I OSK 1379/08
2009-11-10
Orzeczenie prawomocne
WYROK
W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ
dnia 08 września 2009 r.
Naczelny Sąd Administracyjny po rozpoznaniu w dniu 8 września 2009 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Generalnego Inspektora Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 19 sierpnia 2008 r. sygn. akt II SA/Wa 735/08 w sprawie ze skargi Polskiej Agencji Rozwoju Przedsiębiorczości na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] kwietnia 2008 r. nr [...] w przedmiocie ochrony danych osobowych
1. uchyla zaskarżony wyrok i oddala skargę,
2. zasądza od Polskiej Agencji Rozwoju Przedsiębiorczości na rzecz Generalnego Inspektora Ochrony Danych Osobowych kwotę […] zł tytułem zwrotu kosztów postępowania
Uzasadnienie
Wyrokiem z dnia 19 sierpnia 2009 r. Wojewódzki Sąd Administracyjny w Warszawie uwzględnił skargę Polskiej Agencji Rozwoju Przedsiębiorczości i uchylił decyzję Generalnego Inspektora Danych Osobowych z dnia [...] kwietnia 2008 r. oraz poprzedzającą ją decyzję tego samego organu z dnia [...] grudnia 2007 r. w przedmiocie ochrony danych osobowych.
W uzasadnieniu wyroku Wojewódzki Sąd Administracyjny w Warszawie przytoczył następujące okoliczności faktyczne i prawne:
Generalny Inspektor Ochrony Danych Osobowych przeprowadził kontrolę w [...] Sp. z o.o. w P. w celu ustalenia zgodności przetwarzania danych osobowych z przepisami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.) oraz rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100, poz. 1024).
W toku kontroli ustalono, że [...] Sp. z o.o. pozyskuje dane osób biorących udział w projektach realizowanych w ramach Sektorowego Programu Operacyjnego Rozwoju Zasobów Ludzkich 2004 - 2006, (SPO RZL 2004-2006) na podstawie umów z dnia [...] października 2005 r. oraz z dnia [...] kwietnia 2006 r., zawartych z Polską Agencją Rozwoju Przedsiębiorczości (PARP). Umowy te dotyczyły doskonalenia wiedzy i umiejętności pracowników sektora bankowości spółdzielczej oraz doskonalenia umiejętności kadr audytu wewnętrznego w bankach spółdzielczych. Były one również umowami powierzenia przetwarzania danych osobowych, w świetle art. 31 ust. 1 ustawy o ochronie danych osobowych. Stąd też administratorem danych osób biorących udział w projektach realizowanych w ramach SPO RZL 2004-2006 była Agencja, a spółka podmiotem, któremu administrator danych powierzył przetwarzanie danych ww. osób.
Organ ustalił ponadto, że PARP nie realizowała obowiązku informacyjnego w zakresie prawa dostępu do treści swoich danych oraz ich poprawiania w stosunku do uczestników szkoleń, tj. obowiązku określonego w art. 24 ust. 1 pkt 3 ustawy o ochronie danych osobowych.
Wobec powyższego Generalny Inspektor Ochrony Danych Osobowych, decyzją z dnia [...] grudnia 2007 r., nakazał Polskiej Agencji Rozwoju Przedsiębiorczości, jako administratorowi danych, dopełnienie obowiązku informacyjnego w zakresie prawa dostępu do treści swoich danych oraz ich poprawiania w stosunku do uczestników szkoleń, których dane osobowe były pozyskiwane, w terminie 1 miesiąca od dnia, w którym decyzja stanie się ostateczna.
We wniosku o ponowne rozpatrzenie sprawy PARP podniosła, że to nie ona jest administratorem danych osób biorących udział w projektach realizowanych w ramach SPO RZL 2004-2006. Program realizowany jest w ramach struktury, w której występuje szereg podmiotów. Składa się ona z instytucji zarządzającej, instytucji pośredniczącej oraz instytucji wdrażających, a także regionalnych instytucji finansujących. W ramach programu rolę instytucji zarządzającej oraz instytucji pośredniczącej pełniło Ministerstwo Rozwoju Regionalnego, a PARP była jedynie jedną z szeregu instytucji wdrażających. Stanowisko takie potwierdza treść art. 4 ust. 1a pkt 1 ustawy z dnia 9 listopada 2000 r. o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości (t.j. Dz.U. z 2007 r., Nr 42, poz. 275).
Ponadto określenie administratora danych przetwarzanych na potrzeby SPO RZL 2004 - 2006 nie mogło odbyć się z pominięciem przepisów ustawy z dnia 20 kwietnia 2004 r. o Narodowym Planie Rozwoju (Dz.U. Nr 116, poz. 1206 ze zm.). Jej przepisy wskazują, w jakich celach mogą być przetwarzane dane osobowe w ramach realizowanych programów. W sytuacji takiej za administratora danych należy uznać podmiot, który decydując o celu przetwarzania danych, będzie jedynie konkretyzował jego zakres tak, aby odpowiadał on potrzebom bardziej szczegółowo określonego zadania publicznego.
Zdaniem PARP Ministerstwo Rozwoju Regionalnego, jako instytucja zarządzająca projektem, posiadało kompetencje do wydawania innym podmiotom uczestniczącym w realizacji programu wiążących poleceń dotyczących m.in. zakresu przetwarzania danych osobowych. Ponadto Ministerstwo wskazało środki, przy pomocy których obsługiwany był SPO RZL 2004-2006 oraz przekazało pliki przeznaczone do aplikacji MS Excel, za pomocą których ostateczni odbiorcy mieli przekazywać do instytucji wdrażających dane wprowadzane przez te instytucje do systemu PEFS.
Dlatego też PARP była jedynie użytkownikiem systemu PEFS, a nie jego administratorem. Zdaniem Agencji prowadzi to do wniosku, że nie jest ona uprawniona do podejmowania decyzji o środkach przetwarzania danych, czego wymaga definicja administratora danych zawarta w art. 7 pkt 4 ustawy o ochronie danych osobowych. Z kolei w myśl przepisów ustawy o Narodowym Planie Rozwoju (art. 18, 18a oraz 19) instytucja zarządzająca, w tym przypadku Ministerstwo Rozwoju Regionalnego, odpowiedzialna jest za przygotowanie i realizację programu, a w szczególności za wydawanie wytycznych dotyczących wdrażania programów skierowanych do podmiotów uczestniczących w realizacji danego programu. Ponadto instytucja zarządzająca może przekazać w drodze porozumienia zarządzanie, monitorowanie i kontrolę poszczególnych priorytetów operacyjnych, działań lub projektów instytucjom pośredniczącym. Porozumienie to może przewidywać możliwość przekazania elementów zarządzania innym instytucjom określonym w planie (instytucjom wdrażającym), przy czym w przypadku przekazania przez instytucję zarządzającą kompetencji, ponosi ona pełną odpowiedzialność za skuteczność i prawidłowość zarządzania programem.
Agencja podała również, że związana była z Ministerstwem Rozwoju Regionalnego dwiema umowami finansowania i wdrażania Działania 2.3 w ramach SPO RZL 2004-2006. Dokumenty te wskazują również na konieczność stosowania się przez instytucję wdrażającą, tj. PARP, do wytycznych instytucji zarządzającej, przygotowanych przez nią wzorów formularzy oraz przedstawiania do zatwierdzenia procedur realizacji ww. Działania 2.3 SPO RZL 2004-2006.
Generalny Inspektor Ochrony Danych Osobowych, po ponownym rozpatrzeniu sprawy, decyzją z dnia [...] kwietnia 2008 r., utrzymał w mocy swoją wcześniejszą decyzję z dnia [...] grudnia 2007 r.
W uzasadnieniu decyzji organ wyjaśnił, że zgodnie z art. 7 pkt 4 ustawy o ochronie danych osobowych ilekroć w ustawie jest mowa o administratorze danych - rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych.
Organ podniósł, że dane osobowe pozyskiwane przez [...] Sp. z o.o., w związku z wykonywaniem przez nią projektów, były przekazywane do PARP wyłącznie w wersji elektronicznej. Agencja wprowadza dane do systemu o nazwie PEFS (Podsystem Monitorowania Europejskiego Funduszu Spójności). Dane osobowe z ww. systemu nie były przekazywane przez PARP do Ministerstwa Rozwoju Regionalnego, jako instytucji zarządzającej. Organ zaznaczył przy tym, że Minister Rozwoju Regionalnego nie posiadał dostępu do danych przetwarzanych w systemie o nazwie PEFS, które przechowywane były w PARP. Ponadto PARP dokonała zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbiorów danych dotyczących beneficjentów ostatecznych i zostały one zarejestrowane.
Agencja, jako instytucja wdrażająca - zgodnie z treścią rozdziału 5.2.3 załącznika do rozporządzenia Ministra Gospodarki i Pracy z dnia 1 lipca 2004 r. w sprawie przyjęcia Sektorowego Programu Operacyjnego Rozwoju Zasobów Ludzkich 2004-2006 (Dz.U. Nr 166, poz. 1743 ze zm.), pozostawała odpowiedzialna za formalną kontrolę zgodności wniosków składanych przez potencjalnych odbiorców pomocy, wybór projektów przeznaczonych do realizacji w ramach SPO RZL 2004 - 2006, podpisywanie umów z beneficjentami na podstawie decyzji instytucji zarządzającej lub upoważnienia wynikającego z umowy finansowania działania, zawartej pomiędzy instytucją zarządzającą, a instytucją wdrażającą. Stosownie do treści rozdziału 5.4 załącznika, w celu monitorowania i rzetelnej oceny projektów oraz transferu danych został utworzony System Informatyczny Monitoringu i Kontroli Finansowej (SIMIK). Uzupełnieniem tego systemu informatycznego jest podsystem informatyczny PEFS (służący do przetwarzania danych osobowych beneficjentów ostatecznych w celu prowadzenia, monitorowania i ewaluacji projektów realizowanych w ramach SPO RZL), za którego wdrożenie i sprawne funkcjonowanie odpowiedzialne jest Ministerstwo Rozwoju Regionalnego. Natomiast za wprowadzenie danych do ww. podsystemu odpowiedzialne są instytucje wdrażające. PARP jest zatem głównym użytkownikiem tego systemu.
Oznacza to, że administratorem danych osobowych beneficjentów ostatecznych przetwarzanych w związku z realizacją działania 2.3 SPO RZL 2004 - 2006 była Polska Agencja Rozwoju Przedsiębiorczości.
Na decyzję ostateczną skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie wniosła Polska Agencja Rozwoju Przedsiębiorczości. Zaskarżonej decyzji zarzuciła:
- naruszenie przepisów postępowania, tj. art. 156 ust. 1 pkt 2 k.p.a. i wydanie decyzji z rażącym naruszeniem prawa, poprzez oparcie jej o fakty znane organowi z urzędu, bez zakomunikowania ich adresatowi decyzji oraz naruszenie art. 156 ust. 1 pkt 3 k.p.a., poprzez wydanie decyzji administracyjnej w sprawie rozstrzygniętej inną decyzją ostateczną;
- naruszenie art. 24 ust. 1 ustawy o ochronie danych osobowych, poprzez nałożenie obowiązku realizacji postanowień wynikających z tego przepisu na podmiot niebędący jego adresatem oraz art. 7 pkt 4 ww. ustawy, poprzez uznanie Agencji za administratora danych SPO RZL 2004-2006.
W uzasadnieniu skargi PARP wskazała, że ustalenie podmiotu będącego administratorem danych może odbyć się wyłącznie przez odniesienie się do treści art. 7 pkt 4 ustawy o ochronie danych osobowych, który to przepis jako warunek konieczny dla uznania podmiotów wymienionych w art. 3 za administratorów danych stawia wymóg decydowania przez nich o celach i środkach przetwarzania danych osobowych. PARP nie zgodziła się ze stanowiskiem, że przekazywanie danych osobowych do Agencji przez podmioty, które zawarły umowę dofinansowania oraz wprowadzanie danych do sytemu PEFS przez Agencję, przesądza o jej statusie, jako administratora tych danych. Zdaniem PARP przetwarza ona dane osobowe w oparciu o umowy wiążące ją z Ministerstwem Rozwoju Regionalnego, będącym instytucją zarządzającą projektem. Umowy te powierzają Agencji wdrażanie Działania 2.3 SPO RZL, a zatem są to umowy, o których mowa w art. 31 ustawy o ochronie danych osobowych. W tej sytuacji PARP przetwarza dane osobowe w ramach powierzenia określonego umową i nie ma w sprawie znaczenia okoliczność braku dostępu Ministerstwa do danych przetwarzanych w systemie PEFS. Administrator danych, powierzając przetwarzanie danych innemu podmiotowi w pełnym zakresie, może nie mieć faktycznego dostępu do przetwarzanych w jego imieniu danych, ale nadal pozostaje ich administratorem, spełniając przesłanki z art. 7 pkt 4 ustawy. Ponadto nawet w sytuacji powierzenia danych, szereg obowiązków w dalszym ciągu obciąża administratora (art. 24 ust. 1, art. 25 ust. 1, czy art. 40), a fakt powierzenia danych nie pozbawia administratora możliwości powierzenia tych samych danych jeszcze innemu podmiotowi.
Skarżąca podniosła też, że przepisy ustawy o Narodowym Planie Rozwoju wskazują, w jakich celach mogą być przetwarzane dane osobowe w ramach realizowanych programów. Za administratora danych należy zatem uznać podmiot, który decydując o celu przetwarzania danych, będzie jedynie konkretyzował jego zakres, by odpowiadał on potrzebom szczegółowo określonego zadania publicznego. Stąd też za administratora danych przetwarzanych w systemie PEFS należało uznać instytucję zarządzającą programem, ponieważ to ona skonkretyzowała cel i zakres przetwarzania danych.
Uwzględniając skargę Wojewódzki Sąd Administracyjny w Warszawie podniósł, że istota sporu sprowadzała się do sposobu interpretacji pojęcia administratora danych w rozumieniu art. 7 pkt 4 ustawy o ochronie danych osobowych, w sytuacji, gdy dane osobowe są przetwarzane przez co najmniej dwa podmioty z sektora publicznego, a cele i środki przetwarzania tych danych wynikają z powszechnie obowiązujących przepisów prawa.
W ocenie Sądu I instancji administratorem danych, w myśl art. 7 pkt 4 w zw. z art. 3 ustawy o ochronie danych osobowych, jest podmiot, który decydując o celu przetwarzania danych będzie konkretyzował jego zakres, aby odpowiadał on potrzebom bardziej szczegółowo określonego zadania publicznego. W rozpatrywanej sprawie cele i środki przetwarzania danych osobowych zostały określone przez ustawodawcę w ustawie o Narodowym Planie Rozwoju oraz w wydanym na jej podstawie rozporządzeniu Ministra Gospodarki i Pracy w sprawie przyjęcia Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich 2004 - 2006 i załączniku do tego rozporządzenia. Wymienione przepisy normują także sytuację prawną podmiotów realizujących ten program i określają zakres przypisanych im kompetencji, przy czym w stosunku do PARP powyższe regulacje uzupełniają przepisy ustawy o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości.
Wojewódzki Sąd Administracyjny w Warszawie wyjaśnił, że instytucja zarządzająca - Minister Gospodarki i Pracy, a później jego następca prawny Minister Rozwoju Regionalnego, zawarła z instytucją wdrażającą - Polską Agencją Rozwoju Przedsiębiorczości - dwie umowy w przedmiocie finansowania działania 2.3 w ramach SPO RZL: w dniu 26 lipca 2004 r. oraz w dniu 20 kwietnia 2006 r. Na mocy § 19 pierwszej z umów strony postanowiły, że instytucja wdrażająca zobowiązuje się do wprowadzania do Podsystemu danych przekazywanych przez beneficjentów na formularzu "Dane o beneficjentach ostatecznych" a także, że instytucja wdrażająca zobowiązana jest do aktualizacji informacji w bazach danych składających się na Podsystem oraz tworzenia kopii zapasowych informacji przechowywanych w bazach danych zgodnie z przepisami ustawy o ochronie danych osobowych. Na podstawie drugiej z umów - § 20 i 21 - instytucja wdrażająca przyjęła odpowiedzialność za zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych zgromadzonych w ramach zarządzania i wdrażania działania oraz zobowiązała się do wprowadzania danych na temat realizowanych projektów z aplikacji DaneBO do PEFS, a także zobowiązała się do aktualizacji informacji w bazie danych PEFS i rejestrowania bazy danych zgodnie z ustawą o ochronie danych osobowych.
Ponadto instytucja zarządzająca przekazywała Agencji (instytucji wdrażającej) pisemne instrukcje w zakresie obsługi systemu PEFS, załączając do nich (także w formie elektronicznej) przeznaczone do stosowania wzory formularzy, które szczegółowo określały zakres przetwarzanych danych osobowych, łącznie z danymi sensytywnymi.
W konsekwencji, w ocenie Sądu I instancji, Polska Agencja Rozwoju Przedsiębiorczości, przetwarzając dane osobowe beneficjentów ostatecznych, nie działała jako administrator danych osobowych, lecz jako podmiot przetwarzający te dane w ramach umowy zawartej z administratorem danych, o której mowa w art. 31 ustawy o ochronie danych osobowych. Świadczą o tym szczegółowe postanowienia dwóch umów.
Ponadto, w ocenie Sądu, to Minister Gospodarki i Pracy, a potem Minister Rozwoju Regionalnego, zawierając powyższe umowy, występował jako administrator danych. Minister bowiem, jako instytucja zarządzająca, konkretyzował cele i środki przetwarzania danych osobowych beneficjentów ostatecznych, będąc odpowiedzialnym tak za przygotowanie sektorowego programu operacyjnego, jak i jego realizację (art. 17, 18 i następne ustawy o Narodowym Planie Rozwoju oraz przepisy rozporządzenia Ministra Gospodarki i Pracy z dnia 1 lipca 2004 r. w sprawie przyjęcia SPO RZL 2004 - 2006). Minister korzystał również z przewidzianych w art. 18 ustawy o Narodowym Planie Rozwoju kompetencji i wydawał PARP wytyczne, w tym dotyczące przetwarzania danych w Podsystemie EFS, który jest koniecznym elementem dla wdrożenia całego Programu Sektorowego. Działając na tej podstawie Minister przekazał wszystkim instytucjom wdrażającym tenże Podsystem, a następnie określił zasady i zakres przetwarzania danych osobowych w systemie informatycznym PEFS i nadał im formę "Instrukcji wprowadzania danych o beneficjentach ostatecznych do PEFS" wraz z kwestionariuszami.
Właśnie w oparciu o ten dokument został skonkretyzowany zakres przetwarzania danych osobowych w systemie PEFS o beneficjentach ostatecznych. Z dokumentu tego wynika, że mają być zbierane takie dane osobowe jak: imię i nazwisko, adres zamieszkania, dane kontaktowe, nr PESEL, NIP, a także dane sensytywne, jak na przykład kategoria społeczna, pochodzenie, stwierdzony stopień niepełnosprawności, czy okres pobierania zasiłku dla bezrobotnych. Z pozostałych dokumentów wynika natomiast, że w ten sposób skonkretyzowany zakres przetwarzania danych osobowych był dalej doprecyzowany przez Ministra Rozwoju Regionalnego, który jako następca prawny Ministra Gospodarki i Pracy stał się administratorem danych.
Zatem PARP, przetwarzając dane osobowe beneficjentów ostatecznych, czyniła to w oparciu o umowy zawarte z administratorem danych, a przetwarzanie to nie miało charakteru samodzielnego. Agencja ani nie decydowała o celach i środkach przetwarzania danych, ani nie konkretyzowała zakresu ich przetwarzania.
Zgodnie z treścią art. 24 ust. 1 pkt 3 ustawy o ochronie danych osobowych w przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o prawie dostępu do treści swoich danych oraz ich poprawiania. Zatem adresatem decyzji nakazującej usunięcie uchybienia w procesie przetwarzania danych osobowych poprzez dopełnienia obowiązku informacyjnego w zakresie prawa dostępu do treści swoich danych oraz ich poprawiania w stosunku do uczestników szkoleń, których dane osobowe są pozyskiwane w związku z realizacją projektu pt. "Doskonalenie wiedzy i umiejętności pracowników bankowości spółdzielczej", powinien być Minister Rozwoju Regionalnego, jako administrator tych danych.
Sąd I instancji stwierdził zatem, że organ administracji nie dopełnił obowiązku przewidzianego w art. 10 k.p.a. i nie zapewnił Ministrowi Rozwoju Regionalnego udziału na żadnym etapie postępowania. Tym samym w postępowaniu wystąpiło naruszenie prawa dające podstawę do jego wznowienia, co spowodowało konieczność uwzględnienia skargi na podstawie art. 145 § 1 pkt 1 lit. b) ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. Nr 153, poz. 127 ze zm.).
Od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie skargę kasacyjną złożył Generalny Inspektor Ochrony Danych Osobowych. Zaskarżając wyrok w całości, zarzucił mu błędną wykładnię i niewłaściwe zastosowanie art. 7 pkt 4 ustawy o ochronie danych osobowych, poprzez uznanie, iż Minister Rozwoju Regionalnego jest administratorem danych osób biorących udział w dwóch projektach realizowanych w ramach działania 2.3 SPO RZL 2004-2006.
Wskazując na powyższe naruszenie strona wniosła o uchylenie w całości wyroku z dnia 19 sierpnia 2008 r. i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie oraz o zasądzenie kosztów postępowania kasacyjnego.
W uzasadnieniu skargi kasacyjnej jej autor wskazał przede wszystkim, że zgodnie z definicją sformułowaną w art. 7 pkt 4 ustawy o ochronie danych osobowych, ilekroć w ustawie jest mowa o administratorze danych - rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych. Również Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.UrzUEL Nr 281, poz. 31 ze zm.) formułuje w artykule 2(d) definicję administratora danych, zgodnie z którą administrator danych oznacza osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych; jeżeli cele i sposoby przetwarzania danych są określane w przepisach ustawowych i wykonawczych lub przepisach wspólnotowych, administrator danych może być powoływany lub kryteria jego powołania mogą być ustalane przez ustawodawstwo krajowe lub wspólnotowe.
Autor skargi kasacyjnej wskazał, iż cele i środki przetwarzania danych osobowych zostały określone przez ustawodawcę w ustawie o Narodowym Planie Rozwoju, rozporządzeniu Ministra Gospodarki i Pracy w sprawie przyjęcia SPO RZL 2004-2006, rozporządzeniu Ministra Gospodarki i Pracy z dnia 16 września 2004 r. w sprawie udzielania przez Polską Agencję Rozwoju Przedsiębiorczości pomocy finansowej w ramach SPO RZL 2004-2006 (Dz.U. Nr 207, poz. 2115) oraz w rozporządzeniu Ministra Rozwoju Regionalnego z dnia 16 sierpnia 2006 r. zmieniającym rozporządzenie w sprawie udzielania przez Polską Agencję Rozwoju Przedsiębiorczości pomocy finansowej w ramach SPO RZL 2004-2006 (Dz.U. Nr 154, poz. 1102). Z ww. przepisów i dokumentów wynika, iż PARP, jako instytucja wdrażająca, udziela wsparcia finansowego na realizację projektów z zakresu SPO RZL 2004-2006. Natomiast [...] Sp. z o.o. posiada status "beneficjenta", tj. podmiotu korzystającego z publicznych środków wspólnotowych i publicznych środków krajowych na podstawie umowy o dofinansowanie projektu. Jednocześnie osoby uczestniczące w szkoleniach posiadają status "beneficjentów ostatecznych", tj. podmiotów korzystających z projektu realizowanego przez beneficjenta. W SPO RZL 2004 - 2006 uczestniczy również Ministerstwo Rozwoju Regionalnego, któremu przysługuje status "instytucji zarządzającej", tj. podmiotu odpowiedzialnego za przygotowanie i nadzorowanie realizacji SPO RZL 2004 - 2006.
Jednocześnie, jak ustalono w czasie kontroli, [...] Sp. z o.o. pozyskuje dane osób biorących udział w dwóch projektach realizowanych w ramach SPO RZL lata 2004-2006, na podstawie umów zawartych z PARP. Na ich podstawie PARP m.in. przekazuje środki na realizację projektów realizowanych w ramach SPO RZL 2004-2006, zleca przetwarzanie danych osobowych w zakresie określonym przez "instytucję zarządzającą", przeprowadza kontrole i audyt.
Z kolei [...] Sp. z o.o. zobowiązany jest m.in. do niezwłocznego informowania PARP o problemach w realizacji projektów, opracowania okresowych i rocznych sprawozdań oraz końcowego sprawozdania z realizacji projektów i przekazywania ich do PARP, a także przekazywania w formie elektronicznej informacji o wszystkich "beneficjentach ostatecznych" w ramach SPO RZL 2004-2006.
W świetle powyższych ustaleń kasator stwierdził, iż ww. umowy stanowiły umowę powierzenia przetwarzania danych osobowych (art. 31 ust. 1 ustawy o ochronie danych osobowych). Tym samym administratorem danych osób biorących udział w projektach realizowanych w ramach SPO RZL 2004-2006 była PARP, a [...] Sp. z o.o. podmiotem, któremu administrator danych powierzył przetwarzanie danych ww. osób.
Autor skargi kasacyjnej podniósł, że dane osobowe pozyskiwane przez [...] Sp. z o.o., były przekazywane do PARP., która wprowadzała je do systemu PEFS. Dane te nie były przekazywane przez PARP do Ministerstwa Rozwoju Regionalnego. Ponadto do danych przetwarzanych w systemie PEFS, które przechowywane były w siedzibie Agencji, Minister Rozwoju Regionalnego nie miał dostępu.
W skardze kasacyjnej wskazano również, że instytucja wdrażająca, tj. PARP, zgodnie z treścią rozdziału 5.2.3 załącznika do rozporządzenia Ministra Gospodarki i Pracy w sprawie przyjęcia SPO RZL 2004-2006, pozostawała odpowiedzialna za formalną kontrolę zgodności wniosków składanych przez potencjalnych odbiorców pomocy, wybór projektów przeznaczonych do realizacji w ramach SPO RZL 2004- 2006, podpisywanie umów z beneficjentami na podstawie decyzji instytucji zarządzającej lub upoważnienia wynikającego z umowy finansowej, zawartej pomiędzy instytucją zarządzającą, a instytucją wdrażającą.
Za wprowadzenie danych do podsystemu PEFS odpowiedzialna była PARP, jako instytucja wdrażająca, która była jednocześnie głównym użytkownikiem tego systemu.
Autor skargi kasacyjnej nie podzielił także argumentu Sądu I instancji, iż Minister Rozwoju Regionalnego, zawierając z Agencją dwie umowy w przedmiocie finansowania SPO RZL lata 2004-2006, stał się administratorem danych osobowych "beneficjentów ostatecznych". Za argumentem przemawiającym, iż administratorem ww. danych jest PARP przemawia fakt, iż podmiot ten samodzielnie przechowuje opracowuje, zmienia, udostępniania i usuwa dane osobowe "beneficjentów ostatecznych". Na mocy umowy z dnia [...] lipca 2004 r. PARP zobowiązała się do wprowadzenia do podsystemu danych przekazywanych przez "beneficjentów" na formularzu "Dane o beneficjentach ostatecznych", a także zobowiązała się do aktualizacji w bazach danych składających się na podsystem oraz tworzenia kopii zapasowych informacji przechowywanych w bazach danych zgodnie z przepisami ustawy o ochronie danych osobowych. Natomiast na podstawie umowy z dnia [...] kwietnia 2006 r. Agencja przyjęła odpowiedzialność za zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych zgromadzonych w ramach zarządzenia i wdrażania działania oraz zobowiązała się do wprowadzania danych na temat realizowanych projektów z aplikacji DaneBO do "PEFS" i rejestrowania bazy danych zgodnie z ustawą o ochronie danych osobowych.
Dlatego też, w ocenie autora skargi kasacyjnej, administratorem danych osobowych "beneficjentów ostatecznych" była Polska Agencja Rozwoju Przedsiębiorczości. Jednocześnie to PARP dokonała zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbiory danych dotyczących "beneficjentów ostatecznych", który został zarejestrowany.
Za niezasadny kasator uznał również zarzut, iż Ministrowi Rozwoju Regionalnego nie zapewniono czynnego udziału w postępowaniu administracyjnym. Minister nie został bowiem uznany za stronę przedmiotowego postępowania administracyjnego.
W odpowiedzi na skargę kasacyjną Polska Agencja Rozwoju Przedsiębiorczości wniosła o jej oddalenie.
Naczelny Sąd Administracyjny zważył, co następuje.
Stosownie do treści art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. Nr 153, poz. 1270 ze zm.), dalej p.p.s.a., Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, z urzędu biorąc pod rozwagę jedynie nieważność postępowania. Podstawy te determinują kierunek postępowania Naczelnego Sądu Administracyjnego.
Wobec niestwierdzenia z urzędu nieważności postępowania, Naczelny Sąd Administracyjny ograniczył swoje rozważania do oceny wskazanych w skardze podstaw kasacyjnych.
Skarga kasacyjna analizowana pod tym kątem zasługuje na uwzględnienie, gdyż postawiony w niej zarzut naruszenia prawa materialnego jest trafny.
Istota sprawy wymaga udzielenia odpowiedzi na pytanie, który z dwóch niezależnych podmiotów prawa publicznego, mających realizować programy sektorowe, jest administratorem danych osobowych w sytuacji, gdy jeden z podmiotów ma pozycję instytucji zarządzającej programem, drugi natomiast instytucji wdrażającej program. Wytyczając ten kierunek rozważań, z pewnością stosunek zachodzący między wskazanymi podmiotami będzie kształtowany przepisami obowiązującego prawa, a w jego wykonaniu - także umowami wyznaczającymi ich wzajemne pozycje.
Zgodnie z brzmieniem art. 7 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j.: Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.), administratorem danych jest organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych. Administratorem danych osobowych jest więc jedynie taki dysponent danych, który decyduje o celach i środkach ich przetwarzania. Przywołany przepis w swej treści posługuje się pojęciem "przetwarzania danych osobowych", a zatem konieczne jest także odwołanie się do ustawowej definicji tego pojęcia, gdyż "cele" i "środki" należy zawsze odnosić do procesu przetwarzania danych osobowych.
W świetle art. 7 pkt 2 ustawy o ochronie danych osobowych przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Zestawiając chronologicznie opisane czynności, przetwarzanie danych osobowych zaczynać się będzie od etapu ich pozyskiwania (zbierania) i przebiegać poprzez utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, kończyć zaś na etapie usunięcia danych. Ma to doniosłe znaczenie dla oceny, który z podmiotów realizujących program sektorowy jest administratorem danych osobowych. Sąd I instancji stwierdził bowiem, że administratorem danych osobowych w stanie faktycznym rozpoznawanej sprawy jest Minister Rozwoju Regionalnego, natomiast Polska Agencja Rozwoju Przedsiębiorczości jest ich zleceniobiorcą. Naczelny Sąd Administracyjny stanowiska tego jednak nie podziela.
Zgodnie z treścią art. 31 ust. 1 ustawy o ochronie danych osobowych, administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie (ust. 2). Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych (ust. 3). W przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową (ust. 4). Do kontroli zgodności przetwarzania danych przez podmiot, o którym mowa w ust. 1, z przepisami o ochronie danych osobowych stosuje się odpowiednio przepisy art. 14-19 (ust. 5).
Z powyższego przepisu jasno wynika, że zleceniobiorcą danych może być podmiot, któremu - na podstawie pisemnej umowy - powierzono przetwarzanie danych, czyli powierzono pewien zbiór danych w ściśle określonym celu i zakresie. Skoro tak, to jeśli proces przetwarzania danych osobowych rozpoczyna się z momentem ich pozyskiwania, to z pewnością Minister Rozwoju Regionalnego nie decyduje o celach i środkach przetwarzania danych osobowych, których to danych (a tym bardziej zbioru danych) w chwili zawierania umów z Polską Agencją Rozwoju Przedsiębiorczości po prostu nie miał. Nie jest zatem administratorem danych osobowych, które - w wykonaniu zawartych z nim umów o finansowanie programu - zebrała (pozyskała) Polska Agencja Rozwoju Przedsiębiorczości, wdrażająca program, a więc decydująca o celach i środkach wszelkich operacji dotyczących danych osobowych. Już choćby samo określenie "instytucja wdrażająca" wskazuje, że to PARP ma przetwarzać dane osobowe beneficjentów realizowanego programu.
W sprawie niniejszej cele i środki, o których mowa w definicji "administratora danych", nie mogą być odnoszone do programu sektorowego, którym zarządza Minister Rozwoju Regionalnego, lecz winny być rozpatrywane w kontekście zawartych przez niego z Polską Agencją Rozwoju Przedsiębiorczości umów, gdyż to dopiero na ich podstawie PARP rozpoczęła zbieranie danych, czyli przystąpiła do procesu przetwarzania danych osobowych beneficjentów programu, których dane w żadnym razie nie zostały z chwilą podpisania wspomnianych umów jej przekazane przez Ministra. Zawierając umowy o finansowanie programu sektorowego, Minister Rozwoju Regionalnego nie dysponował jeszcze jakimikolwiek danymi osobowymi, które miałby na podstawie umów przekazać Polskiej Agencji Rozwoju Przedsiębiorczości, by ta z kolei miała stać się ich zleceniobiorcą (art. 31 ustawy). W stanie faktycznym niniejszej sprawy podmiotem, któremu powierzono przetwarzanie danych osobowych, jest jedynie [...] Sp. z o.o., działająca na podstawie umowy zawartej z PARP.
Okoliczność, że Minister stworzył materiał pozwalający na przetwarzanie danych osobowych beneficjentów programu wedle określonych kryteriów i sposobów, opracował system informatyczny, a także podał odpowiednie wytyczne w tym zakresie, wcale nie oznacza, że jest administratorem danych. Pozyskiwanie przez PARP danych osobowych beneficjentów programu sektorowego, a więc przetwarzanie - odbywa się na podstawie umów o finansowanie programu, a zatem to Polska Agencja Rozwoju Przedsiębiorczości decyduje o celach i środkach przetwarzania danych osobowych. W tym przypadku celem przetwarzania jest realizacja umów zawartych z Ministrem. Nie chodzi tu bowiem o cel programu sektorowego, a o cel przetwarzania danych. Środkiem przetwarzania danych będą zaś wszelkie instrumenty służące przetwarzaniu danych (służące wdrażaniu programu, a nie zarządzaniu programem).
Rozpatrując tę kwestię z drugiej strony, gdyby do zawarcia umów o finansowanie w ogóle nie doszło, a Minister samodzielnie wdrażałby program sektorowy, wówczas niewątpliwie byłby administratorem danych beneficjentów programu. W sytuacji jednak, gdy Minister Rozwoju Regionalnego ma pozycję instytucji zarządzającej programem, mającej wgląd do utworzonego w trakcie wdrażania programu przez PARP zbioru danych, jak twierdzi Polska Agencja Rozwoju Przedsiębiorczości, na gruncie ustawy o ochronie danych osobowych można przypisać mu jedynie rolę administrującego zbiorem danych (zarządzającego zbiorem danych).
Pojęcia "administrujący zbiorem", "administrujący danymi" i "administrator danych" nie są tożsame. Racjonalny ustawodawca nie używa bowiem w tym samym akcie prawnym różnych określeń dla wskazania tego samego podmiotu. Analizując przedstawione zwroty, należy przyjąć, że na gruncie ustawy o ochronie danych osobowych administratorem danych osobowych jest jedynie ten podmiot, który decyduje o celach i środkach przetwarzania danych (art. 7 pkt 4 ustawy), natomiast administrującym - także taki podmiot, który zarządza, zawiaduje zbiorem danych (art. 50, art. 51, art. 54 ustawy) lub danymi (art. 52 ustawy) w procesie ich przetwarzania, w tym i powierzonego mu w trybie wskazanym w art. 31 tej ustawy. Mimo że co do zasady administrującym zbiorem i administratorem danych może być ten sam podmiot, to jednak w niniejszej sprawie sytuacja taka nie zachodzi. Minister Rozwoju Regionalnego jest administrującym zbiorem, zaś [...] jest administratorem danych.
Uznając zatem, że Sąd I instancji dopuścił się błędnej wykładni art. 7 pkt 4 ustawy o ochronie danych osobowych, która w następstwie doprowadziła do niewłaściwego zastosowania tej normy w sprawie, Naczelny Sąd Administracyjny, działając w oparciu o art. 188 p.p.s.a., orzekł jak w sentencji wyroku.
O kosztach postępowania orzeczono na podstawie art. art. 203 pkt 2 p.p.s.a.
