I OSK 2930/12

I OSK 2930/12 - Wyrok NSA
Data orzeczenia
2014-07-31
orzeczenie prawomocne
Data wpływu
2012-12-03
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Irena Kamińska
Janusz Furmanek /sprawozdawca/
Małgorzata Jaśkowska /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
II SA/Wa 122/12 - Wyrok WSA w Warszawie z 2012-07-26
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżony wyrok w części i przekazano sprawę do ponownego rozpoznania przez Wojewódzki Sąd Administracyjny
Powołane przepisy
Dz.U. 2012 poz 270
art. 185, art.184
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - tekst jednolity.
Dz.U. 2002 nr 101 poz 926
art. 32 ust. 1, art. 7 pkt. 4, art. 18 ust. 1 pkt. 1,
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - tekst jedn.
Dz.U. 2013 poz 267
art. 77, art. 80
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego - tekst jednolity
Sentencja
Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Małgorzata Jaśkowska Sędziowie: Sędzia NSA Irena Kamińska Sędzia del NSA Janusz Furmanek (spr.) Protokolant asystent sędziego Jan Wasilewski po rozpoznaniu w dniu 31 lipca 2014 r. na rozprawie w Izbie Ogólnoadministracyjnej skarg kasacyjnych Generalnego Inspektora Ochrony Danych Osobowych i J.M. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 26 lipca 2012 r. sygn. akt II SA/Wa 122/12 w sprawie ze skargi J.M. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 28 listopada 2011 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżony wyrok w punkcie 1. i przekazuje sprawę w tym zakresie Wojewódzkiemu Sądowi Administracyjnemu w Warszawie do ponownego rozpoznania; 2. oddala skargę kasacyjną J.M.
Uzasadnienie
Wyrokiem z dnia 26 lipca 2012 roku Wojewódzki Sąd Administracyjny w Warszawie w sprawie ze skargi J.M. na decyzję Generalnego Inspektora Ochrony danych Osobowych z dnia 28 listopada 2011 r. (znak [...]) w przedmiocie przetwarzania danych osobowych uchylił zaskarżoną decyzję oraz utrzymaną nią w mocy decyzję Generalnego Inspektora Ochrony Danych Osobowych z 22 sierpnia 2011 r. w zakresie rozstrzygnięcia o umorzeniu postępowania (pkt 1 wyroku), stwierdził, że zaskarżona decyzja w uchylonej części nie podlega wykonaniu w całości (pkt 2 wyroku) i oddalił skargę w pozostałej części oraz zasądził od Generalnego Inspektora Ochrony Danych Osobowych na rzecz J.M. kwotę 50 zł tytułem zwrotu kosztów postępowania.
Przedmiotowy wyrok został wydany w następujących okolicznościach faktycznych i prawnych:
Generalny Inspektor Ochrony Danych Osobowych, decyzją z dnia 22 sierpnia 2011 r. wydaną na podstawie art. 104 § 1 i art. 105 § 1 k.p.a., art. 12 pkt 2, art. 22, art. 32 ust. 1 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) [dalej: ustawa o ochronie danych osobowych], po przeprowadzeniu postępowania w sprawie skargi J.M. na przetwarzanie przez Prezydenta RP jego danych osobowych zawartych w "Raporcie o działaniach żołnierzy i pracowników WSI oraz wojskowych jednostek organizacyjnych realizujących zadania w zakresie wywiadu i kontrwywiadu wojskowego przed wejściem w życie ustawy z dnia 09 lipca 2003 r. o Wojskowych Służbach Informacyjnych w zakresie określonym w art. 67 ust. 1 pkt 1-10 ustawy z dnia 09 czerwca 2006 r. - Przepisy wprowadzające ustawę o Służbie Kontrwywiadu Wojskowego oraz ustawę o służbie funkcjonariuszy Służby Kontrwywiadu Wojskowego oraz Służby Wywiadu Wojskowego oraz innych działaniach wykraczających poza sprawy obronności państwa i bezpieczeństwa Sił Zbrojnych RP, opublikowanym w Monitorze Polskim z dnia 16 lutego 2007 r. (M. P. Nr 11, poz. 110)": 1) odmówił uwzględnienia wniosku J.M. o nakazanie Prezydentowi RP spełnienia w stosunku do niego obowiązku informacyjnego w trybie art. 32 ust. 1 pkt 1 ustawy o ochronie danych osobowych; 2) w pozostałym zakresie umorzył postępowanie.
Pismem z dnia 6 września 2011 r. J.M. złożył wniosek o ponowne rozpatrzenie sprawy.
Generalny Inspektor Ochrony Danych Osobowych, po rozpatrzeniu przedmiotowego wniosku, działając na podstawie art. 138 § 1 pkt 1 k.p.a. oraz art. 12 pkt 2, art. 22, art. 32 ust. 1 pkt 1 ustawy o ochronie danych osobowych, decyzją z dnia 28 listopada 2011 r. utrzymał w mocy zaskarżoną decyzję.
W uzasadnieniu ww. decyzji GIODO wyjaśnił, że w dniu 11 września 2009 r. do organu wpłynął wniosek J.M., w którym ww. wystąpił o nakazanie w drodze decyzji administracyjnej przywrócenia stanu zgodnego z procesem przetwarzania jego danych osobowych, poprzez usunięcie jego danych osobowych z opublikowanego w Monitorze Polskim z dnia 16 lutego 2007 r. (M. P. Nr 11, poz. 110) ww. Raportu.
Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia 23 grudnia 2009 r. odmówił uwzględnienia przedmiotowego wniosku.
W dniu 9 lutego 2011 r. do Biura GIODO wpłynęło pismo J.M. z dnia 4 lutego 2011 r., w którym ww., powołując się na art. 32 ust. 1 pkt 1 ustawy o ochronie danych osobowych, zażądał informacji na temat administratora jego danych osobowych utrwalonych w Raporcie, podnosząc, że administratorem przedmiotowych danych jest Prezydent RP.
Następnie w dniu 18 marca 2011 r. J.M. sprecyzował, że podmiotem, któremu zarzuca naruszenie przepisów ustawy o ochronie danych osobowych jest Prezydent RP. Podniósł, że Prezydent RP odmówił uznania swojej roli administratora danych osobowych udostępnianych w Raporcie w odpowiedzi na jego wniosek z dnia 20 listopada 2009 r. żądania usunięcia jego danych z treści Raportu.
Pismem z dnia 13 czerwca 2011 r., skierowanym do J.M., Szef Kancelarii Prezydenta RP wyjaśnił, że Prezydent RP nie jest administratorem jego danych osobowych. Zwrócono uwagę, że strona nie kierowała pod adresem Prezydenta RP wniosku o udzielenie informacji w trybie art. 32 ust. 1 pkt 1 ustawy o ochronie danych osobowych. Zaznaczono, że strona kierowała swoje żądanie wobec Prezydenta RP na podstawie art. 32 ust. 1 pkt 6 ustawy, podając, że umieszczenie danych osobowych dotyczących ww. w Raporcie WSI świadczy nieprawdę, a ponadto ich publikacja w Raporcie jest bezprawna, dlatego też wnosi o usunięcie z Raportu danych osobowych dotyczących jego osoby (pismo skarżącego z dnia 20 listopada 2009 r.). W odpowiedzi Kancelaria Prezydenta RP poinformowała stronę, że Prezydent RP nie jest organem właściwym do rozpatrzenia wniosku. Dodatkowo Kancelaria udzieliła także ww. odpowiedzi negatywnej, że Prezydent RP nie jest administratorem danych osobowych wskazanych we wniosku.
Biorąc pod uwagę powyższe Generalny Inspektor Ochrony Danych Osobowych w dniu 22 sierpnia 2011 r. wydał decyzję, którą odmówił uwzględnienia wniosku o nakazanie Prezydentowi RP spełnienia w stosunku do J.M. obowiązku informacyjnego w trybie art. 32 ust. 1 pkt 1 ustawy o ochronie danych osobowych, a w pozostałym zakresie umorzył postępowanie.
W treści wniosku o ponowne rozpatrzenie sprawy rozstrzygniętej decyzją z dnia 22 sierpnia 2011 r. J.M. podniósł, iż umorzenie postępowania w zakresie wniosku o usunięcie jego danych osobowych z Raportu było błędem, gdyż sprawa zakończona decyzją z dnia 23 grudnia 2009 r. nie jest tożsama, chociażby pod względem podmiotowym, z tym postępowaniem. Odnosząc się do wyrażonego w treści zaskarżonej decyzji stanowiska organu w zakresie odmowy uwzględnienia wniosku o nakazanie Prezydentowi PR spełnienia w stosunku do niego obowiązku informacyjnego w trybie art. 32 ust. 1 pkt 1 ustawy o ochronie danych osobowych, strona wskazała, iż okoliczność, że Prezydent RP jest administratorem jego danych zawartych w Raporcie jest faktem i nie wymaga dowodu. W ocenie J.M., Prezydent RP odmawia uznania swojej roli administratora danych osobowych przetwarzanych w Raporcie. W związku z tym dla realizacji jego praw, wynikających z postanowień art. 23 ust. 1 pkt 1 ustawy, oraz innych praw przewidzianych ustawą, konieczne jest wydanie decyzji administracyjnej w sprawie wykonania przepisów o ochronie danych osobowych, w szczególności przepisu art. 32 ust. 1 pkt 1 w jego części dotyczącej ustalenia administratora danych, zgodnie z wnioskiem strony z dnia 4 lutego 2011 r.
Po powtórnym rozpatrzeniu sprawy organ II instancji podniósł, iż popiera stanowisko wyrażone w decyzji I instancji, iż przedmiotowa sprawa w zakresie umorzenia przez GIODO postępowania w sprawie wniosku o usunięcie danych osobowych J.M. z Raportu, pozostaje tożsama ze sprawą rozstrzygniętą przez GIODO w ramach postępowania administracyjnego zainicjowanego wnioskiem J.M. z dnia 7 września 2009 r. Wymienione postępowanie zostało zakończone ostateczną decyzją z dnia 23 grudnia 2009 r., w konsekwencji postępowanie wszczęte wnioskiem z dnia 4 lutego 2011 r. uznać należało za bezprzedmiotowe. GIODO wskazał, że wniosek J.M. z dnia 7 września 2010 r. zainicjował postępowanie administracyjne w przedmiocie usunięcia jego danych osobowych z Raportu, przeprowadzone przez GIODO zakończone ostateczną i prawomocną decyzją z dnia 23 grudnia 2009 r., którą organ odmówił uwzględnienia wniosku strony o usunięcie jego danych osobowych zawartych w Raporcie. Przedmiotową decyzją GIODO rozstrzygnął ww. sprawę merytorycznie. W ww. decyzji GIODO wskazał zarazem kto i w jakiej formie jest władny ingerować w treść Raportu. Jednocześnie GIODO uznał, że to Ministrowi Obrony Narodowej służy status administratora danych osobowych zawartych w Raporcie, a w konsekwencji status strony powyższego postępowania.
Generalny Inspektor Ochrony Danych Osobowych podkreślił, że tożsamość spraw zachodzi wówczas, gdy występują w nich te same podmioty, dotyczą one tego samego przedmiotu i tego samego stanu prawnego w niezmienionym stanie faktycznym sprawy. Tym samym, GIODO wskazał na tożsamość przedmiotowej sprawy ze sprawą rozpoznawaną w postępowaniu o sygn. akt: [...].
Organ podkreślił, że o tożsamości stanu faktycznego spraw przesądza fakt, że w obydwu strona domagała się usunięcia jej danych osobowych z Raportu, a jej żądanie w tym zakresie nie zostało zrealizowane przez administratora tych danych. Mając powyższe na uwadze GIODO wskazał, że kwestia usunięcia danych osobowych J.M. z Raportu była przedmiotem postępowania o sygn. akt [...], zakończonego decyzją organu z dnia 23 grudnia 2009 r. W decyzji tej GIODO wskazał kto i w jakiej formie jest władny ingerować w treść Raportu, a tym samym ewentualnie usunąć dane osobowe skarżącego, jeżeli zostaną spełnione określone w przepisach przesłanki. Wśród wskazanych przez GIODO podmiotów uprawnionych do ingerowania w treść Raportu nie ma Prezydenta RP. Organ uznał, że podmiotem uprawnionym w ww. zakresie – w konsekwencji zaś administratorem kwestionowanych danych osobowych skarżącego, jest wyłącznie Minister Obrony Narodowej. W związku z powyższym, zdaniem GIODO, zasadnym było umorzenie przedmiotowego postępowania, jako bezprzedmiotowego.
Odnosząc się do zarzutu strony dotyczącego niedopełnienia w stosunku do J.M. obowiązku informacyjnego określonego w art. 32 ust. 1 pkt 1 ustawy o ochronie danych osobowych, GIODO podniósł, iż wymieniony przepis kształtuje prawo każdej osoby, której dotyczą przetwarzane w zbiorze dane osobowe, do kontroli procesu przetwarzania jej danych, co przejawia się w szczególności w prawie uzyskania wyczerpującej informacji na temat tego, czy określony zbiór istnieje oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem jest osoba fizyczna – jej miejsca zamieszkiwania oraz imienia i nazwiska. Organ podkreślił przy tym, że osoba, której dane dotyczą może skutecznie domagać się udzielenia informacji w trybie art. 32 ustawy od administratora danych, który potencjalnie dane te przetwarza. W związku z powyższym, zdaniem GIODO, błędnym jest pogląd J.M., iż określony w art. 32 ust. 1 pkt 1 ustawy o ochronie danych osobowych, obowiązek udzielenia mu informacji odnośnie do administratora jego danych osobowych ujawnionych w Raporcie spoczywa na GIODO oraz ten, że postępowanie przed GIODO dotyczące nieudzielania stronie ww. informacji nie jest postępowaniem inicjowanym w trybie skargowym. Organ wyjaśnił, że obowiązek informacyjny określony w art. 32 ust. 1 pkt 1 ustawy o ochronie danych osobowych obciąża określony podmiot wyłącznie wówczas, gdy osoba, której dane dotyczą występuje do niego z żądaniem udzielenia informacji wymienionych w tym przepisie. Osoba zainteresowana uzyskaniem od administratora jej danych osobowych informacji w trybie ww. przepisu powinna tym samym zwrócić się bezpośrednio do tego administratora o ich udzielenie. Kontroli GIODO podlega dopiero prawidłowość reakcji administratora danych na zgłoszone bezpośrednio pod jego adresem, przez osobę, której dane dotyczą, żądanie realizacji jej prawa do informacji określonego w art. 32 ust. 1 pkt 1 ustawy. Organ zwrócił uwagę, że w rozpoznawanej sprawie brak jest dowodów potwierdzających, aby strona zwracała się do Prezydenta RP z żądaniem udzielenia jej informacji, o której mowa w ww. art. 32 ust. 1 pkt 1 ustawy. Żądania takiego strona nie sformułowała we wniosku z dnia 20 listopada 2009 r., powołując się w nim wyłącznie na przepis art. 32 ust. 1 pkt 6 ustawy o ochronie danych osobowych, domagając się jedynie usunięcia jej danych osobowych ujawnionych w Raporcie z tego dokumentu. Odpowiedź Prezydenta RP udzielona stronie w piśmie z dnia 8 kwietnia 2010 r., że nie ma on statusu administratora danych osobowych ujawnionych w Raporcie nie stanowiła zatem odpowiedzi na żądanie sformułowane w trybie art. 32 ust. 1 pkt 1 ustawy, a jedynie uzasadnienie stanowiska Prezydenta RP wskazującego na brak jego kompetencji do usunięcia z Raportu kwestionowanych przez skarżącego informacji na jego temat. Również w kolejnych pismach strona nie sformułowała pod adresem Prezydenta RP żądania udzielenia mu informacji w trybie art. 32 ust. 1 pkt 1 ustawy. Tym samym, zdaniem GIODO, skoro J.M. nie wystąpił bezpośrednio do Prezydenta RP o udzielenie mu informacji w trybie art. 32 ust. 1 pkt 1 ustawy, to oczywistym jest brak podstaw dla uznania, że Prezydent RP nieprawidłowo ustosunkował się do jego żądania, a w konsekwencji do skierowania pod jego adresem nakazu odpowiadającemu dyspozycji art. 18 ust. 1 ustawy o ochronie danych osobowych.
Pismem z dnia 19 grudnia 2011 r. J.M. złożył do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na decyzję GIODO z dnia 28 listopada 2011 r. wnosząc o jej uchylenie w całości, uchylenie decyzji ją poprzedzającej z dnia 22 sierpnia 2011 r. w części dotyczącej umorzenia postępowania, czyli w części odnoszącej się do wniosku skarżącego oraz zasądzenie od organu na rzecz skarżącego zwrotu kosztów postępowania niezbędnych do celowego dochodzenia praw, w tym kosztów wpisu.
Strona skarżąca zarzuciła zaskarżonej decyzji: obrazę przepisów postępowania – art. 22 ustawy o ochronie danych osobowych w zw. z art. 105 § 1 k.p.a., co miało rozstrzygający wpływ na wynik sprawy; art. 7, art. 77 § 4 i art. 80 k.p.a., co mogło mieć istotny wpływ na wynik sprawy; obrazę prawa materialnego – art. 12 pkt 2 w zw. z art. 32 ust. 1 pkt 1 ustawy o ochronie danych osobowych, co miało istotny wpływ na wynik sprawy.
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 26 lipca 2012 roku uchylił zaskarżoną decyzję oraz utrzymaną nią w mocy decyzję Generalnego Inspektora Ochrony Danych Osobowych z 22 sierpnia 2011 r. w zakresie rozstrzygnięcia o umorzeniu postępowania (pkt 1 wyroku), stwierdził, że zaskarżona decyzja w uchylonej części nie podlega wykonaniu w całości (pkt 2 wyroku) i oddalił skargę w pozostałej części oraz zasądził od Generalnego Inspektora Ochrony Danych Osobowych na rzecz J.M. kwotę 50 zł tytułem zwrotu kosztów postępowania.
W uzasadnieniu swojego rozstrzygnięcia Sąd I instancji wskazał na wstępie, że istota sprawy w niniejszym postępowaniu sprowadzała się do oceny tego, jakich relacji i między jakimi podmiotami, dotyczy norma art. 32 ust. 1 pkt 1 ustawy o ochronie danych osobowych.
Omawiany przepis ustanawia na rzecz osób, których dane są zbierane, szeroko ujęte prawo do informacji (określane też jako prawo dostępu do zbiorów danych), pozwalające im kontrolować przetwarzanie danych zgromadzonych w zbiorach. Prawu temu towarzyszy prawo weryfikowania poprawności danych oraz sprzeciwienia się przetwarzaniu danych w określonych przypadkach. Tego rodzaju uprawnienia generują po stronie administratorów i dysponentów zbiorów danych – symetryczny obowiązek reakcji na te uprawnienia strony. Powyższe świadczy więc o tym, iż omawiany przepis odnosi się do relacji między administratorem danych a osobą, której dane są przetwarzane.
W takiej sytuacji należy przyjąć, iż zobowiązanym do udzielenia odpowiedzi jest każdy potencjalny administrator danych, który sam przetwarza albo zleca przetwarzanie danych (przy czym może to być - oczywiście - odpowiedź negatywna), jak i podmiot, który przetwarza dane na zlecenia administratora (art. 31 ustawy). Organ nie posiada zaś w niniejszym postępowaniu przymiotu administratora danych.
Generalny Inspektor Ochrony Danych osobowych jest organem ochrony danych osobowych. Nie mógł zatem zrealizować względem skarżącego obowiązków spoczywających na administratorze danych, którym w myśl art. 7 pkt 4 omawianej ustawy, jest organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3 ustawy, decydujące o celach i środkach przetwarzania danych osobowych. Nie zmienia tego faktu okoliczność, iż zgodnie z art. 12 pkt 3 ustawy o ochronie danych osobowych, do zadań GIODO należy m.in. prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach.
Sąd I instancji wyjaśnił, że prowadzenie rejestru zbiorów danych osobowych nie oznacza, że GIODO posiada informacje o konkretnych danych osobowych osoby, której dane są przetwarzane w zarejestrowanym zbiorze danych. Organ ten nie jest w stanie, mając dane o zarejestrowanych zbiorach danych, ustalić jaki podmiot przetwarza dane konkretnej osoby.
Zgodnie bowiem z art. 42 ust. 1 tej ustawy rejestr ten zawiera informacje o: • wniosku o wpisanie zbioru do rejestru zbiorów danych osobowych; oznaczeniu podmiotu prowadzącego zbiór i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku podmiotu, o którym mowa w art. 31a, oznaczeniu tego podmiotu i adres jego siedziby lub miejsce zamieszkania; celu przetwarzania danych; kategorii osób, których dane dotyczą oraz zakres przetwarzanych danych; sposobie zbierania oraz udostępniania danych; odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane; ewentualnym przekazywaniu danych do państwa trzeciego.
Sąd meriti podkreślił również, że o tym, iż GIODO jest organem ochrony danych osobowych, a nie ich administratorem, świadczy dodatkowo treść art. 18 ust. 1 ustawy o ochronie danych osobowych, w myśl którego, w przypadku naruszenia przepisów o ochronie danych osobowych GIODO z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: 1) usunięcie uchybień, 2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, 3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, 4) wstrzymanie przekazywania danych osobowych do państwa trzeciego, 5) zabezpieczenie danych lub przekazanie ich innym podmiotom, 6) usunięcie danych osobowych. Tak więc musi dojść do naruszenia przepisów o ochronie danych osobowych, by zaistniała możliwość działania po stronie GIODO.
Jak skonstatował WSA w Warszawie, w realiach niniejszej sprawy uznać więc należało, iż organ prawidłowo odmówił uwzględnienia wniosku strony. Skoro bowiem strona nie występowała do Prezydenta RP z wnioskiem w trybie art. 32 ust.1 pkt 1 omawianej ustawy, to tym samym nie doszło do naruszenia w takim postępowaniu przez Prezydenta RP przepisów ustawy o ochronie danych osobowych. Postępowanie takie nie toczyło się bowiem.
Co się zaś tyczy rozstrzygnięcia o umorzeniu postępowania, to w ocenie Sądu meriti, nie powinno ono mieć miejsca. Wbrew ustaleniom organu, analiza akt administracyjnych niniejszej sprawy prowadziła do konkluzji, iż strona nie złożyła wniosku o usunięcie jej danych osobowych z Raportu o WSI w trybie art. 32 ust. 1 pkt 6 omawianej ustawy. Wywodzenie przez organ intencji strony zainicjowania postępowania w tym zakresie, jedynie z faktu dołączenia przez skarżącego do pisma z dnia 18 marca 2011 r. kopii pisma z dnia 20 listopada 2009 r., stanowiącego wniosek do Prezydenta RP z żądaniem usunięcia danych osobowych w trybie art. 32 ust.1 pkt 6 ustawy, uznać należy za nieuprawnione i zbyt daleko idące. W niniejszym postępowaniu, zainicjowanym wnioskiem z dnia 4 lutego 2011 r., takie żądanie nie zostało bowiem w sposób stanowczy i jasny sformułowane. Stąd też, skoro nie zostało wszczęte postępowanie w omawianym zakresie, to tym samym nie istniał przedmiot, mogący podlegać umorzeniu.
Skargę kasacyjna od powyższego wyroku złożyli zarówno skarżący J.M. jak i organ administracji – Generalny Inspektor Ochrony Danych Osobowych.
W skardze kasacyjnej wniesionej przez J.M. zaskarżono powyższy wyrok w części, tj. w zakresie punktu 3) oddalającego skargę w pozostałej części będącej istotą wniosku skarżącego z dnia 4 lutego 2011 r. Pełnomocnik J.M. zaskarżonemu wyrokowi zarzucił:
- naruszenie prawa materialnego polegające na niewłaściwym zastosowaniu przepisów art. 32 ust. 1 w zw. z art. 12 ust. 1 i ust. 2 ustawy o ochronie danych osobowych w zw. z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269), poprzez błędne uznanie, iż w przedmiotowej sprawie nie ciąży na organie obowiązek (będący jednocześnie uprawnieniem) nałożony na organ przepisem art. 12 pkt 2) w zw. z art. 32 ust. 1 ustawy o ochronie danych osobowych w szczególności obowiązek ustalenia administratora danych osobowych wobec niewykonania obowiązków wynikających z przepisów o ochronie danych osobowych, w szczególności odmowy uznania przez administratora danych swej roli administratora danych, a w konsekwencji tego odmowy wypełnienia jakiegokolwiek z nałożonych nań przepisami wskazanej ustawy licznych obowiązków, w odpowiedzi na wniosek skarżącego o dopełnienie obowiązku wynikającego z przepisu art. 32;
- naruszenie prawa materialnego poprzez niewłaściwe zastosowanie przepisu art. 77 § 4 k.p.a. w zw. z art. 22 ustawy o ochronie danych osobowych w związku z art. 1 § 1 i § 2 ustawy o ochronie danych osobowych, poprzez błędne uznanie, iż w przedmiotowej sprawie fakty, o których mowa w przepisie art. 32 ust. 1 pkt 1 wskazanej ustawy wymagają dowodów mimo iż są faktami powszechnie znanymi w rozumieniu przepisu art. 77 § 4 k.p.a. i jako takie dowodu nie wymagają, co miało wpływ na wynik sprawy.
Wskazując na powyższe podstawy kasacyjne pełnomocnik J.M. wniósł o uchylenie zaskarżonego wyroku w pkt 3 wyroku i przekazanie sprawy do ponownego rozpoznania sądowi I instancji oraz zasądzenie kosztów postępowania według norm przepisanych.
W skardze kasacyjnej wniesionej przez Generalnego Inspektora Ochrony Danych Osobowych w części uchylającej decyzję organu z dnia 28 listopada 2011 r. i poprzedzającą ją decyzję administracyjną z dnia 22 sierpnia 2011 r. w zakresie rozstrzygnięcia o umorzeniu postępowania pełnomocnik GIODO zaskarżonemu wyrokowi zarzucił naruszenie przepisów postępowania art. 134 § 1 i art. 3 § 1 ustawy p.p.s.a. w zw. z art. 1 ustawy - Prawo o ustroju sądów administracyjnych poprzez sprawowanie niewłaściwej kontroli nad postępowaniem administracyjnym na skutek błędnego przyjęcia, że GIODO dokonał nieprawidłowej, nadmiernie szerokiej interpretacji skargi J.M. inicjującej postępowanie administracyjne w niniejszej sprawie, w konsekwencji czego jego rozstrzygnięcie o umorzeniu postępowania administracyjnego w określonej jego części było rozstrzygnięciem wydanym w sprawie nieobjętej wnioskiem J.M. - a tym samym wydanym z naruszeniem art. 61 k.p.a., co miało istotny wpływ na wynik sprawy.
Wskazując na powyższe podstawy kasacyjne pełnomocnik GIODO wniósł o uchylenie zaskarżonego wyroku w zaskarżonej części i przekazanie sprawy do ponownego rozpoznania sądowi I instancji.
W odpowiedzi na skargę kasacyjną J.M. Generalny Inspektor Ochrony Danych Osobowych wniósł o oddalenie skargi kasacyjnej.
Na rozprawie przed Naczelnym Sądem Administracyjnym skarżący kasacyjnie J.M. wnosił o uzupełnienie uzasadnienia podniesionych zarzutów w skardze kasacyjnej, wskazując, że to uzasadnienie polega na tym, że postanowienie Prezydenta RP z dnia 16 lutego 2007 r. zawiera wadę prawną, ponieważ Prezydent tym postanowieniem zarządził podanie do publicznej wiadomości w Monitorze Polskim raportu o odmiennej zawartości treściowej niż był do tego upoważniony; organ był natomiast zobowiązany z urzędu rozważyć tę wadę prawną i wątpliwości z niej wynikające. Złożył wniosek o przeprowadzenie dowodu uzupełniającego z ustawy zmieniającej z dnia 14 grudnia 2006 r. oraz wydanego na jej podstawie postanowienia Prezydenta RP z dnia 16 lutego 2007 r. Wnosił o zadanie pytania prawnego do Trybunału Konstytucyjnego co do zgodności postanowienia Prezydenta RP ogłoszonego w Monitorze Polskim z 2007 r. nr 11 poz. 110 z ustawą - Przepisy wprowadzające ustawę o Służbie Kontrwywiadu Wojskowego oraz Służbie Wywiadu Wojskowego oraz ustawę o służbie funkcjonariuszy Służby Kontrwywiadu Wojskowego oraz Służby Wywiadu Wojskowego, a w szczególności z przepisami art. 70c ust. 3 oraz 70a tej ustawy. Wskazał, że organ miał obowiązek zareagować w aspekcie legalności na przetwarzanie danych osobowych skarżącego w oparciu o przepisy, które go do tego zobowiązują. Stwierdził, że art. 32 ust. 1 pkt 1 ustawy o ochronie danych osobowych, dotyczący uprawnień osoby w sytuacji, gdy jest powszechnie znane, że dany organ jest administratorem danych, nie wymaga zwracania się o to do administratora.
Naczelny Sąd Administracyjny oddalił wniosek o przeprowadzenie dowodu z dokumentu z aktów powszechnie obowiązujących i odmówił wystąpienia do Trybunału Konstytucyjnego z pytaniem prawnym w sprawie zgodności postanowienia Prezydenta RP z dnia 16 lutego 2007 r. z ustawą - Przepisy wprowadzające ustawę o Służbie Kontrwywiadu Wojskowego oraz Służbie Wywiadu Wojskowego oraz ustawę o służbie.
Naczelny Sąd Administracyjny zważył, co następuje:
W myśl art. 174 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (tj. Dz. U. z 2012 r., poz. 270 ze zm.) [dalej: ustawa p.p.s.a.], skargę kasacyjną można oprzeć na następujących podstawach: 1) naruszenie prawa materialnego przez błędną jego wykładnię lub niewłaściwe zastosowanie, 2) naruszenie przepisów postępowania, jeżeli uchybienie to mogło mieć istotny wpływ na wynik sprawy.
Naczelny Sąd Administracyjny związany jest podstawami skargi kasacyjnej, bowiem według art. 183 § 1 ustawy p.p.s.a. rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc z urzędu pod uwagę jedynie nieważność postępowania. Przytoczenie podstaw kasacyjnych, rozumiane jako wskazanie przepisów, które - zdaniem wnoszącego skargę kasacyjną - zostały naruszone przez wojewódzki sąd administracyjny, nakłada na Naczelny Sąd Administracyjny, stosownie do art. 174 pkt 1 i pkt 2 oraz art. 183 § 1 ustawy p.p.s.a., obowiązek odniesienia się do wszystkich zarzutów przytoczonych w podstawach kasacyjnych (por. uchwała NSA z dnia 26 października 2009 r., sygn. akt l OPS 10/09).
W niniejszej sprawie żadna z wymienionych w art. 183 § 2 ustawy p.p.s.a. przesłanek nieważności postępowania nie zaistniała, wobec czego kontrola Naczelnego Sądu Administracyjnego ograniczyć się musiała wyłącznie do zbadania zawartych w skardze kasacyjnej zarzutów.
W przedmiotowej sprawie skargi kasacyjne sformułowali zarówno organ administracji – Generalny Inspektor Ochrony Danych Osobowych jak i skarżący decyzje organu przed WSA w Warszawie J.M..
Generalny Inspektor Ochrony Danych Osobowych zaskarżył wyrok Sądu I instancji w części uchylającej decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 28 listopada 2011 r. i poprzedzającą ją decyzję z dnia 22 sierpnia 2011 r. w zakresie rozstrzygnięcia o umorzeniu postępowania. W tym zakresie zarzucił wyrokowi Sądu meriti naruszenie przepisów postępowania - art. 134 § 1 i art. 3 § 1 ustawy p.p.s.a. w zw. z art. 1 ustawy z dnia 25 lipca 2002 r. o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.) poprzez sprawowanie niewłaściwej kontroli nad postępowaniem administracyjnym na skutek błędnego przyjęcia, że Generalny Inspektor Ochrony Danych Osobowych dokonał nieprawidłowej, nadmiernie szerokiej interpretacji skargi J.M. inicjującej postępowanie administracyjne w niniejszej sprawie, w konsekwencji czego jego rozstrzygnięcie o umorzeniu postępowania administracyjnego w określonej jego części było rozstrzygnięciem wydanym w sprawie nieobjętej wnioskiem, a tym samym wydanym z naruszeniem art. 61 k.p.a.
Tak sformułowany zarzut skargi kasacyjnej Naczelny Sąd Administracyjny uznał za zasadny. Błędnie, w ocenie Sądu kasacyjnego, uznał WSA w Warszawie, że skarżący J.M. w praktyce nie złożył wniosku o usunięcie jego danych osobowych z Raportu o WSI, albowiem – jak stwierdził Sąd meriti - takie żądanie nie zostało przez skarżącego w sposób stanowczy i jasny sformułowane. Nieprawidłowa była też w związku z tym konstatacja, że skoro nie zostało wszczęte postępowanie w takim zakresie, to tym samym nie istniał przedmiot, mogący podlegać umorzeniu.
W tym zakresie zgodzić się należy w pełni z Generalnym Inspektorem Ochrony Danych Osobowych, który trafnie stwierdził, że J.M. w piśmie z dnia 18 marca 2011 r. jednoznacznie wskazał, iż podmiotem któremu zarzucał naruszenie przepisów ustawy o ochronie danych osobowych jest Prezydent RP i sformułował w związku z tym m.in. zarzut pod adresem Prezydenta, zarzucając mu – jako administratorowi danych osobowych udostępnianych w Raporcie - uchybienie obowiązkom jakie na administratora danych osobowych nakładają przepisy ustawy o ochronie danych osobowych. Wskazywał, iż Prezydent RP konsekwentnie odmawia uznania swojej roli administratora danych osobowych udostępnianych w Raporcie. W szczególności – jak podkreślał – dotyczyło to odmowy uznania przez Prezydenta jego roli administratora danych osobowych w odpowiedzi na wniosek skarżącego z dnia 20 listopada 2009 r., w którym skarżący żądał usunięcia swoich danych z treści Raportu na podstawie art. 32 ust. 1 pkt 6 ustawy o ochronie danych osobowych.
Z powyższego niezbicie wynika zatem, iż J.M. skierował pod adresem GIODO skargę, w której zarzucił Prezydentowi RP w szczególności nieuprawnioną odmowę usunięcia jego danych osobowych z Raportu. Z tego względu uznać należało za nieprawidłowe twierdzenie WSA w Warszawie, że GIODO wysnuł wniosek odnośnie do objęcia zakresem skargi J.M. działań Prezydenta polegających na braku oczekiwanego usunięcia jego danych osobowych z Raportu wyłącznie z faktu dołączenia przez skarżącego do pisma z dnia 18 marca 2011 r. kopii pisma z dnia 20 listopada 2009 r., stanowiącego wniosek do Prezydenta RP z żądaniem usunięcia danych osobowych w trybie art. 32 ust. 1 pkt 6 ustawy o ochronie danych osobowych.
Reasumując, w ocenie Naczelnego Sądu Administracyjnego, organ prawidłowo przeprowadził postępowanie w przedmiotowej sprawie, właściwie - w sposób zgodny z treścią skargi J.M. i stanowiącej jej uzupełnienie korespondencji z dnia 18 marca 2011 r. oraz w sposób odpowiadający intencjom J.M. - ustalił przedmiot postępowania i wydał rozstrzygnięcie co do całości tego przedmiotu.
Z tych też względów, Naczelny Sąd Administracyjny – działając na podstawie art. 185 ustawy – Prawo o postępowaniu przed sądami administracyjnymi – uchylił zaskarżony wyrok w części (pkt 1 wyroku WSA w Warszawie) i przekazał sprawę w tym zakresie Wojewódzkiemu Sądowi Administracyjnemu w Warszawie do ponownego rozpoznania.
Przechodząc do omówienia zarzutów skargi kasacyjnej sformułowanej przez pełnomocnika J.M., zdaniem Naczelnego Sądu Administracyjnego, nie zasługują one na uwzględnienie.
Skarga kasacyjna J.M. nie stawia zarzutu naruszenia przepisów postępowania i nie kwestionuje prawidłowości poczynionych przez Sąd I instancji ustaleń faktycznych, zatem stan faktyczny przyjęty przez Sąd I instancji jest wiążący dla Naczelnego Sądu Administracyjnego rozpoznającego skargę kasacyjną. W skardze kasacyjnej postawione zostały jedynie zarzuty naruszenia prawa materialnego.
Istota pierwszego z zarzutów skargi kasacyjnej wywiedzionego przez J.M. w praktyce sprowadzała się do oceny tego, jakich relacji i między jakimi podmiotami, dotyczy norma art. 32 ust. 1 pkt 1 ustawy o ochronie danych osobowych. Formułując bowiem przedmiotowy zarzut skarżący kasacyjnie zarzucił Sądowi I instancji naruszenie wspomnianego art. 32 ust. 1 w zw. z art. 12 ust. 1 i ust. 2 ustawy o ochronie danych osobowych, poprzez błędne uznanie, iż w przedmiotowej sprawie nie ciąży na organie obowiązek (będący jednocześnie uprawnieniem) nałożony na organ przepisem art. 12 pkt 2) w zw. z art. 32 ust. 1 powoływanej ustawy, w szczególności obowiązek ustalenia administratora danych osobowych wobec niewykonania obowiązków wynikających z przepisów o ochronie danych osobowych, w szczególności odmowy uznania przez administratora danych swej roli administratora danych a w konsekwencji tego odmowy wypełnienia jakiegokolwiek z nałożonych nań przepisami ustawy o ochronie danych osobowych licznych obowiązków, w odpowiedzi na wniosek skarżącego o dopełnienie obowiązku wynikającego z przepisu art. 32 ustawy.
Rozstrzygając powstałe zagadnienie prawne w pierwszej kolejności należy – odwołując się do treści art. 32 ustawy o ochronie danych osobowych – wyjaśnić, iż przepis ten kształtuje prawo każdej osoby, której dotyczą przetwarzane w zbiorze dane osobowe, do kontroli procesu przetwarzania jej danych, co przejawia się w szczególności w prawie uzyskania wyczerpującej informacji na temat tego, czy określony zbiór istnieje oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem jest osoba fizyczna - jej miejsca zamieszkania oraz imienia i nazwiska. W świetle regulacji art. 32 ust. 1 zatem każdy ma prawo do poczynienia ustaleń w powyższym zakresie. Nie świadczy to jednak, w ocenie Naczelnego Sądu Administracyjnego, w żadnym razie o tym, jakoby Generalny Inspektor Ochrony Danych Osobowych był zarazem zobligowany do ustalania administratora danych osobowych w konkretnej sprawie, dla konkretnych danych. Osoba, której dane dotyczą może bowiem skutecznie domagać się udzielenia informacji w trybie art. 32 ustawy jedynie od administratora danych, który potencjalnie dane te przetwarza. Stanowisko takie znajduje pełne poparcie w literaturze przedmiotu, gdzie jednoznacznie stwierdza się, że zobowiązanym do udzielenia odpowiedzi jest każdy potencjalny administrator danych, który sam przetwarza albo zleca przetwarzanie danych, jak i podmiot, który przetwarza dane na zlecenia administratora (art. 31 ustawy o ochronie danych osobowych (por.: J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Zakamycze 2004, s. 630-633.).
Zatem raz jeszcze podkreślić należy, iż organ nie posiada w niniejszym postępowaniu przymiotu administratora danych. Jak trafnie skonstatował Sąd I instancji, GIODO jest jedynie organem ochrony danych osobowych. Nie mógł zatem zrealizować względem skarżącego obowiązków spoczywających na administratorze danych, którym w myśl art. 7 pkt 4 omawianej ustawy, jest organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3 ustawy, decydujące o celach i środkach przetwarzania danych osobowych. I nie zmienia tego faktu okoliczność, iż zgodnie z art. 12 pkt 3 ustawy o ochronie danych osobowych, do zadań GIODO należy m.in. prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach. Prowadzenie bowiem rejestru zbiorów danych osobowych nie oznacza, że GIODO posiada informacje o konkretnych danych osobowych osoby, której dane są przetwarzane w zarejestrowanym zbiorze danych. Organ ten nie jest w stanie, mając dane o zarejestrowanych zbiorach danych, ustalić jaki podmiot przetwarza dane konkretnej osoby.
Postępowanie administracyjne prowadzone przez GIODO ukierunkowane jest co do zasady na doprowadzenie do usunięcia zarzucanych nieprawidłowości w procesie przetwarzania danych osobowych osoby występującej ze skargą przez skarżony przez nią podmiot (art. 18 ust. 1 ustawy o ochronie danych osobowych). Zgodnie z art. 18 ust. 1 ustawy, w przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: usunięcie uchybień (pkt 1), uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych (pkt 2), zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe (pkt 3), wstrzymanie przekazywania danych osobowych do państwa trzeciego (pkt 4), zabezpieczenie danych lub przekazanie ich innym podmiotom (pkt 5), usunięcie danych osobowych (pkt 6).
Strona może zatem skutecznie dochodzić od GIODO wyłącznie podjęcia działań, o których mowa w ww. przepisie. W szczególności osoba, która zarzuca określonemu administratorowi niedopełnienie w stosunku do niej obowiązku informacyjnego, o którym mowa w art. 32 ustawy, może zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych z żądaniem nakazania wskazanemu administratorowi spełnienia tego obowiązku (art. 18 ust. 1 pkt 1 ustawy o ochronie danych osobowych).
Reasumując, słusznie zatem wskazał w treści zaskarżonej decyzji GIODO, że błędnym jest zarówno pogląd skarżącego o tym, iż określony w art. 32 ust. 1 pkt 1 ustawy o ochronie danych osobowych obowiązek udzielenia mu informacji odnośnie administratora jego danych osobowych ujawnionych w Raporcie spoczywa na Generalnym Inspektorze Ochrony Danych Osobowych, jak i ten, że postępowanie przed GIODO, dotyczące nieudzielania skarżącemu ww. informacji, nie jest postępowaniem inicjowanym w trybie skargowym.
Zasadnie Wojewódzki Sąd Administracyjny w Warszawie oddalił zatem skargę wskazując, iż obowiązek informacyjny statuowany w art. 32 ust. 1 pkt 1 ustawy o ochronie danych osobowych obciąża określony podmiot wyłącznie wówczas, gdy osoba, której dane dotyczą wystąpi do niego z żądaniem udzielenia jej informacji wymienionych w tym przepisie. Osoba zainteresowana uzyskaniem od potencjalnego administratora jej danych osobowych informacji w trybie ww. przepisu powinna bowiem zwrócić się bezpośrednio do tego administratora o ich udzielenie. Kontroli Generalnego Inspektora Ochrony Danych Osobowych podlegać będzie natomiast dopiero prawidłowość reakcji administratora danych na zgłoszone bezpośrednio pod jego adresem, przez osobę, której dane dotyczą, żądanie realizacji jej prawa do informacji statuowanego w art. 32 ust. 1 pkt 1 ustawy. W rozpoznawanej natomiast sprawie brak jest dowodów potwierdzających, aby skarżący zwracał się do Prezydenta Rzeczypospolitej Polskiej z żądaniem udzielenia mu informacji o których mowa w omawianym art. 32 ust. 1 pkt 1 ustawy. W szczególności żądania takiego nie sformułował Skarżący w skierowanym do Prezydenta Rzeczypospolitej Polskiej, wielokrotnie przez niego powoływanym, wniosku z dnia 20 listopada 2009 r. W piśmie tym Skarżący jednoznacznie powołał się wyłącznie na przepis art. 32 ust. 1 pkt 6 ustawy o ochronie danych osobowych, domagając się jedynie usunięcia jego danych osobowych ujawnionych w Raporcie z tego dokumentu. Udzielona Skarżącemu przez Prezydenta Rzeczypospolitej Polskiej w piśmie z dnia 8 kwietnia 2010 r. informacja, iż nie ma on statusu administratora jego danych osobowych ujawnionych w Raporcie nie stanowiła zatem odpowiedzi na żądanie sformułowane w trybie art. 32 ust. 1 pkt 1 ustawy o ochronie danych osobowych, a jedynie uzasadnienie stanowiska Prezydenta Rzeczypospolitej Polskiej wskazującego na brak jego kompetencji do usunięcia z Raportu kwestionowanych przez Skarżącego informacji na jego temat.
Reasumując, trafnie przyjął w treści zaskarżonego wyroku Wojewódzki Sąd Administracyjny w Warszawie, że skoro skarżący nie wystąpił bezpośrednio do Prezydenta RP o udzielenie mu informacji w trybie art. 32 ust. 1 pkt 1 ustawy o ochronie danych osobowych, oczywistym jest brak podstaw dla uznania, że Prezydent RP nieprawidłowo ustosunkował się do tego żądania, a w konsekwencji do skierowania pod jego adresem nakazu odpowiadającego dyspozycji art. 18 ust. 1 ustawy o ochronie danych osobowych.
Odnosząc się do drugiego z zarzutów skargi kasacyjnej J.M., w ocenie Naczelnego Sądu Administracyjnego, i ten zarzut uznać należy za bezzasadny. W ramach tego zarzutu skarżący kasacyjnie kwestionował prawidłowość przeprowadzonego postępowania administracyjnego poprzez naruszenie art. 77 § 4 k.p.a. w zw. z art. 22 ustawy o ochronie danych osobowych.
Zdaniem NSA, postępowanie administracyjne przeprowadzone zostało przez organ w sposób prawidłowy, bez naruszenia podstawowych praw skarżącego i w zgodzie z zasadami określonymi w procedurze administracyjnej. W szczególności, przedmiot postępowania został rzetelnie oceniony przez Generalnego Inspektora Ochrony Danych Osobowych w aspekcie przepisów ustawy o ochronie danych osobowych, po dokonaniu kompleksowej analizy całości zebranego w postępowaniu materiału dowodowego, stosownie do treści art. 77 i art. 80 k.p.a., i z uwzględnieniem zakresu skargi J.M. złożonej do Biura GIODO. Zaskarżona przez skarżącego decyzja zawierała obszerne i wyczerpujące uzasadnienie prawne i faktyczne takiego właśnie rozstrzygnięcia organu ochrony danych osobowych. Z tych też względów nie sposób zarzucić Sądowi I instancji naruszenia wskazanych przepisów procedury administracyjnej.
W świetle powyższego Wojewódzki Sąd Administracyjny w Warszawie nie naruszył żadnego z przepisów składających się na podstawy skargi kasacyjnej wniesionej przez J.M., co na mocy art. 184 ustawy – Prawo o postępowaniu przed sądami administracyjnymi skutkowało jej oddaleniem.