II SA/Wa 2178/04

II SA/Wa 2178/04 - Wyrok WSA w Warszawie
Data orzeczenia
2005-05-17
orzeczenie prawomocne
Data wpływu
2004-10-27
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Ewa Kwiecińska /przewodniczący sprawozdawca/
Jacek Fronczyk
Przemysław Szustakiewicz
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Kwiecińska (spr.), Jacek Fronczyk Przemysław Szustakiewicz, Jacek Jaskot, Asesor WSA Jacek Fronczyk, Asesor WSA Przemysław Szustakiewicz, , Protokolant Jacek Jaskot, , po rozpoznaniu na rozprawie w dniu 17 maja 2005 r. sprawy ze skargi M. Spółki z ograniczoną odpowiedzialnością z siedzibą w G. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] sierpnia 2004 r. nr [...] w przedmiocie ochrony danych osobowych - oddala skargę -
Uzasadnienie
W dniu [...] marca 2004 r. Generalny Inspektor Ochrony Danych Osobowych wydał decyzję o numerze [...], nakazującą M. Sp. z o.o. z siedzibą w G., zwanej dalej także M. Sp. z o.o., jako administratorowi danych osobowych pasażerów, przetwarzanych na podstawie art. 31 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) przez P. G. i Pana T. K. prowadzących działalność gospodarczą pod firmą A. s.c. z siedzibą w P., zwaną dalej A. s.c., usunięcie uchybień w procesie przetwarzania danych osobowych, poprzez:
1. Zgłoszenie do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych osobowych pasażerów, od dnia, kiedy decyzja stanie się ostateczna.
2. Określenie w umowie z dnia [...] czerwca 2000 r. zakresu przetwarzania danych osobowych przez zleceniobiorcę, tj. A.s.c, zgodnie z treścią art. 31 ust. 2 ustawy o ochronie danych osobowych, w terminie 14 dni od dnia, kiedy decyzja stanie się ostateczna.
3. Wydanie pisemnych upoważnień dla osób dopuszczonych w A. s.c. do obsługi systemu informatycznego oraz urządzeń wchodzących w jego skład, służących do przetwarzania danych osobowych, w terminie 14 dni od dnia, kiedy decyzja stanie się ostateczna.
4. Utworzenie ewidencji osób zatrudnionych w A. s.c. przy przetwarzaniu danych osobowych, w terminie 14 dni od dnia, kiedy decyzja stanie się ostateczna.
5. Wyznaczenie administratora bezpieczeństwa informacji, odpowiedzialnego za bezpieczeństwo danych w systemie informatycznym w A. s.c, w terminie 14 dni od dnia, kiedy decyzja stanie się ostateczna.
6. Określenie w indywidualnych zakresach czynności osób zatrudnionych w A. s.c. przy przetwarzaniu danych osobowych, zakresu dpowiedzialności tych osób za ochronę tych danych, w terminie 14 dni od dnia, kiedy decyzja stanie się ostateczna.
7. Opracowanie instrukcji postępowania w sytuacji naruszenia ochrony danych osobowych, przeznaczonej dla osób zatrudnionych w A. s.c. przy przetwarzaniu danych osobowych, w terminie 30 dni od dnia, kiedy decyzja stanie się ostateczna.
8. Opracowanie instrukcji określającej sposób zarządzania systemem informatycznym, służącym w A. s.c. do przetwarzania danych osobowych, w terminie 30 dni od dnia, kiedy decyzja stanie się ostateczna.
9. Określenie budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym w A. s.c. przetwarzane są dane osobowe z użyciem stacjonarnego sprzętu komputerowego, w terminie 14 dni od dnia, kiedy decyzja stanie się ostateczna.
10. Wyposażenie systemu informatycznego, w którym w A. s.c. przetwarzane są dane osobowe w mechanizmy uwierzytelnienia użytkownika oraz kontroli dostępu do danych osobowych, w terminie 3 miesięcy od dnia, kiedy decyzja stanie się ostateczna.
11. Modyfikację systemu informatycznego, w którym w A. s.c. przetwarzane są dane osobowe w taki sposób, aby system ten zapewniał dla każdej osoby, której dane są przetwarzane w tym systemie informatycznym odnotowanie daty pierwszego wprowadzenia danych tej osoby oraz identyfikatora użytkownika wprowadzającego dane, w terminie 3 miesięcy od dnia, kiedy decyzja stanie się ostateczna.
W dniu 26 marca 2004 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynął, złożony w terminie, wniosek M. Sp. z o. o. o ponowne rozpatrzenie sprawy zakończonej ww. decyzją.
Po dokonaniu ponownej analizy materiału dowodowego Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] sierpnia 2004 r., nr [...], uchylił pkt I.6., pkt I.7., pkt I.9., pkt 1.10. i pkt I.11 decyzji z dnia [...] marca 2004 r. i umorzył postępowanie w tym zakresie, a w pozostałej części utrzymał zaskarżoną decyzję w mocy.
W uzasadnieniu decyzji organ stwierdził, że administratorem danych osobowych pasażerów jest M. Sp. z o. o., która na podstawie umowy z dnia 15 czerwca 2000 r. upoważniła A. s.c. (obecnie A. Sp. z o. o.) do prowadzenia kontroli biletów w należących do niej środkach transportu. Z przepisu art. 33a ustawy z dnia 15 listopada 1984 r. Prawo przewozowe (t.j. Dz. U. z 2000 r. Nr 50, poz. 601 ze zm.) wynika bowiem, że w każdym przypadku skutki prawne działań podejmowanych przez podmioty kontrolujące bilety z upoważnienia przewoźnika, powstają w sferze prawnej przewoźnika i podróżnego. Nie jest zatem dopuszczalne zawarcie przez przewoźnika umowy, na podstawie której nastąpiłoby przeniesienie praw na rzecz podmiotu kontrolującego bilety, ponieważ przewoźnik może jedynie upoważnić ten podmiot do działania w swoim imieniu.
Stosownie do treści art. 31 ust. 4 ustawy o ochronie danych osobowych, w przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową. Z treści powołanego przepisu ustawy wynika, że administrator danych ponosi odpowiedzialność za przetwarzanie danych przez podmiot, o którym mowa w art. 31 ust. 1 ustawy o ochronie danych osobowych zgodnie z prawem. W przypadku stwierdzenia naruszeń prawa w procesie przetwarzania danych osobowych Generalny Inspektor jest uprawniony do nakazania administratorowi danych, w drodze decyzji administracyjnej usunięcia uchybień. Administrator danych jest zatem stroną postępowania, którego przedmiotem są uchybienia w procesie przetwarzania danych osobowych, których dopuścił się podmiot przetwarzający dane na podstawie umowy powierzenia przetwarzania danych osobowych, zawartej z administratorem danych.
Ponadto, organ wskazał, iż zgodnie z art. 40 ustawy, administrator danych
jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1.
Zgodnie z treścią art. 7 pkt 1 ustawy, ilekroć w ustawie jest mowa o zbiorze danych, rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
Jak ustalono w toku kontroli, wypełnione druki wezwania, zawierające dane osobowe pasażerów, przechowywane są według numeru kontrolera i numeru druku wezwania. Ponadto, dane osobowe pasażerów są wprowadzane do systemu informatycznego. Dane te tworzą zatem zbiór danych w rozumieniu art. 7 pkt 1 ustawy o ochronie danych osobowych i zbiór ten podlega zgłoszeniu do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.
Dopełnienie prawnego obowiązku zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi spoczywa na administratorze danych, tj. podmiocie decydującym o celach i środkach przetwarzania danych osobowych.
W toku postępowania ustalono, że M. Sp. z o. o. nie zgłosiła ww. zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.
Zgodnie z treścią art. 31 ust. 1 i ust. 2 ustawy, administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.
Postanowienia umowy z dnia [...] czerwca 2000 r. zawartej między M. Sp. z o. o., a A. s.c. nie określają zakresu przetwarzania danych przez zleceniobiorcę. Określenie zakresu przetwarzania danych osobowych powinno nastąpić poprzez wskazanie rodzaju danych osobowych, a nie poprzez odniesienie do czynności, z którą związane jest przetwarzanie tych danych.
Podmiot przyjmujący od administratora "zlecenie przetwarzania danych", może to przetwarzanie prowadzić wyłącznie w przewidzianym umową zakresie (chodzi tu głównie o rodzaj danych) oraz w określonym umową celu (chodzi tu głównie o przeznaczenie danych).
W toku postępowania, jak podkreśla organ, nie zostały przedstawione dowody wskazujące na usunięcie powyższego uchybienia.
Następnie GIODO podniósł, iż zgodnie z art. 36 ust. 3 ustawy, administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności.
W toku kontroli ustalono, iż nie został wyznaczony administrator bezpieczeństwa informacji.
W toku postępowania nie zostały przedstawione dowody wskazujące na usunięcie powyższego uchybienia.
Zgodnie z treścią art. 37 ustawy, do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.
W toku kontroli ustalono, iż osobom dopuszczonym do obsługi systemu informatycznego oraz urządzeń wchodzących w jego skład, służących do przetwarzania danych osobowych nie zostały nadane upoważnienia.
W toku postępowania nie zostały przedstawione dowody wskazujące na usunięcie powyższego uchybienia.
Zgodnie z art. 39 ust. 1 ustawy, administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać imię i nazwisko osoby upoważnionej, datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.
W toku kontroli ustalono, iż nie jest prowadzona ewidencja osób upoważnionych do ich przetwarzania.
W toku postępowania nie zostały przedstawione dowody wskazujące na usunięcie powyższego uchybienia.
Zgodnie z treścią § 3 rozporządzenia, na dokumentację, o której mowa w § 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej "instrukcją". Dokumentację, o której mowa w § 1 pkt 1 prowadzi się w formie pisemnej. Dokumentację, o której mowa w § 1 pkt 1, wdraża administrator danych.
W toku kontroli ustalono, iż nie została opracowana instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
W toku postępowania nie przedstawiono dowodów wskazujących na usunięcie powyższego uchybienia.
W ocenie organu, wprowadzenie do umowy powierzenia przetwarzania danych osobowych postanowień zobowiązujących podmiot, któremu powierzono przetwarzanie danych do dopełnienia obowiązków przewidzianych w przepisach o ochronie danych osobowych, nie zwalnia administratora danych z odpowiedzialności za realizację tych obowiązków.
Jednocześnie organ zwrócił uwagę na fakt, iż rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 80, poz. 521 z późn. zm.), utraciło moc obowiązującą z dniem 1 maja 2004 r. Zgodnie z § 9 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), administrator przetwarzanych, w dniu wejścia w życie niniejszego rozporządzenia, danych osobowych jest zobowiązany dostosować systemy informatyczne służące do przetwarzania tych danych do wymogów określonych w § 7 oraz w załączniku do rozporządzenia w terminie 6 miesięcy od dnia wejścia w życie niniejszego rozporządzenia.
Ponadto, w obecnym stanie prawnym, stosownie do treści § 4 pkt 1 rozporządzenia, wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe jest elementem polityki bezpieczeństwa, o której mowa w § 3 rozporządzenia.
Powołane rozporządzenie nie zawiera także przepisu zobowiązującego do określenia w indywidualnych zakresach czynności osób zatrudnionych przy przetwarzaniu danych osobowych zakresu odpowiedzialności tych osób za ochronę danych przed niepowołanym dostępem, nieuzasadnioną modyfikacją lub zniszczeniem, nielegalnym ujawnieniem lub pozyskaniem, w stopniu odpowiednim do zadań tych osób przy przetwarzaniu danych osobowych.
Ze względu na powyższe okoliczności GIODO uchylił pkt I.6., pkt I.7., pkt I.9., pkt I.10. i pkt I.11. zaskarżonej decyzji i w tym zakresie umorzył postępowanie jako bezprzedmiotowe.
Skargę na tę decyzję, w części dotyczącej utrzymania w mocy decyzji z dnia [...] marca 2004 r. wniosła M.Sp. z o.o.
W skardze podniesiono, iż:
1. Administratorem danych osobowych pasażerów, których dane zostały pozyskane przez A. Sp. z o.o. w wyniku kontroli biletów w środkach transportu M. Sp. z o.o. jest A. Sp. z o.o. z siedzibą w L., gdyż to ona decyduje o środkach i celach przetwarzania danych osobowych.
2. Dokonując wykładni przepisu art. 7 pkt 4 ustawy o ochronie danych osobowych, w którym zawarta jest ustawowa definicja administratora danych należy zauważyć, że charakter więzi prawnej łączącej oba podmioty w przedmiotowej sprawie, tj. M. Sp. z o.o. i A. Sp. z o.o. ma drugorzędne znaczenie, ponieważ ustawa jako kryterium uznania danego podmiotu za administratora danych przyjmuje decydowanie o celach i środkach przetwarzania danych.
3. Istotą zawarcia w dniu [...]czerwca 2000 r. umowy między M. Sp. z o.o., a A. Sp. z o.o. było powierzenie specyficznego segmentu działalności przewozowej, jaką jest działalność "kontrolerska", firmie "zewnętrznej", aby zminimalizować koszty Spółki oraz zapobiegać nadużyciom. M. Sp. z o.o. nie ingeruje w działalność A. Sp. z o.o. z wyjątkiem możliwości anulowania na wniosek pasażera, nałożonej przez kontrolera opłaty dodatkowej, stanowiąc tzw. "instancję odwoławczą" oraz cyklicznych ocen prawidłowości funkcjonowania postanowień umowy. O autonomii działania A. Sp. z o.o. świadczy fakt, że na podstawie zawartej pomiędzy stronami w dniu [...] października 2002 r. umowy cesji, wynagrodzeniem za świadczone usługi są kwoty wynikające z wyegzekwowanych opłat dodatkowych, a więc kwoty powstające bez jakiegokolwiek wpływu, czy udziału M. Sp. z o.o.
4. M. Sp. z o.o., w przypadku uznania ją za administratora danych osobowych pasażerów, nie byłaby w stanie wykonać wszystkich obowiązków ciążących na administratorze danych, a tym samym ponosić pełnej odpowiedzialności np. za właściwe zabezpieczenie czy dostęp danych, mając siedzibę oddaloną o dwieście kilometrów od siedziby podmiotu, w którego posiadaniu znajdują się dane osobowe.
W odpowiedzi na skargę organ wniósł o jej oddalenie i podtrzymał argumentację zawartą w uzasadnieniu zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Stosownie do treści art. 13 § 2 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), do rozpoznania sprawy właściwy jest wojewódzki sąd administracyjny, na którego obszarze właściwości ma siedzibę organ administracji publicznej, którego działalność została zaskarżona.
Art. 1 § 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269) statuuje zasadę kontroli przez sąd administracyjny zaskarżonych decyzji pod względem ich zgodności z prawem.
Jednocześnie, zgodnie z art. 134 § 1 ustawy - Prawo o postępowaniu przed sądami administracyjnymi, sąd rozstrzygając w granicach danej sprawy nie jest związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną.
Rozpoznając skargę w świetle powołanych powyżej przepisów należy stwierdzić, że nie zasługuje ona na uwzględnienie.
Dla rozstrzygnięcia przedmiotowej sprawy istotne jest wskazanie administratora danych.
W myśl art. 7 pkt 4 ustawy o ochronie danych osobowych, za administratora danych uznaje się:
a) organ państwowy lub samorządowy,
b) państwową lub komunalną jednostką organizacyjną,
c) podmiot niepubliczny realizujący zadania publiczne,
d) osobę prawną, jednostkę organizacyjną nieposiadającą osobowości prawnej lub osobę fizyczną, przetwarzającą dane w związku ze swą działalnością zarobkową, zawodową albo dla realizacji celów statutowych,
który (która) decyduje o celach i środkach przetwarzania danych osobowych.
W przedmiotowej sprawie skarżący, będący przewoźnikiem, zlecił na podstawie umowy z dnia [...]czerwca 2000 r. dokonywanie czynności prowadzenia kontroli biletów w pojazdach skarżącego, inkasowanie opłat specjalnych za ujawniony przejazd lub przewóz bagażu bez ważnego biletu oraz całkowitą windykację opłat specjalnych i prowadzenie postępowania odwoławczego od nałożonych opłat specjalnych panu P. G. oraz panu T.K. prowadzącym działalność gospodarczą pod firmą "A." Spółka cywilna.
Należy zgodzić się ze stanowiskiem Generalnego Inspektora Ochrony Danych Osobowych, iż określając zakres zlecenia (kontrola biletów i windykacja należności z nałożonych opłat specjalnych) skarżący określił jednocześnie cel przetwarzania danych osobowych pasażerów, których dane zostały pozyskane przez zleceniobiorcę w wyniku kontroli biletów w środkach transportu przewoźnika.
Jednocześnie, jak wynika z § 1 ust. 2 powołanej powyżej umowy z dnia [...] czerwca 2000 r., skarżący współdecyduje o środkach przetwarzania danych osobowych. Na mocy tej umowy zleceniobiorca został bowiem zobowiązany do stosowania w procesie przetwarzania danych osobowych, uzyskanych w związku z wykonywaniem przedmiotu umowy, określonych środków organizacyjnych i technicznych, o których mowa w ustawie o ochronie danych osobowych, w tym m.in. do opracowania zakresu czynności osób przetwarzających dane osobowe z uwzględnieniem ich odpowiedzialności za ochronę tych danych, wydawania imiennego upoważnienia do obsługi systemu informatycznego oraz urządzeń wchodzących w jego skład, sporządzenia wykazu osób zatrudnionych przy przetwarzaniu danych osobowych oraz ich identyfikatorów, wyznaczenia obszaru, na którym znajdują się budynki lub pomieszczenia służące przetwarzaniu danych osobowych za pomocą stacjonarnego sprzętu komputerowego, uregulowania zasad zarządzania systemem informatycznym i przestrzegania wymogów bezpieczeństwa informacji oraz postępowania w sytuacji naruszenia ochrony danych osobowych.
Wskazać należy, iż w ocenie Sądu decydowanie o celach i środkach przetwarzania danych osobowych, o którym mowa w art. 7 pkt 4 ustawy może mieć zarówno charakter decydowania samodzielnego, jak i współdecydowania. W przypadku bowiem powierzenia przez administratora danych innemu podmiotowi w drodze umowy przetwarzania danych, o którym mowa w art. 31 ust. 1 ustawy o celu, zakresie i środkach przetwarzania tych danych, współdecydują strony tej umowy.
Taki kierunek rozumowania potwierdza również zawarta w art. 2 lit. "d" Dyrektywy 94/46/EC Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (OJ nr L.281 z 23 listopada 1995, s. 31), definicja administratora danych, w myśl której administratorem danych jest zarówno ten kto samodzielnie, jak ten, kto wspólnie z innym podmiotami określa cele i sposoby przetwarzania danych.
Skoro zatem M.Sp. z o.o. z siedzibą w G.decyduje o celach i środkach przetwarzania powyżej opisanych danych osobowych, to w ocenie Sądu, należy uznać go za administratora tych danych.
Jak stanowi art. 31 ust. 1 ustawy o ochronie danych osobowych, administrator danych, a więc ten, kto decyduje o celach i środkach przetwarzania danych osobowych, może bądź sam przetwarzać dane, bądź powierzyć to innemu podmiotowi. Z treści art. 31 ustawy należy wnioskować, iż ten, komu powierzono przetwarzanie danych osobowych (zleceniobiorca), nie jest przez ustawodawcę traktowany jako administrator danych (por. Janusz Barta, Paweł Fajgielski i Ryszard Markiewicz, "Ochrona danych osobowych - Komentarz, Wydanie III, Zakamycze 2004, s. 616, teza 3 do art. 31).
Na marginesie dodać należy, iż na gruncie art. 31 wielość administratorów może zaistnieć wówczas, jeśli osoba, która przetwarza dane na podstawie umowy zawartej z administratorem, wykracza poza ramy tej umowy. Wówczas, w zakresie, w jakim decyduje ona o celach i środkach przetwarzania danych, staje się także administratorem danych (por. op. cit. s. 410, teza 24 do art. 7). Sytuacja taka jednak w niniejszej sprawie nie występuje.
Podmiot, któremu powierzono przetwarzanie danych osobowych obciążają obowiązki realizowania niektórych przewidzianych ustawą działań, w szczególności związanych z zabezpieczeniem zbiorów danych osobowych (art. 36-39 oraz art. 39a ustawy). Innymi słowy, podmiot podejmujący się na zlecenie administratora przetwarzania danych, obowiązany jest przed rozpoczęciem tego działania zastosować te środki zabezpieczające zbiór danych, o których mowa w art. 36-39 ustawy oraz spełnić wymagania określone w przepisach wykonawczych do art. 39a ustawy (art. 31 ust. 3). W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.
Podkreślić należy, iż w przepisie art. 31 ust. 3 ustawy chodzi o środki techniczne i organizacyjne zabezpieczające dane, przede wszystkim, przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieupoważnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Na przetwarzających dane ciąży też obowiązek sprawowania kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Jeżeli podmiot przetwarzający dane na podstawie umowy zatrudnia osoby wykonujące czynności przetwarzania danych, powinien także każdej z tych osób nadać indywidualne upoważnienie do przetwarzania danych, powinien także prowadzić ewidencję osób upoważnionych do przetwarzania danych. Wreszcie, musi on zadbać, aby osoby mające dostęp do danych obowiązane były do zachowania ich w tajemnicy. Podmiot ten powinien też spełniać wymogi określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).
W tym miejscu wskazać należy, że z dniem 1 maja 2004 r., a więc przed wydaniem zaskarżonej decyzji, weszła w życie nowelizacja ustawy o ochronie danych osobowych.
Nowelizacja ta wprowadzona została ustawą z dnia 22 stycznia 2004 r. o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe (Dz. U. Nr 33, poz. 285). W myśl art. 3 ustawy zmieniającej ustawę, do postępowań wszczętych i niezakończonych przed dniem wejścia w życie niniejszej ustawy, a więc przed dniem 1 maja 2004 r., stosuje się przepisy tej ustawy.
W wyniku wspomnianej nowelizacji zmieniono przepis art. 18 ustawy o ochronie danych osobowych, w ten sposób, iż wykreślono słowa "administratorowi danych". Zmiana treści art. 18 powoduje, iż obecnie decyzje Generalnego Inspektora Ochrony Danych Osobowych mogą być kierowane także do podmiotów niebędących administratorami danych, w tym również do podmiotów przetwarzających dane na podstawie umowy z administratorem.
Jednocześnie przepis art. 31 ust. 4 ustawy o ochronie danych osobowych stanowi, iż w przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z umową.
Pojawia się zatem pytanie o to, który z podmiotów (czy administrator, czy podmiot przetwarzający dane) powinien być adresatem decyzji Generalnego Inspektora Ochrony Danych Osobowych. Z porównania przepisu art. 31 ust. 4 z przepisem art. 31 ust. 3 ustawy wynika, iż decyzje Generalnego Inspektora Ochrony Danych Osobowych winny być skierowane do administratora danych, przy czym decyzje odnoszące się do uchybień w zakresie określonym w art. 36-39 ustawy i w przepisach wykonawczych do art. 39a ustawy mogą być również skierowane do podmiotu przetwarzającego dane, o którym mowa w art. 31 ust. 1 ustawy. O tym, na który z wymienionych podmiotów nałożyć obowiązek usunięcia tych ostatnich uchybień, decyduje Generalny Inspektor, biorąc pod uwagę rodzaj stwierdzonych uchybień oraz środki niezbędne do ich usunięcia.
Obowiązki nałożone mocą zaskarżonej decyzji na M. Sp. z o.o. z siedzibą w G., będącym administratorem danych, określone w punktach: I.3, I.4, I.5 oraz I.8 ustawy odnoszą się odpowiednio do uchybień art. 37, art. 39, art. 36 ust. 2 oraz 39a ustawy o ochronie danych osobowych w związku z § 3 ust. 1 oraz § 5 cyt. rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Obowiązki te, stosownie do wcześniejszych wywodów, mogą być nakładane na administratora danych, co wynika z przypisu art. 31 ust. 4 ustawy. Nałożenie zatem wspomnianych obowiązków na skarżącego jest zgodne z obowiązującymi przepisami.
Tak samo należy ocenić nałożenie na skarżącego obowiązku zgłoszenia do rejestracji zbioru danych osobowych pasażerów, pozyskanych w związku z kontrolą biletów wykonywaną przez "A." s.c. w środkach transportu należących do skarżącego oraz obowiązku określenia zakresu przetwarzania danych osobowych. To właśnie na skarżącym, będącym administratorem danych, spoczywa obowiązek zgłoszenia zbioru danych do rejestracji (art. 40 ustawy) oraz obowiązek określenia zakresu i celu przetwarzania danych (art. 32 art. 2 ustawy).
Mając powyższe na względzie Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy - Prawo o postępowaniu przed sądami administracyjnymi, orzekł jak w sentencji.