I OSK 1059/12
WyrokNaczelny Sąd Administracyjny2013-03-14
Skład orzekający: Janina Antosiewicz, Małgorzata Borowiec, Leszek Kiermaszek
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy wspólnota mieszkaniowa, jako administrator danych osobowych swoich członków, jest zobowiązana do przestrzegania przepisów ustawy o ochronie danych osobowych, w tym do opracowania polityki bezpieczeństwa i wyznaczenia administratora bezpieczeństwa informacji, nawet jeśli powierzyła przetwarzanie danych innemu podmiotowi?Ratio decidendi
Wspólnota mieszkaniowa, będąc administratorem danych osobowych swoich członków, jest zobowiązana do przestrzegania przepisów ustawy o ochronie danych osobowych, w tym do wdrożenia polityki bezpieczeństwa i wyznaczenia administratora bezpieczeństwa informacji. Powierzenie przetwarzania danych innemu podmiotowi nie zwalnia wspólnoty z odpowiedzialności jako administratora. Wyjątek dotyczący przetwarzania danych wyłącznie w celach osobistych lub domowych przez osoby fizyczne nie ma zastosowania do wspólnoty mieszkaniowej.Stan faktyczny
Sprawa dotyczyła decyzji Generalnego Inspektora Ochrony Danych Osobowych nakazującej Wspólnocie Mieszkaniowej usunięcie uchybień w procesie przetwarzania danych osobowych, w tym opracowanie polityki bezpieczeństwa i wyznaczenie administratora bezpieczeństwa informacji. Wspólnota kwestionowała zastosowanie przepisów ustawy o ochronie danych osobowych, argumentując, że przetwarza dane wyłącznie w celach osobistych lub domowych i że nie posiada osobowości prawnej. Wojewódzki Sąd Administracyjny oddalił skargę, a następnie Naczelny Sąd Administracyjny oddalił skargę kasacyjną wspólnoty.Rozstrzygnięcie
Oddalono skargę kasacyjną Wspólnoty Mieszkaniowej. Zasądzono od Wspólnoty na rzecz Generalnego Inspektora Ochrony Danych Osobowych kwotę 120 zł tytułem zwrotu kosztów postępowania kasacyjnego.Pełny tekst orzeczenia
Naczelny Sąd Administracyjny w składzie następującym: Przewodniczący Sędzia NSA Janina Antosiewicz, Sędzia NSA Małgorzata Borowiec, Sędzia del. NSA Leszek Kiermaszek (spr.), Protokolant starszy asystent sędziego Andrzej Nędzarek, po rozpoznaniu w dniu 14 marca 2013 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Wspólnoty Mieszkaniowej [...] w Krakowie od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 3 lutego 2012 r. sygn. akt II SA/Wa 2136/11 w sprawie ze skargi Wspólnoty Mieszkaniowej [...] w Krakowie na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] lipca 2011 r. nr [...] w przedmiocie nakazu usunięcia uchybień w procesie przetwarzania danych osobowych 1. oddala skargę kasacyjną, 2. zasądza od Wspólnoty Mieszkaniowej [...] z/s w Krakowie na rzecz Generalnego Inspektora Ochrony Danych Osobowych kwotę 120 zł (sto dwadzieścia) tytułem zwrotu kosztów postępowania kasacyjnego.
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia
3 lutego 2012 r., sygn. akt II SA/Wa 2136/11 oddalił skargę Wspólnoty Mieszkaniowej [...] z siedzibą w Krakowie przy ul. [...] na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] lipca 2011 r. nr [...] w przedmiocie nakazu usunięcia uchybień w procesie przetwarzania danych osobowych.
W uzasadnieniu tego wyroku Wojewódzki Sąd Administracyjny przytoczył następujący stan sprawy:
Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] czerwca 2011 r. nr [...], działając podstawie art. 12 pkt 2, art. 18 ust. 1
pkt 1, art. 22 w związku z art. 36 ust. 2 i ust. 3 ustawy z dnia 29 sierpnia 1997 r.
o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r., Nr 101, poz. 926 ze zm.) oraz § 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), zwanego dalej rozporządzeniem, nakazał Wspólnocie Mieszkaniowej [...] z siedzibą w Krakowie przy ul. [...], usunięcie - w terminie 7 dni od dnia, w którym decyzja stanie się ostateczna - uchybień w procesie przetwarzania danych osobowych poprzez opracowanie i wdrożenie polityki bezpieczeństwa oraz wyznaczenie administratora bezpieczeństwa informacji.
W uzasadnieniu decyzji wskazał, że zgodnie z art. 36 ust. 2 ustawy o ochronie danych osobowych administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1 tego przepisu. W myśl § 3 ust. 1 rozporządzenia, na dokumentację tę składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, a zgodnie z § 3 ust. 2 i ust. 3 rozporządzenia dokumentację tę, prowadzoną w formie pisemnej, wdraża administrator danych. Stosownie zaś do treści art. 36 ust. 3 ustawy o ochronie danych osobowych administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności. Nadto, zgodnie z art. 31 ust. 1 ustawy o ochronie danych osobowych, administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Podmiot, któremu powierzono przetwarzanie danych osobowych, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39 ustawy, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a ustawy. W zakresie przestrzegania tych przepisów podmiot ten ponosi odpowiedzialność jak administrator danych. W powyższych przypadkach odpowiedzialność za przestrzeganie przepisów ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową (art. 31 ust. 4 powołanej ustawy).
Następnie organ wskazał, że Wspólnota Mieszkaniowa [...] z siedzibą w Krakowie przy ul. [...] zawarła w dniu 21 maja 2009 r. z podmiotem o nazwie A. z siedzibą w Krakowie umowę administrowania nieruchomością. W wykonaniu tej umowy zarządca przetwarza dane osobowe członków Wspólnoty zawarte w rejestrze wszystkich członków Wspólnoty, rejestrze wynajętych przez członków Wspólnoty dodatkowych miejsc postojowych oraz w umowach o wynajęcie dodatkowego miejsca postojowego. Temu podmiotowi Wspólnota powierzyła zatem przetwarzanie danych osobowych, zgodnie z art. 31 ust. 1 ustawy o ochronie danych osobowych. Administratorem danych członków wspólnoty mieszkaniowej jest natomiast Wspólnota, przez co spoczywają na niej obowiązki wynikające z ustawy o ochronie danych osobowych. Zarząd wspólnoty działa jako jej organ, a zarządca nieruchomości pełni rolę podmiotu, któremu administrator danych powierzył ich przetwarzanie. Zarówno Wspólnota, jak i zarządca są wobec tego zobligowani stosować wymagania odnoszące się do zabezpieczenia danych, zgodnie z art. 36-39 ustawy o ochronie danych osobowych i przepisami rozporządzenia. Skoro administrator danych naruszył przepisy o ochronie danych osobowych przez nieopracowanie i niewdrożenie polityki bezpieczeństwa oraz niewyznaczenie administratora bezpieczeństwa informacji należało nakazać Wspólnocie usunięcie stwierdzonych uchybień.
We wniosku o ponowne rozpatrzenie sprawy Wspólnota, odwołując się do treści art. 3a ust. 1 pkt 1 ustawy o ochronie danych osobowych, wskazała, że ustawa nie znajduje zastosowania do osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych. Tymczasem, jak wynika z treści
art. 6 ustawy z dnia 24 czerwca 1994 r. o własności lokali (tekst jedn. Dz. U. 2000 r. Nr 80, poz. 903 ze zm.), wspólnotę mieszkaniową tworzy ogół właścicieli, których lokale wchodzą w skład określonej nieruchomości. Członkami Wspólnoty Mieszkaniowej [...] z siedzibą w Krakowie przy ul. [...] są osoby fizyczne, a jedynym celem działania Wspólnoty (a zatem ogółu właścicieli lokali) jest zaspokajanie osobistych potrzeb mieszkaniowych swoich członków. Ogół właścicieli lokali tworzących tę Wspólnotę przetwarza zatem własne dane osobowe w celach osobistych lub domowych. Nałożenie na Wspólnotę obowiązku opracowania polityki bezpieczeństwa oraz powołania administratora bezpieczeństwa informacji było wobec tego pozbawione podstawy prawnej, a brak osobowości prawnej po stronie Wspólnoty uniemożliwiał skierowanie do niej zaskarżonej decyzji.
Decyzją z dnia [...] lipca 2011 r. nr [...] Generalny Inspektor Ochrony Danych Osobowych utrzymał w mocy własną decyzję z dnia
[...] czerwca 2011 r. W uzasadnieniu podtrzymał dotychczasowe stanowisko i argumentację, że wspólnota mieszkaniowa jest administratorem danych osobowych jej członków i odpowiada za wypełnianie obowiązków nałożonych na ten podmiot ustawą o ochronie danych osobowych. Wskazał dodatkowo, że do Wspólnoty nie znajduje zastosowania wyjątek z art. 3a ust. 1 pkt 1 tej ustawy. Organ zwrócił również uwagę, że wspólnoty mieszkaniowe należą do kategorii tzw. "ułomnych osób prawnych", tzn. jednostek organizacyjnych nieposiadających osobowości prawnej, które jednak "są traktowane w obrocie tak, jakby były osobami prawnymi, z tym tylko zastrzeżeniem, że stają się one nosicielami praw i obowiązków nie w pełnym, lecz ograniczonym zakresie" (tak: A. Wolter, J. Ignatowicz, K. Stefaniuk "Prawo cywilne - zarys części ogólnej ". Warszawa 2001, str. 229). Ponownie wskazał, że powierzenie innemu podmiotowi w oparciu o art. 31 ust 1 ustawy o ochronie danych osobowych przetwarzania danych osobowych w zakresie i celu określonym w tej umowie nie zwalnia Wspólnoty z obowiązków wynikających z art. 36 ust. 2 i 3 tej ustawy.
Na powyższą decyzję Generalnego Inspektora Ochrony Danych Osobowych skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie złożyła Wspólnota Mieszkaniowa [...] z siedzibą w Krakowie przy ul. [...] wnosząc o jej uchylenie w całości i zasądzenie kosztów postępowania. W skardze zawarte zostały zarzuty naruszenia art. 3a ust. 1 pkt 1, art. 7 pkt 1 i art. 36 ust. 2 i 3 ustawy o ochronie danych osobowych oraz § 4 rozporządzenia, a także art. 29, art. 7, art. 8, art. 77 § 1 i art. 80 Kodeksu postępowania administracyjnego.
W uzasadnieniu skargi skarżąca powtórzyła argumentację zawartą we wniosku o ponowne rozpatrzenie sprawy, dodatkowo wskazując, że prowadzony przez nią w formie papierowej spis właścicieli lokali i przypadających im udziałów w nieruchomości wspólnej, o którym mowa w art. 29 ustawy o własności lokali, nie stanowi zbioru danych w rozumieniu ustawy o ochronie danych osobowych. Skarżąca zwróciła uwagę na brak zróżnicowania w zaskarżonej decyzji podmiotów: wspólnoty mieszkaniowej, zarządu oraz zarządcy nieruchomości akcentując, że wzięte przez organ pod uwagę dokumenty i dane są przetwarzane przez zarządcę nieruchomości, nie zaś przez Wspólnotę. Skarżąca podkreśliła, że prowadzony przez nią spis nie pozwala na dostęp do danych według żadnego kryterium. Dane osobowe właścicieli lokali są przyporządkowane do lokali będących ich własnością i nie ma możliwości przeszukiwania tego zbioru nawet według kryterium alfabetycznego. Kryteriów zbioru danych w rozumieniu ustawy o ochronie danych osobowych nie spełnia także rejestr wynajętych miejsc postojowych prowadzony przez zarządcę nieruchomości. Do Wspólnoty nie mają zatem zastosowania przepisy ustawy o ochronie danych osobowych, gdyż nie przetwarza danych zawartych w zbiorze danych. Dodatkowo skarżąca wytknęła organowi zaniechanie zbadania, czy spis, który prowadzi jest zbiorem danych osobowych.
Udzielając odpowiedzi na skargę organ wniósł o jej oddalenie podtrzymując stanowisko zawarte w zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny oddalił skargę, a w pisemnych motywach wyroku wskazał, że sporną w rozpatrywanej sprawie jest kwestia, czy skarżąca Wspólnota Mieszkaniowa, przetwarza dane osobowe i czy mają w stosunku do niej zastosowanie przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Sąd wyjaśnił, że wspólnoty mieszkaniowe są tworzone na podstawie przepisów ustawy o własności lokali, a w zakresie w niej nieuregulowanym - ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny. Wspólnotę mieszkaniową tworzy zatem ogół właścicieli, których lokale wchodzą w skład "określonej nieruchomości", co oznacza, że wspólnotę mogą tworzyć tylko ci właściciele, których lokale były przed wyodrębnieniem częściami składowymi oznaczonej nieruchomości gruntowej. Z przepisów Księgi Drugiej Tytułu I Działu IV Kodeksu cywilnego wynika, że współwłaściciele dla prawidłowego zarządzania współwłasnością muszą znać dane osobowe pozostałych współwłaścicieli. Zgodnie bowiem art. 200 Kc każdy ze współwłaścicieli jest obowiązany do współdziałania w zarządzie rzeczą wspólną. Również ustawa o własności lokali w art. 29 ust. 3 stanowi, że prawo kontroli działalności zarządu służy każdemu właścicielowi lokalu. Każdy współwłaściciel jest wobec tego uprawniony do dostępu do dokumentacji związanej z zarządzaniem nieruchomością. Wspólnota mieszkaniowa jest więc z mocy prawa uprawniona do przetwarzania danych osobowych swoich członków. Z kodeksu cywilnego zaś wynika, że współwłaściciele dla prawidłowego zarządzania współwłasnością muszą znać dane osobowe pozostałych współwłaścicieli.
Zdaniem Sądu pierwszej instancji administratorem danych członków wspólnoty mieszkaniowej jest ta wspólnota jako podmiot praw i obowiązków wynikających z ustawy o własności lokali (art. 6 tej ustawy). To na wspólnocie mieszkaniowej spoczywają obowiązki wynikające z ustawy o ochronie danych osobowych. Tymczasem zarząd wspólnoty działa jako organ wspólnoty, zaś zarządca nieruchomości pełni zazwyczaj rolę podmiotu, któremu administrator danych powierzył ich przetwarzanie (art. 31 ustawy o ochronie danych osobowych). Przy czym administrator danych osobowych nie może przenieść swojej odpowiedzialności na zleceniobiorcę, któremu powierzył przetwarzanie części bądź całości swoich zbiorów danych osobowych.
Wojewódzki Sąd Administracyjny zwrócił uwagę, że w rozpoznawanej sprawie Wspólnota, zgodnie z art. 31 ust. 1 ustawy o ochronie danych osobowych, powierzyła przetwarzanie danych osobowych Spółce A. z siedzibą w Krakowie. Spółka ta przetwarza dane osobowe członków Wspólnoty zawarte w rejestrze wszystkich członków Wspólnoty, rejestrze wynajętych przez członków Wspólnoty dodatkowych miejsc postojowych oraz w umowach o wynajęcie dodatkowego miejsca postojowego. Nie jest jednak administratorem danych członków wspólnoty mieszkaniowej. Sąd podzielił pogląd organu, że zarówno Wspólnota, jak i zarządca są zobligowani stosować wymagania odnoszące się do zabezpieczenia danych, w tym opracować i wdrożyć politykę bezpieczeństwa oraz wyznaczyć administratora bezpieczeństwa (art. 36 ust. 2 i 3 ustawy o ochronie danych osobowych). Nie zgodził się natomiast z twierdzeniem skarżącej, że w odniesieniu do Wspólnoty znajduje zastosowanie regulacja art. 3a ust. 1 pkt 1 ustawy o ochronie danych osobowych. Jako przykład przetwarzania danych przez osoby fizyczne wyłącznie w celach osobistych Sąd wskazał na gromadzenie danych w osobistych notatnikach, notebookach i domowych komputerach. Nie można zatem uznać Wspólnoty za osobę fizyczną, która przetwarza dane wyłącznie w celach osobistych lub domowych, gdyż jest ona administratorem danych członków wspólnoty, a jej zarząd jest organem kierującym sprawami wspólnoty i reprezentuje ją na zewnątrz oraz w stosunkach pomiędzy poszczególnymi właścicielami lokali.
Sąd pierwszej instancji zanegował stanowisko, że prowadzony przez skarżącą w formie papierowej spis właścicieli lokali i przypadających im udziałów w nieruchomości wspólnej, o którym mowa w art. 29 ustawy o własności lokali, nie stanowi zbioru danych w rozumieniu ustawy o ochronie danych osobowych. Wskazał na brak podstaw do przyjęcia, że dane osobowe mają być dostępne według kryteriów osobowych, rozumianych jako zapewniające dostęp do danych identyfikacyjnych (np. nazwisko, imię, adres czy PESEL), gdyż ustawa nie posługuje się takim pojęciem. Nadto uznał, że wyróżnienie odrębnej kategorii "kryterium osobowego" jest zbędne, gdyż każde kryterium, które umożliwia dostęp do danych osobowych, czyli informacji dotyczących osób fizycznych jest kryterium osobowym. Odnosi się ono bowiem choćby pośrednio do określonej osoby. Sąd zauważył, że dokonane w 2004 r. zmiany ustawy o ochronie danych osobowych wskazują, że ustawę stosuje się nie tylko w przypadku przetwarzania w zbiorach danych, lecz także w zbiorach ewidencyjnych. Przesądza o tym rozumienie pojęcia zbiór danych (Sąd powołał opracowanie: Andrzej Drozd, Ustawa o ochronie danych osobowych, Komentarz, wzory pism i przepisy, Wydawnictwo Lexis Nexis, str 58 i 58). Sąd odwołał się również do wyroku Naczelnego Sądu Administracyjnego z dnia 7 maja 2008 r., sygn. akt I OSK 983/07, w którym wskazano, że z art. 7 ust. 1 cyt. ustawy nie wynika, że dane osobowe mają być w definiowanym "zbiorze danych" danymi podstawowymi oraz że kryterium dostępu do tych danych mają być dane identyfikacyjne (imię, nazwisko, adres, PESEL). W ocenie Sądu pierwszej instancji, jeżeli dla Wspólnoty prowadzona jest dokumentacja papierowa zawierająca dane osobowe członków wspólnoty, takie jak rejestr członków wspólnoty, rejestr wynajętych dodatkowych miejsc postojowych, czy też zawarte z członkami wspólnoty umowy najmu miejsca parkingowego, to i tak nie można stwierdzić, że Wspólnota nie prowadzi zbioru danych osobowych w rozumieniu art. 7 pkt 1 ustawy o ochronie danych osobowych.
Wojewódzki Sąd Administracyjny odnosząc się do kwestii osobowości prawnej Wspólnoty wskazał na ugruntowane już stanowisko doktryny zaliczające wspólnoty mieszkaniowe do kategorii tzw. "ułomnych osób prawnych", tzn. jednostek organizacyjnych nieposiadających osobowości prawnej, które jednak są traktowane w obrocie prawnym tak, jakby były osobami prawnymi, z tym tylko zastrzeżeniem, że stają się one nosicielami praw i obowiązków nie w pełnym, lecz ograniczonym zakresie.
Z tych powodów Sąd oddalił skargę na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), dalej zwanej Ppsa.
Powyższy wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie zaskarżyła Wspólnota Mieszkaniowa [...] z siedzibą w Krakowie przy ul. [...] reprezentowana przez radcę prawnego, zaskarżając ten wyrok w całości. W skardze kasacyjnej z powołaniem się na podstawy z art. 174 pkt 1 i 2 Ppsa podniesione zostały następujące zarzuty:
1) naruszenia prawa materialnego przez błędną wykładnię art. 7 pkt 1 ustawy o ochronie danych osobowych poprzez przyjęcie, że spis właścicieli mieszkań prowadzony przez wspólnotę, zgodnie z obowiązkiem wynikającym z ustawy o własności lokali, jest zbiorem danych w rozumieniu ustawy o ochronie danych osobowych;
2) naruszenie przepisów postępowania:
a) art. 3 § 1 i 2 Ppsa, art.1 § 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz.U. Nr 153, poz. 1269 ze zm.) poprzez wadliwe wykonanie obowiązku kontroli zaskarżonej decyzji pod względem zgodności z prawem oraz art. 151 Ppsa i oddalenie skargi w sytuacji, w której Sąd pierwszej instancji obowiązany był stwierdzić naruszenia:
- art. 29 Kpa poprzez przyznanie wspólnocie mieszkaniowej przymiotu strony w postępowaniu administracyjnym;
- art. 3 a ust. 1 pkt 1 ustawy o ochronie danych osobowych poprzez przyjęcie, że przetwarzanie danych członków wspólnoty mieszkaniowej nie jest przetwarzaniem danych przez osoby fizyczne w celach osobistych lub domowych;
- art. 36 ust 2 i 3 ustawy o ochronie danych osobowych oraz § 4 rozporządzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych poprzez nałożenie obowiązków na administratora danych w rozumieniu tej ustawy;
b) art. 141 § 4 Ppsa w zw. z art. 3 § 1 i 2 Ppsa i art. 1 § 2 ustawy – Prawo o ustroju sądów administracyjnych oraz art. 145 § 1 pkt 1 lit. c Ppsa skutkujące rozstrzygnięciem sprawy przez Sąd pierwszej instancji bez wszechstronnego rozważenia całokształtu materiału dowodowego oraz przyjęcie stanu faktycznego ustalonego przez organy administracyjne niezgodnie z obowiązującą procedurą administracyjną. Tym samym niedokonanie prawidłowej kontroli zaskarżonej decyzji i zaakceptowanie naruszenia art. 7, art. 8, art. 77 § 1 i art. 80 Kpa w stopniu mogącym mieć wpływ na wynik sprawy;
c) art. 133 § 1 Ppsa poprzez ustalenie, że wskazany w art. 29 ustawy o własności lokali spis właścicieli lokali i przypadających im udziałów nieruchomości wspólnej prowadzony przez Wspólnotę w formie papierowego spisu jest zbiorem danych w rozumieniu ustawy o ochronie danych osobowych, co nie znajduje odzwierciedlenia w aktach sprawy.
Wnoszący skargę kasacyjną w oparciu o te zarzuty wniósł o uchylenie zaskarżonego wyroku i przekazanie sprawy do ponownego rozpoznania Sądowi pierwszej instancji, ewentualnie o uchylenie wyroku i rozpoznanie skargi oraz o zasądzenie zwrotu kosztów postępowania kasacyjnego.
W uzasadnieniu skargi kasacyjnej jej autor podkreślił, że wspólnota mieszkaniowa nie posiada osobowości prawnej przez co nie może być adresatem decyzji wydanej w postępowaniu administracyjnym. Zgodnie z art. 29 Kpa stronami postępowania administracyjnego mogą być osoby fizyczne i osoby prawne, a gdy chodzi o państwowe i samorządowe jednostki organizacyjne i organizacje społeczne to również jednostki nie mające osobowości prawnej. Natomiast stosownie do treści art. 22 ustawy o ochronie danych osobowych postępowanie w sprawach nieuregulowanych w tej ustawie prowadzi się według przepisów Kodeksu postępowania administracyjnego, o ile przepisy nie stanowią inaczej. Odwołując się do treści uchwały składu pięciu sędziów Naczelnego Sądu Administracyjnego z dnia 26 listopada 2001 r., sygn. akt OPK 19/01 wnoszący skargę kasacyjną wskazał, że co do zasady wspólnota mieszkaniowa może mieć przymiot strony w rozumieniu art. 28 Kpa. Zdolność ta jest jednak ograniczona do sfery prawnej z zakresu zadań wspólnoty, tj. do spraw związanych z zarządzeniem nieruchomością. Natomiast przetwarzanie danych osobowych nie należy do zakresu zadań wspólnoty mieszkaniowej. Brak jest związku między tą czynnością a zarządem nieruchomością wspólną.
Wnoszący skargę kasacyjną podniósł, że w odniesieniu do Wspólnoty Mieszkaniowej [...] z siedzibą w Krakowie przy ul. [...] znajduje zastosowanie wyjątek z art. 3 ust. 1 pkt 1 ustawy o ochronie danych osobowych. Podkreślił, że wspólnota mieszkaniowa nie jest podmiotem odrębnym od ogółu właścicieli lokali, tworzących ją z mocy prawa (art. 6 ustawy o własności lokali). W związku z tym właściciele lokali tworzących wspólnotę mieszkaniową przetwarzają własne dane dla osobistych celów związanych z ustawowym celem istnienia wspólnoty mieszkaniowej. Nie podzielił również poglądu, zgodnie z którym o zbiorze danych osobowych można mówić tylko wtedy, gdy w rozpatrywanym zestawie będzie istnieć możliwość dostępu do danych przez "kryterium osobowe". W jego ocenie pogląd ten oznaczyłby, że każde chaotyczne zestawienie może stanowić zbiór danych osobowych. Takim zbiorem nie są również zestawy danych uporządkowane jedynie chronologicznie.
Wnoszący skargę kasacyjną zwrócił uwagę, że zgodnie z definicją ustawową, zbiorem danych jest każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnym według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony czy podzielony funkcjonalnie. Zwrot "kryteriów" oznacza możliwość przeszukiwania zbioru według przynajmniej dwóch kryteriów. Tymczasem prowadzony przez Wspólnotę spis nie pozwala na dostęp do danych według żadnego kryterium. Dane osobowe właścicieli lokali są przyporządkowane do lokali będących ich własnością i nie możliwości przeszukiwania tego zbioru nawet według kryterium alfabetycznego. Jego zdaniem spornego kryterium nie spełnia również rejestr wynajętych miejsc postojowych. Autor skargi kasacyjnej wskazując na jawność danych zawartych w księgach wieczystych (art. 2 ustawy o księgach wieczystych i hipotece) podkreślił, że dane te są analogiczne ze zgromadzonymi w spisie właścicieli lokali i przypadających im udziałów w nieruchomości wspólnej. Także zgodnie z art. 24 ust. 4 ustawy – Prawo geodezyjne i kartograficzne każdy może żądać udostępnienia informacji zawartych w ewidencji gruntów i budynków, a wykazanie interesu prawnego jest wymagane tylko dla uzyskania z ewidencji danych osobowych.
Autor skargi kasacyjnej podnosząc zarzut prowadzenia postępowania dowodowego z naruszeniem art. 7, art. 77 § 1 oraz art. 80 Kpa wskazał na zaniechanie przez organ zbadania podstawowych przesłanek zastosowania wobec Wspólnoty regulacji ustawy o ochronie danych osobowych poprzez brak wyjaśnienia, czy prowadzony przez nią spis jest zbiorem danych osobowych. Podkreślił brak rozróżnienia przez organ podmiotów: wspólnoty mieszkaniowej, jej zarządu i zarządcy nieruchomości. Nadto podał, że czynności wykonywane przez zarządcę nieruchomości w ramach umowy o zarządzenie nieruchomością dotyczące przetwarzania przez ten podmiot dokumentów i danych objęte są regulacją art. 23 ust. 1 pkt 3 , a w niektórych okolicznościach również pkt 5 ustawy o ochronie danych osobowych. Tymczasem były one podstawą do wydania decyzji w odniesieniu do innego podmiotu, tj. wspólnoty mieszkaniowej.
Wnoszący skargę kasacyjną zaakcentował również, że zaskarżona decyzja nakładając określone w niej obowiązki nie określa zbioru danych osobowych i konieczności jego zarejestrowania.
Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie i zasądzenie zwrotu kosztów postępowania kasacyjnego. W uzasadnieniu podkreślił, że wspólnota mieszkaniowa jest z mocy prawa uprawniona do przetwarzania danych osobowych swoich członków. Nie można natomiast przyjąć, że pomiędzy przetwarzaniem danych osobowych członków wspólnoty a zarządem nieruchomością nie zachodzi żaden związek i uznać, iż przetwarzanie danych osobowych nie należy do zakresu zadań wspólnoty, przez co nie ma ona przymiotu strony w rozumieniu art. 28 Kpa.
Zdaniem organu wspólnota mieszkaniowa, w oparciu o art. 6 ustawy o własności lokali, jest administratorem danych osobowych jej członków i podmiot ten nie może powoływać się na regulację art. 3 a ust. 1 pkt 1 ustawy o ochronie danych osobowych. Wspólnota mieszkaniowa nie może również uchylić się od obowiązków nałożonych na nią ustawą o ochronie danych osobowych powierzając innemu podmiotowi, na podstawie umowy o zarządzanie nieruchomością wspólną, przetwarzanie danych osobowych. Organ zauważył, że obowiązki nałożone ustawą o ochronie danych osobowych mają zastosowanie do administratorów danych osobowych niezależnie od tego, jakie dane osobowe przetwarzają, w jakich celach i zbiorach, jak również ilości tych zbiorów. Nie ma znaczenia również fakt, czy administrator wykorzystuje do przetwarzania danych systemy informatyczne, czy dokonuje tych czynności w formie papierowej.
Naczelny Sąd Administracyjny zważył, co następuje:
Skarga kasacyjna nie zasługuje na uwzględnienie.
Nie jest usprawiedliwiony pierwszy z zarzutów skargi kasacyjnej realizowany w granicach podstawy naruszenia przepisów postępowania, mianowicie naruszenia art. 1 § 2 ustawy – Prawo o ustroju sądów administracyjnych w związku z art. 29 Kodeksu postępowania administracyjnego. Zmierza on do wykazania, że Sąd pierwszej instancji dokonał nieprawidłowej kontroli zgodności z prawem zaskarżonej decyzji przez to, że podzielił pogląd organu administracji, iż wspólnota mieszkaniowa może być stroną postępowania prowadzonego na podstawie przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r., Nr 101, poz. 926 ze zm.), zwanej dalej ustawą, a w konsekwencji adresatem decyzji.
W punkcie wyjścia rozważań należy stwierdzić, że stosownie do treści art. 29 Kpa stronami mogą być zarówno osoby fizyczne, jak i osoby prawne, a gdy chodzi o państwowe i samorządowe jednostki organizacyjne i organizacje społeczne – również jednostki nie posiadające osobowości prawnej. Przepis ten, w zakresie rozumienia zwrotu "strony", odsyła do regulacji zawartej w art. 28 Kpa, w myśl której stroną jest każdy, czyjego interesu prawnego lub obowiązku dotyczy postępowanie albo kto żąda czynności organu ze względu na swój interes prawny lub obowiązek. Zatem przesłanką uzyskania przez dany podmiot przymiotu strony jest wykazanie, że legitymuje się interesem prawnym lub obowiązkiem wypływającym z norm prawa materialnego. Innymi słowy, stwierdzenie interesu prawnego lub obowiązku sprowadza się do ustalenia związku o charakterze materialnoprawnym między obowiązującą normą, a sytuacją prawną konkretnego podmiotu polegającą na tym, że fakt stosowania tej normy może mieć wpływ na sytuację prawną tego podmiotu w zakresie jego pozycji materialnoprawnej (por. wyrok NSA z dnia 14 kwietnia 2000 r., sygn. akt III SA 1876/99 – Lex nr 47938).
Według art. 6 zdanie pierwsze ustawy z dnia 24 czerwca 1994 r. o własności lokali (tekst jedn. Dz. U. z 2000 r., Nr 80, poz. 903 ze zm.) ogół właścicieli lokali, których lokale wchodzą w skład określonej nieruchomości, tworzy wspólnotę mieszkaniową. Rację ma wnoszący skargę kasacyjną, że ani z tego, ani z żadnego innego przepisu ustawy o własności lokali nie wynika, że wspólnota mieszkaniowa ma osobowość prawną. Jednakże zwrócić należy uwagę, że wspólnota mieszkaniowa nie dysponując osobowością prawną posiada atrybuty przynależne osobie prawnej. Wspólnota posiada organ wykonawczo-zarządzający (zarząd), który kieruje sprawami wspólnoty mieszkaniowej i reprezentuje ją na zewnątrz (art. 21 ust. 1), wspólnota może nabywać prawa i zaciągać zobowiązania, pozywać i być pozywana (art. 6 zdanie drugie), za zobowiązania dotyczące nieruchomości wspólnej odpowiada wspólnota mieszkaniowa bez ograniczeń (art. 17). Zarówno w orzecznictwie, jak i doktrynie przyjmuje się, że wspólnota mieszkaniowa jest tzw. ułomną osobą prawną, która może być stroną postępowania administracyjnego. Naczelny Sąd Administracyjny w uchwale składu pięciu sędziów z dnia 26 listopada 2001 r., sygn. akt OPK 19/01 (ONSA 2002 r. nr 2, poz. 68, Lex nr 50421) stwierdził, że wspólnota mieszkaniowa, gdy chodzi o krąg podmiotów je tworzących, może być zróżnicowana. Mogą to być tylko osoby fizyczne, wspólnotę mogą tworzyć również osoby fizyczne i osoby prawne, a zatem podmioty wymienione w art. 29 Kpa. Skoro każdy z tych podmiotów może być stroną, to zasadny jest wniosek, że przymiot strony przysługuje także zbiorowi tych podmiotów, powiązanych ze sobą z mocy ustawy określonym stosunkiem prawnym. Zgodzić się także trzeba z poglądem Naczelnego Sądu Administracyjnego wyrażonym w wyroku z dnia 12 kwietnia 2000 r., sygn. akt V SA 1935/99 – Lex nr 41775, że jeśli dany podmiot został wyposażony przez ustawodawcę w zdolność prawną na gruncie określonej dziedziny prawa materialnego, to prawo procesowe nie może ograniczać jego zdolności. Powyższe dostrzeżenia dostarczają wystarczających podstaw do podzielenia stanowiska Sądu pierwszej instancji, że wspólnota mieszkaniowa może być stroną postępowania prowadzonego na podstawie przepisów ustawy o ochronie danych osobowych, a zatem adresatem decyzji nakazującej wspólnocie, jako administratorowi danych dotyczących właścicieli lokali tworzących wspólnotę mieszkaniową, usunięcie nieprawidłowości w celu zapewnienia ochrony przetwarzania tych danych.
W konsekwencji nie są usprawiedliwione kolejne zarzuty wnoszącego skargę kasacyjną, sformułowane przy przyjęciu założenia, że Sąd pierwszej instancji w trakcie kontroli legalności zaskarżonej decyzji nie dostrzegł, że organ wadliwie zastosował art. 36 ust. 2 i 3 ustawy w związku z § 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. oraz odstąpił od zastosowania art. 3a ust. 1 pkt 1 ustawy i tym samym naruszył art. art. 1 § 2 ustawy – Prawo o ustroju sądów administracyjnych. Wspólnota mieszkaniowa, którą stanowi ogół właścicieli lokali wchodzących w skład określonej nieruchomości, jako administrator danych dotyczących tych osób obowiązana jest zastosować takie środki techniczne i organizacyjne, które zapewniają ochronę przetwarzania danych osobowych, w szczególności zabezpieczyć te dane przed ich udostępnieniem osobom niepożądanym, zabraniem przez osobę nieuprawnioną, przetworzeniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zmienieniem (art. 36 ust. 1 ustawy). Stwierdzenie nieprawidłowości w tym zakresie stwarza podstawę do nałożenia na administratora danych (wspólnotą mieszkaniową) decyzji nakazującej usunięcie tych uchybień na mocy art. 36 ust. 2 i 3 ustawy. Słusznie przy tym zauważył Sąd, że jeśli administrator danych powierzył innemu podmiotowi przetwarzanie danych, to odpowiedzialność za przestrzeganie przepisów ustawy spoczywa w dalszym ciągu na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z umową (art. 31 ust. 1 pkt 1 ustawy ). Z kolei przepis art. 3a ust. 1 pkt 1 ustawy nie mógł znaleźć zastosowania w rozpoznawanej sprawie, gdyż przepis ten odnosi się do osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych. W przypadku zaś wspólnoty mieszkaniowej chodzi o przetwarzanie danych osobowych właścicieli lokali tworzących wspólnotę zawartych w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych, które mogą stanowić przedmiot dokonywania operacji (zbierania, utrwalania, przechowywania, udostępniania, zmieniania i usuwania).
Nie jest usprawiedliwiony zarzut dokonania przez Sąd pierwszej instancji błędnej wykładni przepisu art. 7 pkt 1 ustawy. Według treści tego przepisu przez zbiór danych ustawa rozumie każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Spis właścicieli lokali tworzących wspólnotę i wielkości przypadających im udziałów w nieruchomości wspólnej, spis osób wynajmujących dodatkowe miejsca parkingowe na nieruchomości wspólnej zawarte w rejestrach czy innych zbiorach ewidencyjnych, zgromadzone następnie w teczce czy segregatorze stanowią zbiór danych w rozumieniu tego przepisu. Ten zestaw danych o charakterze osobowym może być przez ich administratora przetwarzany, a przez przetwarzanie danych rozumie się również przechowywanie, a nadto zbieranie, utrwalanie, zmienianie, czy usuwanie (art. 7 pkt 2 ustawy). Zasadnie zaakcentował Sąd pierwszej instancji, powołując się na wyrok Naczelnego Sądu administracyjnego z dnia 7 maja 2008 r., sygn. akt I OSK 983/07 – Lex nr 459293, że z przepisu art. 7 pkt 1 ustawy nie wynika, by dane osobowe miały być w zbiorze danych danymi podstawowymi. W przypadku wspólnoty mieszkaniowej zestaw danych o charakterze osobowym w postaci spisu właścicieli lokali dostępny jest według takich kryteriów jak np : listy osób – właścicieli lokali, wielkości udziałów w nieruchomości wspólnej, uiszczonych zaliczek na pokrycie kosztów zarządu nieruchomością wspólną.
Nie znajduje uzasadnienia odwoływanie się przez wnoszącego skargę kasacyjną do regulacji zawartych w art. 2 ustawy z dnia 6 lipca 1982 r. o księgach wieczystych i hipotece (tekst jedn. Dz. U. z 2001 r. Nr 124, poz. 1361 ze zm.) oraz art. 24 ust. 4 ustawy z dnia 17 maja 1989 r. – Prawo geodezyjne i kartograficzne (tekst jedn. Dz. U. z 2010 r., Nr 193, poz. 1287 ze zm.) by wykazać, że spis właścicieli lokali tworzących wspólnotę mieszkaniową prowadzony jest według podobnych zasad jak określone w tych przepisach, gdyż są to regulacje szczególne. Z woli ustawodawcy prowadzone przez sąd księgi wieczyste w celu ustalenia stanu prawnego nieruchomości są jawne (art. 2 ustawy o księgach wieczystych i hipotece), również każdy może żądać udostępnienia informacji zawartych w operacie ewidencyjnym prowadzonym przez organ administracji (art. 24 ust. 4 ustawy – Prawo geodezyjne i kartograficzne) z tym, że udostępnienie danych osobowych na żądanie podmiotów niewymienionych w art. 24 ust. 5 pkt 1 i 2 następuje dopiero po wykazaniu, że mają interes prawny w tym zakresie (art. 24 ust. 5 pkt 3 ustawy – Prawo geodezyjne i kartograficzne).
Nie jest trafny postawiony zarzut naruszenia art. 133 § 1 Ppsa w związku z art. 29 ustawy o własności lokali. Pomijając już kwestię, że autor skargi kasacyjnej nie zadbał o wskazanie, której jednostki redakcyjnej art. 29 tej ustawy dotyczy podstawa kasacji (wymieniony przepis zawiera osiem oddzielnych ustępów regulujących odmienną problematykę) stwierdzić przyjdzie, że z uzasadnienia tej skargi wynika, iż w rzeczy samej podważane są ustalenia organu, zaakceptowane przez Sąd pierwszej instancji, że spis właścicieli lokali i przypadających im udziałów w nieruchomości wspólnej, prowadzony w formie papierowej, stanowi zbiór danych w rozumieniu ustawy, "który nie ma odzwierciedlenia w aktach sprawy". Wskazać więc przyjdzie, że z poczynionych przez organ ustaleń, m. in. na podstawie protokołu kontroli przeprowadzonej w dniach 14 – 17 marca 2011 r., przyjęto, że rejestry dotyczące członków wspólnoty prowadzone są metodą tradycyjną (rejestr właścicieli lokali i rejestr wynajętych dodatkowych miejsc postojowych przez członków wspólnoty). Wskazane rejestry oraz umowy przechowywane są w segregatorze umieszczonym w zamykanej szafie w siedzibie zarządcy wspólnoty. Dla przyjęcia, że wymienione rejestry stanowią zbiór danych w rozumieniu art. 7 pkt 1 ustawy nie ma znaczenia, że rejestry prowadzone są metodą tradycyjną, nie zaś w systemie informatycznym.
Chybiony jest zarzut naruszenia art. 141 § 4 Ppsa, który w sposób niezrozumiały powiązany został z art. 3 § 1 i § 2 Ppsa oraz art. 1 § 2 ustawy – Prawo o ustroju sądów administracyjnych. Uzasadnienie zaskarżonego wyroku zawiera wszystkie elementy wymienione w art. 141 § 4 Ppsa, a zatem odpowiada konstrukcji prawidłowego uzasadnienia orzeczenia sądu administracyjnego, w szczególności zaś zawiera wyjaśnienie podstawy prawnej rozstrzygnięcia. Zupełnie oddzielnym zagadnieniem jest, że treść zaskarżonego wyroku nie odpowiada oczekiwaniom skarżącego, tego rodzaju zarzuty mogły być realizowane w ramach innej podstawy kasacyjnej. Wojewódzki Sąd Administracyjny, wbrew twierdzeniom autora skargi kasacyjnej, nie naruszył art. 145 § 1 pkt 1 lit. c Ppsa, jako że przepisu tego nie stosował, gdyż skargę oddalił uznając ją za nieusprawiedliwioną.
Z tych wszystkich powodów, wobec braku podstaw branych pod rozwagę z urzędu, Naczelny Sąd Administracyjny na mocy art. 184 ustawy – Prawo o postępowaniu przed sądami administracyjnymi oddalił skargę kasacyjną. Jednocześnie, uwzględniając wniosek organu, na podstawie art. 204 pkt 1 tej ustawy zasądzono od wnoszącego skargę kasacyjną na rzecz organu zwrot kosztów postępowania kasacyjnego, które sprowadzają się do wynagrodzenia pełnomocnika będącego radcą prawnym w wysokości określonej w § 14 ust. 2 pkt 2 lit. c rozporządzenia Ministra Sprawiedliwości z dnia 28 września 2002 r. w sprawie opłat za czynności radców prawnych oraz ponoszenia przez Skarb Państwa kosztów pomocy prawnej udzielonej przez radcę prawnego ustanowionego z urzędu (Dz. U. Nr 163, poz. 1349 ze zm.).
Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 14.07.2026. · Źródło