I OSK 3288/18

WyrokNaczelny Sąd Administracyjny2020-01-30

Skład orzekający: Czesława Nowak- Kolczyńska, Małgorzata Borowiec, Grzegorz Jankowski

Analiza orzeczenia

Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.

Zagadnienie prawne
Czy udostępnienie pełnych danych osobowych członka spółdzielni, w tym adresu zamieszkania, w sprawozdaniu rocznym Rady Nadzorczej jest adekwatne do celu informacyjnego tego sprawozdania i zgodne z przepisami o ochronie danych osobowych?
Ratio decidendi
Udostępnienie pełnych danych osobowych członka spółdzielni, w tym adresu zamieszkania, w sprawozdaniu rocznym Rady Nadzorczej nie jest adekwatne do celu informacyjnego tego sprawozdania. Przetwarzanie danych osobowych musi być zgodne z zasadą adekwatności, co oznacza, że dane nie powinny wykraczać poza potrzeby wynikające z celu ich zbierania. W tym przypadku, cel informacyjny sprawozdania nie uzasadnia ujawniania adresu zamieszkania członka.
Stan faktyczny
Spółdzielnia udostępniła w budynku Spółdzielni sprawozdanie z działalności Rady Nadzorczej za 2015 r., zawierające pełne dane osobowe J.J. (imię, nazwisko, adres zamieszkania). J.J. zwrócił się do Generalnego Inspektora Ochrony Danych Osobowych (GIODO) o nakazanie przywrócenia stanu zgodnego z prawem. GIODO stwierdził naruszenie przepisów o ochronie danych osobowych, uznając ujawnienie adresu zamieszkania za nieadekwatne do celu informacyjnego sprawozdania. Wojewódzki Sąd Administracyjny oddalił skargę Spółdzielni, a Naczelny Sąd Administracyjny oddalił skargę kasacyjną Spółdzielni.
Rozstrzygnięcie
Oddalił skargę kasacyjną.

Pełny tekst orzeczenia

Naczelny Sąd Administracyjny w składzie Przewodniczący Sędzia NSA Czesława Nowak- Kolczyńska Sędziowie: Sędzia NSA Małgorzata Borowiec Sędzia del. NSA Grzegorz Jankowski (spr.) po rozpoznaniu w dniu 30 stycznia 2020 r. na posiedzeniu niejawnym w Izbie Ogólnoadministracyjnej skargi kasacyjnej Spółdzielni [...] od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 22 marca 2018 r. sygn. akt II SA/Wa 1671/17 w sprawie ze skargi Spółdzielni [...] na decyzję Generalnego Inspektora [...] z dnia [...] sierpnia 2017 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę kasacyjną Generalny Inspektor Ochrony Danych Osobowych (dalej GIODO) decyzją z dnia [...] sierpnia 2017 r. odmówił uwzględnienia wniosku J.J. dotyczącego nieprawidłowości zaistniałych w procesie przetwarzania jego danych osobowych przez Spółdzielnię [...]. Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 22 marca 2018 r. sygn. akt II SA/Wa 1671/17 oddalił skargę Spółdzielni [...]na tę decyzję. Ze stanu sprawy przyjętego przez Sąd pierwszej instancji wynika, że Spółdzielnia [...] zamieściła pełne dane osobowe J.J. (imię, nazwisko, adres zamieszkania) w sprawozdaniu z działalności Rady Nadzorczej Spółdzielni za 2015 r. Pismo to zostało następnie udostępnione w budynku Spółdzielni, gdzie każdy mógł się z nim zapoznać, a także zgodnie ze statutem Spółdzielni otrzymać jego kserokopię. W związku z powyższym J.J. i wnioskiem z dnia [...] czerwca 2016 r. zwrócił się do GIODO o nakazanie Spółdzielni przywrócenia stanu zgodnego z prawem. W toku przeprowadzonego postępowania administracyjnego GIODO ustalił, że jeszcze przed Walnym Zgromadzeniem Spółdzielni w czerwcu 2016 r. w sprawozdaniu Rady Nadzorczej Spółdzielni w miejsce imienia i nazwiska skarżącego wpisane zostały jego inicjały, a adres zamieszkania został usunięty. W zaskarżonej decyzji organ wskazał na art. 2 ust. 1, art. 6 ust. 1, 2 i 3 oraz art. 23 i art. 26 ustawy o ochronie danych osobowych i stwierdził, iż podstawą przetwarzania danych osobowych członków spółdzielni przez organy spółdzielni są przepisy ustawy o spółdzielniach mieszkaniowych (Dz. U. z 2013 r., poz. 1222 ze zm.), a w zakresie nieuregulowanym w tych przepisach, przepisy ustawy Prawo spółdzielcze (Dz. U. z 2016 r., poz. 21 ze zm.), a także przepisy zawarte w statucie i sporządzonych w oparciu o statut regulaminach i uchwałach podejmowanych przez organy spółdzielni. Ze statutu Spółdzielni wynika, że Zarząd prowadzi rejestr członków Spółdzielni zawierający ich imiona i nazwiska oraz miejsce zamieszkania, oraz że członkowie Spółdzielni mają prawo do zaznajamiania się tym rejestrem. W myśl art. 30 Prawa spółdzielczego, rejestr członków spółdzielni zawiera imiona i nazwiska członków spółdzielni, a także może zawierać "inne dane przewidziane w statucie". W związku z tym organ uznał, że członkowie Spółdzielni mają prawo do zapoznawania się z danymi osobowymi innych członków Spółdzielni na podstawie art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, w związku z art. 30 Prawa spółdzielczego, przysługuje im swobodny wgląd w dokumentację, która może zawierać dane osobowe innych członków spółdzielni. Jednakże z żadnych przepisów prawa nie wynika konieczność wskazywania tak szczegółowych informacji, jak prywatny adres zamieszkania. Wobec powyższego organ stwierdził, że działanie Spółdzielni polegające na dopuszczeniu do wglądu innych członków Spółdzielni do sprawozdania rocznego rady nadzorczej Spółdzielni, zawierającego dane osobowe członka Spółdzielni wraz jego adresem zamieszkania naruszyło zasady dotyczące przetwarzania danych osobowych, wyznaczone przepisami ustawy o ochronie danych osobowych, a w szczególności art. 26 ust. 1 pkt 3. Z przepisu tego wynika, że swym rodzajem i swą treścią dane nie powinny wykraczać poza potrzeby wynikające z celu ich zbierania (porównaj: J. Barta, P. Fajgielski, R. Markiewicz, Ochrona Danych Osobowych, Komentarz, Zakamycze 2004 s. 556). W ocenie GIODO umieszczenie danych wnioskodawcy wraz z pełnym adresem zamieszkania w sprawozdaniu rocznym Rady Nadzorczej było nieadekwatne do celu, którym był cel informacyjny. Jednak ponieważ na dzień wydania decyzji Spółdzielnia nie przetwarzała już danych osobowych wnioskodawcy w sposób przez niego kwestionowany, organ wniosek oddalił. Organ ochrony danych osobowych nie dokonuje bowiem oceny zdarzeń przeszłych, niekontynuowanych w chwili orzekania. Spółdzielnia [...] zaskarżyła powyższą decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie, w części dotyczącej uzasadnienia. Zarzuciła błędną wykładnię art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych oraz powołanych w uzasadnieniu skargi przepisów ustawy z dnia 16 września 1982 r. Prawo spółdzielcze. Spółdzielnia wyjaśniła, że nie zgadza się z fragmentem uzasadnienia decyzji, w którym stwierdzono, że "umieszczenie danych skarżącego wraz z pełnym adresem zamieszkania w sprawozdaniu rocznym Rady Nadzorczej było nieadekwatne do celu, którym był cel informacyjny". Zdaniem Spółdzielni umieszczenie imienia i nazwiska członka Spółdzielni w sprawozdaniu rocznym Rady Nadzorczej nie narusza ustawy o ochronie danych osobowych. Wojewódzki Sąd Administracyjny w Warszawie w uzasadnieniu wyroku oddalającego skargę wyjaśnił, że zaskarżenie jedynie uzasadnienia decyzji, czy też jego części jest prawnie dopuszczalne. Dokonując merytorycznej oceny skargi, Sąd podzielił w całości stanowisko GIODO i uznał skargę za niezasadną. Wskazał, że zgodnie z art. 1 Prawa spółdzielczego, spółdzielnie to dobrowolne zrzeszenia nieograniczonej liczby osób. Dlatego spółdzielnie mieszkaniowe należy kwalifikować do dobrowolnych zrzeszeń wskazanych w art. 12 Konstytucji RP i korzystających z gwarancji ustanowionych w art. 58 Konstytucji (porównaj: M. Bednarek, Prawo do mieszkania w konstytucji i ustawodawstwie, Warszawa 2007, s. 328). W ocenie Trybunału Konstytucyjnego (wyrok TK z 15 lipca 2009 r. sygn. akt K 64/07 – na który także powołała się skarżąca Spółdzielnia), art. 81 ust. 3 ustawy o spółdzielniach mieszkaniowych powinien być interpretowany systemowo, która to wykładnia warunkuje zgodność tego przepisu z art. 51 ust. 1, 3 i 5 Konstytucji, gwarantującym autonomię informacyjną jednostki. Przepis ten znajduje się w rozdziale 11 ustawy, zatytułowanym "Prawa członków spółdzielni mieszkaniowej". Zatem konstytucyjnie uprawniona interpretacja art. 81 ust. 3 nakazuje przypisanie przewidzianych w nim uprawnień jedynie członkom spółdzielni mieszkaniowej. Udostępnianie osobom spoza tego kręgu statutu, regulaminów, uchwał i protokołów obrad organów spółdzielni, a także protokołów lustracji i rocznych sprawozdań finansowych nie znajduje konstytucyjnego uzasadnienia. Tym samym powodowałoby nieuprawnione ograniczenie prawa do ochrony danych osobowych przysługującego w tym przypadku członkom spółdzielni mieszkaniowej. Oczywiście powyższe ustalenia determinują przyjęcie określonych rozwiązań technicznych, które zapewniłyby dostęp do dokumentów zawartych na stronie internetowej spółdzielni mieszkaniowej tylko osobom uprawnionym, a więc członkom spółdzielni (np. system logowania się na stronie za pomocą określonego hasła). Ustawa o ochronie danych osobowych koncepcje ochrony tych danych opiera na zasadzie adekwatności przetwarzania danych osobowych do celu uzasadniającego to przetwarzanie. W art. 26 ust. 1 pkt 3 ustawy wskazano, że administrator danych przetwarzając, dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane. Oznacza to, że "swym rodzajem i swą treścią dane nie powinny wykraczać poza potrzeby wynikające z celu ich zbierania". W ocenie Sądu I instancji umieszczenie danych członka Spółdzielni (imienia, nazwiska i adresu) w sprawozdaniu rocznym Rady Nadzorczej Spółdzielni [...]nie było adekwatne do celu, którym był cel informacyjny tego sprawozdania. Sąd wyjaśnił, że z istoty stosunku członkostwa w każdego typu spółdzielni (spółdzielnia produkcyjna, rolna spółdzielnia produkcyjna, spółdzielnia mieszkaniowa) wynika jawność i transparentność działań organów spółdzielczych i znajomość członków oraz jawność rejestrów członków. Dlatego dla potrzeb realizacji zadań każdej spółdzielni, a zwłaszcza realizacji jej zadań organizacyjnych (udział członków w pracach organów spółdzielni – walne zgromadzenie członków, obrady rady nadzorczej, obrady zarządu) niezbędne jest przetwarzanie danych osobowych członków zarówno przez organy spółdzielni, jak i przez tych członków nawzajem dla realizacji powyższych celów. Inaczej nie byłby możliwy, gwarantowany w Konstytucji RP oraz w ustawie – Prawo spółdzielcze, korporacyjny charakter spółdzielni jako dobrowolnego zrzeszenia obywateli. W tym zakresie trafnie, zarówno organ jak i skarżąca Spółdzielnia, wskazały na art. 30 Prawa spółdzielczego oraz na przepisy rozdziału 11 ustawy o spółdzielniach mieszkaniowych (art. 81 - art. 83), w kontekście prawa do przetwarzania danych osobowych członków spółdzielni. Jednakże zasady te dotyczą dokumentów o charakterze wyłącznie wewnątrzspółdzielczym – dotyczących wyłącznie konkretnej spółdzielni, zaś samo przetwarzanie danych osobowych członków w tych dokumentach musi być adekwatne do celu przetwarzania. Dlatego takie dokumenty wewnętrzne danej spółdzielni jak: protokół z walnego zgromadzenia członków spółdzielni, protokoły z posiedzeń rady nadzorczej, protokoły z posiedzeń zarządu – na ogół muszą w swojej treści zawierać imiona i nazwiska członów spółdzielni zgłaszających konkretne wnioski, inaczej wnioski te byłyby anonimowe – co wypaczałoby charakter korporacyjny spółdzielni. Musi być w pełni jawne, którzy członkowie jakie wnioski składali, niezależnie czy są to wnioski o charakterze gospodarowania mieniem spółdzielni (np. sposób wydatkowania funduszy spółdzielczych), czy dotyczące obsady organów spółdzielni (np. wniosek o odwołanie zarządu). Z tych też przyczyn niektóre z uchwał podejmowanych przez organy spółdzielni ze swojej istoty muszą zawierać dane osobowe członów spółdzielni. W takim przypadku przetwarzanie danych osobowych danego członka jest w pełni uzasadnione wyżej wskazaną zasadą adekwatności. W niniejszej sprawie GIODO nie negował prawa skarżącej Spółdzielni do przetwarzania danych osobowych członków w różnych dokumentach wewnętrznych skarżącej Spółdzielni, ale jedynie wskazał, że w przedmiotowym sprawozdaniu rocznym Rady Nadzorczej Spółdzielni zamieszczenie danych osobowych członka było nieadekwatne do celu tego sprawozdania. Organ wskazał, że każde przetwarzanie danych osobowych musi pozostawać w zgodzie z wyżej wspomnianą zasadą adekwatności i dlatego każdy przypadek przetwarzania danych osobowych należy analizować odrębnie. WSA w Warszawie w pełni ten pogląd podzielił. Sąd wskazał jednocześnie, że obowiązek wytwarzania przez spółdzielnie sprawozdań z działalności ich organów za dany okres obrachunkowy wynika z przepisów regulujących gospodarkę spółdzielni (art. 67 – 90 Prawa spółdzielczego) oraz z obowiązku sprawozdawczego, co do działalności każdego z organów spółdzielni osobno, gdy statut tak stanowi. Zatem celem sprawozdania rocznego rady nadzorczej spółdzielni są przede wszystkim sprawy gospodarowania majątkiem spółdzielni, wyniki finansowe tego gospodarowania oraz wskazanie zakresu wykonania zadań danego organu spółdzielczego (informacja, które zadania zrealizowano, a których nie zrealizowano i dlaczego). Brak tu miejsca dla ujawniania danych osobowych członków spółdzielni – nawet w kontekście realizacji postawionych przez nich wniosków, bowiem nie jest tu ważne z inicjatywy jakiego członka uchwalono realizacje danego zadania, ale czy go zrealizowano, czy też nie i z jakich powodów. W sprawozdaniu istotne są dane statystyczne i informacyjne, które powinny być ujęte w sposób przejrzysty i zwięzły. Dlatego, gdy zważy się na cele, jakim ma służyć sprawozdanie, nie można zgodzić się, iż zamieszczenie w przedmiotowym sprawozdaniu rocznym danych osobowych członka było adekwatne do celu tego sprawozdania. Przy czym, skarżąca Spółdzielnia nie potrafiła ani w trakcie postępowania administracyjnego, ani w skardze wykazać adekwatności przetwarzania danych osobowych swojego członka w kwestionowanym przez organ sprawozdaniu. Nie potrafiła wykazać, iż z konkretnie wskazanych przyczyn, pomimo czysto informacyjnego charakteru rzeczonego sprawozdania, zawarcie w nim danych osobowych członka było konieczne, usprawiedliwione i adekwatne do celu tego sprawozdania. W skardze kasacyjnej do Wojewódzkiego Sądu Administracyjnego w Warszawie od tego wyroku Spółdzielnia [...]zarzuciła naruszenie przepisów prawa materialnego poprzez ich niewłaściwe zastosowanie, tj.: - art. 23 ust. 1 pkt 2, art. 26 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922), - 30 ust. 1 i art. 35 ustawy z dnia 16 września 1982 r. Prawo spółdzielcze, - art. 81-83 ustawy z dnia 15 grudnia 2000 r. o spółdzielniach mieszkaniowych. Spółdzielnia wniosła o uchylenie zaskarżonego wyroku w oparciu o art. 174 pkt 1 p.p.s.a. oraz o przekazanie sprawy Sądowi I instancji do ponownego rozpoznania, a także o zasądzenie od organu kosztów postępowania, w tym kosztów zastępstwa prawnego. W oświadczeniu z dnia [...] czerwca 2018 r. pełnomocnik Spółdzielni [...] oświadczył, że Spółdzielnia zrzeka się wyznaczenia rozprawy przed Naczelnym Sądem Administracyjnym w tej sprawie. Prezes Urzędu Ochrony Danych Osobowych w odpowiedzi na skargę kasacyjną wniósł o jej oddalenie. Jednocześnie organ ten wyjaśnił, że z dniem wejścia w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000) tj. z dniem 25 maja 2018 r. Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Zgodnie z art. 160 ust. 1 tej ustawy postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych wszczęte i niezakończone przed 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie ustawy z dnia 29 sierpnia 1997 r., zgodnie z zasadami określonymi w Kodeksie postępowania administracyjnego. Wszelkie czynności podejmowane przez Generalnego Inspektora Ochrony Danych Osobowych przed 25 maja 2018 r. pozostają skuteczne. Odnosząc się do zarzutów skargi organ wyjaśnił, że decyzja której dotyczy wyrok Sądu I instancji została wydana w oparciu o materiał dowodowy zgromadzony w prawidłowo przeprowadzonym postępowaniu administracyjnym, dlatego wyrok oddalający skargę odpowiada przepisom prawa, a skarga kasacyjna od tego wyroku nie zawiera usprawiedliwionych podstaw. Naczelny Sąd Administracyjny z w a ż y ł, co następuje: Zgodnie z art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (dalej: p.p.s.a.), Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, bierze jednak z urzędu pod rozwagę nieważność postępowania. W sprawie nie występują, enumeratywnie wyliczone w art. 183 § 2 p.p.s.a., przesłanki nieważności postępowania sądowoadministracyjnego. Skarga kasacyjna nie zawiera usprawiedliwionych podstaw. W skardze kasacyjnej zawarto zarzut naruszenia prawa materialnego przez niewłaściwe zastosowanie art. 23 ust. 1 pkt 2, art. 26 ust.1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 992), art. 30 ust. 1 i art. 35 ustawy z dnia 16 września 1982 r. Prawo spółdzielcze, art. 81 – 83 ustawy z dnia 15 grudnia 2000 r. o spółdzielniach mieszkaniowych. W myśl art. 174 pkt 1 Prawa o postępowaniu przed sądami administracyjnymi skargę kasacyjną można oprzeć o naruszenie prawa materialnego przez błędną jego wykładnię lub niewłaściwe zastosowanie. Niewłaściwe zastosowanie przepisu oznacza "błąd subsumpcji", polegający na wadliwym uznaniu, że ustalony w sprawie konkretny stan faktyczny odpowiada abstrakcyjnemu stanowi faktycznemu określonemu w hipotezie określonej normy prawnej (por. R. Hauser, M. Wierzbowski, Prawo o postępowaniu przed sądami administracyjnymi – Komentarz). Jeżeli podstawę kasacji stanowi zarzut niewłaściwego zastosowania prawa materialnego, to uzasadnieniem takiego zarzutu powinno być wyjaśnienie, dlaczego przepis przyjęty jako podstawa prawna nie ma związku z ustalonym stanem faktycznym, i jaki przepis sąd powinien zastosować. Naczelny Sąd Administracyjny stwierdza, że wymienione w kasacji art. 30 i 35 prawa spółdzielczego oraz art. 81 – 83 ustawy o spółdzielniach mieszkaniowych nie były podstawą orzekania w przedmiotowej sprawie. Jeżeli chodzi o zarzut niewłaściwego zastosowania art. 23 ust. 1 pkt 2 i art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych, to w ocenie Naczelnego Sądu Administracyjnego Sąd I instancji dokonał prawidłowej kontroli w tym zakresie i w stopniu wystarczającym odniósł się do zagadnienia przetwarzania danych i nakazu zachowania szczególnej staranności. Istota rzeczy w przedmiotowej sprawie sprowadza się do określenia czy podanie pełnych danych osobowych członka spółdzielni mieszkaniowej wraz z miejscem zamieszkania w sprawozdaniu rocznym Rady Nadzorczej było adekwatne w stosunku do celów, w jakim dane były przetwarzane. Zdaniem Naczelnego Sądu Administracyjnego, Główny Inspektor Ochrony Danych Osobowych odniósł się do tego zagadnienia w wystarczający sposób, co potwierdził WSA w Warszawie. Żadne okoliczności nie uzasadniały, w tym przypadku, konieczności udostępnienia do wglądu członków spółdzielni i ewentualnych osób trzecich danych dotyczących adresu zamieszkania skarżącego. Jedynym celem sprawozdania był cel informacyjny, a skarżący kasacyjnie nie wykazał, aby dostęp do danych dotyczących adresu zamieszkania był uzasadniony, jakimś innym ważnym celem społecznym. Mając powyższe na uwadze Naczelny Sąd Administracyjny uznał, że skarga kasacyjna pozbawiona jest usprawiedliwionych podstaw i podlega oddaleniu na podstawie art. 184 p.p.s.a.

Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 14.07.2026. · Źródło