OSK 356/04

OSK 356/04 - Wyrok NSA
Data orzeczenia
2004-08-19
orzeczenie prawomocne
Data wpływu
2004-04-02
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Elżbieta Stebnicka
Włodzimierz Ryms /przewodniczący sprawozdawca/
Zbigniew Rausz
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Powołane przepisy
Dz.U. 2002 nr 101 poz. 926
art. 7 pkt 2a
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - tekst jedn.
Dz.U. 1998 nr 80 poz. 521
par. 16 pkt 4
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osob
Sentencja
Naczelny Sąd Administracyjny po rozpoznaniu na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Generalnego Inspektora Ochrony Danych Osobowych od wyroku Naczelnego Sądu Administracyjnego w Warszawie z dnia 27 listopada 2003 r. II SA 232/02 w sprawie ze skargi ZUS w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 17 grudnia 2001 r. (...) w przedmiocie przetwarzania danych osobowych - oddala skargę kasacyjną.
Uzasadnienie
Generalny Inspektor Ochrony Danych Osobowych w skardze kasacyjnej, wniesionej na podstawie art. 101 ustawy z dnia 30 sierpnia 2002 r. Przepisy wprowadzające ustawę - Prawo o ustroju sądów administracyjnych i ustawę - Prawo o postępowaniu przed sądami administracyjnymi /Dz.U. nr 153 poz. 1271 ze zm./, zaskarżył wyrok Naczelnego Sądu Administracyjnego w Warszawie z dnia 27 listopada 2003 r., II SA 232/02, którym Sąd uwzględnił skargę ZUS i uchylił decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 17 grudnia 2001 r., (...) w przedmiocie nakazania usunięcia uchybień w przetwarzaniu danych osobowych.
Wyrok ten został wydany w następujących okolicznościach sprawy.
Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia 22 listopada 2001 r. nakazał ZUS usunięcie w terminie 6 miesięcy uchybień w przetwarzaniu danych osobowych poprzez: 1/ zapewnienie aby system informatyczny "Umowy Polsko-Niemieckie" funkcjonujący w ZUS Oddział w T.-G. odnotowywał datę pierwszego wprowadzenia danych dla każdej osoby oraz identyfikator użytkownika wprowadzającego dane, 2/ zapewnienie aby systemy informatyczne "ARS 2000" i "Zasiłki rodzinne i wychowawcze" funkcjonujące w ZUS Oddział w T.-G. odnotowywały dla każdej osoby, której dane są przetwarzane, informacje komu, kiedy i w jakim zakresie dane zostały udostępnione.
Po rozpatrzeniu wniosku ZUS o ponowne rozpoznanie sprawy, w którym kwestionowano nakaz usunięcia uchybień w systemach informatycznych "ARS 2000" i "Zasiłki rodzinne i wychowawcze", Generalny Inspektor Ochrony Danych Osobowych, decyzją z dnia 17 grudnia 2001 r. utrzymał w mocy decyzję z dnia 22 listopada 2001 r. W uzasadnieniu decyzji organ przyjął, że systemy informatyczne "ARS 2000" i "Zasiłki rodzinne i wychowawcze", z których dane mogą być udostępniane innym organom, nie zapewniają odnotowania informacji komu, kiedy i w jakim zakresie udostępniono dane o osobie przetwarzane w tych systemach, co stanowi naruszenie par. 16 pkt 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych /Dz.U. nr 80 poz. 521 ze zm./.
Uwzględniając skargę ZUS Sąd podzielił stanowisko skarżącego, iż wprawdzie systemy informatyczne "ARS 2000" i "Zasiłki rodzinne i wychowawcze" nie zawierają wyodrębnionych pól rejestrujących komu, kiedy i w jakim zakresie udostępniono przetwarzane dane, to jednak ZUS stosuje obok systemu informatycznego, tradycyjne sposoby zapewniające kontrolę udostępniania takich danych w postaci skorowidzów, ksiąg, wykazów i zbiorów ewidencyjnych.
W ocenie Sądu problem prawny w tej sprawie sprowadzał się do tego, czy ochrona danych osobowych przetwarzanych w systemie informatycznym w zakresie odnotowania informacji o udostępnieniu danych powinna być zapewniona w tym systemie przez funkcje programu, czy też wystarczające jest zapewnienie tej ochrony przez stosowanie tradycyjnych sposobów. Organ nie wskazał, jaką definicją systemu informatycznego posłużył się wydając decyzje w tej sprawie, podczas gdy definicja przyjęta w par. 1 pkt 1 powołanego rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. wykracza poza granice upoważnienia ustawowego i różni się od definicji przyjętej w art. 7 pkt 2 lit. "a" ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych /Dz.U. nr 133 poz. 883 ze zm./. Zdaniem Sądu z przepisów tej ustawy oraz powołanego rozporządzenia nie wynika, że ochrona danych osobowych ma być zapewniona wyłącznie w oparciu o elektroniczny system informatyczny, zwłaszcza w odniesieniu do sprawnie funkcjonującego systemu, którego modyfikacja jest niełatwa technicznie i kosztowna. Sąd podniósł również, niezależnie od zarzutów podniesionych w skardze, że organ utrzymał w mocy decyzję z dnia 22 listopada 2001 r. w całości, podczas gdy wniosek ZUS o ponowne rozpoznanie sprawy dotyczył tej decyzji jedynie w części odnoszącej się do systemów informatycznych "ARS 2000" oraz "Zasiłki rodzinne i wychowawcze", a wobec tego w pozostałej części decyzja ta stała się orzeczeniem ostatecznym.
W skardze kasacyjnej podniesiono zarzut naruszenia art. 7 pkt 2a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych /Dz.U. 2002 nr 101 poz. 926 ze zm./ oraz par. 16 pkt 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych /Dz.U. nr 80 poz. 521 ze zm./ poprzez błędną wykładnię i przyjęcie, że w definicji systemu informatycznego mieszczą się także tradycyjne sposoby przetwarzania danych /skorowidze, akta, wykazy/ jako procedury przetwarzania informacji.
W uzasadnieniu podstaw kasacyjnych przedstawiono obszerny wywód, który zdaniem wnoszącego skargę kasacyjną prowadzi do wniosku, że informatyczny system przetwarzania danych osobowych jest odrębny w stosunku do innych systemów informacyjnych nazywanych systemami tradycyjnymi. Dlatego też wymogi dotyczące ochrony danych osobowych, przetwarzanych w systemie informatycznym, w tym odnotowywania informacji o udostępnieniu tych danych, należy odnieść do systemu informatycznego w tym znaczeniu, że to system informatyczny powinien zapewniać ochronę danych osobowych w tym zakresie, a nie inne sposoby i procedury stosowane poza tym systemem. Obowiązek przestrzegania prawa przez organy władzy publicznej, zdaniem wnoszącego skargę kasacyjną, nie może uzasadniać przetwarzania danych osobowych w sposób sprzeczny z prawem ze względu na nakłady finansowe.
W odpowiedzi na skargę kasacyjną Zakład Ubezpieczeń Społecznych podniósł, że skarga kasacyjna jest bezprzedmiotowa, ponieważ weszło w życie rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych /Dz.U. nr 100 poz. 1024/, które w par. 9 określa, że administrator przetwarzanych w dniu wejścia w życie tego rozporządzenia danych osobowych jest obowiązany dostosować systemy informatyczne służące do przetwarzania tych danych do wymogów rozporządzenia w terminie 6 miesięcy od dnia jego wejścia w życie.
Naczelny Sąd Administracyjny zważył, co następuje:
Skarga kasacyjna nie ma usprawiedliwionych podstaw, ponieważ zarzut naruszenia przepisów art. 7 pkt 2a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych /Dz.U. 2002 nr 101 poz. 926 ze zm./, zwanej dalej ustawą oraz par. 16 pkt 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych /Dz.U. nr 80 poz. 521 ze zm./, zwanego dalej rozporządzeniem - nie jest zasadny.
Przede wszystkim należy podkreślić, iż Sąd w zaskarżonym wyroku odniósł się do stanu prawnego obowiązującego w dacie orzekania przez organ administracji. Nie można odmówić racji stanowisku Sądu, że ówczesny stan prawny nie tworzył wystarczających podstaw do formułowania tak kategorycznego poglądu, jaki był prezentowany przez Generalnego Inspektora Ochrony Danych Osobowych, iż w przypadku przetwarzania danych osobowych przy użyciu systemu informatycznego, nie jest dopuszczalne zapewnienie ochrony danych osobowych, w zakresie odnotowywania informacji komu, kiedy i w jakim zakresie dane zostały udostępnione, przy użyciu metod i sposobów tradycyjnych, które funkcjonują obok programów, urządzeń i narzędzi informatycznych. Sąd trafnie zwrócił uwagę, że zakwestionowana przez organ działalność skarżącego dotyczy także okresu, przed nowelizacją rozporządzenia, kiedy to par. 1 tego rozporządzenia z przekroczeniem upoważnienia ustawowego określał, co należy rozumieć przez system informatyczny. Przepis ten został skreślony rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 1 października 2001 r. zmieniającym rozporządzenie /Dz.U. nr 121 poz. 1306/, które weszło w życie z dniem 18 października 2001 r. Natomiast zmiana ustawy polegająca na określeniu w art. 7 ust. 2a co należy rozumieć przez system informatyczny, została dokonana ustawą z dnia 25 sierpnia 2001 r. o zmianie ustawy o ochronie danych osobowych /Dz.U. nr 100 poz. 1087/, która weszła w życie z dniem 3 października 2001 r. Wraz z określeniem w ustawie, co należy rozumieć przez system informatyczny, wprowadzona została w art. 7 ust. 2b ustawy definicja ustawowa "zabezpieczenia danych w systemie informatycznym", przez co rozumie się wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetworzeniem. Skoro więc zastosowanie systemu informatycznego w celu przetwarzania danych osobowych oznacza zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych, to nie sposób przyjąć, że tak określony system informatyczny, którego istota polega na współdziałaniu /współpracy/ różnych elementów odnosi się wyłącznie do elementów ściśle informatycznych. Przedstawiony w skardze kasacyjnej obszerny wywód wskazujący na różne znaczenie takich pojęć jak system informatyczny, system informacyjny, czy systemy tradycyjne nie podważa w niczym stanowiska Sądu wyrażonego w zaskarżonym wyroku, które sprowadza się w istocie rzeczy to tego, że system informatyczny zastosowany w celu przetwarzania danych osobowych mógł obejmować także tzw. tradycyjne sposoby służące temu, aby system informatyczny jako całość zapewniał ochronę danych osobowych w zakresie określonym przez par. 16 pkt 4 rozporządzenia.
Z analizy rozporządzenia można wyprowadzić wniosek, że podstawowe warunki, jakim powinien odpowiadać system informatyczny służący do przetwarzania danych osobowych odnoszą się nie tylko do programu i narzędzi programowych, ale także do urządzeń i procedur przetwarzania danych oraz innych elementów, które łącznie tworzą system informatyczny.
Z art. 3 ust. 1 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady Unii Europejskiej z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, na którą powołał się wnoszący skargę kasacyjną, również nie wynika, że stanowisko przyjęte w zaskarżonym wyroku narusza wskazane przepisy ustawy i rozporządzenia. Powołany przepis dyrektywy określa jedynie, że ma ona zastosowanie do przetwarzania danych osobowych w całości lub w części w sposób zautomatyzowany oraz do innego przetwarzania danych osobowych, stanowiących część zbioru danych lub mających stanowić część zbioru danych.
Podniesiony przez ZUS w odpowiedzi na skargę kasacyjną argument, że rozporządzenie, na podstawie którego została wydana decyzja uchylona zaskarżonym wyrokiem, utraciło moc z dniem wejścia w życie rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych /Dz.U. nr 100 poz. 1024/, które nakłada na administratorów danych osobowych obowiązek dostosowania systemów informatycznych do przepisów tego rozporządzenia w terminie 6 miesięcy od dnia jego wejścia w życie, nie ma znaczenia w tej sprawie, gdyż ocena podstaw kasacyjnych odnosi się do tych przepisów, które stanowiły podstawę zaskarżonego wyroku.
Z przytoczonych wyżej względów, Naczelny Sąd Administracyjny na podstawie art. 184 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi /Dz.U. nr 153 poz. 1270/ orzekł jak w sentencji.