Projekt Unijnego Rozporządzenia dot. ochrony danych osobowych
Na stronie internetowej KE możemy zapoznać się z projektem nowego aktu prawnego, który ma obowiązywać również w Polsce....

  
Wyszukiwarka orzeczeń i decyzji

Jeśli są Państwo zainteresowani otrzymaniem darmowego newslettera z informacjami dotyczącymi prawnej ochrony danych prosimy o podanie adresu e-mail:


Dodaj Usuń

Administratorem Twoich danych osobowych, udostępnionych dobrowolnie, jest Omni Modo z siedzibą w Warszawie (03-937), przy ul. Zwycięzców 45/29. Dane osobowe będą przetwarzane w celu przesyłania newslettera oraz będą udostępniane innym podmiotom współpracującym z Administratorem. Przysługuje Ci prawo dostępu do treści swoich danych oraz ich poprawiania.

Wyrażam zgodę na przesyłanie na udostępniony przeze mnie adres poczty elektronicznej newslettera zawierającego informację handlową w rozumieniu ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. 2002 nr 144 poz. 1204 z późn. zm.).

Więcej informacji dotyczących ochrony danych osobowych Użytkowników i Regulamin świadczenia usług drogą elektroniczną tutaj


  

>Orzecznictwo>WSA>2009 >



II SA/Wa 1494/08
2009-08-26

Orzeczenie nieprawomocne


WYROK


W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ


dnia 15 czerwca 2009 r.

 

 

Wojewódzki Sąd Administracyjny w po rozpoznaniu na rozprawie w dniu 15 czerwca 2009 r. sprawy ze skargi P. N. - prowadzącego działalność gospodarczą pod nazwą "[...]" z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] sierpnia 2008 r. nr [...] w przedmiocie ochrony danych osobowych

 

oddala skargę.

 

 

 

Uzasadnienie:

Decyzją z dnia [...] maja 2008 r. nr [...] Generalny Inspektor Ochrony Danych Osobowych, mając za podstawę art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (t. j.: Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.), art. 12 pkt 2, art. 18 ust. 1 pkt 1, art. 22 w związku z art. 33 i art. 32 ust. 1 pkt 1-5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j.: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), nakazał P. N. - prowadzącemu działalność gospodarczą pod nazwą "[...]" z siedzibą w W., [...] dopełnienie względem D. K., zam. w B. przy ul. [...], obowiązku informacyjnego, określonego w art. 33 ustawy o ochronie danych osobowych, poprzez poinformowanie go, w formie pisemnej, o przysługujących mu prawach, a także:
1) o tym, kto jest administratorem danych osobowych D. K., przetwarzanych w zbiorze prowadzonym przez P. N. - poprzez podanie adresu siedziby i pełnej nazwy administratora,
2) o celu, zakresie i sposobie przetwarzania przez P. N. danych osobowych D. K.,
3) o tym, od kiedy w zbiorze prowadzonym przez P. N. przetwarzane są dane osobowe D. K.,
4) o źródle, z którego pochodzą przetwarzane przez P. N. dane osobowe D. K.,
5) o sposobie udostępniania przez P. N. danych osobowych D. K., a w szczególności o odbiorcach lub kategoriach odbiorców danych, którym dane są lub były udostępniane.
W motywach decyzji organ wyjaśnił, że D. K. zwrócił się ze skargą do GIODO, gdyż P. N. - prowadzący działalność gospodarczą pod nazwą "[...]" z siedzibą w W., [...], nie dopełnił względem niego obowiązku informacyjnego, określonego w art. 33 ustawy o ochronie danych osobowych. D. K., powołując się na art. 32 ww. ustawy, zwrócił się bowiem do prowadzącego działalność gospodarczą o pisemne udzielenie informacji na temat procesu przetwarzania jego danych osobowych. W odpowiedzi uzyskał informację, że w bazie firmy nie są przetwarzane następujące dane: D. K., ul. [...], [...] B. Zainteresowany zakwestionował prawdziwość przedstawionej informacji, wskazując, iż przetwarzania jego danych osobowych przez "[...]" dowodzi w szczególności imienna przesyłka o charakterze marketingowym z dnia 8 czerwca 2005 r., którą otrzymał od "[...]". D. K. poinformował ponadto, że jego dane osobowe są przetwarzane przez wskazany podmiot od dnia 8 września 2005 r. w związku z obsługą domeny "[...]", a ponadto w związku z postępowaniem sądowym, które toczyło się od października 2005 r. przed Sądem Okręgowym w W. z jego powództwa przeciwko "[...]" (sygn. akt [...]). Dlatego też, D. K. wniósł, by GIODO zobowiązał "[...]" do wypełnienia obowiązku informacyjnego, wynikającego z ustawy o ochronie danych osobowych.
Generalny Inspektor Ochrony Danych Osobowych zwrócił uwagę, że "[...]" jest podmiotem prowadzącym działalność gospodarczą, obejmującą rejestrację domen internetowych. "[...]" przetwarzał dane osobowe D. K., dysponując jego adresem: [...] B., skrytka pocztowa [...], w zakresie obejmującym te informacje, jak również nr ewidencyjny PESEL, jako swego klienta - abonenta domeny internetowej "[...]". Przedmiotowe dane zostały przekazane "[...]" drogą elektroniczną przez [...] Sp. z o.o. z siedzibą w R. przy ul. [...], tj. pośrednika ww. abonenta, dokonującego rejestracji domeny internetowej na jego rzecz. W związku z rozwiązaniem przez "[...]" łączącej go z [...] Sp. z o.o. umowy w zakresie reprezentacji abonenta domeny internetowej "[...]", "[...]" nie przetwarza aktualnie ww. danych osobowych dla celów realizacji wskazanej umowy. Przedmiotowe dane w zakresie obejmującym imię, nazwisko i adres przetwarzane są w celach wynikających z art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych. Przepis ten przewiduje, że przetwarzanie danych jest dopuszczalne w sytuacji, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Taka sytuacja ma miejsce w przypadku przechowywania dokumentacji podatkowej. Wobec faktu przesłania D. K. na adres: ul. [...] [...] B., imiennej korespondencji o charakterze marketingowym z dnia 8 czerwca 2005 r. "[...]" wyjaśnił (w piśmie z dnia 26 września 2007 r.), że oferta marketingowa, którą otrzymał D. K. została przygotowana w oparciu o ogólnie dostępne informacje. Dane D. K. obejmujące jego imię, nazwisko oraz adres: ul. [...], [...] B., zostały pozyskane prawdopodobnie z bazy WHOIS, gdzie były obecne już w maju 2005 r., jako dane osoby prowadzącej działalność gospodarczą. Dane zostały wykorzystane jednorazowo (wysłanie oferty) i nie były w żaden sposób archiwizowane.
Kontynuując wyjaśnienia, GIODO podał, że "[...]" poinformował zainteresowanego, iż w bazie firmy nie są przetwarzane następujące dane osobowe: D. K., ul. [...], [...] B., figurują natomiast dane klienta o tym samym nazwisku, jednakże z innym adresem. Brak pewności, że chodzi o tę samą osobę, skłonił firmę do nieudostępniania informacji, zwłaszcza że wcześniej D. K. odmówił przekazania kserokopii dowodu osobistego, gdy firma uzależniła dokonanie cesji domeny od okazania tego dokumentu.
Z treści pozwu o uznanie postanowień wzorca umowy za niedozwolone, skierowanego przez D. K. do Sądu Okręgowego w W. przeciwko "[...]", wynika, że zainteresowany wskazał w nim swój adres zamieszkania: [...] B., ul. [...] i jednocześnie zostało w nim zawarte stwierdzenie, że na dzień wniesienia pozwu pomiędzy pozwanym a powodem istnieje spór dotyczący nazwy domeny "[...]". Ponadto D. K. skierował przeciwko "[...]" pozew do Sądu Rejonowego w W., w którym także podał swój pełny adres zamieszkania (ul. [...], [...] B.). Sąd Rejonowy w W. wydał postanowienie z dnia 22 września 2006 r. o sygn. akt [...], w uzasadnieniu którego wyjaśnił w szczególności, że D. K. w pozwie, wniesionym przeciwko P. N., domaga się nakazania pozwanemu dokonania zmiany danych abonenta domeny internetowej "[...]". Sąd wskazał również, że powód przeniósł prawa do nazwy domeny internetowej na rzecz [...] Sp. z o.o. z siedzibą w R.
Generalny Inspektor Ochrony Danych Osobowych, uzasadniając swoje rozstrzygnięcie, zwrócił uwagę, że stosownie do art. 33 ust. 1 ustawy o ochronie danych osobowych, na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie jej danych osobowych, informacji, o których mowa art. 32 ust. 1 pkt 1-5a, a w szczególności podać w formie zrozumiałej: 1) jakie dane osobowe zawiera zbiór, 2) w jaki sposób zebrano dane, 3) w jakim celu i zakresie dane są przetwarzane, 4) w jakim zakresie oraz komu dane zostały udostępnione. Na wniosek osoby, której dane dotyczą, informacji, o których mowa w ust. 1, udziela się na piśmie. Przepis art. 33 ustawy zobowiązuje administratora do informowania osób, których dane dotyczą, przede wszystkim o przysługujących im prawach. Chodzi tu o prawa zagwarantowane przepisami ustawy o ochronie danych osobowych, w tym uprawnienia wynikające z art. 32 (tj. szeroko rozumiane prawo osoby, której dane dotyczą, do kontroli przetwarzania jej danych, zawartych w zbiorach administratora) i art. 35 tego aktu prawnego (tj. prawo osoby, której dane dotyczą, domagania się, aby gromadzone i udostępnione na jej temat dane były zgodne z prawdą, aktualne i kompletne). Wraz z powyższymi informacjami o przysługujących prawach, administrator danych obowiązany jest przekazać osobie, której dane dotyczą, informacje co najmniej w zakresie wskazanym w art. 33 ust. 1 pkt 1-4 ustawy. Wniosek składany przez uprawnionego może - jak miało to miejsce w rozpatrywanej sprawie - dotyczyć bardziej szczegółowych informacji, i zgodnie z art. 32, zawierać np. pytania dotyczące tego, od kiedy administrator przetwarza dane osobowe wnioskodawcy, sposobu przetwarzania danych w zbiorze, źródła, z którego administrator pozyskał dane, sposobu udostępniania danych, ustalenia danych administratora.
Zdaniem GIODO, "[...]" nie wypełnił spoczywającego na nim obowiązku, o którym mowa w art. 33 ustawy o ochronie danych osobowych. Zgromadzony w sprawie materiał dowodowy wskazuje, iż "[...]" przetwarza dane osobowe D. K. nie tylko w zakresie obejmującym jego adres korespondencyjny (skrytka pocztowa [...], [...] B.), lecz także adres zamieszkania (ul. [...], [...] B.). "[...]" miał status strony w postępowaniach sądowych, inicjowanych przez zainteresowanego, w których był on identyfikowany poprzez wskazanie imienia nazwiska i adresu zamieszkania. D. K. - niegdyś abonent domeny internetowej "[...]", identyfikowany poprzez adres korespondencyjny, oraz D. K., będący stroną określonych postępowań sądowych, identyfikowany poprzez adres zamieszkania, to ta sama osoba. Ustalenie, że "[...]" nie dopełnił względem D. K. obowiązku informacyjnego, statuowanego w art. 33 ustawy o ochronie danych osobowych, powoduje, w ocenie organu, iż wskazany podmiot naruszył także spoczywający na nim z mocy art. 26 ustawy obowiązek dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą - poprzez uniemożliwienie zainteresowanemu realizacji gwarantowanych mu uprawnień w zakresie kontroli procesu przetwarzania jego danych osobowych przez "[...]".
We wniosku o ponowne rozpatrzenie sprawy "[...]" podniósł, że decyzja Generalnego Inspektora Ochrony Danych Osobowych jest niezgodna ze stanem faktycznym. Firma nie miała pewności, czy D. K., posługujący się adresem: skrytka pocztowa [...], [...] B., oraz D. K., używający adresu zamieszkania: ul. [...], [...] B., to ta sama osoba. Niezrozumiałym jest, dlaczego osoba, posiadająca adres, posługuje się w oficjalnej korespondencji skrytką pocztową. To wskazywało, że może być to zupełnie inna osoba. Z tego powodu informacja o danych osobowych nie została udostępniona zainteresowanemu.
Decyzją z dnia [...] sierpnia 2008 r. nr [...] Generalny Inspektor Ochrony Danych Osobowych, działając na postawie art. 138 § 1 pkt 1 kpa oraz art. 12 pkt 2 i art. 18 ust. 1 pkt 1, art. 22 w związku z art. 33 i art. 32 ust. 1 pkt 1-5 ustawy o ochronie danych osobowych, utrzymał zaskarżoną decyzję w mocy, nie znajdując podstaw do uwzględnienia wniosku.
W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie na powyższą decyzję "[...]" podtrzymał krytyczną ocenę stanowiska GIODO, prezentowaną we wniosku o ponowne rozpatrzenie sprawy. Zdaniem wnoszącego skargę, decyzje wydane w sprawie zostały oparte jedynie na domniemaniach, co świadczy o naruszeniu art. 7 kpa, który nakazuje dokładne wyjaśnienie stanu faktycznego sprawy. Ma to tym większe znaczenie, że istota sprawy dotyczy dostępu do danych osobowych, które - jeśli nie zostaną odpowiednio potwierdzone przez zainteresowanego - nie mogą podlegać udostępnieniu. Firma nie miała pewności co do tego, że D. K., figurujący w jej zbiorach danych, to ten sam, który domaga się wypełnienia obowiązku informacyjnego z art. 33 ustawy o ochronie danych osobowych. Takiej pewności na gruncie ustaleń faktycznych sprawy nie mógł też mieć Generalny Inspektor Ochrony Danych Osobowych. "[...]" wniósł o uchylenie zaskarżonej decyzji w całości.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, przytaczając w uzasadnieniu swego stanowiska procesowego argumentację, jakiej użył w zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z brzmieniem art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującymi w dacie jej wydania. Innymi słowy, sąd administracyjny kontroluje legalność rozstrzygnięcia zapadłego w postępowaniu z punktu widzenia jego zgodności z prawem materialnym i obowiązującymi przepisami prawa procesowego.
Skarga analizowana pod tym kątem nie zasługuje na uwzględnienie.
Z przepisu art. 18 ust. 1 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j.: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) wynika, że w przypadku stwierdzenia naruszenia przepisów o ochronie danych osobowych, Generalny Inspektor Ochrony Danych Osobowych z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności usunięcie stwierdzonych uchybień.
Treścią takiej decyzji powinien być nakaz przywrócenia stanu zgodnego z prawem, który zwykle dotyczy konkretnego działania lub zaniechania. Z punktu widzenia celu tej regulacji nie ma znaczenia, czy decyzja podejmowana jest wówczas z urzędu czy na wniosek. Istotne natomiast jest, by nakaz taki zmierzał bezpośrednio do osiągnięcia stanu zgodnego z prawem.
Postępowanie w niniejszej sprawie zostało wszczęte wnioskiem D. K., który domagał się od P. N. - prowadzącego działalność gospodarczą pod nazwą "[...]" z siedzibą w W., [...], informacji dotyczących procesu przetwarzania jego danych osobowych.
W art. 32 ust. 1 ustawy o ochronie danych osobowych osobie zainteresowanej przyznane zostały uprawnienia do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych. Uprawnienie to obejmuje m.in. prawo do uzyskania informacji o tym, czy taki zbiór istnieje, kto jest administratorem danych, o celu, zakresie i sposobie przetwarzania jej danych, znajdujących się w zbiorze. Ustawa przyznaje osobie zainteresowanej również prawo uzyskania informacji, od kiedy przetwarzane są w zbiorze dane jej dotyczące oraz z jakich źródeł pochodzą i komu były przekazywane lub udostępniane (art. 32 ust. 1 pkt 1-5). Osoba, której dane są przetwarzane, może żądać podania treści przetwarzanych danych.
Stosownie do art. 33 ust. 1 ww. ustawy, na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie jej danych osobowych, informacji, o których mowa w art. 32 ust. 1 pkt 1-5a, a w szczególności podać w formie zrozumiałej:
1) jakie dane osobowe zawiera zbiór,
2) w jaki sposób zebrano dane,
3) w jakim celu i zakresie dane są przetwarzane,
4) w jakim zakresie oraz komu dane zostały udostępnione.
Na wniosek osoby, której dane dotyczą, informacji, o których mowa w ust. 1, udziela się na piśmie (art. 33 ust. 2).
W świetle przywołanego art. 32 osoba występująca z wnioskiem o udzielenie informacji o procesie przetwarzania jej danych powinna wykazać swe uprawnienie, a więc udokumentować, że zwraca się o dane jej dotyczące. W przypadku powstania wątpliwości co do jej tożsamości, może ona uprawdopodobnić swoją tożsamość także przez podanie treści dotyczących jej danych, jakie mogą znajdować się w zbiorze, gdyż każdy sposób służący identyfikacji jest tu dopuszczalny. Idealną sytuacją jest taka, gdy o informację (lub z innym właściwym wnioskiem) osoba zainteresowana zwraca się drogą pisemną, i gdy znajdujące się na kopercie lub w piśmie dane odpowiadają tym, które figurują w zbiorze danych. W praktyce oczywiście sytuacja różnie może się kształtować, w każdym razie udzielający informacji powinien mieć możność zidentyfikowania wnioskodawcy. I o tę możność zidentyfikowania wnioskodawcy w rozpoznawanej sprawie chodzi.
Istota sprawy wymaga zatem zbadania, czy posiadane przez stronę skarżącą wszelkie dane dotyczące D. K. pozwalały na jego identyfikację w chwili, gdy zwrócił się do "[...]" z wnioskiem z dnia 27 grudnia 2005 r. o udzielenie informacji na temat procesu przetwarzania jego danych osobowych.
P. N. twierdzi, że jego firma nie miała pewności, czy D. K., posługujący się adresem: skrytka pocztowa [...], [...] B., oraz D. K., używający adresu zamieszkania: ul. [...], [...] B., to ta sama osoba i z tego też względu informacja o danych osobowych nie została zainteresowanemu udostępniona.
Jak już zostało zaznaczone, identyfikacja osoby wnioskującej o informacje o danych jej dotyczących winna nastąpić w oparciu o całokształt danych, którymi administrator danych dysponuje. Z akt postępowania administracyjnego wynika ponad wszelką wątpliwość, że D. K., posługujący się adresem: skrytka pocztowa [...], [...] B., oraz D. K., używający adresu zamieszkania: ul. [...], [...] B., to ta sama osoba.
Do takiej konkluzji prowadzi zarówno analiza treści wniosku z dnia 27 grudnia 2005 r., złożonego w trybie art. 32 ustawy o ochronie danych osobowych, jak i treści załączonego do niego m.in. wniosku z tej samej daty, oznaczonego jako wniosek [...] o zmianę abonenta domeny "[...]". W pierwszym z wymienionych D. K. użył adresu zamieszkania: ul. [...], [...] B., w drugim natomiast zamieścił adres: skrytka pocztowa [...], [...] B.
Nie powinno i zarazem nie może budzić wątpliwości strony skarżącej, że pochodzące z tej samej daty wnioski, współtworzące tę samą, nadesłaną do "[...]", korespondencję, pochodzą od D. K.. Tak pierwszy, jak i drugi, zostały sygnowane czytelnym podpisem D. K., przy czym, jeśli chodzi o drugi wniosek, w tym przypadku podpis znalazł się pod tą częścią wniosku, która dla sprawy ma najistotniejsze znaczenie prawne. Ta część wniosku jest bowiem oświadczeniem strony zrzekającej się domeny "[...]" - strony identyfikowanej przecież jako D. K., skrytka pocztowa [...], [...] B..
Wypełniając wniosek o zmianę domeny i podając w nim, w części dotyczącej danych obecnego abonenta, dane znajdujące się w zbiorze danych strony skarżącej, po pierwsze: D. K. oświadczył, że zrzeka się domeny, po drugie: potwierdził swoje dane, i po trzecie: wykazał przez to, że składany przez niego w tym samym momencie wniosek w trybie art. 32 przedmiotowej ustawy dotyczy jego danych osobowych, znajdujących się w zbiorze "[...]". Zupełnie nieuzasadnionym jest twierdzenie strony skarżącej, że zainteresowany nie wykazał, że jest uprawniony do otrzymania informacji o przetwarzaniu jego danych osobowych.
D. K., składając oba wymienione wnioski, posłużył się wprawdzie dwoma adresami, ale - jak należy sądzić - uczynił tak z uwagi na treść zawartych w nich oświadczeń, czego nie można pominąć. Pierwszy z wniosków dotyczył bowiem żądania zgłoszonego w trybie art. 32 cyt. ustawy i usunięcia wszystkich jego danych osobowych po dokonaniu zmiany abonenta domeny. Drugi zaś zawierał właśnie prośbę o zmianę abonenta domeny. Skoro w zbiorze danych "[...]" D. K. figurował pod adresem: skrytka pocztowa [...], [...] B., to zrozumiałym jest, że składając swój wniosek o zmianę abonenta domeny, podał w nim właśnie ten adres, sygnując go czytelnym podpisem, takim samym zresztą, jaki widnieje pod wnioskiem o informacje o przetwarzaniu jego danych osobowych. To z kolei wespół z kwestionowanym przez stronę skarżącą wnioskiem świadczy, że chodzi o tę samą osobę.
Oczywistym i logicznym jest, że żądając w tym samym wniosku także usunięcia wszelkich dotyczących go danych (po wniosku o zmianę abonenta domeny), a jednocześnie, oczekując odpowiedzi na wniosek zgłoszony w trybie art. 32 ww. ustawy, w celu udzielenia mu informacji o procesie przetwarzania jego danych osobowych, D. K. podał już adres zamieszkania: ul. [...], [...] B. Jednak na gruncie stanu faktycznego sprawy okoliczność ta nie świadczy w żaden sposób, że chodzi o kogoś innego.
Również prowadzone postępowania sądowe między stroną skarżącą a zainteresowanym wskazują, że na dzień 27 grudnia 2005 r. "[...]" wiedział, iż D. K., posługujący się adresem: skrytka pocztowa [...], [...] B., oraz D. K., używający adresu zamieszkania: ul. [...], [...] B., to ta sama osoba.
W takim stanie sprawy trudno zgodzić się z zarzutem, że jej stan faktyczny został oparty na domniemaniach. Nie można zatem uznać, że w sprawie doszło do uchybienia treści art. 7 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (t. j.: Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.), co zostało podniesione w skardze.
Na stronie skarżącej spoczywał - w świetle art. 33 ustawy o ochronie danych osobowych - obowiązek informacyjny względem D. K., którego "[...]" nie dopełnił (zaniechał), mimo złożonego wniosku, toteż prawidłowo Generalny Inspektor Ochrony Danych Osobowych zobowiązał stronę skarżącą do uczynienia zadość temu obowiązkowi mocą decyzji (nakazu), która znajduje swoje uzasadnienie we wskazanych przez organ przepisach.
Jeśli ustawodawca zezwala GIODO na wydanie decyzji w kwestii sprostowania, uzupełnienia, uaktualnienia, udostępnienia, nieudostępnienia czy nawet czasowego lub stałego wstrzymania przetwarzania danych lub ich usunięcia ze zbioru (art. 18 ust. 1 ww. ustawy), a wiadomym jest, że wpierw osoba zainteresowana musi znać, w jaki sposób i w jakim kształcie jej dane osobowe są przetwarzane, by mogła ustosunkować się co do prawidłowości ich przetwarzania, to tym bardziej Generalny Inspektor Ochrony Danych Osobowych uprawniony jest do wydania nakazu, celem doprowadzenia do realizacji obowiązku informacyjnego, o którym mowa w art. 33 ustawy o ochronie danych osobowych. Konkluzję tę należy wyprowadzić z rozumowania zwanego argumentum a fortiori (z silniejszego) w odmianie a maiori ad maius (z większego na mniejsze).
Z tych względów, Wojewódzki Sąd Administracyjny w Warszawie, działając na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), orzekł, jak w sentencji wyroku.
 

Copyright (c) 2007 by E-Ochronadanych.pl - Wszelkie prawa zastrzeżone Polityka prywatności | Regulamin | Nota prawna
Kopiowanie materiałów - zabronione Ustawa o ochronie danych osobowych | GIODO | Administrator bezpieczeństwa informacji