II SA/Wa 257/09
2009-08-26
Orzeczenie nieprawomocne
WYROK
W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ
dnia 16 czerwca 2009 r.
Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu na rozprawie w dniu 16 czerwca 2009 r. sprawy ze skargi K. S. na decyzję Generalny Inspektora Ochrony Danych Osobowych z dnia [...] stycznia 2009 r. nr [...] w przedmiocie ochrony danych osobowych
oddala skargę.
Uzasadnienie:
Pismem z dnia 3 kwietnia 2006 r. K. S. wystąpił do Generalnego Inspektora Ochrony Danych Osobowych (dalej: GIODO) o sprostowanie jego nazwiska, które P. S.A (dalej P. S.A.) przetwarza w postaci "[...]u[...]" zamiast [...]ü[...].
Po rozpatrzeniu tego wniosku Generalny Inspektor Ochrony Danych Osobowych decyzją z [...] czerwca 2006 r. nr [...] wydaną na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t.j. Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.; zwanej: k.p.a.) oraz art. 18 ust. 1 pkt 2 w związku z art. 26 ust. 1 pkt 3, art. 32 ust. 1 pkt 6 oraz art. 35 ust. 1 i 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), nakazał P. S.A. sprostowanie nazwiska K. S., z niepoprawnej formy "[...]u[...]" na "[...]ü[...]", we wszystkich zbiorach danych osobowych, w których dana ta jest przetwarzana.
W uzasadnieniu organ podał, że P. S.A. przetwarza dane osobowe K. S. w związku z zawartą z nim umową [...]. Dane te przetwarzane są w zbiorze - dane osobowe klientów [...], zarówno w formie papierowej, jak i elektronicznej. W piśmie ręcznym na dokumentach papierowych zastosowano oryginalną pisownię z zastosowaniem przegłosu umlaut. Natomiast w informatycznym systemie automatycznego przetwarzania użyto litery "u". Po interwencji ubezpieczonego Spółka zapowiedziała zmianę zapisu jego nazwiska na "[...]ue[...]".
GIODO stwierdził ponadto, że P. S.A. jest Zakładem Ubezpieczeń Społecznych w rozumieniu ustawy z dnia 22 maja 2003 r. o działalności ubezpieczeniowej (Dz. U. Nr 124, poz. 1151 ze zm.) oraz stosownie do art. 24 ust. 1 i art. 26 ust. 1 tej ustawy może on zbierać dane ubezpieczonych lub uprawnionych z umowy ubezpieczenia. Dokumenty związane z zawieraniem i wykonywaniem umów ubezpieczenia mogą być sporządzane na elektronicznych nośnikach informacji, jeżeli będą w sposób należyty utworzone, utrwalone, przechowywane i zabezpieczone. Do P. S.A. ma zastosowanie także powołana ustawa o ochronie danych osobowych, gdyż zakład ubezpieczeń jest w jej rozumieniu administratorem przetwarzanych danych osobowych. Ustawa ta odnosi się m.in. do przetwarzania danych osobowych w systemach informatycznych (art. 2 ust. 2 pkt 2 ustawy). Nakłada ona na administratora danych osobowych konkretne wymogi, w tym wynikające z art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych. Oznacza to, że administrator danych osobowych jest odpowiedzialny nie tylko za samo przetwarzanie danych osobowych, w wąskim znaczeniu, ale także za jakość przetwarzanych danych. Informacje wynikające z danych przetwarzanych przez ich administratora powinny być zatem zgodne z prawdą, pełne (kompletne) oraz muszą odpowiadać aktualnemu (najnowszemu) stanowi rzeczy.
W sytuacji zatem, w której wbrew powyższej zasadzie jakości danych, dane przetwarzane przez administratora są niepoprawne, osoba, której one dotyczą, może skorzystać z uprawnień przewidzianych w art. 32 ust. 1 pkt 6 ustawy o ochronie danych osobowych. W myśl tego przepisu każdej osobie przysługuje prawo do kontroli przetwarzania jej danych. Zgodnie natomiast z art. 35 ust. 1 ustawy, w razie wykazania przez osobę, której dane osobowe dotyczą, że są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są zbędne do realizacji celu, dla którego zostały zebrane, administrator danych jest obowiązany, bez zbędnej zwłoki, do uzupełnienia, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru, chyba że dotyczy to danych osobowych, w odniesieniu do których tryb ich uzupełnienia, uaktualnienia lub sprostowania określają odrębne ustawy.
W niniejszej sprawie, Spółka Akcyjna P. przetwarza nadal nieprawdziwe nazwisko K. S. Mimo zastosowania formy "ue" w miejsce przegłosu "ü" wnioskodawca w dalszym ciągu figuruje w danych osobowych P. S.A. pod nazwiskiem nieoddającym jego prawidłowej pisowni ani brzmienia. Dlatego niezbędnym było wydanie wobec P. S.A. nakazu sprostowania nazwiska ubezpieczonego.
We wniosku o ponowne rozpatrzenie sprawy, domagając się uchylenia powyższej decyzji, Spółka P. S.A., zarzuciła, iż Generalny Inspektor Ochrony Danych Osobowych nakazuje jej zmianę nazwiska ubezpieczonego z zastosowaniem jedynie znaku "ü", a nie alternatywnie "ue", podczas gdy poprawną pisownią wynikającą z ortografii niemieckiej jest zastępowanie przegłosów dwuznakami. Oświadczyła także, iż w chwili obecnej dokonała zmiany niepoprawnego zapisu nazwiska "[...]u[...]" na zgodną z zasadami ortografii formę "[...]ue[...]".
Generalny Inspektor Ochrony Danych Osobowych decyzją z [...] października 2006 r. wydaną na podstawie art. 138 § 1 k.p.a. oraz art. 18 ust. 1 pkt 2 w związku z art. 26 ust. 1 pkt 3, art. 32 ust. 1 pkt 6 oraz art. 35 ust. 1 i 2 ustawy o ochronie danych osobowych, poprzednie rozstrzygnięcie utrzymał w mocy.
W swych motywach GIODO dodał, że przepis art. 26 ustawy o ochronie danych osobowych odpowiada art. 5 Konwencji 108 Rady Europy z dnia 28 stycznia 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (Dz. U. z 2003 r. Nr 3, poz. 25), który przewiduje m.in., że dane powinny być przetwarzane rzetelnie, dokładnie i w razie potrzeby uaktualniane, oraz art. 6 Dyrektywy 95/46/EC Parlamentu Europejskiego i Rady z dnia 24 października 1995 r., w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (OJ Nr L 281 z 23 listopada 1995 r., s. 31), nakładającemu obowiązek zapewnienia przez państwa członkowskie by dane osobowe były w szczególności prawidłowe oraz w razie konieczności aktualizowane, a nadto stanowiącemu, iż należy podjąć wszelkie uzasadnione działania, aby zapewnić usunięcie lub poprawienie nieprawidłowych lub niekompletnych danych. Powyższa dyrektywa została w całości implementowana w polskiej ustawie o ochronie danych osobowych. Wskazuje ona na wagę problemu, jakim jest zapewnienie w Unii Europejskiej przetwarzania danych osobowych merytorycznie poprawnych, a tym samym zapewnienie odpowiedniej jakości danych. Nie przewiduje przy tym żadnych wyjątków w zakresie sprostowania przetwarzanych danych osobowych.
Ponadto organ podtrzymał stanowisko, że skoro Spółka P. odmówiła sprostowania nazwiska K. S., to przetwarza jego dane bez dochowania należytej staranności w zakresie ochrony interesów wnioskodawcy. Wymóg zapewnienia merytorycznej poprawności przetwarzanych danych należy bowiem odnosić do zapewnienia oryginalnej pisowni danych osobowych, a nie tylko właściwego ich brzmienia. Nie ma zatem podstaw prawnych dla dokonanej przez P. S.A. transliteracji, zwłaszcza, że wnioskodawca wyraźnie domagał się poprawienia jego nazwiska z "[...]u[...]" na "[...]ü[...]". Nie można również dopuścić do sytuacji, w której wnioskodawca w zbiorach danych osobowych jednej instytucji figurowałby pod nazwiskiem "[...]ue[...]", natomiast w zbiorach innej - pod nazwiskiem oryginalnym [...]ü[...]. Istnienie takiego stanu mogłoby wprowadzać w błąd, jak i powodować wątpliwości, co do tożsamości takiej osoby.
Zdaniem Generalnego Inspektora Ochrony Danych Osobowych należy także wskazać, że ustawa o mniejszościach narodowych i etnicznych oraz języku regionalnym nie znajduje zastosowania w sprawie, ponieważ ustawa ta odnosi się jedynie do mniejszości narodowych. Z materiału dowodowego sprawy nie wynika zaś by K. S. zaliczał się do tej grupy.
Decyzję GIODO z dnia [...] listopada 2006 r. P. S.A. zaskarżył do Wojewódzkiego Sądu Administracyjnego w Warszawie, wnosząc o jej uchylenie i przekazanie sprawy do ponownego rozpatrzenia. Do swej skargi załączył: Uchwałę ortograficzną nr 3 Rady Języka Polskiego w sprawie zapisu niemieckich liter "ü", "ö", "ä" oraz opinię językoznawcy z dnia 6 listopada 2006 r. i pismo Departamentu Rozwoju Rejestrów MSWiA z dnia 27 października 2006 r. wraz z załącznikiem - Zestawem zamienników znaków diakrytycznych stosowanych w systemie PESEL. Zakład zarzucił między innymi, że organ nie sprawdził pod jakim nazwiskiem K. S. występuje w aktach stanu cywilnego i w dokumentach urzędowych oraz nie wykazał by zachowano tam pisownię nazwiska wnioskodawcy ze znakiem "ü". Ponadto Generalny Inspektor Ochrony Danych Osobowych bezpodstawnie nie respektuje ustawowych kompetencji Rady Języka Polskiego do podejmowania uchwał w sprawie zasad pisowni i ortografii. Z dołączonej zaś do skargi Uchwały ortograficznej nr 3 Rady Języka Polskiego, bezspornie wynika, że niemieckie litery ü, ö, ä można w tekstach polskich pozostawiać bez zmian lub zapisywać je jako ue, oe, ae. W konsekwencji Generalny Inspektor narusza ustawę o języku polskim, mimo że stosownie do tej ustawy ma obowiązek chronić język polski i poprawnie go używać, gdyż jest on językiem urzędowym w Polsce. Nadto organ nie dostrzega, że zastosowanie kombinacji grafemów ue, oe, ae jest zgodne z zasadami ortografii niemieckiej. Zdaniem skarżącego uprawnienia K. S. do posiadania w komputerowej bazie P. S.A. określonego zapisu jego nazwiska nie jest powszechnie stosowane i akceptowane przez Państwo Polskie, czego wyrazem jest system PESEL. Tylko ze względu na interes publiczny jest możliwe ograniczenie wolności gospodarczej w stosunku do P. S.A. Ta ostatnia zasada w niniejszej sprawie została więc ograniczona wbrew przepisom Konstytucji. Decyzja Generalnego Inspektora Ochrony Danych Osobowych prowadzi do niejednoznacznej i błędnej wymiany danych pomiędzy użytkownikami różnych systemów informatycznych w Polsce, bowiem zapis znaku "ü" może być zrealizowany według różnych tabel kodowania. W konsekwencji brak stosowania reguł transliteracji zaproponowanych przez P. S.A. i ustalonych uchwałą Rady Języka Polskiego prowadzić będzie do braku kompatybilności różnych systemów. Dlatego nie można uznać by zaskarżona decyzja i skierowany do P. S.A. nakaz były prawidłowe.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, powołując się na dotychczasowe ustalenia faktyczne i prawne. Ponadto organ wskazał, że w dowodzie osobistym ubezpieczonego jego nazwisko figuruje w formie "[...]ü[...]".
Wojewódzki Sąd Administracyjny w Warszawie, oddalając skargę na podstawie art. 151 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.- dalej ppsa.), stwierdził, że K. S. posługuje się nazwiskiem pisanym z literą "ü" (umlaut) i takie też nazwisko jest wpisane w jego dokumentach tożsamości m.in. w dowodzie osobistym i paszporcie, co bezspornie zostało wykazane na rozprawie sądowoadministracyjnej (v. protokół rozprawy - k. 58 - 59 akt sądowych).
Sąd podzielił ponadto stanowisko Generalnego Inspektora Ochrony Danych Osobowych, że P. S.A, jako administrator danych osobowych przetwarzanych w celu oceny ryzyka ubezpieczeniowego lub wykonania umowy ubezpieczenia, zobowiązany jest do przestrzegania wymogów określonych w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.). Zgodnie z art. 26 ust. 1 pkt 3 ustawy musi zatem dokładać szczególnej staranności w celu ochrony interesów osób, których przetwarzane przez niego dane dotyczą, w tym zapewnić, aby przetwarzane dane były merytorycznie poprawne, tj. zgodne z prawdą, pełne (kompletne) oraz odpowiadały aktualnemu (najnowszemu) stanowi rzeczy. W ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie, organ- powołując się na powołaną literaturę - trafnie również wywiódł, że administrator danych jest odpowiedzialny za samo przetwarzanie danych, w wąskim tego słowa znaczeniu, oraz za jakość przetwarzanych danych. Znajduje to potwierdzenie w art. 5 Konwencji 108 Rady Europy sporządzonej w Strasburgu dnia 28 stycznia 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (Dz. U. z 2003 r. Nr 3, poz. 25) oraz art. 6 Dyrektywy 95/46/EC Parlamentu Europejskiego i Rady z dnia 24 października 1995 r., w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (OJ Nr L 281 z 23 listopada 1995 r., str. 31). Tak więc w przypadku, gdy przetwarzane przez administratora dane są niepoprawne, osoba, której dane dotyczą, może podjąć działania przewidziane w art. 32 ust. 1 pkt 6 i art. 35 ust. 1 ustawy o ochronie danych osobowych, zaś administrator zobowiązany jest, bez zbędnej zwłoki, do uzupełnienia, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru, chyba że dotyczy to danych osobowych, w odniesieniu do których tryb ich uzupełnienia, uaktualnienia lub sprostowania określają odrębne ustawy.
W niniejszej sprawie nie może budzić wątpliwości ocena Generalnego Inspektora Ochrony Danych Osobowych, iż skarżąca spółka w "informatycznym systemie automatycznego przetwarzania" przetwarzała nazwisko K. S. niepoprawnie i to zarówno w sytuacji, w której przetwarzała to nazwisko jako "[...]u[...]", jak też w formie "[...]ue[...]". Wymóg zapewnienia merytorycznej poprawności przetwarzanych danych trzeba bowiem rozumieć wąsko, tak by zapewnić oryginalną pisownię danych osobowych, a nie tylko właściwe ich brzmienie. Nie można zatem dopuścić do sytuacji - co także trafnie dostrzegł organ - w której K. S. w zbiorach danych osobowych jednej instytucji figurowałby pod nazwiskiem oryginalnym "[...]ü[...]", a w zbiorach innej jako "[...]u[...]".
Odnosząc się do zarzutów skargi dotyczących naruszenia przepisów art. 27 Konstytucji RP, art. 3 ust. 2 i art. 4 pkt 4 ustawy o języku polskim, Sąd nie stwierdził, aby organ uchybił powyższym przepisom. W niniejszej sprawie Generalny Inspektor stosował się naczelną zasadą ustawy o języku polskim, tj. ochroną języka polskiego i używania języka polskiego w realizacji zadań publicznych. Przy czym należy podnieść, iż art. 11 pkt 1 ustawy o języku polskim stanowi, że przepisy art. 5 - 10 (ochrona prawna języka polskiego w życiu publicznym) nie dotyczą nazw własnych, a taki charakter mają nazwiska. W związku z tym w niniejszej sprawie nie może mieć zastosowania Uchwała Ortograficzna Rady Języka Polskiego nr 3, gdyż odnosi się ona do możliwości stosowania przegłosów ue, oe, ae w tekstach polskich, nie określa zaś zasad pisowni samych nazw własnych, które, jak wynika z ustawy o języku polskim, podlegają odmiennemu traktowaniu. Dodać należy, iż zasady ortografii (a do takich zasad ortografii odnosi się powyższa uchwała) nie dotyczą nazw własnych, bowiem powszechnie wiadomym jest, iż występują nazwiska z błędami ortograficznymi, które z tego powodu nie podlegają sprostowaniu. Zatem chybione są zarzuty skargi dotyczące naruszenia art. 13 ust. 1 w zw. z art. 12 ust. 1 ustawy o języku polskim.
Sąd nie znalazł także podstaw do uwzględnienia zarzutów skargi dotyczących naruszenia art. 20 w zw. z art. 22 Konstytucji RP, poprzez niedopuszczalne naruszenie wolności działalności gospodarczej. Należy zauważyć, iż zgodnie z art. 26 ust. 1 ustawy o działalności gospodarczej, dokumenty związane z zawieraniem i wykonywaniem umów ubezpieczenia mogą być sporządzane na elektronicznych nośnikach informacji, jeżeli będą w sposób należyty utworzone, utrwalone, przechowywane i zabezpieczone. Z powyższego wynika, iż P. S.A. - jako Zakład Ubezpieczeń - jest zobligowany, w wypadku przetwarzania danych w systemach informatycznych, do ich utrwalania w sposób należyty, a więc musi spełniać ustawowe wymagania prowadzonej działalności ubezpieczeniowej w tym zakresie i trudno uznać, aby obowiązki te ograniczały swobodę jego działalności gospodarczej.
Niezasadne jest również powołanie się przez skarżącą spółkę na sposób zapisu znaków diakrytycznych w system PESEL, ponieważ system ten nie stanowi żadnego powszechnie obowiązującego wzorca w tym zakresie.
Z powyższych względów, zdaniem Sądu, nazwisko osoby, której dane są przetwarzane winno być przetwarzane w takiej formie, w jakiej znajduje się w aktach stanu cywilnego i wystawianych na podstawie tych akt dokumentów tożsamości (np. dowodu osobistego, paszportu). Inne zapisy niż oryginalne mogą wprowadzać w błąd i są niepoprawne.
Odnosząc się do zarzutów skarżącej, że decyzja Generalnego Inspektora prowadzi do niejednoznacznej i błędnej wymiany danych pomiędzy użytkownikami różnych systemów informatycznych w Polsce oraz w konsekwencji brak stosowania reguł transliteracji zaproponowanych przez P. S.A. prowadzić będzie do braku kompatybilności równych systemów, Sąd zauważył, iż to zmiana dokonana przez P. S.A. spowodowałaby dopiero taką sytuację.
Skargę kasacyjną od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie złożył P. S.A. w W., reprezentowany przez radcę prawnego, wnosząc o uchylenie tego orzeczenia w całości i przekazanie sprawy do ponownego rozpatrzenia, ewentualnie o uchylenie wyroku i rozpoznanie skargi, poprzez uchylenie decyzji Generalnego Inspektora Ochrony Danych Osobowych Nr [...] z dnia [...] października 2006 r. i przekazanie sprawy do ponownego rozpatrzenia. Ponadto wniósł o dopuszczenie dowodu z załączonej do skargi kopii dokumentu oraz zasądzenie na rzecz skarżącego kosztów sądowych za obydwie instancje, w tym kosztów zastępstwa procesowego.
W uzasadnieniu skargi kasacyjnej organ wskazał na naruszenie :
1. art. 27 Konstytucji Rzeczpospolitej Polskiej, poprzez jego błędną wykładnię i naruszenie istniejącej zasady języka polskiego (w tym jego alfabetu) - jako języka urzędowego, w postaci podtrzymania bezwzględnego nakazu zastosowania języka niemieckiego - litery alfabetu niemieckiego "ü" (u - umlaut) w systemach informatycznych i informatycznych bazach danych - bez jednoczesnej możliwości zastosowania zasad transliteracji;
2. art. 3 ust. 2 ustawy z dnia 7 października 1999 r. o języku polskim (Dz. U. z 1999, Nr 90. poz. 999, z późn. zm.), poprzez jego błędną wykładnię, w postaci niezapewnienia ochrony języka polskiego (w tym jego alfabetu) i podtrzymania nakazu bezwzględnego zastosowania języka niemieckiego - litery alfabetu niemieckiego "ü" (u - umlaut) w systemach informatycznych i informatycznych bazach danych - bez jednoczesnej możliwości zastosowania zasad transliteracji;
3. art. 4 pkt 4 ustawy z dnia 7 października 1999 r. o języku polskim, poprzez jego błędną wykładnię i naruszenie istniejącej zasady języka polskiego (w tym jego alfabetu) - jako języka urzędowego, w postaci podtrzymania bezwzględnego nakazu zastosowania języka niemieckiego - litery alfabetu niemieckiego "ü" (u - umlaut) w systemach informatycznych i informatycznych bazach danych - bez jednoczesnej możliwości zastosowania zasad transliteracji;
4. art. 13 ust. 1 w zw. z art. 12 ust. 1 ustawy z dnia 7 października 1999 r. o języku polskim, poprzez jego błędną wykładnię i pominięcie wyłącznych kompetencji Rady Języka Polskiego oraz podjętej Uchwały Ortograficznej Nr 3 Rady Języka Polskiego w sprawie dopuszczalnego zapisu niemieckich liter ü, ö, ä, (przyjętej na XI posiedzeniu plenarnym dnia 20 listopada 2001 r.) - ustalającej zasady ortografii, interpunkcji i pisowni języka polskiego - odnośnie zasad stosowania języka niemieckiego - litery alfabetu niemieckiego "ü" (u - umlaut);
5. art. 20 w zw. z art. 22 Konstytucji Rzeczpospolitej Polskiej, poprzez niedopuszczalne naruszenie zapewnionej Konstytucją wolności działalności gospodarczej w stosunku do skarżącego i uznanie za ważny interes publiczny sposobu zapisywania danych w systemach informatycznych, pomimo istnienia przesłanek do uznania, iż sposób taki nie stanowi ważnego interesu publicznego - dane w najbardziej powszechnej bazie danych osobowych w Polsce, urzędowym systemie PESEL - nie przewidują wpisywania do systemu informatycznego zapisu litery języka obcego "ü" (u - umlaut), a jedynie znaków dwuznaku "U;";
6. art. 18 ust. 1 pkt 2, art. 26 ust. 1 pkt 3, art. 32 ust. 1 pkt 6 oraz art. 35 ust. 1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych ( Dz. U. z 2000 r., Nr 101, poz. 926, z późn. zm.) poprzez ich niewłaściwe zastosowanie:
a. błędne przyjęcie, że forma "[...]ue[...]" jest formą nieprawidłową i nie może zostać wpisana do systemów informatycznych i informatycznych baz danych - zgodnie z zasadami transliteracji;
b. niedopuszczalne utrzymanie bezwzględnego nakazu sprostowania nazwiska pomimo wpisania go w prawidłowej i obowiązującej w języku polskim - alfabecie polskim formie "[...]ue[...]";
c. błędne przyjęcie, iż doszło do naruszenia Ustawy o ochronie danych osobowych, wskutek odmowy sprostowania danych osobowych;
d. błędne przyjęcie, że dane przetwarzane przez skarżącego P. S.A. są merytorycznie niepoprawne;
7. art. 5 Konwencji Nr 108 Rady Europy, sporządzonej w Strasburgu dnia 28 stycznia 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (Dz. U. z 2003 r., Nr 3, poz. 25, z późn. zm.) poprzez jego niewłaściwe zastosowanie i uznanie, iż przedmiotowy artykuł dotyczy ochrony danych osobowych - znajdujących się wyłącznie w systemach informatycznych, z pominięciem zasad transliteracji;
8. art. 6 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r., w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. U. UE. L. 95. 281.31; Dz. U. UE-sp. 13-15-355) poprzez jego niewłaściwe zastosowanie i uznanie, że przedmiotowy artykuł dotyczy ochrony danych osobowych - znajdujących się wyłącznie w systemach informatycznych, z pominięciem zasad transliteracji;
9. art. 7 ust. 3 ustawy z dnia 6 stycznia 2005 r. o mniejszościach narodowych i etnicznych oraz o języku regionalnym (Dz. U. z 2005 r., Nr 17, poz. 141, z późn. zm.) - poprzez jego błędną wykładnię i przyjęcie, że do nazw własnych - w tym do imion i nazwisk - nie stosuje się zasad transliteracji, poza przypadkami określonymi w w/w przepisie.
Ponadto zaskarżonemu orzeczeniu, skarżący zarzuca naruszenie przepisu postępowania, mające istotny wpływ na wynik sprawy (zgodnie z art. 174 pkt 2 ustawy Prawo o postępowaniu przed sądami administracyjnymi), tj. niezastosowanie art. 106 § 4 wyżej cytowanej ustawy i pominięcie powszechnie znanych faktów tj., iż:
1. w Polsce obowiązują przedsiębiorców znaki alfabetu języka polskiego, a nie innego języka;
2. ochrona danych osobowych, nie wyłącza stosowania w systemach informatycznych, przyjętych w danym języku zasad transliteracji - do imion i nazwisk;
3. w Unii Europejskiej obowiązują w systemach informatycznych zasady transliteracji - zgodne z zasadami pisowni języków narodowych;
4. w języku polskim, dokonuje się transliteracji nazw własnych, w tym imion i nazwisk osób.
W uzasadnieniu skargi kasacyjnej stwierdzono, że Wojewódzki Sąd Administracyjny w Warszawie w zaskarżonym wyroku pominął przedmiot sporu, którym w istocie jest stosowanie -także do imion i nazwisk - nieskodyfikowanych zasad transliteracji, które określają reguły zapisywania w alfabecie polskim liter i znaków z innych alfabetów. W konsekwencji Sąd błędnie przyjął, że dane osobowe K. S., znajdujące się wyłącznie w systemach informatycznych, muszą być tam umieszczane bez stosowania zasad transliteracji obowiązujących w języku polskim.
Bezwzględne stosowanie zasad transliteracji do pisowni nazwiska ubezpieczonego w przypadku, gdy występuje ono w bazach danych mających formę pisemną, byłoby rzeczywiście nieuzasadnione. Natomiast zakaz stosowania przedmiotowych zasad w systemach informatycznych i bazach danych stanowi, zdaniem skarżącego, sprzeczną z prawem ingerencję organów państwowych w zakres działania przedsiębiorców.
Stosowanie zasad transliteracji jest powszechne, także w krajach Unii Europejskiej, oraz odnosi się również do pisowni nazw własnych, w tym i nazwisk. Dane zapisywane odpowiednio do zasad transliteracji są zgodne z regułami pisowni języków narodowych i jednocześnie są prawidłowe, rzetelne, poprawne, dokładne oraz odpowiedniej jakości. Nie wymagają zatem sprostowania.
Zasady transliteracji stosują także organy państwowe, czego dowodem jest istniejący system PESEL.
Rozumowanie Wojewódzkiego Sądu Administracyjnego w Warszawie jest niezgodne z przepisami prawnymi, ale także nielogiczne.
W odpowiedzi na skargę kasacyjną Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, podtrzymując stanowisko, że przy przetwarzaniu nazwisk osób fizycznych nie ma podstaw prawnych do dokonanej przez P. S.A. transliteracji. Ponadto administrator danych osobowych ma obowiązek stosowania takich rozwiązań technicznych, które pozwolą na przetwarzanie danych osobowych merytorycznie poprawnych, a zatem z zastosowaniem oryginalnej pisowni.
Naczelny Sąd Administracyjny wyrokiem z dnia 7 sierpnia 2008 r. w sprawie Sygn. akt. IOSK 1218/07, uchylił zaskarżony wyrok i decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] października 2006 r. Nr [...].
W uzasadnieniu orzeczenia NSA wskazał:
Ze sprawy wynika, że K. S. zawarł z P. S.A. umowę [...]. W odniesieniu do umów cywilnoprawnych podstawę legalnego przetwarzania danych osobowych stanowi art. 23 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj.: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.). Zakres danych osobowych, przetwarzanych w związku z koniecznością wywiązania się z umowy, może, a w niektórych sytuacjach, wręcz powinien być zróżnicowany, w zależności od charakteru i znaczenia umowy. W przypadku umów o istotnym znaczeniu gospodarczym lub społecznym bezpieczeństwo obrotu prawnego wymaga dokładnej identyfikacji stron zawierających umowę i może uzasadniać gromadzenie przez nie danych osobowych w zakresie gwarantującym należyte wywiązanie się ze zobowiązania. Dokładne oznaczenie stron umowy wskazuje nie tylko na kwestię legalności przetwarzania danych osobowych, ale - co równie istotne - na aspekt prawidłowości (poprawności) przetwarzanych danych.
Zgodnie z art. 26 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj.: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), administrator danych, przetwarzający dane, powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane. Przepis ten odgrywa zasadniczą rolę w całości regulacji poświęconej przetwarzaniu danych osobowych. Jest odpowiednikiem art. 5 konwencji 108 Rady Europy oraz art. 6 dyrektywy 95/46/WE, które dotyczą jakości danych. Ustawa nakłada bowiem obowiązek przetwarzania i przechowywania danych w postaci umożliwiającej identyfikację osób, których dotyczą. Na gruncie niniejszej sprawy szczególną staranność należy kwalifikować w kategoriach reguł funkcjonowania języka, w tym także reguł transkrypcji, transliteracji, a także możliwości technicznych podmiotu przetwarzającego dane osobowe. Trzeba przy tym zaznaczyć, że nie można zarzucić administratorowi danych osobowych niedochowania należytej staranności, jeżeli podczas przetwarzania danych dąży do ustalenia poprawnej pisowni przetwarzanych danych.
Cytowany art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych nakłada na administratora danych obowiązek zapewnienia, aby zbierane i przetwarzane przez niego dane osobowe były merytorycznie poprawne. Merytoryczna poprawność danych osobowych winna być mierzona kryteriami prawdziwości i prawidłowości, co w kontekście obowiązku dochowania szczególnej staranności w procesie przetwarzania danych nabiera jeszcze większego znaczenia, zwłaszcza jeśli chodzi o dane obcojęzyczne, których pisownia i posługiwanie się nimi (przetwarzanie) wymaga osadzenia w przyjętych regułach językowych.
Słowo "merytoryczny" według "Słownika języka polskiego", opracowanego przez Elżbietę Sobol (Wydawnictwo Naukowe PWN, Warszawa 2005, s. 454), oznacza "dotyczący istotnej treści danej sprawy, przedmiotu (w odróżnieniu od strony formalnej); treściowy". Merytorycznie poprawne przetwarzanie danych osobowych to zatem takie, które pozostaje w zgodzie z rzeczywistością i jest treściowo właściwe, a dane wyrażone są zgodnie z zasadami przyjętymi w tym języku.
Przedmiotem przetwarzania było nazwisko o brzmieniu niepolskim - [...]ü[...]. Zgodnie z ustawą o ochronie danych osobowych, merytorycznie poprawne jest sformułowanie tego nazwiska za pomocą polskich liter, a więc z zastosowaniem przyjętych w języku polskim zasad transliteracji.
Stosownie do treści art. 7 ust. 2 ustawy z dnia 6 stycznia 2005 r. o mniejszościach narodowych i etnicznych oraz języku regionalnym (Dz. U. Nr 17, poz. 141 ze zm.), imiona i nazwiska osób należących do mniejszości, zapisane w alfabecie innym niż alfabet łaciński, podlegają transliteracji. Choć oba języki posługują się alfabetem łacińskim, to jednak zarówno w języku niemieckim, jak i polskim, występują specyficzne znaki stosowane tylko w narodowych wersjach alfabetu łacińskiego. Dlatego też, znaki diakrytyczne występujące nad lub pod literami można spolszczyć wedle przyjętych zasad pisowni. W przeciwnym razie należałoby zapisywać nazwisko obywatela polskiego, mającego na przykład nazwisko perskie, przy zastosowaniu jedynie oryginalnej pisowni. Trzeba przy tym zwrócić uwagę, że zarówno w języku niemieckim, jak i polskim, dopuszczalny jest zapis przegłosu "u-umlaut" zgłoskami "ue" (Słownik ortograficzny z serii DUDEN, "Die deutsche Rechtschreibung", tom I, Mannheim, 2000, s. 107 i uchwała ortograficzna Rady Języka Polskiego z dnia 20 listopada 2001 r. nr 3). Oznacza to, że stosowanie kombinacji zgłosek jako grafemu "ue" w miejsce przegłosu "u-umlaut" jest nie tylko zgodne z zasadami polskiej ortografii, ale również ortografii języka niemieckiego. Jest to oczywiście jedynie alternatywna możliwość zapisu, wynikająca z powodów czysto technicznych, albowiem żaden przepis prawa bezwzględnie obowiązującego nie wprowadza zakazu posługiwania się nazwiskiem obcojęzycznym w jego oryginalnej pisowni.
Wynika z tego, że zapis nazwiska "[...]ü[...]", przy zastąpieniu przegłosu "u-umlaut" połączeniem zgłosek "ue" ("[...]ue[...]"), nie narusza merytorycznej poprawności nazwiska i jest prawidłowy w świetle obowiązujących zasad pisowni tak w języku niemieckim, jak i polskim. Oddaje zarówno pisownię, brzmienie, identyfikuje i - co najważniejsze - nie narusza tożsamości osoby.
Zdaniem Generalnego Inspektora Ochrony Danych Osobowych, merytorycznie poprawny jest jedynie zapis nazwiska "[...]ü[...]", uwzględniający wyłącznie oryginalną jego pisownię. Takie stanowisko należy uznać za błędne. Skoro bowiem dopuszczalna jest - w świetle zasad ortografii języka niemieckiego i polskiego - pisownia nazwiska niemieckiego z przegłosem "u-umlaut", poprzez zastąpienie przegłosu kombinacją grafemu "ue", to merytorycznie poprawny jest nie tylko zapis nazwiska w oryginalnym brzmieniu z przegłosem "u-umlaut", ale także poprawny merytorycznie będzie zapis przy zachowaniu przyjętych zasad pisowni i ortografii, czyli z użyciem zgłosek "ue". Dopuszczenie możliwości zapisywania nazwiska "[...]ü[...]" jako "[...]ue[...]" nie sprawia, że nazwisko jest przez to nieprawidłowe. Nie można także uznać, że przestaje identyfikować osobę.
Generalny Inspektor Ochrony Danych Osobowych niezasadnie zatem zaskarżoną decyzją utrzymał w mocy swój poprzedni nakaz zastąpienia niewłaściwej pisowni nazwiska "[...]u[...]" jedynie oryginalnym zapisem nazwiska "[...]ü[...]", nie zwracając przy tym uwagi na inną, alternatywną i prawidłową formę jego pisowni - "[...]ue[...]". Sąd I instancji, oddalając skargę, dokonał zaś niewłaściwej wykładni cytowanego wyżej przepisu art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych i w konsekwencji błędnie zastosował tę normę w zw. z art. 18 ust. 1 pkt 2 ustawy.
Następnie Generalny Inspektor Ochrony Danych Osobowych, decyzją [...] z dnia [...] stycznia 2009 r., na podstawie art. 138 § 1 pkt 2 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.), oraz art. 12 pkt 2 , art. 22 i art. 26 ust. 1 pkt ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. nr 101, 926 ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie wniosku P. S.A. z siedzibą w W., o ponowne rozpatrzenie sprawy dotyczącej odmowy sprostowania przez P. S.A. nazwiska Pana K. S., rozstrzygniętej decyzją Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] czerwca 2006 r. [...]:
1. uchylił decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] czerwca 2006 r. w całości,
2. odmówił uwzględnienia wniosku.
W uzasadnieniu decyzji organ wskazał, że Naczelny Sąd Administracyjny uznał za błędne stanowisko Generalnego Inspektora Ochrony Danych Osobowych, podkreślając, że merytorycznie poprawny jest jedynie zapis nazwiska [...]ü[...], uwzględniający wyłącznie jego oryginalną pisownię, zatem Generalny Inspektor Ochrony Danych Osobowych niezasadnie zaskarżoną decyzją z dnia [...] października 2006 r., utrzymał w mocy swój poprzedni nakaz zastąpienia niewłaściwej pisowni nazwiska "[...]u[...]" jedynie oryginalnym zapisem nazwiska, zawarty w decyzji z dnia [...] czerwca 2006 r., a nie zwracając przy tym uwagi na inną alternatywną i prawidłową formę jego pisowni.
Dalej organ podkreślił, że `zgodnie z art. 153 w zw. z art. 193 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), ocena prawna i wskazania co do dalszego postępowania wyrażone w orzeczeniu sądu wiążą w sprawie ten organ, którego działalność lub bezczynność była przedmiotem zaskarżenia.
Wobec powyższego Generalny Inspektor Ochrony Danych Osobowych rozpatrując ponownie sprawę ze skargi Pana K. "[...]ü[...]", wskutek wniosku P. S.A. o ponowne rozpatrzenie sprawy uwzględnił wyżej opisane stanowisko NSA. Sąd zaprezentował całkowicie odmienny od organu pogląd odnośnie merytorycznej poprawności nazwiska skarżącego, a podkreślił, że tym stanowiskiem jest związany i dlatego konieczne było uchylenie decyzji, mocą której nakazano P. S.A. sprostowanie nazwiska, we wszystkich zbiorach danych osobowych, w których dana ta jest przetwarzana.
Powyższa decyzja stała się przedmiotem skargi wniesionej do Wojewódzkiego Sądu Administracyjnego w Warszawie, w której skarżący wniósł o uchylenie zaskarżonej decyzji i zasądzenie kosztów.
W uzasadnieniu skargi, ww. wskazał na naruszenie art. 11 ustawy z dnia 7 października 1999 r. o języku polskim, art. 7 ust. 2 ustawy z dnia 6 stycznia 2005 r. o mniejszościach narodowych i etnicznych oraz języku polskim (Dz. U. Nr 17, poz. 141 ze zm.), art. 26 cytowanej ustawy o ochronie danych osobowych. Ponadto podniósł, że błędnie przyjęto założenie, że jego nazwisko jest pochodzenia niemieckiego. Podkreślił również, że decyzja prowadzi do zaniku pierwotnej pisowni, tradycji i wartości materialnej rodziny.
W odpowiedzi na skargę organ wniósł o jej oddalenie, powołując argumenty jak w uzasadnieniu zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z art. 153 ppsa ocena prawna i wskazania co do dalszego postępowania wyrażone w orzeczeniu sądu wiążą w sprawie ten sąd oraz organ, którego działanie lub bezczynność było przedmiotem zaskarżenia.
Rozpoznając skargę w sprawie niniejszej Sąd badał czy Generalny Inspektor Ochrony Danych Osobowych, wydając decyzję [...] stycznia 2009 r., uwzględnił zalecenia zawarte w wyroku Naczelnego Sądu Administracyjnego w Warszawie z dnia 7 sierpnia 2008 r., dotyczące wykładni zastosowanych przepisów prawa.
Analizując skargę w sprawie niniejszej pod tym względem stwierdzić należy, że nie zasługuje ona na uwzględnienie, ponieważ zaskarżona decyzja uwzględnia ocenę prawną i wskazania zawarte w wyroku NSA z 7 sierpnia 2008 r., a które wiążą organ w sprawie niniejszej.
Prawidłowo organ przyjął że art. 26 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), wyznacza główne zasady postępowania przy przetwarzaniu danych osobowych, ujmuje je w formę podstawowych obowiązków, których musi zawsze przestrzegać administrator danych. Jest on odpowiedzialny za jakość danych. Od administratora wymaga się dołożenia szczególnej staranności.
W sprawie niniejszej szczególną staranność należy kwalifikować w kategoriach reguł funkcjonowania języka polskiego, w tym reguł transkrypcji, transliteracji, a także możliwości technicznych podmiotu przetwarzającego dane osobowe. W przedmiotowej sprawie administrator danych dochował należytej staranności, ponieważ dążył do ustalenia poprawnej pisowni przetwarzanych danych, mierzonej kryteriami prawdziwości i poprawności.
Zgodnie z art. 7 ust. 2 ustawy o mniejszościach narodowych i etnicznych oraz języku regionalnym prawidłowo wskazał, że zarówno w języku niemieckim, jak i polskim występują specyficzne znaki stosowane tylko w narodowych wersjach alfabetu łacińskiego. Dlatego znaki diaktrytyczne występujące nad lub pod literami można spolszczać według przyjętych zasad pisowni. Zarówno w języku polskim jak i niemieckim dopuszczalny jest zapis przegłosu "u-umlaut" zgłoskami "eu". Jest to zgodne z zasadami zarówno polskiej jak i niemieckiej ortografii. Taki zapis jest dopuszczalną alternatywą z powodów czysto technicznych.
W konkluzji organ podkreślił, że wniosek ww. dotyczył uwzględnienia oryginalnej pisowni, a nie zastąpienia jej zgłoskami "eu", wobec tego, że zgodnie z art. 61 kpa, jest związany wnioskiem, prawidłowo nie zajmował się zastąpieniem "u-umlaut, "eu", ze względów technicznych.
Wobec wskazanych wyżej argumentów zaskarżona decyzja jest prawidłowa i skarga nie zasługuje na uwzględnienie. Mając powyższe na uwadze, na podstawie art. 151 ustawy - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 z późń. zm.), Wojewódzki Sąd Administracyjny w Warszawie orzekł, jak w sentencji wyroku.
