przez Sąd I instancji, to znaczy o naruszenie przepisów p.p.s.a., czy także o naruszenie przepisów k.p.a. stosowanych przez organy administracji, a ocenianych przez Sąd. W wyroku składu siedmiu sędziów NSA z 16 stycznia 2006 r., I OPS 4/05, ONSAiWSA 2006, z. 2, poz. 39 przyjęto, iż naruszenie przepisów postępowania może odnosić się także do naruszenia przepisów k.p.a. Gdy przyjąć dopuszczalność postawienia w skardze kasacyjnej zarzutu naruszenia przepisów k.p.a. przez Sąd Administracyjny, to zarzut taki należy uznać za trafny. Bezsporne jest, iż organ administracji nie zawiadomił skarżącego o zakończeniu postępowania dowodowego, więc tym samym uniemożliwiono mu wypowiedzenie się co do zebranych dowodów. W kontekście posiadania przez niego dodatkowych materiałów składających się na politykę bezpieczeństwa - nierozważonych przez organ administracji - nie można uznać, tak jak uczynił to Sąd I instancji, iż to naruszenie prawa nie mogło mieć istotnego wpływu na wynik sprawy.
Mając na uwadze podniesione wyżej względy na podstawie art. 185 § 1 p.p.s.a. orzeczono jak w sentencji.
