I OSK 1556/12
WyrokNaczelny Sąd Administracyjny2013-01-15
Skład orzekający: Barbara Adamiak, Wiesław Morys, Maria Werpachowska
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy udostępnienie hasła dostępu do służbowego komputera za pośrednictwem prywatnej skrzynki e-mail stanowi naruszenie obowiązków służbowych funkcjonariusza celnego, skutkujące nałożeniem kary dyscyplinarnej?Ratio decidendi
Udostępnienie hasła dostępu do służbowego komputera za pośrednictwem prywatnej skrzynki e-mail, nawet współpracownikowi, stanowi naruszenie obowiązków służbowych funkcjonariusza celnego, polegające na niedopełnieniu obowiązku ochrony danych osobowych przed niepowołanym dostępem. Działanie to naraża zgromadzone dane na zagrożenia, a kara dyscyplinarna jest adekwatna do stopnia zawinienia.Stan faktyczny
Funkcjonariusz celny D. P. został obwiniony o naruszenie obowiązków służbowych poprzez ujawnienie hasła dostępu do służbowego komputera współpracownikowi za pośrednictwem swojej prywatnej skrzynki e-mail. Organ I instancji nałożył karę dyscyplinarną upomnienia. Szef Służby Celnej utrzymał orzeczenie w mocy. Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę D. P. na orzeczenie dyscyplinarne. D. P. wniósł skargę kasacyjną, która została oddalona przez Naczelny Sąd Administracyjny.Rozstrzygnięcie
Oddalono skargę kasacyjną.Pełny tekst orzeczenia
Naczelny Sąd Administracyjny w składzie: Przewodniczący sędzia NSA Barbara Adamiak, Sędzia NSA Wiesław Morys (spr.), Sędzia del. WSA Maria Werpachowska, Protokolant asystent sędziego Kamil Strzępek, po rozpoznaniu w dniu 15 stycznia 2013 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej D. P. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 13 marca 2012 r. sygn. akt II SA/Wa 2286/11 w sprawie ze skargi D. P. na orzeczenie dyscyplinarne Szefa Służby Celnej z dnia [...] sierpnia 2011 r. nr [...] w przedmiocie kary dyscyplinarnej upomnienia oddala skargę kasacyjną.
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 13 marca 2012 r., sygn. akt II SA/Wa 2286/11, oddalił skargę D. P. na orzeczenie dyscyplinarne Szefa Służby Celnej z dnia [...] sierpnia 2011 r.
Przedstawiając w uzasadnieniu stan faktyczny sprawy Sąd pierwszej instancji wskazał, iż Dyrektor Izby Celnej w K. orzeczeniem dyscyplinarnym z dnia [...] października 2010 r. uznał [...] D. P., pełniącego służbę na stanowisku służbowym [...] w [...] Izby Celnej w K., winnym naruszenia obowiązków służbowych, o których mowa w art. 166 pkt 1 ustawy z dnia 27 sierpnia 2009 r. o Służbie Celnej (Dz. U. Nr 168, poz. 1323 ze zm.) oraz naruszenia obowiązku wynikającego z: a) pkt 11 Karty Zakresu Obowiązków Obwinionego z dnia 15 lipca 2008 r., określającego obowiązek ochrony danych osobowych przed niepowołanym dostępem oraz nieuzasadnioną modyfikacją lub zniszczeniem, nielegalnym ujawnieniem lub uzyskaniem, w związku z prawem dostępu do zasobów informatycznych Izby, b) pkt IV ppkt 11 Procedury [...], stanowiącej załącznik do decyzji nr [...] Dyrektora Izby Celnej w K. z dnia [...] października 2007 r. w sprawie polityki bezpieczeństwa informacji w Izbie Celnej w K., poprzez ujawnienie (przekazanie) współpracownikowi - za pośrednictwem swojej prywatnej skrzynki e-mail - hasła dostępu do służbowego komputera (domeny), i wymierzył mu karę dyscyplinarną upomnienia. W jego ocenie przeprowadzone postępowanie dyscyplinarne wobec obwinionego D. P. wykazało w sposób niebudzący wątpliwości popełnienie zarzucanego czynu.
Pismem z dnia 19 października 2010 r. pełnomocnik obwinionego złożył odwołanie od orzeczenia dyscyplinarnego z dnia [...] października 2010 r., wnosząc o jego zmianę poprzez uniewinnienie obwinionego, względnie uchylenie zaskarżonego orzeczenia i przekazanie sprawy do ponownego rozpoznania organowi I instancji. W odwołaniu podniesiono zarzut naruszenia prawa materialnego – art. 166 pkt 1 ustawy o Służbie Celnej oraz naruszenia prawa procesowego – art. 193 § 1 w zw. z art. 393 § 3, art. 170 § 1 i 2, art. 7 k.p.k. w zw. z art. 187 ustawy o Służbie Celnej.
Po rozpatrzeniu go Szef Służby Cywilnej orzeczeniem z dnia [...] sierpnia 2011r., na podstawie art. 179 ust. 4, art. 180, art. 187 ustawy o Służbie Celnej oraz art. 437 § 1 ustawy z dnia 6 czerwca 1997 r. Kodeks postępowania karnego (Dz. U. Nr 89, poz. 555, ze zm.), utrzymał w mocy powyższe orzeczenie dyscyplinarne. W motywach rozstrzygnięcia organ II instancji przywołał treść art. 187 ustawy o Służbie Celnej i art. 437 k.p.k. oraz wskazał, iż zebrany w postępowaniu dyscyplinarnym materiał dowodowy, ponownie poddany analizie, pozwolił na uznanie za udowodniony zarzut naruszenia przez obwinionego obowiązku funkcjonariusza celnego, polegającego na ochronie danych osobowych przed niepowołanym dostępem oraz nieuzasadnioną modyfikacją lub zniszczeniem, nielegalnym ujawnieniem lub uzyskaniem, w związku z prawem dostępu do zasobów informatycznych izby, wynikającego z pkt 11 Karty zakresu obowiązków i uprawnień, którą obwiniony przyjął do wiadomości i stosowania, potwierdzając to w dniu [...] lipca 2008 r. własnoręcznym podpisem. Za uznaniem czynu obwinionego, jako naruszającego obowiązki służbowe, zdaniem organu, przemawiają następujące fakty:
1) obwiniony dwukrotnie przesłał ze swojej prywatnej poczty elektronicznej o adresie [...] e-mail z informacją zawierającą hasło dostępu ([...]) do swojego konta, tj. w dniu 16 lipca 2009 r. do P. F. i w dniu 22 lipca 2009 r. do R. W.;
2) podczas nieobecności obwinionego w pracy spowodowanej chorobą w okresie od [...] czerwca do [...] listopada 2009 r. (błędnie podano datę [...]) stwierdzono trzykrotne logowanie się na jego konto domenowe;
3) obwiniony w okresie poprzedzającym nieobecność w pracy spowodowaną zwolnieniem lekarskim przetwarzał dane osobowe dotyczące 4 osób fizycznych, biorąc udział w przygotowaniu projektów decyzji;
4) przekazując w sposób nieuprawniony hasło dostępu do swojego konta domenowego innym funkcjonariuszom celnym, przy pomocy e-maili wysłanych z prywatnej skrzynki pocztowej, umożliwił im wejście na swoje konto do [...].
Wobec brzmienia pkt 11 Karty zakresu obowiązków i uprawnień, stanowiącego o obowiązku ochrony zasobów informatycznych Izby, klasyfikacja [...] jako systemu informatycznego, na co wskazuje pisemna opinia wydana w dniu 24 maja 2010 r. przez M. B. pełniącego w Izbie Celnej w K. funkcję [...] oraz Raport o stanie bezpieczeństwa przetwarzanych informacji (załącznik nr 2 uznaje [...] za system informatyczny przetwarzający dane osobowe w Izbie Celnej w K. i podległych urzędach), bądź jako aplikacji, co miało być przedmiotem dowodu z opinii biegłego sądowego, o co wnosił obwiniony, pozostaje kwestią wtórną. Bezsprzecznie bowiem działanie obwinionego polegające na przekazaniu hasła dostępu do programu [...], naraziło zgromadzone w nim zbiory, w tym zbiory danych osobowych, na zagrożenia, o których mowa w pkt 11 Karty zakresu obowiązków i uprawnień. Osoba, która uzyskała hasło do [...], uzyskała jednocześnie dostęp do dokumentów zawierających w swojej treści dane osobowe, i to bez konieczności logowania się z wykorzystaniem kolejnego hasła do innych systemów czy aplikacji. Dodatkowo Szef Służby Cywilnej podkreślił, że udostępnienie przez obwinionego hasła do swojego konta domenowego miało miejsce przy pomocy e-maili wysłanych z prywatnej skrzynki pocztowej, a więc za pośrednictwem sieci publicznej, co zwiększyło ryzyko dostępu do danych osobowych przez osoby trzecie. W tym kontekście odrzucenie przez obwinionego sporządzonej przez [...] opinii o klasyfikacji [...], jako niespełniającej wymogów art. 193 w zw. z art. 393 § 3 k.p.k., a także kwestionowanie jego wiedzy specjalnej w dziedzinie informatyki, w ocenie organu, nie znajdowało uzasadnienia. Organ nie podzielił także podniesionego w odwołaniu argumentu o konieczności wyłączenia [...] z uwagi na podległość wobec prowadzącego postępowanie dyscyplinarne. W materiale dowodowym nie ujawniono okoliczności, które mogłyby wywołać uzasadnioną wątpliwość co do jego bezstronności przy sporządzaniu opinii. Ponadto, orzeczenie dyscyplinarne wydał organ dyscyplinarny po rozpatrzeniu całokształtu materiału dowodowego, a nie prowadzący to postępowanie (§ 9 ust. 1 rozporządzenia Ministra Finansów z dnia 11 lutego 2010 r. w sprawie postępowania wyjaśniającego i dyscyplinarnego w stosunku do funkcjonariuszy celnych (Dz. U. Nr 31, poz. 159). W przekonaniu Szefa Służby Celnej, zachowanie obwinionego stanowiło również naruszenie polityki bezpieczeństwa informacji w Izbie Celnej w K. Statuująca ją decyzja nr [...] Dyrektora Izby Celnej w K. z dnia [...] października 2007 r. w sprawie polityki bezpieczeństwa informacji w Izbie Celnej w K. w § 1 pkt 7 przesądza, że odnosi się ona do wszystkich prawnie chronionych informacji przetwarzanych w systemach informatycznych i poza nimi, w Izbie Celnej, jak i w urzędach celnych. Decyzja ta wraz z jej załącznikami, w postaci instrukcji i procedur, w tym Procedurą nr [...], ma służyć ochronie przetwarzanych informacji, w szczególności danych osobowych, i to zarówno z wykorzystaniem narzędzi informatycznych, jak i nieinformatycznych. Ochroną objęte jest tu dobro, jakim są zasoby informacyjne Izby Celnej w K. Niezależnie od tego, jaką formę przybiera informacja (wiadomości, wypowiedzi, prezentacji, wyrażonej i zapisanej w jakikolwiek sposób: znakami graficznymi, symbolami, w języku komputerowym, na fotografii, na taśmie magnetofonowej lub magnetowidowej itd.), i czy jest przetwarzana w systemach informatycznych lub poza nimi, każde odstępstwo od ustalonych reguł bezpieczeństwa informacji, może narazić to dobro na zagrożenie. Zgodnie zaś z Instrukcją Zarządzania Systemami Informatycznymi, stanowiącą załącznik do powołanej wyżej decyzji nr [...] Dyrektora Izby Celnej w K., zagrożenie ochrony danych, to przyczyna niepożądanego zdarzenia, którego skutkiem może być naruszenie ochrony danych osobowych.
Odnosząc się do argumentu podniesionego przez obwinionego o braku przeszkolenia wynikającego z pkt 12 procedury [...], stanowiącej załącznik do ww. decyzji nr [...], organ uznał go za przyjętą przez obwinionego linię obrony. Chociaż obwiniony w takim przeszkoleniu nie uczestniczył, to miał świadomość obowiązujących w Izbie Celnej w K. reguł przetwarzania informacji, w tym zawierających dane osobowe. Na okoliczność ustalenia tej właściwości prowadzący postępowanie dyscyplinarne przesłuchał świadków, w tym M. K., pełniącego po wejściu w życie ww. decyzji nr [...] funkcję [...], który zeznał, że obwiniony nie był objęty programem szkoleń, z uwagi na fakt jego czynnego uczestnictwa w procesie tworzenia Polityki Bezpieczeństwa Informacji, z racji pełnienia przez niego w tym czasie funkcji [...] Izby Celnej w K. nadzorującego Wydział Informatyki. Obwiniony miał ponadto możliwość zapoznania się z przedmiotową decyzją, na co wskazuje e-mail otrzymany w dniu 30 października 2007 r. skierowany ze skrzynki "[...]" do wiadomości D. P.
W odwołaniu od orzeczenia dyscyplinarnego organu I instancji obwiniony wskazał również, że nie spoczywał na nim obowiązek zachowania w tajemnicy hasła dostępu, bowiem pkt IV ppkt 11 Procedury nr [...], z której obowiązek jest wywodzony posługuje się pojęciem "aplikacja przetwarzająca dane osobowe". Ustosunkowując się do tego zarzutu, organ odwoławczy wskazał, iż poza literalnym brzmieniem powołanego punktu Procedury uwierzytelniania użytkowników systemów, wziął pod uwagę pozostałe postanowienia, a także cel wydania decyzji nr [...] oraz jej załączników, tj. zapewnienie bezpieczeństwa informacji prawnie chronionych będących w posiadaniu Izby Celnej w K., bez względu na ich ujęcie w ramy systemu informatycznego czy nie. Hasło dostępu, o którym mowa w powołanej procedurze uwierzytelniania użytkowników systemów, jest tylko jednym z zabezpieczeń przewidzianych w polityce bezpieczeństwa informacji, jednak na tyle istotnym, że sposób jego przydziału i zasady zmiany zostały uregulowane w odrębnym załączniku. Opisane w tym dokumencie (w pkt IV) zasady przydziału haseł oraz zasady zmiany tych haseł, służyć mają minimalizowaniu zagrożeń, jakimi są udostępnienie danych osobom nieupoważnionym, zabranie przez osobę nieuprawnioną, przetwarzanie z naruszeniem przepisów o ochronie danych osobowych. Zgodnie z zasadą wyrażoną w ppkt 5: hasło (z wyjątkiem inicjującego pracę w systemie) ustala dla siebie wyłącznie użytkownik i zachowuje je w tajemnicy. Hasłem inicjującym pracę w systemie jest hasło przydzielane przez administratora systemu (ppkt 6 Procedury) w celu umożliwienia zalogowania się do systemu po raz pierwszy, po czym podlega ono zmianie przez samego użytkownika i właśnie to hasło użytkownik zobowiązany jest zachować w tajemnicy. Wyłączenie, o którym mowa w ppkt 5 Procedury, dotyczy zatem hasła ustalanego przez administratora systemu, a nie użytkownika, wobec czego zarzut podmieniony przez obwinionego w odwołaniu uznać należało za niezasadny.
Szef Służby Celnej podkreślił, iż ustanowienie hasła dostępu, rygorystycznych reguł jego użytkowania, w tym obowiązku zachowania go w tajemnicy i nieudostępniania innym współpracownikom, służyć ma ochronie danych osobowych, a nie ochronie samego systemu czy aplikacji. Ochronę taką statuuje expressis verbis ustawa z dnia 29 sierpnia 2007 r. o ochronie danych osobowych, której główną funkcją jest przeciwdziałanie nadużyciom w zakresie zbierania i przetwarzania tego rodzaju danych. Realizacja postanowień tego aktu normatywnego oraz jej aktu wykonawczego stanowiły podstawę prawną wydania przez Dyrektora Izby Celnej w K. Decyzji nr [...]. Powołana ustawa, będąca częścią obowiązującego porządku prawnego, nie była obca obwinionemu, nie tylko poprzez przyjęcie domniemania, że przepisy prawidłowo ogłoszone są powszechnie znane, ale jako funkcjonariuszowi celnemu przetwarzającemu dane osobowe, której znajomość potwierdził swoim podpisem złożonym w dniu [...] lipca 2008 r. na Karcie Uprawnień Użytkownika. Zatem obwiniony dopuścił się zarzucanego mu czynu, a wymierzona funkcjonariuszowi najniższa kara dyscyplinarna spośród wymienionych w art. 167 ust. 1 ustawy o Służbie Celnej jest adekwatna do stopnia jego zawinienia.
D. P. złożył do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na powyższe orzeczenie, wnosząc o uchylenie go w całości i zasądzenie kosztów postępowania według norm przepisanych.
Zaskarżonemu orzeczeniu zarzucił:
1. naruszenie art. 193 § 1 k.p.k. w zw. z art. 393 § 3 k.p.k. w zw. z art. 187 ustawy o Służbie Celnej, poprzez oparcie rozstrzygnięcia na piśmie [...] z dnia 24 maja 2010 r., które nie stanowi opinii biegłego, ani też dokumentu urzędowego, lecz dokument prywatny sporządzony dla celów postępowania karnego;
2. naruszenie art. 170 § 1 i 2 k.p.k. w zw. z art. 187 ustawy o Służbie Celnej, poprzez oddalenie wniosku obwinionego o dopuszczenie dowodu z opinii biegłego sądowego na okoliczność, czy system [...] jest aplikacją przetwarzającą dane osobowe, czy tak zwana domena jest aplikacją przetwarzającą dane osobowe i do jakich aplikacji przetwarzających dane osobowe obwiniony miał dostęp, pomimo iż dopuszczenie takiego dowodu miało istotne znaczenie dla rozstrzygnięcia sprawy;
3. naruszenie art. 413 § 1 pkt 4 k.p.k. w zw. z art. 187 ustawy o Służbie Celnej, poprzez opisanie czynu, przypisanego obwinionemu w sposób uniemożliwiający jego identyfikację;
4. naruszenie art. 7 k.p.k. w zw. z art. 187 ustawy o Służbie Celnej, poprzez ustalenie, że raport [...] o stanie bezpieczeństwa informacji z dnia 31 marca 2008 r. był wiążący dla obwinionego;
5. naruszenie prawa materialnego, tj. art. 166 pkt 1 ustawy o Służbie Celnej, poprzez uznanie obwinionego winnym naruszenia obowiązków służbowych, podczas gdy powołany przepis nie przewiduje takiego przewinienia dyscyplinarnego.
W uzasadnieniu skargi podniósł m.in., iż wysłanie pocztą elektroniczną hasła do [...] na skrzynkę służbową osoby zastępującej funkcjonariusza celnego podczas jego nieobecności nie wyczerpuje znamion naruszenia obowiązków służbowych w kontekście decyzji Dyrektora Izby Celnej w K. nr [...], w przypadku kiedy funkcjonariusz celny nie jest uprawniony do korzystania z żadnego systemu przetwarzania danych i dostępu takiego nie ma poprzez łącze swojego komputera. Z samej decyzji nr [...] nie wynika taki zakaz, stąd prowadzący postępowanie dyscyplinarne wystąpił do M. B., pełniącego obowiązki [...] w Izbie Celnej w K., o opinię w tej sprawie. W tej sytuacji organy dyscyplinarne posłużyły się środkiem dowodowym nieznanym ustawie. Dopuszczono dowód z "opinii biegłego", od którego nie odebrano przyrzeczenia (art. 197 § 1 k.p.k.), jak też nie przesłuchano wymienionego w charakterze świadka do protokołu. Ponadto, wbrew uzasadnieniu zaskarżonego orzeczenia kwestia, czy [...] jest systemem informatycznym czy aplikacją nie ma znaczenia drugorzędnego. Pkt 11 karty obowiązków nakłada obowiązek ochrony danych osobowych przed ujawnieniem osobom nieuprawnionym. Tymczasem inni funkcjonariusze, którym zgodnie z orzeczeniem obwiniony przekazał hasło, nie są osobami nieuprawnionymi do dostępu do tych danych. Przeciwnie, zgodnie z poleceniem Naczelnika Wydziału Akcyzy i Gier wszystkie orzeczenia są umieszczane w jednym folderze sieciowym po to, aby wszyscy orzecznicy mieli do nich dostęp. Decyzja nr [...] dotyczy zaś systemów przetwarzania danych, a obwiniony nie miał możliwości naruszenia tej decyzji, gdyż nie posiadał dostępu do żadnego systemu przetwarzania danych. W odniesieniu do kwestii znajomości przez skarżącego zapisów zamieszczonych w decyzji nr [...] pełnomocnik strony podkreślił, iż wbrew nieuprawnionym twierdzeniom M. K. (ówczesnego [...]), dyrektorzy nie byli wyłączeni ze szkoleń, ani z obowiązku zapoznania się z jej treścią. Gdyby tak było, musiałoby to wynikać z samej decyzji nr [...] lub innego aktu wewnętrznego. W punkcie 12 procedury [...] stwierdzono, że warunkiem dopuszczenia do przetwarzania danych osobowych jest odbycie szkolenia przez wszystkich w zakresie polityki bezpieczeństwa danych osobowych i nie ma od tego wyjątków. Obwiniony nie został przeszkolony w tym zakresie, tak więc nie nabył prawa do eksploatacji systemów informatycznych przetwarzających zbiory danych osobowych i jest to zgodne z kartą uprawnień, gdyż nie posiada uprawnień do żadnego z nich.
W odpowiedzi na skargę Szef Służby Cywilnej wniósł o jej oddalenie oraz podtrzymał argumentację przedstawioną w uzasadnieniu zaskarżonego orzeczenia dyscyplinarnego.
Wojewódzki Sąd Administracyjny w Warszawie w wyroku oddalającym skargę stwierdził, iż organy obu instancji prawidłowo ustaliły stan faktyczny zaistniały w niniejszej sprawie oraz właściwie zastosowały i zinterpretowały przepisy prawa będące podstawą podjętych rozstrzygnięć. Zadaniem sądu administracyjnego w sprawach związanych z postępowaniem dyscyplinarnym jest sprawdzenie zgodności tegoż postępowania z obowiązującymi przepisami prawa, tj. ustalenie czy postępowanie zostało wszczęte i toczyło się zgodnie z przepisami Rozdziału 11 ustawy z dnia 27 sierpnia 2009 r. o Służbie Celnej (Dz. U. Nr 168, poz. 1323 ze zm.), a także czy zastosowana wobec funkcjonariusza kara mieści się w katalogu kar dyscyplinarnych określonych w art. 167 ust. 1 ustawy i jest adekwatna do stopnia zawinienia. Dalej Sąd wskazał, iż zgodnie z art. 166 pkt 1 powołanej ustawy, funkcjonariusze celni podlegają odpowiedzialności dyscyplinarnej za naruszenie obowiązków służbowych, w szczególności niedopełnienie obowiązków służbowych lub wynikających ze złożonego ślubowania oraz przepisów prawa. Użyte w tym przepisie słowo "podlegają" wskazuje na to, iż funkcjonariusz celny jest obowiązany w szczególności wykonywać obowiązki, a więc: rzetelnie i terminowo wykonywać powierzone zadania; racjonalnie gospodarować środkami publicznymi; podnosić kwalifikacje zawodowe; godnie zachowywać się w służbie oraz poza nią (art. 122 ustawy). Funkcjonariusze celni zobowiązani są zatem do fachowego, rzetelnego, zgodnego z prawem i bezstronnego, prawidłowego, sprawnego i terminowego wykonywania powierzonych im obowiązków oraz zadań i przestrzegania regulaminu służby (pracy), a także ustalonych normą prawną procedur w sposób zapewniający ochronę interesów Państwa i Obywateli. Na funkcjonariuszach celnych ciążą szczególne obowiązki związane z wykonywaniem funkcji publicznych. Osoba taka winna wyróżniać się nieskazitelnym charakterem, co sprowadza się do takiego zachowania, zarówno na służbie jak i w życiu prywatnym, które nie będzie nasuwać jakichkolwiek wątpliwości co do rzetelności i bezstronności funkcjonariusza przy pełnieniu obowiązków służbowych. Takie szczególne obwarowania zapewnić mają realizację zasad zaufania obywateli do Państwa i sprawiedliwości społecznej. Trybunał Konstytucyjny wielokrotnie w swych orzeczeniach podkreślał, iż funkcjonariuszy celnych obowiązuje generalny zakaz niezgodnego z prawem postępowania (por. wyrok z dnia 19 października 2004 r., sygn. akt K 1/04, Lex Nr 127308, oraz wyrok z dnia 13 lutego 2007 r., sygn. akt K 46/05, Lex Nr 245355). Sama ocena wagi naruszenia obowiązków służbowych i dobór adekwatnej kary należy do organów dyscyplinarnych, bowiem sądowa kontrola decyzji uznaniowych sprowadza się w istocie do oceny, czy organ rozstrzygający zbadał sprawę w zakresie dyrektyw ustawowych, jak również czy zebrał i rozważył cały materiał dowodowy (por. wyrok Wojewódzkiego Sądu Administracyjnego w Białymstoku z dnia 1 października 2009r., sygn. akt. II SA/Bk 357/09, dostępny w internetowej Bazie Orzeczeń Naczelnego Sądu Administracyjnego).
Zdaniem Sądu pierwszej instancji stan faktyczny rozpatrywanej sprawy nie budzi wątpliwości. Skarżący nie kwestionował, iż w czasie przebywania na zwolnieniu lekarskim w dniach [...] i [...] lipca 2009 r. przesłał ze swojej prywatnej poczty elektronicznej innym funkcjonariuszom informację zawierającą indywidualne hasło dostępu do wewnętrznej sieci komputerowej Izby Celnej w K., umożliwiając w ten sposób dostęp do [...], w którym umieszczono dokumenty służbowe zawierające dane osobowe podlegające ustawowej ochronie. Podczas nieobecności obwinionego w służbie stwierdzono trzykrotne logowanie się na jego konto domenowe. Postępowanie skarżącego jest o tyle niezrozumiałe, iż jak on sam twierdzi, inni funkcjonariusze – orzecznicy mieli dostęp do tych samych folderów sieciowych, a zatem korzystając z własnego hasła, logując się na własnym koncie, mogli korzystać z tych samych zasób informacji co on. Pomijając pobudki, jakimi kierował się skarżący udostępniając swoje indywidualne hasło, nie sposób nie dostrzec zagrożenia, jakie wywołało to działanie dla bezpieczeństwa sytemu informatycznego w Izbie Celnej w K. i bezpieczeństwa zgromadzonych tam danych, w tym danych osobowych. Podkreślenia wymaga, iż przedmiotowe hasło skarżący przesłał e-mailem z prywatnej skrzynki pocztowej, za pośrednictwem ogólnie dostępnych łączy elektronicznych, korzystając z tzw. przestrzeni publicznej. Zatem przekaz ten nie został zabezpieczony przed ewentualnym dostępem do przesyłanej informacji przez osoby nieuprawnione, np. poprzez kodowanie informacji. Wyobrażenie o zagrożeniach związanych z autoryzowanym wejściem do systemu informatycznego przez osobę do tego nieuprawnioną, nie wymaga wiedzy specjalistycznej z zakresu informatyki i przesądzenia kwestii, czy [...] jest systemem informatycznym, czy też aplikacją. Istotne jest natomiast to, czy działanie skarżącego takie zagrożenie wywołało. Materiał dowodowy zgromadzony w sprawie, w ocenie Sądu, pozwala udzielić odpowiedzi twierdzącej na to pytanie. Jak wynika z pkt 11 "Karty Zakresu Obowiązków i Uprawnień" D. P. – [...], był on obowiązany do ochrony danych osobowych przed niepowołanym dostępem oraz nieuzasadnioną modyfikacją lub zniszczeniem, nielegalnym ujawnieniem lub uzyskaniem, w związku z prawem dostępu do zasobów informatycznych Izby. W dniu [...] lipca 2008 r. skarżący własnoręcznym podpisem potwierdził zapoznanie się z zakresem obowiązków na zajmowanym przez niego stanowisku (k. - 4 akt adm.). Nadto, z upoważnienia z dnia [...] lipca 2008 r. wynika, iż skarżący został przeszkolony w zakresie danych osobowych oraz tajemnicy służbowej (k. - 3 akt adm.). Zatem skarżący nie może skutecznie podnosić, że czyn którego się dopuścił nie stanowi naruszenia obowiązków służbowych, o których mowa w art. 166 § 1 ustawy o Służbie Celnej oraz, że nie został przez niego zawiniony. Ponadto decyzją Dyrektora Izby Celnej w K. z dnia [...] października 2007 r., nr [...], ustalono zasady bezpieczeństwa informacji w Izbie. Przedmiotowa decyzja wraz z jej załącznikami, w postaci instrukcji i procedur, w tym Procedurą nr [...], służy ochronie przetwarzanych informacji, w szczególności danych osobowych. W pkt IV ppkt 5 ww. Procedury "Treść procedur – Zasady przydziału haseł użytkownikom oraz zasady zmiany tych haseł" określono, iż hasło (z wyjątkiem inicjującego pracę w systemie) ustala dla siebie użytkownik i zachowuje je w tajemnicy. W ppkt 11 stanowi, iż każdy funkcjonariusz celny obsługujący aplikacje przetwarzające dane osobowe jest zobowiązany do zachowania w tajemnicy hasła dostępu i nieudostępniania go innym współpracownikom. Treść przedmiotowych procedur została skarżącemu udostępniona drogą służbową za pomocą poczty elektronicznej (k. - 15 akt adm.). Ponadto, skarżący, pełniąc funkcję [...] Izby Celnej w K., był odpowiedzialny za wdrożenie tych procedur i z tylko z tego względu został pominięty w harmonogramie szkoleń z zakresu ochrony przetwarzania informacji. Zatem nie może się on uwolnić od obowiązku znajomości posługiwania się indywidualnym hasłem dostępu, zwłaszcza iż następnie skarżący został przeszkolony w zakresie ochrony danych osobowych oraz tajemnicy służbowej, a realizacja tej ochrony niewątpliwie wykluczała wprowadzanie tego typu informacji do przestrzeni publicznej (w treści niezabezpieczonej korespondencji e-mail).
W ocenie Sądu, postępowanie dyscyplinarne w niniejszej sprawie zostało przeprowadzone prawidłowo, zaś materiał zgromadzony w jego toku pozwalał na uznanie skarżącego winnym zarzucanego mu przewinienia dyscyplinarnego, określonego w art. 166 pkt 1 powołanej wyżej ustawy, tj. niedopełnienia obowiązku służbowego. Opis przewinienia dyscyplinarnego, zamieszczony w orzeczeniu dyscyplinarnym organu pierwszej instancji, czyni zadość obowiązkowi ustalenia naruszenia obowiązku służbowego, poza tym wskazano w nim kwalifikację prawną czynu. Uzasadnienie faktyczne i prawne orzeczenia wyjaśnia motywy podjętego rozstrzygnięcia i ma oparcie w materiale dowodowym sprawy. Orzeczenie dyscyplinarne zostało wydane po wysłuchaniu rzecznika dyscyplinarnego, obwinionego i jego obrońcy, jest kompletne i spełnia wymogi określone w art. 178 ust. 3 powołanej ustawy pragmatycznej. Ponadto, Szef Służby Celnej rozpoznał sprawę w granicach środka odwoławczego (art. 433 § 1 k.p.k.) i odniósł się do zarzutów odwołania, wskazując na ich bezzasadność.
Co do zarzutów skargi, Sąd I instancji stwierdził, iż z treści art. 187 ustawy o Służbie Celnej wynika, że w postępowaniu dyscyplinarnym w sprawach nieuregulowanych w rozdziale 11 ustawy – "Odpowiedzialność dyscyplinarna funkcjonariuszy" - stosuje się odpowiednio przepisy kodeksu postępowania karnego. Nie oznacza to jednak, iż te ostatnie przepisy stosuje się wprost do przebiegu postępowania dyscyplinarnego. W ocenie Sądu, na tle tego przepisu nie doszło w postępowaniu dyscyplinarnym do naruszenia praw procesowych strony, które wbrew twierdzeniom pełnomocnika skarżącego, skutkowałoby istotną wadliwością postępowania.
Nie dostrzegając zatem istotnych uchybień postępowania dyscyplinarnego, ani nieprawidłowej interpretacji norm prawa materialnego, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2012 r., poz. 270), dalej cytowanej jako P.p.s.a., Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę.
W skardze kasacyjnej D. P. wniósł o uchylenie opisanego powyżej wyroku w całości i przekazanie sprawy do ponownego rozpoznania Sądowi I instancji, ewentualnie o uchylenie zaskarżonego wyroku w całości i uchylenie orzeczeń dyscyplinarnych obu organów oraz o zasądzenie kosztów postępowania.
Zaskarżonemu wyrokowi zarzucił:
- naruszenie przepisów prawa procesowego, a to art. 413 § 2 pkt 1 k.p.k. w zw. z art. 187 ustawy o Służbie Celnej, poprzez opisanie czynu przypisanego obwinionemu w sposób uniemożliwiający jego identyfikację oraz poprzez niezawarcie w rozstrzygnięciu kwalifikacji prawnej tegoż czynu,
- naruszenie przepisów prawa procesowego, a to art. 1 ust. 1 ustawy z dnia 25 lipca 2002 r. Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.) oraz art. 3 § 1 P.p.s.a. w zw. z art. 133 § 1 P.p.s.a. poprzez uznanie, że skarżący został przeszkolony w zakresie danych osobowych oraz tajemnicy służbowej wbrew ustaleniom dokonanym przez organ i poprzez uznanie, że skarżący był odpowiedzialny za wdrożenie procedur z tego zakresu i uznanie, że znał ich treść, nadto ewentualnie
- naruszenie art. 166 pkt 1 i 2 ustawy o Służbie Celnej poprzez przyjęcie błędnej kwalifikacji prawnej czynu obwinionego, który według treści orzeczenia dyscyplinarnego polegał na ujawnieniu współpracownikowi hasła, podczas gdy przyjęta przez oskarżyciela kwalifikacja prawna czynu wskazuje na niedopełnienie obowiązków służbowych, a więc na zaniechanie.
W uzasadnieniu skargi kasacyjnej jej autor stwierdził m.in., że opis czynu zawarty w orzeczeniu dyscyplinarnym nie jest precyzyjny. W szczególności nie zawiera czasu, ani miejsca jego popełnienia, ani też wystarczająco dokładnego opisu zachowania obwinionego. Ma to istotne znaczenie dla określenia przy ewentualnym kolejnym postępowaniu dyscyplinarnym, czy obwiniony odpowiada za ten sam czyn. Wskazał również, iż z uzasadnienia orzeczenia dyscyplinarnego wynika, że obwiniony wysłał dwa e-maile do dwóch współpracowników, natomiast w sentencji wskazano, że został ukarany za wysłanie wiadomości e-mail do jednego współpracownika, przy czym nie podano, którego to dotyczy. Zarzucając naruszenie przez Szefa Służby Celnej art. 166 pkt 1 ustawy o Służbie Celnej podkreślił, że na jego podstawie został uznany za winnego czynu polegającego na niedopełnieniu obowiązków służbowych, a więc na zaniechaniu. Tymczasem z uzasadnienia zaskarżonego wyroku oraz orzeczeń dyscyplinarnych wynika, że czyn obwinionego określony został jako działanie, polegające na wysłaniu hasła drogą elektroniczną z prywatnej skrzynki, nie zaś na zaniechaniu. Zdaniem składającego skargę kasacyjną wyrok ten nie powinien się więc ostać.
Naczelny Sąd Administracyjny zważył co następuje:
Skarga kasacyjna nie zawiera usprawiedliwionych zarzutów. Stosownie do brzmienia art. 183 § 1 P.p.s.a. Naczelny Sąd Administracyjny przy rozpatrywaniu sprawy na skutek wniesienia skargi kasacyjnej związany jest granicami tej skargi, a z urzędu bierze pod rozwagę tylko nieważność postępowania, która zachodzi w wypadkach określonych w § 2 tego przepisu. Podstaw nieważnościowych w rozpoznawanej sprawie nie stwierdzono. Oznacza to, że przytoczone w skardze kasacyjnej przyczyny wadliwości prawnej zaskarżonego orzeczenia determinują zakres kontroli dokonywanej przez Naczelny Sąd Administracyjny.
Podstawy, na których można oprzeć skargę kasacyjną, zostały określone w art. 174 P.p.s.a. Są nimi naruszenie prawa materialnego oraz naruszenie przepisów postępowania. Przepis art. 174 pkt 1 tej ustawy przewiduje dwie postacie naruszenia prawa materialnego, a mianowicie błędną jego wykładnię lub niewłaściwe zastosowanie. Przez błędną wykładnię należy rozumieć nieprawidłowe zrekonstruowanie treści normy prawnej wynikającej z konkretnego przepisu, natomiast przez niewłaściwe zastosowanie dokonanie wadliwej subsumcji przepisu do ustalonego stanu faktycznego. Również druga podstawa kasacyjna wymieniona w art. 174 pkt 2 P.p.s.a. - naruszenie przepisów postępowania - może przejawiać się w tych samych postaciach, co naruszenie prawa materialnego, przy czym w tym wypadku ustawa wymaga, aby skarżący nadto wykazał istotny wpływ wytkniętego uchybienia na wynik sprawy.
Skarga kasacyjna została oparta na obu wspomnianych podstawach, co skutkuje rozważeniem w pierwszej kolejności zarzutów procesowych, gdyż tylko wówczas, gdy dokonane przez Sąd pierwszej instancji ustalenia faktyczne i procedowanie były poprawne, można przejść do oceny zarzutu naruszenia prawa materialnego.
Podstawa naruszenia przepisów postępowania nie jest zasadna. W pierwszej kolejności godzi się zwrócić uwagę jej autorowi na brak wskazania czy wytknięte uchybienia procesowe mogły mieć istotny wpływ na wynik sprawy. Jest to jej poważna wada, bo ten element należy do elementów konstrukcyjnych podstaw kasacyjnych. Wadliwość ta jednak nie zwalnia Sądu Kasacyjnego od jej rozpoznania. W drugiej kolejności wypadło dostrzec, że przepisy, jakie rzekomo Sąd pierwszej instancji miał naruszyć to – w obrębie pierwszego zarzutu - przepisy postępowania przed organem dyscyplinarnym, których nie stosuje sąd administracyjny. Zarzuty naruszenia art. 413 § 2 pkt 1 k.p.k. w związku z art. 187 ustawy o Służbie Celnej w żadnej mierze nie zostały powiązane z przepisami procedury właściwej przez tym sądem, którymi są przepisy ustawy Prawo o postępowaniu przed sądami administracyjnymi. Sądy te nie stosują procedury karnej i nie formułują wyroków wedle regulacji art. 413 k.p.k. Gdyby zaś potraktować je jako wytyk pominięcia przez Wojewódzki Sąd Administracyjny wadliwości we wskazanym zakresie, to trzeba stwierdzić, że Sąd ten w uzasadnieniu zaskarżonego wyroku odniósł się do kwestii opisu czynu stanowiącego przewinienie dyscyplinarne zarzucane skarżącemu oraz jego kwalifikacji, i Naczelny Sąd Administracyjny to stanowisko podziela. Przepis art. 187 ustawy o Służbie Celnej stanowi, że w sprawach nieuregulowanych w rozdziale 11 stosuje się odpowiednio przepisy kodeksu postępowania karnego. Odpowiednie stosowanie przepisów, zgodnie z utrwalonym stanowiskiem doktryny i judykatury, to -w uproszczeniu - stosowanie przepisów wprost, czyli w całości, bądź z modyfikacjami odpowiednimi ze względu na specyfikę danej regulacji prawnej, bądź niestosowanie ich wcale. W postępowaniu dyscyplinarnym funkcjonariuszy celnych przyjmowanie zasad postępowania karnego oraz jego instytucji musi uwzględniać charakter sprawy i służby. Jakkolwiek stosunek służbowy tych funkcjonariuszy nie jest regulowany przepisami kodeksu pracy (mimo, iż mianowanie jest jedną z form stosunku pracy – p. art. 76 k.p. w związku z art. 78 ust. 1 ustawy o Służbie Celnej, to jest to stosunek administracyjnoprawny, a funkcjonariusz celny nie jest pracownikiem w rozumieniu art. 2 kodeksu pracy – p. m.in. wyrok Naczelnego Sądu Administracyjnego z 3 października 2006 r., sygn. akt I OSK 210/06, publ. w internetowej Centralnej Bazie Orzeczeń Sądów Administracyjnych), to jednak odpowiedzialność za przewinienia dyscyplinarne jest zbliżona bardziej do odpowiedzialności pracowniczej niż karnej. Wskazuje na to również brzmienie art. 166 tej ustawy, który stanowi o odpowiedzialności za naruszenie obowiązków służbowych, a te są zbliżone do obowiązków pracowniczych, oraz katalog kar. Zatem stosowanie procedury karnej wprost nie jest tu możliwe; podobnie zresztą trudno przypisać organom celnym wymogi stawiane organom wymiaru sprawiedliwości. Toteż akty i czynności podejmowane w toku postępowania dyscyplinarnego nie mogą odpowiadać ściśle aktom oskarżenia czy wyrokom wydawanym w postępowaniu karnym. W ocenie Naczelnego Sądu Administracyjnego zarówno opis czynu zarzucanego skarżącemu, jak i jego kwalifikacja prawna nie uchybiała procedurze w stopniu mającym wpływ na wynik sprawy. Zarzucany czyn był sprecyzowany dostatecznie jasno, zaś w materii kwalifikacji prawnej chodzi o wykazanie naruszenia obowiązków służbowych, co w świetle opisu czynu i jego uzasadnienia zostało dokonane. Nie naruszało to prawa skarżącego do obrony czy innego prawa gwarantowanego ustawą. Toteż zaskarżony wyrok oddalający skargę również taką wadą nie był dotknięty.
Wbrew stanowisku skarżącego kasacyjnie sprawa po przeprowadzeniu rozprawy przed Sądem meriti dojrzała do rozstrzygnięcia, przeto zasadnie doszło do zamknięcia rozprawy i wyrokowania. Stąd zarzut naruszenia art. 133 § 1 P.p.s.a. jest chybiony. Sąd ten nie uchylił się od oceny legalności zaskarżonego orzeczenia, toteż nie doszło do uchybienia art. 1 ust. 1 ustawy o ustroju sądów administracyjnych, jak też art. 3 § 1 P.p.s.a. Trzeba tylko jeszcze dodać, że zasadnie Wojewódzki Sąd Administracyjny w Warszawie przyjął, że skarżący był przeszkolony w zakresie ochrony danych osobowych i tajemnicy służbowej, bo wynika to z dokumentów znajdujących się jego aktach osobowych. Pominięty został natomiast w szkoleniu z ochrony przetwarzania informacji, a to z uwagi na zajmowane stanowisko. Zresztą należy wyrazić pogląd, że funkcjonariuszowi celnemu z długoletnim doświadczeniem zawodowym i pełniącemu wysokie stanowisko, tego rodzaju zagadnienia powinny być znane. Zatem nawet ewentualny brak przeszkolenia nie mógłby go zwolnić od przestrzegania obowiązków w tym zakresie, ani ekskulpować od odpowiedzialności w razie popełnienia deliktu służbowego. W konsekwencji czego nawet uchybienie Sądu w tym ustaleniu nie miałoby wpływu na wynik sprawy.
Również zarzut naruszenia prawa materialnego okazał się nietrafny. Odpowiedzialności dyscyplinarnej podlega funkcjonariusz celny za naruszenie obowiązków służbowych, a nie jak powiada autor skargi kasacyjnej niedopełnienie obowiązków służbowych. Naruszenie to nie musi więc występować w postaci nieczynienia, jak twierdzi skarżący kasacyjnie. Powszechne jest przekonanie, że naruszenie obowiązków oznacza działanie, które może przybrać postać zarówno czynienia, jak i zaniechania. W tej materii niepodobna bronić poglądu, że skarżący nie ponosi odpowiedzialności, bo naruszył swe obowiązki służbowe poprzez udostępnienie informacji. Działanie to stanowi uchybienie zasadom pełnienia służby celnej choćby już tylko z powodu narażenia na możliwość wypływu danych podlegających szczególnej ochronie.
Z przytoczonych powodów skarga kasacyjna podlegała oddaleniu na mocy art. 184 P.p.s.a.
Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 17.07.2026. · Źródło