II SA/Wa 2110/06
WyrokWSA w Warszawie2007-03-16
Skład orzekający: Ewa Grochowska-Jung, Ewa Kwiecińska, Przemysław Szustakiewicz
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy raporty ze zdarzeń sporządzane przez wewnętrzną służbę ochrony, zawierające dane osobowe uczestników zdarzeń podane przez inne służby (np. Policję, Pogotowie Ratunkowe), stanowią zbiór danych osobowych podlegający rejestracji na podstawie ustawy o ochronie danych osobowych?Ratio decidendi
Raporty ze zdarzeń sporządzane przez wewnętrzną służbę ochrony, które zawierają dane osobowe uczestników zdarzeń jedynie jako informację wtórną, podaną przez inne służby, nie stanowią zbioru danych osobowych w rozumieniu art. 7 pkt 1 ustawy o ochronie danych osobowych. Brak jest bowiem podstawowego kryterium osobowego, a dane te nie są łatwo dostępne według określonych kryteriów, co wyklucza obowiązek rejestracji takiego zbioru.Stan faktyczny
Sprawa dotyczyła skargi M. Sp. z o.o. na decyzję Generalnego Inspektora Ochrony Danych Osobowych (GIODO), który nakazał spółce naprawę uchybień w procesie przetwarzania danych osobowych, w tym zgłoszenie do rejestracji zbioru danych osobowych zawartych w raportach ze zdarzeń sporządzanych przez pracowników Służby Ochrony. GIODO uznał, że raporty te stanowią zbiór danych osobowych podlegający rejestracji. Spółka kwestionowała tę interpretację, argumentując, że raporty nie są zbiorem danych, dotyczą spraw życia codziennego i powinny być zwolnione z rejestracji.Rozstrzygnięcie
Wojewódzki Sąd Administracyjny w Warszawie uchylił zaskarżoną decyzję GIODO oraz decyzję ją poprzedzającą, stwierdził, że zaskarżona decyzja nie podlega wykonaniu w całości i zasądził od GIODO na rzecz skarżącej zwrot kosztów postępowania.Pełny tekst orzeczenia
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Grochowska-Jung, Sędzia WSA Ewa Kwiecińska, asesor WSA Przemysław Szustakiewicz (spr.), Protokolant Michał Sułkowski, po rozpoznaniu na rozprawie w dniu 16 marca 2007 r. sprawy ze skargi M. Sp. z o.o. w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...]r. nr [...] w przedmiocie ochrony danych osobowych 1. uchyla zaskarżoną decyzję oraz decyzję ją poprzedzającą z dnia [...] 2. stwierdza, że zaskarżona decyzja nie podlega wykonaniu w całości 3. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz skarżącej M. Sp. z o. o. w W. kwotę 457 (słownie: czterysta pięćdziesiąt siedem złotych) tytułem zwrotu kosztów postępowania.
Generalny Inspektor Ochrony Danych Osobowych działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1, pkt 6 i art. 22 w związku z art. 26 ust. 1 pkt 1 oraz art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez M. Sp. z o.o. z siedzibą w W. decyzją nr [...] z dnia [...], nakazał spółce naprawę uchybień w procesie przetwarzania danych osobowych poprzez:
zaprzestanie zbierania danych dotyczących karalności pracowników od dnia, w którym niniejsza decyzja stanie się ostateczna;
usunięcie ze zbioru danych pracowników danych dotyczących karalności pracowników w terminie miesiąca od dnia, w którym niniejsza decyzja stanie się ostateczna;
zaprzestanie zbierania danych dotyczących nazwiska rodowego matki pracownika od dnia, w którym niniejsza decyzja stanie się ostateczna;
zgłoszenie do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych osobowych zawartych w raportach ze zdarzeń na terenie Stacji [...] oraz [...] , sporządzanych przez pracowników Służby Ochrony [...], w terminie siedmiu dni od dnia, w którym niniejsza decyzja stanie się ostateczna.
W dniu 21 czerwca 2006 r. wniosek o ponowne rozpatrzenie sprawy dotyczącej nakazu zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych osobowych zawartych w raportach ze zdarzeń na terenie Stacji [...] oraz [...] , sporządzanych przez pracowników Służby Ochrony [...] (pkt 4 decyzji) oraz o umorzenie postępowania we wskazanym zakresie zgłosiła spółka.
Generalny Inspektor Ochrony Danych Osobowych działając na podstawie art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1 i art. 22 w związku z art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, decyzją nr [...] z dnia [...]r., utrzymał w mocy zaskarżoną decyzję. W uzasadnieniu organ podniósł, że zgodnie z treścią art. 40 ustawy o ochronie danych osobowych administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1. W toku kontroli przeprowadzonej przez organ ustalono, iż do zadań pracowników Służby Ochrony [...] (...) należy rejestrowanie zdarzeń na terenie Stacji [...] oraz [...] w formie raportów służbowych. Obowiązek prowadzenia przez wewnętrzne służby ochrony dziennika wydarzeń wynika z treści § 8 ust. 1 pkt 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 17 listopada 1998 r. w sprawie wewnętrznych służb ochrony (Dz. U. z 1999 r. Nr 4, poz. 31 z późn. zm.), zgodnie z którym w wewnętrznych służbach ochrony prowadzi się dziennik wydarzeń zawierający: a) wpis daty i godziny zaistniałego wydarzenia, b) opis wydarzenia, c) dane personalne osób uczestniczących w wydarzeniu, d) dane personalne pracowników ochrony, którzy podejmowali interwencje. Z akt kontroli wynika, iż pracownicy [...] wpisują do raportów dane osobowe uczestników zdarzeń, tj.: imiona i nazwiska, ewentualnie adresy, datę urodzenia, imiona rodziców, w przypadku gdy dane takie od uczestnika zdarzenia uzyskał uprawniony podmiot (Policja, lekarz pogotowia). Raporty ułożone są chronologicznie, zgodnie z datą zdarzenia, jak również z podziałem na miejsce zdarzenia (stacje [...] ). Oddzielnie przechowywane są raporty ze zdarzeń z udziałem Pogotowia Ratunkowego. W świetle powyższych ustaleń, wskazane raporty tworzą zbiór, a zatem istnieje obowiązek zgłoszenia go do rejestracji Generalnemu Inspektorowi. Zgodnie z treścią art. 7 pkt 1 ustawy o ochronie danych osobowych, ilekroć w ustawie jest mowa o zbiorze danych – rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. W myśl wskazanej ustawowej definicji muszą być spełnione określone przesłanki, aby uznać, że dane są przetwarzane w zbiorze danych. Na podstawie ustaleń kontroli nie budzi wątpliwości, że w opisanej sytuacji mamy do czynienia z zestawem danych o charakterze osobowym, który posiada własną strukturę, stanowi bowiem sumę uporządkowanych elementów, w tym przypadku formularzy raportów zawierających rubrykę przeznaczoną na wpisanie danych osobowych uczestników zdarzeń. Jak już wskazano raporty ułożone są chronologicznie, zgodnie z datą zdarzenia, jak również z podziałem na miejsce zdarzenia (stacje [...] ), a oddzielnie przechowywane są raporty ze zdarzeń z udziałem Pogotowia Ratunkowego. Opisany sposób ułożenia raportów wskazuje na istnienie kryteriów dostępności do danych osobowych zawartych w raportach. Nie ma natomiast podstaw, by zakładać, że dane osobowe mają być dostępne według kryteriów osobowych, rozumianych jako zapewniające dostęp do danych identyfikujących (np. imię, nazwisko, adres, numery PESEL i NIP), gdyż ustawa o ochronie danych osobowych nie posługuje się takim pojęciem. Należy także wskazać, że "wystarczy występowanie jednego kryterium wyszukiwawczego w zestawieniu danych, aby zaklasyfikować go jako zbiór danych w rozumieniu art. 7 pkt 1 ustawy". Nie można też przyjąć, że sposób ułożenia raportów nie dotyczy danych osobowych lecz zdarzeń, bowiem w przypadku ww. zbioru, miejsce i data zdarzenia stanowią kryteria dostępu do danych osobowych uczestników tych zdarzeń. Organ uznał, że skoro raporty tworzą zbiór, to nie można przyjąć, że byłby on zwolniony z obowiązku zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych na podstawie art. 43 ust. 1 pkt 11 ustawy, należy wskazać że przesłanka ta dotyczy zwolnienia z rejestracji zbioru danych, administratorów danych przetwarzanych w zakresie drobnych bieżących spraw życia codziennego. Pojęcie "drobnych bieżących spraw życia codziennego" nie zostało w przepisach zdefiniowane, jednak można uznać, że oznacza ono sprawy, które z obiektywnego punktu widzenia są niewielkiej wagi. Prowadzenia zbioru danych uczestników zdarzeń na terenie Stacji [...] i [...] nie można zakwalifikować jako drobnych bieżących sprawach życia codziennego, bowiem rejestracja takich zdarzeń należy do określonych w przepisach prawa obowiązków [...] , jako wewnętrznej służby ochrony (dzienniki wydarzeń zawierające m.in. dane personalne osób uczestniczących w wydarzeniu stanowią dokumentację ochronną, o której mowa w § 8 ust. 1 rozporządzenia w sprawie wewnętrznych służb ochrony, ponadto w § 8 pkt 5 ww. rozporządzenia wskazano, że dokumentacja ochronna prowadzona jest w formie pisemnej, zaś z punktu 6 wynika obowiązek kolejnego numerowania kart tej dokumentacji). Z powyższych względów nie można zgodzić się ze stanowiskiem Spółki w zakresie zwolnienia omawianego zbioru danych z obowiązku rejestracji na podstawie art. 43 ust. 1 pkt 11 ustawy. Organ wskazał także, iż nie można przyjąć, iż do zakresu działań wewnętrznych służb ochrony należy wykonywanie czynności operacyjno-rozpoznawczych w zakresie ochrony osób i obiektów oraz zabezpieczenia miejsca popełnienia czynów przestępczych, dlatego do sporządzanych przez te służby raportów powinny mieć zastosowanie przepisy art. 43 ust. 1 pkt 1 a ustawy o ochronie danych osobowych, należy wskazać, że obowiązujące w Polsce ustawodawstwo przyznaje prawo do wykonywania czynności operacyjno-rozpoznawczych organom ścigania, w tym m.in. Policji, Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu, Żandarmerii Wojskowej, czy Straży Granicznej. Z przepisów ustawy o ochronie osób i mienia nie wynika natomiast, aby takie prawo miały również wewnętrzne służby ochrony, zatem w opisanej sytuacji nie będzie miała zastosowania przesłanka zwalniająca opisywany zbiór z obowiązku rejestracji, tj. art. 43 ust. 1 pkt 1a.
W świetle powyższych ustaleń należy zdaniem GIODO uznać, że wskazane raporty tworzą zbiór danych osobowych, który powinien być zgłoszony do rejestracji Generalnemu Inspektorowi, bowiem nie zachodzą tu przesłanki zwolnienia z rejestracji, o których mowa w art. 43 ust. 1 ustawy.
W dniu 11 października 2006 r. skargę na powyższą decyzję złożyło M. Sp. z o. o. Skarżący wnosząc o uchylenie zaskarżonej decyzji i przywołując bogatą literaturę, dotyczącą ustawy o ochronie danych osobowych wskazał, że:
- narusza ona art. 7 pkt 1 uodo, gdyż raporty sporządzane przez pracowników [...] ze zdarzeń na Stacji [...] i [...] nie stanowią zbioru danych, bowiem dane osobowe pojawiają się w nim sporadycznie, a ułożenie raportów chronologicznie nie pozwala na dostęp do danych, nadto są ułożone wedle jednego kryterium (chronologii zdarzenia), tymczasem treść przepisu wskazuje, iż takie kryteria powinny wystąpić co najmniej dwa razy;
- zgodnie z art. 43 ust. 1 pkt 11 uodo nie istnieje obowiązek rejestracji danych osobowych, które dotyczą drobnych spraw życia codziennego, tymczasem sporządzane raporty dotyczą właśnie takich spraw;
- zgodnie z art. 43 ust. 1 pkt 1 a z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych, które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności, tymczasem zgodnie z art. 8 ust. 1 ustawy z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (t.j. Dz. U z roku 2005 Nr 145, poz. 1221 ze zm.) oraz § 5 rozporządzenia MSWiA z dnia 17 listopada 1998 r. w sprawie wewnętrznych służb ochrony (Dz. U. z roku 1999 Nr 4, poz. 31) do zakresu takich służb należy wykonywanie takich czynności, a zatem i z tego powodu zbiór nie podlega rejestracji.
W odpowiedzi na skargę organ wniósł o jej oddalenie i podtrzymał argumenty zawarte w zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Na podstawie art. 13 § 2 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi ( Dz. U. Nr 153, poz.1270 ze zm.) do rozpoznania sprawy właściwy jest wojewódzki sąd administracyjny, na którego obszarze właściwości ma siedzibę organ administracji publicznej, którego działalność została zaskarżona.
Natomiast zgodnie z treścią art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz.1269 ze zm.) sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującymi w dacie jej wydania.
Rozpatrywana pod tym względem skarga zasługuje na uwzględnienie.
Na wstępie należy wskazać, ze podstawą materialnoprawną są przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U z roku 2002 Nr 101, poz. 926 ze zm.). Ustawa ta w art. 7 pkt 1 definiuje pojęcie zbioru danych osobowych, wskazując, że rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, a zatem jest to:
zestaw danych o charakterze osobowym,
posiadający własną strukturę,
podzielony funkcjonalnie.
Z akt sprawy wynika, że Generalny Inspektor Ochrony Danych Osobowych uznał, że raporty ze zdarzeń na terenie Stacji [...] oraz [...] , sporządzanych przez pracowników Służby Ochrony [...] są zbiorem danych osobowych i jako takie podlegają rejestracji. Wskazać należy, że Służba Ochrony [...] jest wewnętrzną służbą ochrony, powołaną zgodnie z przepisami rozdziału 3 ustawy z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (t.j. Dz. U. z roku 2005 Nr 145, poz. 1221 ze zm.). Szczegółowe zasady funkcjonowania wewnętrznych służb ochrony reguluje rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 17 listopada 1998 r. w sprawie wewnętrznych służb ochrony (Dz. U. z roku 1999 Nr 4, poz. 31 ze zm.). Rozporządzenie nakłada w § 8 ust. 1 pkt 3 obowiązek prowadzenia przez wewnętrzne służby ochrony dziennika wydarzeń zawierającego: wpis daty i godziny zaistniałego wydarzenia, opis zaistniałego wydarzenia, dane personalne osób uczestniczących w wydarzeniu, dane personalne pracowników ochrony, którzy podejmowali interwencję. Tak więc raporty zdarzeń sporządzane przez pracowników [...] są wypełnieniem dyspozycji ww. przepisu. Jak wynika z treści § 8 ust. 1 pkt 3 cyt. rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 17 listopada 1998 r., jest to udokumentowanie działań wewnętrznych służb ochrony, a nie zbieranie danych osobowych osób, które uczestniczyły w zajściach. Wynika to także z akt postępowania kontrolnego, gdzie wskazano, iż pracownicy [...] zamieszczają w raportach informacje o zdarzeniach, które miały miejsce na obszarze działania służby, a dane osobowe osób uczestniczących w zdarzeniu znajdują się tam tylko wtedy, gdy zostały podane pracownikom [...] przez Policję lub Pogotowie Ratunkowe. Tymczasem wedle tekstu ustawy o ochronie danych osobowych podstawowym kryterium, dla którego można stwierdzić, że mamy do czynienia ze zbiorem danych osobowych jest kryterium osobowe. Tymczasem raporty sporządzane przez pracowników [...] dotyczą zdarzeń zaistniałych na terenie Stacji [...] i [...] , a ewentualne dane osobowe znajdują się w nich niejako przypadkowo, wówczas gdy są już odebrane przez inne uprawnione służby. Dane osobowe nie są podstawowe dla danego zbioru. Trudno jest zatem mówić, że zbiór raportów sporządzonych przez pracowników [...] stanowi zbiór danych osobowych (por.: J. Barta, R. Markiewicz Ochrona danych osobowych. Komentarz, Zakamycze 2002, s. 328-329.).
Należy także podnieść, że jedynym z kryteriów, dla którego można mówić, że dany zbiór jest zbiorem danych osobowych jest kryterium dostępności do informacji o osobach znajdujących się w zbiorze. Inaczej mówiąc, ze zbiorem danych osobowych mamy do czynienia, gdy łatwo jest dostać się do informacji o konkretnych osobach. W rozpatrywanej sprawie należy wskazać, że raporty są pogrupowane według kryterium chronologicznego. Nie można zatem wskazać, że dane zebrane w raportach ze zdarzeń na terenie Stacji [...] oraz [...] , sporządzanych przez pracowników Służby Ochrony [...] są łatwo dostępne (por.: A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Warszawa 2004, s. 52-53.). Brak prostego, nieskomplikowanego dostępu do danych osobowych zebranych w raportach wskazuje, iż nie można mówić, że stanowią one zbiór danych osobowych, o którym mowa w art. 7 pkt 1 ustawy o ochronie danych osobowych.
Reasumując należy stwierdzić, że raporty ze zdarzeń na terenie Stacji [...] oraz [...] , sporządzane przez pracowników Służby Ochrony [...] nie są zbiorem danych osobowych i nie podlegają rejestracji jaka jest wymagana dla tego typu zbiorów.
Mając powyższe na względzie, na podstawie art. 145 § 1 pkt 1 lit. a i c ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), Wojewódzki Sąd Administracyjny w Warszawie orzekł jak w sentencji. O wykonalności zaskarżonej decyzji Sąd orzekł na podstawie art. 152 powołanej ustawy – Prawo o postępowaniu przed sądami administracyjnymi.
Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 15.07.2026. · Źródło