II SA/Wa 1449/04

II SA/Wa 1449/04 - Wyrok WSA w Warszawie
Data orzeczenia
2005-02-24
orzeczenie prawomocne
Data wpływu
2004-08-02
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Kołodziej /sprawozdawca/
Małgorzata Pocztarek /przewodniczący/
Maria Werpachowska
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia NSA Małgorzata Pocztarek, Sędzia WSA Maria Werpachowska, Asesor WSA Andrzej Kołodziej (spr.), Protokolant Paweł Groński, po rozpoznaniu na rozprawie w dniu 24 lutego 2005 r. sprawy ze skargi Naczelnika Urzędu Skarbowego W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia[...] czerwca 2004 r. nr [...] w przedmiocie odmowy stwierdzenia nieważności decyzji oddala skargę
Uzasadnienie
Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] lipca 2003 r. nr [...] nakazał Urzędowi Skarbowemu W. usunięcie uchybień w procesie przetwarzania danych osobowych w terminie 6 miesięcy od dnia, kiedy decyzja stanie się ostateczna, poprzez:
1. Zapewnienie, aby system "P." w zakresie podsystemów "R.", "E.", "K.", "P." zapewniał odnotowanie dla każdej osoby, której dane są w nim przetwarzane, informacji komu, kiedy i w jakim zakresie dane zostały udostępniane, a w przypadku podsystemu "M." również daty pierwszego wprowadzenia danych do tego podsystemu, zgodnie z § 16 pkt 1 i pkt 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych (Dz. U. Nr 80, poz. 521 ze zm.).
2. Zapewnienie, aby system informatyczny "P." w zakresie podsystemów "R.", "E.", "K.", "P." i "M." umożliwiał udostępnienie na piśmie w powszechnie zrozumiałej formie, treści danych o każdej osobie, której dane są przetwarzane wraz z informacjami komu, kiedy i w jakim zakresie dane zostały udostępnione, a w przypadku podsystemu "M." również daty pierwszego wprowadzenia danych. Zgodnie z § 17 powołanego wyżej rozporządzenia.
W dniu [...] stycznia 2003 r. do GIODO wpłynął wniosek Naczelnika Urzędu Skarbowego W. o stwierdzenie nieważności decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] lipca 2003 r. oraz wstrzymanie jej wykonania, z uwagi na błędną wykładnię ustawowej definicji systemu informatycznego, co stanowi wydanie decyzji bez podstawy prawnej w rozumieniu art. 156 § 1 pkt 2 kpa oraz niewykonalność zawartych w niej nakazów, przy czym jej wykonanie wywołałoby czyn zagrożony karą, co przewiduje spełnienie przesłanek zawartych w art. 156 § 1 pkt 5 i pkt 6 kpa.
Generalny Inspektor Ochrony Danych Osobowych postanowieniem z dnia [...] lutego 2004 r. nr [...]wstrzymał wykonanie przedmiotowej decyzji, a następnie decyzją z dnia [...] kwietnia 2004 r. nr [...] odmówił stwierdzenia jej nieważności.
We wniosku o ponowne rozpatrzenie sprawy Naczelnik US W. podniósł, że:
– interpretacja ustawowa definicji systemu informatycznego dopuszcza procedury przetwarzania danych o nieautomatycznym charakterze, co potwierdza stanowisko Naczelnego Sądu Administracyjnego zawarte w wyroku z dnia 27 listopada 2003 r. (sygn. akt II SA 232/02);
– decyzja jest niewykonalna dla Naczelnika Urzędu Skarbowego z uwagi na fakt, że system "P." jest systemem ogólnopolskim, faktycznie zarządzanym przez Ministerstwo Finansów, a wprowadzonym do obowiązkowej eksploatacji przez cały aparat skarbowy w Polsce;
– moduł systemu "M." odnotowuje również daty pierwszego wprowadzenia danych i identyfikatora użytkownika, który te dane wprowadził;
– decyzja skierowana została do niewłaściwego podmiotu, gdyż faktycznym i prawnym administratorem systemu jest Ministerstwo Finansów, a nie Naczelnik Urzędu Skarbowego,
a więc zostały spełnione przesłanki określone w przepisie art. 156 §1 pkt 2, 4, 5, 6 kpa i w związku z tym wniósł o uchylenie decyzji z dnia [...] kwietnia 2004 r. oraz stwierdzenie nieważności decyzji GIODO z dnia[...]lipca 2003 r.
Decyzją z dnia [...] czerwca 2004 r. nr [...]Generalny Inspektor Ochrony Danych Osobowych, na podstawie art. 138 § 1 pkt 1 i art. 158 § 1 w zw. z art. 156 § 1 pkt 2, pkt 4, pkt 5 i pkt 6 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 107 ze zm.) oraz art. 12 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), utrzymał w mocy swoją decyzję z dnia [...] kwietnia 2004 r.
W uzasadnieniu zaś wskazał, że § 16 pkt 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych wymagał, aby odnotowywane były informacje komu, kiedy i w jakim zakresie dane zostały udostępnione. Tymczasem w rejestrach pism wychodzących odnotowywane są wyłącznie informacje o tym, do kogo i kiedy pismo zostało skierowane, natomiast brak jest informacji o zakresie danych udostępnionych innym podmiotom.
W takiej sytuacji, rejestry pism wychodzących nie stanowią elementu systemu informatycznego, jako procedury przetwarzania informacji, tym bardziej, że Urząd Skarbowy nie wykazał, w jaki sposób rejestry miałyby współpracować z systemem "P.". Zgodnie bowiem z przepisem art. 7 pkt 2a ustawy o ochronie danych osobowych, ilekroć w ustawie jest mowa o systemie informatycznym – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i urządzeń programowych zastosowanych w celu przetwarzania danych.
Organ powołał się ponadto na treść przepisu art. 2 ust. 2 ustawy o ochronie danych osobowych, zgodnie z którym ustawę stosuje się do przetwarzania danych osobowych w systemach informatycznych oraz w kartotekach, skorowidzach, księgach i w innych zbiorach ewidencyjnych. Ustawodawca zatem wyraźnie odróżnił system informatyczny od kartotek, skorowidzów i ksiąg prowadzonych w sposób tradycyjny, czyli bez użycia urządzeń i programów tworzących system informatyczny, podział ten występuje również na gruncie prawa Unii Europejskiej (dyrektywa nr 95/46/WE z dnia 24 października 1995 r.).
Generalny Inspektor stwierdził, że definiując system informatyczny należy wziąć pod uwagę takie funkcjonujące obok pojęcia "system informatyczny" pojęcie "system informacyjny", który obejmuje zarówno technologiczne aspekty przetwarzania danych z użyciem specjalistycznego oprzyrządowania (np. komputerów), jak i tradycyjne metody przetwarzania danych. Prowadzone w Urzędzie Skarbowym W. w sposób tradycyjny ewidencje pism wychodzących są właśnie elementem systemu informacyjnego, co znajduje odzwierciedlenie w wyrokach Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 11 marca 2004 r. w sprawach sygn. akt II SA 3597/03, II SA 3837/03 i II SA 3851/03.
Organ podniósł też, że Naczelnik Urzędu Skarbowego nie przedstawił żadnego dowodu potwierdzającego spełnienie przez moduł "M." wymogu określonego w § 16 pkt 4 ww. rozporządzenia.
Odnosząc się do kwestii wykonalności decyzji z dnia [...] lipca 2003 r., GIODO stwierdził, że w świetle przepisów o ochronie danych osobowych Naczelnik Urzędu Skarbowego W. posiada status administratora danych. Ponadto przepisy art. 13 § 1 pkt 1 ustawy z dnia 29 sierpnia 1997 r.. Ordynacja podatkowa (Dz. U. Nr 137, poz. 926 ze zm.) oraz art. 5 ust. 6 ustawy z dnia 21 czerwca 1996 r. o urzędach i izbach skarbowych (Dz. U. Nr 106, poz. 489 ze zm.) uzasadniają przyjęcie, że przetwarzanie danych osobowych w celu wykonania określonych tymi przepisami zadań jest decydowaniem o celach i środkach przetwarzania danych osobowych podatników, a zatem Naczelnik Urzędu Skarbowego może być stroną postępowania prowadzonego przez Generalnego Inspektora i mogą być wobec niego wydane, w drodze decyzji, nakazy usunięcia stwierdzonych uchybień.
Organ ponownie powołał się na wymienione wyżej wyroki Wojewódzkiego Sądu Administracyjnego w Warszawie, a nadto wskazał, iż Urząd Skarbowy W. zgłosił w 1999 r. jako administrator danych do rejestracji zbiory danych osobowych o nazwie "Dane osobowe" oraz "Dane osobowe podatników i płatników".
Odnosząc się do zagadnienia stosunków własnościowych dotyczących systemu informatycznego, Generalny Inspektor Ochrony Danych Osobowych stwierdził, że jest to obojętne dla uznania podmiotu za administratora danych osobowych. Istotne jest natomiast, że to Urząd Skarbowy samodzielnie wykonuje określone operacje na danych osobowych, m.in. zbiera dane podatników opracowuje je, przekazuje i udostępnia. Czynności te wykonuje przy pomocy systemu informatycznego "P.", który jest wyłącznie narzędziem stosowanym w procesie przetwarzania danych.
Organ wskazał ponadto, że obowiązek przestrzegania prawa przez organy władzy publicznej wynika wprost z Konstytucji RP.
W skardze na powyższą decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie Naczelnik Urzędu Skarbowego W. wniósł o uchylenie zaskarżonej decyzji w całości, względnie o stwierdzenie jej nieważności, wstrzymanie wykonania zaskarżonej decyzji oraz zasądzenia od Generalnego Inspektora Ochrony Danych Osobowych na rzecz skarżącego kosztów postępowania.
W uzasadnieniu ponownie podniósł, że wyłącznym dysponentem systemu "P." jest Ministerstwo Finansów, a skarżący nie ma możliwości zarówno formalnych, jak i technicznych dokonania zmian tego systemu w celu usunięcia określonych w decyzji uchybień.
Wskazał również na bezpodstawność zarzutu naruszenia przez skarżącego prawa materialnego poprzez błędną wykładnię §16 pkt 1 i pkt 4 oraz § 16 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r., ponieważ ani te przepisy, ani żadne inne dotyczące ochrony danych osobowych nie określają metod odnotowywania udzielanych informacji. Ponadto informacje o podatnikach stanowiły, w myśl Ordynacji podatkowej, tajemnicę skarbową i w związku z tym podlegają odmiennemu i surowemu reżimowi postępowania, a udostępnienie danych odbywa się wyłącznie przy wykorzystaniu tradycyjnych (papierowych) procedur. Dowodem udostępnienia danych i zasadności takiej operacji nie są zapisy w obszarze oprogramowania komputerowego, lecz tradycyjne pisma, autoryzowane przez upoważnionych przedstawicieli wnioskującego i udostępniającego, zaś cybernetyczne dowody operacji mają w tym wypadku marginalne i wyłącznie pomocnicze znaczenie.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie i podtrzymał w całości stanowisko wyrażone zarówno w zaskarżonej decyzji, jak i w decyzji z dnia [...] kwietnia 2004 r.
W piśmie procesowym z dnia [...] lutego 2005 r. skarżący podniósł, że z dniem 1 maja 2004 r. przestało obowiązywać rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. i w związku z tym decyzja GIODO stała się bezprzedmiotowa, bowiem Naczelnik Urzędu Skarbowego W. nie jest zobowiązany do spełnienia wymogu, jaki wynikał z § 16 pkt 4 tego rozporządzenia, a jego wykonanie naraziłoby skarżącego na poniesienie niepotrzebnych kosztów.
Powołał się przy tym na fakt, że w identycznym stanie faktycznym i prawnym GIODO wydał w dniu [...] października 2004 r. decyzję stwierdzającą wygaśnięcie decyzji z dnia [...] lipca 2003 r. dotyczącej Naczelnika Urzędu Skarbowego W..
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Skarga nie zasługuje na uwzględnienie.
Stosownie do przepisu art. 1 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269), sądy administracyjne sprawują wymiar sprawiedliwości m.in. przez kontrolę działalności administracji publicznej (§ 1). Kontrola, o której mowa w § 1 sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej (§ 2).
W ocenie Sądu, przy badaniu legalności zaskarżonej decyzji istotne było rozważenie trzech podstawowych kwestii, a mianowicie pojęcia "system informatyczny", pojęcia "administrator danych" oraz znaczenia terminu "niewykonalność decyzji".
Pojęcie systemu informatycznego i zagadnienie wykonalności decyzji miały znaczenie dla zgodnego z prawem określenia przedmiotu decyzji, natomiast pojęcie administratora danych wpływało na legalność podmiotowego zakresu zaskarżonej decyzji.
Należy przy tym podnieść, że ocena zgodności z prawem zaskarżonej decyzji musiała być dokonana z uwzględnieniem enumeratywnie wymienionych w art. 156 §1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.) przesłanek stwierdzenia nieważności, bowiem zaskarżona decyzja utrzymywała w mocy decyzję wydaną w postępowaniu w sprawie stwierdzenia nieważności decyzji GIODO, a więc w postępowaniu nadzwyczajnym.
Odnosząc się do pierwszego z wymienionych na wstępie pojęć, należy wskazać, że jego definicję zawiera art. 7 pkt 2a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.). Stanowi on, że ilekroć w ustawie jest mowa o systemie informatycznym, rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i urządzeń programowych zastosowanych w celu przetwarzania danych.
Naczelnik Urzędu Skarbowego W. konsekwentnie twierdził, że z definicji systemu informatycznego zawartej w ustawie o ochronie danych osobowych wynika, iż do zakresu tego pojęcia wchodzą również procedury przetwarzania danych o nieautomatycznym (tradycyjnym) charakterze, a wskazana definicja dopuszcza również tradycyjny sposób dokonywania tych czynności. Z taką właśnie sytuacją mamy do czynienia w rozpatrywanej sprawie, gdzie część informacji – komu i kiedy oraz w jakim zakresie dane zostały udostępnione – jest przetwarzanych ręcznie i w związku z tym nie doszło do naruszenia przepisów § 16 pkt 4 i § 17 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 80, poz. 521 ze zm.). Na dowód powyższego rozumowania przytaczał stanowisko Naczelnego Sądu Administracyjnego zawarte w wyroku z dnia 27 listopada 2003 r., sygn. akt II SA 232/02, zgodnie z którym nie można z przepisów rozporządzenia tworzyć konstrukcji ochrony danych osobowych wyłącznie w oparciu o elektroniczny system informatyczny, zwłaszcza w odniesieniu do wieloletniej praktyki ZUS, ukształtowanej znacznie wcześniej w innych warunkach, a także z pominięciem praktyki równoległego korzystania ze względów bezpieczeństwa – przez różne podmioty przetwarzające dane osobowe z tradycyjnych systemów informatycznych.
Zdaniem Sądu, w rozpatrywanej sprawie pojęciu systemu informatycznego nie można jednak nadać tak szerokiego znaczenia, stąd nie można przyjąć, iż system informatyczny stosowany przez skarżącego spełnił wymogi zawarte w ww. rozporządzeniu. Prawidłowość takiego rozumowania potwierdza zarówno wykładnia językowa, jak również celowościowa.
Zgodnie z językowym znaczeniem, termin "informatyczny" odnosi się do informatyki, a więc techniki i metod przetwarzania informacji z zastosowaniem komputerów. Odróżnia się w związku z tym system informacyjny jako udzielający informacji lub objaśnień, objaśniający, od systemu informatycznego (por. Mały Słownik Języka Polskiego, Warszawa 1996 r., s. 265). Za takim rozumieniem przemawia też wykładnia systemowa, bowiem w art. 2 ust. 2 ustawy o ochronie danych osobowych wskazuje się, że ustawę tę stosuje się do przetwarzania danych osobowych w systemach informatycznych oraz w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych. Wynika z tego, że ustawodawca rozróżnia system informatyczny oraz inne systemy przetwarzania danych. Jak wskazuje się w literaturze, ustawodawca traktuje w związku z tym odmiennie przetwarzanie danych w systemach informatycznych, a odrębnie w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych (J. Barta, R. Markiewicz, Ochrona danych osobowych, Komentarz, Zakamycze 2001 r., s. 260), (A. Drozd, Zakres zakazu przetwarzania danych osobowych, Pip 2003 r. nr 2 s. 44-55). Podobne stanowisko zajmuje A. Mednis podkreślając, że system informatyczny oznacza zespół środków informatycznych połączonych w określony sposób, stanowiący odrębną, niezależną całość (A. Mednis, Ustawa o ochronie danych osobowych, Komentarz, Warszawa 1999 r. s. 14). Za tego typu wykładnią przemawia ponadto dyrektywa 95/46/EC Parlamentu Europejskiego i Rady Unii Europejskiej z dnia 24 października 1995 r. w sprawie ochrony osób w związku z przetwarzaniem danych osobowych oraz swobodnego przepływu takich danych (O Nr L281 z 23 listopada 1995 r. s. 31), która w art. 3 rozróżnia automatyczne przetwarzanie danych oraz wykonywane nie za pomocą środków automatycznych. Wskazując na możliwość przetwarzania danych wykonywanych także, tylko w części, automatycznie, używa wówczas dla takiego systemu nazwy system ewidencyjny, a nie informatyczny.
W przedmiotowej sprawie można odwołać się również do wykładni celowościowej. Należy przy tym podkreślić, że powoływany przez skarżącego wyrok Naczelnego Sądu Administracyjnego odnosił się, zarówno do innego stanu faktycznego, jak i innego typu danych osobowych. W rozpatrywanej sprawie elementami zbioru są bowiem szczególne dane zbierane przez organy podatkowe. Mają one istotne znaczenie z punktu widzenia ochrony praw obywateli i objęte są tajemnicą skarbową na podstawie art. 293 ustawy z 29 sierpnia 1997 r. Ordynacja podatkowa (Dz. U. Nr 137, poz. 926 z późn. zm.). Na tym tle szczególnego znaczenia nabiera odpowiednia ochrona tych danych, wynikająca z rozporządzenia Ministra Spraw Wewnętrznych i Administracji. Ochronę tę wzmacnia m.in. fakt, iż w samym systemie informatycznym powinno być każdorazowo odnotowane, kto zwracał się o udostępnienie informacji o podatniku, jakie informacje i kiedy zostały mu udzielone. Odnotowywanie tego typu danych w odrębnej ewidencji, poza systemem informatycznym nie zapewnia, zdaniem Sądu, prawidłowej ochrony takich danych i właściwej kontroli nad ich przetwarzaniem, stwarzając możliwość ujawnienia danych bez odnotowania tego faktu.
Wobec powyższego Wojewódzki Sąd Administracyjny stwierdził, że użytkowany przez Urząd Skarbowy W. system "P.", we wskazanych w decyzji GIODO modułach, nie spełnia warunków rozporządzenia Ministra SWiA. Nie zapewnia również dostatecznej ochrony przetwarzanych przez urząd danych osobowych podatników.
Kolejnym pojęciem istotnym dla rozstrzygnięcia sprawy, było pojęcie administratora danych osobowych. Skarżący kwestionował bowiem, że pełni tę rolę i wskazywał w tym kontekście, że decyzja została skierowana w części do niewłaściwej strony.
Należy w związku z tym zauważyć, że pojęcie administratora określa art. 7 pkt 4 ustawy o ochronie danych osobowych, wskazując organ, instytucję, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3 ust. 1 i 2 decydujące o celach i środkach przetwarzania danych osobowych.
W sprawie nie budził wątpliwości fakt, że zbiór danych osobowych został zarejestrowany przez Urząd Skarbowy W.. Bezspornym było również, że urząd był organem podatkowym w dacie wydawania decyzji z dnia [...] lipca 2003 r. i samodzielnie decydował o celach przetwarzania danych. Dopiero na podstawie ustawy z dnia 27 czerwca 2003 r. o utworzeniu Wojewódzkich Kolegiów Skarbowych oraz o zmianie niektórych ustaw regulujących zadania i kompetencje organów oraz organizację jednostek organizacyjnych podległych ministrowi właściwemu do spraw finansów publicznych (Dz. U. Nr 137, poz. 1302), funkcję tę przejął naczelnik urzędu skarbowego. Stąd stroną postępowania o stwierdzenie nieważności był już Naczelnik Urzędu Skarbowego W.. Do organów tych, zgodnie z art. 5 ust. 6 ustawy z dnia 21 czerwca 1996 r. o urzędach i izbach skarbowych (Dz. U Nr 106, poz. 489 z późn. zm.), należało m.in. ustalanie lub określanie i pobór podatków oraz nieopodatkowanych należności budżetowych, jak i rejestrowanie podatników oraz przyjmowanie deklaracji podatkowych. Przetwarzali oni w związku z tym dane osobowe, decydując o celach tego przetwarzania. W ocenie Sądu należało do nich również decydowanie o środkach przetwarzania. Zarejestrowali bowiem zbiory danych, zdając sobie sprawę z wiążących się z tym uprawnień i obowiązków. Decydowali o udostępnieniu bądź odmowie udostępnienia danych, o czym świadczą sporządzane informacje, nieodnotowane jednak w systemie informatycznym. Ciążyły wreszcie na nich obowiązki z art. 36 ustawy a nadto prowadzili ewidencję osób zatrudnionych przy ich przetwarzaniu na podstawie art. 39 ustawy o ochronie danych osobowych.
Skarżący konsekwentnie podnosił zarzut braku możliwości decydowania o środkach przetwarzania danych.
Zgodnie z art. 41 pkt 5 ustawy o ochronie danych osobowych możemy wyróżnić środki techniczne i organizacyjne.
W sprawie nie budziła wątpliwości możliwość decydowania przez naczelnika urzędu o środkach organizacyjnych, istniały natomiast wątpliwości odnośnie środków technicznych w tym zakresie, przynajmniej w tej części, jaką stanowiło zastosowanie określonego systemu informatycznego "P.". Skarżący podniósł bowiem, że system ten został mu narzucony w drodze polecenia służbowego. Należy w związku z tym wskazać, że żaden przepis powszechnie obowiązującego prawa nie nakazywał stosowania w urzędach skarbowych określonego systemu informatycznego, ani nie zakazywał stosowania innego. Jeżeli system "P." zatem nie odpowiadał wymogom rozporządzenia stanowiącego akt powszechnie obowiązujący, jego zastosowanie stanowiło granice posłuszeństwa wobec takiego polecenia. Zgodnie z art. 18 ust. 2 ustawy z dnia 16 września 1982 r. o pracownikach urzędów państwowych (Dz. U. z 2001 r. Nr 86, poz. 953 z późn. zm.), jeżeli polecenie służbowe w przekonaniu urzędnika jest m.in. niezgodne z prawem, powinien on przedstawić swoje zastrzeżenia przełożonemu, a w razie pisemnego potwierdzenia powinien je wykonać, informując o tym przypadku organ nadrzędny. Podobną regulację zawiera art. 68 ust. 2 i 3 ustawy z dnia 18 grudnia 1998 r. o służbie cywilnej (Dz. U. z 1999 r. Nr 49, poz. 483 ze zm.). Jednocześnie należy wskazać, że w myśl ustawy o urzędach i izbach skarbowych, system organów podatkowych oparty jest na decentralizacji, co w innym świetle stawia możliwość wydawania tego typu poleceń, gdyż minister właściwy do spraw finansów publicznych, na podstawie art. 14 sprawuje nadzór w sprawach podatkowych.
Wobec tego zasadne jest przyjęcie, że urząd miał możliwości zarówno prawne, jak i faktyczne decydowania o środkach przetwarzania danych. Przetwarzanie danych nie jest bowiem czynnością prawną, lecz czynnością faktyczną, z której wypływają konsekwencje prawne. Do uznania podmiotu za administratora danych potrzebna jest zawsze analiza konkretnych przepisów prawnych. Stąd o tym, czy ktoś jest administratorem danych, decyduje przede wszystkim rodzaj i charakter nadanych mu przez prawo kompetencji z obszaru spraw publicznych oraz wyznaczone ustawowo zadania (R. Hauser, Przetwarzanie danych osobowych, cel i środki, Rzeczpospolita z 6 kwietnia 1999 r.). Wskazane powyżej ustawowe kompetencje skarżącego wskazują, że spełnia on rolę administratora danych w rozumieniu art. 7 ust. 4 ustawy o ochronie danych. Minister był, co prawda, dostawcą systemu informatycznego, lecz nie miał wpływu na treść i cel przetwarzania konkretnych danych. Stąd nie mógłby być traktowany jako administrator zbioru podatników z zakresu działania urzędu (por. J. Barta, R. Markiewicz, Ochrona... s. 307).
Dlatego też można przyjąć, że zagadnienie autorstwa systemu informatycznego nie ma wpływu na obowiązki administratora danych wypływające z ustawy. Autorstwo systemu dotyczy bowiem uprawnień i obowiązków z zakresu prawa cywilnego, natomiast obowiązki administratora wiążą się z prawem administracyjnym, ewentualnie prawem karnym.
Należy również podkreślić, że przy zastosowanej przez skarżącego koncepcji, określony zbiór danych nie mógłby być ze wskazanych wyżej przyczyn, administrowany przez Ministra Finansów. Podnosił to zresztą wcześniej w swoich decyzjach Generalny Inspektor, czego konsekwencją było zarejestrowanie zbiorów danych przez właściwe urzędy skarbowe. Nie mógłby być według tej koncepcji administrowany także przez urzędy skarbowe, co mogłoby doprowadzić do sytuacji, że bardzo ważne istotne zbiory danych osobowych pozbawione zostałyby ochrony prawnej i wyłączone z zakresu stosowania ustawy.
Następnym zarzutem urzędu skarbowego w stosunku do decyzji GIODO był zarzut niewykonalności decyzji. Urząd wskazywał bowiem, że nie jest właścicielem systemu "P.", nie jest więc władny dokonywać w nim żadnych zmian. Ich wprowadzenie wiązałoby się ponadto z przekroczeniem planu finansowego jednostki budżetowej, jaką jest urząd skarbowy, skutkującym naruszeniem dyscypliny finansów publicznych i odpowiedzialnych za to naruszenie. W związku z tym decyzja jest obarczona wadą, o której mowa w art. 156 § 1 pkt 5 ustawy z dnia 14 czerwca 1960 r. kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.).
Dla wyjaśnienia tej kwestii należy podkreślić, że przesłanka niewykonalności decyzji może mieć charakter faktyczny i prawny. Oznacza ona w pierwszym przypadku, iż nie ma możliwości technicznych do usunięcia przeszkody, w drugim zaś, że istnieją prawne nakazy lub zakazy, które stwarzają nieusuwalną przeszkodę w wykonaniu przerw i obowiązków ustanawianych w decyzji.
Niewykonalność tę powinny przy tym znamionować dwie cechy: wspomniane sytuacje istniały już w dacie wydania decyzji i są nieusuwalne przez cały czas oraz ich istnienie powinno być przy tym udowodnione (B. Adamiak, J. Borkowski, kodeks postępowania administracyjnego, Komentarz, Warszawa 2000 r. s. 668-669).
Odnośnie niewykonalności faktycznej należy wskazać, że Sąd nie dopatrzył się jej w przedmiotowej sprawie. Organ nie wykazał bowiem, aby system "P." nie mógł podlegać modyfikacji. W orzecznictwie Naczelnego Sądu Administracyjnego wielokrotnie podkreślano też, że nie stanowią przeszkody w wykonalności decyzji ani względy ekonomiczne, ani finansowe, stąd nie ma dla tej sprawy znaczenia, że Ministerstwo Finansów nie przewidziało pozycji dotyczącej wydatków na system komputerowy (por. wyrok NSA z 4 stycznia 1999 r., sygn. akt IV SA 1239/97, wyrok NSA z 20 grudnia 1984 r., sygn. akt I SA 804/84. ONSA 1984 r. nr 2, poz. 123). W przypadku niewykonalności prawnej muszą istnieć prawne nakazy lub zakazy stwarzające nieusuwalną przeszkodę w wykonaniu decyzji. Takim powodem może być to, że jej realizacja mogłaby nastąpić tylko w wykonaniu czynu niedozwolonego w rozumieniu przepisów prawa cywilnego.
Taka sytuacja, nie może zaś mieć miejsca w przedmiotowej sprawie.
O ile bowiem, w przypadku ustawy o ochronie danych osobowych wchodzi w grę podmiotowość administracyjnoprawna zgodnie z art. 28 i 29 kpa w zw. z art. 22 ustawy o ochronie danych osobowych, o tyle w przypadku prawa cywilnego w grę wchodzi osobowość cywilnoprawna. W rozumieniu prawa cywilnego, zarówno urząd skarbowy, jak i Minister Finansów reprezentują szerszą strukturę jaką jest Skarb Państwa. Zgodnie z art. 33 ustawy z dnia 23 kwietnia 1964 r. kodeks cywilny (Dz. U. Nr 16, poz. 93 z późn. zm.), osobami prawnymi są bowiem Skarb Państwa i jednostki organizacyjne, którym przepisy szczególne przyznają osobowość prawną.
Nie można zaś mówić o czynie niedozwolonym, jako popełnionym przez wewnętrzną część jednostki w stosunku do samej siebie. Stąd wykonanie zmian przez urząd w systemie "P.", którego autorem jest Ministerstwo Finansów nie może stanowić czynu niedozwolonego w rozumieniu prawa cywilnego. Nie można więc uznać, że decyzja nakładająca taki obowiązek jest niewykonalna prawnie.
Z uwagi na odmiennie ukształtowaną podmiotowość prawa administracyjnego i prawa cywilnego może się zdarzyć, że skutki decyzji będą oddziaływać pośrednio na podmiot, który nie był stroną postępowania. Taka sytuacja nie może być jednak ujmowana w ramach przesłanki niewykonalności decyzji. W takim bowiem przypadku niewykonalne byłyby np. wszystkie decyzje o odszkodowaniu, ponieważ podmiot zobowiązany jako strona postępowania administracyjnego, np. naczelnik urzędu skarbowego byłby w takim samym stopniu uzależniony od środków finansowych ministra i znajdowałby się w podobnym systemie organizacyjnym.
Nie ma przy tym znaczenia fakt, iż w przedmiotowej sprawie w grę wchodziły prawa autorskie do systemu. Ich autorem i właścicielem był bowiem pracodawca, Ministerstwo Finansów, reprezentujące Skarb Państwa.
Należy zresztą zauważyć, że jest to konsekwencja przekazywania przez jednostkę nadrzędną jednostce podległej określonych środków przekazu w formie decyzji, stanowiącej w istocie polecenie służbowe. W przypadku struktur niezależnych od siebie, kiedy takie przekazanie następuje w drodze umowy, jej strony dysponują środkami cywilnoprawnymi, które pozwalają m.in. na zmianę umowy. Do tego typu umowy nie dochodzi w przypadku struktur niestanowiących w świetle prawa cywilnego odrębnych podmiotów prawa. Stąd też, przekazujący w drodze polecenia, np. obowiązek stosowania określonego systemu informatycznego, musi liczyć się z konsekwencjami, które będą wypływać z faktu tego przekazania w związku z istnieniem odrębnej podmiotowości administracyjnoprawnej. Z tego tylko punktu widzenia GIODO kierował do Ministra Finansów pismo z [...] grudnia 2003 r.
Co prawda, na tle art. 12 ust. 1 ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (Dz. U. 2000 r. Nr 80, poz. 904) pracodawca nabywa jedynie autorskie prawa majątkowe, a istnieją poza tym prawa osobiste, w tym nienaruszalność treści i formy utworu (art. 16 pkt 3 ustawy), podlegają one jednak ograniczeniu w odniesieniu np. do systemu komputerowego (por. Barta J., Markiewicz R., Nowy nośnik informacji – nowe problemy Rzeczpospolita 1997 r. 11/18 t. 2).
Jeśli chodzi zaś o kwestie poruszone w piśmie procesowym z dnia [...] lutego 2005 r., to nic nie stoi na przeszkodzie, by również w stosunku do skarżącego Generalny Inspektor Ochrony Danych Osobowych stwierdził wygaśnięcie w części decyzji z dnia [...] lipca 2003 r. w związku z utratą mocy obowiązującej rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. i wejściem w życie z dniem 1 maja 2005 r. rozporządzenia tegoż ministra z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). Jednakże w tym celu konieczne jest zwrócenie się przez skarżącego ze stosownym wnioskiem do GIODO, co potwierdził na rozprawie pełnomocnik Generalnego Inspektora.
Odnosząc się do zawartego w skardze wniosku o wstrzymanie wykonania zaskarżonej decyzji należy wskazać, że nastąpiło ono postanowieniem Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 8 września 2004 r.
Mając powyższe na względzie, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), orzekł jak w sentencji wyroku.