II SA/Bk 698/13

PostanowienieWSA w Białymstoku2013-12-10

Skład orzekający: Danuta Tryniszewska - Bytys

Analiza orzeczenia

Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.

Zagadnienie prawne
Czy odmowa udostępnienia danych osobowych przez administratora danych (w tym przypadku Straż Graniczną) stanowi czynność podlegającą zaskarżeniu do sądu administracyjnego w trybie PPSA, czy też wymaga skierowania sprawy do Generalnego Inspektora Ochrony Danych Osobowych (GIODO)?
Ratio decidendi
Odmowa udostępnienia danych osobowych przez administratora danych, nawet jeśli jest kwestionowana przez osobę, której dane dotyczą, nie stanowi decyzji administracyjnej ani innej czynności podlegającej kontroli sądu administracyjnego w trybie PPSA. Osoba taka powinna skierować sprawę do Generalnego Inspektora Ochrony Danych Osobowych (GIODO), który może nakazać udostępnienie lub nieudostępnienie danych w drodze decyzji administracyjnej, od której przysługuje skarga do sądu administracyjnego.
Stan faktyczny
Wnioskodawca zwrócił się do Komendanta P. Oddziału Straży Granicznej o udostępnienie danych dotyczących jego wjazdów na przejście graniczne oraz marki, typu i numeru samochodu, którym się poruszał, wskazując, że informacje te są mu potrzebne jako dowód w postępowaniu o wykroczenie. Komendant odmówił udostępnienia danych, twierdząc, że nie są to dane osobowe w rozumieniu ustawy, a jedynie informacje służbowe dotyczące kontroli ruchu granicznego, które mogą być udostępniane wyłącznie innym organom państwowym. Wnioskodawca złożył skargę do sądu administracyjnego na czynność Komendanta, zarzucając naruszenie przepisów o ochronie danych osobowych, Konstytucji RP i dyrektywy UE.
Rozstrzygnięcie
Odrzucono skargę.

Pełny tekst orzeczenia

Wojewódzki Sąd Administracyjny w Białymstoku Wydział II w składzie następującym: Przewodniczący: sędzia NSA Danuta Tryniszewska - Bytys (spr.), po rozpoznaniu w dniu 10 grudnia 2013 r. w Białymstoku na posiedzeniu niejawnym sprawy ze skargi W. A. na czynność Komendanta P. Oddziału Straży Granicznej w B. z dnia [...] czerwca 2013 r. znak [...] w przedmiocie udostępnienia danych osobowych p o s t a n a w i a odrzucić skargę II SA/Bk 698/13 UZASADNIENIE Wnioskiem z dnia 15 kwietnia 2013 r. W. A. zwrócił się do P. Oddziału Straży Granicznej w B. o udzielenie następujących informacji: o dacie i godzinie jego wjazdów na przejście graniczne [...] B. gm. G. w kierunku B. (w dniu 5 października 2013 r.) oraz w kierunku Polski oraz informacji o marce, typie i numerze samochodu, którym wjechał i wyjechał z tego przejścia granicznego. Wskazał, że informacja jest mu niezbędna w celu przedstawienia jako dowód z dokumentu w postępowaniu w sprawach o wykroczenia toczącym się pod sygnaturą [...]. Komendant P. Oddziału Straży Granicznej w B. (dalej jako: Komendant) w piśmie z dnia 19 kwietnia 2013 r. wskazał, że przepis art. 1 ust. 2 pkt 9 ustawy z dnia 12 października 1990 r. o Straży Granicznej nie stanowi podstawy prawnej udzielania informacji o znajdujących się w bazie tej służby danych, bowiem dotyczy on wyłącznie udostępnienia danych na wniosek organów państwowych. W piśmie z dnia 30 kwietnia 2013 r. (data wpływu do organu) W. A. ponowił swoją prośbę, wskazując że podstawą prawną udzielenia informacji jest art. 32 ust. 1 ustawy z dnia 29 czerwca 1997 r. o ochronie danych osobowych oraz że nie zachodzą przesłanki odmowy jej udzielenia, o których mowa w art. 34 tej ustawy. W odpowiedzi na ponowione żądanie Komendant po raz kolejny odmówił udzielenia informacji (w piśmie z dnia 9 maja 2013 r.). W. A. w dniu 21 maja 2013 r. wezwał Komendanta do usunięcia naruszenia prawa. Ponownie powołał przepis art. 32 ustawy o ochronie danych osobowych oraz dodatkowo powołał przepisy art. 51 ust. 3 Konstytucji RP oraz art. 12 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Wskazał, że w sprawie nie zachodzą podstawy do negatywnego rozpoznania jego wniosku wynikające z art. 34 ustawy o ochronie danych osobowych oraz z art. 13 Dyrektywy. W piśmie z dnia [...] czerwca 2013 r. nr [...] stanowiącym odpowiedź na wezwanie W. A. Komendant wskazał, że dane objęte wnioskiem nie mieszczą się w zakresie ustawowej definicji danych osobowych zawartej w ustawie o ochronie danych osobowych. Zgodnie też z art. 1 ust. 2 pkt 9 ustawy o Straży Granicznej – służba ta jest uprawniona do gromadzenia i przetwarzania informacji z zakresu ochrony granicy państwowej i kontroli ruchu granicznego oraz udostępnienia ich właściwym organom państwowym. Zażądane informacje wchodzą w zakres informacji służbowych dotyczących kontroli ruchu granicznego i ochrony granicy państwowej, a ich udostępnienie możliwe jest wyłącznie właściwym organom państwowym na ich wniosek, jeśli dane mają związek z prowadzonym postępowaniem. Wywiedziono, że jeśli wnioskodawca zamierza żądane informacje przedstawić organom prowadzącym postępowanie w sprawie o wykroczenie, to powinien wniosek o ich udostępnienie złożyć tym organom, a te z kolei powinny wystąpić do Straży Granicznej o ich przekazanie. W. A. złożył do sądu administracyjnego skargę na naruszenie prawa przez Komendanta P. Oddziału Straży Granicznej w B., którego organ ten dopuścił się w piśmie z dnia [...] czerwca 2013 r. nr [...]. Zdaniem skarżącego doszło do naruszenia: art. 32 ust. 1 ustawy o ochronie danych osobowych, art. 51 ust. 3 Konstytucji RP, art. 9 ust. 5 ustawy o Straży Granicznej w związku z art. 51 ust. 3 Konstytucji RP i w związku z art. 32 ust. 1 ustawy o ochronie danych osobowych, art. 12 Dyrektywy 95/46/WE Parlamentu i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Naruszenie wszystkich wymienionych przepisów polega, w ocenie strony, na odmowie udzielenia informacji wskazanych w złożonych wnioskach. Uzasadniając skargę wywiedziono, że podstawowym uprawnieniem osoby, której dane dotyczą, jest dostęp do tych danych oraz uzyskanie informacji na temat ich przetwarzania. Prawo to wynika z art. 51 ust. 3 Konstytucji RP, który jest w tym zakresie regulacją podstawową oraz który nie wyklucza z zakresu prawa do informacji żadnych danych czy zapisów oraz dokumentów (np. będących w posiadaniu służb państwowych). Przedmiotowe wyłączenie możliwe jest do wprowadzenia, ale wyłącznie w ustawie (art. 31 ust. 3 Konstytucji RP). Skarżący wskazał, że żaden organ państwa nie może przetwarzać informacji o obywatelach nie licząc się z możliwością kontroli z ich strony (poprzez odwołanie do Generalnego Inspektora Ochrony Danych Osobowych, a następnie do NSA). W ocenie skarżącego jego uprawnienie do uzyskania informacji wskazanych we wniosku z dnia 15 kwietnia 2013 r. i następnych wynika z art. 32 ustawy o ochronie danych osobowych, który stanowi implementację art. 12 Dyrektywy 95/46/WE. Nie zachodzą jednocześnie w sprawie, w jego ocenie, przesłanki uniemożliwiające udostępnienie żądanych danych sformułowane w art. 34 ustawy o ochronie danych osobowych oraz w art. 13 Dyrektywy 95/46/WE. W odpowiedzi na skargę organ wniósł o jej odrzucenie, ewentualnie oddalenie. Wyjaśnił, że w jego ocenie żądane dane wchodzą w zakres informacji z zakresu ochrony granicy państwowej i kontroli ruchu granicznego (art. 1 ust. 2 pkt 9 ustawy o Straży Granicznej), a w takiej sytuacji istnieje możliwość ich udostępnienia wyłącznie na wniosek organów państwowych. W przedmiotowej sprawie będą to organy prowadzące postępowanie przygotowawcze, do których skarżący powinien się zwrócić o wystąpienie przez nie do Straży Granicznej. W ocenie organu zażądane dane nie kwalifikują się do kategorii danych osobowych, bowiem takimi mogą być np. PESEL, NIP, imię, nazwisko, data i miejsce urodzenia. Wojewódzki Sąd Administracyjny zważył, co następuje: Skarga podlega odrzuceniu. Przedmiotem zaskarżenia w sprawie niniejszej jest odmowa udzielenia informacji kwalifikowanych odmiennie przez obydwie strony: jako dane podlegające udostępnieniu na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), powoływanej dalej jako u.o.d.o. (tak twierdzi skarżący) oraz jako inne informacje niebędące danymi osobowymi (organ). Dotyczą one daty i godziny wjazdów skarżącego na przejście graniczne [...] B. gm. G. w kierunku B. (w dniu 5 października 2013 r.) oraz w kierunku Polski oraz marki, typu i numeru samochodu, którym wjechał i wyjechał z tego przejścia granicznego. Jak wskazano we wniosku, miałyby one zostać przedstawione jako dowód z dokumentu w postępowaniu w sprawach o wykroczenia. Zdaniem sądu zażądane informacje stanowią dane osobowe, a podstawowym aktem prawnym regulującym sposób postępowania z takimi danymi (udostępnianie lub odmowę ich udostępnienia) jest ustawa o ochronie danych osobowych. Zgodnie z art. 6 u.o.d.o. za dane osobowe (w rozumieniu tej ustawy) uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (ust. 1), przy czym osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (ust. 2). Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (art. 6 ust. 3 u.o.d.o.). W literaturze wskazuje się, że powyższa definicja "danych osobowych" jest stosunkowo pojemna. Obejmuje wszelkie informacje dotyczące zidentyfikowanej lub dającej się zidentyfikować osoby, a nie tylko takie, które same bezpośrednio i wprost służą identyfikacji. Inaczej rzecz ujmując w przypadku danych osobowych chodzi o wszelkie informacje dotyczące osoby fizycznej, o ile na ich podstawie możliwe jest jej zidentyfikowanie, odniesienie do konkretnej osoby, czy powiązanie z innymi informacjami identyfikującymi tę osobę wprost lub pośrednio. Podkreśla się, że o ile część informacji umożliwia identyfikację z natury rzeczy (wprost), o tyle inne uzyskują charakter danych osobowych dopiero w połączeniu z danymi identyfikującymi osobę fizyczną wprost lub pośrednio. Identyfikacja może bowiem również odbywać się na podstawie całokształtu informacji. Stąd też dane osobowe to nie tylko adres, imię czy nazwisko osoby, ale też dane dotyczące różnych dziedzin jej życia i przejawów działalności (np. podróży), mogące mieć charakter obiektywny lub subiektywny, wymierny lub ocenny, mogące dotyczyć okoliczności dawnych, obecnych lub przyszłych, trwałych lub przemijających. Jednym z warunków zakwalifikowania określonych informacji do danych osobowych jest natomiast, aby umożliwiały identyfikację bez nadzwyczajnego wysiłku, aby dały się powiązać z określonym podmiotem bez nieproporcjonalnie dużych nakładów (vide J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, LEX, stan prawny 01.06.2011 r., tezy do art. 6). W ocenie sądu powyższe cechy warunkujące zaliczenie do kategorii danych osobowych w rozumieniu art. 6 u.o.d.o. posiadają informacje zażądane przez skarżącego w sprawie niniejszej. Na podstawie ich całokształtu, w tym także poprzez ich powiązanie z innymi dotyczącymi go danymi można dokonać pośredniego zidentyfikowania skarżącego. Co prawda wskazanie wyłącznie marki czy typu samochodu do przedmiotowej identyfikacji wprost nie prowadzi, to już jednak połączenie tej informacji z numerami rejestracyjnymi auta, z datą jego użycia do przekroczenia konkretnego przejścia granicznego i w konkretnych kierunkach oraz w konkretnej dacie - taką identyfikację ułatwia, bowiem stanowi informację o przejawach działalności skarżącego (podróżach), majątku, którym dysponuje i sposobie jego wykorzystywania. To z kolei, mając na uwadze rozpowszechnione i wykorzystujące nowoczesne technologie elektroniczne środki pozyskiwania informacji, może znacznie ułatwić identyfikację. Ocena, że żądane przez skarżącego informacje stanowią dane osobowe w rozumieniu u.o.d.o. przesądza o konieczności stosowania reżimu tej ustawy do postępowania z przedmiotowymi danymi. Wniosek zgłoszony Straży Granicznej w sprawie niniejszej dotyczył informacji charakteryzujących samego wnioskodawcę. Taka sytuacja została uregulowana w Rozdziale 4 u.o.d.o. zatytułowanym "Prawa osoby, której dane dotyczą". Zgodnie z art. 32 ust. 1 pkt 3 u.o.d.o. każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące oraz podania w powszechnie zrozumiałej formie treści tych danych. Należy w tym miejscu wskazać, że na przepis art. 32 u.o.d.o. jako zawierający uprawnienie do uzyskania danych osoby wnioskującej o ich udostępnienie powoływał się skarżący (w wezwaniu do usunięcia naruszenia prawa, w skardze, jak też w piśmie przygotowawczym z dnia 6 grudnia 2013 r.). Stosownie zaś do treści art. 33 ust. 1 u.o.d.o. na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie do jej danych osobowych, informacji, o których mowa w art. 32 ust. 1 pkt 1-5a, zaś na jej wniosek informacji tych udziela się na piśmie. Administrator może również odmówić udzielenia informacji osobie, której żądane dane dotyczą, w warunkach wskazanych w art. 34 u.o.d.o. W ustawie o ochronie danych osobowych zdefiniowano również pojęcie przetwarzania danych, którym są jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych (art. 7 pkt 2) oraz administratora danych, którym jest organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3 ustawy (jednostki publiczne, jednostki niepubliczne wykonujące zadania publiczne, osoby fizyczne, prawne i jednostki nieposiadające osobowości prawnej, jeśli przetwarzają dane osobowe w związku ze swoją działalnością) – decydujące o celach i środkach przetwarzania danych osobowych (art. 7 pkt 4). Jak wynika z nadesłanych przez organ akt postępowania administracyjnego, kilkakrotnie (w pismach z dnia 19 kwietnia, 9 maja oraz 11 czerwca 2013 r.) udzielano wnioskodawcy pisemnej odpowiedzi o braku możliwości udostępnienia danych, co skutkowało wniesieniem przez niego skargi do sądu administracyjnego. Nie wskazywano przy tym na przepisy ustawy o ochronie danych osobowych, ale na przepis art. 1 ust. 2 pkt 9 ustawy z dnia 12 października 1990 r. o Straży Granicznej (tekst jedn. Dz. U. z 2011 r. Nr 16, poz. 675 ze zm.), zgodnie z którym do zadań tej służby należy gromadzenie i przetwarzanie informacji z zakresu ochrony granicy państwowej i kontroli ruchu granicznego oraz udostępnianie ich właściwym organom państwowym. Zdaniem sądu przytoczone wyżej regulacje oraz stan faktyczny sprawy uprawniają do wniosku, że żądanie skarżącego skierowane do organów Straży Granicznej można zakwalifikować jako realizowanie prawa do kontroli przetwarzanych przez ten organ (jako administratora) danych dotyczących żądającego, mające postać wniosku o ich udostępnienie w powszechnie zrozumiałej formie (art. 32 ust. 1 pkt 5 u.o.d.o.). Jak wyżej również wskazano, wniosek taki powinien zostać załatwiony w trybie uregulowanym w art. 33 ust. 1 i 2 lub w art. 34 u.o.d.o. tzn. poprzez udzielenie informacji lub – co faktycznie nastąpiło – poprzez pisemną odmowę jej udzielenia z podaniem powodów takiego postępowania. Przedmiotowa, dokonana wyżej kwalifikacja wniosku skarżącego oraz odpowiedzi organu ma ten skutek, że wyklucza na obecnym etapie postępowania o udostępnienie danych właściwość sądu administracyjnego i możliwość skontrolowania przez sąd legalności działania organu Straży Granicznej jako administratora danych. Wynika to z faktu nienadania przez ustawodawcę odmownym "rozstrzygnięciom" podejmowanym przez administratora danych osobowych na podstawie art. 33 u.o.d.o. charakteru decyzji administracyjnej ani innej procesowej formy, której zgodność z prawem można byłoby zakwestionować w sformalizowanym trybie instancyjnym (według k.p.a.) lub też którą można byłoby zakwalifikować do kategorii aktów lub czynności podlegających kontroli sądu administracyjnego, a wymienionych w art. 3 § 2 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2012 r., poz. 270 z późn. zm.), dalej p.p.s.a. Należy wskazać, że również w literaturze przedmiotu nie wypracowano jednolitego stanowiska odnośnie kwalifikacji czynności zawierającej odmowę udostępnienia danych, w tym także podejmowanej na podstawie art. 34 u.o.d.o. Zdaniem sądu uwzględniając obowiązujące regulacje należy podzielić te poglądy, zgodnie z którymi "rozstrzygnięcia odmowne" to nic innego jak czynności faktyczne lub też czynności możliwe do zakwestionowania wyłącznie w trybie przepisów Działu VIII k.p.a. "Skargi i wnioski" (por. J. Barta i inni, Ochrona ..., teza 39 do art. 23 ustawy). Powyższy wniosek potwierdza wynikająca z u.o.d.o. koncepcja organów powołanych do ochrony danych osobowych, która pozwala twierdzić, że mimo braku możliwości instancyjnego skontrolowania czynności odmowy udostępnienia danych osobowych oraz nienadania jej sformalizowanego charakteru, działania administratora danych osobowych nie zostały wyjęte spod kontroli ich zgodności z prawem. Zgodnie z art. 8 ust. 1 oraz art. 12 pkt 1 i 2 u.o.d.o. organem do spraw ochrony danych osobowych, do którego zadań należy kontrola zgodności ich przetwarzania z przepisami o ochronie danych osobowych oraz wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych, jest Generalny Inspektor Ochrony Danych Osobowych (dalej jako: GIODO). Organ ten, z urzędu lub na wniosek osoby zainteresowanej, w przypadku naruszenia przepisów o ochronie danych osobowych nakazuje, w drodze decyzji administracyjnej, przywrócenie stanu zgodnego z prawem, w szczególności nakazuje udostępnienie lub nieudostępnienie danych osobowych (art. 18 ust. 1 pkt 2 u.o.d.o.). Oznacza to, że jeżeli ubiegający się o udostępnienie danych kwestionuje udzieloną mu przez administratora danych odpowiedź negatywną – może zwrócić się do GIODO o skontrolowanie działania administratora. Dopiero decyzja wydana przez GIODO podlega zaskarżeniu do sądu administracyjnego (vide np. wyrok WSA w Warszawie z dnia 27 listopada 2008 r., II SA/Wa 222/08, dostępny w Centralnej Bazie Orzeczeń Sądów Administracyjnych na stronie http://orzeczenia.nsa.gov.pl, powoływanej dalej w skrócie jako CBOSA). Rozpoznawana sprawa znajduje się na etapie uzyskania przez skarżącego odmownego "rozstrzygnięcia" administratora danych osobowych. Jej zakwestionowanie nie może jednak, jak wyżej wywiedziono, nastąpić w trybie skargi do sądu administracyjnego z uwagi na brak sformalizowanego kształtu odmowy i nieuregulowania kwestii jej instancyjnej kontroli. Stąd też złożona w sprawie niniejszej skarga podlega odrzuceniu jako niedopuszczalna. Natomiast skarżącemu przysługuje prawo złożenia do GIODO na podstawie art. 18 ust. 1 pkt 2 u.o.d.o. wniosku zawierającego żądanie skontrolowania legalności działania administratora danych osobowych (organu Straży Granicznej). Na taką możliwość, nazywając ją "odwołaniem" wskazuje również sam skarżący na s. 4 skargi (k. 19 akt sądowych). To bowiem do GIODO będzie należała ocena, czy wskazane przez organy Straży Granicznej powody odmowy udostępnienia danych, które wnioskodawcy dotyczą, pozostawały zgodne z prawem. Mając na uwadze, że skarga w sprawie niniejszej została złożona na czynność niepodlegającą zaskarżeniu do sądu administracyjnego, podlegała ona odrzuceniu o czym orzeczono w sentencji na podstawie art. 58 § 1 pkt 6 ustawy – Prawo o postępowaniu przed sądami administracyjnymi.

Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 18.07.2026. · Źródło