I OSK 1084/05

I OSK 1084/05 - Wyrok NSA
Data orzeczenia
2006-07-13
orzeczenie prawomocne
Data wpływu
2005-09-27
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Janina Antosiewicz /sprawozdawca/
Jolanta Rajewska
Małgorzata Jaśkowska /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
II SA/Wa 1513/04 - Wyrok WSA w Warszawie z 2005-03-17
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę kasacyjną
Powołane przepisy
Dz.U. 2002 nr 101 poz 926
art. 7 pkt 2, art. 18 ust. 1, art. 40
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - tekst jedn.
Dz.U. 2002 nr 153 poz 1270
art. 184
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi.
Sentencja
Naczelny Sąd Administracyjny w składzie następującym: Przewodniczący Sędzia NSA Małgorzata Jaśkowska, Sędziowie NSA Janina Antosiewicz /spr./, Jolanta Rajewska, Protokolant Kamil Wertyński, po rozpoznaniu w dniu 13 lipca 2006 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Naczelnika Urzędu Skarbowego w O. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 17 marca 2005 r. sygn. akt II SA/Wa 1513/04 w sprawie ze skargi Naczelnika Urzędu Skarbowego w O. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 18 czerwca 2004 r. (...) w przedmiocie odmowy stwierdzenia nieważności decyzji oddala skargę kasacyjną.
Uzasadnienie
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z 17 marca 2005 r. II SA/Wa 1513/04 oddalił skargę Naczelnika Urzędu Skarbowego w O. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z 18 czerwca 2004 r. w przedmiocie odmowy stwierdzenia nieważności decyzji tegoż Generalnego Inspektora nakazującej usunięcie uchybień w procesie przetwarzania danych osobowych.
W uzasadnieniu wyroku Sąd przytoczył ustalenia z postępowania administracyjnego w związku z dokonaną kontrolą w Urzędzie Skarbowym w O., w toku której stwierdzono liczne uchybienia w zakresie przetwarzania danych osobowych w systemie "Poltax". Na podstawie wyników kontroli Generalny Inspektor Ochrony Danych Osobowych /zw. dalej GIODO/ decyzją z 8 sierpnia 2003 r. wydaną na podstawie art. 104 par. 1 i 105 par. 1 Kpa oraz art. 12 pkt 2, 18 ust. 1 pkt 1 w zw. z art. 36 i 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych /Dz.U. 2002 nr 101 poz. 926 oraz przepisów par. 4, 5, 14 ust. 1 i 6, par. 16 pkt 1, 3, 4 i par. 17 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych /Dz.U. nr 80 poz. 521 ze zm./ nakazał Urzędowi Skarbowemu w O. usunięcie uchybień w procesie przetwarzania danych osobowych w terminie 6 miesięcy od dnia kiedy decyzja stanie się ostateczna poprzez:
1. wyposażenie systemu informatycznego służącego do przetwarzania danych na poziomie serwera domeny "Poltax 2B" w oprogramowanie antywirusowe,
2. zapewnienie, aby system informatyczny o nazwie "Poltax" w zakresie podsystemów informatycznych o nazwach: "Rejestracja", "Wymiar", "Egapoltax", "Kontrola", "Poltax 2B" i "Mandaty" zapewniały odnotowanie dla każdej osoby, której dane są w nim przetwarzane, informacji komu, kiedy i w jakim zakresie dane zostały udostępnione,
3. zapewnienie, aby system informatyczny o nazwie "Poltax" w zakresie podsystemów informatycznych o nazwach: "Rejestracja", "Wymiar", Egapoltax", "Kontrola" "Poltax 2B" i "Mandaty" umożliwiał udostępnienie na piśmie, w powszechnie zrozumiałej formie, treści danych o każdej osobie, której dane są w nim przetwarzane wraz z informacjami, o których mowa w par. 16 pkt 1, pkt 3 i pkt 4 rozporządzenia MSWiA z dnia 3 czerwca 1998 r., tj. od daty pierwszego wprowadzenia danych osoby, identyfikatora użytkownika wprowadzającego dane oraz informacji komu i w jakim zakresie dane zostały udostępnione. W pozostałym zakresie umorzył postępowanie. Decyzja stała się ostateczna.
W dniu 30 stycznia 2004 r. Naczelnik Urzędu Skarbowego w O. wniósł o stwierdzenie nieważności decyzji z następujących powodów:
- Urząd nie posiada uprawnień i dokonywania zmian w systemie "Poltax", gdyż został on utworzony w Ministerstwie Finansów i tylko ten organ jest właścicielem,
- zgodnie z art. 7 pkt 2a ustawy o ochronie danych i zawartą tam definicją system komputerowy "Poltax" jest tylko częścią systemu informatycznego, a ponieważ żadne przepisy nie nakładają na system informatyczny obowiązku odnotowania udostępniania informacji, komu, kiedy i w jakim zakresie zostały przekazane to nie wyklucza to procedur przetwarzania danych o nieautomatycznym charakterze, a więc w sposób tradycyjny. Rolę taką spełniają w Urzędzie prowadzone rejestry, mieszczące się w ustawowej definicji systemu informatycznego,
- pozbawione podstaw jest twierdzenie o tym, że moduły "Poltax" nie odnotowują w bazie danych daty pierwszego wprowadzenia danych oraz identyfikatora użytkownika wprowadzającego te dane.
Decyzja z 8 sierpnia 2003 r. jest nieważna i zachodzi konieczność stwierdzenia jej nieważności na podstawie art. 156 par. 1 pkt 2 Kpa.
Ponadto zaistniały jeszcze przesłanki z art. 156 par. 1 pkt 5 i 6 Kpa. Decyzja jest bowiem niewykonalna, gdyż z aplikacji "Poltax" korzystają wszystkie urzędy skarbowe; została ona przekazana przez Ministerstwo Finansów. Urząd jest jedynie bezpośrednim administratorem. Nie może dokonywać zmian z uwagi na podległość służbową i brak uprawnień. Znajduje to uzasadnienie w art. 34 ust. 1 i 34a ust. 1 i 2 ustawy z 8 sierpnia 1996 r. o Radzie Ministrów oraz przepisach wykonawczych, regulujących organizację urzędów i izb skarbowych. Niewykonalność ta ma charakter trwały i fakt ten był znany GIODO w momencie wydawania decyzji. Podległość służbowa pracowników wynikająca z przepisów w przypadku dokonania zmian przy braku zgody Ministerstwa pociągać mogłaby odpowiedzialność dyscyplinarną, a także naruszenie praw autorskich co stanowi delikt.
Decyzją z 16 kwietnia 2004 r. (...), GIODO mając za podstawę art. 158 par. 1 w zw. z art. 156 par. 1 pkt 2, 5 i 6 Kpa w zw. z art. 12 pkt 2 i art. 36 ustawy o ochronie danych osobowych zwanej dalej u.o.d.o., jak również na podstawie par. 16 pkt 4 oraz par. 17 cytowanego już wyżej rozporządzenia Ministra Spraw Wewnętrznych i Administracji, odmówił stwierdzenia nieważności swej decyzji z dnia 8 sierpnia 2003 r. W uzasadnieniu organ podał, że zgodnie z par. 16 pkt 4 cytowanego już wyżej rozporządzenia dla każdej osoby, której dane są przetwarzane w systemie informatycznym, system ten musi zapewnić odnotowanie informacji komu, kiedy i w jakim zakresie dane zostały udostępnione. Natomiast stosownie do treści par. 17 rozporządzenia system informatyczny służący do przetwarzania danych osobowych powinien umożliwić udostępnienie na piśmie, w powszechnie zrozumiałej formie, treści danych osoby, której dane są przetwarzane, wraz z informacjami, o których mowa w par. 16 rozporządzenia.
Z kolei zgodnie z art. 7 pkt 2a ustawy ilekroć w ustawie jest mowa o systemie informatycznym, rozumie się przez to zespół współpracujących ze sobą programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. Wprawdzie w urzędzie są prowadzone rejestry pism wychodzących jednak do tego rejestru wpisywane są wszystkie pisma wychodzące z urzędu, a nie tylko dotyczące udostępniania danych innym podmiotom i ich opis nie wskazuje w sposób jednoznaczny, czy wysyłając to pismo udostępniono dane osobowe. Nie można zatem uznać, że rejestry zapewniają odnotowanie informacji, o których mowa w par. 16 pkt 4 rozporządzenia.
Ponadto art. 2 ust. 2 ustawy stanowi, że ustawę stosuje się do przetwarzania danych osobowych w systemach informatycznym oraz w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych. Zatem przepis ten wyraźnie rozgranicza system informatyczny od pozostałych zbiorów, w których - jak podnosi skarżący - są odnotowane informacje, o których mowa w par. 16 pkt 4 rozporządzenia.
Niezależnie od powyższego skarżący w żaden sposób nie wykazał, że system informatyczny "Poltax" w zakresie podsystemów informatycznych o nazwach: "Rejestracja", "Wymiar", Egapoltax", "Kontrola", "Poltax 2B" i "Mandaty" umożliwiał udostępnienie na piśmie w powszechnie zrozumiałej formie, treści danych o każdej osobie, której dane są w nim przetwarzane wraz z informacjami, o których mowa w par. 16 pkt 1 i pkt 3 rozporządzenia, tj. od daty pierwszego wprowadzenia danych i identyfikatora użytkownika wprowadzającego dane do systemu.
Nie zasługuje na uwzględnienie - zdaniem organu - argument skarżącego o braku możliwości wykonania decyzji, bowiem decyzja owa została wydana wobec administratora danych /art. 7 pkt 4 ustawy/ jakim jest w świetle przepisów ustawy Naczelnik Urzędu Skarbowego w O. i on też odpowiada za zapewnienie odpowiednich warunków technicznych oraz organizacyjnych decydujących o właściwej ochronie danych osobowych w procesie przetwarzania, w tym przypadku podatników. W konsekwencji może być stroną postępowania prowadzonego przez GIODO i może być wobec niego wydana decyzja, stosownie do treści art. 18 ust. 1 ustawy, nakazująca usunięcie uchybień w procesie przetwarzania danych osobowych.
Nie są istotne dla uznania podmiotu, jako administratora danych, kwestie dotyczące stosunków własnościowych. Okoliczność tę organ uwzględnił określając termin 6 miesięcy na dostosowanie systemu do wymagań ustawy.
Nie uwzględnił organ argumentów powołujących się na brak zgody Ministra Finansów i obawy konsekwencji służbowych, bowiem obowiązujące przepisy określają sposób zachowania się członka korpusu służby cywilnej w przypadku gdy polecenie jest niezgodne z prawem.
W złożonym wniosku Naczelnik Urzędu Skarbowego podważał zasadność decyzji wywodząc, iż decyzja organu z 8 sierpnia 2003 r., jako rażąco naruszająca prawo, niewykonalna a dodatkowo wywołująca czyny zabronione, powinna być usunięta z obrotu prawnego. Ponadto stwierdził, iż Urząd Skarbowy nie jest administratorem danych, nie odpowiada ustawowej definicji zamieszczonej w art. 7 pkt 4, bowiem żaden urząd skarbowy nie decyduje o celach i środkach przetwarzania danych i nie jest administratorem danych osobowych w zakresie korzystania z systemu "Poltax". Fakt ten znany był GIODO, o czym świadczy jego pismo z 4 grudnia 2003 r., skierowane w tej sprawie do Ministra Finansów.
Generalny Inspektor decyzją z 18 czerwca 2004 r. utrzymał w mocy swą poprzednią decyzję, zaś w obszernym uzasadnieniu podtrzymał argumentację zamieszczoną w decyzji z 16 kwietnia 2004 r. nadto podał, że w prowadzonych rejestrach brak jest informacji o zakresie danych udostępnionych organom i nie wykazano, w jaki sposób rejestry miałyby współpracować z systemem "Poltax", co jest wymagane w definicji w art. 7 pkt 2a ustawy. Reasumując, przywrócenie stanu zgodnego z prawem możliwe było jedynie przez modyfikację systemu "Poltax". Tym bardziej, że przetwarzanie danych osobowych w sposób zautomatyzowany dotyczy przetwarzania danych przy użyciu systemu informatycznego. Natomiast system informatyczny to skomputeryzowana część systemu informacyjnego.
W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie, Naczelnik Urzędu Skarbowego w O. wniósł o uchylenie zaskarżonej decyzji oraz poprzedzającej ją decyzji, stwierdzenie nieważności decyzji z dnia 8 sierpnia 2003 r. lub jej uchylenie oraz o zasądzenie kosztów postępowania, zarzucając naruszenie przepisów art. 156 par. 1 pkt 2, 4, 5 i 6 Kpa, art. 7 pkt 2, 2a i 4 u.o.d.o. oraz par. 16 i 17 cytowanego już wyżej rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 3 czerwca 1998 r. i art. 107 par. 1 i 3 Kpa. W obszernym uzasadnieniu powołał się na argumenty podniesione już we wniosku o stwierdzenie nieważności decyzji jak i we wniosku o ponowne rozpatrzenie sprawy. Jednocześnie dodał, że na podstawie ustawy z dnia 22 stycznia 2004 r. o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe /Dz.U. nr 33 poz. 285/ z dniem 1 maja 2004 r. utraciło moc rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. /Dz.U. nr 80 poz. 521 ze zm./ i obecnie kwestia ta jest regulowana w rozporządzeniu Ministra Spraw Wewnętrznych z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych /Dz.U. nr 100 poz. 1024/. Stąd też istnieje podstawa do uchylenia decyzji z dnia 8 sierpnia 2003 r. gdyż niewyeliminowanie jej z obrotu prawnego spowoduje sytuację, w której nakaz dotyczący systemu "Poltax" dotyczy sytuacji prawnej za rządów starego rozporządzenia. Stąd też można w powyższej sprawie zastosować przepis art. 154 lub 162 par. 1 Kpa, bowiem decyzja owa jest - zdaniem skarżącego - bezprzedmiotowa.
W odpowiedzi na skargę GIODO wniósł o jej oddalenie i wskazując na dotychczasowe ustalenia faktyczne oraz prawne dodał, że zaskarżona decyzja została wydana w okresie obowiązywania rozporządzenia wskazanego w podstawie prawnej decyzji i jego zmiana nie może mieć wpływu na treść decyzji.
Oddalając skargę Wojewódzki Sąd Administracyjny ocenę legalności decyzji oparł na odpowiedzi na trzy podstawowe pytania, a mianowicie:
- czym jest pojęcie systemu informatycznego,
- co należy rozumieć pod pojęciem administratora danych oraz jaka decyzja jest decyzją niewykonalną.
Rozstrzygając te zagadnienia Sąd poddał analizie przepisy stanowiące podstawę weryfikowanej decyzji.
Zgodnie z treścią art. 7 pkt 2a u.o.d.o. ilekroć w ustawie jest mowa o systemie informatycznym, należy przez to rozumieć zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania. Zdaniem skarżącego na system ten składa się zarówno automatyczne przetwarzania danych w systemie komputerowym, jak i ręczne /tradycyjne/ przetwarzanie danych w kartotece, a definicja systemu informatycznego dopuszcza taki sposób, co miało miejsce w rozpoznawanej sprawie. W związku z tym nie doszło do naruszenia przepisów par. 16 pkt 4 i par. 17 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. Na dowód powyższego powołał się na tezę zawartą w wyroku NSA z dnia 27 listopada 2003 r. II SA 232/02, według której definicja systemu informatycznego jest bardzo szeroka i nie można z niej eliminować procedur przetwarzania danych w innych formach, aniżeli elektroniczne, np. w formie ewidencji, skoroszytów.
W ocenie Sądu, na kanwie rozpoznawanej sprawy, pojęciu systemu informatycznego nie można nadać tak szerokiego znaczenia i w konsekwencji nie sposób przyjąć, że system informatyczny stosowany przez skarżącego spełniał wymogi stosowane w wyżej już cytowanym rozporządzeniu. Prawidłowość takiego toku rozumowania potwierdza zarówno wykładnia językowa, jak i systemowa oraz celowościowa.
Zgodnie z językowym znaczeniem termin "informatyczny" odnosi się do informatyki, a więc do techniki i metod przetwarzania informacji z zastosowaniem komputerów. Odróżnia się w związku z tym system informacyjny jako udzielający informacji lub objaśnień, a zatem odmienny od systemu informatycznego /vide: Mały Słownik Języka Polskiego, Warszawa 1996 r., s. 265/.
Za takim też rozumowaniem przemawia wykładnia systemowa, ponieważ w art. 2 u.o.d.o. wskazuje się, że ustawę te stosuje się do przetwarzania danych osobowych w systemach informatycznych oraz w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych. Wniosek z tego, że ustawodawca wyraźnie odróżnia system informatyczny oraz inne systemy przetwarzania danych. Jak wskazuje się w literaturze ustawodawca traktuje w związku z tym odmiennie przetwarzanie danych w systemach informatycznych, a odrębnie w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych /vide: J. Barka, R. Markiewicz, Ochrona danych osobowych. Komentarz, Zakamycze 2001, s. 260; A. Drozd, Zakres zakazu przetwarzania danych osobowych - Państwo i Prawo 2003 nr 2, s. 44-45/. Podobne stanowisko zajmuje A. Mednis, podkreślając, że system informatyczny oznacza zespół środków informatycznych połączonych w określony sposób, stanowiących odrębną, niezależną całość /vide: A. Mednis, Ustawa o ochronie danych osobowych. Komentarz, Warszawa 1999 r., s. 14/. Za tego typu wykładnią przemawia ponadto dyrektywa 95/46EC Parlamentu Europejskiego i Rady Unii Europejskiej z dnia 24 października 1995 r. w sprawie ochrony osób w związku z przetwarzaniem danych osobowych oraz swobodnego przepływu takich danych /o Nr L281 z 23 listopada 1995 r. s. 31/, która w art. 3 rozróżnia automatyczne przetwarzania danych oraz wykonywane nie za pomocą środków automatycznych. Wskazując na możliwość przetwarzania danych wykonywanych również - tylko w części - automatycznie, używa się wówczas dla takiego systemu nazwy systemu ewidencyjnego, a nie informatycznego.
Ponadto, zdaniem Sądu, wykładnia celowościowa, również przemawia za takim stanowiskiem. Powoływany przez skarżącego wyrok NSA odnosił się do innego stanu faktycznego, jak i do innego typu danych osobowych. W rozpoznawanej zaś sprawie elementami zbioru są "wrażliwe" dane zbierane przez organy podatkowe, uznane za istotne z punktu widzenia ochrony praw obywateli i to tym bardziej, że na podstawie art. 293 ustawy z dnia 29 sierpnia 1997 r. Ordynacja podatkowa /Dz.U. nr 137 poz. 926 ze zm./ dane te są objęte tajemnicą skarbową. Na tym tle ochrona ta nabiera szczególnego znaczenia, wynikającego z cytowanego już wyżej rozporządzenia. Wzmacnia ja m.in. fakt, iż w samym systemie informatycznym powinno być każdorazowo odnotowane, kto zwracał się o udostępnienie danych o podatniku oraz o jakie informacje chodziło i kiedy zostały mu udzielone. Odnotowanie tego typu danych w odrębnej ewidencji, poza systemem informatycznym, nie zapewnia - w ocenie Sądu - prawidłowej ochrony powyższych danych i właściwej kontroli nad ich przetwarzaniem. Więcej, stwarza potencjalną możliwość ujawnienia danych bez odnotowania tego faktu.
W tym stanie rzeczy Sąd uznał, że użytkowany przez Urząd Skarbowy w O. system "Poltax" we wskazanych już w zaskarżonych decyzjach modułach, nie spełnia warunków cyt. wyżej rozporządzenia. W konsekwencji, nie zapewnia dostatecznej ochrony danych osobowych podatników przetwarzanych przez urząd.
Odnosząc się do zarzutu braku przymiotu administratora danych Sąd stwierdził, że zgodnie z art. 7 pkt 4 ustawy administratorem takim jest organ, instytucje, jednostki organizacyjne, podmioty lub osoby, o których mowa w art. 3 ust. 1 i 2 ustawy, decydujące o celach i środkach przetwarzania danych.
W sprawie nie budzi wątpliwości fakt, że zbiór danych został zarejestrowany przez Urząd Skarbowy w O., Bezspornym jest i to, że urząd był organem podatkowym w dacie wydawania decyzji z dnia 8 sierpnia 2003 r. i samodzielnie decydował o celach przetwarzania danych. Dopiero na podstawie ustawy z dnia 27 czerwca 2003 r. o utworzeniu Wojewódzkich Kolegiów Skarbowych oraz o zmianie niektórych ustaw regulujących zadania i kompetencje organów oraz organizację jednostek organizacyjnych podległych ministrowi właściwemu do spraw finansów publicznych /Dz.U. nr 137 poz. 1302/, funkcję tę przejął naczelnik urzędu skarbowego. Stąd też stroną postępowania o stwierdzenie nieważności był już Naczelnik Urzędu Skarbowego w O. Do organów tych, zgodnie z art. 5 ust. 6 ustawy z dnia 21 czerwca 1996 r. o urzędach i izbach skarbowych /Dz.U. nr 106 poz. 489 ze zm./ należało m.in. ustalenie lub określenie i pobór podatków oraz nieopodatkowanych należności budżetowych, jak i rejestrowanie podatników oraz przyjmowanie deklaracji podatkowych. Przetwarzali ani zatem dane osobowe, decydując o celach tego przetwarzania. W ocenie Sądu należało do nich również decydowanie o środkach przetwarzania. Zarejestrowali bowiem zbiory danych, decydowali o udostępnieniu bądź odmowie udostępnienia danych. Ciążyły wreszcie na nich obowiązki z art. 36 ustawy, a nadto prowadzili ewidencje osób zatrudnionych przy ich przetwarzaniu na podstawie art. 39 ustawy o ochronie danych osobowych.
W sprawie nie budzi wątpliwości, wbrew stanowisku skarżącego, możliwość decydowania przez niego o środkach organizacyjnych. Jednak zgodnie z art. 41 pkt 5 u.o.d.o. wyróżnia się środki techniczne oraz organizacyjne i istniały wątpliwości odnośnie środków technicznych w tym zakresie, przynajmniej w tej części, jaką stanowiło zastosowanie określonego systemu informatycznego "Poltax". Skarżący podniósł bowiem, że system ten został mu narzucony w drodze polecenia służbowego. Należy w związku tym wskazać, że żaden przepis powszechnie obowiązującego prawa nie nakazywał stosowanie w urzędzie określonego systemu informatycznego, ani też nie zakazywał stosowania innego systemu. Jeżeli zatem system "Poltax" nie odpowiadał wymogom rozporządzenia stanowiącego akt powszechnie obowiązujący, to jego zastosowanie stanowiło granice posłuszeństwa wobec takiego polecenia. Zgodnie z art. 18 ust. 2 ustawy z dnia 16 września 1982 r. o pracownikach urzędów państwowych /t.j. Dz.U. 2001 nr 86 poz. 953 ze zm./ jeżeli polecenie służbowe jest m.in. niegodne z prawem, urzędnik powinien przedstawić swoje zastrzeżenia przełożonemu, a w razie pisemnego potwierdzenia powinien je wykonać, informując o tym organ nadrzędny. Podobną regulację zawiera art. 68 ust. 2 i 3 ustawy z dnia 18 grudnia 1998 r. o służbie cywilnej /Dz.U. 1999 nr 49 poz. 483 ze zm./. Wskazać jednocześnie należy, że zgodnie z ustawą o urzędach i izbach skarbowych system organów podatkowych oparty jest na decentralizacji, co w innym świetle stawia możliwość wydawania tego typu poleceń. Minister właściwy do spraw finansów publicznych bowiem sprawuje na podstawie art. 14 nadzór w sprawach podatkowych.
Wobec powyższego Sąd przyjął, że urząd miał możliwości zarówno prawne, jak i faktyczne decydowania o środkach przetwarzania danych. Nie jest to bowiem czynność prawna, lecz faktyczna, z której wypływają konsekwencje prawne. Do uznania podmiotu za administratora danych potrzebna jest zawsze analiza konkretnych przepisów prawnych. Dlatego też o tym, czy ktoś jest administratorem danych, decydują przede wszystkim rodzaj i charakter nadanych mu przez prawo kompetencji z obszaru spraw publicznych oraz wyznaczone ustawowo zadania /vide: R. Hauser, Przetwarzanie danych osobowych, cel i środki, "Rzeczpospolita" z 6 kwietnia 1999 r./. Wskazane powyżej ustawowe kompetencje skarżącego wskazują, że spełniał on rolę administratora danych w rozumieniu art. 7 ust. 4 ustawy o ochronie danych osobowych. Minister był wprawdzie dostawcą systemu informatycznego, lecz nie miał wpływu na treść i cel przetwarzania konkretnych danych. Stąd też nie mógł być traktowany jako administrator zbioru podatników z zakresu działania urzędu /por. J. Barta, R. Markiewicz, Ochrona..., s. 306/.
Autorstwo systemu informatycznego nie ma wpływu na obowiązki administratora danych wypływające z ustawy, dotyczy bowiem uprawnień i obowiązków z zakresu prawa cywilnego, zaś obowiązki administratora wiążą się z prawem administracyjnym, bądź ewentualnie karnym.
Oceniając zarzut niewykonalności decyzji Sąd rozważał zarówno niewykonalność faktyczną /brak możliwości technicznych do usunięcia przeszkody/ jak i prawną /istnienie nakazów lub zakazów stanowiących nieusuwalną przeszkodę/. W rozpoznawanej sprawie Sąd nie dopatrzył się niewykonalności faktycznej, bowiem organ nie wykazał, żeby system "Poltax" nie mógł podlegać modyfikacji. Zgodnie z poglądami judykatury nie stanowią przeszkody w wykonalności decyzji ani względy ekonomiczne, ani też finansowe. Stąd też nie ma znaczenia okoliczność, iż Ministerstwo Finansów nie przewidziało wydatków na system komputerowy /wyrok NSA z 20 grudnia 1984 r. I SA 804/84 - ONSA 1984 Nr 4 poz. 123/. Niewykonalność prawna miałaby miejsce wówczas, gdyby wykonanie decyzji stanowiło czyn niedozwolony w rozumieniu prawa cywilnego, co nie miało miejsca w tej sprawie.
O ile bowiem w przypadku u.o.d.o. wchodzi w grę podmiotowość administracyjnoprawna zgodnie z art. 28 i 29 Kpa w zw. z art. 22 ustawy o ochronie danych osobowych, o tyle w przypadku prawa cywilnego w grę wchodzi osobowość cywilnoprawna. W rozumieniu prawa cywilnego zarówno urząd skarbowy, jak i Minister Finansów, reprezentują szerszą strukturę, jaką jest Skarb Państwa. Zgodnie z art. 33 Kc osobami prawnymi są bowiem Skarb Państwa i jednostki organizacyjne, którym przepisy szczególne przyznają osobowość prawną.
Nie można zatem mówić o czynie niedozwolonym jako popełnionym przez wewnętrzną część jednostki w stosunku do siebie samej. Stąd też wykonanie zmian przez urząd skarbowy w systemie "Poltax", którego autorem jest Ministerstwo Finansów, nie może stanowić czynu niedozwolonego w rozumieniu prawa cywilnego.
Z uwagi na odmiennie ukształtowaną podmiotowość prawa administracyjnego i prawa cywilnego zdarzyć się może, że skutki decyzji będą oddziaływać pośrednio na podmiot, który nie był stroną postępowania. Taka jednak sytuacja nie może być ujmowana w ramach przesłanki niewykonalności decyzji, bowiem niewykonalne byłyby np. wszystkie decyzje o odszkodowaniu, ponieważ podmiot zobowiązany jako strona postępowania administracyjnego, np. naczelnik urzędu skarbowego, byłby w takim samym stopniu uzależniony od środków finansowych ministra i znajdowałby się w podobnym systemie organizacyjnym.
Nie ma przy tym znaczenia fakt, że w rozpoznawanej sprawie w grę wchodziły prawa autorskie do systemu. Ich autorem i właścicielem był bowiem pracodawca - Ministerstwo Finansów reprezentujące Skarb Państwa.
Zauważyć zresztą należy, że jest to konsekwencja przekazywania przez jednostkę nadrzędną jednostce podległej określonych środków przekazu w formie decyzji stanowiącej w istocie polecenie służbowe. W przypadku struktur niezależnych od siebie, kiedy takie przekazanie następuje w drodze umowy, jej strony dysponują środkami cywilnoprawnymi, które pozwalają m.in. na zmianę umowy. Do tego typu umów nie dochodzi w przypadku struktur niestanowiących, w świetle prawa cywilnego, odrębnych podmiotów prawa. Stąd też przekazujący w drodze polecenia, np. obowiązek stosowania określonego systemu informatycznego, musi się liczyć z konsekwencjami, które będą wypływać z faktu tego przekazania w związku z istnieniem odrębnej podmiotowości administracyjnoprawnej. Z tego punktu widzenia Generalny Inspektor kierował do Ministra Finansów pismo z dnia 4 grudnia 2003 r.
Zdaniem Sądu w świetle art. 12 ust. 1 ustawy z 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych pracodawca nabywa jedynie autorskie prawa majątkowe, a istnieją poza tym prawa osobiste, w tym nienaruszalność treści i formy utworu /art. 16 pkt 3/, jednakże podlegają one ograniczeniu w odniesieniu np. do systemu komputerowego /vide: A. Barta, R. Markiewicz, Nowy nośnik informacji - nowe problemy, "Rzeczpospolita" 1997 r., 11/18 t. 2/.
Odnosząc się do kwestii wygaśnięcia decyzji w związku ze zmianą stanu prawnego Sąd stwierdził, że skarżący może wnieść do Generalnego Inspektora o zastosowanie trybu przewidzianego w art. 162 Kpa.
Skargę kasacyjną od powyższego wyroku wniósł Naczelnik Urzędu Skarbowego w O., prawidłowo reprezentowany i zaskarżając wyrok w całości zarzucił naruszenie prawa materialnego przez błędną wykładnię art. 7 pkt 4 u.o.d.o. w brzmieniu obowiązującym przed 1 stycznia 2004 r. oraz prawa procesowego art. 145 par. 1 pkt 2 ustawy Prawo o postępowaniu przed sądami administracyjnymi w zw. z art. 156 par. 1 pkt 4 i 5 Kpa przez przyjęcie, że Naczelnik Urzędu był stroną w sprawie oraz że decyzja z 8 sierpnia 2003 r. w dniu jej wydania nie była dotknięta wadą trwałej niewykonalności. Skarga kasacyjna domaga się uchylenia wyroku i przekazania sprawy do ponownego rozpoznania oraz zasądzenie kosztów postępowania.
W obszernym uzasadnieniu skargi Naczelnik Urzędu Skarbowego powtarza argumentację zamieszczoną we wniosku, a następnie w skardze do WSA, iż definicja systemu informatycznego zamieszczona w art. 7 pkt 2a ustawy obejmuje zarówno system komputerowy jak i ewidencje, co potwierdził NSA w swym wcześniejszym wyroku III SA 232/02 z 27 listopada 2003 r.
Nie znajduje więc uzasadnienia kategoryczne stanowisko organu narzucające Urzędowi Skarbowemu przywrócenie stanu zgodnego z prawem wyłącznie w drodze modyfikacji systemu komputerowego "Poltax", chociaż - zdaniem skarżącego - prowadzone przez urząd ewidencje spełniają wymogi z par. 16 i 17 rozporządzenia. Zawierają one wszystkie wymagane elementy, a w skorowidzach znajdują się drugie egzemplarze wychodzących pism. Współpraca papierowych urządzeń ewidencyjnych z systemem "Poltax" polega na korzystaniu z danych zawartych w systemie do tworzenia informacji, gdyż nie ma innej możliwości ich uzyskania. Dane te są przenoszone na dokument papierowy, który w formie informacji wychodzi z Urzędu. Błędne jest zawężenie interpretacji pojęcia system informatyczny przy językowym znaczeniu terminu. Zatem procedura przetwarzania danych w świetle przyjętym określeniu ustawy nie oznacza, że musi być to procedura informatyczna, gdyż ustawa takiego przymiotnika nie zawiera. Również z wykładni systemowej nie wynika takie rozumienie przepisu, gdyż sama definicja nie daje podstaw do umieszczania w zakresie "procedur przetwarzania informacji" - określenia "informatyczne".
Uzasadnienie wyroku pomija moment, w którym dochodzi o udostępnienia informacji. Zdaniem strony udostępnienie to przekazywanie w celu zapoznania się z daną informacją. Sam wydruk z systemu komputerowego, bez fizycznego przekazania nie może być uznany za udostępnienie. Z urzędu skarbowego żadne pismo nie wychodzi drogą informatyczną, lecz tylko w formie papierowej, po uprzednim zaewidencjonowaniu w stosownej ewidencji, a więc każde jest potwierdzone przez adresata zwrotnym potwierdzeniem odbioru. Argumenty te potwierdzają zarzut, że decyzja z 8 sierpnia 2003 r. została wydana bez podstawy prawnej lub z rażącym naruszeniem prawa, co stanowi podstawę do jej uchylenia w oparciu o art. 156 par. 1 pkt 2 Kpa.
Nie jest zasadnym twierdzenie Sądu, że skoro Naczelnik Urzędu Skarbowego jest organem podatkowym na podstawie art. 13 par. 1 pkt 1 ustawy Ordynacja podatkowa to podejmuje również decyzje o celach i środkach przetwarzania danych, czyli jest administratorem danych w rozumieniu art. 7 pkt 4 u.o.d.o.
Aby być administratorem danych należy być organem wymienionym w art. 3 ust. 1 i 2 i decydować o celach i środkach przetwarzania danych, przy czym te warunki należy spełniać łącznie.
Żaden urząd skarbowy w Polsce nie decyduje o celach przetwarzania danych ani o wszystkich środkach przetwarzania danych, a więc nie jest administratorem danych osobowych w zakresie korzystania z systemu "Poltax". Cele, dla których urzędy przetwarzają dane wynikają z przepisów stosownych ustaw: o Ministrze Finansów, izbach i urzędach skarbowych, Ordynacji podatkowej a także ustaw podatkowych. Również przepisy ustawowe określają Ministra Finansów jako odpowiedzialnego za politykę w zakresie finansów państwa w tym politykę podatkową, który to organ sprawuje ją przy pomocy podległych mu naczelników urzędów skarbowych.
Skarga wymienia ustawy:
1. z dnia 29 grudnia 1982 r. o urzędzie Ministra Finansów, izbach i urzędach skarbowych /Dz.U. nr 45 poz. 289 ze zm./,
2. z dnia 21 czerwca 1996 r. o urzędzie Ministra Finansów, urzędach i izbach skarbowych /Dz.U. nr 106 poz. 489 ze zm./,
3. z dnia 8 sierpnia 1996 r. o Radzie Ministrów /Dz.U. 2003 nr 24 poz. 199./,
4. z dnia 4 września 1997 r. o Działach Administracji Rządowej /Dz.U. nr 141 poz. 943/,
5. z dnia 27 czerwca 2003 r. o utworzeniu wojewódzkich kolegiów skarbowych oraz o zmianie niektórych ustaw regulujących zadania i kompetencje organów podległych Ministrowi Finansów,
6. rozporządzenie Prezesa Rady Ministrów z dnia 29 marca 2002 r. w sprawie szczegółowego zakresu działania Ministra Finansów /Dz.U. nr 32 poz. 301/
Wyżej wymienione akty prawne wskazują Ministra Finansów jako organ prowadzący politykę państwa w zarządzaniu finansami państwa oraz zapewniający jej prawidłową realizację.
Przepisy wyżej powołanych ustaw stawiają w stosunku podległości wobec Ministra Finansów naczelników urzędów skarbowych /wcześniej urzędów skarbowych/, jako organów administracji państwowej realizujących określone cele ustawowe, niezależnie od przywoływanej przez WSA podległości służbowej wynikającej ze stosunku zatrudnienia. Wynika z nich, że Minister Finansów określa zadania, a także sprawuje kontrolę podległych mu organów w zakresie wykonywania przez nie zadań należących do ich działania, a zatem określa w drodze aktów wykonawczych /rozporządzeń, zarządzeń, decyzji/ ich organizację i zadania, nadaje statusy, ustala właściwość itd.
Z wyżej opisanych uprawnień nadzorczych i kontrolnych wynika prawo Ministra Finansów do wydawania podległym organom skarbowym wiążących ich poleceń, które to polecenia są one zobowiązane wykonywać.
Polecenia wdrażania systemu komputerowego, określonego obecnie jako "Poltax" zawarte były w wydawanych w formie zarządzeń Ministra Finansów wytycznych dla działania izb i urzędów poczynając od roku 1993, gdzie w decyzji nr 3ON z dnia 24 marca 1993 r. w sprawie wytycznych do działania izb i urzędów skarbowych w zakresie realizacji polityki finansowej państwa w 1993 r. zapisano w rozdziale XIV "Zadania w zakresie komputeryzacji organów skarbowych" między innymi /pkt 6 str. 25/: eksploatacja systemu w zakresie poszczególnych aplikacji "Poltax" zgodnie z instrukcjami Ministerstwa Finansów, szkolenie pracowników w tym zakresie, monitorowanie harmonogramu realizacji o przedsięwzięciach, opiniowania itp.
Również decyzja 3ON z 6 kwietnia 1994 r. w sprawie wytycznych do działania izb i urzędów skarbowych w zakresie polityki finansowej państwa w 1994 r. zawiera zadanie wdrożenia systemu "Poltax" w zakresie aplikacji: Rejestracja, Wymiar, Rachunkowość i poleca ich eksploatację zgodnie z instrukcjami Ministerstwa.
Działania w zakresie wdrażania i eksploatacji systemu "Poltax" są nakazywane w kolejnych wydawanych co roku aż do chwili obecnej decyzjach Ministra Finansów "Wytyczne do działania itd." /załączonych do akt sprawy/. Zatem polecenie Ministra Finansów dotyczące ogólnopolskiego wdrożenia systemu "Poltax" realizowane były i są w oparciu o przepisy ustaw i aktów wykonawczych, a proces wdrażania rozpoczął się na długo przed wejściem w życie ustawy o ochronie danych osobowych, która w tym zakresie "zastała" już istniejący stan faktyczny. Tego rodzaju decyzji nie można mylić z poleceniami wynikającymi z tzw. drogi służbowej wynikającej z tytułu zatrudnienia, do której ograniczył się Sąd w uzasadnieniu wyroku pomijając zupełnie wskazane wyżej argumenty podnoszone przez Naczelnika Urzędu Skarbowego w O. Polecenia takie były wydawane również w drodze pism jednostkowych /przykłady w załączeniu do akt sprawy/.
Skarżący powołuje się na pismo Ministerstwa Finansów z dnia 8 września 1999 r. Nr OS5-065-120-WCH/99, w którym zwrócono się do GIODO o zarejestrowanie jednego zbioru danych osobowych przetwarzanego w architekturze rozproszonej, w ramach resortu finansów. GIODO jako warunek takiego sposobu rejestracji zbiorów danych osobowych określiło przyjęcie jednolitego systemu zabezpieczeń z wykorzystaniem zunifikowanych środków technicznych. Ministerstwo miało zgłosić do rejestracji u GIODO centralny zbiór danych osobowych Krajowej Ewidencji Podatników, do którego miał był dołączony wykaz 356 podzbiorów zlokalizowanych w urzędach skarbowych, które posiadają jednolity system zabezpieczeń w ramach systemu "Poltax". Nie dotyczyło to zbiorów danych osobowych przetwarzanych w ramach aplikacji lokalnych, przy których administratorami były i są urzędy skarbowe i w tym zakresie ich obowiązkiem było zapewnienie odpowiednich zabezpieczeń i procedur zgodnie z ustawą o ochronie danych osobowych. Takie działania ze strony Ministerstwa Finansów potwierdza pismo OS5/065/24/MK/2001 z dnia 6 lutego 2001 r., z którego wynika, że uczyniło to 27 października 1999 r., ale zgłoszony ogólnopolski zbiór nie został zarejestrowany przez GIODO jako "zbiór ogólnopolski danych podatkowych Ministerstwa Finansów jako administratora danych osobowych". Wytworzyła się więc przymusowa dla urzędów skarbowych i wątpliwa prawnie sytuacja, w której poszczególne urzędy skarbowe oddzielnie rejestrowały w GIODO zbiory danych osobowych przymusowo, tym samym zachowując się tak jakby były administratorami danych przy jednoczesnym ewidentnym niespełnieniu kryterium ustawowego dla bycia administratorem, takich jak posiadanie władztwa decyzyjnego w odniesieniu do celów i środków przetwarzania danych osobowych.
Strona powołuje pisma Ministerstwa zawierające polecenie wdrożenia podsystemów z informacją, że stopień wdrożenia będzie włączony jako jedno z kryteriów oceny pracy urzędów i izb skarbowych.
O faktach tych miał wiedzę organ, czego dowodem jest wspomniane pismo Generalnego Inspektora do Ministerstwa Finansów z 4 grudnia 2003 r., w którym zawarto prośbę o podjęcie działań mających na celu umożliwienie naczelnikom dostosowanie systemu "Poltax" do wymogów rozporządzenia.
W świetle powyższego zasadnym są twierdzenia skarżącego Naczelnika, iż nie posiada kompetencji ani możliwości fizycznych i prawnych do wykonania nakazów Generalnego Inspektora, a więc zachodzą przesłanki z art. 156 par. 1 pkt 5 Kpa.
Żaden z urzędów skarbowych ani naczelników nie ma ani fizycznych ani prawnych możliwości dokonywania jakichkolwiek zmian. Nie ma również możliwości wprowadzenia w kierowanym przez siebie urzędzie skarbowym innego niż "Poltax" systemu informatycznego, gdyż jest on jednolity dla całego kraju. W żadnym kraju na świecie nie ma takich sytuacji, że podstawowe organy skarbowe ingerują w ogólnokrajowe systemy informatyczne, bądź korzystają z innych systemów obsługujących pobór podatków. Jest to dziedzina strategiczna dla funkcjonowania państwa i nie może być tak, że każdy naczelnik urzędu skarbowego w dowolny sposób manipuluje ogólnokrajowym systemem, bądź wyznacza inne narzędzia do obsługi wpływów budżetu państwa. Stanowiłoby to zagrożenie tychże, zagrażało bezpieczeństwu państwa i fundamentalnym interesom społecznym.
Chybione w skarżonym wyroku są również wywody dotyczące kwestii niewykonalności decyzji z 8 sierpnia 2003 r. Wskazuje się bowiem w niej zadania i kompetencje naczelników i urzędów skarbowych wynikające z Ordynacji podatkowej i ustawy z dnia 21 czerwca 1996 r. o urzędach i izbach skarbowych /Dz.U. 1996 nr 106 poz. 489 ze zm./, pomijające jednak najważniejszy w tej sprawie fakt, iż ani z tych, ani z żadnych innych przepisów nie wynika możliwość postulowania przez urzędy skarbowe dokonywania zmian w systemie komputerowym "Poltax", ani żadnych innych poprzez nakazy do Ministerstwa Finansów. Jest oczywiste, że w świetle przytoczonych przepisów, żaden naczelnik urzędu skarbowego nie może też nakazać czy zobowiązać Ministerstwa Finansów do modyfikacji systemu komputerowego "Poltax". Przeciwnie, to Minister Finansów - w świetle np. przepisów art. 34 ust. 1 i art. 34a ust. 1 i 2 ustawy z dnia 8 sierpnia 1996 r. o Radzie Ministrów /Dz.U. 2003 nr 24 poz. 199 ze zm. i inne/, ma prawo wydawania jednostkom podległym wiążących poleceń i nakazów. Na podstawie takiego nakazu jest stosowany we wszystkich urzędach skarbowych system informatycznym "Poltax". Wszystko co naczelnik urzędu skarbowego może zrobić w tej mierze, to poinformować Ministerstwo Finansów o wymogach stawianych przez GIODO i postulować dokonanie stosownych zmian w systemie, co w tej sprawie zachowując zasady drogi służbowej właśnie uczyniła, przekazując Ministerstwu Finansów z pośrednictwem Izby Skarbowej stosowne informacje.
W skardze podniesiono także, że ochrona programu, wynikająca z ustawy o prawie autorskim i prawach pokrewnych spowoduje, iż wszelkie próby korekty systemu bez akceptacji Ministerstwa Finansów rodzą sankcje karne w tym zakresie.
Ze względu na trwały charakter relacji urzędów skarbowych i ich naczelników z Ministerstwem Finansów wyznaczenie 6-miesięcznego terminu nie może mieć istotnego znaczenia i rzutować na ocenę niewykonalności decyzji. Wobec tego, iż w świetle przedstawionych wywód Naczelnik Urzędu Skarbowego nie jest administratorem systemu "Poltax" w zakresie przetwarzania danych osobowych, a Sąd dokonał błędnej wykładni art. 7 pkt 4 u.o.d.o. przyjmując, że stroną był Naczelnik Urzędu Skarbowego, decyzja GIODO z 8 sierpnia 2003 r. w dniu jej wydania dotknięta była wadą niewykonalności trwałej. Skarżący nie dysponował niezbędnymi środkami technicznymi i organizacyjnymi, które były w dyspozycji Ministerstwa Finansów.
Wskazywanie przez WSA w uzasadnieniu wyroku, że naczelnik urzędu skarbowego jest niezależny w określaniu i dysponowaniu o środkach finansowych przeznaczonych na funkcjonowanie jednostki jest błędne, gdyż sytuacja jest akurat odwrotna. Zgodnie z prawem środki finansowe są ustalane w ustawie budżetowej a naczelnik nie ma wpływu na ich wysokość. Nie może dowolnie ustalać ich granic, a w razie konieczności musi prosić Ministra Finansów o uzupełnienie tych środków w postaci decyzji. Nie można zatem mówić o tym, że argument braku środków finansowych jest nieistotny dla niewykonalności decyzji GIODO.
Niewykonalność miała charakter również niewykonalności prawnej z uwagi na brak przepisów kompetencyjnych pozwalających nakazać Ministerstwu Finansów dokonanie zmian w systemie "Poltax" przez naczelnika urzędu skarbowego.
W odpowiedzi na skargę kasacyjną Naczelnik Urzędu Skarbowego wniósł o jej oddalenie i podtrzymał swe stanowisko wyrażone w zaskarżonej decyzji opowiadając się za przyjętą przez Sąd wykładnią przepisów prawa.
Naczelny Sąd Administracyjny zważył, co następuje:
Skarga kasacyjna nie zawiera usprawiedliwionych podstaw.
W postępowaniu odwoławczym ze względu na obowiązującą zasadę związania Sądu granicami skargi kasacyjnej Naczelny Sąd Administracyjny rozpoznaje sprawę tylko w granicach podniesionych zarzutów. Odmiennie zatem niż Sąd I instancji nie bada on legalności zaskarżonej decyzji zarówno w aspekcie zgodności z przepisami prawa materialnego mającego zastosowanie w danej sprawie, jak i procesowego, lecz kontroluje wyrok Sądu I instancji tylko w takim zakresie w jakim zostały przestawione zarzuty. Ograniczenie to wynika z przepisu art. 183 par. 1 ustawy z 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi, a także z wprowadzonego w art. 175 par. 1 tej ustawy przymusu radcowsko-adwokackiego, obowiązującego przy sporządzaniu skargi kasacyjnej, co w założeniu ustawodawcy miało zapewnić prawidłowe sformułowanie zarzutów i umożliwienie Sądowi odwoławczemu dokonanie kontroli instancyjnej.
Odnosząc się do postawionego w skardze zarzutu naruszenia art. 7 pkt 4 ustawy o odmowie danych osobowych Naczelny Sąd Administracyjny uznał go za chybiony.
Przepis ten definiuje administratora danych stanowiąc, iż rozumie się przez to organ, organizację, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3 ust. 1 i 2 decydujące o celach i środkach przetwarzania danych osobowych.
Z kolei art. 3 ust. 1 ustawy w brzmieniu obowiązującym w dacie wydania decyzji, do którego ustawa odwołuje się w art. 7 pkt 4 określa zakres podmiotowy ustawy, wymieniając organy państwowe oraz samorządu terytorialnego, a także inne państwowe i komunalne jednostki organizacyjne oraz podmioty niepaństwowe realizujące zadania publiczne.
W świetle obowiązujących regulacji prawnych, a w szczególności art. 13 par. 1 pkt 1 ustawy z 29 sierpnia 1997 r. Ordynacja podatkowa naczelnik urzędu skarbowego jest organem państwowej administracji w sprawach podatków. Działa jako podatkowy organ pierwszej instancji. Do zakresu jego działania należy ustalenie lub określenie i pobór podatków oraz niepodatkowych należności budżetowych i innych należności, jak również podejmowanie określonych w ustawie innych czynności związanych ze spełnieniem obowiązków podatkowych, dokonywanie kontroli w tym względzie oraz egzekucji administracyjnej należności pieniężnych. Naczelnik zadania te wykonuje przy pomocy podległego urzędu skarbowego /art. 5 ust. 3 i 6 ustawy z 21 czerwca 1996 r. o urzędach i izbach skarbowych /Dz.U. nr 106 poz. 489 ze zm./. Wykonując powyższe zadania naczelnik urzędu /a właściwie w jego imieniu podlegli pracownicy/ przetwarza dane osobowe podatników.
Działania te mieszczą się w definicji działań administratora danych, zatem Naczelnik Urzędu Skarbowego w O. został właściwie określony jako strona postępowania administracyjnego, prowadzonego w związku z ustaleniem uchybień w procesie przetwarzania danych w systemie informatycznym "Poltax". Zasadnie zaś skierowano do Urzędu Skarbowego, właściwego w dacie wydania decyzji z 8 sierpnia 2003 r. jako organu podatkowego na podstawie art. 18 ust. 1 u.o.d.o. nakaz usunięcia uchybień.
Zarzuty strony, iż to Ministerstwo Finansów jest wytwórcą systemu "Poltax" i to ono decydowało o wdrożeniu systemu do praktyki urzędów, a zatem tylko Ministerstwo mogło dokonać zmian, co czyniło decyzję niewykonalną, nie zasługiwały na uwzględnienie.
Sposób wprowadzenia systemu "Poltax" do praktyki urzędów skarbowych stanowi kwestię natury organizacyjnej, i nie ma wpływu na ocenę czy Naczelnik Urzędu Skarbowego może być stroną postępowania administracyjnego zakończonego decyzją wydaną w oparciu o art. 18 ust. 1. Przetwarzanie danych osobowych ustawa w art. 7 pkt 2 określa jako jakiekolwiek operacje wykonywane na danych osobowych takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
Skoro Naczelnik Urzędu Skarbowego w O., a wcześniej Urząd Skarbowy prowadząc określoną ustawą działalność samodzielnie wykonuje operacje na danych osobowych takie jak: zbieranie ich, opracowywanie, przekazywanie i udostępnianie to wykonuje czynności podlegające ustawie i ochronie danych łącznie z odpowiedzialnością prawną za przestrzeganie jej przepisów.
Z uwagi na wykonywanie tych czynności w ramach wprowadzonego centralnie systemu komputerowego "Poltax" jednocześnie obowiązany był przestrzegać zasad wprowadzonych na podstawie przepisów wykonawczych zamieszczonych w rozporządzeniu MSWiA z 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Naruszenie przepisów par. 16 i 17 rozporządzenia z 3 czerwca 1998 r. obowiązujących w dacie wydania decyzji z 8 sierpnia 2003 r. stanowiło podstawę do wydania nakazów zamieszczonych w decyzji, co w sposób wyczerpujący rozważył Sąd I instancji obszernie uzasadniając swe stanowisko, które Naczelny Sąd Administracyjny uznał za przekonywujące i zasadne.
Podważając przyjęcie przez organ, a następnie Sąd, że o celach i środkach przetwarzania danych decydował wówczas Urząd Skarbowy strona skarżąca podnosi, że decydowały przepisy ustawy i polecenia organu nadrzędnego, wprowadzającego konkretny system informatyczny.
Argument ten w świetle ustaleń postępowania i przedstawionych regulacji nie jest trafny. W odniesieniu do organów państwowych zawsze podstawę ich działania stanowią przecież przepisy prawne, one też ustanawiają strukturę, wprowadzają system podległości, a zarówno przepisy ustaw jak i akty wykonawcze, a często także wewnętrzne precyzują jej formy i zakres. Prawie więc w każdej sytuacji organy niższego stopnia mogłyby zasłaniać się, że to nie one decydują o celach i środkach przetwarzania danych, lecz są one im narzucone niejako "z zewnątrz", a więc nie obowiązują je powinności wynikające z ustawy o ochronie danych osobowych.
Sytuacja na gruncie ustawy o ochronie danych osobowych przedstawia się jednakże odmiennie, na co zwrócił uwagę Sąd I instancji. Stosownie do art. 40 u.o.d.o. Urząd Skarbowy w O. zgłosił do rejestracji Generalnemu Inspektorowi zbiory danych osobowych podatników i zostały one zarejestrowane /nr księgi 047204/, następnie zaś prowadząc działalność określoną ustawami samodzielnie, jako organ państwowy w ramach tej działalności gromadził i przetwarzał dane osobowe. Tylko więc ten organ spełniał wymagania z art. 7 pkt 4 ustawy, nie zaś Minister, którego działalność miała charakter organizatorski i który ani nie decydował o celach przetwarzania danych ani na tych danych nie dokonywał żadnych operacji.
Nadto należy podkreślić, że przyjęcie koncepcji lansowanej przez skarżącego powodowałoby, iż obowiązki nałożone przepisami ustawy nie były możliwe do wyegzekwowania, bowiem ani w odniesieniu do organu naczelnego, ani do podległych mu urzędów nie można byłoby kierować nakazów przewidzianych w art. 18 ust. 1 mimo naruszenia przepisów ustawy o ochronie danych osobowych.
Przechodząc do zarzutu naruszenia przepisu art. 145 par. 1 pkt 2 ustawy Prawo o postępowaniu przed sądami administracyjnymi /powiązanego z art. 156 par. 1 pkt 4 i 5 Kpa/ należy stwierdzić, iż został on sformułowany wadliwie.
W myśl tego przepisu Sąd I instancji stwierdza nieważność decyzji jeżeli zachodzą przyczyny określone w art. 156 Kpa. Ma to najczęściej miejsce w odniesieniu do decyzji wydanej w postępowaniu zwykłym. W sprawie niniejszej Generalny Inspektor wydał decyzję w postępowaniu nadzorczym odmawiając stwierdzenia nieważności decyzji. To właśnie te decyzje z 18 czerwca 2004 r. i 16 kwietnia 2004 r. podlegały kontroli Wojewódzkiego Sądu Administracyjnego. Zarówno w postępowaniu przed pierwszą instancją jak i w skardze kasacyjnej w odniesieniu do tych decyzji strona nie sformułowała takich zarzutów, które uzasadniały stwierdzenie nieważności decyzji wydanych w postępowaniu nadzorczym.
Wojewódzki Sąd Administracyjny nie mógł więc naruszyć powołanego przepisu, gdyż nie był on i nie powinien być przez ten Sąd stosowany. W odniesieniu do podstawy naruszenia przez Sąd pierwszej instancji art. 156 par. 1 pkt 4 i 5 Kpa - z uwagi na niezasadność zarzutu naruszenia prawa materialnego, co zostało wyżej stwierdzone, Sąd uznał ją za pozbawioną słuszności, podzielając dokonaną w zaskarżonym wyroku ocenę braku przesłanek z art. 156 par. 1 Kpa w wydanej 8 sierpnia 2003 r. decyzji Generalnego Inspektora.
Z powyższych względów uznając, iż skarga kasacyjna nie zawiera usprawiedliwionych podstaw, a zaskarżony wyrok odpowiada prawu Naczelny Sąd Administracyjny oddalił skargę kasacyjną na podstawie art. 184 ustawy Prawo o postępowaniu przed sądami administracyjnymi.