II SA/Wa 735/04

II SA/Wa 735/04 - Wyrok WSA w Warszawie
Data orzeczenia
2004-06-17
orzeczenie prawomocne
Data wpływu
2004-05-11
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Kołodziej /sprawozdawca/
Iwona Dąbrowska /przewodniczący/
Janusz Walawski
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Iwona Dąbrowska Asesor WSA Andrzej Kołodziej (spr.) Asesor WSA Janusz Walawski Protokolant Ewa Kielak po rozpoznaniu na rozprawie w dniu 17 czerwca 2004 r. sprawy ze skargi M.K. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] sierpnia 2003 r. nr [...] w przedmiocie odmowy stwierdzenia naruszenia przepisów ustawy o ochronie danych osobowych oddala skargę
Uzasadnienie
Pismem z dnia 28 lutego 2003 r. M.K. wniósł do Biura Inspektora Ochrony Danych Osobowych skargę dotyczącą przetworzenia jego danych osobowych przez P.SA Inspektorat w G..
W skardze podał, że w dniu [...] maja 2002 r. wysłano do niego odmowę świadczenia z tytułu nieszczęśliwego wypadku z dnia [...] sierpnia 2001 r. listem zwykłym. Po kilku dniach znalazł w skrzynce pocztowej otwartą kopertę z polisą ubezpieczeniowej oraz niekompletną dokumentację lekarską. Dokumenty znajdujące się w kopercie były luzem, deklaracja zgody dotycząca jego osoby adresowana była do zakładu pracy, natomiast kopertę adresowano do niego. Otwarta koperta zawierała również część dokumentacji lekarskiej ([...] z dnia [...].10.2001 r., kartę informacyjną z pogotowia ratunkowego).
Zwrócił się w związku z tym do Generalnego Inspektora z prośbą o udzielenie odpowiedzi, czy P. Inspektorat w G. wysyłając listem zwykłym a nie poleconym dokumentację lekarską oraz polisę ubezpieczeniową, która zawierała takie dane jak nazwisko i imię, PESEL, NIP, datę i miejsce urodzenia, miejsce zatrudnienia (nazwisko i imię ojca oraz żony), naruszył ustawę o ochronie danych osobowych. Do skargi dołączył kserokopię pism, z których wynikało, że zainteresowany w dniu [...] czerwca 2002 r. złożył skargę do Dyrektora P. SA w G. dotyczącą niewłaściwego zabezpieczenia korespondencji. Pismem z dnia [...] czerwca 2002 r. Spółka wyjaśniła, że pracownik nie dochował zasad obowiązujących przy kierowaniu korespondencji i omyłkowo dokumentacja medyczna M. K. została przesłana listem zwykłym, dodatkowo błędnie załączono kopertę zaadresowaną na zakład pracy. Jednakże w kolejnych odpowiedziach na jego pisma Spółka poinformowała, że P.SA w G. wysyła korespondencję do klientów listem zwykłym korzystając z usług [...] , natomiast [...] ponosi odpowiedzialność za ewentualne nienależyte wykonanie w/w usługi pocztowej (art. 57 ust. 1 ustawy o łączności). Umowa o świadczenie usługi pocztowej, polegająca na przyjęciu i doręczeniu klientowi listu, zawierającego decyzję wydaną przez Inspektorat P. w G., zostaje zawarta w chwili przekazania listu placówce [...] (§ 9 ust. 1 pkt. 1 rozporządzenia Ministra Łączności w sprawie warunków korzystania z usług pocztowych o charakterze powszechnym). Adresat może dokonać reklamacji zgłaszając roszczenie z tytułu nienależytego wykonania przez [...] usługi pocztowej. Ponadto zgodnie z obowiązującymi w Spółce procedurami większość kierowanej do klientów korespondencji przesyłana jest listem zwykłym. Na kierowane do [...] Urzędu [...] w G. pisma (z dnia [...] października oraz [...] grudnia 2002 r.) udzielono zainteresowanemu odpowiedzi, z których wynikało, że granice odpowiedzialności materialnej [...] z tytułu niewykonania lub nienależytego wykonania usług pocztowych o charakterze powszechnym wyznacza ustawa o łączności, zgodnie z którą podmiot świadczący usługę pocztową nie ponosi odpowiedzialności materialnej w przypadku zaginięcia, uszkodzenia i ubytku zawartości zwykłych przesyłek listowych, natomiast do przesyłania ważnych dokumentów, czy cenniejszych rzeczy służą listy polecone i wartościowe.
Pismem z dnia [...] marca 2003 r. Generalny Inspektor przesłał M. K.swoje stanowisko w sprawie, nie podzielając jego wątpliwości i nie dopatrując się naruszenia przez Spółkę ustawy o ochronie danych osobowych.
Zainteresowany nie zgodził się z poglądem GIODO w swoim piśmie z dnia [...] kwietnia 2003 r.
Po przeprowadzeniu postępowania administracyjnego Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia[...]czerwca 2003 r. nr [...], wydaną na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. kodeks postępowania administracyjnego (Dz. U. z 2000 r., Nr 101, poz. 926 z poz. zm.) oraz art. 12 pkt 2 w zw. z art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.) nie stwierdził naruszenia przepisów ustawy o ochronie danych osobowych.
W uzasadnieniu wskazał, że ustawa o ochronie danych osobowych określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych osobowych (art. 2 ust. 1 ustawy). Określa również definicję administratora danych, którym jest organ, instytucja, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3 ust. 1 i 2 ustawy, decydujące o celach i środkach przetwarzania danych (art. 7 pkt 4 ustawy).
W przedmiotowej sprawie administratorem danych osobowych M.K. jest P.. Jednym z podstawowych obowiązków spoczywających na administratorze jest wynikający z art. 36 ustawy obowiązek zabezpieczenia zbiorów danych osobowych, zgodnie z którym administrator danych jest obowiązany do zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzania danych osobowych, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem, zmiana, utratą, uszkodzeniem lub zniszczeniem. Ustawodawca nie przesądza jednak, jakiego rodzaju środki techniczno-organizacyjne należy zastosować w procesie przetwarzania danych osobowych, pozostawiając tę kwestię do uznania administratora.
GIODO podkreślił, że ustawa nie nałożyła na administratora danych obowiązku stosowania szczególnej formy przy doręczaniu korespondencji, należy więc przyjąć, że administrator danych, jakim w przedmiotowej sprawie jest P. na nie jest zobowiązany na postawie przepisów ustawy do stosowania formy listu poleconego przy doręczaniu korespondencji, zatem forma listu zwykłego była w pełni wystarczająca.
Spółka korzystając z powszechnie używanego sposobu dostarczania korespondencji, jakim jest przesyłanie przesyłek listem zwykłym, dopełniła wszelkich formalności zgodnie z obowiązującymi przepisami, trudno więc mówić o naruszeniu art 36 ustawy.
Generalny Inspektor podniósł ponadto, że Spółka po przejęciu listu przez pocztę nie miała już wpływu na właściwe dostarczenie przesyłki adresatowi.
Zgodnie z § 9 ust. 1 pkt 1 rozporządzenia Ministra Łączności z dnia 15 marca 1996 r. w sprawie warunków korzystania z usług pocztowych o charakterze powszechnym (Dz. U. z 1996 r., Nr 40, poz. 173) umowa o świadczenie takiej usługi jest w wypadku zwykłych przesyłek listowych zawarta w chwili ich przekazania podmiotowi do przewozu i doręczenia. Ponadto w myśl art. 58 ustawy z dnia 23 listopada 1990 r. o łączności (Dz. U. z 1995 r. Nr 117, poz. 564 z późn. zm.) podmiot świadczący usługę pocztową o charakterze powszechnym ponosi odpowiedzialność za niewykonanie lub nienależyte wykonanie usługi, chyba że niewykonanie lub nienależyte wykonanie nastąpiło wskutek siły wyższej, niezachowanie przez nadawcę lub adresata przepisów lub regulaminów obowiązujących przy korzystaniu z danej usługi albo z winy zleceniodawcy.
We wniosku o ponowne rozpatrzenie sprawy M.K. zwrócił uwagę na różnice w wyjaśnieniach P.SA, gdyż w piśmie z [...] czerwca 2002 r. Spółka wskazała, że dokumentacja przesyłana jest listem poleconym, natomiast w późniejszych pismach podała, że listem zwykłym.
W jego ocenie Spółka przyznała, że stosuje formę listu poleconego, a przesłanie do niego korespondencji listem zwykłym wbrew twierdzeniom GIODO nie było wystarczające. Zgodził się, że co prawda ustawodawca nie przesądza, jakiego rodzaju środki techniczno-organizacyjne powinien zastosować administrator, to jednak jego zdaniem P. SA Inspektorat w G. naruszył art. 36 ustawy o ochronie danych osobowych.
Decyzją z dnia [...]sierpnia 2003 r. nr [...]podjętą po rozpoznaniu wniosku o ponowne rozpatrzenie sprawy, Generalny Inspektor Ochrony Danych Osobowych na podstawie art. 138 § 1 pkt 1 kpa oraz art. 12 pkt 2 w zw. z art. 36 ustawy o ochronie danych osobowych utrzymał w mocy zaskarżoną decyzję.
W uzasadnieniu podtrzymał w całości ustalenia faktyczne i prawne zawarte w zaskarżonej decyzji. Dodatkowo wskazał na treść § 62 rozporządzenia Ministra Łączności w sprawie warunków korzystania z usług pocztowych o charakterze powszechnym, który stanowi, iż w wypadku stwierdzenia uszkodzenia opakowania przesyłki, podmiot powinien niezwłocznie odpowiednio ją zabezpieczyć, a w uzasadnionych wypadkach sporządzić protokolarny opis jej stanu, bez wglądu w jej zawartość, z zastosowaniem ust. 2.
Ze zgromadzonego w sprawie materiału dowodowego nie wynika natomiast, iż zastosowana została przez[...]przy doręczaniu przesyłki M. K. jakakolwiek dodatkowa procedura, konieczna w wypadku uszkodzenia przesyłki. Oznacza to, że Spółka jako nadawca należycie wypełniła obowiązki wynikające z przepisów lub regulaminów przy korzystaniu z usług pocztowych o charakterze powszechnym, zatem brak podstaw do stwierdzenia, że Spółka naruszyła art. 36 ustawy o ochronie danych osobowych nie zapewniając właściwej ochrony przetwarzanym danym osobowym, poprzez ich udostępnianie osobom nieuprawnionym. Nie wyklucza to jednak możliwości stosowania przez nią przy przesyłaniu zainteresowanemu dalszej korespondencji innych środków technicznych, w szczególności formy listu poleconego.
Powyższa decyzja stała się przedmiotem skargi skierowanej przez M.K. do Naczelnego Sądu Administracyjnego, w której skarżący stwierdził, że ustawa nie nakazuje określonej procedury, dokumenty należało jednak przesłać listem poleconym, aby zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, utratą lub zniszczeniem.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie i podtrzymał swoje stanowisko wyrażone w zaskarżonej decyzji. Podkreślił przy tym, że przedmiotem rozważań GIODO w niniejszej sprawie była w szczególności kwestia oceny, czy skierowanie do skarżącego przez Spółkę dokumentacji listem zwykłym spełniło wymogi bezpieczeństwa przy przetwarzaniu jego danych osobowych.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z art. 97 § 1 ustawy z dnia 30 sierpnia 2002 r. Przepisy wprowadzające ustawę - Prawo o ustroju sądów administracyjnych i ustawę -Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. Nr 153, poz. 1271 z późn. zm.) sprawy, w których skargi zostały wniesione do Naczelnego Sądu Administracyjnego przed dniem 1 stycznia 2004 r. i postępowanie nie zostało zakończone, podlegają rozpoznaniu przez właściwe wojewódzkie sądy administracyjne na podstawie przepisów ustawy - Prawo o postępowaniu przed sądami administracyjnymi.
Stosownie do przepisu art. 13 § 2 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. Nr 153, poz. 1270) do rozpoznania sprawy właściwy był Wojewódzki Sąd Administracyjny w Warszawie, gdyż na jego obszarze właściwości ma siedzibę Generalny Inspektor Ochrony Danych Osobowych, którego działalność została zaskarżona.
W mysi natomiast art. l ustawy z dnia 25 lipca 2002 r. Prawo o ustroju sądów administracyjnych (Dz.U. Nr 153, poz. 1269), sądy administracyjne sprawują wymiar sprawiedliwości m.in. przez kontrolę działalności administracji publicznej, a kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.
Skarga analizowana pod tym względem nie zasługuje na uwzględnienie.
Materialnoprawną podstawą zaskarżonej decyzji jest przepis art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r., Nr 101, poz. 926 z późn. zm.), który stanowi, że administrator danych jest obowiązany do zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzania danych osobowych, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, zmiana, utratą, uszkodzeniem lub zniszczeniem.
Zgodnie z art. 7 pkt 4 w/w ustawy, przez administratora danych rozumie się organ, instytucję, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3 ust. 1 i 2 ustawy, decydujące o celach i środkach przetwarzania danych osobowych.
W rozpatrywanej sprawie administratorem danych osobowych M.K. jest w związku z powyższą definicją P.SA i to na nim spoczywają obowiązki określone w art. 36 ustawy.
W przepisie tym ustawodawca nie konkretyzuje jednak środków, jakie ma zastosować administrator, zaś obowiązki administratora wynikają wprost z postawionych przed nim zadań.
Jedynie w odniesieniu do przetwarzania danych osobowych w systemach informatycznych podstawowe wymogi techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, określa wydana na podstawie art. 45 ustawy o ochronie danych osobowych rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. (Dz. U. Nr 80, poz. 521).
Zakres jego regulacji nie obejmuje natomiast środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo i ochronę danych osobowych przetwarzanych poza urządzeniami i systemami informatycznymi.
Trafne jest zatem stanowisko Generalnego Inspektora Ochrony Danych Osobowych, iż skoro przepisy ustawy nie nakładają na administratora danych osobowych stosowania szczególnej formy przy doręczaniu korespondencji, to należy przyjąć, że P. SA nie jest na podstawie przepisów ustawy zobligowane do stosowania formy listu poleconego. Przesłanie zaś przez Spółkę dokumentacji skierowanej do skarżącego listem zwykłym było w pełni wystarczające i czyniące zadość wymogom określonym w art. 36 ustawy o ochronie danych osobowych.
Należy przy tym zauważyć, że Spółka, jak słusznie wskazał GIODO, skorzystała z powszechnie używanej formy dostarczania korespondencji, jaką jest przesyłanie przesyłek listem zwykłym i po przekazaniu przesyłki [...]nie miała już wpływu na prawidłowość jej dostarczenia do adresata. Zgodnie bowiem z § 9 ust. 1 pkt 1 obowiązującego w chwili orzekania rozporządzenia Ministra Łączności z dnia 15 marca 1996 r. w sprawie warunków korzystania z usług pocztowych o charakterze powszechnym (Dz.U. z 1996 r., Nr 40, poz. 173), umowa o świadczenie usługi pocztowej o charakterze powszechnym była zawarta w wypadku zwykłych przesyłek listowych w chwili ich przekazania podmiotowi do przewozu i doręczenia. Ponadto w myśl art. 58 ustawy z dnia 23 listopada 1990 r. o łączności (Dz.U. z 1995 r. Nr 117, poz. 564 z późn. zm.) podmiot świadczący usługę pocztową o charakterze powszechnym ponosi odpowiedzialność za niewykonanie lub nienależyte wykonanie usługi, chyba że niewykonanie lub nienależyte wykonanie nastąpiło wskutek siły wyższej, niezachowanie przez nadawcę lub adresata przepisów lub regulaminów obowiązujących przy korzystaniu z danej usługi albo z winy zleceniodawcy.
Zgodzić należy się również ze stwierdzeniem organu, iż Spółka należycie wypełniła obowiązki wynikające z przepisów lub regulaminów obowiązujących przy korzystaniu z usług o charakterze powszechnym, skoro ze zgromadzonego w sprawie materiału dowodowego nie wynika, aby [...] zastosowała przy doręczaniu przesyłki skarżącemu dodatkową procedurę konieczną w wypadku uszkodzenia przesyłki, wynikająca z § 62 ust. 1 w/w rozporządzenia Ministra Łączności. Zatem rację ma organ podnosząc, że brak było podstaw do stwierdzenia, że P. SA naruszyła obowiązek wynikający z art. 36 ustawy o ochronie danych osobowych, nie zapewniając właściwej ochrony przetwarzanych danych osobowych poprzez ich udostępnianie osobom nieupoważnionym.
Dodatkowo należy zwrócić uwagę, że gdyby nawet Generalny Inspektor podzielił pogląd skarżącego uznając, że forma listu zwykłego nie stanowi skutecznego zabezpieczenia przetwarzanych danych osobowych, to nie mógłby sformułować nakazu zastosowania środków zabezpieczających poprzez zastosowanie formy przesyłki poleconej, gdyż nakaz ten nie miałby oparcia w przepisach prawa.
W świetle powyższych rozważań ponawiany przez skarżącego zarzut, że organ nie odniósł się do treści pisma P. Inspektorat w G. z dnia [...] czerwca 2002 r. świadczącego, że przedmiotową dokumentację przesyła się listem poleconym, jest bez znaczenia. Od dobrej woli Spółki zależy bowiem, czy będzie stosować formę listu poleconego, a praktyki takiej nie można jej zabronić.
Mając powyższe na względzie, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy Prawo o postępowaniu przed sądami administracyjnymi w zw. z art. 36 ustawy o ochronie danych osobowych, orzekł jak w sentencji.