I OSK 1378/08
2009-10-16
Orzeczenie prawomocne
WYROK
W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ
dnia 08 września 2009 r.
Naczelny Sąd Administracyjny po rozpoznaniu w dniu 8 września 2009 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Generalnego Inspektora Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 19 sierpnia 2008 r. sygn. akt II SA/Wa 734/08 w sprawie ze skargi Polskiej Agencji Rozwoju Przedsiębiorczości na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] kwietnia 2008 r. nr [...] w przedmiocie ochrony danych osobowych
1. uchyla zaskarżony wyrok i oddala skargę,
2. zasądza od Polskiej Agencji Rozwoju Przedsiębiorczości na rzecz Generalnego Inspektora Ochrony Danych Osobowych kwotę [...] zł tytułem zwrotu kosztów postępowania
Uzasadnienie
Generalny Inspektor Danych Osobowych decyzją z [...] listopada 2007 r. nr [...] nakazał [...] Spółka z o.o. z siedzibą w P. , jako podmiotowi, któremu na mocy zawartych z Polską Agencją Rozwoju Przedsiębiorczości umów z [...] października 2005 r. oraz z [...] kwietnia 2006 r. powierzone zostało przetwarzanie danych osób biorących udział w projektach realizowanych w ramach SPO RZL 2004-2006, usunięcie uchybień w procesie przetwarzania danych osób poprzez:
1) zapewnienie, aby system informatyczny PEFS (plik MS Excel o nazwie "Dane BO wersja 2-1.xls"), służący do przetwarzania danych "Beneficjentów Ostatecznych" umożliwiał odnotowanie daty pierwszego wprowadzenia danych do systemu. W terminie 3 miesięcy od dnia, w którym niniejsza decyzja stanie się ostateczna,
2) zapewnienie, aby system "PEFS" zapewniał, dla każdej osoby, której dane osobowe są przetwarzane w ww. systemie, sporządzenie i wydrukowanie raportu zawierającego w powszechnej formie informacje, o których mowa w § 7 ust. 1 powołanego rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
W pkt 3 decyzji organ wskazał zaś, że w pozostałym zakresie postępowanie zostaje umorzone. Uzasadniając tę część rozstrzygnięcia Generalny Inspektor Ochrony Danych Osobowych wskazał, że z pisemnych wyjaśnień pełnomocnika Spółki oraz przedstawionych dowodów wynika, że pozostałe uchybienia stanowiące przedmiot postępowania zostały usunięte, tj. uzupełniono ewidencję osób upoważnionych do przetwarzania danych osobowych, stosownie do treści art. 39 ust. 1 ustawy.
Generalny Inspektor Danych Osobowych decyzją z [...] kwietnia 2008 r. nr [...], po rozpoznaniu wniosku Polskiej Agencji Rozwoju Przedsiębiorczości o ponowne rozpatrzenie sprawy, utrzymał w mocy swoją poprzednią decyzję. W uzasadnieniu wskazał, że zgodnie z art. 7 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.) ilekroć w ustawie jest mowa o administratorze danych - rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych oraz powołał art. 31 ust. 1 i ust. 2 tej ustawy, zgodnie z którym administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych, a podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.
Dalej Generalny Inspektor Danych Osobowych wskazał, że wg ustaleń, których dokonał w trakcie postępowania administracyjnego dane osobowe pozyskiwane przez [...] Sp. z o.o., w związku z wykonywaniem przez nią projektów są przekazywane do PARP. Dane przekazywane są wyłącznie w wersji elektronicznej (płyty CD lub dyskietki). Otrzymane dane PARP wprowadza do systemu o nazwie "PEFS" (Podsystem Monitorowania Europejskiego Funduszu Społecznego). Dane osobowe z ww. systemu nie są przekazywane przez PARP do Ministerstwa Rozwoju Regionalnego, jako instytucji zarządzającej. PARP wdrażając SPO RZL 2004-2006, prowadzi odrębny zbiór danych dotyczących uczestników projektów w systemie o nazwie "PEFS". Do danych przetwarzanych w systemie "PEFS", które są przechowywane w PARP nie ma dostępu Minister Rozwoju Regionalnego.
Stwierdził, że Instytucja wdrażająca, tj. PARP, zgodnie z treścią rozdziału 5.2.3 załącznika do rozporządzenia Ministra Gospodarki i Pracy z dnia 1 lipca 2004 r. w sprawie przyjęcia Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004-2006 (Dz.U. Nr 166, poz. 1743 ze zm.), pozostaje odpowiedzialna za: formalną kontrolę zgodności wniosków składanych przez potencjalnych odbiorców pomocy, wybór projektów przeznaczonych do realizacji w ramach SPO RZL 2004-2006, podpisywanie umów z beneficjentami na podstawie decyzji instytucji zarządzającej lub upoważnienia wynikającego z umowy finansowania działania zawartej pomiędzy instytucją zarządzającą a instytucją wdrażającą. Stosownie do treści rozdziału 5.4 załącznika do ww. rozporządzenia w sprawie przyjęcia SPO RZL 2004-2006, w celu monitorowania i rzetelnej oceny projektów oraz transferu danych został utworzony System Informatyczny Monitoringu i Kontroli Finansowej (SIMIK). Uzupełnieniem tego systemu informatycznego jest podsystem informatyczny PEFS (system informatyczny o nazwie "PEFS", służący do przetwarzania danych osobowych beneficjentów ostatecznych w celu prowadzenia, monitorowania i ewaluacji projektów realizowanych w ramach SPO RZL), za którego wdrożenie i sprawne funkcjonowanie odpowiedzialne jest Ministerstwo Rozwoju Regionalnego. Natomiast za wprowadzenie danych do ww. podsystemu odpowiedzialny jest PARP. PARP jest głównym użytkownikiem tego systemu.
Organ zaznaczył przy tym, że PARP dokonała zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbiorów danych dotyczących beneficjentów ostatecznych i zbiory te zostały przez Generalnego Inspektora Ochrony Danych Osobowych zarejestrowane.
W konsekwencji oznacza, to, że administratorem danych osobowych beneficjentów ostatecznych przetwarzanych w związku z realizacją działania 2.3 SPO RZL 2004-2006 jest Polska Agencja Rozwoju Przedsiębiorczości, działająca w ramach Programu jako instytucja wdrażająca.
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z 19 sierpnia 2008 r. sygn. akt II SA/Wa 734/08, po rozpoznaniu sprawy ze skargi Polskiej Agencji Rozwoju Przedsiębiorczości na decyzję Generalnego Inspektora Ochrony Danych Osobowych z [...] kwietnia 2008 r. nr [...] w przedmiocie ochrony danych osobowych, uchylił zaskarżoną decyzję oraz poprzedzającą ją z [...] listopada 2007 r. W uzasadnieniu Sąd wskazał, że istota sporu sprowadza się do sposobu interpretacji pojęcia administrator danych w rozumieniu art. 7 pkt 4 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.) w sytuacji gdy dane osobowe są przetwarzane przez co najmniej dwa podmioty z sektora publicznego, a cele i środki przetwarzania tych danych wynikają z powszechnie obowiązujących przepisów prawa.
Stosownie do treści art. 7 pkt 4 w zw. z art. 3 ustawy o ochronie danych administratorem danych jest organ, jednostka organizacyjna, podmiot lub osoba (państwowa lub samorządowa) decydujące o celach i środkach przetwarzania danych osobowych. Sąd wywodził, że w odniesieniu do podmiotów publicznych trudności w ustaleniu, kto jest administratorem danych wynika z tej podstawowej przyczyny, że w ich przypadku o celach i środkach przetwarzania danych osobowych decyduje zazwyczaj ustawodawca, stanowiąc przepisy prawa. Oczywistym jest, że nie jest możliwym przyznanie statusu administratora danych ustawodawcy tylko dlatego, że tworząc określone przepisy ujął on cele i środki przetwarzania danych w sposób ogólny. Zważywszy natomiast na fakt, że organy i podmioty władzy publicznej działają na podstawie i w granicach określonych przepisami prawa (art. 7 Konstytucji Rzeczypospolitej Polskiej), a stosując prawo dokonują konkretyzacji norm o charakterze ogólnym i abstrakcyjnym, to mniej lub bardziej ogólnie wyznaczony w przepisach prawa cel będzie podlegał konkretyzacji. Tym samym administratorem danych będzie ten podmiot, który decydując o celu przetwarzania danych będzie konkretyzował jego zakres, aby odpowiadał on potrzebom bardziej szczegółowo określonego zadania publicznego.
W rozpatrywanej sprawie cele i środki przetwarzania danych osobowych zostały określone przez ustawodawcę w ustawie z dnia 20 kwietnia 2004 r. o Narodowym Planie Rozwoju (Dz.U. Nr 116, poz. 1206 ze zm.) oraz w wydanym na jej podstawie rozporządzeniu Ministra Gospodarki i Pracy z dnia 1 lipca 2004 r. w sprawie przyjęcia Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004-2006 (Dz.U. Nr 166, poz. 1743 ze zm.) i załączniku do tego rozporządzenia. Wymienione przepisy normują także sytuację prawną podmiotów realizujących ten program i określają zakres przypisanych im kompetencji, przy czym w stosunku do Polskiej Agencji Rozwoju Przedsiębiorczości powyższe regulacje uzupełniają przepisy ustawy z dnia 9 listopada 2000 r. o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości (tekst jedn. Dz.U. z 2007 r. Nr 42, poz. 275 ze zm.).
Zgodnie z art. 1 ust. 2 ustawy o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości, Agencja jest państwową osobą prawną, a stosownie do treści art. 4 ust. 1a pkt 1 tej ustawy Agencja uczestniczy w realizacji programów operacyjnych, o których mowa w ustawie z dnia 20 kwietnia 2004 r. o Narodowym Planie Rozwoju oraz w ustawie z dnia 6 grudnia 2006 r. o zasadach prowadzenia polityki rozwoju, jako instytucja wdrażająca (instytucja pośrednicząca II stopnia) albo pośrednicząca, udzielająca pomocy finansowej beneficjentom określonym w art. 6b ust. 1. Definicję instytucji wdrażającej ustawodawca zamieścił w art. 2 pkt 4 ustawy o Narodowym Planie Rozwoju stanowiąc, że jest nią podmiot publiczny lub prywatny odpowiedzialny za realizację działania w ramach programu operacyjnego na podstawie umowy z instytucją zarządzającą.
Z kolei, instytucją zarządzającą, zgodnie z art. 2 pkt 5 powołanej ustawy, jest właściwy minister odpowiedzialnego za przygotowanie i realizację programu operacyjnego albo za przygotowanie i nadzorowanie realizacji strategii wykorzystania Funduszu Spójności, o których mowa w rozporządzeniu Rady (WE) nr 1260/1999 z dnia 21 czerwca 1999 r. ustanawiającym przepisy ogólne w sprawie funduszy strukturalnych (Dz.Urz. WE L 161 z 26.06.1999, L 198 z 21.07.2001 oraz L 158 z 27.06.2003; Dz.Urz. UE Polskie wydanie specjalne, rozdz. 14, t. 1, str. 31) oraz w rozporządzeniu Rady (WE) nr 1164/1994 z dnia 16 maja 1994 r. ustanawiającym Fundusz Spójności (Dz.Urz. WE L 130 z 25.05.1994, L 161 z 26.06.1999; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 14, t. 1, str. 9). Początkowo ministrem tym był Minister Gospodarki i Pracy (por. rozdział V załącznika do rozporządzenia Ministra Gospodarki i Pracy z dnia 1 lipca 2004 r.), a obecnie jest, jako jego następca prawny, Minister Rozwoju Regionalnego, co wynika z rozporządzenia Rady Ministrów z dnia 31 października 2005 r. w sprawie utworzenia Ministerstwa Rozwoju Regionalnego (Dz.U. Nr 220, poz. 1882).
Relacje pomiędzy instytucją zarządzającą a wdrażającą, poza wymienioną w art. 2 pkt 4 umową, regulują także jednostronne działania samej instytucji zarządzającej. Mianowicie, jak stanowi art. 18 ust. 1 ustawy o Narodowym Planie Rozwoju, za przygotowanie i realizację programów albo za przygotowanie i nadzór nad realizacją strategii wykorzystania Funduszu Spójności, a w szczególności za wydawanie wytycznych dotyczących wdrażania programów i strategii wykorzystania Funduszu Spójności, o których mowa w art. 8 ust. 1 (m.in. sektorowych programów operacyjnych), skierowanych do podmiotów uczestniczących w realizacji danego programu, są odpowiedzialne właściwe instytucje zarządzające.
W oparciu o rozporządzenie Ministra Gospodarki i Pracy, podrozdział 5.4 załącznika, utworzono System Informatyczny Monitoringu i Kontroli Finansowej Funduszy Strukturalnych i Funduszy Spójności, a w przypadku SPO RZL 2004-2006 ustalono, że na system monitorowania składać się będą dwa tworzące ze sobą komplementarną i spójną całość systemy informatyczne zbierania, przetwarzania i elektronicznego przetwarzania danych: SIMIK oraz Podsystem Monitorowania EFS oraz wskazano, że dane do systemu będą wprowadzane na bieżąco i bez opóźnienia przez instytucje wdrażające, natomiast oświadczenia i raporty dotyczące postępów w realizacji zadań, zweryfikowane przez instytucję zarządzającą i Komitet Monitorujący zostaną wprowadzone zgodnie z ustawą o Narodowym Planie Rozwoju, a nadto zastrzeżono, że to instytucja zarządzająca gwarantuje dobrą jakość danych.
Z akt administracyjnych wynika, że instytucja zarządzająca - Minister Gospodarki i Pracy, a następnie Minister Rozwoju Regionalnego zawarła z instytucją wdrażającą -Polską Agencją Rozwoju Przedsiębiorczości dwie umowy w przedmiocie finansowania działania 2.3 w ramach Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich: w dniu 26 lipca 2004 r. oraz w dniu 20 kwietnia 2006 r. Na mocy § 19 pierwszej z umów strony postanowiły, że instytucja wdrażająca zobowiązuje się do wprowadzania do Podsystemu danych przekazywanych przez beneficjentów na formularzu "Dane o beneficjentach ostatecznych" a także, że instytucja wdrażająca zobowiązana jest do aktualizacji informacji w bazach danych składających się na Podsystem oraz tworzenia kopii zapasowych informacji przechowywanych w bazach danych zgodnie z przepisami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Na podstawie drugiej z umów - § 20 i 21- instytucja wdrażająca przyjęła odpowiedzialność za zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych zgromadzonych w ramach zarządzania i wdrażania działania oraz zobowiązała się do wprowadzania danych na temat realizowanych projektów z aplikacji DaneBO do "PEFS", a także zobowiązała się do aktualizacji informacji w bazie danych "PEFS" i rejestrowania bazy danych zgodnie z ustawą o ochronie danych osobowych.
Ponadto w aktach sprawy znajdują się dokumenty świadczące o tym, że instytucja zarządzająca przekazywała Agencji (instytucji wdrażającej) pisemne instrukcje w zakresie obsługi systemu "PEFS" (k. 435, 439, 441, 448 akt administracyjnych) załączając do nich (także w formie elektronicznej) przeznaczone do stosowania wzory formularzy, które szczegółowo określały zakres przetwarzanych danych osobowych, łącznie z danymi sensytywnymi (v. k. 426-432, k. 442-446 akt administracyjnych).
W konsekwencji, w ocenie Sądu, Polska Agencja Rozwoju Przedsiębiorczości przetwarzając dane osobowe beneficjentów ostatecznych nie działała jako administrator danych osobowych, lecz jako przetwarzający te dane w ramach umowy zawartej z administratorem danych, o której mowa w art. 31 ustawy o ochronie danych osobowych.
Świadczą o tym bowiem szczegółowe postanowienia dwóch ww., a zawartych na piśmie umów.
Ponadto, w ocenie Sądu, to Minister Gospodarki i Pracy, a potem Minister Rozwoju Regionalnego zawierając powyższe umowy występował jako administrator danych. Wynika to z następujących faktów.
Po pierwsze, to Minister jako instytucja zarządzająca konkretyzował cele i środki przetwarzania danych osobowych beneficjentów ostatecznych, będąc odpowiedzialnym tak za przygotowanie sektorowego programu operacyjnego, jak i jego realizację (art. 17, 18 i następne ustawy o Narodowym Planie Rozwoju oraz przepisy rozporządzenia Ministra Gospodarki i Pracy z dnia 1 lipca 2004 r. w sprawie przyjęcia Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004-2006).
Po drugie, na co wskazuje zgromadzony w toku postępowania materiał dowodowy, Minister korzystał z przewidzianych w art. 18 ustawy o Narodowym Planie Rozwoju kompetencji i realizując Program wydawał Polskiej Agencji Rozwoju Przedsiębiorczości wytyczne. Należy wskazać, że przepis art. 18 stanowi także podstawę do wydawania wytycznych dotyczących przetwarzania danych w Podsystemie EFS, który w świetle rozporządzenia Ministra Gospodarki i Pracy jest koniecznym elementem dla wdrożenia całego Programu Sektorowego. Działając na tej podstawie Minister Gospodarki i Pracy przekazał wszystkim instytucjom wdrażającym tenże Podsystem, a następnie określił zasady i zakres przetwarzania danych osobowych w systemie informatycznym "PEFS" i nadał im formę "Instrukcji wprowadzania danych o beneficjentach ostatecznych do PEFS" wraz z kwestionariuszami (k. 426-434 akt administracyjnych).
Z analizy tego dokumentu wynika, że to właśnie w oparciu o ten dokument został skonkretyzowany zakres przetwarzania danych osobowych w systemie "PEFS" o beneficjentach ostatecznych. Z dokumentu tego wynika, że mają być zbierane takie dane osobowe jak: imię i nazwisko, adres zamieszkania, dane kontaktowe, nr PESEL, NIP, a także dane sensytywne jak na przykład kategoria społeczna, pochodzenie, stwierdzony stopień niepełnosprawności, czy okres pobierania zasiłku dla bezrobotnych. Z pozostałych dokumentów wynika natomiast, że w ten sposób skonkretyzowany zakres przetwarzania danych osobowych był dalej doprecyzowany przez Ministra Rozwoju Regionalnego, który jako następca prawny Ministra Gospodarki i Pracy stał się administratorem danych.
Zdaniem Sądu, oznacza to, że Polska Agencja Rozwoju Przedsiębiorczości przetwarzając dane osobowe beneficjentów ostatecznych czyniła to, w oparciu o umowy zawarte z administratorem danych, a przetwarzanie to nie miało charakteru samodzielnego; Agencja ani nie decydowała o celach i środkach przetwarzania danych, ani nie konkretyzowała zakresu ich przetwarzania.
Przetwarzanie danych osobowych przez [...] Sp. z o.o. następowało zaś na podstawie umowy z dnia [...] października 2005 r. oraz umowy z dnia [...] kwietnia 2006 r. zawartej z PARP. Nastąpiło tu więc dalsze powierzenie przetwarzania danych osobowych.
[...] Sp. z o.o. przetwarzając dane osobowe jako podmiot, o którym mowa w art. 31 ust. 1 ustawy o ochronie danych, miał obowiązek spełnić wymagania określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (art. 31 ust. 3 ustawy) i podlegał w tym zakresie kontroli Generalnego Inspektora Ochrony Danych Osobowych (art. 31 ust. 5 ustawy).
Odesłanie zawarte w art. 31 ust. 5 ustawy nakazujące "odpowiednie" stosowanie przepisów oznacza, że w postępowaniu kontrolnym, a zwłaszcza przy wydawaniu decyzji, powinna być uwzględniona specyfika przetwarzania danych na podstawie umowy. Natomiast przy ustalaniu adresata decyzji należałoby przyjąć, iż te decyzje Generalnego Inspektora, które odnoszą się do uchybień w zakresie określonym w art. 36-39 i przepisach wykonawczych określonych w art. 39a powinny być z reguły skierowane do podmiotu przetwarzającego dane.
Adresatem decyzji Generalnego Inspektora Ochrony Danych Osobowych nakazującej przywrócenie stanu zgodnego z prawem mógł być zatem [...] Sp. z o.o. występujący w sprawie jako przetwarzający dane osobowe na podstawie umowy. Możliwość taką przewiduje zresztą wprost ustawa o ochronie danych w art. 18 w zw. z art. 31 ust. 3 i 5.
Czym innym jest jednak właściwe ustalenie adresata decyzji, a czym innym jest zapewnienie stronie czynnego udziału w postępowaniu administracyjnym, do którego organ zobligowany jest na mocy art. 10 k.p.a. w zw. z art. 22 ustawy o ochronie danych. Jak wynika z akt postępowania organ nie dopełnił tego obowiązku i nie zapewnił Ministrowi Rozwoju Regionalnego udziału na żadnym etapie postępowania, choć niewątpliwie administrator danych osobowych był stroną tego postępowania.
W rezultacie administrator danych nie mógł występować w postępowaniu w obronie własnego interesu prawnego dotyczącego ciążącej na nim odpowiedzialności w sytuacji umownego powierzenia przetwarzania danych innemu podmiotowi (art. 31 ust. 4 ustawy o ochronie danych), a tym samym w postępowaniu wystąpiło naruszenie prawa dające podstawę do jego wznowienia (art. 145 § 1 pkt 4 k.p.a.). W ocenie Sądu, to uzasadniało uchylenie zaskarżonej decyzji oraz decyzji ją poprzedzającej bez potrzeby badania, czy naruszenie to miało wpływ na wynik sprawy.
Biorąc powyższe pod uwagę Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit. b/ ustawy - Prawo o postępowaniu przed sądami administracyjnymi w zw. art. 145 § 1 pkt 4 k.p.a., orzekł o uchyleniu zaskarżonej decyzji oraz decyzji ją poprzedzającej.
Główny Inspektor Ochrony Danych Osobowych wniósł od wyroku skargę kasacyjną, zaskarżając wyrok w całości. Skargę kasacyjną oparł na zarzucie naruszenia przepisów prawa materialnego przez błędną jego wykładnię i niewłaściwe zastosowanie, poprzez uznanie, że Minister Rozwoju Regionalnego jest administratorem danych osób biorących udział w dwóch projektach realizowanych w ramach działania 2.3 Sektorowego Programu Operacyjnego Rozwoju Zasobów Ludzkich, lata 2004-2006 w rozumieniu art. 7 pkt 4 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.).
Na tych podstawach wnosił o:
1) uchylenie zaskarżonego wyroku w całości i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie,
2) zasądzenie kosztów postępowania według norm przepisanych.
W uzasadnieniu skargi kasacyjnej w pełni podtrzymał wywody co do wykładni art. 7 ust. 4 powołanej ustawy o ochronie danych osobowych, przyjętej w zaskarżonej decyzji.
W odpowiedzi na skargę kasacyjną Prezes Polskiej Agencji Rozwoju Przedsiębiorczości wniósł o jej oddalenie i zasądzenie kosztów postępowania w tym kosztów zastępstwa procesowego. W uzasadnieniu odpowiedzi wywodził o prawidłowości wykładni przyjętej w zaskarżonym wyroku.
Naczelny Sąd Administracyjny zważył, co następuje:
Stosownie do treści art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. Nr 153, poz. 1270 ze zm.), Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, z urzędu biorąc pod rozwagę jedynie nieważność postępowania. Podstawy te determinują kierunek postępowania Naczelnego Sądu Administracyjnego.
Wobec niestwierdzenia z urzędu nieważności postępowania, Naczelny Sąd Administracyjny ograniczył swoje rozważania do oceny wskazanych w skardze podstaw kasacyjnych.
Skarga kasacyjna analizowana pod tym kątem zasługuje na uwzględnienie, gdyż postawiony w niej zarzut naruszenia prawa materialnego jest trafny.
Istota sprawy wymaga udzielenia odpowiedzi na pytanie, który z dwóch niezależnych podmiotów prawa publicznego, mających realizować programy sektorowe, jest administratorem danych osobowych w sytuacji, gdy jeden z podmiotów ma pozycję instytucji zarządzającej programem, drugi natomiast instytucji wdrażającej program. Wytyczając ten kierunek rozważań, z pewnością stosunek zachodzący między wskazanymi podmiotami będzie kształtowany przepisami obowiązującego prawa, a w jego wykonaniu - także umowami wyznaczającymi ich wzajemne pozycje.
Zgodnie z brzmieniem art. 7 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2002 r. Nr 101, poz. 926 ze zm. - dalej ustawa), administratorem danych jest organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych. Administratorem danych osobowych jest więc jedynie taki dysponent danych, który decyduje o celach i środkach ich przetwarzania. Przywołany przepis w swej treści posługuje się pojęciem "przetwarzania danych osobowych", a zatem konieczne jest także odwołanie się do ustawowej definicji tego pojęcia, gdyż "cele" i "środki" należy zawsze odnosić do procesu przetwarzania danych osobowych.
W świetle art. 7 pkt 2 ustawy o ochronie danych osobowych przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Zestawiając chronologicznie opisane czynności, przetwarzanie danych osobowych zaczynać się będzie od etapu ich pozyskiwania (zbierania) i przebiegać poprzez utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, kończyć zaś na etapie usunięcia danych. Ma to doniosłe znaczenia dla oceny, który z podmiotów realizujących program sektorowy jest administratorem danych osobowych. Sąd I instancji stwierdził bowiem, że administratorem danych osobowych w stanie faktycznym rozpoznawanej sprawy jest Minister Rozwoju Regionalnego, natomiast Polska Agencja Rozwoju Przedsiębiorczości jest ich zleceniobiorcą. Naczelny Sąd Administracyjny stanowiska tego jednak nie podziela.
Zgodnie z treścią art. 31 ust. 1 ustawy o ochronie danych osobowych, administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie (ust. 2). Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych (ust. 3). W przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową (ust. 4). Do kontroli zgodności przetwarzania danych przez podmiot, o którym mowa w ust. 1, z przepisami o ochronie danych osobowych stosuje się odpowiednio przepisy art. 14-19 (ust. 5).
Z powyższego przepisu jasno wynika, że zleceniobiorcą danych może być podmiot, któremu - na podstawie pisemnej umowy - powierzono przetwarzanie danych, czyli powierzono pewien zbiór danych w ściśle określonym celu i zakresie. Skoro tak, to jeśli proces przetwarzania danych osobowych rozpoczyna się z momentem ich pozyskiwania, to z pewnością Minister Rozwoju Regionalnego nie decyduje o celach i środkach przetwarzania danych osobowych, których to danych (a tym bardziej zbioru danych) w chwili zawierania umów z Polską Agencją Rozwoju Przedsiębiorczości po prostu nie miał. Nie jest zatem administratorem danych osobowych, które - w wykonaniu zawartych z nim umów o finansowanie programu - zebrała (pozyskała) Polska Agencja Rozwoju Przedsiębiorczości, wdrażająca program, a więc decydująca o celach i środkach wszelkich operacji dotyczących danych osobowych. Już choćby samo określenie "instytucja wdrażająca" wskazuje, że to PARP ma przetwarzać dane osobowe beneficjentów realizowanego programu.
W sprawie niniejszej cele i środki, o których mowa w definicji "administratora danych", nie mogą być odnoszone do programu sektorowego, którym zarządza Minister Rozwoju Regionalnego, lecz winny być rozpatrywane w kontekście zawartych przez niego z Polską Agencją Rozwoju Przedsiębiorczości umów, gdyż to dopiero na ich podstawie PARP rozpoczęła zbieranie danych, czyli przystąpiła do procesu przetwarzania danych osobowych beneficjentów programu, których dane w żadnym razie nie zostały z chwilą podpisania wspomnianych umów jej przekazane przez Ministra. Zawierając umowy o finansowanie programu sektorowego, Minister Rozwoju Regionalnego nie dysponował jeszcze jakimikolwiek danymi osobowymi, które miałby na podstawie umów przekazać Polskiej Agencji Rozwoju Przedsiębiorczości, by ta z kolei miała stać się ich zleceniobiorcą (art. 31 ustawy). W stanie faktycznym niniejszej sprawy podmiotem, któremu powierzono przetwarzanie danych osobowych, jest jedynie Spółka [...], działająca na podstawie umowy zawartej z PARP.
Okoliczność, że Minister stworzył materiał pozwalający na przetwarzanie danych osobowych beneficjentów programu wedle określonych kryteriów i sposobów, opracował system informatyczny, a także podał odpowiednie wytyczne w tym zakresie, wcale nie oznacza, że jest administratorem danych. Pozyskiwanie przez PARP danych osobowych beneficjentów programu sektorowego, a więc przetwarzanie - odbywa się na podstawie umów o finansowanie programu, a zatem to Polska Agencja Rozwoju Przedsiębiorczości decyduje o celach i środkach przetwarzania danych osobowych. W tym przypadku celem przetwarzania jest realizacja umów zawartych z Ministrem. Nie chodzi tu bowiem o cel programu sektorowego, a o cel przetwarzania danych. Środkiem przetwarzania danych będą zaś wszelkie instrumenty służące przetwarzaniu danych (służące wdrażaniu programu, a nie zarządzaniu programem).
Rozpatrując tę kwestię z drugiej strony, gdyby do zawarcia umów o finansowanie w ogóle nie doszło, a Minister samodzielnie wdrażałby program sektorowy, wówczas niewątpliwie byłby administratorem danych beneficjentów programu. W sytuacji jednak, gdy Minister Rozwoju Regionalnego ma pozycję instytucji zarządzającej programem, mającej wgląd do utworzonego w trakcie wdrażania programu przez PARP zbioru danych, jak twierdzi Polska Agencja Rozwoju Przedsiębiorczości, na gruncie ustawy o ochronie danych osobowych można przypisać mu jedynie rolę administrującego zbiorem danych (zarządzającego zbiorem danych).
Pojęcia "administrujący zbiorem", "administrujący danymi" i "administrator danych" nie są tożsame. Racjonalny ustawodawca nie używa bowiem w tym samym akcie prawnym różnych określeń dla wskazania tego samego podmiotu. Analizując przedstawione zwroty, należy przyjąć, że na gruncie ustawy o ochronie danych osobowych administratorem danych osobowych jest jedynie ten podmiot, który decyduje o celach i środkach przetwarzania danych (art. 7 pkt 4 ustawy), natomiast administrującym - także taki podmiot, który zarządza, zawiaduje zbiorem danych (art. 50, art. 51, art. 54 ustawy) lub danymi (art. 52 ustawy) w procesie ich przetwarzania, w tym i powierzonego mu w trybie wskazanym w art. 31 tej ustawy. Mimo że co do zasady administrującym zbiorem i administratorem danych może być ten sam podmiot, to jednak w niniejszej sprawie sytuacja taka nie zachodzi. Minister Rozwoju Regionalnego jest administrującym zbiorem, zaś Polska Agencja Rozwoju Przedsiębiorczości jest administratorem danych.
Uznając zatem, że Sąd I instancji dopuścił się błędnej wykładni art. 7 pkt 4 ustawy o ochronie danych osobowych, Naczelny Sąd Administracyjny, działając w oparciu o art. 188 ustawy - Prawo o postępowaniu przed sądami administracyjnymi, orzekł, jak w sentencji wyroku.
O kosztach orzeczono na podstawie art. 203 pkt 2 powołanej ustawy - Prawo o postępowaniu przed sądami administracyjnymi
