II SA 3597/03

II SA 3597/03 - Wyrok WSA w Warszawie
Data orzeczenia
2004-03-11
orzeczenie prawomocne
Data wpływu
2003-09-25
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Kołodziej
Joanna Kube
Małgorzata Jaśkowska /przewodniczący sprawozdawca/
Symbol z opisem
645  Sprawy nieobjęte symbolami podstawowymi 601644 oraz od 646-652
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia NSA del. Małgorzata Jaśkowska (spr.), Sędziowie a. WSA Andrzej Kołodziej, a. WSA Joanna Kube, Protokolant Grzegorz Walczak, po rozpoznaniu na rozprawie w dniu 11 marca 2004 r. sprawy ze skargi Naczelnika Urząd Skarbowy w O. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] sierpnia 2003 r. nr [...] w przedmiocie usunięcia uchybień w procesie przetwarzania danych oddala skargę
Uzasadnienie
Stan sprawy przedstawiał się następująco. Inspektorzy Biura Generalnego Inspektora Ochrony Danych Osobowych przeprowadzili w Urzędzie Skarbowym w O. w dniach [...]kwietnia 2003 r. kontrolę zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. W toku kontroli odebrali od pracowników urzędu ustne wyjaśnienia, skontrolowali systemy informatyczne oraz dokonali oględzin pomieszczeń, w których odbywa się przetwarzanie danych osobowych. Stan faktyczny został opisany w protokole kontroli podpisanym przez Naczelnika Urzędu.
W wyniku tego Generalny Inspektor Ochrony Danych Osobowych wszczął [...] czerwca 2003 r. postępowanie administracyjne i decyzją z dnia[...]lipca 2003 r. nr [...] nakazał Urzędowi Skarbowemu w O. usunięcie uchybień w procesie przetwarzania danych w terminie 6 miesięcy od dnia, w którym decyzja stanie się ostateczna, poprzez:
1. zapewnienie aby moduły "R.", "W.", "E.", "K." oraz "P. 2B" systemu P. odnotowywały dla każdej osoby, której dane są przetwarzane w systemie informatycznym, informacje: komu, kiedy i w jakim zakresie dane zostały udostępnione,
2. zapewnienie, aby system "P." umożliwiał udostępnienie na piśmie w powszechnie zrozumiałej formie treści danych o każdej osobie, której dane są przetwarzane wraz z informacjami, o których mowa w § 16 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 80, poz. 521 ze zm.).
W pozostałym zakresie, w którym Urząd usunął uchybienia w toku postępowania, umorzono je. Dotyczyło to modułu "M." systemu P..
W uzasadnieniu powołał się na fakt, że administratorem danych osobowych jest Urząd Skarbowy w O., a wyniki kontroli stwierdziły naruszenie przepisów o ochronie danych osobowych w zakresie § 16 i 17 rozporządzenia w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać systemy informatyczne służące do przetwarzania danych osobowych.
W dniu 21 lipca 2003 r. do Biura GIODO wpłynął złożony przez Urząd Skarbowy w O. wniosek o ponowne rozpatrzenie sprawy z dnia [...] lipca 2003 r. Poproszono w nim, aby decyzję w sprawie usunięcia uchybień uzależnić od stanowiska Ministerstwa Spraw Wewnętrznych i Administracji, do którego Ministerstwo Finansów, jako autor systemu P., skierowało wystąpienie o zmianę rozporządzenia MSWiA w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne.
W wyniku tego wniosku Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] sierpnia 2003 r. nr [...]podtrzymał swoje wcześniejsze rozstrzygnięcie. Powołał się przy tym na treść § 16 i 17 rozporządzenia w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Wskazał, że przy wyznaczaniu terminu wzięto pod uwagę, że właścicielem systemu jest Ministerstwo Finansów. Nie ma zaś znaczenia wystąpienie Ministra Finansów do Ministerstwa Spraw Wewnętrznych i Administracji w sprawie zmian przepisów rozporządzenia. Jest to bowiem tylko propozycja zmian i nie może być brana pod uwagę przy ocenie sposobu wykonania obowiązków przez administratora danych.
Urząd Skarbowy w O. zaskarżył tę decyzję w dniu[...]września 2003 r. do Naczelnego Sądu Administracyjnego. Jako uzasadnienie skargi podał niemożność spełnienia przez Urząd wymogów postawionych w zaskarżonej decyzji. Wskazał, że nie został zarejestrowany ogólnopolski zbiór danych podatkowych, a urzędy skarbowe oddzielnie rejestrowały swoje zbiory danych osobowych. Tymczasem zbiory te, z punktu widzenia Ministerstwa Finansów, są traktowane jako lokalne wycinki krajowego systemu przetwarzania danych osobowych. Właścicielem zbioru danych podatkowych jest resort finansów. Świadczy o tym fakt, iż urząd skarbowy ma ograniczony wpływ na kształt narzędzi informatycznych służących do przetwarzania danych, a jego działania w tym zakresie sprowadzają się jedynie do składania postulatów dotyczących funkcjonowania. Jako dowód wskazał kierowane doń pisma nakładające obowiązek stosowania systemu, określonych podsystemów czy wytycznych dotyczących pracy w poszczególnych komórkach. Jednostki podległe nie mogą na własną rękę wprowadzać żadnych zmian w funkcjonowaniu aplikacji służących do przetwarzania danych. Urząd skarbowy ma też niepełną kontrolę nad użytkownikami systemu przetwarzania danych, z których część nie jest pracownikami Urzędu, lecz są to osoby przydzielone na poziomie Departamentu Informatyzacji Ministerstwa Finansów (por. art. 37 i 38 ustawy).
Urząd wskazał, że brak komputerowej ewidencji udzielanej na zewnątrz informacji nie oznacza braku takiej informacji w ogóle. Ewidencja udzielonej informacji i uzgodnień prowadzona jest bowiem w sposób pisemny w każdej komórce urzędu, co znajduje odbicie w protokole (zał. nr 7 s. 4-5).
Podkreślił też, że nie jest stroną decyzji, choć w celu legalizacji istniejącego systemu musiał przyjąć na siebie odpowiedzialność poprzez stanowisko administratora danych osobowych za zbiór, którego de facto nie jest właścicielem.
Zarówno właścicielem, jak i autorem systemu informatycznego w urzędach, jest Departament Informatyzacji Ministerstwa Finansów. Wobec istnienia komputerowej sieci podległej Ministerstwu Finansów, strefa przetwarzania danych osobowych pojedynczego urzędu skarbowego nie jest ograniczona do tego urzędu, lecz poszerza się na terytorium całego kraju.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie. Wskazał, że zgodnie z art. 13 § 1 pkt 1 ustawy z dnia 29 sierpnia 1997 r. ordynacja podatkowa (Dz. U. Nr 137, poz. 926 ze zm.) organem podatkowym, stosownie do swojej właściwości, jest naczelnik urzędu skarbowego jako organ pierwszej instancji. Natomiast, w myśl art. 5 ust. 6 ustawy z dnia 21 czerwca 1996 r. o urzędach i izbach skarbowych (Dz. U. Nr 106, poz. 489 ze zm.) do zakresu działania naczelników urzędów skarbowych należy m.in. ustalanie lub określanie podatków, rejestrowanie podatników itp. Stosownie do art. 5 ust. 3 wykonuje on zadania przy pomocy kierowanego przez siebie urzędu.
Stąd Naczelnik Urzędu Skarbowego w O. jest administratorem danych (art. 7 pkt 4 ustawy o ochronie danych). W konsekwencji może być stroną postępowania i może być wobec niego wydana decyzja.
Administrator jest obligowany do dopełnienia obowiązków określonych w ustawie, jak i tych z § 16 pkt 4 i § 17 rozporządzenia. Fakt, że autorem systemu P. jest Ministerstwo Finansów i tylko ono może dokonać niezbędnych zmian w zakresie jego przystosowania do wymogów ustawy może mieć jedynie wpływ na określenie terminu. Stąd organ wyznaczył sześciomiesięczny termin na dostosowanie systemu P..
GIODO podkreślił przy tym, że obowiązek przestrzegania prawa spoczywa na wszystkich organach.
Wskazał też, że prowadzenie w sposób pisemny ewidencji udzielanej informacji nie spełnia wymogów § 16 pkt 4 rozporządzenia, które wymaga, aby było to zapewnione przez system informatyczny. Art. 7 pkt 2a ustawy wskazuje, że przez system informatyczny rozumie się zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. Ewidencja prowadzona w sposób pisemny nie stanowi elementu tego systemu.
Wojewódzki Sąd Administracyjny zważył, że:
Po pierwsze, należy poinformować strony, że zgodnie z art. 97 § 1 ustawy z dnia 30 sierpnia 2002 r. - Przepisy wprowadzające ustawę - Prawo o ustroju sądów administracyjnych i ustawę - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1271 z późn. zm.) sprawy, w których skargi zostały wniesione do Naczelnego Sądu Administracyjnego przed dniem 1 stycznia 2004 r. i postępowanie nie zostało zakończone, podlegają rozpoznaniu przez właściwe wojewódzkie sądy administracyjne na podstawie przepisów ustawy - Prawo o postępowaniu przed sądami administracyjnymi. Stąd też, na podstawie art. 13 § 2 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270) właściwy do rozstrzygania był Wojewódzki Sąd Administracyjny w Warszawie, ponieważ na jego obszarze znajduje się siedziba Generalnego Inspektora Ochrony Danych Osobowych.
Wojewódzki Sąd Administracyjny rozpatrując skargę uznał ją za niezasadną.
Sąd stwierdził przy tym, że dla rozstrzygnięcia przedmiotowej sprawy istotne było rozwiązanie trzech podstawowych kwestii. Dotyczyły one pojęcia systemu informatycznego, pojęcia administratora danych oraz znaczenia terminu "decyzja niewykonalna". Przy czym, pojęcie systemu informatycznego i kwestia wykonalności decyzji miały znaczenie dla zgodnego z prawem określenia przedmiotu decyzji, pojęcie administratora danych wpływało natomiast na legalność podmiotowego zakresu skarżonej decyzji.
Odnosząc się do pierwszego z tych pojęć Sąd wskazał, że jego definicję zawiera art. 7 pkt 2a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926).
Zgodnie z nim, ilekroć w ustawie mowa jest o systemie informatycznym - rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. Zdaniem Naczelnika Urzędu Skarbowego, na system ten składa się zarówno automatyczne przetwarzanie danych w systemie komputerowym, jak i ręczne przetwarzanie danych w kartotece, o ile systemy te współpracują ze sobą. Taka sytuacja miała zaś miejsce w przedmiotowej sprawie, gdzie część informacji dotyczących odnotowania dla każdej osoby, której dane są przetwarzane w systemie informatycznym, a mianowicie informacji komu i kiedy oraz w jakim zakresie dane zostały udostępnione - była przetwarzana ręcznie. W związku z czym, każda osoba mogła uzyskać udostępnienie na piśmie w powszechnie zrozumiałej formie treści danych o osobie, której dane są przetwarzane wraz z danymi, o których mowa w § 16 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 80, poz. 521). Powołał się przy tym na takąż definicję systemu informatycznego, wynikającą z wyroku Naczelnego Sądu Administracyjnego z dnia 3 grudnia 2003 r. sygn. akt II SA 232/02, zgodnie z którym: "Definicja systemu informatycznego w ustawie o ochronie danych osobowych jest bardzo pojemna. Nie można z niej wyeliminować procedur przetwarzania danych w innych formach niż elektroniczna. Procedury te mogą mieć charakter tradycyjny (np. ewidencje, skoroszyty), a nie tylko formę skondensowanego, jednomodułowego zbioru danych, np. w komputerze lub na dyskietce. ZUS i inne podmioty mogą więc - jeśli tak wynika z przyjętych przez nie procedur - gromadzić dane w systemie elektronicznym, a w inny sposób rejestrować informacje o osobach, które miały do nich dostęp oraz o czasie udostępniania danych."
Według Generalnego Inspektora Ochrony Danych Osobowych pojęcie systemu informatycznego ma natomiast, na tle ustawy, węższe znaczenie i odnosi się tylko do automatycznego przetwarzania danych, stąd nie można przyjąć, iż system informatyczny zastosowany w przedmiotowej sprawie spełniał warunki przewidziane w ww. rozporządzeniu.
Zdaniem Wojewódzkiego Sądu Administracyjnego należy przyjąć dla potrzeb rozpatrywanej sprawy węższe pojęcie systemu informatycznego. Przemawia bowiem za tym zarówno wykładnia językowa, jak i systemowa oraz celowościowa.
Zgodnie z językowym znaczeniem terminu "informatyczny" odnosi się on do informatyki, a więc techniki i metod przetwarzania informacji z zastosowaniem komputerów. Odróżnia się w związku z tym system informacyjny, jako udzielający informacji lub objaśnień, objaśniający od systemu informatycznego (por. Mały Słownik Języka Polskiego, W-wa 1996 r., s. 265). Za takim zrozumieniem przemawia też wykładnia systemowa. W art. 2 ust. 2 ustawy o ochronie danych osobowych wskazuje się bowiem, że ustawę tę stosuje się do przetwarzania danych osobowych w systemach informatycznych oraz w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych. Wynika z tego, iż ustawodawca rozróżnia system informatyczny oraz inne systemy przetwarzania danych. Jak wskazuje się w literaturze, ustawodawca traktuje w związku z tym odmiennie przetwarzanie danych w systemach informatycznych, a odrębnie w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych (J. Barta, R. Markiewicz, Ochrona danych osobowych, Komentarz, Zakamycze 2001 r., s. 257, 260 czy A. Drozd, Zakres zakazu przetwarzania danych osobowych, PiP 2003 r. nr 2 s. 44-55). Podobne stanowisko zajmuje A. Mednis podkreślając, że system informatyczny oznacza zespół środków informatycznych połączonych w określony sposób, stanowiący odrębną niezależną całość (A. Mednis, Ustawa o ochronie danych osobowych, Komentarz, W-wa 1999 r. s. 15). Za tego typu wykładnią przemawia też dyrektywa 95/46/EC Parlamentu Europejskiego i Rady Unii Europejskiej z dnia 24 października 1995 r. w sprawie ochrony osób w związku z przetwarzaniem danych osobowych oraz swobodnego przepływu takich danych (OJ nr L 281 z 23 listopada 1995 r. s. 31), która w art. 3 rozróżnia automatyczne przetwarzanie danych oraz wykonywane nie za pomocą środków automatycznych. Wskazując na możliwość przetwarzania danych wykonywanych także tylko w części automatycznie, używa jednak wówczas dla takiego systemu nazwy system ewidencyjny, a nie informatyczny.
W przedmiotowej sprawie można odwołać się również do wykładni celowościowej. Należy w związku z tym podkreślić, że powoływany przez skarżącego wyrok Naczelnego Sądu Administracyjnego odnosił się zarówno do innego stanu faktycznego, jak i innego typu danych osobowych. W przedmiotowej sprawie przedmiotem zbioru są bowiem szczególne dane zbierane przez organy podatkowe. Mają one istotne znaczenie z punktu widzenia ochrony praw obywateli i objęte są tajemnicą skarbową na podstawie art. 293 ustawy z 29 sierpnia 1997 r. ordynacja podatkowa (Dz. U. Nr 137, poz. 926 ze zm.). Na tym tle szczególnej wagi nabiera odpowiednia ochrona tych danych wynikająca z powoływanego rozporządzenia. Ochronę tę wzmacnia m.in. fakt, iż w samym systemie informatycznym powinno być każdorazowo odnotowane, kto zwracał się o udostępnienie informacji o podatniku i jakie informacje i kiedy zostały mu udzielone. Odnotowywanie tego typu danych w odrębnej kartotece, poza systemem informatycznym nie zapewnia, zdaniem Sądu, prawidłowej ochrony takich danych i właściwej kontroli nad ich przetwarzaniem. W takim przypadku, ochrona danych jest uzależniona bowiem od właściwego wykonywania obowiązków przez pracowników urzędu, a ujawnienie danych nie znajduje automatycznego odzwierciedlenia w systemie.
W związku z tym Wojewódzki Sąd Administracyjny stwierdził, że zastosowany przez Urząd Skarbowy system P. we wskazanych w decyzji GIODO modułach nie spełnia warunków rozporządzenia powoływanego powyżej.
Zgodnie bowiem z § 16 pkt 4 rozporządzenia dla każdej osoby, której dane są przetwarzane w systemie informatycznym, system ten powinien zapewniać odnotowanie informacji, komu i w jakim zakresie dane zostały udostępnione, jeżeli przewidziane jest udostępnianie danych innym podmiotom, chyba że dane te traktuje się jako dane powszechnie dostępne. Na podstawie § 17 system informatyczny służący do przetwarzania danych osobowych powinien umożliwić udostępnienie na piśmie, w powszechnie zrozumiałej formie, treści danych o każdej osobie, której dane są przetwarzane, wraz z informacjami, o których mowa w § 16.
Jak wskazuje protokół kontroli a czemu nie zaprzecza skarżący, warunki te nie są spełnione w systemie komputerowym. Jednocześnie dane, którymi dysponuje urząd skarbowy nie są powszechnie dostępne, lecz na mocy przepisów prawa przewidziane jest ich udostępnianie określonym podmiotom.
W konsekwencji, zastosowany system nie zapewnia dostatecznej ochrony przetwarzanych przez Urząd danych osobowych podatników. Sytuacja taka nie stanowi przy tym zaskoczenia dla urzędu skarbowego, system ten w przeciwieństwie do sytuacji rozpatrywanej w powoływanym wyroku II SA 232/02 działa od około 10 lat.
Następnym, istotnym pojęciem dla rozstrzygnięcia sprawy było pojęcie administratora. Skarżący kwestionował bowiem, że pełni tę rolę i wskazywał, że decyzja została w związku z tym skierowana do niewłaściwej strony.
Należy w związku z tym zauważyć, że pojęcie administratora wyjaśnia art. 7 pkt 4 ustawy o ochronie danych osobowych. Oznacza ono organ, instytucję, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3 ust. 1 i 2 decydujące o celach i środkach przetwarzania danych osobowych. W sprawie nie budziło przy tym wątpliwości, że zbiór danych osobowych został zarejestrowany przez Urząd Skarbowy w O.. Nie budziło też wątpliwości, że urząd był organem podatkowym w momencie wydawania decyzji i samodzielnie decydował o celach przetwarzania danych. Dopiero na podstawie ustawy z dnia 27 czerwca 2003 r. o utworzeniu Wojewódzkich Kolegiów Skarbowych oraz o zmianie niektórych ustaw regulujących zadania i kompetencje organów oraz organizację jednostek organizacyjnych podległych ministrowi właściwemu do spraw finansów publicznych (Dz. U. Nr 137, poz. 1302) funkcję tę przejęli naczelnicy urzędów skarbowych. Do organów tych, zgodnie z art. 5 ust. 6 ustawy z dnia 21 czerwca 1996 r. o urzędach i izbach skarbowych (Dz. U Nr 106, poz. 489 ze zm.), należało m.in. ustalanie lub określanie i pobór podatków oraz nieopodatkowanych należności budżetowych, jak i rejestrowanie podatników oraz przyjmowanie deklaracji podatkowych. Przetwarzały one w związku z tym dane osobowe, decydując o celach tego przetwarzania. Zdaniem sądu należało do nich również decydowanie o środkach przetwarzania tych danych. Organ zarejestrował bowiem zbiór danych, zdając sobie sprawę z wiążących się z tym uprawnień i obowiązków. Zbierał dane i je przetwarzał. Decydował o udostępnieniu bądź odmowie udostępnienia danych, o czym świadczą sporządzane informacje, aczkolwiek nieodnotowane w systemie informatycznym. Ciążyły na nim obowiązki z art. 36 ustawy, prowadził ewidencję osób zatrudnionych przy ich przetwarzaniu na podstawie art. 39 ustawy.
Skarżący nie zaprzeczał tym faktom. Kwestionował natomiast możliwość decydowania o środkach przetwarzania danych. Należy w związku z tym wskazać, że zgodnie z art. 41 pkt 5 ustawy o ochronie danych możemy wyróżnić środki techniczne i środki organizacyjne.
W sprawie nie ulegało wątpliwości, że Urząd Skarbowy decydował o środkach organizacyjnych (np. w zakresie ochrony danych), wątpliwości natomiast budziło decydowanie przez niego o środkach technicznych, a przynajmniej o tej jego części, jaką stanowiło zastosowanie określonego systemu informatycznego P.. Naczelnik i Urząd Skarbowy w O. podkreślali bowiem, że system ten został im narzucony w drodze polecenia służbowego. Należy w związku z tym zauważyć, że żaden przepis powszechnie obowiązujący nie nakazywał zastosowania w urzędach skarbowych określonego systemu informatycznego, ani nie zakazywał stosowania innego. Jeżeli system P. nie odpowiadał wymogom rozporządzenia stanowiącego akt powszechnie obowiązujący, jego zastosowanie stanowiło granice posłuszeństwa poleceniu służbowemu. Zgodnie z art. 18 ust. 2 ustawy z dnia 16 września 1982 r. o pracownikach urzędów państwowych (Dz. U. z 2001 r. Nr 86, poz. 953 ze zm.), jeżeli polecenie służbowe w przekonaniu urzędnika jest m.in. niezgodne z prawem, powinien on przedstawić swoje zastrzeżenia przełożonemu, a w razie pisemnego potwierdzenia powinien je wykonać, informując w tym przypadku organ nadrzędny. Podobną regulację zawiera art. 68 ust. 2 i 3 ustawy z 18 grudnia 1998 r. o służbie cywilnej (Dz. U. z 1999 r. Nr 49, poz. 483 ze zm.). Jednocześnie należy wskazać, że w myśl ustawy o urzędach i izbach skarbowych, system organów podatkowych oparty jest na decentralizacji, co w innym świetle stawia możliwość wydawania tego typu poleceń, gdyż minister właściwy do spraw finansów publicznych sprawuje, na podstawie art. 14 § 1 pkt 1 ustawy z 29 sierpnia 1997 r. ordynacja podatkowa (Dz. U. Nr 137, poz. 926 ze zm.), nadzór w sprawach podatkowych.
Jednocześnie należy wskazać, że w przedmiotowej sprawie nie został wydany żaden akt powszechnie obowiązujący, nakazujący zastosowanie określonego systemu informatycznego.
Stąd można przyjąć, że Urząd miał możliwości zarówno prawne, jak i faktyczne decydowania o środkach przetwarzania danych. Przetwarzanie danych nie jest bowiem czynnością prawną, lecz czynnością faktyczną, z której wypływają konsekwencje prawne. Do uznania podmiotu za administratora danych potrzebna jest zawsze analiza konkretnych przepisów prawnych. Stąd o tym, czy ktoś jest administratorem danych, decyduje przede wszystkim rodzaj i charakter nadanych mu przez prawo kompetencji z obszaru spraw publicznych oraz wyznaczone ustawowo zadania (R. Hauser, Przetwarzanie danych osobowych, cel i środki, Rzeczpospolita z 6 kwietnia 1999 r.). Wskazane powyżej ustawowe kompetencje urzędu wskazują, że spełnia on rolę administratora danych w rozumieniu art. 7 pkt 4 ustawy o ochronie danych. Minister był co prawda dostawcą systemu informatycznego, natomiast nie miał wpływu na treść i cel przetwarzania konkretnych danych. Stąd nie mógłby być traktowany jako administrator zbioru podatników z zakresu działania urzędu (por. J. Barta, R. Markiewicz, Ochrona s. 307).
Należy też podkreślić, że przy proponowanej przez urząd konstrukcji administratora określony zbiór danych nie mógłby być administrowany ani przez Ministra Finansów, ani Urząd Skarbowy. Wskazywał na to zresztą wcześniej w swoich decyzjach GIODO i doprowadziło to do zarejestrowania zbiorów przez określone urzędy skarbowe. Oznaczałoby to więc, że pozbawiano by ochrony prawnej i wyłączano z zakresu stosowania ustawy cały bardzo ważki i istotny zbiór danych osobowych.
Dlatego też można przyjąć, że problem autorstwa systemu informatycznego nie miał wpływu na obowiązki administratora danych wypływające z ustawy. Autorstwo systemu dotyczy bowiem uprawnień i obowiązków z zakresu prawa cywilnego. Problem obowiązków administratora wiąże się natomiast z prawem administracyjnym, ewentualnie prawem karnym.
Następnym zarzutem Urzędu Skarbowego w stosunku do decyzji Generalnego Inspektora Ochrony Danych Osobowych była jej niewykonalność. Urząd podkreślił bowiem, że nie jest właścicielem systemu P., nie jest więc władny dokonywać w nim żadnych zmian, a wprowadzenie takich zmian wiązałoby się z nadmiernymi kosztami, na co nie posiada samodzielnych środków budżetowych. W związku z tym decyzja jest nieważna, jako obarczona wadą z art. 156 § 1 pkt 5 ustawy z dnia 14 czerwca 1960 r. kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.).
Dla wyjaśnienia tej kwestii należy podkreślić, że przesłanka niewykonalności decyzji może mieć charakter faktyczny i prawny. Oznacza ona w pierwszym przypadku, iż nie ma możliwości technicznych do usunięcia przeszkody, w drugim zaś, że istnieją prawne nakazy lub zakazy, które stwarzają nieusuwalną przeszkodę w wykonaniu praw i obowiązków ustanowionych w decyzji. Niewykonalność tę powinny przy tym znamionować dwie cechy: wspomniane sytuacje istniały już w dacie wydania decyzji i są nieusuwalne przez cały czas. Ich istnienie powinno być przy tym udowodnione (B. Adamiak, J. Borkowski, kodeks postępowania administracyjnego, Komentarz, W-wa 2000 r. s. 668-669).
Odnośnie niewykonalności faktycznej należy podkreślić, że Sąd nie dopatrzył się jej w przedmiotowej sprawie. Organ nie wykazał bowiem, aby system P. nie mógł podlegać modyfikacji, okazała się ona zresztą możliwa w trakcie postępowania w module Mandaty. W orzecznictwie NSA wielokrotnie podkreślano też, że nie stanowią przeszkody w wykonalności decyzji ani względy ekonomiczne, ani finansowe, stąd nie ma dla tej sprawy znaczenia przewidywany, aczkolwiek niczym nieudokumentowany koszt przeprowadzenia takich zmian (por. wyrok NSA z 4 stycznia 1999 r. IV SA 1239/97, wyrok NSA z 20 grudnia 1984 r. I SA 804/84. ONSA 1984 nr 2, poz. 123).
W przypadku niewykonalności prawnej muszą istnieć natomiast prawne nakazy lub zakazy stwarzające nieusuwalną przeszkodę w wykonaniu decyzji. Takim powodem może być to, że jej realizacja mogłaby nastąpić tylko w wykonaniu czynu niedozwolonego w rozumieniu przepisów prawa cywilnego.
Taka sytuacja, nie może zaś mieć miejsca w przedmiotowej sprawie.
O ile w przypadku ustawy o ochronie danych osobowych wchodzi bowiem w grę podmiotowość administracyjnoprawna - art. 28 i 29 kpa w zw. z art. 22 ustawy o ochronie danych osobowych, o tyle w przypadku prawa cywilnego osobowość cywilnoprawna. W rozumieniu prawa cywilnego zarówno urząd skarbowy, jak i Minister Finansów reprezentują szerszą strukturę jaką jest Skarb Państwa. Zgodnie z art. 33 ustawy z dnia 23 kwietnia 1964 r. kodeks cywilny (Dz. U. Nr 16, poz. 93 ze zm.), osobami prawnymi są bowiem Skarb Państwa i jednostki organizacyjne, którym przepisy szczególne przyznają osobowość prawną.
Nie można zaś mówić o czynie niedozwolonym, jako popełnionym przez wewnętrzną część jednostki w stosunku do samej siebie. Stąd wykonanie zmian przez Urząd w systemie P., którego autorem jest Ministerstwo Finansów nie może stanowić czynu niedozwolonego w rozumieniu prawa cywilnego. Nie można więc uznać, że decyzja nakładająca taki obowiązek jest niewykonalna prawnie.
Z uwagi na odmiennie ukształtowaną podmiotowość prawa administracyjnego i prawa cywilnego może się zdarzyć, że skutki decyzji będą oddziaływać pośrednio na podmiot, który nie był stroną postępowania. Taka sytuacja nie może być jednak ujmowana w ramach przesłanki niewykonalności decyzji. W takim bowiem przypadku niewykonalne byłyby bowiem np. wszystkie decyzje o odszkodowaniu, ponieważ podmiot zobowiązany, strona postępowania administracyjnego, np. Naczelnik Urzędu Skarbowego byłby w takim samym stopniu uzależniony od środków finansowych Ministra i znajdowałby się w podobnym systemie organizacyjnym.
Nie ma przy tym znaczenia fakt, iż w przedmiotowej sprawie w grę wchodziły prawa autorskie do systemu. Ich autorem i właścicielem był bowiem pracodawca, Ministerstwo Finansów reprezentujące Skarb Państwa.
Należy zresztą zauważyć, że jest to konsekwencja przekazywania przez jednostkę nadrzędną jednostce podległej określonych środków przekazu w formie decyzji, stanowiącej w istocie polecenie służbowe. W przypadku struktur niezależnych od siebie, kiedy takie przekazanie następuje w drodze umowy, jej strony dysponują środkami cywilnoprawnymi, które pozwalają m.in. na zmianę umowy. Do tego typu umowy nie dochodzi w przypadku struktur niestanowiących w świetle prawa cywilnego odrębnych podmiotów prawa. Stąd też, przekazujący w drodze polecenia, np. obowiązek stosowania określonego systemu informatycznego, musi liczyć się z konsekwencjami, które będą wypływać z faktu tego przekazania w związku z istnieniem odrębnej podmiotowości administracyjnoprawnej. Z tego tylko punktu widzenia GIODO kierował do Ministra pismo z 4 grudnia 2003 r.
Co prawda, na tle art. 12 ust. 1 ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (Dz. U. 2000 r. Nr 80, poz. 904) pracodawca nabywa jedynie autorskie prawa majątkowe, a istnieją poza tym prawa osobiste, w tym nienaruszalność treści i formy utworu (art. 16 pkt 3 ustawy), podlegają one jednak ograniczeniu w odniesieniu np. do systemu komputerowego (por. Barta J., Markiewicz R., Nowy nośnik informacji - nowe problemy Rzeczpospolita 1997 r. (11) 18 t. 2).
Wojewódzki Sąd Administracyjny zauważył, że punkt 2 decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] lipca 2003 r. nr [...] nie miał charakteru dostatecznie precyzyjnego, nie wymieniał bowiem modułów "P.", w których miałyby nastąpić zmiany. Na tle punktu 1 i uzasadnienia decyzji oraz jej umorzenia w pozostałej części nie budził jednak wątpliwości zakres tych modułów. Stąd Sąd uznał, że tego typu naruszenie nie miało charakteru istotnego.
Stąd Wojewódzki Sąd Administracyjny orzekł, na podstawie art. 151 i 132 ustawy Prawo o postępowaniu przed sądami administracyjnymi, art. 7 pkt 2a w związku z art. 2 ust. 2, art. 7 pkt 4, art. 18 ust. 1 ustawy o ochronie danych osobowych oraz art. 156 § 1 pkt 5 kpa, jak w sentencji.