Projekt Unijnego Rozporządzenia dot. ochrony danych osobowych
Na stronie internetowej KE możemy zapoznać się z projektem nowego aktu prawnego, który ma obowiązywać również w Polsce....

  
Wyszukiwarka orzeczeń i decyzji

Jeśli są Państwo zainteresowani otrzymaniem darmowego newslettera z informacjami dotyczącymi prawnej ochrony danych prosimy o podanie adresu e-mail:


Dodaj Usuń

Administratorem Twoich danych osobowych, udostępnionych dobrowolnie, jest Omni Modo z siedzibą w Warszawie (03-937), przy ul. Zwycięzców 45/29. Dane osobowe będą przetwarzane w celu przesyłania newslettera oraz będą udostępniane innym podmiotom współpracującym z Administratorem. Przysługuje Ci prawo dostępu do treści swoich danych oraz ich poprawiania.

Wyrażam zgodę na przesyłanie na udostępniony przeze mnie adres poczty elektronicznej newslettera zawierającego informację handlową w rozumieniu ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. 2002 nr 144 poz. 1204 z późn. zm.).

Więcej informacji dotyczących ochrony danych osobowych Użytkowników i Regulamin świadczenia usług drogą elektroniczną tutaj


  

>Orzecznictwo>NSA>2009 >



I OSK 1377/08
2009-10-16

Orzeczenie prawomocne

 

 

WYROK

W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

 


dnia 08 września 2009 r.

 


Naczelny Sąd Administracyjny po rozpoznaniu w dniu 8 września 2009 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Generalnego Inspektora Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 19 sierpnia 2008 r. sygn. akt II SA/Wa 605/08 w sprawie ze skargi Polskiej Agencji Rozwoju Przedsiębiorczości na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] marca 2008 r. nr [...] w przedmiocie ochrony danych osobowych


1. uchyla zaskarżony wyrok i oddala skargę,
2. zasądza od Polskiej Agencji Rozwoju Przedsiębiorczości na rzecz Generalnego Inspektora Ochrony Danych Osobowych kwotę […] zł tytułem zwrotu kosztów postępowania

 

Uzasadnienie

Wojewódzki Sąd Administracyjny w Warszawie, wyrokiem z dnia 19 sierpnia 2008 r. sygn. akt II SA/Wa 605/08 po rozpoznaniu skargi Polskiej Agencji Rozwoju Przedsiębiorczości uchylił decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] marca 2008 r. i utrzymaną nią w mocy decyzję z dnia [...] listopada 2007 r. w przedmiocie ochrony danych osobowych (pkt 1), orzekł, że zaskarżona decyzja nie podlega wykonaniu w całości (pkt 2) i zasądził od Generalnego Inspektora Danych Osobowych na rzecz Polskiej Agencji Rozwoju Przedsiębiorczości kwotę 474 zł tytułem zwrotu kosztów postępowania (pkt 3).
Wyrok zapadł w następujących okolicznościach sprawy:
Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] listopada 2007 r. nr [...] na podstawie art. 104 § 1 i art. 105 §1 K.p.a. oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1, art. 22 w związku z art. 31 i art. 39 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) oraz § 7 ust. 1 pkt 1 i § 7 ust. 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024), nakazał B. O. D. i E. Sp. z o.o. z siedzibą w P. - w terminie 3 miesięcy od dnia, w którym decyzja stanie się ostateczna - usunąć uchybienia w procesie przetwarzania danych osobowych poprzez: zapewnienie, aby system informatyczny o nazwie "PEFS" (plik MS Excel o nazwie "Dane BO wersja 2-1.xls"), który służy do przetwarzania danych "Beneficjentów ostatecznych": 1) umożliwiał odnotowanie daty pierwszego wprowadzenia danych do systemu oraz 2) zapewniał dla każdej osoby, której dane osobowe są przetwarzane w tym systemie informatycznym, sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w § 7 ust. 1 cyt. rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. W pozostałym zakresie postępowanie umorzył.
W uzasadnieniu decyzji Generalny Inspektor Ochrony Danych Osobowych (w skrócie GIODO) stwierdził, że w toku kontroli przeprowadzonej w B. O. D. i E. Sp. z o.o. w P. (dalej w skrócie Spółka BODiE) ustalono, iż Spółka ta pozyskuje dane osób biorących udział w projektach realizowanych w ramach Sektorowego Programu Operacyjnego Rozwoju Zasobów Ludzkich 2004 - 2006, zgodnie z umową z dnia 5 października 2005 r. oraz umową z dnia 3 kwietnia 2006 r. zawartą z Polską Agencją Rozwoju Przedsiębiorczości z siedzibą w Warszawie przy ul. Pańskiej 81/83 (dalej w skrócie PARP). Wskazane umowy, dotyczące doskonalenia wiedzy i umiejętności pracowników sektora bankowości spółdzielczej oraz doskonalenia umiejętności kadr audytu wewnętrznego w bankach spółdzielczych, stosownie do art. 31 ust. 1 ustawy o ochronie danych osobowych, stanowią umowę powierzenia przetwarzania danych osobowych. Tym samym administratorem danych osób biorących udział w projektach realizowanych w ramach Sektorowego Programu Operacyjnego Rozwoju Zasobów Ludzkich 2004 - 2006 jest PARP, a Spółka BODiE jest podmiotem, o którym mowa w art. 31 ust. 1 cytowanej wyżej ustawy, tj. podmiotem, któremu administrator danych powierzył przetwarzanie danych określonych osób. Zgodnie z art. 31 ust. 4 ww. ustawy, w przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów ustawy spoczywa na administratorze danych, co nie zwalnia podmiotu, który zawarł umowę, z odpowiedzialności za przetwarzanie danych niezgodnie z tą umową. Należy zatem uznać, iż stroną postępowania administracyjnego w zakresie stwierdzonych w toku kontroli uchybień jest zarówno PARP, jako administrator danych osób biorących udział w projektach realizowanych w ramach omawianego Sektorowego Programu Operacyjnego, jak i Spółka BODiE, jako podmiot, któremu na podstawie umów powierzono przetwarzanie danych osobowych. GIODO wskazał również, że część uchybień stwierdzonych w toku kontroli usunięto. Dlatego w tym zakresie postępowanie jako bezprzedmiotowe podlegało umorzeniu.
Następnie Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] marca 2008 r. nr [...] umorzył postępowanie odwoławcze w tej sprawie, wobec cofnięcia przez BODiE wniosku o ponowne rozpoznanie sprawy. Stwierdził przy tym, że zgodnie z art. 137 K.p.a. strona może cofnąć odwołanie przed wydaniem decyzji przez organ odwoławczy. Organ odwoławczy uwzględnił cofnięcie wniosku o ponowne rozpoznanie sprawy, gdyż jego cofnięcie nie prowadziło do utrzymania w mocy decyzji naruszającej prawo lub interes społeczny. Wobec powyższego w niniejszej sprawie zaistniały przesłanki zastosowania przepisu art. 138 § 1 pkt 3 w związku z art. 137 K.p.a.
Polska Agencja Rozwoju Przedsiębiorczości zaskarżyła do Wojewódzkiego Sądu Administracyjnego w Warszawie decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] marca 2008 r., domagając się jej uchylenia i decyzji poprzedzającej. Zarzuciła zaskarżonej decyzji po pierwsze naruszenie art. 156 ust. 1 pkt 2 K.p.a., gdyż decyzja została wydana z rażącym naruszeniem prawa, bowiem została podjęta w oparciu o fakty znane organowi z urzędu, bez zakomunikowania ich stronie oraz po drugie naruszenie art. 7 pkt 4 ustawy poprzez uznanie PARP za administratora danych osobowych.
Wojewódzki Sąd Administracyjny w Warszawie uchylając zaskarżoną decyzję GIODO z dnia [...] marca 2008 r. oraz poprzedzającą ją decyzję z dnia [...] listopada 2007 r. wskazał, że w postępowaniu administracyjnym doszło do naruszenia prawa dającego podstawę do jego wznowienia.
W uzasadnieniu powołanego wyroku Wojewódzki Sąd Administracyjny wskazał, że cele i środki przetwarzania danych zostały określone w ustawie o Narodowym Planie Rozwoju oraz wydanym na jej podstawie rozporządzeniu z dnia 1 lipca 2004 r. w sprawie przyjęcia Sektorowego Programu Operacyjnego Rozwoju Zasobów Ludzkich 2004 - 2006. W myśl tych przepisów oraz ustawy o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości, Agencja ta uczestniczy w realizacji programu jako instytucja wdrażająca lub pośrednicząca, udzielająca pomocy finansowej beneficjentom. Stosownie do definicji zawartej w ustawie o Narodowym Planie Rozwoju - instytucją wdrażającą jest podmiot odpowiedzialny za realizację działania w ramach programu operacyjnego, na podstawie umowy zawartej z instytucją zarządzającą. Instytucją zarządzającą jest właściwy minister odpowiedzialny za przygotowanie i realizację programu operacyjnego albo za przygotowanie i nadzorowanie realizacji strategii wykorzystania Funduszu Spójności - art. 18 ust. 1 ustawy o Narodowym Planie Rozwoju. Relacje między instytucją zarządzającą, a wdrażającą reguluje między nimi umowa oraz działania samej instytucji zarządzającej. W oparciu o rozporządzenie Ministra Gospodarki i Pracy utworzono System Informatyczny Monitoringu i Kontroli Finansowej Funduszy Strukturalnych i Funduszy Spójności. W przypadku omawianego Sektorowego Programu Operacyjnego ustalono, że na system monitorowania składać się będą dwa, spójne ze sobą, systemy zbierania, przetwarzania i elektronicznego przetwarzania danych. Wskazano też, że dane będą wprowadzone do systemu na bieżąco i bez opóźnienia przez instytucję wdrażającą. Instytucja zarządzająca gwarantuje zaś dobrą jakość danych.
Instytucja zarządzająca Minister Gospodarki i Pracy, a później Minister Rozwoju Regionalnego zawarł z wdrażającą - Polską Agencją Rozwoju Przedsiębiorczości dwie umowy w przedmiocie finansowania działania 2.3 w ramach Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich: w dniu 26 lipca 2004 r. oraz w dniu 20 kwietnia 2006 r. Na mocy § 19 pierwszej z umów strony postanowiły, że instytucja wdrażająca zobowiązuje się do wprowadzania do Podsystemu danych przekazywanych przez beneficjentów na formularzu "Dane o beneficjentach ostatecznych" a także, że instytucja wdrażająca zobowiązana jest do aktualizacji informacji w bazach danych składających się na Podsystem oraz tworzenia kopii zapasowych informacji przechowywanych w bazach danych, zgodnie z przepisami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Na podstawie drugiej z umów - § 20 i 21 - instytucja wdrażająca przyjęła odpowiedzialność za zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych zgromadzonych w ramach zarządzania i wdrażania działania oraz zobowiązała się do wprowadzania danych na temat realizowanych projektów z aplikacji DaneBO do "PEFS", a także zobowiązała się do aktualizacji informacji w bazie danych "PEFS" i rejestrowania bazy danych zgodnie z ustawą o ochronie danych osobowych.
Ponadto w aktach sprawy znajdują się dokumenty świadczące o tym, że instytucja zarządzająca przekazywała Agencji (instytucji wdrażającej) pisemne instrukcje w zakresie obsługi systemu "PEFS" (k. 435, 439, 441, 448 akt administracyjnych), załączając do nich (także w formie elektronicznej) przeznaczone do stosowania wzory formularzy, które szczegółowo określały zakres przetwarzanych danych osobowych, łącznie z danymi sensytywnymi (v. k. 426-432, k. 442-446 akt administracyjnych).
Wskazane okoliczności oraz treść powołanych umów dowodzą, w ocenie Sądu I instancji, że Polska Agencja Rozwoju Przedsiębiorczości, przetwarzając dane osobowe beneficjentów ostatecznych, nie działała jako administrator danych osobowych, lecz jako podmiot przetwarzający te dane w ramach umowy zawartej z administratorem danych, o której mowa w art. 31 ustawy o ochronie danych osobowych. Status administratora danych przysługiwał natomiast Ministrowi Gospodarki i Pracy, a potem Ministrowi Rozwoju Regionalnego. Świadczy o tym fakt, że to Minister jako instytucja zarządzająca konkretyzował cele i środki przetwarzania danych osobowych beneficjentów ostatecznych, będąc odpowiedzialnym tak za przygotowanie sektorowego programu operacyjnego, jak i jego realizację (art. 17, 18 i następne ustawy o Narodowym Planie Rozwoju oraz przepisy cyt. rozporządzenia Ministra Gospodarki i Pracy z dnia 1 lipca 2004 r. w sprawie przyjęcia Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004-2006). Ponadto, jak wynika ze zgromadzonego w toku postępowania materiału dowodowego, Minister korzystał z przewidzianych w art. 18 ustawy o Narodowym Planie Rozwoju kompetencji i, realizując Program, wydawał Polskiej Agencji Rozwoju Przedsiębiorczości wytyczne. Należy wskazać, że przepis art. 18 stanowi także podstawę do wydawania wytycznych dotyczących przetwarzania danych w Podsystemie EFS, który w świetle rozporządzenia Ministra Gospodarki i Pracy jest koniecznym elementem dla wdrożenia całego Programu Sektorowego. Działając na tej podstawie, Minister Gospodarki i Pracy przekazał tenże Podsystem wszystkim instytucjom wdrażającym, a następnie określił zasady i zakres przetwarzania danych osobowych w systemie informatycznym "PEFS" i nadał im formę "Instrukcji wprowadzania danych o beneficjentach ostatecznych do PEFS" wraz z kwestionariuszami (k. 426-434 akt administracyjnych). Z analizy tego dokumentu wynika, że to właśnie w oparciu o niego został skonkretyzowany zakres przetwarzania danych osobowych w systemie "PEFS" o beneficjentach ostatecznych. Z dokumentu tego wynika przy tym, że mają być zbierane takie dane osobowe jak: imię i nazwisko, adres zamieszkania, dane kontaktowe, nr PESEL, NIP, a także dane sensytywne, jak na przykład kategoria społeczna, pochodzenie, stwierdzony stopień niepełnosprawności, czy okres pobierania zasiłku dla bezrobotnych. Pozostałe zaś dokumenty wskazują, że skonkretyzowany w ten sposób zakres przetwarzania danych osobowych był dalej doprecyzowany przez Ministra Rozwoju Regionalnego, który jako następca prawny Ministra Gospodarki i Pracy, stał się administratorem danych.
Zdaniem Sądu, oznacza to, że Polska Agencja Rozwoju Przedsiębiorczości, przetwarzając dane osobowe beneficjentów ostatecznych, czyniła to, w oparciu o umowy zawarte z administratorem danych, a przetwarzanie to nie miało charakteru samodzielnego; Agencja ani nie decydowała o celach i środkach przetwarzania danych, ani nie konkretyzowała zakresu ich przetwarzania.
Przetwarzanie danych osobowych przez Spółkę BODiE następowało zaś na podstawie umowy z dnia 3 października 2005 r. oraz umowy z dnia 3 kwietnia 2006 r. zawartej z PARP. Doszło więc do dalszego powierzenia przetwarzania danych osobowych. Spółka BODiE, przetwarzając dane osobowe jako podmiot, o którym mowa w art. 31 ust. 1 ustawy o ochronie danych, miała obowiązek spełnić wymagania określone w powołanym rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych (art. 31 ust. 3 ustawy) i podlegała w tym zakresie kontroli Generalnego Inspektora Ochrony Danych Osobowych (art. 31 ust. 5 ustawy).Odesłanie zawarte w art. 31 ust. 5 ustawy nakazujące "odpowiednie" stosowanie przepisów oznacza, że w postępowaniu kontrolnym, a zwłaszcza przy wydawaniu decyzji, powinna być uwzględniona specyfika przetwarzania danych na podstawie umowy. Natomiast przy ustalaniu adresata decyzji należałoby przyjąć, iż te decyzje GIODO, które odnoszą się do uchybień w zakresie określonym w art. 36 - 39 i przepisach wykonawczych przewidzianych w art. 39a, powinny być z reguły skierowane do podmiotu przetwarzającego dane. Adresatem decyzji Generalnego Inspektora Ochrony Danych Osobowych nakazującej przywrócenie stanu zgodnego z prawem mogła być zatem Spółka BODiE, występująca w sprawie jako podmiot przetwarzający dane osobowe na podstawie umowy. Możliwość taką przewiduje zresztą wprost ustawa o ochronie danych w art. 18 w zw. z art. 31 ust. 3 i 5.
Sąd I instancji zwrócił uwagę, że czym innym jest właściwe ustalenie adresata decyzji, a czym innym zapewnienie stronie czynnego udziału w postępowaniu administracyjnym, zgodnie z art. 10 K.p.a. w zw. z art. 22 ustawy o ochronie danych osobowych. Jak wynika z akt postępowania organ nie dopełnił tego obowiązku i nie zapewnił Ministrowi Rozwoju Regionalnego udziału na żadnym etapie postępowania, mimo że jako administrator danych osobowych był stroną tego postępowania. Tym samym w postępowaniu wystąpiło naruszenie prawa dające podstawę do jego wznowienia (art. 145 § 1 pkt 4 kpa). To zaś, w ocenie Sądu I instancji, skutkowało koniecznością uchylenia zaskarżonej decyzji i decyzji ją poprzedzającej, na podstawie art. 145 § 1 pkt 1 lit. b) ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi w zw. z art. 145 § 1 pkt 4 K.p.a., bez potrzeby badania, czy naruszenie to miało wpływ na wynik sprawy.
Od powyższego wyroku Generalny Inspektor Ochrony Danych Osobowych złożył skargę kasacyjną, w której zaskarżył wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 19 sierpnia 2008 r., sygn. akt II SA/Wa 605/08, w części dotyczącej jego pkt 1 i pkt 3, wnosząc o uchylenie zaskarżonego orzeczenia w części dotyczącej jego pkt 1 oraz pkt 3 i przekazanie sprawy do ponownego rozpoznania Sądowi I instancji oraz zasądzenie kosztów postępowania według norm przepisanych.
Zaskarżonemu wyrokowi skarżący kasacyjnie zarzucił naruszenie przepisów prawa materialnego przez błędną jego wykładnię i niewłaściwe zastosowanie, poprzez uznanie, iż Minister Rozwoju Regionalnego jest administratorem danych osób biorących udział w dwóch projektach realizowanych w ramach działania 2.3 Sektorowego Programu Operacyjnego Rozwoju Zasobów Ludzkich, lata 2004 - 2006 w rozumieniu art. 7 pkt 4 ustawy o ochronie danych osobowych.
W uzasadnieniu skargi kasacyjnej GIODO podniósł, że zgodnie z definicją sformułowaną w art. 7 pkt 4 ustawy o ochronie danych osobowych, ilekroć w ustawie jest mowa o administratorze danych - rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych. Skarżący kasacyjnie podniósł również, że Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 4 października
1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. UrzUEL Nr 281, poz. 31 ze zm.) formułuje w artykule 2 (d) definicję administratora danych, zgodnie z którą administrator danych oznacza osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych; jeżeli cele i sposoby przetwarzania danych są określane w przepisach ustawowych i wykonawczych lub przepisach wspólnotowych, administrator danych może być powoływany lub kryteria jego powołania mogą być ustalane przez ustawodawstwo krajowe lub wspólnotowe.
Zdaniem kasatora istota sporu sprowadza się do sposobu interpretacji pojęcia administrator danych jednakże nie można zgodzić się z argumentem Sądu I instancji, iż Minister Rozwoju Regionalnego, zawierając z Polską Agencją Rozwoju Przedsiębiorczości dwie umowy w przedmiocie finansowania SPORZL lata 2004 - 2006 stał się administratorem danych osobowych "beneficjentów ostatecznych". Za argumentem przemawiającym, iż administratorem ww. danych jest Polska Agencja Rozwoju Przedsiębiorczości przemawia fakt, iż podmiot ten samodzielnie przechowuje, opracowuje, zmieniania, udostępniania i usuwa dane osobowe "beneficjentów ostatecznych". Na mocy umowy z dnia 26 lipca 2004 r. Polska Agencja Rozwoju Przedsiębiorczości zobowiązała się do wprowadzenia do Podsystemu danych przekazywanych przez "beneficjentów" na formularzu "Dane o beneficjentach ostatecznych" a także, zobowiązała się do aktualizacji w bazach danych składających się na podsystem oraz tworzenia kopii zapasowych informacji przechowywanych w bazach danych, zgodnie z przepisami ustawy o ochronie danych osobowych. Natomiast na podstawie umowy z dnia 20 kwietnia 2006 r. Polska Agencja Rozwoju Przedsiębiorczości przyjęła odpowiedzialność za zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie udostępnianie i usuwanie danych zgromadzonych w ramach zarządzenia i wdrażania działania oraz zobowiązała się do wprowadzania danych na temat realizowanych projektów z aplikacji DaneBO do "PEFS" i rejestrowania bazy danych zgodnie z ustawą o ochronie danych osobowych.
Jednocześnie wskazano, że "instytucja wdrażająca", tj. Polska Agencja Rozwoju Przedsiębiorczości, dokonała zgłoszenia Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych dotyczących "beneficjentów ostatecznych", który to zbiór został zarejestrowany. Polska Agencja Rozwoju Przedsiębiorczości, zgłaszając powyższy zbiór, sama zatem uznała się za administratora przedmiotowych danych.
Ponadto w uzasadnieniu skargi kasacyjnej wskazano, że Minister Rozwoju Regionalnego nie został uznany za stronę przedmiotowego postępowania administracyjnego, a zatem nie doszło do naruszenia art. 10 K.p.a.
W odpowiedzi na skargę kasacyjną Polska Agencja Rozwoju Przedsiębiorczości wniosła o oddalenie skargi i utrzymanie wyroku Wojewódzkiego Sądu Administracyjnego z dnia 19 sierpnia 2008 r. oraz o zasądzenie kosztów postępowania, w tym kosztów zastępstwa procesowego, według norm przepisanych.
Wskazała, iż Wojewódzki Sąd Administracyjny w Warszawie, rozpatrując przedmiotową sprawę, słusznie ustalił, że instytucja zarządzająca dokonywała, zgodnie z uprawnieniami przysługującymi jej na podstawie art. 18 ust. 1 ustawy o Narodowym Planie Rozwoju, dalszego określenia celu przetwarzania danych osobowych przez wydawanie wytycznych dotyczących wdrażania programu, w tym wytycznych dotyczących przetwarzania danych osobowych. Natomiast instytucja zarządzająca SPO RZL nakazała stosowanie do przetwarzania danych osobowych Podsystemu Monitorowania Europejskiego Funduszu Społecznego (PEFS), do którego nabyła prawa autorskie, a następnie przekazała instytucjom wdrażającym jego wersje instalacyjne wraz z formularzami aplikacji MS Excel, za pomocą których beneficjenci mieli przekazywać do instytucji wdrażających dane beneficjentów ostatecznych SPO RZL, tj. osób biorących udział w szkoleniach. Instytucja zarządzająca określiła środki (system PEFS) służące do przetwarzania danych osobowych przetwarzanych na potrzeby SPO RZL nie tylko w stosunku do PARP, ale również w stosunku do pozostałych instytucji wdrażających ten program i to instytucja zarządzająca SPO RZL a nie PARP, jako instytucja wdrażająca jedno z działań tego programu, zadecydowała o celach i środkach przetwarzania danych osobowych, wypełniając tym samym przesłanki określone w art. 7 ust. 4 ustawy. Umowy zawierane przez PARP są umowami dalszego powierzenia przetwarzania danych osobowych.
Naczelny Sąd Administracyjny zważył, co następuje:
Stosownie do treści art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm. - dalej P.p.s.a.), Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, z urzędu biorąc pod rozwagę jedynie nieważność postępowania.
W rozpatrywanej sprawie nie zachodzą przesłanki nieważności postępowania określone w art. 183 § 2 P.p.s.a. Dlatego Naczelny Sąd Administracyjny ograniczył swoje rozważania do oceny wskazanego w skardze kasacyjnej zarzutu naruszenia prawa materialnego, uznając, że zawiera on usprawiedliwione podstawy.
Istota sprawy wymaga udzielenia odpowiedzi na pytanie, który z dwóch niezależnych podmiotów prawa publicznego, mających realizować programy sektorowe, jest administratorem danych osobowych w sytuacji, gdy jeden z podmiotów ma pozycję instytucji zarządzającej, drugi natomiast instytucji wdrażającej program. Stosunek zachodzący między wskazanymi podmiotami kształtowany jest przepisami obowiązującego prawa, a w jego wykonaniu - także umowami, określającymi ich wzajemne pozycje.
Zgodnie z art. 7 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j.: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), administratorem danych jest organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych. Administratorem danych osobowych jest więc jedynie taki dysponent danych, który decyduje o celach i środkach ich przetwarzania. Przywołany przepis w swej treści posługuje się pojęciem "przetwarzania danych osobowych", a zatem konieczne jest także odwołanie się do ustawowej definicji tego pojęcia, gdyż "cele" i "środki" należy zawsze odnosić do procesu przetwarzania danych osobowych.
Stosownie do art. 7 pkt 2 ustawy o ochronie danych osobowych przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Warto podkreślić, że ustawa używa pojęcia "przetwarzanie danych osobowych", a zatem posługuje się określeniem wskazującym na dokonywane (tu i teraz) czynności czy operacje na danych osobowych.
Chronologiczne zestawienie opisanych czynności, wskazuje na to, że przetwarzanie danych osobowych zaczyna się od etapu ich pozyskiwania (zbierania) i przebiega poprzez utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, a kończy się na etapie usunięcia danych. Ma to istotne znaczenia dla oceny, który z podmiotów realizujących program sektorowy jest administratorem danych osobowych. Sąd I instancji stwierdził bowiem, że administratorem danych osobowych w stanie faktycznym rozpoznawanej sprawy jest Minister Rozwoju Regionalnego, natomiast Polska Agencja Rozwoju Przedsiębiorczości jest ich zleceniobiorcą. Naczelny Sąd Administracyjny nie podziela jednak tego stanowiska.
Zgodnie z treścią art. 31 ust. 1 ustawy o ochronie danych osobowych, administrator danych w drodze umowy zawartej na piśmie może powierzyć innemu podmiotowi przetwarzanie danych. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie (ust. 2). Podmiot określony w ust. 1 zobowiązany jest przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz spełnić wymagania sprecyzowane w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych (ust. 3). W przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową (ust. 4). Do kontroli zgodności przetwarzania danych przez podmiot, o którym mowa w ust. 1, z przepisami o ochronie danych osobowych stosuje się odpowiednio przepisy art. 14-19 (ust. 5).
Z powyższego przepisu jasno wynika, że zleceniobiorcą danych może być podmiot, któremu - na podstawie pisemnej umowy - powierzono przetwarzanie danych, czyli powierzono pewien zbiór danych w ściśle określonym celu i zakresie. Jeżeli proces przetwarzania danych osobowych rozpoczyna się z momentem ich pozyskiwania, to nie może ulegać wątpliwości, że w niniejszej sprawie Minister Rozwoju Regionalnego nie decydował o celach i środkach przetwarzania danych osobowych, gdyż danych tych (a tym bardziej zbioru danych) w chwili zawierania umów z Polską Agencją Rozwoju Przedsiębiorczości po prostu nie posiadał. Nie jest zatem administratorem danych osobowych, które - w wykonaniu zawartych z nim umów o finansowanie programu - zebrała (pozyskała) dopiero Polska Agencja Rozwoju Przedsiębiorczości, wdrażająca program, a więc decydująca o celach i środkach wszelkich operacji dotyczących danych osobowych. Zresztą samo określenie "instytucja wdrażająca" wskazuje, że to PARP miała przetwarzać dane osobowe beneficjentów realizowanego programu.
W sprawie niniejszej cele i środki, o których mowa w definicji "administratora danych", nie mogą być odnoszone do programu sektorowego, którym zarządza Minister Rozwoju Regionalnego, lecz winny być rozpatrywane w kontekście zawartych przez niego z Polską Agencją Rozwoju Przedsiębiorczości umów. Dopiero na podstawie tych umów PARP rozpoczęła bowiem zbieranie danych, czyli przystąpiła do procesu przetwarzania danych osobowych beneficjentów programu. Takie dane z chwilą podpisania wspomnianych umów w żadnym razie nie zostały Agencji przekazane przez Ministra. Zawierając umowy o finansowanie programu sektorowego, Minister Rozwoju Regionalnego nie dysponował jeszcze jakimikolwiek danymi osobowymi, które miałby na podstawie umów przekazać Polskiej Agencji Rozwoju Przedsiębiorczości, by ta z kolei miała stać się ich zleceniobiorcą (art. 31 ustawy). W stanie faktycznym niniejszej sprawy podmiotem, któremu powierzono przetwarzanie danych osobowych, jest jedynie Spółka BODiE, działająca na podstawie umowy zawartej z PARP.
Przewidziana w art. 31 ustawy o ochronie danych osobowych instytucja powierzenia przetwarzania danych osobowych wymaga, by zlecającym był właśnie administrator danych, czyli podmiot aktualnie przetwarzający dane osobowe, a nie podmiot mający przetwarzać dane, gdyż tylko przetwarzający dane osobowe decyduje, jak tego wymaga ustawowa definicja administratora danych, o celach i środkach przetwarzania danych, a więc szeregu składających się na ten proces czynnościach, które mają miejsce, a nie, które dopiero zostaną podjęte. Gdyby ustawodawcy chodziło także o abstrakcyjne, mające nastąpić w przyszłości przetwarzanie danych, z pewnością uczyniłby to, dając temu wyraz w samej definicji "administratora danych", ewentualnie w definicji "przetwarzania danych osobowych", poprzez wskazanie, że procesem tym objęty jest także etap przygotowania do przetwarzania danych.
Okoliczność, że Minister stworzył materiał pozwalający na przetwarzanie danych osobowych beneficjentów programu wedle określonych kryteriów i sposobów, opracował system informatyczny, a także podał odpowiednie wytyczne w tym zakresie, wcale nie oznacza, że jest administratorem danych. Pozyskiwanie przez PARP danych osobowych beneficjentów programu sektorowego, a więc przetwarzanie - odbywa się na podstawie umów o finansowanie programu, a zatem to Polska Agencja Rozwoju Przedsiębiorczości decyduje o celach i środkach przetwarzania danych osobowych jako podmiot wdrażający. W tym przypadku celem przetwarzania danych jest realizacja umów zawartych z Ministrem. Nie chodzi tu bowiem o cel programu sektorowego, a o cel przetwarzania danych. Środkiem przetwarzania danych będą zaś wszelkie instrumenty służące przetwarzaniu danych (służące wdrażaniu programu, a nie zarządzaniu programem).
Dodać przy tym należy, że gdyby do zawarcia umów o finansowanie w ogóle nie doszło, a Minister samodzielnie wdrażałby program sektorowy, wówczas niewątpliwie byłby administratorem danych beneficjentów programu. W sytuacji jednak, gdy Minister Rozwoju Regionalnego ma pozycję instytucji zarządzającej programem, mającej wgląd do utworzonego w trakcie wdrażania programu przez PARP zbioru danych, jak twierdzi Polska Agencja Rozwoju Przedsiębiorczości, na gruncie ustawy o ochronie danych osobowych można przypisać mu jedynie rolę administrującego zbiorem danych (zarządzającego zbiorem danych).
Pojęcia "administrujący zbiorem", "administrujący danymi" i "administrator danych" nie są tożsame. Racjonalny ustawodawca nie używa bowiem w tym samym akcie prawnym różnych określeń dla wskazania tego samego podmiotu. Analizując przedstawione zwroty, należy przyjąć, że na gruncie ustawy o ochronie danych osobowych administratorem danych osobowych jest jedynie ten podmiot, który decyduje o celach i środkach przetwarzania danych (art. 7 pkt 4 ustawy), natomiast administrującym - także taki podmiot, który zarządza, zawiaduje zbiorem danych (art. 50, art. 51, art. 54 ustawy) lub danymi (art. 52 ustawy) w procesie ich przetwarzania, w tym i powierzonego mu w trybie wskazanym w art. 31 tej ustawy. I choć uprawnienia i obowiązki administrującego zbiorem i administratora danych może posiadać ten sam podmiot, to jednak w niniejszej sprawie sytuacja taka nie zachodzi. Minister Rozwoju Regionalnego jest administrującym zbiorem, zaś Polska Agencja Rozwoju Przedsiębiorczości jest administratorem danych.
Uznając zatem, że Sąd I instancji dopuścił się błędnej wykładni art. 7 pkt 4 ustawy o ochronie danych osobowych, Naczelny Sąd Administracyjny, na podstawie art. 188 oraz art. 151 w zw. z art. 193 ustawy - Prawo o postępowaniu przed sądami administracyjnymi, uchylił zaskarżony wyrok i oddalił skargę. O kosztach postępowania orzeczono na podstawie art. 203 pkt 2 P.p.s.a.
 

Copyright (c) 2007 by E-Ochronadanych.pl - Wszelkie prawa zastrzeżone Polityka prywatności | Regulamin | Nota prawna
Kopiowanie materiałów - zabronione Ustawa o ochronie danych osobowych | GIODO | Administrator bezpieczeństwa informacji