II SA/Wa 254/18
WyrokWSA w Warszawie2018-10-29
Skład orzekający: Joanna Kube, Iwona Dąbrowska, Andrzej Góraj
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy syndyk masy upadłości może uzyskać od Zakładu Ubezpieczeń Społecznych informacje dotyczące adresu zamieszkania upadłego, podmiotu zgłaszającego do ubezpieczenia oraz faktu opłacania składek, na podstawie przepisów Prawa upadłościowego lub przepisów o ochronie danych osobowych?Ratio decidendi
Sąd oddalił skargę syndyka, uznając, że Zakład Ubezpieczeń Społecznych nie jest organem administracji rządowej ani samorządowej, co wyklucza możliwość żądania od niego informacji na podstawie art. 178 Prawa upadłościowego. Ponadto, syndyk nie został wymieniony w katalogu podmiotów uprawnionych do uzyskania danych z ZUS na podstawie art. 50 ust. 3 ustawy o systemie ubezpieczeń społecznych. Brak jest również innych przepisów prawa nakazujących ZUS udostępnienie tych danych, a syndyk ma możliwość uzyskania informacji w ramach postępowania dowodowego prowadzonego przez sędziego-komisarza.Stan faktyczny
Syndyk masy upadłości zwrócił się do Zakładu Ubezpieczeń Społecznych o udostępnienie danych dotyczących upadłego, w tym adresu zamieszkania, podmiotu zgłaszającego do ubezpieczenia oraz informacji o opłacaniu składek. ZUS odmówił udostępnienia tych informacji, powołując się na brak podstaw prawnych. Generalny Inspektor Ochrony Danych Osobowych (GIODO) utrzymał w mocy decyzję ZUS. Syndyk zaskarżył decyzję GIODO do Wojewódzkiego Sądu Administracyjnego, zarzucając naruszenie przepisów Prawa upadłościowego, ustawy o systemie ubezpieczeń społecznych oraz ustawy o ochronie danych osobowych.Rozstrzygnięcie
Oddalono skargę.Pełny tekst orzeczenia
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Joanna Kube, Sędziowie WSA Iwona Dąbrowska (spr.), Andrzej Góraj, Protokolant referent stażysta Monika Duma-Szymczak, po rozpoznaniu na rozprawie w dniu 29 października 2018 r. sprawy ze skargi A. L. Syndyka Masy Upadłości prowadzącej działalność gospodarczą pod firmą Przedsiębiorstwo Transportowe "[...]" na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] grudnia 2017 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę.
Decyzją z dnia [...] grudnia 2017 r. nr [...], wydaną na podstawie art. 104 § 1 Kpa, art. 12 pkt 2, art. 22, art. 23 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), w zw. z art. 34 ust. 3 i 4 oraz art. 50 ust. 3 ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych (Dz. U. z 2017 r. poz. 1778), Generalny Inspektor Ochrony Danych Osobowych po przeprowadzeniu postępowania administracyjnego w sprawie skargi A. L. - Syndyka Masy Upadłości Z. W. [...], prowadzącej działalność gospodarczą pod firmą Przedsiębiorstwo Transportowe "[...]" w przedmiocie odmowy udostępnienia jej przez Zakład Ubezpieczeń Społecznych informacji, w tym danych osobowych (w zakresie adresu zamieszkania podanego w zgłoszeniu do ubezpieczenia społecznego, informacji o tym jaki podmiot dokonał ww. zgłoszenia oraz informacji o fakcie opłacania składki na ubezpieczenie społeczne) odmówił uwzględnienia wniosku.
W uzasadnieniu organ wskazał, że do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga A. L. - Syndyka Masy Upadłości Z. W. [...], prowadzącej działalność gospodarczą pod firmą Przedsiębiorstwo Transportowe "[...]", w przedmiocie odmowy udostępnienia jej przez Zakład Ubezpieczeń Społecznych, z siedzibą w [...] przy ul. [...], (Oddział w [...], z siedzibą przy ul. [...]), informacji, w tym danych osobowych (w zakresie adresu zamieszkania podanego w zgłoszeniu do ubezpieczenia społecznego, informacji o tym jaki podmiot dokonał ww. zgłoszenia oraz informacji o fakcie opłacania składki na ubezpieczenie społeczne) Z. W. [...].
W skardze tej A. L. podniosła, że pismem z [...] marca 2017 r. zwróciła się do Centrali ZUS z wnioskiem o udzielenie informacji, jaki adres zamieszkania upadłej [Z. W. [...]] podany został w zgłoszeniu do ubezpieczeń społecznych oraz jaki podmiot dokonał przedmiotowego zgłoszenia, a także czy upadła opłaca składki na ubezpieczenie społeczne. A. L. oświadczyła, że w uzasadnieniu wniosku szczegółowo wskazała, iż od dłuższego czasu nie ma jakiegokolwiek kontaktu z upadłą, a ponadto, że nie posiada jej aktualnego adresu zamieszkania ani informacji o podstawie i wysokości osiąganego przez nią dochodu. Podała też, że pismem z [...] czerwca 2017 r. ZUS (Oddział w [...]) odmówił udostępnienia jej żądanych informacji.
Zdaniem A. L., stanowisko ZUS jest nieuprawnione, a bezpodstawna odmowa udostępnienie informacji godzi w cele i zasady postępowania upadłościowego oraz stanowi naruszenie przepisów o ochronie danych osobowych. Wskazała też, że podstawą prawną umożliwiającą jej pozyskanie z ZUS danych osobowych Z. W. [...] są art. 160, 175 oraz 178 ustawy z dnia 28 lutego 2003 r. Prawo upadłościowe i naprawcze (Dz. U. z 2016 r., poz. 2171 ze zm.). Wyjaśniła również, że w jej ocenie, brak było podstaw do odmowy udostępnienia jej przez ZUS żądanych informacji w oparciu o literalną wykładnię art. 50 ust. 3 ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych (Dz. U. z 2016 r. poz. 963 ze zm.). A. L. dodała przy tym, że katalog podmiotów wymienionych w art. 50 o systemie ubezpieczeń społecznych był wielokrotnie poszerzany, co oznacza, że stale się on dezaktualizuje, jest nieadekwatny do potrzeb i wyzwań obrotu prawnego i gospodarczego, albo też od początku istnienia regulacji nie odpowiada swych założeniom. A. L., podała, że wg niej w sprzeczności z istotą postępowania upadłościowego oraz wartościami i dobrami prawnie chronionymi, pozostaje odmowa udostępnienia żądanych informacji syndykowi, którego działania ukierunkowane są na zaspokojenie ogółu wierzycieli w jak najwyższym stopniu, a nie realizację partykularnych interesów. Mając powyższe na uwadze A. L. wniosła do Generalnego Inspektora o nakazanie ZUS przywrócenia stanu zgodnego z prawem, poprzez udostępnienie zawnioskowanych danych osobowych.
W dalszej części uzasadnienia Generalny Inspektor Ochrony Danych Osobowych podał, że toku przeprowadzonego postępowania administracyjnego, ustalił, że A. L. jest syndykiem Masy Upadłości Z. W. [...], prowadzącej działalność gospodarczą pod firmą Przedsiębiorstwo Transportowe "[...]". Oraz, że ZUS przetwarza aktualnie dane osobowe Z. W. [...], w zakresie dotyczącym podlegania ubezpieczeniu społecznemu, w tym w szczególności z tytułu prowadzonej działalności gospodarczej pod firmą Przedsiębiorstwo Usługowo-Transportowe "[...]".
Generalny Inspektor wskazał też, że podstawę do zgodnego z prawem przetwarzania (w tym udostępniania) danych osobowych daje spełnienie jednej z przesłanek określonych w art. 23 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922), zgodnie z którym, przetwarzanie danych osobowych jest dopuszczalne, gdy: jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (pkt 2), jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (pkt 5). W konsekwencji zgoda osoby, której dane dotyczą nie jest jedyną podstawą przetwarzania danych osobowych, bowiem proces przetwarzania danych będzie zgodny z ustawą również wówczas, gdy administrator danych wykaże spełnienie innej z wyżej wymienionych przesłanek.
Ponadto organ wskazał, że podmiot występujący do administratora danych osobowych o udostępnienie mu danych osobowych musi wykazać, iż legitymuje się jedną z przesłanek uprawniających do pozyskania wnioskowanych danych określonych w ww. przepisie.
Organ wskazał, że nie może zostać uwzględniona argumentacja A. L., iż podstawę prawną pozyskania przez nią danych osobowych Z. W. [...] stanowił art. 178 Prawa upadłościowego bowiem przepis ten nie może stanowić podstawy do żądania danych osobowych. Informacje bowiem, których żądać na podstawie ww. przepisu może syndyk, powinny odnosić się wyłącznie do majątku upadłego, a nie do jego osoby.
Zdaniem organu, w niniejszej sprawie nie znajdują zastosowania art. 23 ust. 1 pkt 1, pkt 3 oraz pkt 4 ustawy o ochronie danych osobowych. Jednocześnie w sprawie brak jest przepisów nakazujących ZUS udostępnienie na rzecz skarżącej wnioskowanych przez nią danych (przepisem tym nie jest zwłaszcza ww. art. 178 Prawu upadłościowego). Powyższe wynika z treści przepisów ustawy o systemie ubezpieczeń społecznych. Następnie organ wskazał, że udostępnienie określonych informacji na temat ubezpieczonego lub płatnika składek z ZUS możliwe jest w odniesieniu do niniejszej sprawy jedynie na rzecz podmiotów należących do katalogu podmiotów określonych w art. 50 ust. 3 ustawy o systemie ubezpieczeń społecznych i odbywa się w trybie art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych.
Odnosząc się do argumentacji A. L organ wskazał, że nie kwestionuje okoliczności, iż katalog wymienionych podmiotów co do zasady nie jest zamknięty, oraz stanowiska przedstawionego przez Naczelny Sąd Administracyjny w Warszawie w wyroku z dnia 21 marca 2002 r. sygn. akt II SA 1854/01, że ze względu na zapewnienie skuteczności egzekucji uzasadnione jest zastosowanie wykładni celowościowej i systemowej art. 50 ust 3 ustawy o systemie ubezpieczeń społecznych w związku z art. 36 § 1 ustawy o postępowaniu egzekucyjnym w administracji, skutkującej objęciem uprawnieniem do żądania danych osobowych, w tym także "danych wrażliwych", organy prowadzące egzekucję administracyjną. Organ podał, że Sąd w tym wyroku zwrócił uwagę, że ochrona danych osobowych nie ma charakteru wartości absolutnej i że normy prawne względnie zakazujące przetwarzania danych nie funkcjonują w próżni prawnej. Muszą być konfrontowane z pozostałym systemem prawa i jego aksjologią.
W ocenie organu, w odniesieniu do rozpatrywanej sprawy, omawiana argumentacja A. L. nie może zostać uwzględniona. Stanowisko to uzasadnione jest tym, że art. 218 ustawy Prawo upadłościowe stanowi, że syndyk składa sędziemu-komisarzowi wniosek o przeprowadzenie dowodu, jeżeli uzna za konieczne ustalenie okoliczności sprawy w drodze postępowania dowodowego. W przypadku uwzględnienia wniosku postępowanie dowodowe prowadzi sędzia-komisarz. Tym samym obowiązujące przepisy nie zamykają syndykowi drogi do uzyskania przez niego informacji i danych dla niego istotnych w związku z wykonywanymi przez niego czynnościami. Jednakże sposób w jaki syndyk może pozyskać niezbędne dla siebie dane i informacje, ograniczony jest przepisami zarówno ustawy o systemie ubezpieczeń społecznych jak i ustawy prawo upadłościowe, a to oznacza, że w sprawie brak jest okoliczności uzasadniających zastosowanie w sprawie art. 23 ust. 1 pkt 2 oraz 5 ustawy o ochronie danych osobowych, jako podstawy dla nakazania ZUS udostępnienia na rzecz A. L. wnioskowanych przez nią danych osobowych.
Na powyższą decyzję skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie wniosła A. L., działając jako syndyk masy upadłości Z. W. (poprzednie nazwisko [...]), prowadzącej działalność gospodarczą pod firmą: Przedsiębiorstwo Usługowo Transportowe ,, [...]" w upadłości likwidacyjnej.
Zaskarżonej decyzji zarzuciła naruszenie przepisów prawa materialnego, tj.:
1. art. 178 ustawy z dnia 28 lutego 2003 r. Prawo upadłościowe (Dz.U. 2003 nr 60 poz. 535), poprzez błędną wykładnię, polegającą na uznaniu, iż dane, o dostęp, do których wnioskowała, nie są danymi dotyczącymi majątku dłużnika w rozumieniu wspomnianego przepisu,
2. art. 50 ust. 3-16 ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych (Dz. U. z 2016 r. poz. 963 ze zm.), poprzez błędne zastosowanie, polegające uznaniu, że syndyk masy upadłości nie należy do podmiotów uprawnionych do uzyskania posiadanych przez ZUS informacji zgromadzonych na kontach ubezpieczonych i płatników składek,
3. art. 23 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922), poprzez błędną wykładnię i stwierdzenie, że żądanie syndyka nie było niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, gdy tymczasem otrzymanie danych, o które syndyk wnioskował byłoby zgodne z celem postępowania upadłościowego i zmierzało do jak największego zaspokojenia wierzycieli.
Wskazując na powyższe zarzuty skarżąca wniosła o uwzględnienie skargi i uchylenie przedmiotowej decyzji w całości oraz poprzedzającej ją decyzji ZUS o odmowie udostępnienia informacji z dnia [...] czerwca 2017 r. Ponadto wniosła o zasądzenie na jej rzecz kosztów postępowania.
W obszernym uzasadnieniu skarżąca podniosła, że informacje wnioskowane od ZUS są informacjami dotyczącymi majątku upadłej. Informacja o opłacanych składkach na ubezpieczenie społeczne pozwala uzyskać wiedzę o ewentualnym dochodzie upadłej, a więc o jej ewentualnym majątku. Adres zamieszkania upadłej jest syndykowi niezbędny, aby móc skontaktować się z upadłą, co jest konieczne do zapewnienia prawidłowego toku postępowania upadłościowego, w którym upadła bierze udział. Informacja o podmiocie, który dokonał przedmiotowego zgłoszenia jest niezbędna, aby syndyk mógł powziąć pełne informacje o ewentualnym wynagrodzeniu upadłej, które w części określonej przepisami prawa jest składnikiem masy upadłości.
Skarżąca wskazała też, że z dniem ogłoszenia upadłości majątek upadłego staje się masą upadłości, która służy zaspokojeniu wierzycieli upadłego. W skład masy wchodzi majątek należący do upadłego w dniu ogłoszenia upadłości oraz nabyty przez upadłego w toku postępowania upadłościowego, z wyjątkami określonymi w art. 63-67a Prawa upadłościowego. Wobec wydania przez Sąd Rejonowy w [...],[...] Wydział Gospodarczy postanowienia z dnia [...] lipca 2013 r., sygn. akt [...] o ogłoszeniu upadłości obejmującej likwidację majątku dłużnika – Z. W., wszelkie środki pieniężne przypadające upadłej, w tym z tytułu wykonywania działalności zarobkowej oraz od ZUS (z uwzględnieniem kwot nie podlegających zajęciu) winny zostać przekazane do masy upadłości. W celu realizacji swych uprawnień i obowiązków syndyk może m.in. żądać od organów administracji rządowej i samorządu terytorialnego informacji dotyczących majątku upadłego.
Skarżąca stwierdziła, że poza sporem pozostaje, że Zakład Ubezpieczeń Społecznych nie jest organem administracji rządowej ani organem samorządu terytorialnego. Niemniej jednak uprawnienie syndyka w skierowaniu żądania udzielenia informacji przez ZUS wywieść można m.in. z wykładni celowościowej i systemowej art. 178 Prawa upadłościowego oraz z zasady optymalizacji postępowania upadłościowego. Organy, o których mowa w tym artykule, niezależnie od ich usytuowania w strukturze władzy, obowiązane są na żądanie syndyka udzielić mu potrzebnych informacji dotyczących majątku upadłego. Wszelkie działania syndyka, w tym zapytania i wnioski kierowane przez niego do różnych instytucji i organów, służą takiemu prowadzeniu postępowania, aby roszczenia wierzycieli mogły zostać zaspokojone w jak najwyższym stopniu.
Skarżąca powołała się również na orzeczenia sądów administracyjnych, potwierdzających, jej zdaniem, słuszność twierdzeń.
Zdaniem skarżącej, uprawnienia tego nie można ograniczać literalnym brzmieniem przepisu art. 178 Prawa upadłościowego bowiem prowadziłoby to do wniosku, że jeżeli jakiekolwiek dane zgromadzone na koncie ubezpieczonego i na koncie płatnika składek, znalazłyby się w posiadaniu jakiegokolwiek organu administracji rządowej, to organ taki miałby obowiązek udzielić syndykowi informacji, podczas gdy taki obowiązek nie dotyczyłby samego ZUS, który posiada najpełniejszą wiedzę odnośnie zgromadzonych kwot, który nie działa w ramach struktur administracji rządowej. Zdaniem Skarżącej, na ZUS spoczywa prawno-publiczny obowiązek udostępnienia żądanych informacji.
Niezależnie od treści art. 178 Prawa upadłościowego, zdaniem skarżącej, brak było podstaw do odmowy udostępnienia żądanych informacji, w oparciu o literalną wykładnię art. 50 ust. 3 ustawy o systemie ubezpieczeń społecznych, zgodnie z którym dane zgromadzone na koncie ubezpieczonego, o których mowa w art. 40 ustawy o systemie ubezpieczeń społecznych, i na koncie płatnika składek, o których mowa w art. 45 ustawy o systemie ubezpieczeń społecznych, mogą być udostępniane sądom, prokuratorom, organom kontroli skarbowej, organom podatkowym, Państwowej Inspekcji Pracy, Straży Granicznej, komornikom sądowym, organom egzekucyjnym w rozumieniu ustawy z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz.U. z 2016 r. poz. 599). Zdaniem skarżącej, ocena GIODO nie może zamykać się do brzmienia art. 50 ust. 3 ustawy o systemie ubezpieczeń społecznych, bowiem nie w każdym przypadku wykładnia gramatyczna prowadzi do realizacji zamierzonych przez prawodawcę celów. Za słuszne uznała stanowisko, że ze względu na zapewnienie skuteczności egzekucji uzasadnione jest zastosowanie wykładni celowościowej i systemowej art 50 ust. 3 ustany o systemie ubezpieczeń społecznych w związku z art. 36 § 1 pow. ustawy z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji, skutkującej objęciem uprawnieniem do żądania danych osobowych, w tym także "danych wrażliwych", organy prowadzące egzekucję administracyjną.
Ponadto skarżąca, powołując się na wyrok Naczelnego Sądu Administracyjnego z dnia 21 marca 2002 r., sygn. akt II SA 1854/01 stwierdziła, że lista organów uprawnionych w art 50 ust 3 ustawy o systemie ubezpieczeń społecznych do uzyskania danych osobowych osób ubezpieczonych i płatników składek nie jest zamknięta.
Skarżąca zwróciła też uwagę na treść art. 50 ust. 4 ustawy o systemie ubezpieczeń społecznych, zgodnie z którym dane zgromadzone na koncie ubezpieczonego udostępnia się co do zasady także na wniosek osób fizycznych, których dotyczą informacje zawarte na koncie. Zatem nawet jeśli GIODO nie dopatrzył się podstaw do udostępnienia syndykowi żądanych informacji w oparciu o art. 50 ust. 3 ustawy o systemie ubezpieczeń społecznych, winien to uczynić w oparciu o art. 50 ust. 4 ustawy o systemie ubezpieczeń społecznych przyjmując działania syndyka (wniosek) za działania samego ubezpieczonego.
Zdaniem skarżącej, niewskazanie syndyka wśród podmiotów uprawnionych do żądania informacji z art. 50 ust. 3 ustawy o systemie ubezpieczeń społecznych, nie jest celowym i zamierzonym zabiegiem legislacyjnym.
W odpowiedzi na skargę organ wniósł o jej oddalenie i podtrzymał stanowisko zawarte w swojej decyzji.
Odnosząc się zaś do zarzutów skargi organ podał, że przepis art. 178 Prawa upadłościowego nie może stanowić podstawy do żądania danych osobowych, albowiem informacje, których żądać na podstawie ww. przepisu może syndyk, powinny odnosić się wyłącznie do majątku upadłego, a nie do jego osoby. Zdaniem organu przepisy ustawy o ochronie danych osobowych należy interpretować ściśle, tj. w sytuacji, gdy art. 5 ww. ustawy stanowi, że przepisy innych ustaw stosuje się wyłącznie wówczas, gdy odnoszą się one do przetwarzania danych i przewidują one dalszą ochronę, nie jest możliwe zastosowanie się do art. 178 Prawa upadłościowego.
W ocenie organu udostępnienie określonych informacji na temat ubezpieczonego lub płatnika składek z ZUS możliwe jest w odniesieniu do niniejszej sprawy jedynie na rzecz podmiotów należących do katalogu podmiotów określonych w art. 50 ust. 3 ustawy o systemie ubezpieczeń społecznych i odbywa się w trybie art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych. Jednocześnie organ nie zakwestionował okoliczności podniesionych przez skarżącą, tj. że katalog wymienionych podmiotów co do zasady nie jest zamknięty.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z art. 1 § 1 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. z 2017 r. poz. 2188), dalej: "p.u.s.a.", sądy administracyjne sprawują wymiar sprawiedliwości m.in. przez kontrolę działalności administracji publicznej, przy czym w świetle § 2 powołanego wyżej artykułu, kontrola ta jest sprawowana pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.
Stosownie do treści art. 134 § 1 p.p.s.a., sąd rozstrzyga w granicach danej sprawy nie będąc związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną.
Skarga oceniana w świetle powyższych kryteriów nie zasługuje na uwzględnienie, bowiem zaskarżona decyzja Generalnego Inspektora z dnia [...] grudnia 2017 r. nie narusza prawa w stopniu kwalifikującym ją do eliminacji z obrotu prawnego.
Na wstępie zaznaczyć należy, że przedmiotem postępowania zakończonego ww. decyzją była ocena działań Zakładu Ubezpieczeń Społecznych z siedzibą w [...], wskazanych w skardze do GIODO z dnia [...] lutego 2018r., a polegających na odmowie udostępnienia jej przez Zakład Ubezpieczeń Społecznych informacji, w tym danych osobowych Z. W. [...], prowadzącej działalność gospodarczą pod firmą Przedsiębiorstwo Transportowe "[...]" (w zakresie adresu zamieszkania podanego w zgłoszeniu do ubezpieczenia społecznego, informacji o tym jaki podmiot dokonał ww. zgłoszenia oraz informacji o fakcie opłacania składki na ubezpieczenie społeczne).
Tak zakreślone granice postępowania wyznaczają przedmiot sprawy administracyjnej oraz przedmiot kontroli sądowej w niniejszej sprawie.
Przechodząc zaś do oceny merytorycznej niniejszej sprawy wskazać należy, że zadaniem ustawy o ochronie danych osobowych nie jest jedynie stanie na straży interesów tych, których przetwarzane dane osobowe dotyczą. Podstawową zasadą ustawy nie jest też zakaz przetwarzania danych osobowych, lecz przestrzeganie zakresu i trybu ich przetwarzania. W art. 1 u.o.d.o. stwierdza się bowiem, że przetwarzanie danych osobowych może mieć miejsce jeżeli służy to dobru publicznemu, dobru osoby, której dane dotyczą lub dobru osób trzecich. Ochrona danych osobowych, na podstawie przepisów powołanej ustawy, nie powinna być oderwana od przepisów służących ochronie innych wartości.
Zgodnie z art. 3 ust. 1 u.o.d.o. ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych. Ustawę stosuje się również do: (1) podmiotów niepublicznych realizujących zadania publiczne, (2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych - które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej (ust. 2).
Przepis art. 6 ust. 1 u.o.d.o. stanowi, iż w rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (ust. 2). Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (ust. 3).
Jak podkreśla się w piśmiennictwie, informacja wtedy "dotyczy osoby fizycznej" gdy przekazuje (komunikuje) coś na jej temat. Chodzi zatem o informację, która daje się powiązać z osobą, która powoduje, że możliwe jest jej odniesienie do konkretnej osoby fizycznej - zidentyfikowanej lub możliwej do zidentyfikowania, przy czym identyfikacja odbywa się na podstawie całokształtu posiadanych informacji. O tym, czy określona informacja ma charakter danych osobowych, czy też nie, decyduje jej przydatność do ustalenia tożsamości osoby, której ta informacja dotyczy (A. Szewc, Z problematyki, cz. III, s. 24 [w:] P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz, 4 wydanie C.H. Beck, 2016). Powyższe stanowisko aprobuje również orzecznictwo, gdzie wskazuje się, że jeżeli komunikat można powiązać z konkretną osobą fizyczną, wówczas jego treść należy uznać za dane osobowe. Warto w tym względzie powołać pogląd wyrażony przez Naczelny Sąd Administracyjny w wyroku z dnia 18 listopada 2009 r. sygn. akt I OSK 667/09 (publ. j.w.), zgodnie z którym pojęcie "dane osobowe" na gruncie prawa polskiego obejmuje wszelkie informacje dotyczące osoby fizycznej, jeśli możliwe jest określenie jej tożsamości i zidentyfikowanie. Dane osobowe to zespół wiadomości (komunikatów) o konkretnym człowieku na tyle zintegrowany, że pozwala na jego zindywidualizowanie. Obejmuje co najmniej informacje niezbędne do identyfikacji (imię, nazwisko, miejsce zamieszkania), jednakże do tego się nie ogranicza, bowiem mieszczą się w nim również dalsze informacje, wzmacniające stopień identyfikacji.
Stosownie do treści art. 7 pkt 2 u.o.d.o., przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
Przepis art. 8 ust. 1 u.o.d.o. stanowi, że organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych. Do jego zadań, w myśl art. 12 ust. 1 pkt 1 i 2 u.o.d.o. należy w szczególności: kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych oraz wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych.
W przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: (1) usunięcie uchybień, (2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, (3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, (4) wstrzymanie przekazywania danych osobowych do państwa trzeciego, (5) zabezpieczenie danych lub przekazanie ich innym podmiotom, (6) usunięcie danych osobowych (art. 18 ust. 1).
W rozpoznawanej sprawie nie budzi wątpliwości, że administratorem danych osobowych Z. W. [...], w zakresie objętym wnioskiem skarżącej, będącej Syndykiem Masy Upadłości Z. W. [...] prowadzącej działalność gospodarczą pod firmą Przedsiębiorstwo Transportowe "[...]", w przedmiocie udostępnienia jej przez Zakład Ubezpieczeń Społecznych, informacji, w tym danych osobowych w zakresie adresu zamieszkania podanego w zgłoszeniu do ubezpieczenia społecznego, informacji o tym jaki podmiot dokonał ww. zgłoszenia oraz informacji o fakcie opłacania składki na ubezpieczenie społeczne, jest Zakład Ubezpieczeń Społecznych z siedzibą w [...].
Wskazać należy również, że zgodnie z art. 34 u.s.u.s., do informacji zawartych na kontach ubezpieczonych i kontach płatników składek oraz danych źródłowych będących podstawą zapisów na tych kontach stosuje się przepisy o ochronie danych osobowych.
Stwierdzić należy, że podstawę do zgodnego z prawem przetwarzania (w tym udostępniania) danych osobowych daje spełnienie jednej z przesłanek określonych w art. 23 ust. 1 u.o.d.o. Zgodnie z jego treścią przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: (1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, (2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, (3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, (4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, (5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Powyższa regulacja określa ogólne, materialne przesłanki przetwarzania danych osobowych. Przesłanki te mają charakter generalny, odnoszą się do wszelkich form przetwarzania danych, w tym zarówno do przetwarzania "na własne potrzeby" administratora, jak i "na zewnątrz". Są one co do zasady równoprawne, mają charakter autonomiczny i niezależny, co oznacza, że wystarczy wystąpienie jednej z nich, by przetwarzanie danych mogło być uznane za usprawiedliwione. Oznacza to także, że zgoda osoby, której dane dotyczą, nie jest wyłączną przesłanką przetwarzania danych osobowych.
Tak więc przepis art. 23 ust. 1 pkt 2 u.o.d.o. dopuszcza przetwarzanie danych przewidując dwa wymogi: istnienie odpowiedniego przepisu prawa, który przyznaje podmiotowi uprawnienie lub nakłada na niego obowiązek, oraz niezbędność przetwarzania danych do zrealizowania tego uprawnienia lub spełnienia obowiązku wynikającego z tego przepisu. Wymogi te które powinny być spełnione łącznie.
W przypadku, gdy przepis prawa nakłada na podmiot obowiązek przetwarzania danych, nie ulega wątpliwości, że przetwarzanie danych jest dopuszczalne na podstawie art. 23 ust 1 pkt 2 u.o.d.o., jako że przetwarzanie jest wówczas niezbędne do spełnienia obowiązku wynikającego z tego przepisu.
Podobnie, gdy chodzi o jednoznacznie określone w przepisach prawa uprawnienie do przetwarzania danych osobowych, przetwarzanie danych jest dopuszczalne, gdyż nie sposób byłoby zrealizować uprawnienia, nie przetwarzając danych.
Natomiast w przypadkach, w których z przepisów prawa wynikają określone uprawnienia lub obowiązki niedotyczące wprost przetwarzania danych osobowych, ale do których wykonania potrzebne jest przetwarzanie danych, konieczne jest dokonanie oceny, czy przetwarzanie danych jest niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (innymi słowy, czy możliwa byłaby realizacja uprawnienia lub spełnienie obowiązku bez przetwarzania danych). Jeżeli na to pytanie o niezbędność przetwarzania danych można udzielić odpowiedzi twierdzącej, to przetwarzanie danych w oparciu o ww. przesłankę uznać należy za dopuszczalne.
Z zestawienia obu tych przepisów wynika zatem, iż podmiot występujący do administratora danych osobowych o udostępnienie mu danych osobowych musi wykazać, iż legitymuje się jedną z przesłanek uprawniających do pozyskania wnioskowanych danych określonych we wskazanym art. 23 ustawy o ochronie danych osobowych.
Sąd podobnie jak Generalny Inspektor nie uznał, ażeby podstawę prawną pozyskania przez skarżąca danych osobowych Z. W. [...] stanowił art. 178 Prawa upadłościowego, zgodnie z którym syndyk może żądać od organów administracji rządowej i samorządu terytorialnego potrzebnych informacji dotyczących majątku upadłego. Nie budzi bowiem wątpliwości że Zakład Ubezpieczeń Społecznych nie jest ani organem administracji rządowej ani też organem samorządu terytorialnego. Przepis ten nie może zatem stanowić podstawy do żądania udostępnienia przez ZUS danych osobowych Z. W. [...].
Podkreślić ponadto należy, że przepisy ustawy o ochronie danych osobowych należy interpretować ściśle, tj. w sytuacji, gdy art. 5 ww. ustawy stanowi, że przepisy innych ustaw stosuje się wyłącznie wówczas, gdy odnoszą się one do przetwarzania danych i przewidują one dalszą ochronę, nie jest możliwe zastosowanie się do art. 178 Prawa upadłościowego.
W rozpatrywanej sprawy przepis art. 178 Prawa upadłościowego nie odnosi się w żaden sposób do "przetwarzania danych", a stanowi samodzielną (niezależną względem ustawy o ochronie danych osobowych) podstawę dla współdziałania organów administracji rządowej i samorządu terytorialnego z właściwym syndykiem.
W związku z tym organ zasadnie uznał, że na gruncie rozpoznawanej sprawy niezbędnym było ustalenie czy u podstaw ewentualnej możliwości udostępnienia przez ZUS danych osobowych Z. W. [...] na rzecz skarżącej leżała przynajmniej jedna z przesłanek określonych w art. 23 ust. 1 pkt 1-5 u.o.d.o.
Jednocześnie w sprawie brak jest przepisów nakazujących ZUS udostępnienie skarżącej wnioskowanych przez nią danych. Powyższe wynika jednak zwłaszcza z treści przepisów ustawy o systemie ubezpieczeń społecznych.
Ponadto wskazany wyżej art. 34 ust. 3 u.s.u.s. stanowiący, że do informacji zawartych na kontach ubezpieczonych i kontach płatników składek oraz danych źródłowych będących podstawą zapisów na tych kontach stosuje się przepisy o ochronie danych osobowych. Wykorzystywanie danych osobowych i innych informacji zgromadzonych na kontach ubezpieczonych dopuszczalne jest jedynie w przypadkach określonych w ustawie (ust. 4). Zgodnie zaś z art. 50 ust, 3 ww. ustawy, dane zgromadzone na koncie ubezpieczonego, o których mowa w art. 40, i na koncie płatnika składek, o których mowa w art. 45, sądom, prokuratorom, organom podatkowym, Państwowej Inspekcji Pracy, Straży Granicznej, komornikom sądowym, organom egzekucyjnym w rozumieniu ustawy z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2016 r. poz. 599, z późn. zm,), ministrowi właściwemu do spraw- rodziny, ministrowi właściwemu do spraw' zabezpieczenia społecznego, organom realizującym świadczenia rodzinne, świadczenia z funduszu alimentacyjnego oraz świadczenia wychowawcze, ośrodkom pomocy społecznej, powiatowym centrom pomocy rodzinie, publicznym służbom zatrudnienia. Komisji Nadzoru Finansowego oraz wojewodzie i Szefowi Urzędu do Spraw Cudzoziemców w zakresie prowadzonych postępowań dotyczących legalizacji pobytu cudzoziemców na terytorium Rzeczypospolitej Polskiej, z uwzględnieniem przepisów dotyczących ochrony danych osobowych.
Niewątpliwie Syndyk Masy Upadłości nie został wymienionych wśród tych organów, którym Zakład Ubezpieczeń Społecznych może udostępnić dane w zakresie przez niego wnioskowanym. Zgodzić się należy ze skarżącą, że lista organów, o których mowa w art. 50 ust. 3 ustawy jest stale rozszerzana, nie mniej jednak nie została ona jednak poszerzona o Syndyka Masy Upadłości. Ponadto Sąd podziela stanowisko wyrażone przez Naczelny Sąd Administracyjny w wyroku z dnia 21 marca 2002 r., II SA 1854/01, w którym stwierdził, że lista organów uprawnionych w tym przepisie do uzyskania danych osobowych osób ubezpieczonych i płatników składek nie jest zamknięta i nie mogły być pominięte wśród uprawnionych inne organy egzekucyjne, poza komornikiem sądowym i organami kontroli "skarbowej" (). Ponadto w wyroku z dnia z dnia 27 października 2011 r. (I OSK 2125/10) NSA w Warszawie orzekł: "Uzasadniony jest pogląd Sądu pierwszej instancji, że ocena GIODO w niniejszej sprawie nie może zamykać się w hermetyzmie brzmienia art. 50 ust. 3 ustawy o systemie ubezpieczeń społecznych; nie w każdym przypadku wykładnia gramatyczna prowadzi do realizacji zamierzonych przez prawodawcę celów. Za słuszne należy uznać stanowisko Wojewódzkiego Sądu Administracyjnego, że ze względu na zapewnienie skuteczności egzekucji (w tym przypadku prowadzonej wobec dłużnika z powodu nie wnoszenia przez niego opłat za korzystanie z lokalu) uzasadnione jest zastosowanie wykładni celowościowej i systemowej art. 50 ust. 3 ustawy o systemie ubezpieczeń społecznych w związku z art. 36 § 1 ustawy o postępowaniu egzekucyjnym w administracji, skutkującej objęciem uprawnieniem do żądania danych osobowych, w tym także "danych wrażliwych", organy prowadzące egzekucję administracyjną. Nie mniej jednak wyroki te dotyczą bądź organów egzekucyjnych bądź organów administracji rządowej (prezydent miasta) i nie mogą mieć zastosowania w niniejszej sprawie.
A zatem decyzja Generalnego Inspektora Ochrony Danych Osobowych, który badał zasadność odmowy udostępnienia przez ZUS skarżącej danych zawartych we wniosku jest decyzją prawidłową. Stanowisko ZUS przedstawione bowiem w sprawie, a mówiące o tym, że podstawę odmowy udzielenia skarżącej wnioskowanych przez nią informacji stanowił przepis art. 50 ust. 3-16 u.s.u.s. jest prawidłowe. Udostępnienie określonych informacji na temat ubezpieczonego lub płatnika składek z ZUS możliwe jest w odniesieniu do niniejszej sprawy jedynie na rzecz podmiotów należących do katalogu podmiotów określonych w art. 50 ust. 3 ustawy o systemie ubezpieczeń społecznych. Udostępnienie odbywa się wówczas w trybie art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych.
Zgodzić się ponadto należy ze skarżącą, że ochrona danych osobowych nie ma charakteru wartości absolutnej i że normy prawne względnie zakazujące przetwarzania danych nie funkcjonują w próżni prawnej. Niemniej jednak w odniesieniu do rozpatrywanej sprawy omawiana argumentacja skarżącej nie może zostać uwzględniona z uwagi na zapis art. 218 ustawy Prawo Upadłościowe, który stanowi, że syndyk składa sędziemu - komisarzowi wniosek o przeprowadzenie dowodu, jeżeli uzna za konieczne ustalenie okoliczności sprawy w drodze postępowania dowodowego. W przypadku uwzględnienia wniosku postępowanie dowodowe prowadzi sędzia - komisarz. A zatem skarżąca ma możliwość skorzystania z tej drogi i uzyskania niezbędnych jej informacji.
Tym samym obowiązujące przepisy nie zamykają się syndykowi drogi do uzyskania przez niego informacji i danych dla niego istotnych w związku z wykonywanymi przez niego czynnościami (przez co w sprawie nie znajdzie zastosowania art. 23 ust. 1 pkt 2 lub pkt 5 u.o.d.o.).
Zasadnie zatem ZUS odmówił skarżącej żądanych przez nią danych, wskazując, że odmowa udostępnienia wnioskowanych informacji wynikała z konieczności spełnienia obowiązków ZUS, jako administratora danych osobowych osób, których dane przetwarzane są w zbiorze pn. "Zbiór danych osobowych przetwarzanych w Zakładzie Ubezpieczeń Społecznych", a określonych w art. 26 u.o.d.o. ZUS jako państwowa jednostka organizacyjna może działać wyłącznie na podstawie upoważnienia przewidzianego w prawie, a tym samym działanie to musi posiadać odpowiednią legitymację formalną w postaci przepisu prawa, który udziela upoważnienia do podjęcia tego działania (przez co brak jednoznacznego wskazania regulacji prawnej upoważniającej ZUS do podjęcia danego działania należy uznać za równoznaczny z jego zakazem)a to oznacza, że brak jest okoliczności uzasadniających zastosowanie w sprawie art. 23 ust. 1 pkt 2 oraz 5 u.o.d.o, jako podstawy dla nakazania ZUS udostępnienia na rzecz skarżącej wnioskowanych przez nią danych osobowych, a to oznacza, że decyzja Generalnego Inspektora jest decyzją prawidłową.
Reasumując, w ocenie Sądu, decyzja Generalnego Inspektora Ochrony Danych Osobowych Generalnego, który odmówił skarżącej uwzględnienia jej wniosku i zaaprobował tym samym stanowisko Zakładu Ubezpieczeń, odmawiające skarżącej udostępnienia danych osobowych Z. W. [...], jest decyzją prawidłową i znajduje oparcie w przepisach ustawy o systemie ubezpieczeń społecznych.
Biorąc pod uwagę powyższe rozważania Sąd uznał zarzuty skargi za nieuprawnione, a zaskarżoną i utrzymaną nią w mocy własną decyzję GIODO za zgodne z prawem.
Wojewódzki Sąd Administracyjny w Warszawie nie dopatrzył się naruszenia prawa materialnego jak i procesowego przy podejmowaniu decyzji przez Generalnego Inspektora Ochrony Danych Osobowych, mogących stanowić o ich uchyleniu albo stwierdzeniu nieważności i z tych przyczyn, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. Prawa o postępowaniu przed sądami administracyjnymi, orzekł jak w sentencji wyroku
Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 13.07.2026. · Źródło