II SA/Wa 1894/05

II SA/Wa 1894/05 - Wyrok WSA w Warszawie
Data orzeczenia
2006-05-30
orzeczenie prawomocne
Data wpływu
2005-11-02
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Eugeniusz Wasilewski /przewodniczący/
Ewa Grochowska-Jung
Stanisław Marek Pietras /sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Sygn. powiązane
I OSK 1365/06 - Wyrok NSA z 2008-01-28
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono decyzję I i II instancji
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA - Eugeniusz Wasilewski Sędzia WSA - Ewa Grochowska-Jung Sędzia WSA - Stanisław Marek Pietras (spraw.) Protokolant - Marek Kozłowski po rozpoznaniu na rozprawie w dniu 16 maja 2006 r. sprawy ze skargi Prezesa Instytutu Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] sierpnia 2005 r. nr [...] w przedmiocie nakazania Prezesowi Instytutu Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu usunięcia uchybień w procesie przetwarzania danych osobowych - uchyla zaskarżoną decyzję oraz utrzymaną nią w mocy decyzję z dnia [...] lipca 2005 r. nr [...], - zaskarżona decyzja nie podlega wykonaniu w całości.
Uzasadnienie
Upoważnieni inspektorzy Biura Generalnego Inspektora Ochrony Danych Osobowych, przeprowadzili kontrolę w Instytucie Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu z siedziba przy ul. [...] w W., w celu ustalenia zgodności przetwarzania danych z przepisami o ochronie danych osobowych, tj. ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. z 2002 r. Dz. U. Nr 101, poz. 926 ze zm.) i z rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakimi powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). W trakcie tej kontroli odebrano od pracowników Instytutu Pamięci Narodowej ustne wyjaśnienia lub przesłuchano ich w charakterze świadków. Ponadto skontrolowano systemy informatyczne oraz dokonano oględzin pomieszczeń, w których odbywa się przetwarzanie danych osobowych, a cały stan faktyczny został szczegółowo opisany w protokole kontroli. Zebrany w sprawie materiał dowodowy pozwolił na ustalenie uchybień polegających na:
1. Nie opracowano procedury, które określałyby m.in. rodzaj prowadzonych pomocy ewidencyjnych, zakres danych, jaki powinny zawierać, narzędzia informatyczne, jakie mają zostać użyte do ich opracowania i sposób ich przekazywania innym komórkom organizacyjnym i oddziałom terenowym, a także zabezpieczenia, jakie powinny zostać zastosowane w celu zapewnienia ochrony danych osobowych w nich zawartych.
2. Wykorzystaniu do opracowania pomocy ewidencyjnych, ułatwiających przeszukanie zasobu archiwalnego Instytutu Pamięci Narodowej, w tym pomocy ewidencyjnych udostępnionych Biuru [...] oraz na komputerach znajdujących się w czytelni akt jawnych, m.in. programu [...], który nie zapewnia odpowiedniej ochrony przetwarzanych danych w nich zawartych.
3. Nie opracowaniu procedur, które określałyby zasady i tryb udostępniania dokumentów w celu prowadzenia badań naukowych.
4. Nie zastosowaniu w czytelni akt jawnych, znajdującej się w budynku Instytutu Pamięci Narodowej w W. przy ul. [...], środków umożliwiających wgląd do danych osobowych osobom nieuprawnionym.
5. Nie wyznaczeniu administratora bezpieczeństwa informacji.
6. Dopuszczeniu do przetwarzania danych osób nieposiadających upoważnień nadanych przez administratora danych.
7. Braku kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
8. Nie opracowaniu ewidencji osób upoważnionych do przetwarzania danych osobowych.
9. Nie opracowaniu dokumentu stanowiącego politykę bezpieczeństwa.
10. Nie zawarciu w instrukcji określającej sposób zarządzania systemem informatycznym służącym do przetwarzania danych osobowych informacji o sposobie realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 cytowanego już wyżej rozporządzenia, tj. informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy o ochronie danych osobowych, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia.
11. Nie odnotowaniu w systemie informatycznym o nazwie "[...]" dla każdej osoby, której dane osobowe są przetwarzane w tym systemie, informacji o przekazaniu danych osobowych innym podmiotom, pomimo że w systemie istnieje specjalna funkcja umożliwiająca rejestrację takich informacji.
12. Nie zapewnieniu przez programy wykorzystywane do opracowania pomocy ewidencyjnej, ułatwiających przeszukiwanie zasobu archiwalnego Instytutu Pamięci Narodowej, tj. m.in. programy [...] i [...], dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, odnotowania identyfikatora użytkownika wprowadzającego dane osobowe do systemu oraz daty pierwszego wprowadzenia danych do systemu.
13. Nie zapewnieniu przez systemy informatyczne służące do przetwarzania danych osobowych, z wyjątkiem systemów informatycznych o nazwach "[...]", "[...]" oraz systemu rejestracji korespondencji wewnętrznej w Wydziale [...] użytkowanego na stanowisku komputerowym Pani A. A., dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, odnotowania informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy o ochronie danych osobowych, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia.
14. Wprowadzeniu danych do systemu informatycznego, w którym prowadzona jest ewidencja wniosków o udostępnienie dokumentów (plik danych w formacie [...]) oraz danych do systemu o nazwie "[...]" przez więcej niż jedna osobę, które korzystają z tego samego identyfikatora i hasła.
15. Nie zgłoszeniu do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych m.in. następujących zbiorów:
- osób ubiegających się o nadanie statusu pokrzywdzonego w rozumieniu ustawy o Instytucie Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu oraz funkcjonariuszy i pracowników organów bezpieczeństwa państwa zainteresowanych otrzymaniem kopii świadectw służby lub pracy albo opinii o służbie, a także funkcjonariuszy, pracowników i współpracowników organów bezpieczeństwa państwa zainteresowanych otrzymaniem informacji o dotyczących ich dokumentach, tj. osób, które złożyły "Wniosek o udostępnienie dokumentów/zapytanie o status pokrzywdzonego na podstawie ustawy o Instytucie Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu",
- osób, którym dokumenty znajdujące się w zasobie archiwalnym Instytutu Pamięci Narodowej udostępnione zostały w celu prowadzenia badań naukowych, tj. osób, które złożyły "Wniosek o wyrażenie zgody na udostępnienie i wykorzystanie w celu prowadzenia badań naukowych dokumentów, o których mowa w art. 36 ustawy o Instytucie Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu",
- osób, które złożyły wniosek w sprawie np. ustalenia losów osoby zaginionej na wschodzie w latach 1939 - 1945, pracy przymusowej w Trzeciej Rzeszy Niemieckiej oraz w sprawie potwierdzenia okresu przebywania w więzieniach lub innych miejscach odosobnienia na terytorium Polski w latach 1944 - 1955 bez wyroku za działalność polityczną bądź religijną związaną z walka o suwerenność i niepodległość, osadzenia w więzieniach lub innych miejscach odosobnienia na terytorium Polski bez wyroku po grudniu 1956 r. za działalność polityczną albo faktu bycia osobą, która jako dziecko została odebrana rodzicom w celu poddania eksterminacji lub w celu przymusowego wynarodowienia,
- zawartych w utworzonych w Instytucie Pamięci Narodowej pomocach ewidencyjnych, opracowanych w formie tradycyjnej (spisy zdawczo - odbiorcze, karty inwentarzowe) i wersji elektronicznej (m.in. pomoce ewidencyjne o nazwach: "[...]", "[...]", "[...]" i "[...]"), wykorzystanych do przeszukiwania zasobu archiwalnego Instytutu Pamięci Narodowej,
- zawartych w dokumentach i kartotekach przekazanych do Instytutu Pamięci Narodowej przez organy wymienione w art. 25 ust. 1 ustawy o Instytucie Pamięci Narodowe, w tym m.in. Ministra Spraw Wewnętrznych i Administracji, Ministra Obrony Narodowej, Ministra Sprawiedliwości, prezesów sądów powszechnych i wojskowych,
16.Udostępnianiu bez podstawy prawnej danych osobowych zawartych w pomocach ewidencyjnych osobom korzystającym z czytelni akt jawnych Instytutu Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu, niebędącymi pracownikami Instytutu Pamięci Narodowej.
Wobec powyższego, mając za cel wyjaśnienie okoliczności sprawy, Generalny Inspektor Ochrony Danych Osobowych w dniu 23 marca 2005 r. wszczął z urzędu postępowanie administracyjne w zakresie uchybień wymienionych w pkt 1 - 15, a następnie postanowieniem z dnia [...] czerwca 2005 r. nr [...] rozszerzył przedmiot postępowania o nieprawidłowości wskazane w pkt 16.
Prezes Instytutu Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu w odpowiedzi na powyższe pismami z dnia [...] maja 2005 r. nr [...] i z dnia [...] czerwca 2005 r. nr [...] wyjaśnił, przedstawiając stosowne dowody mające potwierdzić usunięcie uchybień stwierdzonych w trakcie kontroli, że:
1. udzielono pracownikom upoważnienia do przetwarzania danych osobowych,
2. wyznaczono administratora bezpieczeństwa,
3. opracowano instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych,
4. zgłoszono do rejestracji dwa zbiory danych osobowych,
5. opracowywana jest polityka bezpieczeństwa, a termin zakończenia prac na tym dokumentem przewidywany jest pod koniec maja 2005 r.
Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] lipca 2005 r. nr [...], działając na podstawie art. 104 § 1 i art. 105 § 1 k.p.a., art. 12 pkt 2, art. 18 ust. 1 pkt 1 i art. 22 w zw. z art. 23 ust. 1 pkt 2, art. 36 ust. 1 i ust. 3, art. 37, art. 38, art. 39 ust. 1 i art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. z 2002 r. Dz. U. Nr 101, poz. 926 ze zm.), § 3 ust. 1 i § 7 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakimi powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) oraz pkt II ust. 2 załącznika do wyżej wymienionego rozporządzenia:
I. nakazał Prezesowi Instytutu Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu usunięcia uchybień w procesie przetwarzania danych osobowych poprzez:
1. Zaprzestanie udostępniania osobom korzystającym z czytelni akt jawnych, niebędącym pracownikami Instytutu Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu, pomocy archiwalnych Instytutu Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu od dnia, kiedy decyzja stanie się ostateczna.
2. Opracowanie procedur, które określałyby m.in. rodzaj prowadzonych pomocy ewidencyjnych, zakres danych, jaki powinny zawierać, narzędzia informatyczne, jakie mają zostać użyte do ich opracowania i sposób ich przekazywania innym komórkom organizacyjnym i oddziałom terenowym, a także zabezpieczenia, jakie powinny zostać zastosowane w celu zapewnienia ochrony danych osobowych w nich zawartych, w terminie 30 dni od dnia, kiedy decyzja stanie się ostateczna.
3. Opracowanie procedury określającej zasady i tryb udostępniania dokumentów z zasobu archiwalnego w celu prowadzenia badań naukowych, w terminie 30 dni od dnia, kiedy niniejsza decyzja stanie się ostateczna.
4. Zastosowanie środków technicznych i organizacyjnych w czytelni akt jawnych, znajdujących się przy ul. [...] w W., uniemożliwiających wgląd do danych osobom nieuprawnionym, w terminie 30 dni od dnia, kiedy niniejsza decyzja stanie się ostateczna.
5. Zastosowanie środków zapewniających ochronę danych osobowych przetwarzanych w ramach pomocy ewidencyjnych, ułatwiających przeszukiwanie zasobu archiwalnego Instytutu Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu, opracowanych przy wykorzystaniu programu [...], w terminie 30 dni od dnia, kiedy niniejsza decyzja stanie się ostateczna.
6. Zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane, w terminie 30 dni od dnia, kiedy niniejsza decyzja stanie się ostateczna.
7. Opracowanie ewidencji osób upoważnionych do przetwarzania danych osobowych, w terminie 14 dni od dnia, kiedy niniejsza decyzja stanie się ostateczna.
8. Zgłoszenie do rejestracji Generalnego Inspektora Ochrony Danych Osobowych następujących zbiorów danych osobowych:
- zbioru danych osób, którym dokumenty znajdujące się w zasobie archiwalnym Instytutu Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu zostały udostępnione w celu prowadzenia badań naukowych, tj. osób, które złożyły "Wniosek o wyrażenie zgody na udostępnienie i wykorzystanie w celu prowadzenia badań naukowych dokumentów, o których mowa w art. 36 ustawy o Instytucie Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu",
- zbioru danych osób, które złożyły wniosek w sprawie np. ustalenia losów osoby zaginionej na wschodzie w latach 1939 - 1945, pracy przymusowej w Trzeciej Rzeszy Niemieckiej oraz w sprawie potwierdzenia okresu przebywania w więzieniach lub innych miejscach odosobnienia na terytorium Polski w latach 1944 - 1955 bez wyroku za działalność polityczną bądź religijną związaną z walką o suwerenność i niepodległość, osadzenia w więzieniach lub innych miejscach odosobnienia na terytorium Polski bez wyroku po grudniu 1956 r. za działalność polityczną albo faktu bycia osobą, która jako dziecko została odebrana rodzicom w celu poddania eksterminacji lub w celu przymusowego wynarodowienia,
- zbiorów danych zawartych w utworzonych w Instytucie Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu pomocach ewidencyjnych, opracowanych w wersji elektronicznej (m.in. pomoce ewidencyjne o nazwach: "[...]", "[...]", "[...]", "[...]" i "[...]" oraz w formie tradycyjnej (spisy zdawczo - odbiorcze, karty inwentarzowe), wykorzystywanych do przeszukiwania zasobu archiwalnego Instytutu Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu,
- zbioru danych zawartych w dokumentach i kartotekach przekazanych do Instytutu Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu przez organy wymienione w art. 25 ust. 1 ustawy z dnia 18 grudnia 1998 r. o Instytucie Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu (Dz. U. Nr 155, poz. 1016 z późn. zm.), w tym m.in. Ministra Spraw Wewnętrznych i Administracji, Ministra Obrony Narodowej, Ministra Sprawiedliwości, prezesów sądów powszechnych i wojskowych,
w terminie 14 dni od dnia, kiedy niniejsza decyzja stanie się ostateczna.
9. Opracowanie polityki bezpieczeństwa, w terminie 30 dni od dnia, kiedy niniejsza decyzja stanie się ostateczna.
10. Uzupełnienie instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w sposób realizacji, o których mowa w § 7 ust. 1 pkt 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakimi powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), w terminie 14 dni od dnia, kiedy niniejsza decyzja stanie się ostateczna.
11. Zapewnienie, aby dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym o nazwie "[...]", odnotowane były informacje o przekazywaniu danych osobowych innym podmiotom, w terminie 14 dni od dnia, kiedy niniejsza decyzja stanie się ostateczna.
12. Zmodyfikowanie programów wykorzystywanych do opracowania pomocy ewidencyjnej, ułatwiających przeszukiwanie zasobu archiwalnego Instytutu Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu, tj. m.in. programów [...] i [...], tak aby zapewniały dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, odnotowanie identyfikatora użytkownika wprowadzającego dane osobowe do systemu oraz daty pierwszego wprowadzenia danych do systemu, w terminie 2 miesięcy od dnia, kiedy niniejsza decyzja stanie się ostateczna.
13. Zmodyfikowanie systemów informatycznych wykorzystywanych w Instytucie Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu do przetwarzania danych osobowych, tak aby zapewniały dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, odnotowanie informacji o odbiorcach, w rozumieniu art. 7 pkt 6 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, w terminie 2 miesięcy od dnia, kiedy niniejsza decyzja stanie się ostateczna.
14. Zapewnienie, aby dostęp do systemu informatycznego, w którym prowadzona jest ewidencja wniosków o udostępnienie dokumentów (plik danych w formacie [...]), oraz do systemu o nazwie "[...]" był możliwy wyłącznie po wprowadzeniu identyfikatora i podaniu hasła, odrębnych dla każdego z użytkowników ww. systemów, w terminie 14 dni od dnia, kiedy niniejsza decyzja stanie się ostateczna.
II.W pozostałym zakresie postępowanie umorzył.
Uzasadniając swoje stanowisko podał, że zgodnie z art. 23 ust. 1 ustawy o ochronie danych osobowych, przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Natomiast zgodnie z art. 7 pkt 2 ustawy, przez przetwarzanie danych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemie informatycznym. Z kolei stosownie do treści art. 36 ustawy o Instytucie Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu, dokumenty zawierające dane o pokrzywdzonych lub osobach trzecich mogą być, w niezbędnym zakresie i w sposób nienaruszający praw tych osób, wykorzystywane przez organy władzy publicznej oraz przez instytucje, organizacje i osoby w celach wykonania ustawy z dnia 24 stycznia 1991 r. o kombatantach oraz o niektórych osobach będących ofiarami represji wojennych i okresu powojennego oraz wykonania ustawy z dnia 11 kwietnia 1997 r. o ujawnieniu pracy lub służby w organach bezpieczeństwa państwa lub współpracy z nimi w latach 1944 - 1990 osób pełniących funkcje publiczne, ścigania przestępstw, o których mowa w art. 1 pkt 1 lit. a) oraz prowadzenia badań naukowych, o ile Prezes Instytutu Pamięci wyrazi na to zgodę.
Przeprowadzona kontrola wykazała, że w Instytucie zostały opracowane w celu przeszukiwania zasobów archiwalnych, pomoce ewidencyjne o nazwach "[...]", "[...]", "[...]", "[...]", "[...]", "[...]" oraz "[...]. Pomoce ewidencyjne o nazwach "[...]", "[...]" i "[...]" oraz pomoc o nazwie "[...]" utworzono w oparciu o pomoce ewidencyjne "[...]", "Baza akt kadrowych pracowników resortu spraw wewnętrznych i resortu "[...]", a także pomoce ewidencyjne opracowane w Instytucie Pamięci Narodowej, zostały udostępnione w czytelni akt jawnych w W. przy ul. [...] i przy Pl. [...]. Do czytelni tych przekazano ponadto kserokopie spisów zdawczo - odbiorczych oraz karty inwentarzowe. W tej sytuacji dostęp do nich otrzymały osoby niebędące pracownikami Instytutu Pamięci Narodowej, a korzystające z czytelni, m.in. prowadzące badania naukowe i dziennikarze, a zatem osoby nieuprawnione, bowiem przepisy ustawy o Instytucie Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu nie zawierają przepisów, które stanowiłyby podstawę prawną do udostępniania danych osobowych zawartych w pomocach ewidencyjnych osobom korzystającym z czytelni akt jawnych.
Stosownie do treści art. 36 ust. 1 ustawy, administrator danych osobowych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, odpowiednie do zagrożenia danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Tymczasem, jak ujawniono, nie zostały opracowane procedury, które określałyby m.in. rodzaj prowadzonych pomocy ewidencyjnych, zakres danych, jakie powinny zawierać, narzędzia informatyczne, jakie mają zostać użyte do ich opracowania i sposób ich przekazywania innym komórkom organizacyjnym i oddziałom terenowym, a także zabezpieczenia, jakie powinny zostać zastosowane w celu zapewnienia ochrony danych osobowych w nich zawartych. Ponadto do opracowania pomocy ewidencyjnych, ułatwiających przeszukanie zasobu archiwalnego Instytutu Pamięci Narodowej, w tym pomocy ewidencyjnych udostępnionych Biuru [...] oraz na komputerach znajdujących się w czytelni akt jawnych, wykorzystano m.in. programu [...]. W konsekwencji zastosowano do zabezpieczenia danych osobowych przy użyciu powyższego programu, mechanizmy ochrony danych dostępne w tym programie, które nie zapewniają integralności danych. Innymi słowy mówiąc, mechanizmy zabezpieczenia zawarte w tym programie chronią jedynie dane przed przypadkową zmianą lub zniszczeniem i zabezpieczenia te można ominąć poprzez np. wykonanie kopii zbioru przetwarzanych danych do innego, nowego pliku. Możliwości takie mieli przede wszystkim pracownicy Biura [...], a do dnia 4 stycznia 2005 r., także osoby korzystające z komputerów w czytelni. W dalszej części kontrola wykazała, że w Instytucie Pamięci Narodowej nie została opracowana procedura, która określałaby zasady i tryb udostępniania dokumentów w celu prowadzenia badań naukowych i nie zastosowano środków uniemożliwiających wgląd do danych osobowych osobom nieuprawnionym, ponieważ stanowiska pracy przeznaczone dla osób przeglądających dokumenty w czytelni akt jawnych nie są od siebie oddzielone w taki sposób, aby zapewnić ochronę danych zawartych w przeglądanej dokumentacji. Reasumując, nie zostały zastosowane odpowiednie środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych.
Ponadto zgodnie z art. 38 ustawy, administrator danych jest zobowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Tymczasem w Instytucie Pamięci Narodowej te warunki nie są zachowane, o czym świadczą nieudokumentowane czynności dokonywania aktualizacji danych na komputerze w czytelniach akt jawnych oraz brak kontroli nad ilością sporządzanych kopii "pomocy ewidencyjnych", ich przechowywaniem i ewentualnym wykorzystaniem.
Ponadto prowadzona w Instytucie Pamięci Narodowej ewidencja osób posiadających dostęp do zasobów centralnej sieci komputerowej, nie spełnia wymogów określonych w art. 39 ust. 1 ustawy zgodnie z którym, administrator prowadzi ewidencję osób upoważnionych do ich przetwarzania, zaś ewidencja ta powinna zawierać: 1/ imię i nazwisko osoby upoważnionej, 2/ datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, 3/ identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.
Stosownie zaś do treści przepisu art. 40 ustawy, administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1. Z kolei przez zbiór danych osobowych, stosownie do treści art. 7 pkt 1 ustawy, rozumie się każdy posiadający strukturę zestaw danych osobowych o charakterze osobowym, dostępnym według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Tymczasem w trakcie kontroli stwierdzono, że w Instytucie Pamięci Narodowej prowadzone są zbiory danych osobowych, podlegających obowiązkowi rejestracji. Należą do nich mianowicie zbiór danych pracowników naukowych, którym dokumenty znajdujące się w zasobie archiwalnym Instytutu Pamięci Narodowej udostępnione zostały w celu prowadzenia badań naukowych, tj. osób, które złożyły "Wniosek o wyrażenie zgody na udostępnienie i wykorzystanie w celu prowadzenia badań naukowych dokumentów, o których mowa w art. 36 ustawy o Instytucie Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu". Ponadto zbiór danych osób, które złożyły wniosek w sprawie np. ustalenia losów osoby zaginionej na wschodzie w latach 1939 - 1945, pracy przymusowej w Trzeciej Rzeszy Niemieckiej oraz w sprawie potwierdzenia okresu przebywania w więzieniach lub innych miejscach odosobnienia na terytorium Polski w latach 1944 - 1955 bez wyroku za działalność polityczną bądź religijną związaną z walką o suwerenność i niepodległość, osadzenia w więzieniach lub innych miejscach odosobnienia na terytorium Polski bez wyroku po grudniu 1956 r. za działalność polityczną albo faktu bycia osobą, która jako dziecko została odebrana rodzicom w celu poddania eksterminacji lub w celu przymusowego wynarodowienia oraz zbiory danych zawarte w utworzonych w Instytucie Pamięci Narodowej "pomocach ewidencyjnych" opracowanych w formie tradycyjnej (spisy zdawczo - odbiorcze, karty inwentarzowe) i w wersji elektronicznej (m.in. "pomoce ewidencyjne" o nazwach: "[...]", "[...]", "[...]", "[...]" i "[...]"), wykorzystywanych do przeszukiwania zasobu archiwalnego Instytutu. Takiemu samemu obowiązkowi rejestracji podlega - zdaniem organu - zbór danych zawartych dokumentach w i kartotekach przekazanych do Instytutu Pamięci Narodowej przez organy wymienione w art. 25 ust. 1 ustawy o Instytucie Pamięci Narodowej, w tym m.in. Ministra Spraw Wewnętrznych i Administracji, Ministra Obrony Narodowej, Ministra Sprawiedliwości, prezesów sądów powszechnych i wojskowych. Dokumenty te pierwotnie wytworzone oraz zgromadzone przez organy bezpieczeństwa państwa, organy więziennictwa, sądy, prokuratury oraz organy bezpieczeństwa Trzeciej Rzeszy Niemieckiej i Związku Socjalistycznych Republik Radzieckich, przekazywane od 2001 r. przez wyżej wymienione podmioty, przetwarzane są jako zbiór archiwalny w Instytucie w celach badawczych i publicystycznych, w zakresie nieobjętym klauzulą tajności. W przypadku tych zbiorów zmienił się cel ich dotychczasowego przetwarzania oraz administrator danych. Z kolei zmiana administratora i celu przetwarzania danych osobowych sprawia, że do tego rodzaju zbioru nie znajduje zastosowania przesłanka określona w art. 43 ust. 1 pkt 1a ustawy, zgodnie z którą zwolnieniu podlegają administratorzy zbiorów, które zostały uzyskane w wyniku czynności operacyjno - rozpoznawczych przez funkcjonariuszy uprawnionych do tych czynności. Skoro zatem powyższe zbiory danych osobowych nie zostały zgłoszone do rejestracji, to stanowi to naruszenie powyższego przepisu.
Podkreślić ponadto należy - zdaniem organu - że obowiązkiem administratora danych jest opracowanie w ramach polityki bezpieczeństwa, wykazu prowadzonych zbiorów danych osobowych, a ponieważ w Instytucie Pamięci Narodowej nie został opracowany dokument stanowiący politykę bezpieczeństwa, przeto nie został również opracowany taki wykaz. Zgodnie z § 3 ust. 1 cytowanego już wyżej rozporządzenia, na dokumentację, o której mowa w § 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Natomiast w myśl § 4 rozporządzenia, polityka bezpieczeństwa, o której wyżej mowa zawiera w szczególności: 1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe, 2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, 3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi, 4) sposób przepływu danych pomiędzy poszczególnymi systemami, 5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Natomiast powołana już wyżej instrukcja powinna zawierać, zgodnie z treścią § 5 rozporządzenia: 1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności, 2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem, 3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu, 4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania, 5) sposób, miejsce i okres przechowywania: a) elektronicznych nośników informacji zawierających dane osobowe, b) kopii zapasowych, o których mowa w pkt 4, 6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia, 7) sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4, 8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. Tymczasem opracowana w Instytucie instrukcja nie zawiera informacji o sposobie realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 rozporządzenia (pkt 7 § 5), tj. informacji o odbiorcach (którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia) w rozumieniu art. 7 pkt 6 ustawy i w tej sytuacji instrukcja powyższa nie zawiera wszystkich niezbędnych elementów.
W § 7 rozporządzenia stanowi się, że dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym - z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie - system ten zapewnia odnotowanie: 1) daty pierwszego wprowadzenia danych do systemu, 2) identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba, 3) źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą, 4) informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych, 5) sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy. Tymczasem w użytkowanych w Instytucie systemach informatycznych służących do przetwarzania danych osobowych, nie odnotowuje się powyższych danych i dotyczy to systemu o nazwie "[...]", gdzie rejestrowane są wnioski o udostępnienie dokumentów (zapytania o status pokrzywdzonego), a informacje o przekazywaniu danych osobowych innym podmiotom nie są odnotowywane pomimo, że w systemie tym istnieje specjalna funkcja umożliwiająca rejestrację danych. Ponadto programy wykorzystywane do opracowania pomocy ewidencyjnych, ułatwiających przeszukiwanie zasobu archiwalnego Instytutu, tj. m.in. programy [...] i [...], nie zapewniają dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, odnotowania identyfikatora użytkownika wprowadzającego dane osobowe do systemu oraz daty wprowadzania tych danych. Niezależnie od powyższego, systemy informatyczne służące do przetwarzania danych osobowych, z wyjątkiem systemów o nazwach "[...]", "[...]" oraz systemu rejestracji korespondencji wewnętrznej w Wydziale [...] użytkowanego na stanowisku komputerowym Pani [...], nie zapewniają dla każdej osoby, której dane są przetwarzane w systemie informatycznym, odnotowywania informacji o osobach, w rozumieniu art. 7 pkt 6 ustawy, którym dane zostały udostępnione, dacie i zakresie tego udostępnienia.
Ustalono również, że dane do systemu informatycznego, w którym prowadzona jest ewidencja wniosków o udostępnienie dokumentów (plik danych w formacie [...]) oraz dane do systemu o nazwie "[...]", wprowadzane są przez więcej, aniżeli jedna osoba i osoby te korzystają z tego samego identyfikatora oraz hasła, co stanowi naruszenie pkt 2 ust. 2 załącznika do rozporządzenia (jeżeli dostęp do danych przetwarzanych w systemie informatycznym posiadają co najmniej dwie osoby, wówczas zapewnia się, aby: a) w systemie tym rejestrowany był dla każdego użytkownika odrębny identyfikator, b) dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia.).
Kończąc organ stwierdził, że stosownie do treści art. 105 k.p.a., organ administracji publicznej wydaje decyzję o umorzeniu, jeżeli postępowanie z jakiekolwiek przyczyny stało się bezprzedmiotowe. Skoro zatem Prezes Instytutu Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu usunął pozostałe uchybienie, przeto należało umorzyć w tym względzie postępowanie.
Prezes Instytutu Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu we wniosku o ponowne rozpatrzenie sprawy z dnia 27 lipca 2005 r. skierowanym do Generalnego Inspektora Ochrony Danych Osobowych, zarzucił powyższej decyzji, że nie podlega on kontroli ze strony powyższego organu administracji publicznej. Stosownie do treści art. 9 ust. 1 i 2 ustawy o Instytucie Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu, Instytutem kieruje Prezes, który w sprawowaniu swojego urzędu jest niezależny od organów władzy państwowej, zaś przepisy ustawy w sposób kompleksowy regulują działalność Instytutu. Stąd też żaden podmiot nie może ograniczać jego uprawnień tym bardziej, że art. 1 pkt 1 ustawy, reguluje ewidencjonowanie, gromadzenie, udostępnianie, zarządzanie i korzystanie z dokumentów organów bezpieczeństwa państwa. Natomiast ustawa o ochronie danych osobowych umożliwia przetwarzanie danych osobowych dopiero z chwilą ich zgłoszenia do rejestracji. Hipotetycznie organ mógłby, działając na podstawie art. 44 tej ostatniej ustawy, odmówić rejestracji danych i tym samym działalność Instytutu byłaby uzależniona od woli innego organu, co niewątpliwie naruszyłoby treść art. 9 ustawy o Instytucie Pamięci Narodowej. Dodał ponadto, że nie oznacza to jakiejkolwiek odpowiedzialności ze strony Prezesa, bowiem Kolegium Instytutu na podstawie art. 13 pkt 4 ustawy powinno wnioskować o jego odwołanie w razie nie wypełniania nałożonych nań obowiązków. W dalszej części wniosku, z ostrożności procesowej podał, że wydanie decyzji było przedwczesne, bowiem nie otrzymał on pełnego protokołu kontroli z dnia [...] marca 2005 r., co w konsekwencji skutkuje o nie zakończeniu owej kontroli. Kontrolerzy przekazali bowiem protokół główny, zawierający faktyczny opis czynności kontrolnych, którego częścią składową były załączniki m.in. w postaci zrzutów z ekranów komputerowych i których on nie otrzymał. Zatem wszczęcie postępowania administracyjnego nastąpiło z naruszeniem art. 16 ust. 1 ustawy o ochronie danych osobowych, bowiem nie mógł on skorzystać z uprawnień wynikających z art. 16 ust. 2 i 3 ustawy. Dodał dalej, że mimo wzmianki w protokole o odmowie odebrania protokołu kontroli przez przedstawicieli Prezesa Instytutu Pamięci Narodowej, formalna odmowa protokołu nie nastąpiła, bowiem Dyrektor Generalny Ochrony Danych Osobowych był wyłącznie umocowany do odbioru protokołu kontroli, bez prawa jego podpisywania i zapoznawania się z materiałem zebranym w trakcie kontroli. Niezależnie od powyższego Prezes Instytutu Pamięci Narodowej zarzucił powyższej decyzji naruszenie art. 107 § 1 k.p.a., bowiem jej uzasadnienie faktyczne i prawne nie odpowiada wymogom zawartym w tym przepisie. Przede wszystkim decyzja powinna szczegółowo określić stan faktyczny sprawy, a nie odsyłać do protokołu kontroli i na dowód powyższego podano, że nie wskazano w uzasadnieniu decyzji, jakie wyjaśnienia, czy też zeznania złożyli pracownicy Instytutu Pamięci Narodowej i nie wskazano jakie systemy informatyczne poddano kontroli przy przeprowadzaniu tego dowodu. Co ważne, w czynności kontrolnej nie uczestniczył informatyk Instytutu. Z kolei uzasadniając nakaz zaprzestania udostępniania pomocy ewidencyjnych opracowanych w celu przeszukania zasobu archiwalnego Instytutu Pamięci Narodowej osobom korzystającym z czytelni akt jawnych nie będących pracownikami Instytutu, wskazano na przepis art. 23 ust. 1 pkt 2 i art. 7 pkt 2 ustawy o ochronie danych osobowych, a także na art. 36 ustawy o Instytucie Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu i jednocześnie stwierdzono, że ta ostatnia ustawa nie zawiera przepisów, które stanowiłyby podstawę prawną do udostępniania danych osobowych zawartych w pomocach ewidencyjnych osobom korzystającym z czytelni akt jawnych. Takie uzasadnienie uznać należy za zbyt ogólne, bowiem organ nie wskazał, na czym polegało naruszenie owych przepisów, ograniczając się jedynie do przytoczenia ich treści. Nie dokonano również analizy przepisów obu ustaw pod kątem ich wzajemnego oddziaływania i wpływu. Organ nie wskazał również, dlaczego dostęp osób prowadzących badania naukowe do pomocy ewidencyjnych uważa za nieuprawniony i nie wyjaśnił jednocześnie, w jaki sposób osoba występująca z wnioskiem o wyrażenie zgody na prowadzenie badań naukowych może wskazać określone dokumenty, jeżeli nie będzie miała dostępu do pomocy naukowych. W dalszej części poddał w wątpliwość dostęp inspektorów (art. 15 ust. 2 ustawy) Generalnego Inspektora Ochrony Danych Osobowych do zbiorów, o których mowa w art. 43 ust. 1 pkt 1a ustawy o ochronie danych osobowych. Dotyczy to zbiorów, które zostały uzyskane w wyniku czynności operacyjno - rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności. W każdym bądź razie inspektor przeprowadzający kontrolę ma prawo wglądu do tych zbiorów jedynie za pośrednictwem upoważnionego przedstawiciela kontrolowanej jednostki organizacyjnej. Stąd też nie mogli oni osobiście dokonywać zrzutów z ekranów komputerowych i jest to rażące naruszenie cytowanego już wyżej art. 15 ust. 2 ustawy. Na zakończenie skonstatował, że przepisy ustawy o ochronie danych osobowych nie przewidują możliwości wyznaczenia przez Generalnego Inspektora Ochrony Danych Osobowych terminów usunięcia uchybień, co stanowi przekroczenie jego uprawnień.
Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] sierpnia 2005 r. nr [...], mając za podstawę art. 138 § 1 pkt 1 k.p.a., utrzymał w mocy swoją poprzednia decyzję z dnia [...] lipca 2005 r. i w jej uzasadnieniu - powołując się na argumenty zawarte już w zaskarżonej decyzji - podał, że art. 7 Konstytucji Rzeczypospolitej Polskiej stanowiący, iż organy władzy publicznej działające na podstawie i w granicach prawa, zawiera normę zakazującą domniemania kompetencji takiego organu i tym samym, nakazuje, aby wszelkie działania władzy publicznej oparte były na wyraźnie określonej normie kompetencyjnej. Zatem jeżeli brak jest takiej normy, uprawniającej Prezesa Instytutu Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu do wyłączenia go spod działania innych przepisów prawa, to jest on bezwzględnie zobowiązany do ich stosowania. Ponadto stosownie do treści art. 3 ust. 1 i 2 ustawy o ochronie danych osobowych, ustawę stosuje się m.in. do organów państwowych mających siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej i jednocześnie żaden z tych przepisów nie zwalnia Prezesa Instytutu Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu, jako administratora danych, z obowiązku jej stosowania i w tej sytuacji nie jest uzasadnione powoływanie się na treść art. 9 ust. 2 ustawy o Instytucie Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu. Treść tego przepisu oznacza jedynie, że niezależność ta ma charakter merytoryczny, przejawiający się w autonomicznym podejmowaniu rozstrzygnięć w sprawach zakreślonych w tej ustawie. Zatem przepis ten nie może stanowić podstawy do wyłączenia Prezesa Instytutu spod kontroli uprawnionych organów. W dalszej części organ wskazał, że Prezes Instytutu pamięci Narodowej w okresie od 1 czerwca 2000 r. do 1 lipca 2000 r. przystąpił do przyjmowania dokumentów od organów wymienionych w art. 25 ust. 1 ustawy o Instytucie Pamięci Narodowej i przystępując do ich przyjmowania był zobowiązany, jako administrator danych osobowych, do zgłoszenia zbiorów danych osobowych do rejestracji. Tym samym przetwarzanie danych w zbiorze mogło się rozpocząć już po dokonaniu samej czynności złożenia wniosku rejestracyjnego. Zatem inaczej, aniżeli obecnie, po nowelizacji ustawy. Jednocześnie organ wskazał na sposób rozstrzygania zbiegu norm dotyczących przetwarzania danych osobowych, a określonych w art. 5 ustawy. Wyrażona w nim zasada przewiduje rozstrzyganie zbiegu norm na korzyść tych, które przewidują wyższy poziom ochrony przetwarzania danych osobowych. Przepisy ustawy o Instytucie Pamięci Narodowej nie regulują w sposób kompleksowy przetwarzania danych osobowych przez Prezesa Instytutu, a w szczególności brak jest w nim norm dotyczących środków technicznych i organizacyjnych, dokumentacji opisującej sposób przetwarzania danych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Reasumując, przepisy powyższej ustawy nie wyłączają uprawnień Generalnego Inspektora Ochrony Danych Osobowych do kontroli zgodności z prawem przetwarzanych tam danych osobowych. Odpowiadając na kolejny zarzut z wniosku organ stwierdził raz jeszcze, że protokół został przedstawiony przedstawicielowi Prezesa Instytutu Pamięci Narodowej wraz ze wszystkimi załącznikami i stanowi on akta sprawy, o których mowa w art. 73 k.p.a. Termin zapoznania się z aktami kontroli oraz podpisanie protokołu kontroli ustalono na dzień [...] marca 2005 r. i w czynnościach tych miał wziąć udział Zastępca Prezesa Instytutu Pamięci Narodowej w jego siedzibie. W ustalonym terminie przedstawiciele organu udali się do Instytutu Pamięci Narodowej, lecz w rozmowie nie uczestniczył Zastępca Prezesa Instytutu i Dyrektor Generalny Ochrony Danych Osobowych. Przedstawiono mu więc protokół kontroli wraz z całością dokumentów, lecz wymieniony nie skorzystał z prawa zapoznania się z dokumentami. Z prawa tego skorzystali jednak przedstawiciele Prezesa Instytutu Pamięci Narodowej w dniu [...] maja 2005 r. w siedzibie organu, gdzie przeglądali akta sprawy. Ponadto egzemplarz protokołu kontroli został doręczony kontrolowanemu administratorowi danych, o czym świadczy potwierdzenie odbioru przez Dyrektora Generalnego Instytutu. Tym samym została wyczerpana przesłanka z art. 16 ust. 1 ustawy o ochronie danych osobowych. Na marginesie organ podniósł, że Prezes Instytutu Pamięci Narodowej mógł skorzystać z uprawnień wynikających z art. 16 ust. 2 i 3 ustawy, czego jednak nie uczynił (protokół podpisują inspektor i kontrolowany administrator danych, który może wnieść umotywowane zastrzeżenia i uwagi). Dodał dalej, że w razie odmowy podpisania protokołu przez kontrolowanego administratora danych, inspektor czyni o tym wzmiankę w protokole, a odmawiający może w terminie 7 dni przedstawić swoje stanowisko na piśmie Generalnemu Inspektorowi Ochrony Danych Osobowych i odmowa podpisania protokołu nie stanowi przeszkody do wszczęcia postępowania administracyjnego. Ponadto nie sposób zgodzić się ze stanowiskiem Prezesa Instytutu Pamięci Narodowej o naruszeniu art. 107 § 1 k.p.a., bowiem decyzja zawierała wszystkie niezbędne elementy wymagane tym przepisem. Nie zasługuje również na uwagę - zdaniem organu - zarzut dotyczący braku uzasadnienia w decyzji nakazu zaprzestania udostępniania osobom korzystającym z czytelni akt jawnych, nie będących pracownikami Instytutu Pamięci Narodowej, pomocy ewidencyjnych opracowanych w celu usprawnienia przeszukiwania zasobu archiwalnego Instytutu Pamięci Narodowej. Podano bowiem w decyzji, że ustawa o Instytucie Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu nie zawiera przepisów, które stanowiłyby podstawę prawną do takiego działania i jest to wystarczające uzasadnienie. W tym miejscu organ powołał się również na treść art. 36 pkt 5 ustawy o Instytucie Pamięci Narodowej konstatując, że dane osobowe zawarte w pomocach ewidencyjnych udostępniane były przed wyrażeniem na to zgody przez Prezesa Instytutu Pamięci Narodowej, zaś do kompetencji organu nie należy określanie, w jaki sposób prowadzący badania naukowe ma wskazywać interesujące do dokumenty. Nie jest również trafny zarzut, że inspektorzy przeprowadzający kontrolę naruszyli art. 15 ust. 2 ustawy o ochronie danych osobowych, gdyż mieli bezpośredni dostęp do zbiorów, o których mowa w art. 43 ust. 1 pkt 1a ustawy o ochronie danych osobowych, a więc zbiorów, które zostały uzyskane w wyniku czynności operacyjno - rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności. Jak podkreślił organ, w wyniku przekazania powyższych dokumentów do Instytutu Pamięci Narodowej przez organy wymienione w art. 25 ust. 1 ustawy o Instytucie Pamięci Narodowej, zmienił się ich dotychczasowy cel przetwarzania oraz administrator danych. Zmiana ta z kolei spowodowała, że do danych zawartych w tych dokumentach, nie znajduje zastosowania przesłanka zawarta w art. 43 ust. 1 pkt 1a ustawy o ochronie danych osobowych. Niezależnie od powyższego, wszystkie czynności inspektorów, były dokonywane w obecności pracownika jednostki kontrolowanej, o czym świadczą stosowne podpisy. Odnosząc się zaś co do wyznaczenia terminów usunięcia uchybień organ podał, że niemożność ich określenia mogłaby przesądzić o trwaniu stanu niezgodnego z prawem i należy je traktować w ramach uznania administracyjnego.
W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie Prezes Instytutu Pamięci Narodowej wskazał, iż zarówno zaskarżone decyzje, jak i poprzedzające je postępowanie kontrolne i administracyjne, zostało przeprowadzone z rażącym naruszeniem prawa i wniósł o stwierdzenie nieważności decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] lipca 2005 r. nr [...] i utrzymującej ją w mocy decyzji z dnia [...] sierpnia 2005 r. nr [...]. W uzasadnieniu podał, iż nakazy sformułowane w rozstrzygnięciu decyzji Generalnego Inspektora Ochrony Danych Osobowych naruszają w rażący sposób art. 9 ust. 1 i 2 ustawy z dnia 18 grudnia 1998 r. o Instytucie Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu (Dz. U. Nr 155, poz. 1016, ze zm.), zgodnie z którym Instytutem Pamięci Narodowej kieruje Prezes Instytutu Pamięci Narodowej, który w sprawowaniu swego urzędu jest niezależny od organów władzy państwowej. Zwrócił uwagę, że zgodnie z art. 19 k.p.a. organy administracji publicznej przestrzegają z urzędu swojej właściwości, a w związku z tym Generalny Inspektor Ochrony Danych Osobowych nie jest zwolniony z obowiązku badania z urzędu swojej właściwości, również w niniejszej sprawie. Zdaniem Prezesa Instytutu, Generalny Inspektor Ochrony Danych Osobowych prowadząc kontrolę oraz wydając zaskarżone decyzje całkowicie pominął ten przepis, uznając że wyłączenie jego kompetencji w stosunku do Prezesa Instytutu Pamięci Narodowej powinno być wyartykułowane wprost w ustawie o ochronie danych osobowych. Podniósł, że niezależne sprawowanie urzędu w rozumieniu art. 9 ust. 1 i 2 ustawy o Instytucie Pamięci Narodowej mieści w sobie zakaz władczego oddziaływania na sferę prawną Prezesa Instytutu Pamięci Narodowej, wyznaczoną przez zakres zadań określonych w ustawie. W konsekwencji, za chybiony uznał argument Generalnego Inspektora Ochrony Danych Osobowych, że w ten sposób Prezes Instytutu Pamięci Narodowej stawia się ponad prawem. W dalszej części skarżący w sposób bardzo obszerny, powołując się na szereg przepisów prawa oraz poglądy doktryny wskazał na podstawy niezależności i pozycji ustrojowej tego organu oraz podkreślił jego niezależność w wykonywaniu przepisów ustawy o Instytucie Pamięci Narodowej. Ponadto, w ocenie Prezesa Instytutu, zastosowanie przepisu art. 12 pkt 1 i 2 ustawy o ochronie danych osobowych do działalności Instytutu Pamięci Narodowej prowadzi do wniosku, że Generalny Inspektor Ochrony Danych Osobowych wydaje decyzje i rozpatruje skargi na wykonywanie przepisów ustawy o Instytucie Pamięci Narodowej w zakresie, w jakim dotyczą one ochrony danych osobowych, a więc także w zakresie przepisów, które dotyczą przetwarzania tych danych, co stoi w rażącej sprzeczności z art. 9 ust. 1 i 2 ustawy o Instytucie Pamięci Narodowej. Zarzucił także, iż w niezależność Prezesa Instytutu Pamięci Narodowej godzi art. 18 ustawy o ochronie danych osobowych, zgodnie z którym w przypadku naruszenia przepisów o ochronie danych osobowych, Generalny Inspektor Ochrony Danych Osobowych z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem.
Według skarżącego, postanowienia zaskarżonej decyzji, na mocy których nakazano wprowadzenie określonych procedur oraz środków technicznych i organizacyjnych służących ochronie danych przetwarzanych w zasobie Instytutu Pamięci Narodowej, naruszają art. 9 ust. 1 ustawy o Instytucie Pamięci Narodowej, a w pewnym zakresie wkraczają także w kompetencje jego Kolegium. W świetle bowiem powołanego przepisu, to Prezes Instytutu Pamięci Narodowej decyduje jakie środki techniczne zastosuje w celu wykonania przepisów ustawy o Instytucie Pamięci Narodowej, a w pewnych sytuacjach, z zastrzeżeniem kompetencji przewidzianych dla Kolegium, decyduje o tym, jakie procedury będą obowiązywać w Instytucie Pamięci Narodowej. Stwierdził, że Prezes Instytutu, wykonując ustawę o Instytucie Pamięci Narodowej, czyni to bez wpływu i ingerencji innych organów władzy. W związku z tym Generalny Inspektor Ochrony Danych Osobowych nie może w tym zakresie korzystać ze swych usprawnień nadzorczych przewidzianych w ustawie o ochronie danych osobowych. Nie znajdują zatem zastosowania przesłanki udostępniania danych wyznaczone przepisami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, co oznacza, że ustawa o Instytucie Pamięci Narodowej jest w tym zakresie lex specialis w stosunku do ustawy o ochronie danych osobowych.
Odnosząc się do problematyki ochrony danych osobowych znajdujących się w dokumentach organów bezpieczeństwa państwa skarżący wskazał, że należy przede wszystkim rozstrzygnąć, czy dane te podlegają ochronie w trybie ustawy o ochronie danych osobowych, czy też ustawa o Instytucie Pamięci Narodowej zawiera w tym zakresie uregulowania odrębne. Poniósł, iż powyższa ustawa reguluje m.in. ochronę danych osobowych pokrzywdzonych i jest ona w zakresie ochrony danych osób pokrzywdzonych przepisem szczególnym w stosunku do ustawy o ochronie danych osobowych. Zasady dokonywania operacji na danych osobowych osób pokrzywdzonych, zostały szczegółowo zawarte właśnie w ustawie o Instytucie Pamięci Narodowej. Jednocześnie, Prezes Instytutu powołał się na treść art. 71 ustawy powyższej ustawy, na mocy którego Instytut Pamięci Narodowej może przetwarzać dane osobowe bez zgody i wiedzy osób, których te dane dotyczą, z czego także wyprowadził wniosek, iż do działalności Instytutu Pamięci Narodowej nie mają zastosowania te przepisy, które uzależniają możliwość przetwarzania danych osobowych od uzyskania zgody zainteresowanych osób. Następnie wskazał, iż do działalności Instytutu Pamięci Narodowej nie mają zastosowania przepisy art. 24, 25, 27, 28, 29 30 i 31 wskazując, że do działalności tej nie będą miały zastosowanie właściwie wszystkie przepisy rozdziału 3 ustawy o ochronie danych osobowych: "Zasady przetwarzania danych", podobnie jak rozdziału 4 tej ustawy: "Prawa osoby, której dane dotyczą". Wskazał, iż ustawa o ochronie danych osobowych ma zastosowanie do przetwarzania baz danych tworzonych w ramach bieżącej pracy Instytutu Pamięci Narodowej, czyli danych osobowych pracowników Instytutu Pamięci Narodowej oraz kandydatów do pracy, danych osobowych w postępowaniach z wniosków emerytalno-rentowych obywateli, składanych na podstawie art. 117 ust. 3 ustawy o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych, danych osobowych obywateli występujących do Instytutu Pamięci Narodowej w trybie art. 30 ustawy o Instytucie Pamięci Narodowej, danych osobowych zebranych w postępowaniach sprawdzających i wydanych poświadczenia bezpieczeństwa oraz dane osobowe zebrane w postępowaniach o potwierdzenie przez Prezesa Instytutu Pamięci okoliczności, o której mowa w art. 4 ust. 1 pkt 4, w przypadku osadzenia bez wyroku w więzieniu lub innym miejscu odosobnienia na terytorium Polski oraz w art. 4 ust. 2 ustawy z dnia 24 stycznia 1991 r. ustawy o kombatantach oraz niektórych osobach będących ofiarami represji wojennych i okresu i okresu powojennego. Natomiast ustawa o ochronie danych osobowych nie ma zastosowania do danych osobowych zawartych w dokumentach przejętych przez Instytut Pamięci Narodowej na podstawie art. 25 ustawy o Instytucie Pamięci Narodowej oraz danych osobowych zawartych w dokumentach pionu śledczego Instytutu.
Skarżący podniósł, iż zupełnie inne są też konstytucyjne podstawy obu ustaw, gdyż ustawa o Instytucie Pamięci Narodowej stanowi wypełnienie nakazu zapewnienia prawa każdego do uzyskiwania informacji o działalności organów władzy publicznej oraz osób pełniących funkcje publiczne (art. 61 ust. 1 zd. 1 Konstytucji) oraz wypełnienie obowiązku takiego zorganizowania struktur państwa prawnego, aby przestępstwa nie ścigane do 1989 roku z przyczyn politycznych, popełnione przez funkcjonariuszy publicznych lub na ich zlecenie, nie pozostały bezkarne (art. 44 Konstytucji). Tymczasem ustawa o ochronie danych osobowych stanowi wypełnienie nakazu zapewnienia prawa każdego do tego, aby władze publiczne nie pozyskiwały, gromadziły i udostępniały innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. Celem jej jest zatem ochrona prywatności (art. 51 Konstytucji).
Odnosząc się do kontroli przeprowadzonej przez inspektorów, Prezes Instytutu Pamięci Narodowej zarzucił, że Generalny Inspektor Ochrony Danych Osobowych jeszcze przed zakończeniem kontroli (przed podpisaniem protokołu kontroli i przed ewentualnym wniesieniem przez kontrolowanego administratora danych osobowych umotywowanych zastrzeżeń i uwag do protokołu kontroli), podczas wystąpienia w Sejmie RP stwierdził jednoznacznie, że w trakcie kontroli w Instytucie Pamięci Narodowej ujawniono wiele nieprawidłowości. W konsekwencji - zdaniem skarżącego - przesądził, jaki będzie wynik postępowania kontrolnego oraz jaka będzie treść kończącej sprawę decyzji administracyjnej i naruszył w ten sposób ogólne zasady postępowania administracyjnego, w tym art. 7 kodeksu postępowania administracyjnego, według którego w toku postępowania organy administracji publicznej stoją na straży praworządności i podejmują wszelkie kroki niezbędne do dokładnego wyjaśnienia stanu faktycznego oraz do załatwienia sprawy, mając na względzie interes społeczny i słuszny interes obywateli. Ponadto, podniósł zarzut, że ustalenia faktyczne poczynione w trakcie kontroli nie są zgodne z rzeczywistością, przede wszystkim w zakresie ustaleń kontrolnych odnoszących się do kwestii zabezpieczenia systemu informatycznego Instytutu Pamięci Narodowej, służącego do przetwarzania danych osobowych. Podkreślił także, iż nigdy mu nie doręczono protokołu kontroli w rozumieniu art. 16 ust. 1 ustawy o ochronie danych osobowych. Ponadto, z treści doręczonego protokołu wynikało, że jego integralną częścią są załączniki, które nie zostały mu doręczone. W ocenie skarżącego, nie doręczając załączników do protokołu kontroli, organ nadzoru w istotny sposób pogorszył sytuację procesową strony w postępowaniu administracyjnym. Nie trudno bowiem zauważyć, że strona miała, i ma nadal prawo do zapoznania się z protokołem kontroli, w tym z załącznikami, w wyniku wykonania przez organ obowiązku doręczenia podmiotowi kontrolowanemu kopii tych dokumentów. Doręczenie protokołu wraz załącznikami umożliwia stronie późniejszego postępowania administracyjnego swobodne dysponowanie tymi dokumentami w celu obrony swoich praw w toku procesu. Ma ona do nich niczym nieograniczony dostęp i może z nich korzystać w każdym czasie we własnej siedzibie. Taki sposób procedowania jest znacznie korzystniejszy, niż tryb przewidziany w art. 73 k.p.a., w świetle którego strona za każdym razem musi udać się do siedziby organu, gdy chce zapoznać się z aktami, w tym wypadku załącznikami do protokołu.
Skarżący wskazał również, iż jako podstawę materialnoprawną zaskarżonych decyzji Generalny Inspektor Ochrony Danych Osobowych podał art. 18 ust. 1 pkt 1 ustawy o ochronie danych osobowych, który nie stanowi samoistnej podstawy do wydania decyzji nakazowej. Zgodnie bowiem z tym przepisem, w razie stwierdzenia naruszenia przepisów o ochronie danych osobowych, Generalny Inspektor Ochrony Danych Osobowych z urzędu lub na wniosek osoby zainteresowanej nakazuje administratorowi danych, w drodze decyzji administracyjnej, przywrócenie stanu zgodnego z prawem, a w szczególności usunięcie uchybień. Tymczasem nakaz usunięcia konkretnych uchybień musi opierać się na konkretnym przepisie o ochronie danych osobowych, których decyzja nie wymienia.
Skarżący podniósł również, iż uzasadnienie prawne nakazu, zawarte w zaskarżonych decyzjach nie jest wystarczające. Z treści uzasadnienia wynika, że nakaz zaprzestania udostępniania pomocy ewidencyjnych osobom korzystającym z czytelni akt jawnych, nie będącym pracownikami Instytutu Pamięci Narodowej, został wyprowadzony z art. 36 pkt 5 ustawy o Instytucie Pamięci Narodowej. Zdaniem Prezesa Instytutu, stanowisko organu jest całkowicie błędne, bowiem opiera się na wadliwej interpretacji art. 36 pkt 5 ustawy o Instytucie Pamięci Narodowej. Przepis ten nie określa jednoznacznie komu i w jakim celu Prezes Instytutu może udostępniać dane osobowe, natomiast określa kto, w jakim celu i zakresie oraz na jakich zasadach może wykorzystywać dokumenty zawierające dane osobowe. Podniósł, że przepisy ustawy o Instytucie Pamięci Narodowej nie przewidują wydawania przez Prezesa Instytutu decyzji administracyjnej w sprawie udostępniania osobom prowadzącym badania naukowe dokumentów zawierających dane osobowe. Ponadto, powyższa ustawa rozróżnia pojęcie udostępniania dokumentów od pojęcia wykorzystywania dokumentów. Dlatego dopiero po zapoznaniu się z materiałami wnioskodawca będzie mógł też określić zakres oraz sposób wykorzystania tych dokumentów i dopiero wówczas Prezes Instytutu, wyrażając zgodę na ich wykorzystanie, będzie mógł ocenić, czy zakres ten nie jest za szeroki i czy sposób wykorzystania tych dokumentów nie narusza praw osób, których dane znajdują się w tych dokumentach.
Ponadto, odnosząc się do pkt 2 oraz pkt 3 rozstrzygnięcia zaskarżonych decyzji Prezes Instytutu Pamięci Narodowej podniósł, iż przepis art. 36 ust. 1 ustawy o ochronie danych osobowych, na których oparto te nakazy nie nakłada na administratorów danych obowiązku opracowania jakichkolwiek procedur. Przepis ten reguluje zupełnie inną materię i środków technicznych i organizacyjnych nie można utożsamiać z dokumentacją techniczną i organizacyjną. W żadnym też wypadku nie można utożsamiać z taką lub inną procedurą. Wskazał, iż art. 36 ust. 2 określa jedynie zasadę ogólną, która jest uszczegółowiana w przepisach rozporządzenia wydanego na podstawie art. 39a ustawy o ochronie danych osobowych. Ponieważ wykaz dokumentów, które winien posiadać administrator danych, został w sposób wyczerpujący określony w wymienionym już wyżej rozporządzeniu, zatem Generalny Inspektor Ochrony Danych Osobowych nie może dowolnie, mocą swych własnych decyzji, rozszerzać tego katalogu. Tym samym zaskarżona decyzja została wydana bez podstawy prawnej w zakresie, w jakim nakłada na Prezesa Instytutu Pamięci Narodowej obowiązek opracowania procedur określonych w pkt 2 i 3, co uzasadnia stwierdzenie jej nieważności.
Jednocześnie podniósł, że obowiązki dotyczące opracowania procedur określonych w pkt 2 i 3 rozstrzygnięcia zaskarżonych decyzji są w pewnym zakresie skierowane do organu nie będącego stroną. Zgodnie bowiem z art. 23 ust. 2 pkt 2 i 3 ustawy o Instytucie Pamięci Narodowej, Kolegium Instytutu zajmuje stanowisko w sprawach ustalania zasad archiwizacji dokumentów przy ich ocenie, porządkowaniu, udostępnianiu, przechowywaniu i administrowaniu oraz w sprawach ustalania zasad wglądu w dokumenty oraz zasad ich publikowania. Kompetencje te zostały zastrzeżone dla Kolegium, który stanowi odrębny od Prezesa Instytutu, wewnętrzny organ Instytutu. Prezes nie jest więc stroną decyzji w tym zakresie. Powyższe stanowi - zdaniem skarżącego - podstawę do stwierdzenia nieważności zaskarżonej decyzji na podstawie art. 156 § 1 pkt 4 Kodeksu postępowania administracyjnego.
Odnosząc się do pkt 8 zaskarżonej decyzji, a dotyczącego obowiązku rejestracji zbiorów danych osobowych Prezes Instytutu wyjaśnił, że dane osób, które złożyły wnioski o wykorzystywanie dokumentów archiwalnych Instytutu Pamięci Narodowej do prowadzenia badań naukowych, o ustalenie losów osób zaginionych na wschodzie w latach 1939 - 1945, o potwierdzenie okresu przebywania w więzieniu lub faktu odebrania rodzicom w celu podania eksterminacji lub wynarodowieniu, rejestrowane są w systemie "[...]". Zbiór danych osobowych "[...]" został zgłoszony Generalnemu Inspektorowi Ochrony Danych Osobowych do zarejestrowania przed wydaniem decyzji z dnia [...] sierpnia 2005 r. (sygn. akt [...]). Jednocześnie skarżący podtrzymał swoje stanowisko, że zbiory danych osobowych przekazane w trybie art. 25 ustawy o Instytucie Pamięci Narodowej nie podlegają rejestracji, natomiast znaczna część danych znajdujących się w dokumentach przekazanych na podstawie art. 25 ustawy o Instytucie Pamięci Narodowej została uzyskana w wyniku czynności operacyjno - rozpoznawczych. W związku z tym zbiory te i tak są zwolnione z obowiązku rejestracji na podstawie art. 43 ust. 1 pkt 1a ustawy o ochronie danych osobowych. Ponadto, omawiając kwestię rejestracji zbiorów danych osobowych przekazanych Prezesowi Instytutu, należy również pamiętać, że zbiory te powstały w latach 1944 - 1989, a więc przed wejściem w życie ustawy o ochronie danych osobowych. Zbiory te były i nadal są archiwizowane metodami tradycyjnymi, a więc nie w systemie informatycznym.
Skarżący zarzucił także, iż nakazy sformułowane w osnowie zaskarżonych decyzji nie spełniają wymogów przewidzianych w Kodeksie postępowania administracyjnego dla rozstrzygnięć decyzji administracyjnych.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie. Odnosząc się do zarzutu skargi dotyczącego naruszenia niezależności Prezesa Instytutu Pamięci Narodowej i zastosowania ustawy o ochronie danych osobowych wskazał, że zgodnie z art. 3 ust. 1 i ust. 2 ustawy o ochronie danych osobowych, ustawę stosuje się do organów państwowych, organów samorządu terytorialnego, do państwowych i komunalnych jednostek organizacyjnych oraz podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych - które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej. Zdaniem Generalnego Inspektora Ochrony Danych Osobowych nie ulega wątpliwości, że Prezes Instytutu Pamięci Narodowej spełnia przesłanki wymienione w powołanych przepisach ustawy o ochronie danych osobowych. Jest bowiem organem państwowym, który ma siedzibę na terytorium Rzeczypospolitej Polskiej i który do przetwarzania danych osobowych wykorzystuje środki techniczne znajdujące się w Polsce. W konsekwencji nie jest uzasadnione powoływanie się przez Prezesa Instytutu na art. 9 ust. 2 ustawy o Instytucie Pamięci Narodowej, jako okoliczność wyłączającą go z katalogu podmiotów podlegających kontroli Generalnego Inspektora Ochrony Danych Osobowych. W myśl powołanego przepisu, Prezes Instytutu w sprawowaniu swego urzędu jest niezależny od organów władzy państwowej. W ocenie organu wyrażona w tym przepisie zasada niezależności Prezesa Instytutu od organów władzy państwowej odnosi się do jego działalności merytorycznej. Jednocześnie kontrola inspektorów Generalnego Inspektora Ochrony Danych Osobowych dotyczyła realizacji obowiązków określonych w ustawie o ochronie danych osobowych związanych z zabezpieczeniem zbiorów danych osobowych i zgłoszenia zbiorów danych osobowych do rejestracji. Zatem dokonane czynności kontrolne nie wkraczały w obszar zagadnień związanych z merytoryczną działalnością Instytutu. Podał dalej, że wbrew twierdzeniu skarżącego, wobec Prezesa Instytutu jest dopuszczalny tzw. nadzór specjalistyczny, przejawiający się w kontrolach realizowanych przez podmioty niepozostające w hierarchicznej nadrzędności nad podmiotem kontrolowanym. Wykonywanie takich kontroli jest niezbędne nie tylko dla zapewnienia, aby ograny administracji publicznej działały zgodnie z obowiązującym prawem, ale także do tego, aby ich działania nie naruszały konstytucyjnie zagwarantowanych praw i wolności obywateli.
Odnosząc się do zarzutu skarżącego, że ustawa o Instytucie Pamięci Narodowej w zakresie ochrony danych osobowych zawiera odrębne uregulowania od określonych w ustawie o ochronie danych osobowych podkreślił, że zasady rozstrzygania zbiegu norm dotyczących przetwarzania danych osobowych zostały zawarte w art. 5 ustawy o ochronie danych osobowych. Zgodnie z powołanym przepisem, jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw. Tymczasem przepisy ustawy o Instytucie Pamięci Narodowej w ogóle nie regulują sprawy zabezpieczeń zbiorów danych osobowych. Regulują natomiast - o czym była mowa wcześniej - jedynie wybrane kwestie w zakresie m.in. gromadzenia dokumentów przez Instytut, udostępniania dokumentów osobom pokrzywdzonym, sposób udostępniania dokumentów funkcjonariuszom pracownikom i współpracownikom organów bezpieczeństwa państwa oraz innym podmiotom upoważnionym do dostępu do dokumentów.
Zdaniem Generalnego Inspektora Ochrony Danych Osobowych nie zasługuje na uwzględnienie również zarzut niedoręczenia protokołu z kontroli Prezesowi Instytutu Pamięci Narodowej. Zapoznanie się z aktami kontroli oraz podpisanie protokołu kontroli miało bowiem nastąpić w dniu [...] marca 2005 r., tj. w terminie ustalonym z Dyrektorem Generalnym Ochrony Danych Osobowych. W terminie tym do siedziby Instytutu Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu zgłosili się Dyrektor Departamentu [...] i Dyrektor Departamentu [...], którzy przedstawili przedstawicielowi Prezesa Instytutu Pamięci Narodowej protokół kontroli wraz z załącznikami do protokołu kontroli. Przedstawiciel Prezesa Instytutu nie skorzystał jednak z prawa do zapoznania się z powyższymi dokumentami i nie zgłosił również zamiaru dokonania z nich notatek lub odpisów oraz sporządzenia kserokopii. Zdaniem organu, protokół kontroli i pozyskane dowody stanowią akta sprawy, o których mowa w art. 73 k.p.a. W konsekwencji dokumenty składające się na akta danej sprawy, gromadzi i dysponuje nimi organ, który przeprowadza określone czynności. Biorąc pod uwagę fakt, iż organ jest obowiązany umożliwić stronie postępowania realizację prawa wglądu do akt, pracownicy Generalnego Inspektora Ochrony Danych Osobowych dołożyli należytej staranności w celu dopełnienia tego obowiązku, jednak przedstawiciel Prezesa Instytutu z takiej możliwości nie skorzystał w trakcie doręczania protokołu kontroli. Generalny Inspektor Ochrony Danych Osobowych stwierdził, że Prezesowi Instytutu Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu, zagwarantowane zostały wszystkie uprawnienia wynikające zarówno z ustawy o ochronie danych osobowych, jak i z k.p.a. Mimo to - co zdarzyło się po raz pierwszy w praktyce Generalnego Inspektora Ochrony Danych Osobowych - nie podpisał protokołu i nie skorzystał z uprawnień wynikających z art. 16 ust. 2 i ust. 3 ustawy o ochronie danych osobowych.
Ponadto, wskazał, iż bezpodstawny jest również zarzut że w zaskarżonych decyzjach nie wymieniono przepisów, które zostały naruszone przez jednostkę kontrolowaną, gdyż takie przepisy zostały wskazane w części decyzji dotyczącej podstaw prawnych jej wydania.
Także zarzut niewystarczającego uzasadnienia decyzji uznał za całkowicie bezpodstawny. W uzasadnieniu wskazano bowiem, że przepisy ustawy o Instytucie Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu nie zawierają przepisów, które stanowiłyby podstawę prawną do udostępniania danych osobowych zawartych w pomocach ewidencyjnych osobom korzystającym z czytelni akt jawnych. Takie uzasadnienie, zdaniem Generalnego Inspektora, było wystarczające w świetle przepisów ustawy o Instytucie Pamięci Narodowej, a w szczególności jej art. 36.
Odnosząc się z kolei do zarzutu, iż art. 36 ust. 1 ustawy o ochronie danych osobowych dotyczy wyłącznie konkretnych rozwiązań technicznych i organizacyjnych, których nie można utożsamiać z dokumentacją techniczną i organizacyjną oraz procedurami wskazał, że zgodnie z tym przepisem, administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub niszczeniem. Jednocześnie ustawodawca nie przesądził, jakiego rodzaju środki techniczne i organizacyjne administrator danych ma zastosować.
Generalny Inspektor Ochrony Danych Osobowych wskazał także, iż wbrew stanowisku Prezesa Instytutu Pamięci Narodowej, zbiór danych zawartych w dokumentach i kartotekach przekazanych do Instytutu Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu przez organy wymienione w art. 25 ust. 1 ustawy o Instytucie Pamięci Narodowej, w tym m.in. Ministra Spraw Wewnętrznych i Administracji, Ministra Obrony Narodowej, Ministra Sprawiedliwości, prezesów sądów powszechnych i wojskowych, podlega zgłoszeniu do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Tworzą one bowiem zbiór danych osobowych w rozumieniu art. 7 pkt 1 ustawy, zgodnie z którym ilekroć w ustawie jest mowa o zbiorze danych - rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Jednocześnie do Prezesa Instytutu zastosowanie mają przepisy o ochronie danych osobowych, w tym art. 40 ustawy o ochronie danych osobowych, wprowadzający obowiązek zgłaszania zbiorów danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.
Zdaniem Generalnego Inspektora Ochrony Danych Osobowych nie do przyjęcia jest również teza skarżącego, że z uwagi na treść art. 61 ust. 1 i 2 ustawy ochronie danych osobowych, obowiązkowi zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych w ogóle nie podlegają zbiory danych, które nie są prowadzone w systemach informatycznych, utworzone przed wejściem w życie ustawy o ochronie danych osobowych. Konieczność bowiem odmiennego potraktowania w tym zakresie administratorów przetwarzających dane przy użyciu systemów informatycznych związana była z tym, że przepisy o ochronie danych osobowych dla zbiorów danych osobowych prowadzonych w systemach informatycznych wprowadziły dodatkowe wymogi, których spełnienie było warunkiem ich zarejestrowania. W celu umożliwienia administratorom danych przetwarzanych w zbiorach zrealizowania tych wymogów ustawodawca wyznaczył, w art. 61 ust. 1 ustawy o ochronie danych osobowych, termin do złożenia wniosków o ich rejestrację. Dodatkowych wymogów nie musieli natomiast spełniać administratorzy, niewykorzystujący do przetwarzania danych systemów informatycznych. Administratorzy ci byli jednak zobowiązani do zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych w dniu wejścia w życie ustawy o ochronie danych osobowych, tj. w dniu 30 kwietnia 1998 r., zgodnie z dyspozycją zawartą w art. 40 ustawy o ochronie danych osobowych. Organ podkreślił, że żaden z przepisów ustawy o ochronie danych osobowych, nie przewiduje zwolnienia z obowiązku zgłoszenia do rejestracji zbioru danych prowadzonego przed wejściem w życie powołanej ustawy w sposób tradycyjny, tzn. bez wykorzystywania systemu informatycznego.
Ustosunkowując się zaś do zarzutu skarżącego, że nakazy sformułowane w osnowie zaskarżonych decyzji nie spełniają wymogów przewidzianych w Kodeksie postępowania administracyjnego dla rozstrzygnięć decyzji administracyjnych, Generalny Inspektor Ochrony Danych Osobowych wskazał, że nakazy zaskarżonych decyzji są precyzyjne i nie pozostawiają możliwości ich różnej interpretacji. Precyzyjne są m.in. nakazy zawarte w pkt 4 i 5 decyzji z dnia [...] lipca 2005 r., nr [...]. Wskazano w nich, że zastosowane środki techniczne i organizacyjne mają uniemożliwić wgląd do danych osobom nieuprawnionym lub zapewnić ochronę przetwarzanym danym osobowych. Trudno natomiast oczekiwać, aby Generalny Inspektor zamiast administratora danych określał ich rodzaj. Precyzyjny - w ocenie organu - jest również nakaz zawarty w pkt 8 decyzji z dnia [...] lipca 2005 r., nr [...]. Wymieniono w nim bowiem zbiory danych osobowych prowadzone przez Prezesa Instytutu Pamięci Narodowej, które nie zostały zgłoszone do rejestracji Generalnemu Inspektorowi, pomimo istnienia takiego obowiązku.
Jednocześnie Generalny Inspektor Ochrony Danych Osobowych stwierdził, iż uzasadnienie skargi jest wewnętrznie sprzeczne, co uniemożliwia mu ustosunkowanie się do wszystkich przedstawionych kwestii.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z brzmieniem art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującymi w dacie jej wydania.
Skarga analizowana pod tym kątem zasługuje na uwzględnienie.
Stosownie do treści art. 12 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. z 2002 r. Dz. U. Nr 101, poz. 926 ze zm.), do zadań Generalnego Inspektora Ochrony Danych Osobowych należy w szczególności m.in. kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych (pkt 1). Zgodnie z treścią art. 13 ust. 1 ustawy, zadanie te wykonuje przy pomocy Biura Generalnego Inspektora Ochrony Danych Osobowych, a w celu realizacji tych zadań, Generalny Inspektor, jego zastępca bądź upoważnieni przez niego pracownicy Biura Generalnego w myśl art. 14 ustawy, mają prawo do:
1) wstępu, w godzinach od 600 do 2200, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą,
2) żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego,
3) wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii,
4) przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych,
5) zlecać sporządzanie ekspertyz i opinii.
Z czynności kontrolnych, według art. 16 ust. 1 ustawy, inspektor sporządza protokół, którego jeden egzemplarz doręcza kontrolowanemu administratorowi danych.
Z systematyki tych przepisów oraz z hierarchii zadań wynikających z treści art. 12 ustawy wynika, że podstawowym zadaniem Generalnego Inspektora Ochrony Danych Osobowych jest kontrola zgodności przetwarzania danych osobowych z przepisami. Etapem kolejnym jest natomiast, jeżeli na podstawie wyników kontroli inspektor stwierdzi naruszenie przepisów o ochronie danych osobowych i wystąpi do Generalnego Inspektora o zastosowanie środków, o których mowa w art. 18 ustawy, element władczej kompetencji tego organu przejawiający się tym, że - w myśl art. 12 pkt 2 ustawy - może on wydawać odpowiednie decyzje administracyjne. Oznacza to, że jeżeli Generalny Inspektor Danych Osobowych wniosku inspektora nie odrzuci, to wszczyna postępowania administracyjne zawiadamiając o tym administratora danych i przeprowadza postępowanie wyjaśniające, a następnie w zależności od jego efektów nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności:
1) usunięcie uchybień,
2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych,
3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,
4) wstrzymanie przekazywania danych osobowych do państwa trzeciego,
5) zabezpieczenie danych lub przekazanie ich innym podmiotom,
6) usunięcie danych osobowych.
Reasumując, analiza powyższych przepisów prowadzi do wniosku, że wszczęcie postępowania administracyjnego przez Generalnego Inspektora Ochrony Danych Osobowych, poprzedzone jest odrębnym i autonomicznym postępowaniem kontrolnym, stwierdzającym naruszenie przepisów o ochronie danych osobowych.
W rozpoznawanej sprawie bezspornym jest, że upoważnieni inspektorzy Biura Generalnego Inspektora Danych Osobowych przeprowadzili kontrolę w Instytucie Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu w dniach od [...] do [...]lutego 2005 r. Następnie w dniu [...] marca 2005 r., po uprzednim uzgodnieniu, doręczono do siedziby Instytutu Pamięci Narodowej protokół podpisany przez inspektorów. Dyrektor Generalny Instytutu Pamięci Narodowej posiadając jedynie pełnomocnictwo Prezesa Instytutu do odbioru protokołu kontroli, dokonał tej czynności, co potwierdził własnoręcznym podpisem. Jednocześnie, co wydaje się być zrozumiałe w świetle posiadanych przez niego plenipotencji, odmówił jego podpisania i na okoliczność powyższego zdarzenia sporządzono stosowny zapis w protokole. Zaakcentować w tym miejscu należy, że z treści tego dokumentu wynikało, iż jego integralną część stanowią załączniki i co również dodać należy, bardzo obszerne i skomplikowane w swym układzie. Zawierały one bowiem nie tylko protokoły zeznań świadków, oględzin, pisemnych wyjaśnień pracowników Instytutu, lecz ponadto zrzuty z ekranów komputerowych poszczególnych elementów systemu informatycznego, służących do przetwarzania danych osobowych. W piśmie z dnia 18 marca 2005 r. Dyrektor Generalny Instytutu Pamięci Narodowej, a zatem osoba upoważniona przez kontrolowanego administratora danych osobowych, w związku z otrzymaniem powyższego protokołu, poinformował Generalnego Inspektora Ochrony Danych Osobowych, że doręczony mu protokół, nie zawiera żadnego ze stanowiących jego integralną część załączników, co - jego zdaniem - uniemożliwia Instytutowi realizację prawa wynikającego z art. 16 ust. 2 i 3 ustawy o ochronie danych osobowych. W związku z powyższym wniósł "o doręczenie wszystkich brakujących załączników". W odpowiedzi na powyższe Generalny Inspektor Danych Osobowych w piśmie z dnia 23 marca 2005 r. adresowanym do Prezesa Instytutu Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu poinformowała, że zostało wszczęte z urzędu postępowanie administracyjne w sprawie zgodności przetwarzania danych osobowych w Instytucie Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu. Ponadto poinformowała, powołując się na przepisy art. 10 § 1 i art. 73 § 1 k.p.a., o możliwości skorzystania z akt sprawy oraz sporządzenia z nich notatek i odpisów dodając jednocześnie, że Prezes Instytutu lub upoważniona przez niego osoba, może w siedzibie Generalnego Inspektora w terminie 7 dni od daty otrzymania powyższego pisma, zgłosić się w celu zapoznania z materiałem zebranym w toku kontroli i podpisać protokół, uznając ową czynność, jako "niezbędną". W tej sytuacji Prezes Instytutu Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu pismem z dnia 29 marca 2005 r. stwierdził, że - jego zdaniem - postępowanie kontrolne jest jeszcze cały czas w toku, bowiem protokół pokontrolny nie został podpisany, a Generalnego Dyrektora Instytutu Pamięci Narodowej nie można utożsamiać z kontrolowanym administratorem danych osobowych, ponieważ miał on tylko upoważnienie do odbioru, a nie do podpisania protokołu. O niekonsekwencji Generalnego Inspektora świadczy ponadto fakt, że mimo wszczęcia postępowania administracyjnego, prosi on jednocześnie o zapoznanie się z materiałem zebranym w toku kontroli i podpisanie protokołu. Jednocześnie zadeklarował się, że po uzyskaniu wyjaśnień w przedmiotowej kwestii, dokona niezwłocznie określonych prawem czynności. Generalny Inspektor Danych Osobowych w piśmie z dnia 22 kwietnia 2005 r. odpowiedziała, że aktualnie, tj. od dnia 23 marca 2005 r. postępowanie toczy się w trybie Kodeksu postępowania administracyjnego, co nie wyklucza na tym etapie również zapoznania się z dokumentacją zebraną w toku kontroli i podpisania protokołu kontroli w oparciu o przepisy ustawy o ochronie danych osobowych.
W świetle powyższych ustaleń faktycznych można dojść do następujących wniosków. Otóż przede wszystkim Dyrektor Generalny Instytutu Pamięci Narodowej nie tylko nie musiał, lecz przede wszystkim nie mógł podpisać protokołu z kontroli. Udzielone mu pełnomocnictwo sprowadzało się tylko do odbioru protokołu, a w myśl art. 16 ust. 2 ustawy jedynie kontrolowany administrator danych osobowych, w tej konkretnej sprawie Prezes Instytutu Pamięci Narodowej, miał prawo do podpisania protokołu i ewentualnie wnieść do niego umotywowane zastrzeżenia, bądź uwagi. Ponadto adnotacja o odmowie podpisania protokołu poczyniona na powyższym dokumencie, nie ma swojego umocowania w art. 16 ust. 3 ustawy, albowiem zgodnie z jego treścią wzmiankę taką sporządza się w sytuacji odmowy podpisania protokołu przez kontrolowanego administratora danych osobowych, a nie przez osobą upoważnioną jedynie do jego odbioru.
Mimo tych uchybień proceduralnych, nie można jeszcze wywieść wniosku, że mogły one mieć istotny wpływ na ostateczny wynik sprawy.
Jednakże zupełnie inaczej oceniać należy powyższą kwestię, jeśli się uwzględni fakt, że ustawa o ochronie danych osobowych w wielu kwestiach proceduralnych, nie wprowadza własnych przepisów, a poprzez brzmienie art. 22 (postępowanie w sprawach uregulowanych w niniejszej ustawie prowadzi się według przepisów Kodeksu postępowania administracyjnego, o ile przepisy ustawy nie stanowią inaczej) wprowadza zasadę subsydiarności przepisów k.p.a. W ten sposób wypełnia swoistą lukę w zakresie unormowań proceduralnych niewprowadzonych do ustawy o ochronie danych osobowych. Podkreślić również należy, że owa subsydiarność nie dotyczy tylko samego sensu stricte postępowania administracyjnego, lecz całej procedury prowadzonej zgodnie z tą ustawą, na co wskazuje formuła "o ile przepisy ustawy nie stanowią inaczej". Zatem całej ustawy, a nie tylko w części ograniczonej ściśle do postępowania administracyjnego. Stanowisko takie jest tożsame z komentatorami (vide: A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy. Lexis Nexis, 2004).
Skoro zatem tak, to z jednej strony została wyczerpana przesłanka zawarta w art. 45 k.p.a. Zgodnie z tym przepisem, jednostkom organizacyjnym i organizacjom społecznym doręcza się pisma w lokalu ich siedziby i w rozpoznawanej sprawie przesłanka ta została spełniona. Stosownie zaś do dalszej treści tego przepisu, a mianowicie, że pisma doręcza się do rąk osób uprawnionych do odbioru pisma należy również stwierdzić, że wymóg ten został dochowany poprzez doręczenie protokołu z kontroli, Dyrektorowi Generalnemu Instytutu Pamięci Narodowej.
Z drugiej natomiast strony Generalny Inspektor Ochrony Danych Osobowych nie zadośćuczynił dyspozycji zawartej w art. 70 k.p.a. zgodnie z którym, organ administracji publicznej może zezwolić na dołączenie do protokołu zeznania na piśmie, podpisanego przez zeznającego, oraz innych dokumentów mających znaczenie dla sprawy. Przepis ten zatem reguluje kwestię załączników do protokołu, bo takie określenie wynika ze słów "dołączenie do protokołu". Natomiast określenie "może zezwolić" oznacza, że ewentualność ich załączenia do protokołu pozostawiono uznaniu organu. Jednakże to uznanie organu musi przybrać formę procesową. Jakkolwiek poglądy doktryny różnią się co do formy zezwolenia organu, to z drugiej strony zbieżne są co do odmowy takiego zezwolenia, które musi przybrać formę postanowienia w rozumieniu art. 123 k.p.a. (vide: B. Adamiak, J. Borkowski, Kodeks postępowania administracyjnego. Komentarz, Wydawnictwo C. H. Beck, 2004, wyd. VI; M. Jaśkowska, A. Wróbel, Kodeks postępowania administracyjnego. Komentarz, Zamykacze, 2005, wyd. II; G. Łaszczyca, Cz. Martysz, A. Matan, Kodeks postępowania administracyjnego. Komentarz, Zamykacze, 2005)
Tymczasem w rozpoznawanej sprawie Generalny Inspektor Ochrony Danych Osobowych nie dość, że nie wydał w tej sprawie ewentualnego postanowienia o odmowie zezwolenia dołączenia do protokołu kontroli załączników na wniosek z dnia 18 marca 2005 r., uprawnionego do odbioru protokołu Dyrektora Generalnego Instytutu Pamięci Narodowej, to również w żaden sposób nie ustosunkował się do tej kwestii w piśmie z dnia 23 marca 2005 r., będącego odpowiedzią na ów wniosek, ani w żadnych pozostałych pismach.
Takie zaś pasywne zachowanie organu w świetle poczynionej już wyżej analizy, stanowi naruszenie wspomnianego wyżej art. 70 k.p.a. i - w ocenie Sądu - mogło mieć istotny wpływ na wynik sprawy w rozumieniu art. 145 § 1 pkt 1c ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.).
Nie można bowiem nie zauważyć i przejść obojętnie wobec następujących faktów. Mianowicie, i rację należy przyznać w tym względzie skarżącemu, że sam protokół pokontrolny zawiera jedynie krótki stan faktyczny i końcowe wnioski wyprowadzone z bardzo obszernego materiału zgromadzonego w załącznikach. Dodać należy, zawierających nie tylko zeznania świadków, lecz również - a właściwie przede wszystkim - zrzuty z ekranów komputerowych poszczególnych elementów systemu informatycznego, służących do przetwarzania danych osobowych.
W przepisie art. 16 ust. 2 in fine ustawy o ochronie danych osobowych, wprowadzono treść o charakterze gwarancyjnym dla strony, a mianowicie "kontrolowany administrator danych osobowych (...) może wnieść do protokołu umotywowane zastrzeżenia i uwagi.".
Nie można zatem wykluczyć takiej ewentualności, że gdyby Prezes instytutu Pamięci Narodowej dysponował wspomnianymi załącznikami, to - jak zresztą zadeklarował we wniosku z dnia 19 marca 2005 r. - mógłby wnieść do protokołu swoje zastrzeżenia i uwagi. To z kolei, hipotetycznie, nie wyklucza ewentualności oceny zarówno inspektorów, co do wniosku o wszczęcie postępowania administracyjnego, jak i stanowiska o odrzuceniu tego wniosku przez Generalnego Inspektora Ochrony Danych Osobowych. Nie wyklucza również chociażby modyfikacji przedmiotu dalszego postępowania administracyjnego, a w konsekwencji innej treści zaskarżonej i poprzedzającej ją decyzji. Wreszcie - co najważniejsze - umożliwiłoby stronie skarżącej wypowiedzenie się w sprawie, co podnosi, ewentualnych sprzeczności ustaleń kontrolnych ze stanem faktycznym i tym samym spełniłoby wskazaną już wyżej funkcję gwarancyjną.
Tym samym działanie Generalnego Inspektora Ochrony Danych Osobowych na etapie postępowania kontrolnego naruszyło przede wszystkim art. 8 k.p.a., wymagający od organów administracji publicznej prowadzenia postępowania w sposób pogłębiający zaufanie obywateli do organów Państwa, jak również przepisy o sporządzaniu i doręczaniu protokołów, w tym art. 68 § 1 i art. 70 k.p.a. w stopniu - co już wyżej wskazano - mogącym mieć istotny wpływ na wynik sprawy.
Nie podzielił Sąd natomiast stanowiska strony skarżącej, że owo naruszenie miało rażący charakter w rozumieniu art. 156 § 1 pkt 2 k.p.a. Przepis art. 16 ustawy o ochronie danych osobowych i rozwinięcie jego stosowania przez odniesienie zawarte w art. 22 ustawy, zgodnie z przepisami procedury administracyjnej, pozostawia mimo wszystko wątpliwości, co do jego bezpośredniego rozumienia.
Sąd nie podzielił również pozostałych zarzutów zawartych w skardze.
Przede wszystkim odnosząc się do zarzutu dotyczącego naruszenia przez Generalnego Inspektora Ochrony Danych Osobowych niezależności Prezesa Instytutu Pamięci Narodowej i naruszenia w ten sposób art. 9 ust. 2 ustawy o Instytucie Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu (Dz. U. Nr 155, poz. 1016 ze zm.), należy na wstępie wskazać na normy ustrojowe wyrażone w Konstytucji Rzeczypospolitej Polskiej, w szczególności zaś na zasadę demokratycznego państwa prawnego i będącej jej elementem zasady działania organów państwa wyłącznie na podstawie i w granicach prawa. Zwrócić uwagę należy, że organy władzy publicznej zobowiązane są działać na podstawie prawa i realizować powierzone kompetencje w oparciu o wyraźnie określone normy powszechnie obowiązującego prawa. Nie ulega wątpliwości, że zarówno Prezes Instytutu Pamięci Narodowej, jak i Generalny Inspektor Ochrony Danych Osobowych są organami, które zobowiązane są właśnie realizować konstytucyjną zasadę praworządności formalnej pogłębiając jednocześnie zaufanie obywateli do państwa. W tym kontekście nie można obronić stanowiska wskazującego na wyłączenie któregokolwiek organu władzy publicznej od konieczności przestrzegania przepisów prawa, stanowiących w założeniu spójny system norm wzajemnie się uzupełniających i pozostających w zgodzie z ustawą zasadniczą, określającą ustrój Rzeczypospolitej Polskiej. Oznacza to również, że organy władzy publicznej zobowiązane są dostosować realizację powierzonych im kompetencji do wymogów wynikających z przepisów prawa, zaś wszelkie wyłączenia w stosowaniu określonych norm prawnych powinny być wyraźnie i jednoznacznie uregulowane oraz uzasadnione specyfiką danej materii wymagającą regulacji o charakterze szczególnym.
Zgodnie z art. 51 Konstytucji Rzeczypospolitej Polskiej, nikt nie może być obowiązany inaczej, niż na podstawie ustawy, do ujawniania informacji dotyczących jego osoby. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach, niż jest to niezbędne w demokratycznym państwie prawnym. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. Przedmiotowy przepis rangi konstytucyjnej tworzy kompleksową ochronę danych osobowych jednostki w oparciu o dwa podstawowe elementy: prawo każdego człowieka do prywatności oraz zasadę demokratycznego państwa prawnego. Należy w tym miejscu podkreślić, że - jak wskazano wyżej - organy władzy publicznej są obowiązane realizować normy zawarte w Konstytucji, zaś granice legalności przetwarzania danych osobowych zakreśla przede wszystkim zasada demokratycznego państwa prawnego. Stąd też legalne jest jedynie pozyskiwanie, gromadzenie i udostępnianie informacji o obywatelach, które jest niezbędne i mieści się w granicach wspomnianej zasady. W ocenie Sądu nie ulega wątpliwości, iż Prezes Instytutu Pamięci Narodowej jest także zobowiązany do przestrzegania granic legalności przetwarzania danych osobowych wyznaczonych w art. 51 ust. 2 Konstytucji, a w konsekwencji także poszczególnych przepisów ustawy o ochronie danych osobowych, z wyjątkiem przypadków, w których ustawodawca wyraźnie wyłącza stosowanie tej ustawy.
Biorąc pod uwagę powyższe należy zwrócić uwagę na fakt, że prawo ochrony danych osobowych wyrażone w art. 51 Konstytucji Rzeczypospolitej Polskiej i skonkretyzowane w ustawie o ochronie danych osobowych, zakreśla jednocześnie obowiązek dla organów władzy publicznej stosowania regulacji, które pozwalają powyższe prawo realizować. Krąg adresatów ustawy o ochronie danych osobowych został w sposób jednoznaczny wyznaczony w art. 3 ust. 1 i ust. 2 tej ustawy, a akt ten stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych, jak również do podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych - które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej. Jednocześnie prawodawca określił wyłączenie stosowania ustawy o ochronie danych osobowych w art. 3a, zgodnie z którym ustawy nie stosuje się do osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych oraz podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych.
Zarzucając naruszenie niezależności, Prezes Instytutu Pamięci Narodowej powołał się na przepis art. 9 ust. 2 ustawy o Instytucie Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu, zgodnie z którym Prezes Instytutu Pamięci w sprawowaniu swego urzędu jest niezależny od organów władzy państwowej. Zdaniem Sądu treść tego przepisu wskazuje jednoznacznie na niezależność Prezesa Instytutu jedynie w zakresie sprawowanego urzędu, czyli realizacji zadań i kompetencji wynikających z przepisów regulujących funkcjonowanie tego organu. Przepis ten jednakże nie daje żadnych podstaw do przyjęcia tezy, iż Prezes Instytutu nie jest zobowiązany do stosowania przepisów ustawy o ochronie danych osobowych a tym samym nie podlega w żadnym stopniu obowiązkom wynikającym z jej przepisów. Przyjęcie takiego poglądu prowadziłoby do sytuacji, w której Prezes Instytutu Pamięci Narodowej, jako organ władzy publicznej nie podlegałby obowiązkom wynikającym z art. 51 Konstytucji, co w demokratycznym państwie prawnym jest niedopuszczalne. Niezależność w sprawowaniu urzędu nie oznacza w żadnym wypadku niezależności od powszechnie obowiązujących przepisów rangi ustawowej normujących tak istotną dziedzinę życia społecznego i państwowego, jaką jest ochrona danych osobowych.
Analizując niniejszą sprawę Sąd zwraca uwagę na fakt, że pozycja ustrojowa Prezesa Instytutu Pamięci Narodowej oraz Generalnego Inspektora Ochrony Danych Osobowych jest podobna i nie jest możliwe konstruowanie stanowiska wskazującego na jakiekolwiek ich wzajemne hierarchiczne podporządkowanie lub zależność. Zupełnie inną kwestią jest natomiast - jak wskazano wyżej - obowiązek stosowania przez Prezesa Instytutu, który spełnia przesłanki wskazane w art. 3 ust. 1 i 2 ustawy o ochronie danych osobowych, przepisów tej ustawy. Zgodzić się należy w tym miejscu ze stanowiskiem Generalnego Inspektora Ochrony Danych Osobowych, że zasada niezależności Prezesa Instytutu Pamięci Narodowej odnosi się wyłącznie do realizacji przypisanych mu przepisami prawa kompetencji. Tymczasem bezsporne jest, iż kontrola inspektorów Generalnego Inspektora Ochrony Danych Osobowych nie dotyczyła kwestii związanych np. z wyrażaniem zgody na udostępnienie dokumentów z zasobu archiwalnego Instytutu Pamięci Narodowej osobom ubiegającym się o status pokrzywdzonego, lecz realizacji obowiązków określonych w ustawie o ochronie danych osobowych, czyli zabezpieczenia zbiorów danych osobowych i zgłoszenia zbiorów danych osobowych do rejestracji. Trudno zatem czynić inspektorom zarzut, iż kontrolując realizację obowiązków wynikających z przepisów ustawy o ochronie danych osobowych, której podlega również Prezes Instytutu Pamięci Narodowej, naruszyli jego niezależność.
Ustosunkowując się do kolejnego zarzutu, a mianowicie że ustawa o Instytucie Pamięci Narodowej zawiera odrębne uregulowania dotyczące ochrony danych osobowych w stosunku do określonych w ustawie o ochronie danych osobowych, należy zwrócić uwagę na treść art. 5 tej ostatniej ustawy. Zgodnie z nią, jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw. Jedną ze wskazanych ustaw jest bez wątpienia ustawa o Instytucie Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu. Należy jednak zgodzić się ze stanowiskiem Generalnego Inspektora Ochrony Danych Osobowych, że zasada rozstrzygania zbiegu norm na korzyść tych z nich, które przewidują wyższy poziom ochrony nie oznacza generalnego wyłączenia stosowania ustawy o ochronie danych osobowych, lecz jedynie w zakresie, w jakim zapewniają danym osobowym dalej idącą ochronę.
Nie ulega wątpliwości, iż ustawodawca przyjął zasadę rozstrzygania zbiegu norm na korzyść tych, które przewidują wyższy poziom ochrony. Przykładem przepisów, które przewidują wyższą ochronę danych osobowych, niż określone w ustawie o ochronie danych osobowych są przepisy regulujące ochronę informacji niejawnych, w tym tajemnicy służbowej i państwowej, których naruszenie wiąże się z sankcją o charakterze karnym. Jednocześnie niektóre ustawy nie wyłączają stosowania całej ustawy o ochronie danych osobowych, lecz jedynie w zakresie, w którym przewidują właśnie wyższą ochronę. Należy podnieść, iż ustawa o Instytucie Pamięci Narodowej nie przewiduje w całości wyższej ochrony danych osobowych niż ustawa o ochronie danych osobowych, natomiast o charakterze przepisów szczególnych regulujących ten zakres, a co za tym idzie ewentualnym zastosowaniu reguły lex specialis derogat legi generali można decydować jedynie w odniesieniu do kilku norm zawartych w ustawie o Instytucie Pamięci Narodowej, regulujących przetwarzanie danych osobowych, np. art. 71. W konsekwencji, biorąc pod uwagę, że przepisy ustawy o Instytucie Pamięci Narodowej nie regulują kwestii zabezpieczenia zbiorów danych osobowych, nie można przyjąć, iż w tym zakresie nie znajdą zastosowania przepisy ustawy o ochronie danych osobowych, zaś działania inspektorów Generalnego Inspektora były nieuprawnione.
Jednocześnie nie można podzielić argumentacji skarżącego, że o generalnym wyłączeniu stosowania ustawy o ochronie danych osobowych rozstrzyga art. 1 pkt 3 ustawy o Instytucie Pamięci Narodowej, zgodnie z którym ustawa ta reguluje ochronę danych osobowych osób pokrzywdzonych, gdyż przepis ten w żadnym stopniu nie przesądza o wyższym poziomie ochrony danych osobowych. Sąd uznał zatem, że ustawa o Instytucie Pamięci Narodowej nie stanowi jako całość lex specialis w stosunku do ustawy ochronie danych osobowych, której zastosowanie jest wyłączone. Taki charakter może mieć natomiast art. 71 ustawy, stosownie do którego w działalności Instytutu Pamięci Narodowej dozwolone jest przetwarzanie danych osobowych, o których mowa w art. 27 ustawy o ochronie danych osobowych, bez zgody i wiedzy osoby, której dotyczą. W pozostałym jednak zakresie Sąd przyjął, iż zastosowanie znajdą przepisy ustawy o ochronie danych osobowych dotyczące zabezpieczenia przetwarzania danych osobowych, w związku z czym działanie inspektorów należy uznać za znajdujące oparcie w obowiązującym prawie i służące realizacji obowiązku wynikającego z art. 51 Konstytucji.
Nawiązując do zarzutu podniesionego w skardze, a dotyczącego oparcia ustaleń pokontrolnych wyłącznie na zeznaniach archiwistów należy wskazać, że z akt postępowania administracyjnego wynika jednoznacznie, iż kontrola przeprowadzona przez inspektorów Generalnego Inspektora Ochrony Danych Osobowych miała charakter kompleksowy. Objęła ona nie tylko zeznania archiwistów Instytutu Pamięci Narodowej, ale zeznania informatyka i przegląd poszczególnych dokumentów oraz elementów systemu informatycznego pod kątem realizacji zasady ochrony danych osobowych. W konsekwencji nie można uznać za uzasadniony zarzut skarżącego, iż ustalenia faktyczne nie są zgodne z rzeczywistością, bowiem opierały się wyłącznie na zeznaniach pracowników Biura [...] i oględziny poszczególnych stanowisk komputerowych. Dlatego Sąd - biorąc pod uwagę m. in. podpisy pracowników Instytutu Pamięci Narodowej na protokołach potwierdzających dokonanie poszczególnych czynności kontrolnych - stwierdził, że ustalenia dokonane w ramach przedmiotowej kontroli, nie powinny budzić jakichkolwiek wątpliwości.
Zdaniem Sądu nie można również zgodzić się z twierdzeniem Prezesa Instytutu Pamięci Narodowej dotyczącym zawartego w zaskarżonej decyzji niewłaściwego nakazu zaprzestania udostępnienia "pomocy ewidencyjnych" osobom korzystającym z czytelni akt jawnych nie będących pracownikami Instytutu oraz niewystarczającego uzasadnienia prawnego tego nakazu. Przede wszystkim należy podnieść, że w art. 36 ustawy o Instytucie Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu, na którym organ oparł przedmiotowy nakaz stanowi się, iż dokumenty zawierające dane o pokrzywdzonych lub osobach trzecich mogą być, w niezbędnym zakresie i w sposób nie naruszający praw tych osób, wykorzystywane przez organy władzy publicznej oraz przez inne instytucje, organizacje i osoby w celach wykonania ustawy z dnia 24 stycznia 1991 r. o kombatantach oraz niektórych osobach będących ofiarami represji wojennych i okresu powojennego (Dz. U. z 1997 r. Nr 142, poz. 950 oraz z 1998 r. Nr 37, poz. 204 i Nr 106, poz. 668), wykonania ustawy z dnia 11 kwietnia 1997 r. o ujawnieniu pracy lub służby w organach bezpieczeństwa państwa lub współpracy z nimi w latach 1944 - 1990 osób pełniących funkcje publiczne, ścigania przestępstw, o których mowa w art. 1 pkt 1 lit. a) tej ustawy (popełnionych na osobach narodowości polskiej lub obywatelach polskich innych narodowości w okresie od dnia 1 września 1939 r. do dnia 31 grudnia 1989 r. - zbrodni nazistowskich, zbrodni komunistycznych, innych przestępstw stanowiących zbrodnie przeciwko pokojowi, ludzkości lub zbrodnie wojenne) oraz prowadzenia badań naukowych, o ile Prezes Instytutu wyrazi na to zgodę. Rzeczywiście, przepis ten nie określa kręgu adresatów, w stosunku do których Prezes Instytutu Pamięci Narodowej może wyrazić zgodę na wykorzystanie tych danych osobowych. Nie ulega także wątpliwości, że przepis ten wyraźnie wskazuje ex lege na konieczność wyrażenia zgody do wykorzystanie danych zawartych w udostępnianych dokumentach, nie zaś tylko ich udostępnianie. Tym niemniej analizując przedmiotowy przepis w świetle wszystkich przepisów regulujących ochronę danych osobowych i funkcjonowania Instytutu Pamięci Narodowej należy uznać, iż wskazany nakaz jest zgodny z prawem. Legalność zaskarżonego elementu decyzji wynika przede wszystkim z faktu, iż "pomoce ewidencyjne", zawierają bez wątpienia dane osobowe, a zatem ich charakter jest zbliżony do innych przekazanych przez organy zobowiązane dokumentów dotyczących poszczególnych osób, jak teczki osobowe, obiektowe i kontrolne. Z tych względów powinny one podlegać takim samym rygorom wynikającym z ustawy o Instytucie Pamięci Narodowej. W związku z powyższym nie można zgodzić się ze skarżącym, iż przepis art. 36 wskazuje wyłącznie na wykorzystanie danych, co może sugerować, iż samo udostępnienie w czytelni akt jawnych nie może być obwarowane wspomnianymi rygorami. Zdaniem Sądu taka interpretacja przepisu w kontekście celu, dla którego został on powołany, nie jest możliwa do przyjęcia. Nie można bowiem wykluczyć, co potwierdza praktyka funkcjonowania Instytutu Pamięci Narodowej, iż już samo udostępnienie dokumentów wiąże się z ich wykorzystaniem poprzez zaczerpnięcie zawartej w nich wiedzy, czy wręcz podanie określonych w nich danych, w sposób mogący budzić wątpliwości, co do realnej ochrony danych osobowych. W tym stanie rzeczy nakaz Generalnego Inspektora Ochrony Danych Osobowych należy ocenić jako zgodny z prawem i służący wyłącznie realizacji celów obowiązujących przepisów regulujących ochronę danych osobowych. Również uzasadnienie tego nakazu nie budzi zastrzeżeń, ponieważ zawiera jasno wskazane elementy faktyczne i prawne oraz wyraźnie wskazane motywy subsumpcji przepisów prawa.
Analizując następny zarzut Prezesa Instytutu Pamięci Narodowej dotyczący niewłaściwego zastosowania przez Generalnego Inspektora art. 36 ust. 1 Sąd stwierdził, iż nie zasługuje on na uwzględnienie. Nie można podzielić oceny, że przepis ten nie nakłada na administratorów danych obowiązku opracowania jakichkolwiek procedur, które określałyby np. rodzaj prowadzonych pomocy ewidencyjnych, a jedynie rozwiązania techniczne i organizacyjne, które służą ochronie danych osobowych. Zgodnie z art. 36 ust. 1 ustawy o ochronie danych osobowych, administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Stosownie do przepisu ust. 2 i 3 tego artykułu, administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz wskazane wyżej środki, a także wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony danych osobowych, chyba że sam wykonuje te czynności. Należy podkreślić, że przepis art. 36 należy traktować jako całość normatywną nakładającą na adresata obowiązek poczynienia wszelkich czynności, polegających na wprowadzeniu odpowiednich rozwiązań, które mogłyby zapewnić rzeczywistą ochronę danych osobowych. Nie można - zdaniem Sądu - rozważać wprowadzenia środków technicznych i zakładać ich skuteczność bez spójnej koncepcji ich wykorzystania np. w ramach określonej procedury. Środkiem organizacyjnym zapewniającym ochronę będzie więc - w ocenie Sądu - nie tylko np. lokalizacja lub zabezpieczenie pomieszczeń, w których przechowywane są dokumenty zawierające dane osobowe, ale także zasady wstępu do tych pomieszczeń i sposób kontroli przestrzegania tych zasad. Zastosowanie zatem rozwiązań technicznych bez określonej procedury ich wykorzystywania, nie może stanowić dostatecznej gwarancji realizacji celu, dla którego ustawodawca powołał cytowany wyżej art. 36 ust. 1 ustawy o ochronie danych osobowych. Analogicznie należy odnieść się do zarzutu dotyczącego zamkniętego katalogu dokumentów, które administrator zobowiązany jest bezwzględnie opracować. Należy zgodzić się ze stanowiskiem Generalnego Inspektora Ochrony Danych Osobowych, iż specyfika działalności Instytutu Pamięci Narodowej może wymagać zastosowania dodatkowych środków ochrony danych osobowych, w szczególności, gdy dotychczasowa praktyka funkcjonowania wykazała, że dotychczas używane środki okazały się niewystarczające.
Odnosząc się do kolejnego zarzutu Prezesa Instytutu Pamięci Narodowej dotyczącego obowiązku zgłoszenia do rejestracji poszczególnych zbiorów danych osobowych przekazanych w trybie art. 25 ustawy o Instytucie Pamięci Narodowej, należy wskazać, iż powyższe zbiory danych osobowych stanowią bezspornie zbiory w rozumieniu art. 7 pkt 1 ustawy o ochronie danych osobowych. Zgodnie bowiem z tym przepisem, przez taki zbiór rozumie się każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Sąd uznał, że nieuzasadniony jest pogląd skarżącego, iż wspomniane zbiory danych pozostają wciąż zbiorami informacji uzyskanych w toku czynności operacyjno - rozpoznawczych i jako takie nie podlegają obowiązkowi rejestracji. Jak wskazano wyżej, zbiory te odpowiadają definicji zbioru określonego w art. 7 pkt 1 ustawy o ochronie danych osobowych, a co za tym idzie, należy w konsekwencji rozważyć zastosowanie przepisu art. 40 ust. 1 tej ustawy, zgodnie z którym administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1. Jednocześnie Sąd podzielił stanowisko Generalnego Inspektora Ochrony Danych Osobowych, że w niniejszej sprawie nie występują wyłączenia obowiązku rejestracji określone w art. 43 ust. 1 ustawy o ochronie danych osobowych. Bez wątpienia można wskazać, jakie podmioty podejmują czynności operacyjno - rozpoznawcze w realizacji powierzonych im kompetencji. Czynności takich niewątpliwie nie dokonują pracownicy Instytutu. Reasumując Sąd przychylił się do stanowiska, zgodnie z którym zbiory danych osobowych, które zostały przekazane do Prezesa Instytutu Pamięci Narodowej przez określone organy w trybie art. 25 ustawy o Instytucie Pamięci Narodowej, podlegają obowiązkowi rejestracji a zatem dotyczące go nakazy zawarte w zaskarżonej decyzji są zgodne z prawem.
Również zarzut dotyczący wyłączenia wspomnianego wyżej obowiązku rejestracji zbiorów danych osobowych w odniesieniu do danych zgromadzonych przed wejściem w życie ustawy o ochronie danych osobowych, nie zasługuje na uwzględnienie. Rozpatrując skargę w tym zakresie należy bowiem podkreślić, iż ustawodawca określił w art. 61 ustawy o ochronie danych osobowych, obowiązek złożenia przez podmioty do których stosuje się ustawę o ochronie danych osobowych, wniosków o zarejestrowanie tych zbiorów w trybie określonym w art. 41, w terminie 18 miesięcy od dnia jej wejścia w życie, chyba że ustawa zwalnia ich z tego obowiązku. Do tego czasu podmioty te mogą prowadzić zbiory bez rejestracji. Jak wskazano, wyżej Prezes Instytutu nie jest zwolniony z obowiązku rejestracji zbiorów danych osobowych, których jest administratorem, a w związku z tym zobowiązany jest również do realizacji obowiązku uregulowanego w art. 61 ustawy o ochronie danych osobowych.
Nawiązując do zarzutu naruszenia wymogów przewidzianych w Kodeksie postępowania administracyjnego dla rozstrzygnięć administracyjnych ze względu na nieprecyzyjność nakazów zawartych w zaskarżonej decyzji Sąd uznał, iż organ zachował wymogi formalne decyzji administracyjnej. W szczególności nakazy zawarte w tej decyzji należy uznać za sformułowane w sposób jasny i precyzyjny, zaś ich uzasadnienie za spełniające wymogi określone w art. 107 § 3 k.p.a.
Reasumując, Sąd rozpoznając niniejszą sprawę zarówno w oparciu o przepisy ustawy regulującej postępowanie przed sądami administracyjnymi, jak i analizę akt i całego szeroko pojętego postępowania administracyjnego zmierzającego do wydania zaskarżonej decyzji m. in. w oparciu o przepisy Kodeksu postępowania administracyjnego, stwierdził naruszenie przez organ prawa procesowego w stopniu mogącym mieć wpływ na wynik sprawy. Stwierdzenie tego naruszenia obligowało Sąd do uchylenia decyzji Generalnego Inspektora Ochrony Danych Osobowych i tym samym wyeliminowania z obrotu prawnego aktu dotkniętego wadą wynikającą z naruszenia reguł postępowania administracyjnego. Tym niemniej w odniesieniu do pozostałych zarzutów zawartych w skardze Sąd uznał, iż nie zasługują one na uwzględnienie, zaś nakazy zawarte w decyzji Generalnego Inspektora Ochrony Danych Osobowych oparte były zarówno na właściwie zastosowanej podstawie prawnej, jak też konieczności realizacji podstawowych założeń zawartych w przepisach regulujących ochronę danych osobowych, które niewątpliwie mają zastosowanie również do Prezesa Instytutu Pamięci Narodowej.
Wspomnieć na końcu również należy, że rozstrzygnięcie w zakresie niewykonywania zaskarżonej decyzji w całości, a które to rozstrzygnięcie jest - w ocenie Sądu - zasadne na gruncie art. 152 ustawy - Prawo o postępowaniu przed sądami administracyjnymi oznacza w praktyce, że osoby, które nie są pracownikami Instytutu Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu, mogą korzystać z czytelni akt jawnych i pomocy archiwalnych, zarówno w zakresie podmiotowym, jak i przedmiotowym oraz na pozostałych zasadach przewidzianym ustawą o Instytucie Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu (Dz. U. Nr 155, poz. 1016 ze zm.). Podkreślić jednakże należy, że udostępnianie tym osobom pomocy archiwalnych - co znalazło swój wyraz w uzasadnieniu wyroku - nie może naruszać pozostałych nakazów zawartych w zaskarżonej decyzji. W rzeczywistości bowiem punkt 1 decyzji, miał na celu natychmiastowe uniemożliwienie postępowania niezgodnego z obowiązującym prawem, zaś niektóre kolejne nakazy (vide: np. pkt 3) i co zostało już wykonane, zobowiązywały kontrolowanego administratora danych osobowych, do przywrócenia stanu zgodnego - w tym właśnie zakresie - z przepisami prawa.
W tym stanie rzeczy, na mocy art. 145 § 1 pkt 1 c i art. 152 w zw. z art. 132 cytowanej już wyżej ustawy - Prawo o postępowaniu przed sądami administracyjnymi, należało orzec jak w sentencji wyroku.