II KKN 438/00
WyrokIzba Karna2000-12-11
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy odpowiedzialność karna za udostępnienie lub umożliwienie dostępu do danych osobowych osobom nieupoważnionym na podstawie art. 51 ust. 1 ustawy o ochronie danych osobowych z 1997 r. obejmuje również dane, które nie weszły ostatecznie do zbioru danych, ale były zbierane w ramach procesu przetwarzania?Ratio decidendi
Sąd Najwyższy uznał, że ochrona danych osobowych przewidziana w ustawie o ochronie danych osobowych z 1997 r. obejmuje dane już na etapie ich zbierania, a także przechowywania i niszczenia, nawet jeśli nie znalazły się one ostatecznie w zbiorze danych osobowych. Odpowiedzialność na podstawie art. 51 ust. 1 ustawy ponosi zarówno administrator danych, jak i osoba administrująca zbiorem danych lub będąca obowiązana do ochrony danych osobowych, która udostępnia je lub umożliwia do nich dostęp osobom nieupoważnionym. Kluczowe jest, aby dane były zbierane, a nie tylko znajdowały się w zbiorze.Stan faktyczny
Oskarżony Andrzej S. został skazany za umożliwienie dostępu do danych osobowych osób biorących udział w loterii promocyjnej osobom nieupoważnionym. Dane te znajdowały się w korespondencji, która została przekazana do zniszczenia jako makulatura tajna. Sąd pierwszej instancji uznał go winnym administrowania zbiorem danych i umożliwienia dostępu do nich. Sąd okręgowy zmienił wyrok, przyjmując, że oskarżony był jedynie zobowiązany do ochrony danych. Kasacja obrońcy została oddalona.Rozstrzygnięcie
Sąd Najwyższy oddalił kasację wniesioną przez obrońcę skazanego.Pełny tekst orzeczenia
POSTANOWIENIE Z DNIA 11 GRUDNIA 2000 R. II KKN 438/2000 1. Dane osobowe korzystają z ochrony przewidzianej ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 133, poz. 883 ze zm.) już wówczas, jeżeli tylko mogą znaleźć się w zbiorze danych oso-bowych, bez względu na to, czy się w nim ostatecznie znalazły, a ustawa w odniesieniu do różnych etapów i rodzajów przetwarzania danych, określa jeszcze dodatkowe uprawnienia osób, których dane te dotyczą (rozdz. 4 ustawy). Rzecz bowiem w tym, że każdy ma prawo do ochrony dotyczą-cych go danych osobowych (art. 1 ust. 1 ustawy), a nie jedynie ten, czyje dane znalazły się już w zbiorze. 2. Na gruncie ustawy o ochronie danych osobowych administratorem danych osobowych jest jedynie ten podmiot, który decyduje o celach i środkach przetwarzania tych danych (art. 7 pkt 4 ustawy), natomiast admi-nistrującym - także taki podmiot, który zarządza, zawiaduje zbiorem danych (art. 50, 51, 54) lub danymi (art. 52) w procesie ich przetwarzania, w tym i powierzonego mu w trybie wskazanym w art. 31 tej ustawy, przy czym od-powiedzialność karna administrującego nie będącego administratorem da-nych wchodzi w rachubę wówczas gdy jego zachowanie – uznane za ka-ralne przez ustawę – wynika z powierzonych mu czynności przetwarzania danych. Przewodniczący: sędzia SN T. Grzegorczyk (sprawozdawca). Sędziowie SN: A. Kapłon, D. Rysińska. Prokurator Prokuratury Krajowej: K. Parchimowicz.
2 Sąd Najwyższy po rozpoznaniu w dniu 11 grudnia 2000 r., sprawy Andrzeja S., skazanego na podstawie art. 51 ust. 1 ustawy z dnia 29 sierp-nia 1997 r. o ochronie danych osobowych (Dz. U. Nr 133, poz. 883 ze zm.), z powodu kasacji, wniesionej przez obrońcę skazanego od wyroku Sądu Okręgowego w W. z dnia 19 czerwca 2000 r., zmieniającego wyrok Sądu Rejonowego w W. z dnia 10 kwietnia 2000 r., o d d a l i ł kasację (…). U Z A S A D N I E N I E Andrzej S., wyrokiem Sądu Rejonowego w W. z dnia 10 kwietnia 2000 r., został uznany winnym tego, że w okresie od dnia 22 lutego 1999 r. do 15 marca 1999 r. w K., administrując zbiorem danych osobowych osób biorących udział w loterii „Graj w zielone” oraz będąc zobowiązanym do ochrony tych danych, umożliwił dostęp do nich osobom nieupoważnionym na terenie Zakładów Papierniczych, tj. przestępstwa określonego w art. 51 ust.1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 133, poz. 833 ze zm.), za co orzeczono wobec niego karę 100 sta-wek dziennych grzywny po 40 złotych każda. Po rozpoznaniu apelacji obrońcy od tego wyroku, Sąd Okręgowy w W., wyrokiem z dnia 19 czerwca 2000 r., zmienił to orzeczenie w ten tylko sposób, że przyjął, iż oskarżony był jedynie obowiązany do ochrony danych osobowych osób biorących udział w loterii „Graj w zielone”. W kasacji wywiedzionej od prawomocnego wyroku sądu odwoław-czego obrońca skazanego podniósł zarzut obrazy prawa procesowego przez „naruszenie zasady obiektywizmu, zasady domniemania niewinności, zasady in dubio pro reo, jak również zasady swobodnej oceny dowodów
3 (art. 4, 5 § 1 i 2 oraz art. 7 k.p.k.)”, co stanowi – zdaniem skarżącego – „ra-żące naruszenie prawa, mające wpływ na treść orzeczenia, przez uznanie Andrzeja S. za winnego popełnienia czynu w oparciu o domniemanie braku odpowiedzialności ze strony Zakładów Papierniczych za przyjmowane do zniszczenia dokumenty, a także uznanie, iż dokument wystawiony przez zakład, potwierdzający przyjęcie makulatury (...) z adnotacją «makulatura tajna» obciąża skazanego i świadczy o dokonanych przez niego zaniedba-niach”. W uzasadnieniu skargi kasacyjnej znalazł się jeszcze jeden zarzut, nie wskazany na wstępie kasacji, a mianowicie, że sądy pominęły „argu-menty zawarte w pozasądowej opinii prawnej załączonej do akt sprawy”, zwłaszcza zaś wyrażony tam pogląd, że „sposób przechowywania zgło-szeń promocyjnych w trakcie całej promocji, jak i po jej zakończeniu, nie pozwala na uznanie, iż tworzyły one zbiór w rozumieniu ustawy” i że „obro-na nie zgadza się z zaprezentowaną interpretacją sądu, co do ustawy o ochronie danych osobowych”, co oznaczałoby zarzut rażącego naruszenia prawa materialnego przez błędną jego interpretację. Rozpoznając skargę kasacyjną Sąd Najwyższy zważył, co następuje: Przede wszystkim należy przyjrzeć się stanowi faktycznemu, w jakim sądy zastosowały art. 51 ust.1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 133, poz. 883 ze zm.), gdyż wprawdzie usta-lenia faktyczne nie mogą być przedmiotem kasacji, ale bez wątpienia mają istotne znaczenie zarówno dla oceny zarzutu obrazy prawa procesowego (kwestia sposobu dokonania ustaleń i wpływu uchybienia proceduralnego na treść orzeczenia), jak i naruszenia prawa materialnego w sferze właści-wej oceny prawnej czynu (zob. np. wyroki SN z dnia 6 września 1996 r., II KKN 63/96, OSNKW 1997, z. 1-2, poz.11 i z dnia 24 czerwca 1996 r., IV KKN 42/96, OSN Prok. i Pr. 1997, z. 2, poz.16). Otóż oskarżony, jako przedstawiciel firmy RECON, zawarł w dniu 20 stycznia 1998 r. z Frito Lay Poland Sp. z o.o. z siedzibą w G. umowę zle-
4 cenia, dotyczącą zorganizowania dla zleceniodawcy obsługi promocji „Graj w Zielone”, zobowiązując się w niej m. in. do udostępnienia swych skrytek pocztowych, odbioru korespondencji z tych skrytek, segregacji owej kore-spondencji na kupony z wygranymi pieniężnymi i na kupony zgłoszone do losowania rowerów, weryfikacji kuponów z wygranymi pieniężnymi oraz przygotowania i wysłania tych nagród, prowadzenia baz danych wygrywa-jących i rejestracji wygrywających oraz przechowywania korespondencji zgłoszonej do losowania i przygotowania jej do losowania, a także do zniszczenia pozostałej po losowaniu korespondencji w terminie 2 miesięcy po zakończeniu promocji. W wykonaniu tej umowy do firmy oskarżonego przychodziła w okresie promocji korespondencja z oznaczeniem imienia i nazwiska nadawcy oraz jego adresu, była ona odbierana ze skrytek w wor-kach pocztowych, następnie układana w kartony, oklejana taśmą i ważona, i tak oczekiwała na losowania, a po zakończeniu akcji promocyjnej została ponownie przeliczona i zmagazynowana z uwagi na okres reklamacji. Po jego zakończeniu w styczniu 1999 r., oskarżony zlecił swemu pracownikowi skontaktowanie się z Zakładami Papierniczymi, z usług których wcześniej korzystał, w celu zniszczenia pozostałej korespondencji jako makulatury tajnej. Pracownik ten ustalił termin dostarczenia tym zakładom korespon-dencji promocyjnej i w określonej dacie, w lutym 1999 r., inny zaś pracow-nik wraz z wynajętym kierowcą przywiózł ją do Zakładów. Jak stwierdził oskarżony: „Korespondencja promocyjna nie zawierała żadnych danych poza imieniem, nazwiskiem i adresem. W związku z tym nie został przez nas oddelegowany żaden pracownik do bezpośredniego nadzoru nad zniszczeniem”. Twierdził on też, że „makulatura, którą dostarczyłem, była tajna, ale dla mnie nie stanowiła żadnego zbioru, była to czysta makulatura, była wrzucona do jednego worka”. Po przewiezieniu „makulatury” do zakła-dów papierniczych i odebraniu pokwitowania dostarczenia makulatury taj-nej, pracownicy oskarżonego opuścili teren zakładów po zrzuceniu jej pod
5 wiatą, na wolnej przestrzeni, gdzie w marcu 1999 r. odnaleźli ją pracownicy biura Generalnego Inspektora Danych Osobowych, którzy pojawili się w zakładach po stosownej informacji od dziennikarza telewizyjnych „Wiado-mości”. Z zeznań świadków pracowników Zakładów Papierniczych wynika-ło z kolei, że różnice między tajną i zwykłą makulaturą sprowadzają się do tego, że za zwykłą płaci się dostawcy, za tajną zaś rozliczenie jest bezgo-tówkowe, gdyż wchodzi w nie też koszt zniszczenia, oraz że dostawcy ma-kulatury tajnej, który jednocześnie chce ją zniszczyć, udostępnia się urzą-dzenia i pracowników zakładu i jest on wtedy obecny przy niszczeniu. Przy takich ustaleniach sąd pierwszej instancji uznał, że oskarżony, administrując zbiorem danych osobowych osób biorących udział w loterii i będąc zobowiązanym do ochrony tych danych, umożliwił dostęp do nich osobom nieupoważnionym na terenie Zakładów Papierniczych. Sąd ten podkreślił, że art. 51 ust. 1 ustawy o ochronie danych osobowych przewidu-je odpowiedzialność tego, kto administruje zbiorem danych lub jest zobo-wiązany do ochrony danych osobowych, a oskarżony był do ochrony takiej zobowiązany umową podpisaną w 1998 r. W ocenie tego sądu bez zna-czenia jest, czy dane osobowe wchodziły do zbioru, gdyż ustawa o ochro-nie danych osobowych nie dotyczy wyłącznie danych figurujących w zbio-rze. Sąd odwoławczy, podzielając tę interpretację, podniósł jednak, że ad-ministrowanie zbiorem zachodzi w trakcie korzystania z niego, a w niniej-szej sprawie wchodzi w grę jedynie faza zobowiązania do ochrony danych po zakończeniu korzystania z nich, przeto wyeliminował z opisu czynu sło-wa o administrowaniu przez oskarżonego zbiorem danych. Spoglądając na powyższe, stwierdzić należy, że wysuwany w kasacji zarzut obrazy podstawowych zasad postępowania, takich jak obiektywizm, domniemanie niewinności, zasada in dubio pro reo i swobodna ocena do-wodów, jest właściwie czystą polemiką z ustaleniami faktycznymi sądów i dokonaną przez nie oceną dowodów. Nie jest bowiem prawdą, że sądy
6 przyjęły jakoby domniemanie braku odpowiedzialności Zakładów Papierni-czych za przyjmowane do zniszczenia dokumenty i uznały, że wydany przez nie dokument „makulatura tajna” obciąża oskarżonego i świadczy o jego zaniedbaniach. Sądy wskazały jedynie, na podstawie zebranych do-wodów, że umowa z 1998 r. zobowiązywała właśnie oskarżonego do zniszczenia korespondencji promocyjnej, to on zdecydował, że przekazy-wana jako makulatura korespondencja promocyjna jest makulaturą tajną, był zatem świadomy konieczności jej zniszczenia, nie traktował jej jednak jako zbioru danych i nie dopełnił obowiązków, jakie na nim ciążyły, w za-kresie uniemożliwienia do niej dostępu osobom nieupoważnionym, a samo przekazanie materiałów do zniszczenia jako tajnych nie zwalniało go od tych obowiązków. Dokonanej przez sądy ocenie dowodów, które legły u podstaw ustaleń, nie można zarzucić nielogiczności rozumowania, wycią-gania nieuprawnionych wniosków i dowolności. W gruncie rzeczy autor ka-sacji chce w tym zakresie doprowadzić do ponownej oceny poszczegól-nych dowodów i uczynić instancję kasacyjną trzecim stadium procesu kar-nego w sytuacji, gdy postępowanie karne jest dwuinstancyjne, a w kasacji wolno skutecznie zarzucać jedynie rażące uchybienia prawu. W kasacji podniesiono wszak i zarzut co do interpretacji art. 51 ust. 1 ustawy o ochronie danych osobowych, czyli prawnej podstawy skazania. Zarzut ten wyrażony wprawdzie został - jak już wskazano - dopiero w uza-sadnieniu skargi kasacyjnej, co przy istniejącym przymusie adwokackim budzić musi pewne zaskoczenie, ale skoro skarga kasacyjna jest kasacją w całej swojej formie, to trzeba się zgodzić, że także wtedy, gdy zarzut poja-wia się dopiero w uzasadnieniu kasacji - a nie we wstępnej części tej skar-gi, gdzie wskazuje się zarzuty - przyjąć należy, iż jest to zarzut „podany w kasacji”, w rozumieniu art. 526 § 1 i art. 536 k.p.k. W tym miejscu trzeba zauważyć, iż zdziwienie budzi tu potraktowanie przez autora kasacji jako uchybienia sądów tego, że „sąd rejonowy, a także sąd okręgowy pominął
7 argumenty zawarte w pozasądowej opinii prawnej załączonej do akt spra-wy”. Skarżący podnosi wprawdzie, że wie , iż „przedstawiona opinia nie jest dowodem w rozumieniu k.p.k.” ale, jak wskazuje, „jest w niej wyrażony podgląd, z którym zgadza się skazany”, że „sposób przechowywania zgło-szeń promocyjnych (...) nie pozwala na uznanie, iż tworzyły one zbiór w rozumieniu ustawy.” Należy podnieść, że przedmiotowa „opinia prawna” była pozaprocesową opinią, sporządzoną wyraźnie do danej sprawy, anali-zowała bowiem sposób postępowania oskarżonego i na tym tle interpreto-wała przepisy ustawy z 1997 r., wywodząc, iż ustawa ta chroni tylko dane w zbiorze danych, w tym i na gruncie swego art. 51 ust. 1, a takowego zbioru w sprawie nie było. Autorowi kasacji należałoby w tym miejscu przy-pomnieć, że na gruncie (także) postępowania karnego jedynie facta pro-bantur, natomiast iura novit curia, nie należy zatem do stron udowadnianie sądowi treści przepisów prawa. Strona może samodzielnie, w tym korzysta-jąc z opinii pozaprocesowych, prezentować określone argumenty na rzecz wskazywanej przez siebie interpretacji przepisu prawa, nie może natomiast przedstawiać sądowi tego typu „opinii”, z żądaniem merytorycznego usto-sunkowania się do nich przez sąd. Sądy zresztą przedstawiły - wskazaną już wcześniej - swoją interpretację art. 51 ustawy o ochrony danych oso-bowych i prawem obrony jest niezgadzanie się z nią. Do tego zresztą sprowadza się analizowany tu zarzut obrazy prawa materialnego. Jest on ujęty nader ogólnikowo, gdyż autor kasacji, odwołując się do powołanej wyżej opinii, przyjmuje, iż sposób przechowywania danych wskazywał, że nie tworzyły one zbioru i dlatego nie zgadza się z interpretacją sądów, a zatem – jak należy zakładać – uznaje, że tylko dane w zbiorze podlegają ochronie na gruncie art. 51 ust.1 ustawy o ochronie danych osobowych. Ogólnikowość tego zarzutu i brak sprecyzowania, na czym polegało uchy-bienie sądów, mogłyby prowadzić do uznania kasacji w tym zakresie za oczywiście bezzasadną, skoro sądy wypowiedziały się w tej materii, a
8 skarżący nie wykazał, gdzie tkwi błąd ich rozumowania. Biorąc jednak pod uwagę rangę ustawy, będącej podstawą skazania, krótki jeszcze okres jej obowiązywania i szczególny charakter przedmiotu ochrony tego aktu praw-nego, Sąd Najwyższy zdecydował się poddać analizie powyższy przepis, w jego powiązaniu z innymi normami tej ustawy, a więc rozważyć trafność zarzutu jego wadliwej, przez sądy, interpretacji. Ochrona danych osobowych wynika z art.51 Konstytucji RP, i bez wątpienia ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych nie jest jedynym aktem prawnym chroniącym te dane (szerzej zob. np. A. Bierć: Ochrona prawna danych osobowych w sferze działalności gospodar-czej w Polsce - aspekty cywilnoprawne; W. Kulesza: Ochrona danych oso-bowych a nowa kodyfikacja prawa karnego w Polsce; A. Mednis: Ochrona prawna danych osobowych a zagrożenie prywatności – rozwiązania pol-skie, w: Ochrona danych osobowych, praca zbiorowa, pod red. M. Wyrzy-kowskiego, Warszawa 1999). Na gruncie tej ustawy wypowiadane są jed-nak rozbieżne w istocie swej poglądy co do zakresu jej działania. Wedle niektórych autorów, ustawa ta „jest aktem kompleksowo ujmującym całość zagadnienia, bez względu na sposób, w jaki przetwarza się dane osobowe, elektronicznie czy też manualnie” (tak B. Banaszak, K. Wygoda: Regulacja prawna ochrony danych osobowych w Polsce w świetle ustawy z dnia 29 sierpnia 1997 r. i standardów europejskich, w: Ochrona danych osobo-wych, op. cit., s.53). Inni z kolei podnoszą, że „ochrona ta dotyczy przede wszystkim sytuacji, gdy dane te przetwarza w systemach informatycznych” (tak A. Bierć: op. cit., s. 112), a więc nie tylko danych przetwarzanych w owych systemach. Jeszcze inni uważają, iż „na pytanie czy przepisy (...) ustawy stosuje się do wszelkich danych osobowych, czy tylko do takich, które znajdują się w lub mają się znaleźć w zbiorze, nie można odpowie-dzieć jednoznacznie” , przy czym przyjmują, że gdy chodzi o dane przetwa-rzane ręcznie, to „korzystają one z ochrony o tyle, o ile są lub mają być
9 elementem zbioru” (tak A. Mednis: Ustawa o ochronie danych osobowych. Komentarz, Warszawa 1999, s. 15). Analizując przepisy ustawy z 1997 r. należy zauważyć, że już z jej ty-tułu wynika, iż dotyczy ona ochrony danych osobowych, a nie danych oso-bowych w zbiorach. Zgodzić się trzeba, że sam tytuł ustawy nie musi jesz-cze przesądzać o zakresie jej działania, choć co do zasady powinien, i na pewno ma znaczenie dla interpretacji danego aktu prawnego. Już zresztą w art. 1 ustawa zakłada, że każdy ma prawo do ochrony danych osobo-wych (ust. 1), a ich przetwarzanie może mieć miejsce tylko z uwagi na wskazane w ustawie dobra i jedynie w zakresie i trybie określonym ustawą (ust. 2). W art. 2 ust. 1 ustawa wskazuje z kolei, że „określa zasady postę-powania przy przetwarzaniu danych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych.” Nie chodzi przy tym o prawa osób, których dane – jak twierdzą niektórzy auto-rzy – „są lub mają być elementem zbioru” (tak A. Mednis), ale które „są lub mogą być przetwarzane w zbiorach”. Zgodnie zaś z ustawą przetwarzanie danych, to „wszelkie operacje na tych danych” – a nie na zbiorze takich danych – w tym m. in. „takie jak zbieranie, utrwalanie, przechowywanie (...) i usuwanie” (art. 7 pkt 2). Tym samym dane osobowe korzystają z ochrony przewidzianej ustawą o ochronie danych osobowych już wówczas, jeżeli tylko mogą znaleźć się w zbiorze, bez względu na to, czy się w nim osta-tecznie znalazły, a ustawa w odniesieniu do różnych etapów i rodzajów przetwarzania danych określa jeszcze dodatkowe uprawnienia osób, któ-rych dane te dotyczą (rozdz. 4 ustawy). Rzecz bowiem w tym, że każdy ma prawo do ochrony dotyczących go danych osobowych (art. 1 ust. 1 usta-wy), a nie jedynie ten, czyje dane znalazły się już w zbiorze. Ustawa precy-zyjnie przy tym określa do jakich podmiotów przetwarzających dane się odnosi (art. 3 ust.1-3), i zastrzega, iż nie stosuje się jej norm tylko wobec osób fizycznych przetwarzających dane osobowe w celach osobistych lub
10 domowych (art. 3 ust.4); jest to jedyne ograniczenie podmiotowego zakresu ustawy. Na marginesie zauważyć należy, iż w piśmiennictwie wskazuje się wyraźnie, że wzorcem regulacji polskiej z 1997 r. stały unormowania za-chodnioeuropejskie oraz Konwencja nr 108 Rady Europy z dnia 26 stycznia 1981 r. i Dyrektywa Unii Europejskiej nr 95/46/CE z dnia 24 października 1995 r. oraz podnosi, że o ile początkowo ustawodawstwo europejskie chroniło praktycznie wyłącznie zbiory danych osobowych, o tyle obecnie wraz z rozwojem technologii uznano, iż nieobjęcie ochroną pojedynczych danych byłoby niewłaściwe (zob. A. Mednis: op. cit, s. 7 i 14). Danymi osobowymi są przy tym wszelkie informacje dotyczące osoby fizycznej, pozwalające na określenie tożsamości tej osoby (art. 6 ustawy), są więc nimi na pewno także np. informacje znajdujące się na kopercie z imieniem, nazwiskiem i adresem danej osoby fizycznej. Jeżeli zaś, stosow-nie do art. 7 omawianej ustawy, przetwarzaniem danych jest ich zbieranie, przechowywanie i usuwanie, a usuwaniem m.in. niszczenie (pkt 2 i 3 art. 7), to nie powinno budzić wątpliwości, iż ochrona danych osobowych, o ja-kiej mowa w ustawie z 1997 r., odnosi się już do etapu ich zbierania, a na-stępnie fazy przechowywania i niszczenia, i to choćby nie znalazły się one ostatecznie w zbiorze danych osobowych. Nie może bowiem być pozba-wiona w ogóle ochrony prawnej płynącej z ustawy w odniesieniu swych da-nych osoba, której dane - mimo że zbierane, czyli przetwarzane w rozu-mieniu tej ustawy - nie znalazły się w zbiorze, i to tylko dlatego, że nie we-szły one do zbioru. Pamiętać też należy, iż zgodnie z art. 31 ustawy, admi-nistrator danych, czyli ten podmiot, który decyduje o celach i środkach przetwarzania danych (art. 7 pkt 4), może w drodze umowy powierzyć przetwarzanie danych innemu podmiotowi i wówczas - niezależnie od od-powiedzialności administratora danych za przestrzeganie ustawy - podmiot przetwarzający dane ponosi odpowiedzialność za przetwarzanie ich nie-zgodnie z tą umową (art. 31 ust. 4). Ponosi on jednak odpowiedzialność
11 także w tych sytuacjach, w których ustawa odnosi określone zachowanie nie tylko do administratora danych. W niniejszej sprawie oskarżony zawarł z firmą prowadzącą promocję „Graj z zielone” umowę, na podstawie której zobowiązał się m.in. do udo-stępnienia skrytek pocztowych, odbierania korespondencji, segregowania jej, weryfikowania kuponów z wygranymi, prowadzenia baz danych osób wygrywających i ich rejestracji oraz do przechowywania korespondencji i jej zniszczenia po promocji. Były to bez wątpienia czynności z zakresu prze-twarzania danych w rozumieniu art. 7 pkt 2 i 3 ustawy z 1997 r. Nie był on jednak administratorem danych w znaczeniu nadanym temu pojęciu w art. 7 pkt 4 ustawy, gdyż nie decydował o celach i środkach przetwarzania da-nych, a jedynie o sposobach realizacji określonych w umowie czynności przetwarzania. Przechodząc do analizy art. 51 ust. 1 ustawy o ochronie danych oso-bowych, który stał się podstawą skazania w niniejszej sprawie, zauważyć należy, że zakłada on odpowiedzialność tego, „kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym”. Udostępnianie danych oznacza tu z założenia działanie sprawcy, oznacza bowiem czy-nienie dostępnym, ułatwianie dostępu (zob. Słownik języka polskiego, pra-ca zbiorowa pod red. M. Szymczaka, Warszawa 1989, t. III, s. 582), zaś umożliwienie dostępu do nich - jako czynienie tylko możliwym, ułatwianie, przyczynianie się (zob. Słownik języka polskiego, s. 600) – może nastąpić i przez zaniechanie, a więc niedopełnienie obowiązku. Zauważyć jednak na-leży, że o ile w licznych przepisach ustawy mówi się o – zdefiniowanym w art.7 pkt 4 – „administratorze danych” (zob. np. art.26 ust.1, art. 29 ust.1, art. 30, art. 31 ust.1 i 4, art. 33 ust. 1, art. 36, czy art. 38, 39, 40), o tyle w art. 51 użyto innego wyrażenia, a mianowicie „kto administrując zbiorem”, czyli pojęcia „administrującego zbiorem danych”. Podobnie uczyniono w
12 art. 50 i 54, by z kolei w art. 52 spenalizować zachowania „administrujące-go danymi”. W piśmiennictwie jakby nie dostrzega się tej różnicy, utożsa-miając administrującego zbiorem, o którym mowa w art. 51 (oraz w art. 50 i 54) ustawy, i administrującego danymi, o którym mowa w art. 52, z admini-stratorem danych (zob. np. A. Mednis: op. cit., s. 130; W. Kulesza: op. cit., s. 92). Nie można jednak zgodzić się z poglądem, jakoby administrujący zbiorem, administrujący danymi i administrator danych były tu pojęciami tożsamymi. Racjonalny ustawodawca bowiem nie używa w tym samym ak-cie prawnym różnych określeń dla wskazania tego samego podmiotu. Ana-lizując przedstawione zwroty, należy więc przyjąć, iż na gruncie ustawy o ochronie danych osobowych administratorem danych osobowych jest jedy-nie ten podmiot, który decyduje o celach i środkach przetwarzania tych da-nych (art. 7 pkt 4 ustawy), natomiast administrującym – także taki podmiot, który zarządza, zawiaduje (zob. Słownik poprawnej polszczyzny, pod red. W. Doroszewskiego, Warszawa 1994. s. 4) zbiorem danych (art. 50, 51, 54) lub danymi (art. 52) w procesie ich przetwarzania, w tym i powierzone-go mu w trybie wskazanym w art. 31 tej ustawy z tym zastrzeżeniem, że odpowiedzialność karna administrującego nie będącego administratorem danych wchodzi w rachubę gdy jego zachowanie – uznane za karalne przez ustawę – wynika z powierzonych mu czynności przetwarzania da-nych. W art. 51 ustawy o ochronie danych osobowych nie chodzi zatem je-dynie o odpowiedzialność karną podmiotu, który „będąc administratorem danych” udostępnia je lub umożliwia do nich dostęp osobom nieupoważ-nionym, ale o odpowiedzialność każdego, kto czyni to „administrując zbio-rem”, choćby nie był jego administratorem. Istotne jest tu jednak, aby za-wiadywał on nie tyle danymi, ile zbiorem danych. Zbiorem takim zaś jest „posiadający strukturę zestaw danych osobowych, dostępnych według określonych kryteriów”, bez względu na to, czy jest on rozproszony, czy
13 podzielony funkcjonalnie (art. 7 ust. 1 ustawy). Jak już wskazano, w świetle umowy między oskarżonym a Frito Lay Poland Sp. z o.o. miał on m.in. przyjmować korespondencję promocyjną, segregować ją na kupony z wy-granymi pieniężnymi i kupony do losowania nagród rzeczowych (rowerów), weryfikować kupony z wygranymi pieniężnymi, przygotowywać i przesyłać nagrody, prowadzić bazy danych i rejestrację wygrywających, przechowy-wać korespondencję zgłoszoną do losowania oraz zniszczyć ją po losowa-niu i zakończeniu promocji. Nie powinno zatem budzić wątpliwości, że miał tu miejsce zbiór danych osobowych, a to, jak oskarżony sam go traktował i jak praktycznie realizował poszczególne cele i środki powierzonego prze-twarzania oraz jakimi sposobami to czynił, nie ma znaczenia. To bowiem nie ocena subiektywna oskarżonego i sposoby praktycznej realizacji prze-zeń czynności składających się na przetwarzanie danych decydują o ist-nieniu zbioru, ale to, czy wykaz danych i nakazane mu umową ich przetwa-rzanie spełniało ustawowe wymogi zbioru i jego przetwarzania, przy czym bez znaczenia pozostaje tu kryterium doboru danych do zbioru. Wskazano już wcześniej, że ochrona przewidziana w ustawie o ochronie danych oso-bowych odnosi się także do danych, które nie weszły do zbioru, a zatem administrujący zbiorem danych odpowiada na gruncie art. 51 ustawy także za ochronę tych danych, które były zbierane, ale nie wprowadzono ich do dalszego przetwarzania w zbiorze. Administrujący zbiorem danych odpo-wiada tu bowiem za udostępnienie lub umożliwienie dostępu do danych osobowych, a nie do zbioru takich danych, a więc także za udostępnienie lub umożliwienie dostępu do takich danych, które z racji zbierania mogły jedynie być (choć nie były ostatecznie) dalej przetwarzane jako element zbioru. Dla odpowiedzialności tej jest zatem obojętne, czy dane osobowe określonej osoby fizycznej stały się elementem zbioru i były w nim dalej przetwarzane, wystarczy zaś, że były one zbierane, w tym i koresponden-cyjnie. Nie można przy tym zgodzić się z Sądem Okręgowym, że admini-
14 strowanie zbiorem ma miejsce jedynie w trakcie korzystania z danych, czym uzasadniał on wyeliminowanie z opisu czynu słów o administrowaniu zbiorem danych przez oskarżonego. Jeżeli – jak wcześniej wskazano – administrowanie to zarządzanie, zawiadywanie, to tym samym także nisz-czenie jako usuwanie jest administrowaniem danymi. To uchybienie sądu odwoławczego nie ma jednak istotnego wpływu na treść zaskarżonego orzeczenia. Mają bowiem racje oba sądy orzekające w tej sprawie, że art. 51 ustawy alternatywnie ujmuje podmiot przestępstwa, skoro zakłada, iż jest nim ten, „kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych”, zachowuje się w sposób określony w tym przepisie. Oskarżony w ramach cytowanej umowy z 1998 r. obowiązany był m.in. do „zniszczenia pozostałej po losowaniu korespondencji w terminie 2 miesięcy po zakończeniu promocji”. Niezależnie zatem od tego, że wyko-nywać miał określone czynności przetwarzania danych, był też zobligowa-ny do zniszczenia danych po zakończeniu promocji. Nie jest zaś wykluczo-ne, że administrator danych powierzy, w drodze umowy wskazanej w art. 31 ustawy, poszczególne czynności, będące przetwarzaniem danych, róż-nym podmiotom, w tym jednemu z nich tylko usunięcie danych. W takim wypadku za ochronę danych przy ich usuwaniu odpowiadać może ten właśnie podmiot, a udostępnienie lub umożliwienie dostępu do danych przy innych czynnościach ich przetwarzania będzie obciążało administrującego zbiorem w trakcie tych czynności. W niniejszej sprawie oskarżonemu po-wierzono usunięcie danych wraz z innymi czynnościami ich uprzedniego przetwarzania, w tym i zbieranie, przeto powinien odpowiadać jako admini-strujący zbiorem danym i będący obowiązany do ochrony tych danych, w tym także w trakcie ich niszczenia (usuwania). Skazanie go jedynie jako będącego obowiązanym do ochrony danych trudno jednak - uwzględniając całokształt sprawy - uznać za uchybienie mogące mieć istotny wpływ na treść orzeczenia. Nie budzi natomiast wątpliwości, że oskarżony nie dopeł-
15 nił obowiązku ochrony danych osobowych w zakresie powierzonego mu ich zniszczenia, umożliwiając w tej fazie administrowania dostęp do owych da-nych osobom nieupoważnionym. Oskarżony powinien podjąć takie czynno-ści, które zapewniałyby zniszczenie korespondencji promocyjnej bez moż-liwości zapoznania się z danymi osobowymi z niej wynikającymi osobom nieupoważnionym do dostępu do nich. Oskarżony nie traktował, jak sam przyznawał, owej korespondencji jako zbioru, nie zapewnił udziału swego lub swego pracownika przy niezwłocznym zniszczeniu w Zakładach Pa-pierniczych przekazanej tam jako makulatura korespondencji z danymi osobowymi, i nie można przyjąć, iżby przez przekazanie jej owym Zakła-dom jako makulatury tajnej uwolnił się automatycznie od odpowiedzialności karnej z art. 51 ustawy o ochronie danych osobowych. To on bowiem w pierwszej kolejności był odpowiedzialny za ochronę danych w zakresie określonym w tym przepisie, a samo przekazanie tych danych do znisz-czenia innemu podmiotowi, nie gwarantujące ich zniszczenia bez dostępu do danych osób nieupoważnionych, nie może oznaczać uwolnienia się ob-owiązanego do ochrony danych od odpowiedzialności za tę ochronę. W świetle tego, co dotychczas powiedziano, nie można przyjąć, tak jak chciałby skarżący, że w sprawie tej naruszono prawo materialne, a to art. 51 ustawy o ochronie danych osobowych, gdyż wbrew twierdzeniom kasacji przepis ten nie odnosi się jedynie do ochrony danych stanowiących element zbioru. Nie można zresztą też przyjąć, iżby zbierana i przetwarza-na przez oskarżonego korespondencja promocyjna nie była w ogóle takim zbiorem z uwagi na stosowane przezeń sposoby powierzonego przetwa-rzania ani też, że oskarżony uwolnił się od odpowiedzialności przez prze-kazanie owej korespondencji jako makulatury tajnej Zakładom Papierni-czym do zniszczenia. Mając powyższe na uwadze, kasację niniejszą oddalono, orzekając jak w wyroku.
Powiązane orzeczenia
- I CSK 358/07 2008-02-15Czy naruszenie przepisów ustawy o ochronie danych osobowych poprzez udzielenie nierzetelnych informacji o gromadzonych i przechowywanych danych osobowych, które doprowadziło do naruszenia dóbr osobistych, uzasadnia ochro…
- I ZI 42/24 2025-09-04Czy istnieją podstawy do zezwolenia na pociągnięcie sędziego do odpowiedzialności karnej za przekroczenie uprawnień i naruszenie przepisów o ochronie danych osobowych w celu uzyskania informacji o karalności kontrahenta…
- I CSK 597/16 2017-06-01Czy operator sieci komórkowej, który powierzył przetwarzanie danych osobowych klientów profesjonalnej firmie zewnętrznej, może być zwolniony od odpowiedzialności cywilnej za naruszenie dóbr osobistych klienta, jeśli do n…
- I ZI 14/23 2023-05-17Czy istnieją podstawy do zezwolenia na pociągnięcie prokuratora do odpowiedzialności karnej za ujawnienie informacji niejawnych i danych osobowych w toku postępowania cywilnego, biorąc pod uwagę znikomy stopień społeczne…
- I CSK 684/12 2013-02-15Czy żądanie nakazania usunięcia danych osobowych jako sposobu usunięcia skutków naruszenia dóbr osobistych podlega wyłącznej właściwości Generalnego Inspektora Ochrony Danych Osobowych, czy też droga sądowa cywilna jest…
Powołane przepisy
art. 1 ust. 1art. 7 pkt 4art. 50art. 52art. 31art. 51 ust. 1art. 51 ust.1art. 4art. 7 KPKart. 526 § 1art. 536 KPKart. 51
Źródło: Baza Orzeczeń Sądu Najwyższego (sn.pl), pozyskano 18.07.2026. · PDF źródłowy