I OSK 1218/07
2009-04-14
II SA/Wa 2328/06 → I OSK 1218/07
WYROK
W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ
Dnia 07.08.2008 r.
Naczelny Sąd Administracyjny po rozpoznaniu w dniu 7 sierpnia 2008r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej [...] S.A. w W. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 2 kwietnia 2007 r. sygn. akt II SA/Wa 2328/06 w sprawie ze skargi [...] S.A. w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] nr [...] w przedmiocie ochrony danych osobowych
1. uchyla zaskarżony wyrok i decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] nr [...];
2. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz [...] S.A. kwotę 360 złotych (trzysta sześćdziesiąt) tytułem zwrotu kosztów postępowania sądowego za obie instancje.
Uzasadnienie:
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 2 kwietnia 2007 sygn. akt IISA/Wa 2328/06 oddalił skargę [...] S.A. z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] nr [...] w przedmiocie ochrony danych osobowych. Wyrok został wydany w następujących okolicznościach sprawy.
Pismem z dnia [...] K. S. wystąpił do Generalnego Inspektora Ochrony Danych Osobowych (dalej: GIODO) o sprostowanie jego nazwiska, które [...] S.A (dalej [...] S.A.) przetwarza w postaci "S." zamiast S..
Po rozpatrzeniu tego wniosku Generalny Inspektor Ochrony Danych Osobowych decyzją z [...]. nr [...], wydaną na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t.j. Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.; zwanej: k.p.a.) oraz art. 18 ust. 1 pkt 2 w związku z art. 26 ust. 1 pkt 3, art. 32 ust. 1 pkt 6 oraz art. 35 ust. 1 i 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), nakazał [...] S.A. sprostowanie nazwiska K. S., z niepoprawnej formy "S." na "S.", we wszystkich zbiorach danych osobowych, w których dana ta jest przetwarzana.
W uzasadnieniu organ podał, że [...] S.A. przetwarza dane osobowe K. S. w związku z zawartą nim umową ubezpieczenia od następstw nieszczęśliwych wypadków kierowcy i pasażerów (NW). Dane te przetwarzane są w zbiorze - dane osobowe klientów (INSURER), zarówno w formie papierowej, jak i elektronicznej. W piśmie ręcznym na dokumentach papierowych zastosowano oryginalną pisownię z zastosowaniem przegłosu umlaut. Natomiast w informatycznym systemie automatycznego przetwarzania użyto litery "u". Po interwencji ubezpieczonego Spółka zapowiedziała zmianę zapisu jego nazwiska na "S.".
GIODO stwierdził ponadto, że [...] S.A. jest zakładem ubezpieczeń społecznych w rozumieniu ustawy z dnia 22 maja 2003 r. o działalności ubezpieczeniowej (Dz. U. Nr 124, poz. 1151 ze zm.) oraz stosownie do art. 24 ust. 1 i art. 26 ust. 1 tej ustawy tej ustawy może on zbierać dane ubezpieczonych lub uprawnionych z umowy ubezpieczenia. Dokumenty związane z zawieraniem i wykonywaniem umów ubezpieczenia mogą być sporządzane na elektronicznych nośnikach informacji, jeżeli będą w sposób należyty utworzone, utrwalone, przechowywane i zabezpieczone. Do [...] S.A. ma zastosowanie także powołana ustawa o ochronie danych osobowych, gdyż zakład ubezpieczeń jest w jej rozumieniu administratorem przetwarzanych danych osobowych. Ustawa ta odnosi się m.in. do przetwarzania danych osobowych w systemach informatycznych (art. 2 ust. 2 pkt 2 ustawy). Nakłada ona na administratora danych osobowych konkretne wymogi, w tym wynikający z art. 26 ust. 1 pkt ustawy obowiązek dołożenia przez administratora danych osobowych szczególnej staranności w celu ochrony interesów osób, których one dotyczą, w szczególności zaś zapewnienia, aby dane te były merytorycznie poprawne. Powołany przepis wyraża jedną z podstawowych zasad ochrony danych - zasadę poprawności (prawdziwości) danych oraz ich aktualności. Oznacza ona, że administrator danych osobowych jest odpowiedzialny nie tylko za samo przetwarzanie danych osobowych, w wąskim znaczeniu, ale także za jakość przetwarzanych danych. Informacje wynikające z danych przetwarzanych przez ich administratora powinny być zatem zgodne z prawdą, pełne (kompletne) oraz muszą odpowiadać aktualnemu (najnowszemu) stanowi rzeczy. Jak wskazuje się w literaturze wymóg zapewnienia merytorycznej poprawności danych osobowych przez administratora wiąże się przy tym z obowiązkiem uwzględnienia także znaczenia ewentualnej niedokładności danych z perspektywy osoby (J. Barta, P. Fajgielski, R. Markiewicz, "Ochrona danych osobowych. Komentarz" Zakamycze 2004, str. 548, 555-556).
W sytuacji zatem, w której wbrew powyższej zasadzie jakości danych, dane przetwarzane przez administratora są niepoprawne, osoba, której one dotyczą, może skorzystać z uprawnień przewidzianych w art. 32 ust. 1 pkt 6 ustawy o ochronie danych osobowych. W myśl tego przepisu każdej osobie przysługuje prawo do kontroli przetwarzania jej danych. Zgodnie natomiast z art. 35 ust. 1 ustawy, w razie wykazania przez osobę, której dane osobowe dotyczą, że są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są zbędne do realizacji celu, dla którego zostały zebrane, administrator danych jest obowiązany, bez zbędnej zwłoki, do uzupełnienia, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru, chyba że dotyczy to danych osobowych, w odniesieniu do których tryb ich uzupełnienia, uaktualnienia lub sprostowania określają odrębne ustawy.
W niniejszej sprawie, nie dochowując należytej staranności w zakresie ochrony interesów ubezpieczonego, w "informatycznym systemie automatycznego przetwarzania", w zbiorze "dane osobowe klientów - INSURER" Spółka Akcyjna [...] przetwarza nadal nieprawdziwe nazwisko K. S.. Mimo zastosowania formy " [...]" w miejsce przegłosu "[...]" wnioskodawca w dalszym ciągu figuruje w danych osobowych [...] S.A. pod nazwiskiem nieoddającym jego prawidłowej pisowni ani brzmienia. Zdaniem organu wymóg zapewnienia merytorycznej poprawności przetwarzanych danych należy rozumieć wąsko, tzn. tak, by zapewnić oryginalną pisownię danych osobowych, a nie tylko właściwe ich brzmienie. Dlatego niezbędnym było wydanie wobec [...] SA nakazu sprostowania nazwiska ubezpieczonego.
We wniosku o ponowne rozpatrzenie sprawy, domagając się uchylenia powyższej decyzji, Spółka [...], zarzuciła, iż GIODO nakazuje jej zmianę nazwiska ubezpieczonego z zastosowaniem jedynie znaku "[...]", a nie alternatywnie "[...]", podczas gdy poprawną pisownią wynikającą z ortografii niemieckiej jest zastępowanie przegłosów dwuznakami. Oświadczyła także, iż w chwili obecnej dokonała zmiany niepoprawnego zapisu nazwiska "S." na zgodną z zasadami ortografii formę "S.".
Generalny Inspektor Ochrony Danych Osobowych decyzją z [...] wydaną na podstawie art. 138 § 1 k.p.a. oraz art. 18 ust. 1 pkt 2 w związku z art. 26 ust. 1 pkt 3, art. 32 ust. 1 pkt 6 oraz art. 35 ust. 1 i 2 ustawy o ochronie danych osobowych, poprzednie rozstrzygnięcie utrzymał w mocy.
W motywach GIODO dodał, że przepis art. 26 ustawy o ochronie danych osobowych odpowiada art. 5 Konwencji 108 Rady Europy z dnia 28 stycznia 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (Dz. U. z 2003 r. Nr 3, poz. 25), który przewiduje m.in., że dane powinny być przetwarzane rzetelnie, dokładnie i w razie potrzeby uaktualniane, oraz art. 6 Dyrektywy 95/46/EC Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (OJ Nr L 281 z 23 listopada 1995 r., s. 31), nakładającemu obowiązek zapewnienia przez państwa członkowskie by dane osobowe były w szczególności prawidłowe oraz w razie konieczności aktualizowane, a nadto stanowiącemu, iż należy podjąć wszelkie uzasadnione działania, aby zapewnić usunięcie lub poprawienie nieprawidłowych lub niekompletnych danych. Powyższa dyrektywa została w całości implementowana w polskiej ustawie o ochronie danych osobowych. Wskazuje ona na wagę problemu, jakim jest zapewnienie w Unii Europejskiej przetwarzania danych osobowych merytorycznie poprawnych, a tym samym zapewnienie odpowiedniej jakości danych. Nie przewiduje przy tym żadnych wyjątków w zakresie sprostowania przetwarzanych danych osobowych.
Ponadto organ podtrzymał stanowisko, że skoro Spółka [...] odmówiła sprostowania nazwiska K. S., to przetwarza jego dane bez dochowania należytej staranności w zakresie ochrony interesów wnioskodawcy. Wymóg zapewnienia merytorycznej poprawności przetwarzanych danych należy bowiem odnosić do zapewnienia oryginalnej pisowni danych osobowych, a nie tylko właściwego ich brzmienie. Nie ma zatem podstaw prawnych dla dokonanej przez [...] S.A. transliteracji, zwłaszcza, że wnioskodawca wyraźnie domagał się poprawienia jego nazwiska z "S." na "S.". Nie można również dopuścić do sytuacji, w której wnioskodawca w zbiorach danych osobowych jednej instytucji figurowałby pod nazwiskiem "S.", natomiast w zbiorach innej - pod nazwiskiem oryginalnym S.. Istnienie takiego stanu mogłoby wprowadzać w błąd, jak i powodować wątpliwości, co do tożsamości takiej osoby.
Zdaniem GIODO należy także wskazać, że ustawa o mniejszościach narodowych i etnicznych oraz języku regionalnym nie znajduje zastosowania w sprawie, ponieważ ustawa ta odnosi się jedynie do mniejszości narodowych. Z materiału dowodowego sprawy nie wynika zaś by K. S. zaliczał się do tej grupy. Prowadzenie postępowanie wyjaśniające w tym zakresie nie należy zresztą do kognicji Generalnego Inspektora. Ponadto rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 30 maja 2005 r. w sprawie sposobu transliteracji imion i nazwisk osób należących do mniejszości narodowych i etnicznych zapisanych w alfabecie innym niż alfabet łaciński (Dz. U. Nr 102, poz. 855), wydane na podstawie tej ustawy, nie wskazuje na sposób transliteracji imion i nazwisk z języka niemieckiego.
W podobnych sprawach inne instytucje były w stanie dostosować swe systemy informatyczne do wymogu zapewnienia odpowiedniej jakości przetwarzanych danych osobowych. Stąd nie zasługuje na uwzględnienie stanowisko, że skoro system informatyczny nie zawiera znaku "[...]"., to [...] S.A. nie jest w stanie zapewnić w nim zgodnej z treścią pisowni nazwiska K. S..
Decyzję GIODO z dnia [...][...] S.A. zaskarżył do Wojewódzkiego Sądu Administracyjnego w Warszawie, wnosząc jej uchylenie i przekazanie sprawy do ponownego rozpatrzenia. Do swej skargi załączył: Uchwałę ortograficzną nr 3 Rady Języka Polskiego w sprawie zapisu niemieckich liter "ü", "ö", "ä" oraz opinię językoznawcy z dnia [...] i pismo Departamentu Rozwoju Rejestrów MSWiA z dnia [...] wraz z załącznikiem - Zestawem zamienników znaków diakrytycznych stosowanych w systemie PESEL. Zakład zarzucił między innymi, że organ nie sprawdził pod jakim nazwiskiem K. S. występuje w aktach stanu cywilnego i w dokumentach urzędowych oraz nie wykazał by zachowano tam pisownię nazwiska wnioskodawcy ze znakiem "[...]". Ponadto GIODO bezpodstawnie nie respektuje ustawowych kompetencji Rady Języka Polskiego do podejmowania uchwał w sprawie zasad pisowni i ortografii. Z dołączonej zaś do skargi Uchwały ortograficznej nr 3 Rady Języka Polskiego, bezspornie wynika, że niemieckie litery ü, ö, ä można w tekstach polskich pozostawiać bez zmian lub zapisywać je jako ue, oe, ae. W konsekwencji Generalny Inspektor narusza ustawę o języku polskim, mimo że stosownie do tej ustawy ma obowiązek chronić język polski i poprawnie go używać, gdyż jest on językiem urzędowym w Polsce. Nadto organ nie dostrzega, ze zastosowanie kombinacji grafemów ue, oe, ae jest zgodne z zasadami ortografii niemieckiej. Zdaniem skarżącego uprawnienia K. S. do posiadania w komputerowej bazie [...] S.A określonego zapisu jego nazwiska. nie jest powszechnie stosowane i akceptowane przez Państwo Polskie, czego wyrazem jest system PESEL. Tylko ze względu na interes publiczny jest możliwe ograniczenie wolności gospodarczej w stosunku do [...] S.A. Ta ostatnia zasada w niniejszej sprawie została więc ograniczona wbrew przepisom Konstytucji. Decyzja Generalnego Inspektora prowadzi do niejednoznacznej i błędnej wymiany danych pomiędzy użytkownikami różnych systemów informatycznych w Polsce, bowiem zapis znaku "[...]" może być zrealizowany według różnych tabel kodowania. W konsekwencji brak stosowania reguł transliteracji zaproponowanych przez [...] S.A. i ustalonych uchwałą Rady Języka Polskiego prowadzić będzie do braku kompatybilności różnych systemów. Dlatego nie można uznać by zaskarżona decyzja i skierowany do [...] SA nakaz były prawidłowe.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, powołując się na dotychczasowe ustalenia faktyczne i prawne. Ponadto organ wskazał, że w dowodzie osobistym ubezpieczonego jego nazwisko figuruje w formie "S.".
Wojewódzki Sąd Administracyjny w Warszawie, oddalając skargę na podstawie art. 151 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.-dalej P.P.s.a.), stwierdził, że K. S. posługuje się nazwiskiem pisanym z literą "[...]" (umlaut) i takie też nazwisko jest wpisane w jego dokumentach tożsamości m.in. w dowodzie osobistym i paszporcie, co bezspornie zostało wykazane na rozprawie sądowoadministracyjnej (v. protokół rozprawy - k. 58 - 59 akt sądowych).
Sąd podzielił ponadto stanowisko GIODO, że [...] S.A, jako administrator danych osobowych przetwarzanych w celu oceny ryzyka ubezpieczeniowego lub wykonania umowy ubezpieczenia, zobowiązany jest do przestrzegania wymogów określonych w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.). Zgodnie z art. 26 ust. 1 pkt 3 ustawy musi zatem dokładać szczególnej staranności w celu ochrony interesów osób, których przetwarzane przez niego dane dotyczą, w tym zapewnić, aby przetwarzane dane były merytorycznie poprawne, tj. zgodne z prawdą, pełne (kompletne) oraz odpowiadały aktualnemu (najnowszemu) stanowi rzeczy. W ocenie WSA w Warszawie, organ- powołując się na powołaną literaturę- trafnie również wywiódł, że administrator danych jest odpowiedzialny za samo przetwarzanie danych, w wąskim tego słowa znaczeniu, oraz za jakość przetwarzanych danych. Znajduje to potwierdzenie w art. 5 Konwencji 108 Rady Europy sporządzonej w Strasburgu dnia 28 stycznia 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (Dz. U. z 2003 r. Nr 3, poz. 25) oraz art. 6 Dyrektywy 95/46/EC Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (OJ Nr L 281 z 23 listopada 1995 r., str. 31). Tak więc w przypadku, gdy przetwarzane przez administratora dane są niepoprawne, osoba, której dane dotyczą, może podjąć działania przewidziane w art.32 ust. 1 pkt 6 i art. 35 ust. 1 ustawy o ochronie danych osobowych, zaś administrator zobowiązany jest, bez zbędnej zwłoki, do uzupełnienia, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru, chyba że dotyczy to danych osobowych, w odniesieniu do których tryb ich uzupełnienia, uaktualnienia lub sprostowania określają odrębne ustawy.
W niniejszej sprawie nie może budzić wątpliwości ocena GIODO, iż skarżąca spółka w "informatycznym systemie automatycznego przetwarzania" przetwarzała nazwisko K. S. niepoprawnie i to zarówno w sytuacji, w której przetwarzała to nazwisko jako "S.", jak też w formie "S.". Wymóg zapewnienia merytorycznej poprawności przetwarzanych danych trzeba bowiem rozumieć wąsko, tak by zapewnić oryginalną pisownię danych osobowych, a nie tylko właściwe ich brzmienie. Nie można zatem dopuścić do sytuacji - co także trafnie dostrzegł organ- w której K. S. w zbiorach danych osobowych jednej instytucji figurowałby pod nazwiskiem oryginalnym "S.", a w zbiorach innej jako "S.".
Odnosząc się do zarzutów skargi dotyczących naruszenia przepisów art. 27 Konstytucji RP, art. 3 ust. 2 i art. 4 pkt 4 ustawy o języku polskim, Sąd nie stwierdził, aby organ uchybił powyższym przepisom. W niniejszej sprawie Generalny Inspektor stosował naczelną zasadą ustawy o języku polskim, tj. ochronę języka polskiego i używania języka polskiego w realizacji zadań publicznych. Przy czym należy podnieść, iż art. 11 pkt 1 ustawy o języku polskim stanowi, że przepisy art. 5 - 10 (ochrona prawna języka polskiego w życiu publicznym) nie dotyczą nazw własnych, a taki charakter mają nazwiska. W związku z tym w niniejszej sprawie nie może mieć zastosowania Uchwała ortograficzna Rady Języka Polskiego nr 3, gdyż odnosi się ona do możliwości stosowania przegłosów ue, oe, ae w tekstach polskich, nie określa zaś zasad pisowni samych nazw własnych, które, jak wynika z ustawy o języku polskim, podlegają odmiennemu traktowaniu. Dodać należy, iż zasady ortografii (a takich zasad ortografii odnosi się powyższa uchwała) nie dotyczą nazw własnych, bowiem powszechnie wiadomym jest, iż występują nazwiska z błędami ortograficznymi, które z tego powodu nie podlegają sprostowaniu. Zatem chybione są zarzuty skargi dotyczące naruszenia art. 13 ust. 1 w zw. z art. 12 ust. 1 ustawy o języku polskim.
Sąd nie znalazł także podstaw do uwzględnienia zarzutów skargi dotyczących naruszenia art. 20 w zw. z art. 22 Konstytucji RP, poprzez niedopuszczalne naruszenie wolności działalności gospodarczej. Należy zauważyć, iż zgodnie z art. 26 ust. 1 ustawy o działalności gospodarczej, dokumenty związane z zawieraniem i wykonywaniem umów ubezpieczenia mogą być sporządzane na elektronicznych nośnikach informacji, jeżeli będą w sposób należyty utworzone, utrwalone, przechowywane i zabezpieczone. Z powyższego wynika, iż [...] S.A. - jako zakład ubezpieczeń - jest zobligowany, w wypadku przetwarzania danych w systemach informatycznych, do ich utrwalania w sposób należyty, a więc musi spełniać ustawowe wymagania prowadzonej działalności ubezpieczeniowej w tym zakresie i trudno uznać, aby obowiązki te ograniczały swobodę jego działalności gospodarczej.
Niezasadne jest również powołanie się przez skarżącą spółkę na sposób zapisu znaków diakrytycznych w system PESEL, ponieważ system ten nie stanowi żadnego powszechnie obowiązującego wzorca w tym zakresie.
Z powyższych względów, zdaniem Sądu, nazwisko osoby, której dane są przetwarzane winno być przetwarzane w takiej formie, w jakiej znajduje się w aktach stanu cywilnego i wystawianych na podstawie tych akt dokumentów tożsamości (np. dowodu osobistego, paszportu). Inne zapisy niż oryginalne mogą wprowadzać w błąd i są niepoprawne. Jeżeli w niniejszej sprawie [...] S.A. stosuje dwa różne zapisy danych ubezpieczonego, tj w formie papierowej używa formy "S. " przez umlaut (por. polisa nr [...] k. 10 akt adm.), a w formie elektronicznej "S.", później "S.", to w istocie przetwarza różne nazwiska. Może to wprowadzać w błąd, tym bardziej, iż w Polsce występują te nazwiska we wszystkich trzech postaciach jako: "S.", "S." i "S." (por. "Słownik nazwisk współcześnie w Polsce używanych" pod red. prof. Kazimierza Rymuta, wydanego przez Instytut Języka Polskiego PAN w Krakowie.; Słownik prezentuje nazwiska występujące w Polsce na początku lat 90-tych XX wieku. Dane zostały zaczerpnięte z systemu PESEL. -"www.herby.com.pl/herby/naz_query.html").
Odnosząc się do zarzutów skarżącej, że decyzja Generalnego Inspektora prowadzi do niejednoznacznej i błędnej wymiany danych pomiędzy użytkownikami różnych systemów informatycznych w Polsce oraz w konsekwencji brak stosowania reguł transliteracji zaproponowanych przez [...] S.A. prowadzić będzie do braku kompatybilności równych systemów, Sąd zauważył, iż to zmiana dokonana przez [...] S.A. spowodowałaby dopiero taką sytuację. Istnieją bowiem systemy - jak słusznie podnosi organ i o czym świadczą dokumenty tożsamości K. S.-w których ta dana jest przetwarzana z zastosowaniem przegłosu "ü", więc zastosowanie proponowanej przez [...] S.A. transliteracji "ue" wprowadzałoby do niejednolitość tych systemów.
W tej sytuacji chybione są pozostałe zarzuty skargi dotyczące niewłaściwego zastosowania przez organ art. 18 ust. 1 pkt 2, art. 26 ust. 1 pkt 3, art. 32 ust. 1 pkt 6 oraz art. 35 ust. 1 ustawy o ochronie danych osobowych, poprzez nakazanie skarżącej sprostowania nazwiska. Zdaniem Sądu zaskarżona decyzja jest zatem zgodna z prawem, gdyż zarówno argumentacja skargi, jak i analiza akt sprawy nie ujawniła wad tego rodzaju, że mogłyby one mieć wpływ na podjęte rozstrzygnięcie.
Skargę kasacyjną od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie złożył [...] S.A. w W., reprezentowany przez radcę prawnego, wnosząc o uchylenie tego orzeczenia w całości i przekazanie sprawy do ponownego rozpatrzenia, ewentualnie o uchylenie wyroku i rozpoznanie skargi, poprzez uchylenie decyzji Generalnego Inspektora Ochrony Danych Osobowych Nr [...] z dnia [...] i przekazanie sprawy do ponownego rozpatrzenia. Ponadto wniósł o dopuszczenie dowodu z załączonej do skargi kopii dokumentu oraz zasądzenie na rzecz skarżącego kosztów sądowych za obydwie instancje, w tym kosztów zastępstwa procesowego.
Spółka, na podstawie art. 174 pkt 1 ustawy z dnia 30 sierpnia 2002 roku - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 z późn.- dalej P.p.s.a.), zarzuciła naruszenie następujących przepisów prawa materialnego:
1. art. 27 Konstytucji Rzeczpospolitej Polskiej, poprzez jego błędną wykładnię i naruszenie istniejącej zasady języka polskiego (w tym jego alfabetu) - jako języka urzędowego, w postaci podtrzymania bezwzględnego nakazu zastosowania języka niemieckiego- litery alfabetu niemieckiego "ü" (u - umlaut) w systemach informatycznych i informatycznych bazach danych - bez jednoczesnej możliwości zastosowania zasad transliteracji;
2. art. 3 ust. 2 ustawy z dnia 07 października 1999 r. o języku polskim (Dz. U. z 1999, Nr 90. poz. 999, z późn. zm.), poprzez jego błędną wykładnię, w postaci niezapewnienia ochrony języka polskiego (w tym jego alfabetu) i podtrzymania nakazu bezwzględnego zastosowania języka niemieckiego- litery alfabetu niemieckiego "[...]" ([...] - umlaut) w systemach informatycznych i informatycznych bazach danych - bez jednoczesnej możliwości zastosowania zasad transliteracji;
3. art. 4 pkt 4 ustawy z dnia 07 października 1999 r. o języku polskim, poprzez jego błędną wykładnię i naruszenie istniejącej zasady języka polskiego (w tym jego alfabetu) - jako języka urzędowego, w postaci podtrzymania bezwzględnego nakazu zastosowania języka niemieckiego - litery alfabetu niemieckiego "[...]" ([...] - umlaut) w systemach informatycznych i informatycznych bazach danych - bez jednoczesnej możliwości zastosowania zasad transliteracji;
4. art. 13 ust. 1 w zw. z art. 12 ust. 1 ustawy z dnia 07 października 1999 r. o języku polskim, poprzez jego błędną wykładnię i pominięcie wyłącznych kompetencji Rady Języka Polskiego oraz podjętej Uchwały Ortograficznej Nr 3 Rady Języka Polskiego w sprawie dopuszczalnego zapisu niemieckich liter ü, ö, ä, (przyjętej na XI posiedzeniu plenarnym dnia 20 listopada 2001 r.) - ustalającej zasady ortografii, interpunkcji i pisowni języka polskiego- odnośnie zasad stosowania języka niemieckiego - litery alfabetu niemieckiego "[...]" ([...]- umlaut);
5. art. 20 w zw. z art. 22 Konstytucji Rzeczpospolitej Polskiej, poprzez niedopuszczalne naruszenie zapewnionej Konstytucją wolności działalności gospodarczej w stosunku do skarżącego i uznanie za ważny interes publiczny sposobu zapisywania danych w systemach informatycznych, pomimo istnienia przesłanek do uznania, iż sposób taki nie stanowi ważnego interesu publicznego - dane w najbardziej powszechnej bazie danych osobowych w Polsce, urzędowym systemie PESEL - nie przewidują wpisywania do systemu informatycznego zapisu litery języka obcego "ü" (u - umlaut), a jedynie znaków dwuznaku "U;";
6. art. 18 ust. 1 pkt 2, art. 26 ust. 1 pkt 3, art. 32 ust. 1 pkt 6 oraz art. 35 ust. 1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych ( Dz. U. z 2000 r., Nr 101, poz. 926, z późn. zm.) poprzez ich niewłaściwe zastosowanie:
a. błędne przyjęcie, że forma "S." jest formą nieprawidłową i nie może zostać wpisana do systemów informatycznych i informatycznych baz danych - zgodnie z zasadami transliteracji;
b. niedopuszczalne utrzymanie bezwzględnego nakazu sprostowania nazwiska pomimo wpisania go w prawidłowej i obowiązującej w języku polskim - alfabecie polskim formie "S.";
c. błędne przyjęcie, iż doszło do naruszenia Ustawy o ochronie danych osobowych, wskutek odmowy sprostowania danych osobowych;
d. błędne przyjęcie, że dane przetwarzane przez skarżącego [...] S.A. są merytorycznie niepoprawne;
7. art. 5 Konwencji Nr 108 Rady Europy, sporządzonej w Strasburgu dnia 28 stycznia 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (Dz. U. z 2003 r., Nr 3, poz. 25, z późn. zm.) poprzez jego niewłaściwe zastosowanie i uznanie, iż przedmiotowy artykuł dotyczy ochrony danych osobowych - znajdujących się wyłącznie w systemach informatycznych, z pominięciem zasad transliteracji;
8. art. 6 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r., w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. U. UE. L. 95. 281.31; Dz. U. UE-sp. 13-15-355) poprzez jego niewłaściwe zastosowanie i uznanie, że przedmiotowy artykuł dotyczy ochrony danych osobowych - znajdujących się wyłącznie w systemach informatycznych, z pominięciem zasad transliteracji;
9. art. 7 ust. 3 ustawy z dnia 6 stycznia 2005 r. o mniejszościach narodowych i etnicznych oraz o języku regionalnym (Dz. U. z 2005 r., Nr 17, poz. 141, z późn. zm.) - poprzez jego błędną wykładnię i przyjęcie, że do nazw własnych - w tym do imion i nazwisk - nie stosuje się zasad transliteracji, poza przypadkami określonymi w w/w przepisie.
Ponadto zaskarżonemu orzeczeniu, skarżący zarzuca naruszenie przepisu postępowania, mające istotny wpływ na wynik sprawy (zgodnie z art. 174 pkt 2 ustawy Prawo o postępowaniu przed sądami administracyjnymi), tj. niezastosowanie art. 106 § 4 wyżej cytowanej ustawy i pominięcie powszechnie znanych faktów tj. iż
1. w Polsce obowiązują przedsiębiorców znaki alfabetu języka polskiego, a nie innego języka;
2. ochrona danych osobowych, nie wyłącza stosowania w systemach informatycznych, przyjętych w danym języku zasad transliteracji - do imion i nazwisk;
3. w Unii Europejskiej obowiązują w systemach informatycznych zasady transliteracji - zgodne z zasadami pisowni języków narodowych;
4. w języku polskim, dokonuje się transliteracji nazw własnych, w tym imion i nazwisk osób.
W uzasadnieniu skargi kasacyjnej stwierdzono, że WSA w Warszawie w zaskarżonym wyroku pominął przedmiot sporu, którym w istocie jest stosowanie -także do imion i nazwisk- nieskodyfikowanych zasad transliteracji, które określają reguły zapisywania w alfabecie polskim liter i znaków z innych alfabetów. W konsekwencji Sąd błędnie przyjął, że dane osobowe K. S., znajdujące się wyłącznie w systemach informatycznych, muszą być tam umieszczane bez stosowania zasad transliteracji obowiązujących w języku polskim.
Bezwzględne stosowanie zasad transliteracji do pisowni nazwiska ubezpieczonego, w przypadku gdy występuje ono w bazach danych mających formę pisemną, byłoby rzeczywiście nieuzasadnione. Natomiast zakaz stosowania przedmiotowych zasad w systemach informatycznych i bazach danych stanowi, zdaniem skarżącego, sprzeczną z prawem ingerencję organów państwowych w zakres działania przedsiębiorców.
Stosowanie zasad transliteracji jest powszechne, także w krajach Unii Europejskiej, oraz odnosi się również do pisowni nazw własnych, w tym i nazwisk. Dane zapisywane odpowiednio do zasad transliteracji są zgodne z regułami pisowni języków narodowych i jednocześnie są prawidłowe, rzetelne, poprawne, dokładne oraz odpowiedniej jakości. Nie wymagają zatem sprostowania.
Zasady transliteracji stosują także organy państwowe, czego dowodem jest istniejący system PESEL.
Rozumowanie WSA w Warszawie jest niezgodne z przepisami prawnymi, ale także nielogiczne. Gdyby istniał narzucony przez ten Sąd zakaz stosowania zasad transliteracji w informatycznych bazach danych, to w jaki sposób skarżący miałby zapisać imię i nazwisko obywatela Grecji, członka Unii Europejskiej?. Należy zaznaczyć, ze przepisy prawne skodyfikowały zasady transliteracji alfabetów obcych na alfabet polski np. w stosunku do niektórych języków mniejszości narodowych. Zasady te odnoszą się zarówno do systemów informatycznych, jak i "pisowni papierowej". Brak powszechnego stosowania zasad transliteracji naruszałby zasadę równości i prowadziłby do absurdalnych wniosków. Biorąc pod uwagę rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 30 maja 2005r w sprawie sposobu transliteracji imion i nazwisk należących do mniejszości narodowych i etnicznych zapisanych w alfabecie innym niż alfabet łaciński (Dz.U. z 2005r, Nr 102, poz.855), należałoby uznać, iż obywatel polski narodowości białoruskiej, nie ma prawa do zachowania pisowni i alfabetu swojego imienia i nazwiska w ojczystym alfabecie., natomiast " znaturalizowany " obywatel polski (przybyły z [...]) zachowałby uprawnienie do pisowni i alfabetu swojego imienia i nazwiska. Gdyby nie były stosowane zasady transliteracji, podobne problemy powstałyby w stosunku do cudzoziemców nabywających obywatelstwo polskie, np. chińczyków, arabów i ormian.
[...] SA przetwarza dane osobowe K. S. prawidłowo. Na dokumentach papierowych zastosowano oryginalną pisownię "S."( [...]- umlaut). Jedynie w systemie informatycznym, w wersji elektronicznej, zgodnie z zasadami transliteracji (opartymi zarówno o zasady pisowni języka niemieckiego, jak i powołaną uchwałę Rady Języka Polskiego) nazwisko ubezpieczonego wpisywane jest w postaci "S.". Taka forma też jest poprawna.
Skarżący nigdy nie zamierzał zmieniać nazwiska K. S., ani pozbawiać jego nazwiska ochrony danych osobowych przysługujących każdej osobie fizycznej. Zapis nazwiska z zastosowaniem reguł transliteracji nie stanowi zmiany nazwiska i nie narusza uprawnień ubezpieczonego. Zapatrywanie odmienne, takie jak prezentuje Sąd I instancji, zmuszałoby przedsiębiorców do stosowania nieskończenie dużej liczby liter, znaków, a nawet odmiennej kolejności odczytywania tekstu, np. w przypadku alfabetu hebrajskiego.
Kasator podkreślił nadto, że zgodnie z art.27 zd. pierwsze Konstytucji RP językiem urzędowym w Polsce jest język polski, W skład języka wchodzi również alfabet polski, którego podstawą jest alfabet łaciński. Z zasady stosowania języka polskiego wynikają też zasady transliteracji na alfabet polski liter i znaków z innych alfabetów. Wyjątkiem od zastosowania języka polskiego są przepisy ratyfikowanych umów międzynarodowych i wydane w ich wykonaniu ustawy. WSA w Warszawie, oddalając skargę [...] SA, naruszył tym samym także powołane przepisy Konstytucji oraz ustawy z 7 października 1999r o języku polskim.
Omawiane stanowisko Sądu I instancji podważa również kompetencje Rady Języka Polskiego do ustalania zasad ortografii i interpunkcji języka polskiego. Ze wskazanej uchwały nr 3 jednoznacznie zaś wynika, że niemieckie litery, w tym "[...]",można w tekstach polskich pozostawiać bez zmian lub zapisywać jako "[...]".
Należy przy tym zaznaczyć, że wbrew stanowisku WSA- nie istnieją żadne podstawy prawne, ani zapisy, które wyłączyłyby możliwość stosowania ustalonych przez Radę Języka Polskiego zasad transliteracji do zapisywanych nazwisk i imion w systemach informatycznych i informatycznych bazach danych. Ponadto omawiana uchwała Rady Języka Polskiego nie stanowi nakazu do zmiany zapisu u-umlaut (jak sugeruje Sąd I instancji), a jedynie dopuszcza taką możliwość.
Wyrok WSA w Warszawie oddalający skargę nie respektuje też zasad języka niemieckiego, w którym - jak wynika z dołączonej opinii językoznawcy, Pani [...], adiunkta w Instytucie Germanistyki Uniwersytetu [...] - za poprawny (nie tylko w systemach informatycznych) uznaje się zapis zarówno "ü" jak i kombinację grafemów "ue".
Z powyższych względów uznać należy, że GIODO (a następnie WSA w Warszawie) naruszył powołane przez siebie przepisy tj. art.18 ust.1 pkt.2, art.26 ust.1 pkt.3, art. 32 ust.1 pkt.6 oraz art.35 ust.1 ustawy o ochroni danych osobowych. Przepisy te nie dopuszczają bowiem sprostowania sprzecznego z prawem.
W sprawie niewłaściwie też zastosowano art.5 powołanej Konwencji nr 108 Rady Europy oraz art.6 Dyrektywy nr 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995r. Członkowie Rady Europy, zdając sobie sprawę z różnorodności alfabetów narodowych, już w 1981r sposób dorozumiany przyjęli zasady transliteracji. Stosowanie zasad transliteracji do zapisywania przetwarzanych danych osobowych osób fizycznych w żadnym razie nie skutkuje brakiem poprawności tych danych.
Stosowanie zasad transliteracji (tak jak i samo stosowane alfabetu polskiego) nie jest skodyfikowane, co nie oznacza, że istnieje zakaz ich stosowania. Należy podkreślić, że zasady transliteracji, dają podstawę do zapisu zgodnego z polską pisownią, ale wcale nie przesadzają o oryginalnej pisowni, ani nie wyłączają używania oryginalnej pisowni w tekstach polskich pisanych.
W odpowiedzi na skargę kasacyjną Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, podtrzymując stanowisko, że przy przetwarzaniu nazwisk osób fizycznych nie ma podstaw prawnych do dokonanej przez [...] transliteracji. Ponadto administrator danych osobowych ma obowiązek stosowania takich rozwiązań technicznych, które pozwolą na przetwarzanie danych osobowych merytorycznie poprawnych, a zatem z zastosowaniem oryginalnej pisowni.
Naczelny Sąd Administracyjny zważył, co następuje:
Stosownie do treści art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, z urzędu biorąc pod uwagę jedynie nieważność postępowania. Podstawy kasacyjne determinują zatem zakres postępowania przed Naczelnym Sądem Administracyjnym.
Wobec niestwierdzenia z urzędu nieważności postępowania, Naczelny Sąd Administracyjny ogranicza swoje rozważania do oceny wskazanych w skardze podstaw kasacyjnych. Skarga kasacyjna analizowana pod tym kątem zawiera usprawiedliwione podstawy i zasługuje na uwzględnienie.
Ze sprawy wynika, że K. S. zawarł z [...] S.A. umowę ubezpieczenia następstw nieszczęśliwych wypadków kierowcy i pasażerów (NW). W odniesieniu do umów cywilnoprawnych podstawę legalnego przetwarzania danych osobowych stanowi art. 23 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j.: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.). Zakres danych osobowych, przetwarzanych w związku z koniecznością wywiązania się z umowy, może, a w niektórych sytuacjach, wręcz powinien być zróżnicowany, w zależności od charakteru i znaczenia umowy. W przypadku umów o istotnym znaczeniu gospodarczym lub społecznym bezpieczeństwo obrotu prawnego wymaga dokładnej identyfikacji stron zawierających umowę i może uzasadniać gromadzenie przez nie danych osobowych w zakresie gwarantującym należyte wywiązanie się ze zobowiązania. Dokładne oznaczenie stron umowy wskazuje nie tylko na kwestię legalności przetwarzania danych osobowych, ale - co równie istotne - na aspekt prawidłowości (poprawności) przetwarzanych danych.
Zgodnie z art. 26 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j.: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), administrator danych, przetwarzający dane, powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane. Przepis ten odgrywa zasadniczą rolę w całości regulacji poświęconej przetwarzaniu danych osobowych. Jest odpowiednikiem art. 5 konwencji 108 Rady Europy oraz art. 6 dyrektywy 95/46/WE, które dotyczą jakości danych. Ustawa nakłada bowiem obowiązek przetwarzania i przechowywania danych w postaci umożliwiającej identyfikację osób, których dotyczą.
Właściwie cały art. 26 ustawy o ochronie danych osobowych, wyznaczając główne zasady postępowania przy przetwarzaniu danych osobowych, ujmuje je w formę podstawowych obowiązków, których musi zawsze przestrzegać administrator danych. Jest on odpowiedzialny nie tylko za samo przetwarzanie danych, w wąskim znaczeniu, ale także za jakość danych, co wymaga od administratora dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Na gruncie niniejszej sprawy szczególną staranność należy kwalifikować w kategoriach reguł funkcjonowania języka, w tym także reguł transkrypcji, transliteracji, a także możliwości technicznych podmiotu przetwarzającego dane osobowe. Trzeba przy tym zaznaczyć, że nie można zarzucić administratorowi danych osobowych niedochowania należytej staranności, jeżeli podczas przetwarzania danych dąży do ustalenia poprawnej pisowni przetwarzanych danych.
Cytowany art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych nakłada na administratora danych obowiązek zapewnienia, aby zbierane i przetwarzane przez niego dane osobowe były merytorycznie poprawne. Merytoryczna poprawność danych osobowych winna być mierzona kryteriami prawdziwości i prawidłowości, co w kontekście obowiązku dochowania szczególnej staranności w procesie przetwarzania danych nabiera jeszcze większego znaczenia, zwłaszcza jeśli chodzi o dane obcojęzyczne, których pisownia i posługiwanie się nimi (przetwarzanie) wymaga osadzenia w przyjętych regułach językowych.
Słowo "merytoryczny" według "Słownika języka polskiego", opracowanego przez Elżbietę Sobol (Wydawnictwo Naukowe PWN, Warszawa 2005, s. 454), oznacza "dotyczący istotnej treści danej sprawy, przedmiotu (w odróżnieniu od strony formalnej); treściowy". Merytorycznie poprawne przetwarzanie danych osobowych to zatem takie, które pozostaje w zgodzie z rzeczywistością i jest treściowo właściwe, a dane wyrażone są zgodnie z zasadami przyjętymi w tym języku.
Przedmiotem przetwarzania było nazwisko o brzmieniu niepolskim - S.. Zgodnie z ustawą o ochronie danych osobowych, merytorycznie poprawne jest sformułowanie tego nazwiska za pomocą polskich liter, a więc z zastosowaniem przyjętych w języku polskim zasad transliteracji.
Stosownie do treści art. 7 ust. 2 ustawy z dnia 6 stycznia 2005 r. o mniejszościach narodowych i etnicznych oraz języku regionalnym (Dz. U. Nr 17, poz. 141 ze zm.), imiona i nazwiska osób należących do mniejszości, zapisane w alfabecie innym niż alfabet łaciński, podlegają transliteracji. Choć oba języki posługują się alfabetem łacińskim, to jednak zarówno w języku niemieckim, jak i polskim, występują specyficzne znaki stosowane tylko w narodowych wersjach alfabetu łacińskiego. Dlatego też, znaki diakrytyczne występujące nad lub pod literami można spolszczyć wedle przyjętych zasad pisowni. W przeciwnym razie należałoby zapisywać nazwisko obywatela polskiego, mającego na przykład nazwisko perskie, przy zastosowaniu jedynie oryginalnej pisowni. Trzeba przy tym zwrócić uwagę, że zarówno w języku niemieckim, jak i polskim, dopuszczalny jest zapis przegłosu "[...]-umlaut" zgłoskami "[...]" (Słownik ortograficzny z serii DUDEN, "Die deutsche Rechtschreibung", tom I, Mannheim, 2000, s. 107 i uchwała ortograficzna Rady Języka Polskiego z dnia 20 listopada 2001 r. nr 3). Oznacza to, że stosowanie kombinacji zgłosek jako grafemu "[...]" w miejsce przegłosu "[...]-umlaut" jest nie tylko zgodne z zasadami polskiej ortografii, ale również ortografii języka niemieckiego. Jest to oczywiście jedynie alternatywna możliwość zapisu, wynikająca z powodów czysto technicznych, albowiem żaden przepis prawa bezwzględnie obowiązującego nie wprowadza zakazu posługiwania się nazwiskiem obcojęzycznym w jego oryginalnej pisowni.
Wynika z tego, że zapis nazwiska "S.", przy zastąpieniu przegłosu "[...]-umlaut" połączeniem zgłosek "[...]" ("S."), nie narusza merytorycznej poprawności nazwiska i jest prawidłowy w świetle obowiązujących zasad pisowni tak w języku niemieckim, jak i polskim. Oddaje zarówno pisownię, brzmienie, identyfikuje i - co najważniejsze - nie narusza tożsamości osoby.
Zdaniem Generalnego Inspektora Ochrony Danych Osobowych, merytorycznie poprawny jest jedynie zapis nazwiska "S.", uwzględniający wyłącznie oryginalną jego pisownię. Takie stanowisko należy uznać za błędne. Skoro bowiem dopuszczalna jest - w świetle zasad ortografii języka niemieckiego i polskiego - pisownia nazwiska niemieckiego z przegłosem "[...]-umlaut", poprzez zastąpienie przegłosu kombinacją grafemu "[...]", to merytorycznie poprawny jest nie tylko zapis nazwiska w oryginalnym brzmieniu z przegłosem "[...]-umlaut", ale także poprawny merytorycznie będzie zapis przy zachowaniu przyjętych zasad pisowni i ortografii, czyli z użyciem zgłosek "[...]". Dopuszczenie możliwości zapisywania nazwiska "S." jako "S." nie sprawia, że nazwisko jest przez to nieprawidłowe. Nie można także uznać, że przestaje identyfikować osobę. Taka pisownia nie wskazuje też na niekompletność danych. Alternatywna możliwość użycia innych znaków (liter) ma ułatwiać komunikację językową, co ma szczególne znaczenie w dobie informatyzacji zbiorów danych osobowych, będącej przecież następstwem rozwoju i postępu technicznego.
Generalny Inspektor Ochrony Danych Osobowych niezasadnie zatem zaskarżoną decyzją utrzymał w mocy swój poprzedni nakaz zastąpienia niewłaściwej pisowni nazwiska "S." jedynie oryginalnym zapisem nazwiska "S.", nie zwracając przy tym uwagi na inną, alternatywną i prawidłową formę jego pisowni - "S.". Sąd I instancji, oddalając skargę, dokonał zaś niewłaściwej wykładni cytowanego wyżej przepisu art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych i w konsekwencji błędnie zastosował te normę w zw. z art. 18 ust. 1 pkt 2 ustawy.
W tej sytuacji zbędne jest ustosunkowanie się do pozostałych wywodów zawartych w skardze kasacyjnej. Niezależnie bowiem od tego, czy uznamy przetwarzanie danych osobowych przez instytucję ubezpieczeniową za realizację celów publicznych, czy też nie, to pozostałe zarzuty mają w sprawie drugorzędne znaczenie, skoro przetwarzane przez [...] S.A. nazwisko "S." w systemach informatycznych, z zastosowaniem zasad transliteracji ("S."), jest merytorycznie poprawne.
Z powyższych względów, przyjmując, że wyrok WSA w Warszawie został wydany z naruszeniem prawa materialnego, Naczelny Sąd Administracyjny, na podstawie art. 188 ww. ustawy - Prawo o postępowaniu przed sądami administracyjnymi, uchylił zaskarżone orzeczenie i rozpoznał skargę. Uwzględniając skargę, stosownie do art. 145 § 1 pkt 1 lit. "a" ustawy P.p.s.a., uchylił zaskarżoną decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] nr [...], ponieważ konieczne jest ponowne rozpoznanie sprawy przez ten organ, przy uwzględnieniu wskazanej oceny prawnej.
Uchylenie zaskarżonego wyroku i uwzględnienie skargi zobowiązywało Naczelny Sąd Administracyjny do rozstrzygnięcia nie tylko o kosztach postępowania kasacyjnego w oparciu o art. 203 pkt 1 ustawy - Prawo o postępowaniu przed sądami administracyjnymi, ale również o kosztach postępowania przed Sądem I instancji (art. 200 w związku z art. 188 i art. 193 ustawy - Prawo o postępowaniu przed sądami administracyjnymi).
Sygnatura powiązana
