I OSK 983/07

I OSK 983/07 - Wyrok NSA
Data orzeczenia
2008-05-07
orzeczenie prawomocne
Data wpływu
2007-06-22
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Irena Kamińska /sprawozdawca/
Jerzy Krupiński
Małgorzata Jaśkowska /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
II SA/Wa 2110/06 - Wyrok WSA w Warszawie z 2007-03-16
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżony wyrok i przekazano sprawę do ponownego rozpoznania przez Wojewódzki Sąd Administracyjny
Powołane przepisy
Dz.U. 2002 nr 101 poz 926
art. 7 pkt 1
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - tekst jedn.
Sentencja
Naczelny Sąd Administracyjny w składzie następującym: Przewodniczący Sędzia NSA Małgorzata Jaśkowska, Sędziowie NSA Irena Kamińska – spr., Jerzy Krupiński, Protokolant Kamil Wertyński, po rozpoznaniu w dniu 7 maja 2008r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Generalnego Inspektora Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 16 marca 2007 r. sygn. akt II SA/Wa 2110/06 w sprawie ze skargi [...] Spółka z o.o. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] nr [...] w przedmiocie ochrony danych osobowych 1. uchyla zaskarżony wyrok i przekazuje sprawę Wojewódzkiemu Sądowi Administracyjnemu w Warszawie do ponownego rozpoznania; 2. zasądza od [...] Sp. z o.o. na rzecz Generalnego Inspektora Ochrony Danych Osobowych kwotę 280 (dwieście osiemdziesiąt) złotych tytułem zwrotu kosztów postępowania kasacyjnego
Uzasadnienie
Wojewódzki Sąd Administracyjny w Warszawie, wyrokiem z dnia 16 marca 2007 r. uchylił, na skutek skargi [...] Sp. z o.o. w W., decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] w przedmiocie ochrony danych osobowych oraz decyzję ja poprzedzającą z dnia [...]. Stwierdził ponadto, że zaskarżona decyzja nie podlega wykonaniu.
W uzasadnieniu wyroku przedstawiono następujący stan faktyczny sprawy.
Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] nakazał spółce [...] z siedzibą w W., naprawę uchybień w procesie przetwarzania danych osobowych poprzez: zaprzestanie zbierania danych dotyczących karalności pracowników od dnia, w którym niniejsza decyzja stanie się ostateczna, usunięcie ze zbioru pracowników danych dotyczących ich karalności w terminie miesiąca od dnia, w którym niniejsza decyzja stanie się ostateczna, zaprzestanie zbierania danych dotyczących nazwiska rodowego matki pracownika od dnia, w którym niniejsza decyzja stanie się ostateczna oraz zgłoszenie do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych osobowych, zawartych w raportach ze zdarzeń na trasie Stacji Techniczno-Postojowej oraz linii metra, sporządzanych przez pracowników Służby Ochrony Metra w terminie siedmiu dni, w którym niniejsza decyzja stanie się ostateczna.
Na skutek wniosku o ponowne rozpatrzenie sprawy, Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] utrzymał w mocy zaskarżoną decyzję. W uzasadnieniu organ wskazał, iż zgodnie z treścią art. 40 ustawy o ochronie danych osobowych, administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 przedmiotowej ustawy. W toku kontroli przeprowadzonej przez organ ustalono, że do zadań pracowników Służby Ochrony Metra należy rejestrowanie zdarzeń na terenie Stacji Techniczno-Postojowej oraz linii metra w formie raportów służbowych. Obowiązek prowadzenia przez wewnętrzne służby ochrony dziennika wydarzeń wynika, jak podkreślił organ, z treści § 8 ust. 1 pkt 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 17 listopada 1998 r. w sprawie wewnętrznych służb ochrony (Dz. U. z 1999 r. Nr 4, poz. 31 ze zm.) zgodnie z którym w wewnętrznych służbach ochrony prowadzi się dziennik wydarzeń zawierający: wpis daty i godziny zaistniałego wydarzenia, opis wydarzenia, dane personalne osób uczestniczących w wydarzeniu, dane personalne pracowników ochrony, którzy podejmowali interwencje. Z akt kontroli wynika, że pracownicy Służby Ochrony Metra wpisują do raportów dane osobowe uczestników zdarzeń, tj.: imiona i nazwiska, ewentualnie adresy, datę urodzenia, imiona rodziców, w przypadku, gdy dane takie od uczestnika zdarzenia uzyskał uprawniony podmiot (Policja, lekarz pogotowia). Raporty ułożone są chronologicznie, zgodnie z datą zdarzenia według stacji metra. Oddzielnie natomiast jeszcze przechowywane są raporty ze zdarzeń z udziałem Pogotowia Ratunkowego.
W ocenie organu, w ramach ustaleń poczynionych w trakcie kontroli, uznać należało, iż wskazane raporty tworzą zbiór, a zatem istnieje obowiązek zgłoszenia go do rejestracji Generalnemu Inspektorowi. Zgodnie z treścią art. 7 pkt 1 ustawy o ochronie danych osobowych, jak wskazał organ, ilekroć w ustawie jest mowa o zbiorze danych rozumieć przez to należy każdy posiadający strukturę zestaw danych o charakterze osobowym. W opisanej sytuacji, w ocenie Generalnego Inspektora, mamy do czynienia z zestawem danych o charakterze osobowym, który posiada własną strukturę, ponieważ stanowi on sumę uporządkowanych elementów, w tym przypadku formularzy raportów zawierających rubrykę przeznaczoną na wpisanie danych osobowych uczestników zdarzeń. Sposób ułożenia raportów wskazuje na istnienie kryteriów dostępności do danych osobowych zawartych w raportach. Organ nie doszukał się również podstaw, aby zakładać, że dane osobowe mają być dostępne według kryteriów osobowych, rozumianych jako zapewniające dostęp do danych identyfikujących, ponieważ ustawa o ochronie danych osobowych nie posługuje się takim pojęciem. Wystarczy występowanie jednego kryterium wyszukiwawczego w zestawieniu danych, jak wyjaśniał dalej organ, aby zaklasyfikować go jako zbiór danych w rozumieniu art. 7 pkt 1 ustawy. Nie można przyjąć, w ocenie Inspektora, że sposób ułożenia raportów nie dotyczy danych osobowych, lecz zdarzeń, albowiem w przypadku wyżej wymienionego zbioru, miejsca i daty zdarzenia stanowią kryteria dostępu do danych osobowych uczestników zdarzeń.
Generalny Inspektor Ochrony Danych Osobowych przyjął, że skarżący tworząc taki zbiór nie był zwolniony od obowiązku zgłoszenia go do rejestracji stosownie do treści art. 43 ust. 1 pkt 11 ustawy o ochronie danych osobowych. Regulacja ta zwalnia z obowiązku zgłoszenia administratorów danych przetwarzanych w zakresie drobnych bieżących spraw życia codziennego. Prowadzenie zbioru danych uczestników zdarzeń na terenie Stacji Techniczno-Postojowej i linii metra nie można zakwalifikować jako drobnych bieżących spraw życia codziennego, albowiem rejestracja takich zdarzeń należy do określonych w przepisach prawa obowiązków Służby Ochrony Metra. Organ nie podzielił stanowiska skarżącej spółki w zakresie zwolnienia jej od obowiązku rejestracji przedmiotowego zbioru. Generalny Inspektor Ochrony Danych Osobowych wskazał także, że nie można do zakresu działań wewnętrznych służb ochrony osób i obiektów przyjąć wykonywania czynności operacyjno-rozpoznawczych w postaci ochrony osób i obiektów oraz zabezpieczenia miejsca popełnienia czynów przestępczych. Tym samym do sporządzanych przez te służby raportów powinny mieć zastosowanie przepisy art. 43 ust. 1 pkt 1a ustawy o ochronie danych osobowych.
Skargę od tej decyzji do Sądu Administracyjnego w części dotyczącej pkt 4 złożyła skarżąca Spółka, wnosząc o uchylenie zaskarżonej decyzji w tej części. Metro W. zarzuciło organowi naruszenie szeregu przepisów ustawy o ochronie danych osobowych. Wskazało, że raporty sporządzane przez pracowników Służby Ochrony Metra ze zdarzeń na Stacji Techniczno-Postojowej i linii metra nie stanowią zbioru danych. Fakt ich chronologicznego ułożenia nie pozwala na dostęp do danych, które są ułożone tylko według jednego kryterium – chronologii zdarzeń – tymczasem treść przepisu wskazuje, iż takie kryteria powinny wystąpić, co najmniej dwa razy. Skarżący podkreślił ponadto, iż zgodnie z treścią art. 43 ust. 1 pkt 11 ustawy o ochronie danych osobowych, obowiązek rejestracji nie dotyczy drobnych bieżących spraw życia codziennego. Sporządzane raporty takich właśnie spraw, zdaniem skarżącego, dotyczą. W myśl art. 8 ust. 1 ustawy z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (t.j. Dz. U. z 2005 r. Nr 145, poz. 1221 ze zm.) oraz § 5 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 17 listopada 1998 r. w sprawie wewnętrznych służb ochrony (Dz. U. z 1999 r. Nr 4, poz. 31) do zakresu działań takich służb jak Służba Ochrony Metra należy również wykonywanie czynności operacyjno- rozpoznawczych, a tym samym uzyskane w ich wyniku dane nie podlegają zgodnie z art. 43 ust. 1 pkt 1 a ustawy o ochronie danych osobowych obowiązkowi rejestracji.
W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując swoje dotychczasowe stanowisko w sprawie.
Wojewódzki Sąd Administracyjny w Warszawie w uzasadnieniu wyroku z dnia 16 marca 2007 r. podkreślił, że zgodnie z art. 7 pkt 1 ustawy o ochronie danych osobowych przyjąć należy, iż przez pojęcie zbioru danych osobowych rozumie się każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Takim zbiorem, jak podkreślił Sąd, będzie więc: zestaw danych o charakterze osobowym, posiadający własną strukturę i podzielony funkcjonalnie.
Sąd pierwszej instancji podkreślił, że Służba Ochrony Metra jest wewnętrzną służbą ochrony powołaną zgodnie z przepisami rozdziału 3 ustawy z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (t.j. Dz. U. z 2005 r. Nr 145, poz. 1221 ze zm.). Szczegółowe zaś zasady funkcjonowania wewnętrznych służb ochrony reguluje rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 17 listopada 1998 r. w sprawie wewnętrznych służb ochrony (Dz. U. z 1999 r. Nr 4, poz. 31 ze zm.). Rozporządzenie nakłada w § 8 ust. 1 pkt 3 obowiązek prowadzenia przez wewnętrzne służby ochrony dziennika wydarzeń zawierającego: wpis daty i godziny zaistniałego wydarzenia, opis zaistniałego wydarzenia, jak też dane personalne osób które przyjmowały interwencję. Raporty zdarzeń, sporządzane przez pracowników Służby Ochrony Metra są wypełnieniem, jak wyjaśniał Sąd, dyspozycji tego przepisu. Jak wynika z treści § 8 ust. 1 pkt 3 powołanego powyżej rozporządzania jest to udokumentowanie działań wewnętrznych służb ochrony, a nie zbieranie danych osobowych osób, które uczestniczyły w określonych zdarzeniach. Fakt ten wynika także z akt postępowania kontrolnego, gdzie wskazano, że pracownicy Służby Ochrony Metra zamieszczają w raportach informacje o zdarzeniach, które miały miejsce na obszarze działania służby, a dane osobowe osób uczestniczących w zdarzeniu znajdują się tam tylko wtedy, gdy zostały podane pracownikom Służby Ochrony Metra przez Policję lub Pogotowie Ratunkowe. Zgodnie z treścią ustawy o ochronie danych osobowych podstawowym kryterium na podstawie, którego można stwierdzić, że mamy do czynienia ze zbiorem danych osobowych jest kryterium osobowe. Raporty sporządzane przez pracowników Służby Ochrony Metra dotyczą zdarzeń zaistniałych na terenie Stacji Techniczno-Postojowej i linii metra, a ewentualne dane osobowe znajdują się w nich niejako przypadkowo, wówczas gdy są już odebrane przez inne uprawnione służby. Dane osobowe nie są podstawowe dla danego zbioru, a tym samym trudno jest przyjąć, iż zbiór raportów sporządzonych przez pracowników Służby Ochrony Metra stanowi zbiór danych osobowych. Jednym z kryteriów, dla którego można mówić, że dany zbiór jest zbiorem danych osobowych jest kryterium dostępności do informacji o osobach znajdujących się w zbiorze. W rozpatrywanej sprawie, jak podkreślił Sąd pierwszej instancji, raporty pogrupowane są według kryterium chronologicznego, a w związku z tym nie można wskazać, iż dane zebrane w raportach ze zdarzeń są łatwo dostępne. Brak prostego, nieskomplikowanego dostępu do danych osobowych zebranych w raportach wskazuje, iż nie można mówić, że stanowią one zbiór danych osobowych, o których jest mowa w art. 7 pkt 1 ustawy o ochronie danych osobowych. Wojewódzki Sąd Administracyjny uznał, że raporty ze zdarzeń na terenie Stacji Techniczno-Postojowej oraz linii metra nie podlegają rejestracji jaka jest wymagana dla tego typu zbiorów według ustawy o ochronie danych osobowych.
Skargę kasacyjną od tego wyroku złożył Generalny Inspektor Ochrony Danych Osobowych, wnosząc o jego uchylenie w całości i przekazanie sprawy do ponownego rozpoznania. Zaskarżonemu rozstrzygnięciu organ zarzucił naruszenie przepisów prawa materialnego poprzez jego błędną wykładnię i niewłaściwe zastosowanie art. 7 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) poprzez uznanie, że raporty ze zdarzeń na terenie Stacji Techniczno-Postojowej i linii metra sporządzone przez pracowników Służby Ochrony Metra są zbiorem danych osobowych i podlegają rejestracji wymaganej dla tego typu zbiorów. W zakresie natomiast zarzutu naruszenia przez Sąd przepisów o postępowaniu organ podniósł zarzut uchylenia przez Sąd decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia 2 czerwca 2006 r., pomimo iż była ona zaskarżona jedynie w części dotyczącej pkt 4 czyli tylko w zakresie nakazu zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych osobowych, zawartych w raportach ze zdarzeń na ternie Stacji Techniczno-Postojowej oraz linii metra sporządzonych przez pracowników Służby Ochrony Metra.
Pełnomocnik skarżącego podkreślił, że zgodnie z definicją sformułowaną w art. 7 pkt 1 ustawy o ochronie danych osobowych, zbiorem danych jest każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Stosownie do treści art. 40 przedmiotowej ustawy administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi z wyjątkiem przypadków, o których mowa w art. 43 ust. 1. Pojęcie zbioru danych obejmuje swym zakresem zarówno zbiory zautomatyzowane jak i manualne. Zbiorami takimi, jak argumentował organ, mogą być również ręczne zbiory ewidencyjne, zgromadzone akta osobowe, a nawet zgromadzone znormalizowane materiały, na przykład formularze, kwestionariusze uporządkowane i ułożone w odpowiedni sposób. Wskazać należy, że również Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych formułuje w artykule 2 definicję zbioru danych osobowych, zgodnie z którą zbiór danych osobowych oznacza każdy uporządkowany zestaw danych osobowych, dostępnych według określonych kryteriów, scentralizowanych, zdecentralizowanych lub rozproszonych funkcjonalnie lub geograficznie. Dokonane w toku kontroli ustalenia pozwalają na stwierdzenie, że w przypadku raportów ze zdarzeń na terenie Stacji Techniczno- Postojowej oraz linii metra, sporządzanych przez pracowników Służby Ochrony Metra, mamy do czynienia z zestawem danych o charakterze osobowym, który posiada własną strukturę, stanowi sumę uporządkowanych elementów, w tym przypadku formularzy raportów zawierających rubrykę przeznaczoną na wpisanie danych osobowych uczestników zdarzeń. Raporty ułożone są chronologicznie, zgodnie z datą zdarzenia, jak również z podziałem na miejsce zdarzenia (stacje metra), a oddzielnie przechowywane są raporty ze zdarzeń z udziałem Pogotowia Ratunkowego. Opisany sposób ułożenia raportów wskazuje na istnienie kryteriów dostępności do danych osobowych zawartych w raportach. Nie ma natomiast podstaw zakładać, że dane osobowe mają być dostępne według kryteriów osobowych rozumianych jako zapewniające dostęp do danych identyfikujących, gdyż ustawa o ochronie danych osobowych oraz powołana powyżej dyrektywa, wbrew twierdzeniom zawartym w uzasadnieniu wyroku, nie posługują się takim pojęciem. W ocenie pełnomocnika skarżącego, argumentacja zamieszczona w uzasadnieniu wyroku Wojewódzkiego Sądu Administracyjnego nie jest prawidłowa. Organ podkreślił, że obowiązek prowadzenia raportów ze zdarzeń, jak również ich zawartość (w tym dane osobowe uczestników zdarzeń) wynika z § 8 ust. 1 pkt 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 17 listopada 1998 r. w sprawie wewnętrznych służb ochrony. Przepisy te stanowią również podstawę prawną przetwarzania danych osobowych osób uczestniczących w wydarzeniu. Fakt, że dane osobowe uczestników zdarzeń pojawiają się w raportach rzadko, nie pozbawia tych raportów cech zbioru danych w rozumieniu ustawy. Pełnomocnik organu podniósł także, że pozbawienie danych osobowych w omawianych raportach cech przetwarzania danych w zbiorze danych prowadziłoby do wyłączenia stosowania w tym zakresie ustawy o ochronie danych osobowych.
Na zakończenie pełnomocnik organu wskazał, że Sąd pierwszej instancji uchylił zaskarżoną decyzję z dnia [...] oraz decyzję ją poprzedzającą z dnia [...] w części, która nie była zaskarżona. Skarżąca spółka, jak wynika ze skargi złożonej do Sądu, wnosiła o uchylenie zaskarżonych decyzji w części dotyczącej pkt 4 czyli nakazu zgłoszenia rejestracji. Niezasadnym więc było, jak argumentował pełnomocnik organu, eliminowanie z obrotu prawnego decyzji w części nie zaskarżonej.
W odpowiedzi na skargę kasacyjną skarżący wniósł o jej oddalenie i podtrzymał dotychczasowe stanowisko w sprawie.
Naczelny Sąd Administracyjny zważył, co następuje:
Art. 183 § 1 P.p.s.a. ustanawia zasadę związania Naczelnego Sądu Administracyjnego podstawami skargi kasacyjnej. Ponieważ w sprawie nie wystąpiły przesłanki nieważności postępowania, o których mowa w art. 183 § 2 P.p.s.a. i które Sąd bierze pod rozwagę z urzędu, NSA zakresem rozpoznania objął zarzuty skargi kasacyjnej.
W przedmiotowej sprawie zarzuty te należy uznać za uzasadnione. Zawarty w skardze kasacyjnej zarzut naruszenia prawa materialnego w postaci art. 7 pkt 1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych mówi o błędnej jego wykładni i niewłaściwym zastosowaniu. Naruszenie prawa materialnego może jednak polegać na błędnej wykładni normy prawnej lub jej niewłaściwym zastosowaniu. Przepis art. 174 pkt 1 P.p.s.a. przewiduje zatem dwie formy naruszenia prawa materialnego, które w zasadzie nie mogą występować łącznie. Błędna wykładnia prawa polega na mylnym rozumieniu określonej normy prawnej, nieprawidłowym odczytaniu jej treści. Natomiast przy błędnym zastosowaniu prawa materialnego mamy do czynienia z wadliwym uznaniem, że ustalony w sprawie stan faktyczny odpowiada hipotezie określonej normy prawnej.
W przedmiotowej sprawie za trafny należy uznać zarzut błędnej wykładni art. 7 pkt 1 ustawy o ochronie danych osobowych (zwany dalej ustawą) przez uznanie, że raporty ze zdarzeń na terenie stacji linii metra sporządzane przez pracowników Służby Ochrony Metra, nie są w rozumieniu tego przepisu zbiorem danych osobowych.
Wskazany wyżej przepis stanowi, że przez zbiór danych rozumie się każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
Sąd pierwszej instancji uznając, że zbiór raportów sporządzonych przez pracowników Służby Ochrony Metra (SOM) nie jest zbiorem danych osobowych wskazał, że podstawowym kryterium, dla którego można stwierdzić, czy mamy do czynienia z takim zbiorem jest kryterium osobowe. Zbiór danych, o którym mowa w art. 7 pkt 1 ustawy o ochronie danych osobowych, to – zdaniem tego Sądu – zestaw danych o charakterze osobowym, w którym dane te są danymi podstawowymi, posiadający własną strukturę i podzielony funkcjonalnie (str 5 i 6 uzasadnienia). Podstawowym pytaniem, na które pozostaje w tej sytuacji odpowiedzieć, jest pytanie czy zbiory danych, w których dane osobowe nie są podstawowymi danymi są zbiorami, o których mowa w art. 7 pkt 1 ww. ustawy.
Skład Naczelnego Sądu Administracyjnego orzekający w niniejszej sprawie, nie podziela poglądu wyrażonego w tym zakresie przez Sąd pierwszej instancji. Dane osobowe zgodnie z art. 1 ust. 1 ustawy podlegają ochronie. Powinny one podlegać tej ochronie wtedy, kiedy są przez jakiś podmiot przetwarzane, tj. m.in. zbieranie, utrwalanie, przechowywanie. Zwłaszcza jeżeli proces przetwarzania jest, jak w omawianym przypadku procesem ciągłym, a ilość zgromadzonych danych może ciągle rosnąć i nie jest to liczba zamknięta. Z art. 7 ust. 1 ustawy nie wynika, że dane osobowe mają być w definiowanym tam "zbiorze danych" danymi podstawowymi. Nie wynika również, że kryterium dostępu do tych danych mają być dane identyfikacyjne (inne nazwisko, adres "PESEL"). Byłoby sprzeczne z intencją ustawodawcy i gwarancjami konstytucyjnymi przyjęcie, że dane osobowe prowadzone i przechowywane w zbiorach tworzonych dla realizowania celów gospodarczych czy ochrony bezpieczeństwa, mają nie podlegać ochronie tylko dlatego, że nie są w tych zbiorach danymi podstawowymi. Zbiór, którego dotyczy zaskarżona decyzja co do danych osobowych jest zbiorem rozproszonym, a dostępność do niego określona jest według trzech kryteriów: daty zdarzenia stacji, metra oraz udziału innych służb (policja, pogotowie ratunkowe).
Należy w tej sytuacji uznać, że zbiór gromadzony przez Spółkę [...], jest zbiorem danych, o którym mowa w art. 7 pkt 1 ustawy o ochronie danych osobowych. Skargę kasacyjną w tej części należy wobec tego uznać za uzasadnioną.
Na usprawiedliwionych podstawach jest również oparty drugi z zarzutów skargi kasacyjnej. Jak trafnie wskazuje skarżący skarga do Sądu Wojewódzkiego złożona przez Spółkę [...] dotyczyła pkt 4 decyzji wydanej w pierwszej instancji, natomiast Sąd uchylił obie decyzje w całości. Wprawdzie art. 134 P.p.s.a. stanowi, że Sąd rozstrzyga w granicach danej sprawy, nie będąc związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną, jednak wskazanie motywów i zakresu rozstrzygnięcia winny znaleźć odzwierciedlenie w uzasadnieniu wyroku. Z uzasadnienia wynika tymczasem, że Sąd uchylając obie decyzje nie wskazał przyczyn, dla których wyszedł poza granice skargi i uznał decyzję w niezaskarżonej części za sprzeczną z prawem.
Mając wszystko to na uwadze, Naczelny Sąd Administracyjny na podstawie art. 185 § 1 P.p.s.a. orzekł jak w sentencji.
Podstawą orzeczenia o kosztach był art. 203 pkt 2 P.p.s.a.