II SA/Wa 222/08

II SA/Wa 222/08 - Wyrok WSA w Warszawie
Data orzeczenia
2008-11-27
orzeczenie prawomocne
Data wpływu
2008-02-13
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Kołodziej
Jacek Fronczyk /przewodniczący/
Maria Werpachowska /sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono decyzję I i II instancji
Powołane przepisy
Dz.U. 2000 nr 98 poz 1071
art. 145  par. 1  pkt 4
Ustawa z dnia 14 czerwca 1960 r.- Kodeks postępowania administracyjnego - tekst jednolity
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Jacek Fronczyk, Sędziowie WSA Andrzej Kołodziej, Maria Werpachowska (spr.), Protokolant Marek Kozłowski, po rozpoznaniu na rozprawie w dniu 27 listopada 2008 r. sprawy ze skargi Komendanta Głównego Straży Granicznej na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] grudnia 2007 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję oraz poprzedzającą ją decyzję z dnia 1 czerwca 2007 r. nr [...] 2. zaskarżona decyzja nie podlega wykonaniu w całości
Uzasadnienie
W dniu 30 stycznia 2007 r. R. D. nadesłał do Biura Generalnego Inspektora Ochrony Danych Osobowych pismo z dnia 2 grudnia 2006 r. nazwane "odwołanie" od pisma Komendanta [...] Oddziału Straży Granicznej [...] z dnia 24 listopada 2006 r. Jako adresata tego pisma wskazał: Komendanta Głównego Straży Granicznej z dopiskiem: za pośrednictwem Komendant [...] Oddziału Straży Granicznej, Minister Spraw Wewnętrznych i Administracji, Biuro Generalnego Inspektora Ochrony Danych Osobowych.
Wezwany przez Generalnego Inspektora Ochrony Danych Osobowych, zwanego dalej GIODO, do wskazania o co w istocie wnosi, R. D. w piśmie z dnia 12 lutego 2007 r. podał, że domaga się: ustalenia, czy na Przejściu Granicznym
w G. istnieje zbiór informacji na temat jego osoby, w jakim celu i zakresie informacje są przetwarzane, w jakim zakresie i komu zostały udostępnione. Wniósł
o przeprowadzenie kontroli zbiorów danych SG na wymienionym Przejściu Granicznym a także w K. i W., wszczęcie postępowania dyscyplinarnego wobec osób winnych uchybień, usunięcie nieaktualnych informacji dotyczących wnioskodawcy, likwidację zbioru oraz prawidłowe zabezpieczenie zbioru informacji SG przed udostępnieniem osobom nieuprawnionym, ujawnienie danych osobowych funkcjonariuszy SG dokonujących kontroli drogowej wnioskodawcy na wymienionym Przejściu Granicznym w dniu [...] października 2006 r. Podał, że jeden z funkcjonariuszy dokonujących kontroli przedstawił informację o rzekomej korupcji i przekazał tę informację członkowi rodziny wnioskodawcy. Skarżący podniósł, że anonimowy funkcjonariusz SG nie ma prawa pomawiać go o korupcję. Oświadczył, że zgromadzone przez SG dane na jego temat są nieprawdziwe i nieaktualne. Wskazał, że występował już w tej sprawie do Komendanta Głównego SG oraz Komendanta [...] Oddziału SG [...] jednak odmówiono wszelkich informacji na ten temat. W piśmie z dnia 10 marca 2007 r. wnioskodawca ponownie wskazał, że Komendant Główny SG oraz Komendant [...] Oddziału SG odmówili udostępnienia danych osobowych funkcjonariuszy nakładających mandat karny na wnioskodawcę. Zarzucił gromadzenie danych na temat rzekomo popełnionego przestępstwa i ich ujawnienie osobom trzecim. Wniósł o usunięcie danych osobowych
z bazy danych SG.
GIODO w piśmie z dnia 5 marca 2007 r. skierowanym do Komendanta Głównego Straży Granicznej, wskazując, że R. D. kwestionuje przetwarzanie jego danych osobowych przez Komendanta Głównego SG oraz [...] Oddział Straży Granicznej [...] i funkcjonariuszy Straży Granicznej wniósł o złożenie wyjaśnień w sprawie. Komendant Główny SG w piśmie z dnia 16 marca 2007 r. wyjaśnił m.in.,
że dotychczasowe pisma R. D. rozpatrywane były w trybie przepisów działu VIII kpa. Sprawy te procedowane były przez Komendanta [...] Oddziału SG (m.in. przeprowadzono kontrolę doraźną w Placówce SG w G.). Poinformował,
iż z materiałów otrzymanych od Komendanta [...] Oddziału Straży Granicznej, wynika, że dane R. D. uzyskane w związku z jego legitymowaniem podczas kontroli drogowych, zostały zgromadzone w zbiorze o nazwie "[...]". Natomiast dane (imię, nazwisko, data urodzenia, obywatelstwo i numer dokumentu) uzyskane w związku z popełnieniem wykroczenia zostały umieszczone w zbiorze "[...]". Ponadto, z chwilą wpłynięcia skargi dane skarżącego zostały zgromadzone w zbiorze "Rejestr Skarg
i Wniosków". Komendant Główny SG podał też, że z pisma Komendanta [...]Oddziału SG wynika, iż funkcjonariusze Placówki SG w G. korzystają podczas czynności służbowych (m.in. przy legitymowaniu) z takich baz danych jak: [...], których administratorami danych są inne podmioty. Wskazał, że w Placówce SG w G. istnieje także [...], którego elementami są [...] KGSG. Oświadczył, że dane osobowe gromadzone w zbiorach SG mogą być udostępnione wyłącznie właściwym organom państwowym. W przypadku zbiorów, których administratorami są inne podmioty, dane osobowe nie podlegają udostępnianiu.
Odnosząc się do kwestii ujawnienia stopni, imion i nazwisk funkcjonariuszy SG wyjaśnił, że funkcjonariusz dokonujący kontroli drogowej przedstawił się podając wymienione dane. Nadto, na formularzu mandatu, który został wystawiony ukaranemu widnieje zarówno nazwisko jak i numer służbowy funkcjonariusza. Podał, że Straż Graniczna nie prowadzi zbiorów danych osobowych, w których byłyby przetwarzane dane dotyczące osób, które podejrzewane są o działania korupcyjne. Poinformował również, że odpowiedzi na pismo R. D. z dnia 23 października 2006 r. (skierowane do Ministra Spraw Wewnętrznych i Administracji oraz Komendanta [...] Oddziału SG) zgodnie z procedurą udzielił wnioskodawcy Komendant [...] Oddziału Straży Granicznej.
Komendant Główny wyjaśnił, że nie stwierdzono, aby w ramach realizacji przez funkcjonariuszy Placówki SG w G. czynności służbowych polegających na legitymowaniu i ukaraniu mandatem karnym za popełnione wykroczenie, doszło do udostępnienia jego danych osobowych innym podmiotom. W nawiązaniu do wymienionego pisma Komendanta Głównego SG z dnia 16 marca 2007 r. do GIODO przy piśmie z dnia 27 marca 2007 r. nadesłano uwierzytelnione kopie korespondencji prowadzonej przez Komendanta [...] Oddziału SG z R. D..
Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] czerwca 2007 r. [...] po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych R. D. przez Komendanta Głównego SG oraz [...] Oddział SG [...]: w punkcie 1 decyzji nakazał Komendantowi Głównemu SG przywrócenie stanu zgodnego z prawem w procesie przetwarzania danych osobowych R. D. poprzez:
- udostępnienie R. D. danych osobowych funkcjonariuszy Placówki Straży Granicznej w G., którzy w dniu [...] października 2006 r. zatrzymali go do kontroli drogowej, w zakresie obejmującym ich imiona, nazwiska i stopnie służbowe oraz
- wypełnienie wobec R. D. obowiązku informacyjnego określonego
w art. 33 ust. 1 ustawy o ochronie danych osobowych,
W punkcie 2 decyzji GIODO odmówił uwzględnienia wniosku w pozostałym zakresie.
W uzasadnieniu decyzji GIODO wskazał, że w dniu [...] października 2006 r. pojazd kierowany przez Pana R. D. został zatrzymany do kontroli przez funkcjonariuszy placówki Straży Granicznej w G. wykonujących zadania z zakresu kontroli ruchu drogowego w rejonie przejazdu kolejowego w G. Funkcjonariusze nałożyli na skarżącego mandat karny za wykroczenie w ruchu drogowym. GIODO podał, że wnioskami: z dnia 2 grudnia 2006 r. i z dnia 16 lutego 2007 r. Skarżący zwrócił się do Komendanta Głównego Straży Granicznej o udostępnienie danych osobowych funkcjonariuszy (imiona, nazwiska oraz stopnie), którzy w dniu
[...] października 2006 r. zatrzymali go do kontroli drogowej. Potrzebę pozyskania rzeczonych danych uzasadnił zamiarem dochodzenia przed sądem roszczeń wynikających z niezasadnego (w jego ocenie) ukarania go przez ww. funkcjonariuszy mandatem. Skarżącemu odmówiono udostępnienia żądanych informacji argumentując, że uzyskał je już w trakcie kwestionowanej kontroli drogowej. Organ ustalił, że funkcjonariusze placówki SG w G. korzystają podczas czynności służbowych (w tym przy legitymowaniu) m. in. z informacji przetwarzanych przez innych niż Komendant Główny Straży Granicznej administratorów danych, w tym z danych zgromadzonych w prowadzonej przez Policję [...] - celem potwierdzenia m. in. tożsamości osoby legitymowanej oraz jej uprawnień do kierowania pojazdem. Straż Graniczna nie jest administratorem danych zawartych w ww. bazie, wobec czego nie jest uprawniona do ich udostępniania innym osobom czy podmiotom. W trakcie kwestionowanej kontroli drogowej funkcjonariusze placówki SG w G. dokonali sprawdzenia R. D. w bazie [...], jednak wynik tego sprawdzenia był negatywny. GIODO wskazał, że Komendant Główny Straży Granicznej nie prowadzi zbiorów danych osobowych, w których gromadzone byłyby dane osób podejrzewanych o działania korupcyjne. Straż Graniczna nie przetwarza informacji dotyczących rzekomej korupcji Skarżącego.
GIODO wskazał, że w piśmie z dnia 23 października 2006 r. (skierowanym do Ministra Spraw Wewnętrznych i Administracji oraz do Komendanta [...] Oddziału Straży Granicznej, stanowiącym skargę na działania funkcjonariuszy placówki SG w G. związane z zatrzymaniem skarżącego do kontroli drogowej w dniu [...] października 2006 r. i nałożeniem na niego mandatu karnego R. D. zażądał m. in. poinformowania go: "(...) 1. Jakie informacje na temat mojej osoby figurują w bazie danych PG G., 2. Na jakiej podstawie prawnej są one gromadzone?, 3. Czy informacje te są weryfikowane i aktualizowane?, 4. Na jakiej podstawie prawnej ujawniono treść informacji na temat mojej osoby osobie trzeciej?, 5. Kto odpowiada za ochronę w/w informacji?, 6. Kto sprawuje nadzór nad prawidłowym pozyskaniem i zabezpieczeniem w/wym. informacji? (...)". Ministerstwo Spraw Wewnętrznych i Administracji - jako jeden z adresatów omawianego pisma - przesłało je (w załączeniu do pisma z dnia 6 listopada 2006 r. - kopia pisma w aktach sprawy) do Komendanta Głównego Straży Granicznej z prośbą o: "(...) spowodowanie wyjaśnienia sprawy przez właściwy organ SG i udzielenia odpowiedzi zainteresowanemu (...)".
GIODO wskazał, że Komendant Główny SG nie udzielił R. D. powyższych informacji, bowiem pismo przesłano do Komendanta [...] Oddziału SG celem jego załatwienia i udzielenia stosownej odpowiedzi wnoszącemu skargę. Odpowiedzi skarżącemu udzielił Komendant [...] Oddziału, który w piśmie
z dnia 24 listopada 2006 r. poinformował jedynie, iż: za weryfikowanie, aktualizowanie, nadzór, ochronę oraz właściwe zabezpieczenie danych osobowych odpowiada Komendant Główny Straży Granicznej.
Odnosząc się do kwestii legalności przetwarzania danych osobowych skarżącego przez Straż Graniczną GIODO stwierdził, że proces przetwarzania danych osobowych R. D. w zbiorze pn. [...], w zbiorze pn. [...] oraz w zbiorze pn. [...] znajduje pełne oparcie w przepisach obowiązującego prawa. Jako zgodne z prawem uznał również przetwarzanie danych osobowych R. D. w ramach zbioru pn. Rejestr Skarg i Wniosków (RSiW). Organ wskazał, że w toku postępowania wyjaśniającego nie znalazł potwierdzenia zarzut skarżącego dotyczący przetwarzania przez Straż Graniczną informacji o rzekomych jego działaniach korupcyjnych. Straż Graniczna nie prowadzi żadnego zbioru, w którym gromadzone byłyby tego rodzaju informacje. W tej sytuacji -
nie przesądzając, czy funkcjonariusze Placówki SG w G. istotnie wypowiadali pod adresem skarżącego jakiekolwiek sądy na ten temat organ uznał, że okoliczność ta nie może być oceniana w kontekście przepisów ustawy o ochronie danych osobowych. Wobec ustalenia, że Straż Graniczna nie przetwarza danych osobowych skarżącego dotyczących korupcji, nie ma także podstaw do kwalifikowania opisanych działań jako udostępnienia danych osobowych osobom trzecim, czy weryfikowania legalności tych działań z punktu widzenia przepisów ustawy o ochronie danych osobowych.
Organ podkreślił, że podmiotem decydującym o celach i środkach przetwarzania przez Straż Graniczną danych osobowych, tym samym zaś podmiotem, któremu przysługuje status administratora przedmiotowych danych (art. 7 pkt 4 ustawy
o ochronie danych osobowych) jest Komendant Główny Straży Granicznej. Odnosząc się zaś do kwestii udostępnienia danych osobowych funkcjonariuszy Placówki SG
w G. stwierdził, że na Komendancie Głównym SG spoczywa obowiązek ich udostępnienia. Skarżący wystąpił bowiem, jak podał organ pismem z dnia 2 grudnia 2006 r., o podanie imion, nazwisk i stopni funkcjonariuszy dokonujących kontroli drogowej w dniu [...] października 2006 r., określił także przeznaczenie danych, o które wnioskował (wykorzystanie ich przed sądem), a zatem w sposób wiarygodny uzasadnił potrzebę ich posiadania.
W zakresie żądania skarżącego udostępnienia informacji na temat jego osoby, tj. wskazania, jakie informacje figurują w bazie danych SG G., na jakiej podstawie są gromadzone, czy informacje te są weryfikowane i aktualizowane, na jakiej podstawie ujawniono treść informacji na temat skarżącego osobie trzeciej, kto odpowiada za ochronę wyżej wymienionych informacji, kto sprawuje nadzór nad prawidłowym pozyskaniem i zabezpieczeniem informacji, GIODO stwierdził, że na administratorze danych, tj. w niniejszej sprawie Komendancie Głównym Straży Granicznej spoczywa obowiązek udzielenia żądanych informacji. Komendant Główny SG nie udzielił skarżącemu oczekiwanej odpowiedzi, bowiem pismo, w którym żądanie to było przedstawione (pismo z dnia 23 października 2006 r.), przesłał Komendantowi [...] Oddziału SG celem udzielenia odpowiedzi. Organ podkreślił, że wprawdzie odpowiedzi na wniosek złożony w trybie art. 33 ustawy o ochronie danych osobowych może administrator danych udzielić osobiście lub skorzystać z pośrednictwa innego podmiotu, jednakże konsekwencje niedopełnienia tego obowiązku spoczywają wyłącznie na administratorze danych osobowych. GIODO stwierdził, że również Komendant [...] Oddziału SG nie przekazał skarżącemu żądanych informacji.
Komendant Główny SG wnosząc o ponowne rozpatrzenie sprawy w zakresie,
w jakim GIODO w decyzji nakazał Komendantowi Głównemu SG udostępnienie R. D. danych osobowych funkcjonariuszy Placówki SG w G., którzy w dniu [...] października 2006 r. zatrzymali go do kontroli drogowej, w zakresie obejmującym ich imiona, nazwiska i stopnie służbowe oraz wypełnienie wobec R. D. obowiązku informacyjnego określonego w art. 33 ust. 1 ustawy o ochronie danych osobowych, wskazał, że decyzja z dnia [...] czerwca 2007 r. wydana została z naruszeniem prawa. Zarzucił, że w toku postępowania GIODO nie podjął wszelkich możliwych działań zmierzających do dokładnego wyjaśnienia stanu faktycznego sprawy. Podniósł także, że decyzja została w części skierowana do organu nie będącego stroną w sprawie, bowiem Komendant Główny Straży Granicznej nie jest administratorem danych zbioru zawierającego stopnie, imiona i nazwiska funkcjonariuszy Placówki SG w G. i nie może ich udostępnić. Administratorami danych osobowych funkcjonariuszy i pracowników pełniących służbę i zatrudnionych w podległym Komendantom Oddziałom SG są Komendanci tych Oddziałów.
GIODO decyzją z dnia [...] grudnia 2007 r. nr [...] po przeprowadzeniu postępowania w sprawie wniosku Komendanta Głównego SG o ponowne rozpatrzenie sprawy dotyczącej przetwarzania danych osobowych R. D. przez Komendanta Głównego SG, [...] Oddział Straży Granicznej [...] w punkcie 1: uchylił decyzję z dnia [...] czerwca 2007 r. w zakresie dotyczącym sformułowanego pod adresem Komendanta Głównego SG nakazu udostępnienia R. D. danych osobowych funkcjonariuszy Placówki SG w G., którzy w dniu [...] października 2006 r. zatrzymali go do kontroli drogowej, w zakresie obejmującym ich imiona, nazwiska i stopnie służbowe i w tym zakresie odmówił uwzględnienia wniosku. W punkcie 2 decyzji z dnia[...] grudnia 2007 r. : w pozostałym zakresie utrzymał w mocy zaskarżoną decyzję.
W uzasadnieniu wskazał, że w toku dodatkowego postępowania wyjaśniającego ustalono, że Komendant Główny SG przetwarza dane osobowe funkcjonariuszy Placówki SG w G., w zakresie obejmującym m, in. ich imiona, nazwiska i stopnie - w systemie teleinformatycznym [...]. Organ ustalił również, że Straż Graniczna przetwarza dane skarżącego w następujących zbiorach danych osobowych, których administratorem jest Komendant Główny Straży Granicznej: 1) [...]; 2) Rejestr Skarg i Wniosków; 3. [...], które nie są objęte klauzulami tajności w rozumieniu przepisów ustawy o ochronie informacji niejawnych.
Odnosząc się do kwestii nakazania Komendantowi Głównemu SG udostępnienia skarżącemu danych osobowych funkcjonariuszy Placówki SG w G. uznał swoje wcześniejsze rozstrzygnięcie w tym zakresie za błędne. Uzasadniając powyższe wskazał, że Komendant Główny SG nie jest administratorem danych osobowych funkcjonariuszy Placówki SG w G., zaś tylko od podmiotu mającego ten status można skutecznie dochodzić udostępnienia danych osobowych w trybie art. 29 ustawy o ochronie danych osobowych. Nie zgodził się natomiast ze stwierdzeniem, że decyzja nie została skierowana do organu będącego stroną w sprawie. Wskazał, że Komendant Główny SG niewątpliwie jest stroną niniejszego postępowania, a jedynie okoliczność,
że nie jest administratorem danych osobowych funkcjonariuszy, których udostępnienia domagał się skarżący, powoduje konieczność odmowy uwzględnienia wniosku strony
w tym zakresie.
W kwestii wypełnienia wobec skarżącego obowiązku informacyjnego, o którym mowa w art. 33 ustawy o ochronie danych osobowych GIODO ponownie stwierdził,
że na Komendancie Głównym SG spoczywał obowiązek udzielenia odpowiedzi na pismo skarżącego z dnia 23 października 2006 r., które choć nazwane "skarga"
i rozpatrzone w trybie przepisów działu VIII kpa, zawierało również wniosek o udzielenie informacji na temat procesu przetwarzania danych osobowych skarżącego. Komendant Główny SG, któremu MSWiA przekazało pismo z dnia 23 października 2007 r. nie udzielił skarżącemu odpowiedzi, zaś Komendant [...] Oddziału SG wskazał jedynie, że za weryfikowanie, aktualizowanie, nadzór, ochronę oraz właściwe zabezpieczenie danych osobowych odpowiada Komendant Główny SG. GIODO podał jednocześnie, że w sprawie nie zachodzą okoliczności wymienione w art. 30 ustawy o ochronie danych osobowych zwalniające z dopełnienia obowiązku informacyjnego.
Za prawidłowe uznał również GIODO ustalenia dotyczące legalności przetwarzania danych osobowych R. D. w związku z kwestionowaną kontrolą drogową, bowiem nie znalazł potwierdzenia zarzut dotyczący przetwarzania przez Straż Graniczną informacji o rzekomych działaniach korupcyjnych skarżącego.
Za bezzasadne uznał również GIODO, oparte na przeświadczeniu o nieuprawnionym udostępnieniu, twierdzenie skarżącego dotyczące nieprawidłowego zabezpieczenia danych.
Decyzja GIODO z dnia [...] grudnia 2007 r. w części dotyczącej wypełnienia wobec R. D. obowiązku informacyjnego określonego w art. 33 ust. 1 ustawy o ochronie danych osobowych stała się przedmiotem skargi Komendanta Głównego SG do Wojewódzkiego Sądu Administracyjnego w Warszawie. Zarzucając naruszenie art. 1 ust. 2 pkt 9 ustawy o Straży Granicznej poprzez nakazanie Komendantowi Głównemu SG wypełnienia obowiązku informacyjnego określony w art. 33 ust. 1 ustawy o ochronie danych osobowych, tj. udostępnienie podmiotowi nieuprawnionemu informacji z zakresu ochrony granicy państwowej przetwarzanych przez Straż Graniczną, strona wniosła o uchylenie z części dyspozytywnej decyzji z dnia [...] grudnia 2007 r. oraz poprzedzającej ją decyzji z dnia [...] czerwca 2007 r. nałożonego na Komendanta Głównego SG obowiązku informacyjnego wskazanego w powołanym wyżej przepisie. Skarżący podniósł, że art. 1 ust. 2 pkt 9 ustawy o Straży Granicznej stanowi lex specialis w stosunku do art. 33 ust. 1 ustawy o ochronie danych osobowych.
W odpowiedzi na skargę GIODO wniósł o jej oddalenie. W uzasadnieniu organ powołał się na dotychczasowe ustalenia, a nadto podniósł, że dopiero na etapie skargi zakwestionowano prawidłowość skierowanego pod adresem Komendanta Głównego SG nakazu dopełnienia obowiązku informacyjnego z art. 33 ust. 1 ustawy o ochronie danych osobowych z powołaniem się na art. 1 ust. 2 pkt 9 ustawy o Straży Granicznej. Podkreślił, że na administratorze danych, którym w niniejszej sprawie jest Komendant Główny SG, spoczywa obowiązek udzielenia informacji, o których mowa w art. 33 ust. 1 ustawy o ochronie danych osobowych. Administrator danych powinien przy tym zbadać ewentualne zaistnienie okoliczności zwalniających z tego obowiązku. Komendant Główny SG nie udzielił skarżącemu żądanych informacji, zaś Komendant [...] Oddziału SG ograniczył się do wskazania R. D., że za weryfikowanie, aktualizowanie, nadzór, ochronę oraz właściwe zabezpieczenie danych odpowiada Komendant Główny SG.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. Sąd, stosownie do art. 134 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), rozstrzyga w granicach danej sprawy nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną.
Analizując niniejszą sprawę pod tym kątem Sąd stwierdził, że skarga zasługuje na uwzględnienie. W ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie zaskarżona decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia
[...] grudnia 2007 r. oraz poprzedzająca ją decyzja z dnia [...] czerwca 2007 r. zostały wydane z naruszeniem prawa dającym podstawę do wznowienia postępowania administracyjnego. W konsekwencji Sąd obowiązany był obie decyzje uchylić.
Zakres postępowania administracyjnego dotyczącego przetwarzania danych osobowych, w tym krąg podmiotów, które powinny brać udział w postępowaniu wszczętym na wniosek w tego rodzaju sprawie, zawsze wyznacza żądanie strony. Żądanie to ma na celu ustalenie przez organ powołany do spraw ochrony danych osobowych, czy określony podmiot lub podmioty przetwarzają dane osobowe wnioskodawcy zgodnie z przepisami ustawy o ochronie danych osobowych. Podstawowe znaczenie ma zatem ustalenie, co wnioskodawca kwestionuje, to znaczy jakie działania – w ocenie wnioskodawcy niezgodne z prawem – lub brak działań w zakresie przetwarzania danych osobowych zarzuca oraz w odniesieniu do jakich podmiotów żąda zbadania legalności przetwarzania jego danych osobowych. Badanie zgodności z prawem przetwarzania danych osobowych należy tu rozumieć szeroko,
a zatem nie tylko jako ustalenie, czy istnieje podstawa prawna (przesłanka do przetwarzania danych), ale także, czy dany podmiot lub podmioty właściwie stosują przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U.
z 2002 r. Nr 101, poz. 926 ze zm.), w tym dotyczące m.in. obowiązku informacyjnego (art. 24, art. 25 ustawy), czy też realizacji prawa do kontroli przetwarzania danych przez osobę, która wystąpi z takim żądaniem do administratora danych (art. 32, art. 33 ustawy). Powyższe istotne jest m.in. z uwagi na późniejsze konkretyzowanie w decyzji określonych obowiązków tego podmiotu lub podmiotów na gruncie ustawy o ochronie danych osobowych, wyrażające się m.in. w zastosowaniu nakazu określonego zachowania się przez administratora danych, czy też w określonych sytuacjach podmiot, któremu powierzono przetwarzanie danych osobowych (art. 18 ustawy
o ochronie danych osobowych). Ustalenie faktycznego żądania strony istotne jest również ze względu na konieczność wyczerpującego zebrania materiału dowodowego niezbędnego do rozpoznania wniosku strony, co powinno nastąpić m.in. przez wezwanie do złożenia wyjaśnień wszystkich podmiotów, które w ocenie wnioskodawcy przetwarzają jego dane w sposób niezgodny z prawem.
W niniejszej sprawie bezsporne jest, że R. D. zwrócił się do GIODO m.in. o ustalenie prawidłowości przetwarzania jego danych osobowych – w związku
z kontrolą przeprowadzoną na Przejściu Granicznym w G. – zarówno przez Straż Graniczną w K. jak i W. Żądał m.in. udostępnienia danych osobowych funkcjonariuszy, którzy kontrolę drogową na wymienionym przejściu przeprowadzili. Wskazał, że Komendant Główny SG oraz Komendant [...] Oddziału SG odmówili udostępnienia danych osobowych funkcjonariuszy nakładających na niego mandat karny. Z powyższego wynika, że R. D. domagał się przeprowadzenia postępowania w przedmiocie zgodności z prawem przetwarzania jego danych zarówno przez Komendanta Głównego Straży Granicznej jak i Komendanta [...] Oddziału Straży Granicznej.
Generalny Inspektor Ochrony Danych Osobowych przeprowadził postępowanie
z wniosku R. D. z pominięciem Komendanta [...] Oddziału SG
w całym ciągu czynności poprzedzających wydanie zaskarżonej i poprzedzającej ją decyzji, czym naruszył art. 145 § 1 pkt 4 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t.j. Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.). GIODO nie wezwał tego organu do udziału w postępowaniu poprzez złożenie stosownych wyjaśnień, choć w decyzjach wskazał, że wydane zostały po przeprowadzeniu postępowania w sprawie dotyczącej przetwarzania danych osobowych R. D. tak przez Komendanta Głównego SG jak i przez [...] Oddział Straży Granicznej [...]. Nadto, wskazania wymaga, że przyjmując w postępowaniu wyjaśnienia Komendanta Głównego Straży Granicznej GIODO nie wziął pod uwagę, że Komendant Główny formułował je na podstawie dokumentów otrzymywanych od Komendanta Sudeckiego Oddziału SG (pismo Komendanta Głównego SG do GIODO z dnia 16 marca 2007 r.).
Z akt postępowania administracyjnego jednoznacznie wynika, że Komendant [...] Oddziału SG nie brał udziału w postępowaniu bez własnej winy. Obowiązkiem organu administracji publicznej jest zaś zapewnienie w prowadzonym postępowaniu udziału wszystkich stron postępowania. Obowiązek ten jest ściśle związany z przestrzeganiem zasady czynnego udziału strony w postępowaniu, co wyraża się m.in. w stworzeniu możliwości prawnych podejmowania przez stronę czynności procesowych.
Zgodnie z art. 7 pkt 4 ustawy o ochronie danych osobowych, ilekroć w ustawie jest mowa o administratorze danych rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3, decydujące o celach
i środkach przetwarzania danych osobowych. Stosownie zaś do art. 3 ust. 1 ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych. Komendant Główny Straży Granicznej jest, zgodnie z art. 3 ustawy z dnia 12 października 1990 r. o Straży Granicznej (t.j. Dz. U. z 2005 r. Nr 234, poz. 1997), centralnym organem administracji rządowej, zaś Komendant [...] Oddziału SG jest, stosownie do art. 5 ust. 1 pkt 1 tej ustawy, terenowym organem Straży Granicznej. Zgodnie natomiast z art. 5 ust. 8 powołanej ustawy, Komendanci oddziałów, placówek i dywizjonów Straży Granicznej są przełożonymi wszystkich podległych im funkcjonariuszy.
W ocenie Sądu rozpoznającego niniejszą sprawę administratorem danych
w rozumieniu art. 7 pkt 4 ustawy o ochronie danych osobowych jest nie tylko Komendant Główny SG ale także Komendant [...] Oddziału SG, co – jak wynika z całości akt postępowania administracyjnego – zostało ustalone również przez Generalnego Inspektora Ochrony Danych Osobowych, z nieznanych jednak przyczyn nieuwzględnione w postępowaniu. Każdy z tych organów samodzielnie decyduje
o celach i środkach przetwarzania danych osobowych w ramach wykonywanych zadań.
Brak zapewnienia udziału Komendanta [...] Oddziału SG
w postępowaniu dotyczącym przetwarzania danych osobowych R. D.
w sytuacji, gdy z materiału dowodowego a przede wszystkim z zaskarżonej
i poprzedzającej ją decyzji wynika, że postępowanie to dotyczyło także przetwarzania danych osobowych przez [...] Oddział Straży Granicznej nakazuje stwierdzić,
że decyzja z dnia [...] grudnia 2007 r. oraz poprzedzająca ją decyzja z dnia [...] czerwca 2007 r. wydane zostały z naruszeniem prawa dającym podstawę do wznowienia postępowania administracyjnego.
Ponownie rozpoznając sprawę organ przede wszystkim ustali, w odniesieniu do jakich podmiotów R. D. żąda zbadania zgodności przetwarzania jego danych osobowych z przepisami ustawy o ochronie danych osobowych. W tym celu wezwie R. D. do wskazania, czego dokładnie żąda od organu powołanego do spraw ochrony danych osobowych i w odniesieniu do jakich podmiotów kwestionuje prawidłowość przetwarzania swoich danych z przepisami ustawy o ochronie danych osobowych. Ustalić też należy, czy poza Komendantem Głównym SG i Komendantem [...] Oddziału SG, R. Du. wnioskuje o ocenę legalności przetwarzania jego danych osobowych także przez inne organy oraz kto jest administratorem danych osobowych funkcjonariuszy Straży Granicznej, którzy przeprowadzili kontrolę na Przejściu Granicznym w G. Terenowym organem Straży Granicznej jest bowiem, poza Komendantem [...] Oddziału, również Komendant Placówki Straży Granicznej w G. Kwestia ta ma zaś znaczenie w odniesieniu do żądania udostępnienia danych osobowych tych funkcjonariuszy. Dopiero po dokonaniu wskazanych ustaleń i zgromadzeniu pełnego materiału dowodowego, uwzględniając wszystkie strony postępowania, organ rozstrzygnie w przedmiocie wniosku R. D. dotyczącego zgodności z prawem przetwarzania jego danych osobowych.
Biorąc powyższe pod uwagę Wojewódzki Sąd Administracyjny w Warszawie,
na podstawie art. 145 § 1 pkt 1 lit. b ustawy Prawo o postępowaniu przed sądami administracyjnymi, orzekł jak w punkcie 1 sentencji. Rozstrzygnięcie zawarte w pkt.
2 wyroku uzasadnione jest treścią art. 152 powołanej ustawy.