II SA/Wa 174/14 – Wyrok WSA w Warszawie

Sygn.  akt II SA/Wa 174/14

Wyrok WSA w Warszawie

Dnia 23 września 2014 r. Wojewódzki Sąd Administracyjny w Warszawie w składzie:

Przewodniczący : Sędzia WSA – Anna Mierzejewska
Sędzia WSA – Andrzej Góraj
Sędzia WSA – Sławomir Antoniuk (sprawozdawca)
Protokolant : Marek Kozłowski

po rozpoznaniu na rozprawie w dniu 23 września 2014 r. sprawy ze skargi T. Z. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia […] grudnia 2013 r. nr […] w przedmiocie odmowy uwzględnienia wniosku

1. oddala skargę;

2. przyznaje ze środków budżetowych Wojewódzkiego Sądu Administracyjnego w Warszawie na rzecz adwokata M. P. kwotę 240 zł (słownie: dwieście czterdzieści złotych) oraz kwotę 55,20 zł (słownie: pięćdziesiąt pięć złotych 20/100) stanowiącą 23% podatku VAT, tytułem nieopłaconej pomocy prawnej udzielonej z urzędu.

UZASADNIENIE

Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia […] grudnia 2013 r. nr […], wydaną na podstawie art. 138 § 1 pkt 1 k.p.a. oraz art. 12 pkt 2, art. 22, art. 23 ust. 1 pkt 2 i art. 26 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), utrzymał w mocy własną decyzję z dnia […] lipca 2013 r. […] odmawiającą uwzględnienia wniosku T. Z. o usuniecie nieprawidłowości w procesie przetwarzania jego danych osobowych przez […] S. A. z siedzibą we […], w tym ich udostępnienie na rzecz […] S. A. z siedzibą w[…].

W uzasadnieniu powyższej decyzji Generalny Inspektor Ochrony Danych Osobowych wskazał, iż T. Z. wniósł do organu Ochrony Danych Osobowych skargę na przetwarzanie jego danych osobowych przez [….] S. A. (dalej jako Bank). W piśmie z dnia […] lipca 2012 r. skarżący sprecyzował, że Bank odmówił mu usunięcia poprzedniego jego adresu zamieszkania i zameldowania wskazując, iż zainteresowany nie wskazał nowego aktualnego adresu i do tego czasu nie usunie nieaktualnych danych osobowych wnioskodawcy. Mając na względzie, że skarżącego z Bankiem nie łączą obecnie żadne stosunki prawne jak i faktyczne, wymieniony zażądał wszczęcia postępowania administracyjnego i wydania zakazu przetwarzania jego danych osobowych w części obejmującej nieaktualny adres zameldowania i zamieszkania. W piśmie z dnia […] grudnia 2012 r. skarżący uzupełnił żądanie wskazując, iż w dniu […] lipca 2008 r. Bank bezprawnie i bezpodstawnie umieścił jego dane osobowe jako dłużnika oraz dane umowy z nim zawartej w […] w […] (dalej jako[…]). Zdaniem skarżącego, jedynym aktualnym celem przetwarzania przez […] jego danych osobowych jest niekwestionowany przez niego cel statystyczny.

Generalny inspektor Ochrony Danych Osobowych przeprowadził w sprawie postępowanie wyjaśniające, w toku którego ustalił, że:

1. W dniu […] marca 2002 r. skarżący zawarł z […] S. A. z siedzibą w […]”Umowę Kredytu dewizowego w CHF nr […]”, w której wskazał adres: ul. […]. 2. […] S. A. z siedzibą w […] (poprzednio działający pod nazwą [….] S. A.) w dniu […] maja 2004 r. zawarł z [.]S. A. z siedzibą w […] (obecnie po zmianie nazwy [.] S. A.) oraz z [….] S. A. z siedzibą we […] umowę, na podstawie której […] S. A. (cesjonariusz) nabył od […] S. A. (cedenta) wierzytelności z umów kredytowych zawartych przez […] S. A., w tym wierzytelność z zawartej ze skarżącym umowy kredytu.

3. Na mocy „Umowy sprzedaży wierzytelności” z dnia […] maja 2008 r. Bank dokonał na rzecz [.] S. A. z siedzibą we […] sprzedaży wierzytelności wobec skarżącego wynikającej z urnowy kredytu i nabytych w trybie opisanym w ww. pkt 2.

4. W piśmie z dnia […] października 2012 r. Bank wyjaśnił, że dane skarżącego były przetwarzane przez […] S. A. w okresie od […] maja 2004 r. do [.] maja 2008 r. w zbiorze danych klientów Banku na podstawie art. 23 ust. 1 pkt 5. ustawy o ochronie danych osobowych celem dochodzenia roszczeń, w zakresie zawartym w dokumentacji kredytowej, tj. imienia, nazwiska, adresu zamieszkania i korespondencyjnego, numeru dowodu osobistego, numeru PESEL, numeru telefonu, wysokości dochodu, zakładu pracy, stanowiska, okresu zatrudnienia, własności mieszkania, liczby osób w gospodarstwie domowym. W dniu […] maja 2008 r. nastąpiła sprzedaż wierzytelności skarżącego na rzecz firmy […] S. A. Po sprzedaży wierzytelności skarżącego firmie [.] S. A., Bank przetwarza dane osobowe skarżącego w zbiorze archiwum […] S. A. prowadzonym w celach archiwizacji dokumentacji bankowej, sprawozdawczości finansowej, celów rachunkowych oraz celów związanych z ewentualnymi roszczeniami powstałymi w związku z wykonywaniem czynności bankowych przez Bank. W piśmie wyjaśniającym z dnia […] grudnia 2012 r. Bank dodał, że zamierza przetwarzać dane osobowe skarżącego związane z obsługą umowy kredytu dewizowego z dnia […] marca 2002 r., w zbiorze archiwum Banku przez okres 10 lat, na wypadek ewentualnych roszczeń skarżącego powstałych w związku z wykonywaniem przez Bank czynności bankowych w oparciu o art. 118 Kodeksu cywilnego oraz jednocześnie dla celów statystycznych przez okres 12 lat w oparciu o art. 105a ust. 4 ustawy z dnia 29 sierpnia 1997 r. Prawo Bankowe, licząc od daty sprzedaży wierzytelności skarżącego firmie […] S. A.

5. W kolejnym piśmie z dnia […] października 2012 r. Bank wyjaśnił, iż skarżący przesłał do Banku pisma z dnia […] maja 2012 r., […] czerwca 2012 r. oraz […] października 2012 r., w których informował o nieaktualności adresu, jednakże w żadnym z przedmiotowych pism nie informował o aktualnym adresie. W ww. pismach skarżący uznał adres: ul. […] w […] za nieaktualny i podkreślił: „Kierowanie jakiejkolwiek korespondencji na ten adres jest prawnie całkiem bezskuteczne”. Zaś w piśmie z dnia […] października 2012 r. zainteresowany dodał: „podnoszę, iż mój nowy adres zamieszkania, zameldowania i siedziby jest tajny, niejawny (…) nie wyrażam zgody na dalsze przetwarzanie moich danych osobowych przez Bank oraz wnoszę umotywowany sprzeciw na przetwarzanie moich danych osobowych wy postaci niezupełnej tzn. bez aktualnego, ważnego adresu zameldowania i zamieszkania, jak siedziby (…)”.

6. W piśmie z dnia […] stycznia 2013 r. Bank potwierdził, że przekazał do […] dane osobowe skarżącego związane z umową kredytu w zakresie: imię, nazwisko, numer PESEL, numer dowodu osobistego, data urodzenia, płeć, adres, obywatelstwo oraz dane finansowe kredytu. Powyższe nastąpiło w lutym 2005 r. dla celów analizy ryzyka kredytowego na podstawie art. 105 ust. 4 i art. 105a Prawa bankowego. Bank potwierdził, że w lipcu 2008 r., aktualizując przekazane do zbioru BIK dane osobowe skarżącego Bank oznaczył w bazie […] rachunek skarżącego jako: „Odzyskany” z datą odzyskania […] maj 2008 r. z informacją „Dług odsprzedany”. Dodano: „Bank przychylił się w całości do wniosku skarżącego i dokonał całkowitego usunięcia rachunku skarżącego w dniu […] stycznia 2013 r. (…)”.

7. BIK w pismach skierowanych do organu z dnia […] lutego i […] marca 2013 r. potwierdził, że obecnie nie przetwarza danych osobowych skarżącego pozyskanych od Banku, dotyczących umowy kredytu, ani w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, ani w celu stosowania metod statystycznych.

Po przeprowadzeniu w sprawie postępowania wyjaśniającego Generalny Inspektor wydał decyzję administracyjną z dnia […] lipca 2013 r. odmawiającą uwzględnienia wniosku.

T. Z. wniósł o ponowne rozpatrzenie sprawy zakończonej decyzją odmowną z dnia […] lipca 2013 r. Wymieniony podniósł zarzut wydania tej decyzji przez osobę do tego nieupoważnioną – A. L.

Uznając zarzut strony za chybiony, Generalny inspektor Ochrony Danych Osobowych rozstrzygnięciem z dnia […] grudnia 2013 r. utrzymał zaskarżoną decyzję w mocy. W motywach rozstrzygnięcia organ wskazał, że zaskarżona decyzja została podpisana przez A. L., zajmującego stanowisko Zastępcy Generalnego Inspektora Ochrony Danych Osobowych. W dniu […] grudnia 2006 r. Generalny Inspektor Ochrony Osobowych udzielił A. L. upoważnienia do wydawania w imieniu Generalnego Inspektora decyzji, o których mowa w art. 18, 21, 44, 44a i 48 ustawy o ochronie danych osobowych, postanowień, zaświadczeń, podpisywania pism wychodzących z Biura GIODO, a także podpisywania pełnomocnictw i pism procesowych do sądów powszechnych i administracyjnych.

Z uwagi na brak merytorycznych zarzutów skarżącego, dotyczących rozstrzygnięcia zawartego w zaskarżonej decyzji, Generalny Inspektor w pełni podtrzymał wyrażone w niej stanowisko. Organ przytoczył brzmienie art. 2 ust. 1 i art. 7 pkt 2 ustawy o ochronie danych osobowych oraz wskazał, iż warunkiem legalności każdej czynności przetwarzania danych osobowych jest spełnienie którejkolwiek z autonomicznych i równorzędnych przesłanek dopuszczalności tego procesu, wymienionych enumeratywnie w art. 23 ust. 1 pkt 1-5 powołanej ustawy, zezwalających na przetwarzanie danych m.in. wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (pkt 2), gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem urnowy na żądanie osoby, której dane dotyczą (pkt 3), gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (pkt 5). W myśl art. 23 ust. 4 pkt 2 ustawy za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

W niniejszej sprawie istotne jest, że art. 23 ust. 1 pkt 5 w zw. z art. 23 ust. 4 pkt 2 ustawy uprawniają wierzyciela zarówno do przetwarzania danych osobowych dłużnika w ramach samodzielnie podejmowanych wobec niego działań windykacyjnych, jak i do udostępnienia tych danych innym podmiotom czy osobom, z których pośrednictwa wierzyciel korzysta przy podejmowaniu czynności windykacyjnych lub na rzecz których dokonuje cesji wierzytelności. Błędne jest więc przekonanie skarżącego o niedopuszczalności udostępnienia jego danych osobowych przez wierzyciela dokonującego cesji wierzytelności wobec skarżącego na rzecz nabywcy tej wierzytelności. Zarówno pozyskanie przez Bank (poprzednio […] S. A.) od […] S. A. (poprzednio […] S. A.) na podstawie umowy cesji z dnia […] maja 2004 r. danych osobowych skarżącego, jak też późniejsze ich udostępnienie przez Bank na rzecz […] S. A. w wykonaniu umowy sprzedaży wierzytelności z dnia […] maja 2008 r., znajdowały prawne uzasadnienie w art. 23 ust. 1 pkt S ustawy. W ww. sposób […] S. A. i […] S. A. dążyły bowiem do uzyskania zaspokojenia ich wierzytelności, wynikającej z umowy kredytu podpisanej przez skarżącego w dniu […] marca 2002 r. — zatem realizowały swój prawnie usprawiedliwiony cel.

Odnosząc się do zarzutu skarżącego, dotyczącego przedawnienia jego zobowiązania wynikającego z ww. umowy kredytowej, organ podniósł, iż okoliczność ta nie pozbawia Banku prawa do przetwarzania danych osobowych skarżącego na mocy art. 23 ust. 1 pkt 5 w związku z art. 23 ust. 4 pkt 2 powołanej ustawy, w celu dochodzenia roszczeń wynikających z tej umowy. Takie stanowisko wynika z przyjęcia w prawie cywilnym, że przedawnione roszczenie nie wygasa, a jedynie zamienia się w tzw. zobowiązanie niezupełne (naturalne), którego cechą jest niemożność jego przymusowej realizacji. Nawet w razie przedawnienia roszczenia majątkowego z ww. umowy kredytowej stosunek zobowiązaniowy między każdorazowym wierzycielem (pierwotnie […] S. A., przekształcony w […] S. A.; następnie […] S. A., przekształcony w […] S. A.; aktualnie […] S. A.) a dłużnikiem (skarżącym) nadal istnieje, a wierzyciel jest uprawniony do dochodzenia roszczenia, natomiast nie może jedynie uzyskać tego zaspokojenia w drodze przymusowej egzekucji.

Mając powyższe na względzie Generalny Inspektor Ochrony Danych Osobowych stwierdził, iż Bank legalnie pozyskał dane osobowe skarżącego w związku z zawarciem z nim umowy kredytowej i późniejszym dochodzeniem wynikających z niej roszczeń, a także legalnie (w ramach dochodzenia roszczeń) udostępnił je na rzecz […] S. A. Obecnie zaś Bank przetwarza ww. dane osobowe skarżącego wyłącznie w celach archiwalnych na podstawie art. 23 ust. 1 pkt 2 ustawy. Bank uzyskał zaspokojenie wierzytelności przysługującej mu w stosunku do skarżącego, a wynikającej z umowy kredytu dewizowego, z chwilą sprzedania tej wierzytelności na rzecz […] S. A., tj. dnia […] maja 2008 r. Skoro więc stosunek zobowiązaniowy między Bankiem a skarżącym wygasł w ww. dniu, brak jest podstaw dla zakwestionowania prawidłowości stanowiska Banku, że od tej daty należy liczyć okres 12 lat dopuszczalnego przetwarzania danych osobowych skarżącego dla celów statystycznych (art. 105a ust. 4 ustawy Prawo Bankowe). Nadto nie można pominąć argumentu Banku, że przetwarzanie danych osobowych skarżącego jest istotne dla możliwości dochodzenia przez Bank roszczeń związanych z umową kredytu dewizowego. Art. 118 Kodeksu cywilnego stanowi bowiem, że w braku szczególnego unormowania, termin przedawnienia wynosi lat dziesięć, a dla roszczeń o świadczenia okresowe oraz roszczeń związanych z prowadzeniem działalności gospodarczej – trzy lata.

Odnosząc się do kwestii udostępnienia danych osobowych skarżącego przez Bank na rzecz […] S. A. organ powołał się na art. 105a ust. 1 Prawa bankowego, z którego wynik, iż przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106c, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Instytucie, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank lub inną instytucję ustawowo upoważnioną do udzielania kredytów o zamiarze przetwarzania dotyczących jej informacji stanowiących tajemnicę bankową, bez jej zgody (art. 105a ust. 3 Prawa bankowego). Zgodnie z art. 105a ust. 6 Prawa bankowego, zakres przetwarzanych informacji, o których mowa w ust. 3 i 4, może obejmować dane dotyczące osoby fizycznej lub dane dotyczące zobowiązania.

Zatem udostępnienie kwestionowanych danych osobowych skarżącego przez Bank na rzecz […] S. A. nastąpiło na podstawie ww. przepisów. Stwierdzenie to ma jednak charakter wyłącznie uzupełniający, gdyż Bank doprowadził do usunięcia z […] przekazanych mu danych osobowych skarżącego. Obecnie […] S. A. nie przetwarza w żadnym celu kwestionowanych danych osobowych skarżącego

Odnosząc się do kwestii przetwarzania przez Bank nieaktualnego adresu skarżącego, organ przywołał treść art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych, zobowiązujący administratora danych do zapewnienia poprawności przetwarzanych danych osobowych i ich adekwatności w stosunku do celów, w jakich są przetwarzane. W ocenie organu, zgromadzony w sprawie materiał dowodowy dawał podstaw do postawienia Bankowi zarzutu naruszenia ww. regulacji. Wprawdzie skarżący poinformował Bank, że dotychczasowy jego adres (ul.[…]) jest już nieaktualny, ale jednocześnie nie podał Bankowi swego aktualnego adresu. W ten sposób skarżący zamierzał niejako uniemożliwić Bankowi jakikolwiek kontakt z nim – w szczególności w związku z dochodzeniem w przeszłości przez Bank roszczeń wobec skarżącego wynikających z umowy kredytowej. Obecnie Bank – po dokonaniu cesji wierzytelności wynikającej z tej umowy na rzecz [….] S. A. – nie przetwarza już danych osobowych skarżącego w celu dochodzenia wobec niego tych roszczeń. Natomiast Bank jest w oczywisty sposób uprawniony do dalszego przetwarzania ww. danych osobowych w realizowanych aktualnie celach archiwalnych. Nie sposób odmówić Bankowi prawa do przetwarzania (przechowywania) archiwalnej informacji o ostatnim adresie skarżącego, jakim dysponował. Bank ma przy tym świadomość, że adres ten nie jest już aktualny.

Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia […] grudnia 2013 r. stała się przedmiotem skargi wniesionej przez T. Z. do Wojewódzkiego Sądu Administracyjnego w Warszawie. Wnosząc o uchylenie zaskarżonej, jak i poprzedzającej ją decyzji, z powodu ich niezgodności z prawem, skarżący podniósł, iż od listopada 2010 r. nie jestem zameldowany na pobyt stały lub czasowy, jak też nie zamieszkuje lub w inny sposób nie korzysta z lokalu przy ulicy […]. Także od listopada 2010 r nigdzie nie jest zameldowany na żaden pobyt, bowiem decyzją Prezydenta […] odmówiono skarżącemu zameldowania w zajmowanym przez niego lokalu użytkowym (garażu) twierdząc, iż adres tego lokalu nie istnieje. W tym stanie rzeczy skarżący nie może podać aktualnie żadnego adresu zameldowania na stałe bądź czasowo, jak też adresu zamieszkania.

W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie oraz podtrzymał argumentację przedstawioną w uzasadnień zaskarżonej decyzji.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Zgodnie z art. 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej. Kontrola ta sprawowana jest pod względem zgodności z prawem. Oznacza to, iż przedmiotem sprawy sądowoadministracyjnej jest ocena przez Sąd prawidłowości prowadzenia przez organ administracji publicznej postępowania administracyjnego oraz zapadłego w tym postępowaniu rozstrzygnięcia.

Skarga analizowana pod katem powyższych kryteriów nie zasługuje na uwzględnienie.

Na wstępie zaznaczyć należy, iż zadaniem ustawy 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) nie jest jedynie stanie na straży interesów tych, których przetwarzane dane osobowe dotyczą. Naczelną zasadą ustawy nie jest też zakaz przetwarzania danych osobowych, lecz przestrzeganie zakresu i trybu ich przetwarzania. Omawiana ustawa w art. 1 stwierdza, że dane osobowe mogą być przetwarzane, jeżeli służy to dobru publicznemu, dobru osoby, której dane dotyczą lub dobru osób trzecich. Ochrona danych osobowych, na podstawie przepisów powołanej ustawy, nie powinna być oderwana od przepisów służących ochronie innych wartości.

Stosownie do treści art. 7 pkt 2 ww. ustawy, przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Zgodnie z art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Oznacza to, iż zgoda osoby, której dane dotyczą, na przetwarzanie jej danych osobowych nie jest wymagana wówczas, gdy administrator danych potrafi wskazać przepis prawa legalizujący dokonywanie czynności, o których mowa w art. 7 ust. 2 ustawy.

W niniejszej sprawie skarżący zarzuca Bankowi nielegalne przetwarzanie jego danych osobowych w zakresie nieaktualnego obecnie adresu zamieszkania i zameldowania, już po dokonaniu w dniu […] maja 2008 r. sprzedaży wierzytelności skarżącego firmie […] S. A., jak też bezprawne przekazanie danych osobowych do […].

Z ustaleń Generalny Inspektor Ochrony Danych Osobowych i materiału aktowego wynika, iż […] S. A. przetwarzał dane osobowe skarżącego w okresie od […] maja 2004 r. do […] maja 2008 r. w zbiorze danych klientów Banku na podstawie art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych celem dochodzenia roszczeń, w zakresie zawartym w dokumentacji kredytowej, tj. imienia, nazwiska, adresu zamieszkania i korespondencyjnego, numeru dowodu osobistego, numeru PESEL, numeru telefonu, wysokości dochodu, zakładu pracy, stanowiska, okresu zatrudnienia, własności mieszkania, liczby osób w gospodarstwie domowym. W dniu […] maja 2008 r. nastąpiła sprzedaż wierzytelności skarżącego na rzecz firmy […] S. A. Po sprzedaży wierzytelności skarżącego firmie […] S. A., Bank przetwarza dane osobowe skarżącego w zbiorze archiwum […] S. A. prowadzonym w celach archiwizacji dokumentacji bankowej, sprawozdawczości finansowej, celów rachunkowych oraz celów związanych z ewentualnymi roszczeniami powstałymi w związku z wykonywaniem czynności bankowych przez Bank. Nadto Bank przekazał w lutym 2005 r. do […] dane osobowe skarżącego związane z umową kredytu w zakresie: imię, nazwisko, numer PESEL, numer dowodu osobistego, data urodzenia, płeć, adres, obywatelstwo oraz dane finansowe kredytu, dla celów analizy ryzyka kredytowego.

Odnosząc się w pierwszej kolejności do przekazania przez Bank danych osobowych skarżącego […] należy zwrócić uwagę, iż świetle art. 105 ust. 4 ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe (tekst jedn. Dz. U. z 2012 poz. 1376 – w brzmieniu obowiązującym w dniu wydania zaskarżonej decyzji), banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania: 1) bankom – informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod statystycznych, o których mowa w art. 128 ust. 3 oraz w art. 128d ust. 1; 2) innym instytucjom ustawowo upoważnionym do udzielania kredytów – informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń; 3) instytucjom kredytowym – informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny ryzyka kredytowego konsumenta, o którym mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim.

Nie ulega wątpliwości, że […], jako instytucja utworzona przez banki, której celem jest administrowanie danymi i ich udostępnianie do analizy w danej instytucji udzielającej finansowania, w oparciu o art. 105 ust. 4 Prawa bankowego, jest uprawnione do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod statystycznych. Zważywszy, iż ustawodawca zezwolił na powołanie do życia instytucji finansowej, której działalność ma służyć stabilizacji rynku kredytowego przy wykorzystaniu źródeł informacji stanowiącej tajemnicę bankową, uznać należy, iż przekazanie przez Bank ww. danych osobowych skarżącego (kredytobiorcy – dłużnika) na rzecz […] zostało dokonane zgodnie z prawem. W świetle bowiem art. 105a ust. 1 Prawa bankowego, przetwarzanie m.in. przez instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106c, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Zatem działanie Banku przekazującego dane osobowe skarżącego […] znajduje umocowanie w art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych.

Choć dysponowanie przez […] danymi osobowymi skarżącego posiadało walor legalności, to jednak w sprawie istotne jest to, że obecnie […] usunął ze swych zbiorów przedmiotowe dane. To z kolej czyni wniosek skarżącego niezasadnym, gdyż organ nie ma już podstaw do stosowania władczych form działania w celu usunięcia uchybień w procesie przetwarzania danych osobowych (art. 18 ust. 1 ustawy o ochronie danych osobowych).

Przechodząc do oceny legalności przetwarzania przez Bank danych osobowych skarżącego w zakresie nieaktualnego adresu zamieszkania i zameldowania należy stwierdzić, iż przetwarzanie przedmiotowych danych w zasobach archiwalnych Banku ma swoje uzasadnienie w powołanym art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych w związku z art. 105a ust. 4 i 5 ustawy Prawo bankowe. Powołane przepisy przyznają bankom prawo przetwarzania informacji stanowiących tajemnicę bankową dotyczącą osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem bez zgody osoby, której informacje dotyczą, dla celów stosowania metod statystycznych, o których mowa w art. 128 ust. 3, przez okres 12 lat od dnia wygaśnięcia zobowiązania.

Wskazać w tym miejscu należy, iż zagadnienie przetwarzania przez banki i instytucje kredytowe danych osobowych kredytobiorców bez ich zgody dla celów stosowania metod statystycznych było przedmiotem rozważań sądów administracyjnych. W wyroku z dnia 4 grudnia 2008 r., sygn. akt II SA/Wa 917/08 WSA w Warszawie (niepublikowanym) wyraził pogląd, iż art. 105a ust. 4 Prawa bankowego wprowadził samodzielną przesłankę legalizującą przetwarzanie danych osobowych dla celów stosowania metod statystycznych. Naczelny Sąd Administracyjny w wyroku z dnia 7 maja 2009 r. sygn. akt. I OSK 674/08 stwierdził, iż „(…) w stanie prawnym obowiązującym w dacie wydania zaskarżonej decyzji (…) było uprawnione do przetwarzania uzyskanych danych osobowych dla celów statystycznych bez uzyskania zgody osoby zainteresowanej. Wynika to z art. 105a ust. 4 w związku z art. 128 tej ustawy i art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych. Zgodnie z tym przepisem zarówno banki jak i instytucje utworzone na podstawie art. 105a ust. 4 Prawa bankowego mogą przetwarzać informacje stanowiące tajemnicę bankową dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, dla stosowania metod statystycznych, o których mowa w art. 128 ust. 3. Z żadnego przepisu nie wynika, by powyższy przepis dotyczył wyłącznie informacji uzyskanych tylko w tym celu”. Ocena prawna wyrażona w powyższym uzasadnieniu wyroku pozostaje aktualna na gruncie niniejszej sprawy i Sąd orzekający w pełni podziela zaprezentowany pogląd.

Skoro zatem przepis art. 105a ust. 4 Prawa bankowego daje Bankowi prawo do przetwarzania danych osobowych dla celów stosowania metod statystycznych bez zgody osoby zainteresowanej (sankcjonuje gromadzenie danych tylko do tego zbioru), to nie może w sprawie mieć istotnego znaczenia fakt, że Bank przetwarza w zbiorze archiwalnym nieaktualne dane adresowe skarżącego. Przedmiotowe dane nie służą bowiem bieżącej działalności Banku, lecz potencjalnie mogą zostać wykorzystane do sporządzania analiz. Zakres danych, które może przetwarzać Bank, został precyzyjnie określony w § 3 rozporządzenia Ministra Finansów z dnia 27 marca 2007 r. w sprawie szczegółowego zakresu przetwarzanych informacji dotyczących osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów oraz trybu usuwania tych informacji (Dz. U. Nr 56, poz. 373). Obejmuje on m.in: dane dotyczące osoby fizycznej: imiona i nazwisko, nazwisko rodowe, imiona rodziców, nazwisko panieńskie matki, datę i miejsce urodzenia, płeć, obywatelstwo, stan cywilny, tytuł prawny do zajmowanego lokalu, adres zamieszkania, adres zameldowania na pobyt stały lub czasowy, aktualny adres pobytu czasowego inny niż adres zamieszkania lub zameldowania, adres do korespondencji, serię i numer dowodu osobistego lub innego dokumentu potwierdzającego tożsamość, numer PESEL, numer NIP, miejsce pracy, zawód, wykształcenie, formę zatrudnienia, dochody i wydatki, liczbę osób w gospodarstwie domowym, ustrój majątkowy małżonków (§ 3 ust. 1 lit. a-u tego rozporządzenia).

Analiza powołanego przepisu prowadzi do wniosku, iż zakres danych gromadzonych przez banki jest szeroki, a prawo gromadzenia tych danych nie zostało ograniczone podmiotowo tylko do nierzetelnych kredytobiorców, ale dotyczy wszystkich kredytobiorców, w tym kredytobiorców byłych.

Prawodawca przy tym posługuje się pojęciem adresu zamieszkania, zameldowania i pobytu czasowego. Nie ma zatem przeszkód aby w zbiorze znajdował się adresu zameldowania i zamieszkania z daty obowiązywania umowy kredytowej (dla celów archiwalnych) zwłaszcza, iż skarżący obecnie nie dysponuje innym adresem zameldowania, czy zamieszkania.

Podkreślenia wymaga, iż dane osobowe skarżącego jako dobro prawem chronione, stanowiące tajemnicę bankową i przedmiot ochrony ustawy o ochronie danych osobowych, posiadają walor archiwalny i nie mogą być przetwarzane w bieżącej działalności Banku, lecz tylko do celów powyżej wskazanych.

W zaistniałym stanie faktycznym i prawnym zarzuty skargi należało uznać za niezasadne. Generalny Inspektor Ochrony Danych Osobowych prawidłowo zastosował przepisy prawa materialnego stanowiące podstawę materialnoprawną rozstrzygnięcia, które zostało wydane z poszanowaniem reguł procesowych.

Mając powyższe na uwadze, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy – Prawo o postępowaniu przed sądami administracyjnymi orzekł, jak w sentencji.

Wielki wyciek danych do logowania

hasłoWyciek objął prawie 5 milionów danych do logowania się na pocztę Gmail. Informacja o wycieku pojawiła się na jednym z rosyjskich forów internetowych. Wpis informujący o przejęciu danych logowania został zamieszczony przez użytkownika o pseudonimie tvskit.

Zgodnie z informacjami zamieszczonymi w prasie specjalistycznej dane do logowania się nie zostały uzyskane w trakcie bezpośredniego ataku na Google. Informacje zostały zebrane poprzez typowe dla hakerów działania jak: phishing, malware oraz kradzież haseł z innych serwisów.

Warto pamiętać, że bardzo łatwo jest stracić hasło do naszej poczty. Hasła są zazwyczaj wykradane podczas logowania się za pomocą fałszywych, podstawionych stron internetowych lub kiedy samodzielnie (oczywiście nieświadomie) pobieramy i instalujemy złośliwe oprogramowanie (np. nakładki, patche, wersje mobilne aplikacji, generatory numerów seryjnych do oprogramowania, kodeki, a fałszywe programy optymalizujące, antywirusowe, analizujące stan komputera, przyspieszające go etc.).

Aby ustrzec się przed przejęciem danych do logowania musimy pamiętać o pewnych zasadach. Po pierwsze nie powinniśmy stosować takich samych haseł do wszystkich aplikacji, serwisów, etc. Dodatkowo hasła nie mogą być za proste jak np. qwerty, 12345, Abcie itp. Pozytywną praktyką jest również zmienianie hasła co jakiś czas. Istnieje możliwość sprawdzenia, czy wykradziono dane waszego konta. W tym celu należy zweryfikować listę adresów email po ściągnięciu pliku .txt – uwaga, waży on aż 103 MB, więc nie polecamy otwierać go w Notatniku.

źródło: http://niebezpiecznik.pl/

Ustawa o ochronie danych osobowych a informacja publiczna

Dzisiaj prezentujemy wyrok Naczelnego Sądu Administracyjnego, z zeszłego roku, w którym została przedstawiona relacja pomiędzy ustawą o ochronie danych osobowych oraz  ustawą o dostępie do informacji publicznej. Sprawa dotyczyła umieszczenia w Biuletynie Informacji Publicznej uchwały Rady Gminy zawierającej imię i nazwisko mieszkańca gminy nie prowadzącego działalności publicznej. NSA podtrzymał stanowisko Generalnego Inspektora Ochrony Danych Osobowych i WSA i stwierdził iż zamieszczenie danych osobowych w postaci imienia i nazwiska w BIP było nieadekwatne. Można było bowiem wypełnić obowiązki wynikające z ustawy o dostępie do informacji publicznej bez publikacji danych osobowych.

 

sygn. akt I OSK 620/12

Wyrok Naczelnego sądu administracyjnego

z 14 czerwca 2013 r.

 

SENTENCJA

Naczelny Sąd Administracyjny w składzie następującym: Przewodniczący Sędzia NSA Janina Antosiewicz (spr.), Sędzia NSA Małgorzata Borowiec, Sędzia del. NSA Leszek Kiermaszek, Protokolant starszy asystent sędziego Andrzej Nędzarek, po rozpoznaniu w dniu 14 marca 2013 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Wójta Gminy W. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 24 listopada 2011 r. sygn. akt II SA/Wa 1828/11 w sprawie ze skargi Wójta Gminy W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia […] maja 2011 r. nr […] w przedmiocie nakazania wyeliminowania nieprawidłowości w procesie przetwarzania danych osobowych 1. oddala skargę kasacyjną, 2. zasądza od Wójta Gminy W. na rzecz Generalnego Inspektora Ochrony Danych Osobowych kwotę 120 zł (sto dwadzieścia) tytułem zwrotu kosztów postępowania kasacyjnego.

UZASADNIENIE

Wyrokiem z dnia 24 listopada 2011 r., sygn. akt II SA/Wa 1828/11, Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę Wójta Gminy W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia […] maja 2011 r., nr […] w przedmiocie nakazania wyeliminowania nieprawidłowości w procesie przetwarzania danych osobowych.

Wyrok został wydany w następujących okolicznościach sprawy.

Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia […] lutego 2011 r. wydaną na podstawie art. 104 § 1 k.p.a., art. 12 pkt 2 w zw. z art. 18 ust. 1 pkt 6 i art. 26 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.) w zw. z art. 5 ust. 2 ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz.U. Nr 112, poz. 1198 ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi S. U. na przetwarzanie przez Wójta Gminy W. jego danych osobowych w uchwale nr […] Rady Gminy W. z dnia 25 marca 2010 r., nakazał Wójtowi Gminy W. wyeliminowanie nieprawidłowości w procesie przetwarzania danych osobowych S. U. , poprzez usunięcie ze strony internetowej Biuletynu Informacji Publicznej Urzędu Gminy W. danych osobowych S. U. w zakresie imienia i nazwiska z uchwały Nr […] Rady Gminy W. z dnia 25 marca 2010 r. W uzasadnieniu decyzji GIODO wyjaśnił, że S. U. w dniu 1 marca 2010 r. wniósł skargę na działalność Wójta Gminy W. Następnie Rada Gminy W. w dniu 25 marca 2010 r. wydała uchwałę Nr […] w sprawie rozpatrzenia skargi S. U. , w której zawarte zostały dane osobowe skarżącego w zakresie imienia i nazwiska. Przedmiotowa uchwała została opublikowana w BIP Wójta Gminy W.

Pismem z dnia 4 marca 2011 r. Wójt Gminy W. złożył wniosek o ponowne rozpatrzenie sprawy. GIODO po rozpatrzeniu wniosku, działając na podstawie art. 138 § 1 pkt 1 k.p.a. decyzją z dnia 31 maja 2011 r. utrzymał w mocy zaskarżoną decyzję. Zdaniem organu II instancji, przy upublicznieniu uchwały jedynie w celu informacyjnym zbędne było (nieadekwatne do celu) ujawnienie imienia i nazwiska skarżącego. Publikacja dokumentu, który zawiera dane osobowe w zakresie, który może powodować naruszenie prawa do prywatności, powinna nastąpić po odpowiednim przetworzeniu danych osobowych w nim zawartych, co oznacza, że przedmiotowa uchwała powinna zostać upubliczniona po uprzednim usunięciu danych osobowych skarżącego w zakresie jego imienia i nazwiska.

Pismem z dnia 5 lipca 2011 r. Wójt Gminy W. złożył do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na decyzję GIODO z dnia […] maja 2011 r. wnosząc o jej uchylenie oraz uchylenie decyzji ją poprzedzającej z dnia […] lutego 2011 r.

W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując stanowisko wyrażone w zaskarżonej decyzji.

Wojewódzki Sąd Administracyjny w Warszawie oddalając skargę zaskarżonym wyrokiem wskazał, że istota sprawy w niniejszym postępowaniu sprowadzała się do oceny tego, czy Wójt Gminy W. , realizując obowiązek udostępnienia informacji publicznej, a będąc jednocześnie administratorem danych osobowych osoby wnoszącej skargę na działalność Wójta, nie naruszył prawa do prywatności tej osoby. Okolicznością niesporną było to, iż treść uchwał Rady Gminy stanowi informację publiczną, która zgodnie z treścią art. 8 ust. 3 ustawy o dostępie do informacji publicznej podlega udostępnieniu w Biuletynie Informacji Publicznej organu. Przedmiotowe udostępnienie powinno zaś nastąpić w taki sposób, aby tematyka, której dotyczy uchwała, została ujawniona w sposób czytelny i zrozumiały. Celem ustawy o dostępie do informacji publicznej jest bowiem zagwarantowanie transparentności działań m.in. organów samorządowych.

W ocenie Sądu brak powyższych danych personalnych nie zniekształci przekazu omawianej informacji publicznej. Istotą tej informacji jest przecież stanowisko, jakie zaprezentowała Rada Gminy. Ten podmiot wytworzył bowiem omawianą informację. Bez wpływu na treść uchwały pozostaje zaś informacja o danych osobowych inicjatora postępowania, które zakończyło się wydaniem uchwały. Pogląd zbieżny z powyższym zaprezentował też Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 18 listopada 2008 r. w sprawie o sygn. akt II SA/Wa 1177/08. W świetle powyższego Sąd uznał, iż skarżący nie może z ustawy o dostępie do informacji publicznej wywodzić skutecznie obowiązku ujawnienia w BIP danych personalnych osoby, której skarga spowodowała wydanie uchwały przez Radę Gminy. Brak przedmiotowych danych nie pozbawi bowiem ujawnianej uchwały waloru pełności informacji publicznej. Nie wpłynie także na czytelność przekazu zawartego w spornej uchwale. Sąd podkreślił, że sam ustawodawca, konstruując przepisy ustawy o dostępie do informacji publicznej, dokonał gradacji dóbr chronionych, tj. prawa do dostępu do informacji publicznej i prawa do ochrony prywatności osoby fizycznej. Treść art. 5 ustawy o dostępie do informacji publicznej wskazuje, w sposób jednoznaczny, iż dobrem wyżej chronionym przez ustawodawcę, dobrem nadrzędnym nad prawem do dostępu do informacji publicznej, jest prywatność osoby fizycznej. Poza sporem pozostaje to, iż osoba, na skutek której skargi zapadła sporna uchwała Rady Gminy, nie pełni funkcji publicznych, funkcji mających związek z ich pełnieniem ani też nie zrezygnowała z prawa do prywatności.

Zdaniem Sądu, wbrew wywodom skargi, za koniecznością ujawnienia w BIP danych osoby, która zainicjowała postępowanie zakończone wydaniem spornej uchwały Rady Gminy, nie przemawia norma art. 18 ustawy o dostępie do informacji publicznej. Przepis ten reguluje bowiem jedynie kwestię jawności posiedzeń m.in. Rady Gminy. Ta problematyka pozostaje zaś w oderwaniu od stanu faktycznego niniejszego postępowania, którego istotą jest ujawnienie spornych danych w BIP. Fakt, że dane osobowe wnoszącego skargę na działalność Wójta, zostały ujawnione na posiedzeniu Rady Gminy, na którym podejmowano sporną uchwałę, nie przesądza o tym, iż winny one też być ujawnione w BIP, wbrew wyłączeniu, o jakim mowa w art. 5 ustawy o dostępie do informacji publicznej.

Poza sporem jest fakt, że udostępnienie przez Wójta na stronie internetowej BIP Urzędu Gminy W., imienia i nazwiska osoby, która wywołała postępowanie zakończone wydaniem omawianej uchwały przez Radę Gminy, stanowi przetwarzanie danych osobowych (art. 7 pkt 2 ustawy o ochronie danych osobowych). Czynność polegająca na przetwarzaniu danych osobowych podlega zaś ściśle określonym regułom (art. 23 ustawy o ochronie danych osobowych). Najważniejszą z nich jest reguła przyznająca uprawnienie osobie fizycznej, której dane podlegają przetwarzaniu, do decydowania o tym, czy dane te mogą być przetwarzane. Brak wyrażenia takiej zgody sprawia, iż przetwarzanie danych tej osoby narusza jej prawo do ochrony tych danych (art. 1 ust. 1 ustawy o ochronie danych osobowych). Jeśli zaś administrator danych chce je nadal przetwarzać, musi wykazać istnienie jednej z przesłanek wskazanych w art. 23 ust. 1 ustawy o ochronie danych osobowych. W realiach niniejszej sprawy Sąd przyjął, iż skarżący nie podołał temu obowiązkowi. Nie udowodnił skutecznie, aby przetwarzanie spornych danych osobowych było niezbędne dla wykonania obowiązku wynikającego z ustawy o dostępie do informacji publicznej.

Sąd nie zgodził się z wywodem skargi, iż złożenie przez stronę skargi na działanie Wójta Gminy jest tożsame z rezygnacją z prawa do prywatności. Taka konkluzja nie znajduje oparcia w żadnych przepisach prawa. Zainicjowanie przez stronę postępowania skargowego stanowi realizację uprawnień obywatelskich. Korzystanie zaś z praw obywatelskich nie wyklucza automatycznie ochrony prawa do prywatności. Na tym bowiem polega idea demokratycznego państwa prawnego, aby obywatele korzystający ze swych przywilejów konstytucyjnych zachowywali również pełnię swych przywilejów osobistych, a więc w konsekwencji, aby nie musieli obawiać się korzystania z uprawnień obywatelskich. Stąd pogląd wyrażony w skardze, iż osoba składająca skargę na działalność organów publicznych, staje się osobą publiczną, nie zasługuje na akceptację, jako niewynikający z przepisów obowiązującego prawa.

Za chybiony Sąd uznał zarzut dotyczący naruszenia art. 5 ust. 2 ustawy o dostępie do informacji publicznej. Sam skarżący przyznał przecież, że ustawodawca nie określa, w jaki sposób ma następować ograniczenie dostępności informacji publicznej, oraz że anonimizacja danych jest jednym ze sposobów tego ograniczenia. Jako niekonsekwentne jawi się więc dalsze stanowisko skarżącego, iż organ nie mógł nakazać anonimizacji danych zawartych w BIP. W sytuacji, gdy anonimizacja danych jest jednym ze sposobów realizacji przez organ normy art. 5 ust. 2 ustawy o dostępie do informacji publicznej, nie można czynić organowi skutecznego zarzutu z tego, iż skorzystał z takiej możliwości ograniczenia dostępności informacji. W ocenie Sądu takie działanie organu było uprawnione. Przyjęty zaś przez organ sposób ograniczenia dostępności informacji publicznej uznać należało jako adekwatny do potrzeb niniejszej sprawy oraz, jako najmniej rzutujący na pełność przekazu udzielanej informacji publicznej.

W tym stanie sprawy, nie podzielając argumentów zawartych w złożonej skardze oraz, uznając, iż organ w sposób prawidłowy zebrał i ocenił materiał dowodowy, jak również, że przy wykonywaniu tych czynności nie naruszył przepisów prawa, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi, skargę oddalił.

Skargę kasacyjną od powyższego wyroku wniósł Wójt Gminy W., zaskarżając wyrok w całości, zarzucając:

I. Naruszenie przepisów prawa materialnego poprzez błędną ich wykładnię lub niewłaściwe zastosowanie, tj.:

a) art. 61 ust. 1 i 2 Konstytucji, art. 11b ustawy z dnia 8 marca 1990 r. o samorządzie gminnym (Dz.U. z 2001 r. Nr 142, poz. 1591 ze zm.; dalej „u.s.g.”), art. 3 ust. 1 pkt 3, art. 18 ust. 1 i art. 19 ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej poprzez wadliwą wykładnię wspomnianych przepisów, w sposób ograniczający pełną jawność posiedzeń rady gminy oraz materiałów dokumentujących przebieg posiedzenia, które to zasady zostały zagwarantowane we wspomnianych przepisach,

b) art. 12 pkt 1–2, art. 18 ust. 1 ustawy o ochronie danych osobowych w zw. z art. 5 ust. 2 ustawy o dostępie do informacji publicznej, poprzez wadliwą wykładnię tych przepisów prowadzącą do wniosku, że Generalny Inspektor Ochrony Danych Osobowych (GIODO) posiada kompetencję do nakazywania usuwania danych osobowych z uchwał rady gminy zamieszczanych w Biuletynie Informacji Publicznej i zobowiązywania do zamieszczania takich uchwał w pozostałym zakresie na stronie BIP.

Zaskarżonemu wyrokowi zarzucono również naruszenie przepisów postępowania, co miało istotny wpływ na wynik sprawy, tj.:

a) art. 135 i art. 145 § 1 pkt 1 lit. c) w związku z art. 134 § 1 p.p.s.a. poprzez nieuchylenie zaskarżonej decyzji, w sytuacji, gdy zaskarżona decyzja wydana została z mogącym mieć istotny wpływ na wynik sprawy naruszeniem art. 7, art. 77 k.p.a.

Na podstawie art. 176 w zw. z art. 185 § 1 p.p.s.a. Wójt Gminy W. wniósł o uchylenie zaskarżonego wyroku w całości i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie oraz zasądzenie kosztów postępowania według norm przepisanych.

W uzasadnieniu skargi kasacyjnej podniesiono m.in., że z przepisów ustawy o samorządzie gminnym oraz ustawy o dostępie do informacji publicznej wynika zasada pełnej jawności zarówno sesji rady gminy jak również materiałów dokumentujących przebieg tej sesji, które są już udostępniane po zakończeniu sesji. Znajduje to uzasadnienie w potrzebie pełnej transparentności wykonywania władzy publicznej przez organ stanowiący i kontrolujący w podstawowej jednostce zorganizowanej wspólnoty społecznej w ustroju naszego państwa. Ze względu na liczbę spraw rozpatrywanych przez radę, w których w uchwałach znajdują się dane osobowe, ta transparentność – w przypadku ograniczania dostępności informacji z tytułu przetwarzania danych osobowych – byłaby znacząco zaburzona. Zasady jawności działania rady powinna być świadoma również osoba, której sprawa jest rozpatrywana przez ten organ, szczególnie gdy następuje to z jej inicjatywy, jak w przypadku skargi na działalność wójta (burmistrza, prezydenta). Jawność sesji rady gminy (jako kolegialnego organu władzy publicznej pochodzącego z powszechnych wyborów) została wprost przewidziana w art. 61 ust. 2 Konstytucji, art. 3 ust. 1 pkt 3, art. 7 ust. 1 pkt 3 i art. 18 ust. 1 u.d.i.p. oraz art. 11b ust. 2 u.s.g. Konstytucja w art. 61 ust. 2 (stanowiącym uszczegółowienie wyrażonej w ust. 1 gwarancji jawności organów władzy publicznej) zapewnia obywatelowi nie tylko możliwość bycia obecnym na sali posiedzeń kolegialnego organu władzy publicznej pochodzącego z powszechnych wyborów, ale również nagrywania dźwięku i obrazu z tego posiedzenia. W ustawie o dostępie do informacji publicznej dodatkowo w art. 18 ust. 3 zd. drugie dopuszczono przeprowadzenie przez organ transmisji teleinformatycznej lub audiowizualnej (w czasie rzeczywistym) z posiedzeń takiego organu. Taka transmisja w sposób oczywisty uniemożliwia utajnianie poszczególnych fragmentów obrad.

Powyższe uprawnienia należy zestawić z wolnością wypowiedzi (art. 54 Konstytucji). Obywatel, który realizuje swoje prawo wstępu na posiedzenia oraz zarejestrowania dźwięku lub obrazu może następnie – korzystając ze wspomnianej wolności – przekazać innym osobom zebrane informacje lub nagrany materiał, w tym nawet je upublicznić (np. zamieszczając w Internecie). Organ gminy nie posiada kompetencji, aby środkami administracyjnymi ograniczyć osobie nagrywającej późniejsze rozpowszechnianie materiału. To samo dotyczy osoby będącej na posiedzeniu, która później rozpowszechnia pozyskane informacje. Przykłady takiej aktywności obywatelskiej występują również w Gminie W., np. w serwisie internetowym […] / znajdują się precyzyjne sprawozdania z posiedzeń komisji i rady, w których zawarte są także dane osobowe. Z kolei jawność materiałów dokumentujących przebieg sesji znajduje swoje oparcie w art. 11b ust. 2 u.s.g. i art. 7 ust. 1 pkt 3 u.d.i.p., zaś o pełnym zakresie tej jawności (bez ograniczeń) przesądza się w art. 19 u.d.i.p. W przepisie art. 19 u.d.i.p. przewidziano udostępnienie przez organ „materiałów audiowizualnych lub teleinformatycznych rejestrujących w pełni obrady”. Stanowi to dla organu alternatywną możliwość w stosunku do sporządzania i udostępniania protokołu lub stenogramu obrad. Gdyby zaakceptować skarżony wyrok Sądu (i stanowiącą jego przedmiot decyzję GIODO) to na tej samej stronie BIP urzędu gminy może znaleźć się zanonimizowana uchwała rady gminy, a obok niej zamieszczony – na podstawie art. 19 u.d.i.p. – plik z pełnym nagraniem audiowizualnym sesji, na której ta uchwała została podjęta, co zapewnia poznanie danych osobowych usuniętych z treści uchwały.

Również za wadliwe uznano stanowisko WSA w Warszawie wyrażone w uzasadnieniu, że dane mogą znaleźć się w treści publikowanej w BIP uchwały, wówczas gdy osoba, której dane dotyczą (tutaj skarżący) wyrazi na to zgodę. W przypadku gdy ustawa szczególna przewiduje pełną jawność dokumentu, udostępnienie informacji stanowi jednostronne działanie organu władzy publicznej. Dopuszczenie warunku, że ujawnianie danych osobowych w uchwałach jest zależne od zgody podmiotu danych prowadziłoby do „wybiórczej jawności”, która – tak jak w przypadku każdorazowego badania przesłanki „zniekształcenia przekazu informacji” – ograniczy transparentność władzy samorządowej. Gdyby zaakceptować stanowisko Sądu to podanie danych osobowych w uchwale będzie uzależnione od różnorodnych interesów indywidualnych osób, których dane dotyczą i nie pozwoli na pełną kontrolę społeczną nad działalnością rady, a wręcz może wprowadzać społeczeństwo w błąd (np. osoba nabywająca różne nieruchomości od jednostki samorządu terytorialnego może w zależności od spodziewanego odbioru społecznego w stosunku do transakcji, raz wyrażać, a w innych przypadkach odmawiać zgody na ujawnienie w uchwale swoich danych osobowych).

Skarżąca uważa, że przepis art. 5 ust.2 u.d.i.p. nie nakłada obowiązku anonimizacji informacji publicznej. Jest to wyłącznie jedna z dopuszczalnych możliwości ograniczenia dostępności. Zresztą ustawa o dostępie do informacji publicznej w ani jednym ze swoich przepisów nie posługuje się konstrukcją anonimizacji tejże informacji. Pojęcia tego w ogóle nie używa się w ustawie. Ponieważ adresatem obowiązku określonego w art. 5 ust.2 u.d.i.p. jest podmiot objęty – na podstawie art. 4 u.d.i.p. – zakresem podmiotowym ustawy, to on dokonuje wyboru sposobu wprowadzenia ograniczenia dostępności informacji publicznej, jeżeli zaistnieje przesłanka ochrony. Poza anonimizacją inną możliwością ograniczenia dostępności będzie nieudostępnienie całego dokumentu zawierającego chronione informacje. W niniejszej sprawie takim organem dokonującym wyboru pozostaje wójt gminy. Natomiast wadliwe jest, tak jak stwierdza się w skarżonym wyroku, przypisanie kompetencji do wyboru sposobu ograniczenia organowi kontrolującemu (tutaj Generalnemu Inspektorowi). Organ kontrolujący, działający wyłącznie według kryterium legalności, będzie dopiero wtedy upoważniony do wydania nakazu anonimizacji dokumentu, gdy przepis szczególny nakazuje taką formę ochrony poufności informacji. Biorąc pod uwagę powyższe, Generalny Inspektor nie był uprawniony do władczego nakładania obowiązku anonimizacji danych osobowych, bowiem jego decyzje służą wyłącznie przywróceniu stanu zgodnego z prawem (art. 18 ust. 1 u.o.d.o.), a żaden powszechnie obowiązujący przepis prawa nie nakłada warunku anonimizacji danych osobowych w treści uchwał rady. Inaczej ujmując, GIODO nie może – w drodze decyzji administracyjnej – nakładać obowiązku, który nie istnieje w przepisach prawa materialnego. Treść nakazu w rozstrzygnięciu decyzji Inspektora musi się zatem ograniczać tylko do zobowiązania do nieudostępniania określonych danych osobowych w informacji publicznej, ponieważ taki obowiązek wynika z treści przepisu art. 5 ust.2 u.d.i.p.

Zaskarżonemu wyrokowi skarżąca zarzuciła również naruszenie przepisów postępowania, co miało istotny wpływ na wynik sprawy. W skarżonym wyroku Sąd nie uwzględnił zarzutu skarżącej, że w postępowaniu administracyjnym zakończonym decyzją Generalny Inspektor nie przeprowadził w sposób należyty postępowania dowodowego, czym naruszył przepisy postępowania (art. 7 i art. 77 k.p.a.). W przypadku wykonalnej decyzji prowadzi to do sytuacji, gdy nadal w upublicznionym dokumencie mogą znajdować się dane osobowe, pomimo przeciwnego stanowiska organu wydającego decyzje (Generalnego Inspektora). Organ administracji publicznej nie ustalił bowiem zakresu informacji zawartych w uchwale Nr […], które stanowią dane osobowe w rozumieniu art. 6 u.o.d.o. W trakcie postępowania organ nie podjął żadnych dodatkowych czynności, mających na celu wyeliminowania sytuacji, w których osoby trzecie będą miały co najmniej możliwości identyfikacji skarżącego po przeczytaniu w Internecie uchwały, nawet gdy usuniemy w niej imię i nazwisko. Chodzi tutaj choćby o sprawdzenie przez organ informacji ujawnionych w księdze wieczystej nr […]. W uzasadnieniu swoich decyzji organ w ogóle nie odnosi się do tego problemu, w szczególności nie wyjaśnia, dlaczego nakaz usunięcia dotyczy wyłącznie imienia i nazwiska. Należy dodać, że Wójt Gminy W. ponosi już konsekwencje wadliwie – pod względem dowodowym – przeprowadzonego postępowania przez GIODO, ponieważ pomimo wykonania decyzji Inspektora Pan S. U. zwrócił się z nową skargą, w której kwestionuje pozostawienie właśnie numeru księgi wieczystej sąsiada w zamieszczonej w BIP uchwale […]. Zwraca w niej uwagę, że nadal naruszone jest jego prawo do prywatności poprzez pozostawienie w BIP innych – poza usuniętymi imieniem i nazwiskiem – informacji identyfikujących go.

Odpowiadając na skargę kasacyjną Generalny Inspektor wniósł o jej oddalenie podtrzymując stanowisko zajęte w zaskarżonym wyroku i decyzjach.

Wójt Gminy w piśmie procesowym z dnia 7 lutego 2013 r. zawarł uzupełnienie uzasadnienia zarzutów skargi kasacyjnej polemizując ze stanowiskiem Sądu i organu.

Naczelny Sąd Administracyjny zważył, co następuje:

Skarga kasacyjna nie zawiera usprawiedliwionych podstaw.

Rozpoznając skargę kasacyjną w jej granicach – stosownie do art. 183 § 1 p.p.s.a. Naczelny Sąd Administracyjny nie uznał za zasadne zarzutów naruszenia przepisów prawa materialnego jak również przepisów postępowania w stopniu mającym istotny wpływ na wynik sprawy.

Wskazane jako naruszone przepisy art. 61 ust. 1 i 2 Konstytucji Rzeczypospolitej Polskiej regulują prawo obywateli do uzyskiwania informacji publicznej.

Przepis ust. 1 określa powszechne obywatelskie prawo dostępu do informacji o działalności organów państwowej oraz samorządowej władzy publicznej, a także do informacji o działalności osób pełniących funkcje publiczne. Prawo to obejmuje także uzyskiwanie informacji o działalności organów samorządu gospodarczego i zawodowego, a także innych osób oraz jednostek organizacyjnych w zakresie, w jakim wykonują one zadania władzy publicznej i gospodarują mieniem komunalnym lub majątkiem Skarbu Państwa. Prawo to obejmuje też dostęp do dokumentów i wstęp na posiedzenia kolegialnych organów władzy publicznej pochodzących z publicznych wyborów, z możliwością rejestracji dźwięku lub obrazu (ust. 2).

Podkreślenia wymaga to, że Konstytucja chroni prawo obywatela do uzyskiwania informacji o działalności organów władzy publicznej jak również osób pełniących funkcje publiczne, co w założeniu ma zapewniać transparentność działania zarówno tych organów jak i osób pełniących funkcje publiczne. Określając bezpośrednio w samej Konstytucji zakres i granice prawa obywatelskiego ustawodawca w art. 61 ust. 3 Konstytucji dopuścił możliwość ograniczenia tego prawa wyłącznie ze względu na określone w ustawach ochronę wolności i praw innych osób i podmiotów gospodarczych oraz ochronę porządku publicznego, bezpieczeństwa lub ważnego interesu gospodarczego państwa. Powyższe oznacza, że ustawodawca zwykły w drodze ustawy może ograniczyć prawa, o których mowa w ust. 1 i 2 omawianego przepisu, lecz wyłącznie ze względu na określone w ustawach ochronę wolności i praw innych osób i podmiotów gospodarczych. Mimo całościowego tak podmiotowo jak i przedmiotowo uregulowania w ustawie zasadniczej zakresu i granic prawa do informacji publicznej przepis art. 61 ust. 3 (a także ust. 4) w sposób niebudzący wątpliwości odsyła do ustawodawstwa zwykłego, którego zadaniem jest doprecyzowanie cech i zakresu podmiotów obowiązanych do udzielenia informacji i samej treści informacji, sposobu jej pozyskiwania oraz przypadków kiedy następuje ograniczenie tego prawa.

Taką uzupełniającą, dookreślającą rolę pełni ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej. Ustawa ta w przepisach art. 1 ust. 1, art. 4 i art. 6 precyzuje pojęcie informacji publicznej, podmioty obowiązane do jej udostępnienia oraz rodzaje informacji publicznej podlegającej udostępnieniu (art. 6), chociaż katalog zamieszczony w tym przepisie nie ma charakteru zamkniętego.

Prawidłowo zatem zarówno organ jak i Sąd pierwszej instancji przyjęły, że uchwały Rady Gminy stanowią informację publiczną w rozumieniu przepisów art. 1 ust. 1 i art. 6 ustawy i podlegają udostępnieniu w sposób przewidziany w ustawie.

Przedmiotem niniejszej sprawy nie jest udostępnienie informacji publicznej w postaci uchwał Rady Gminy, lecz jedynie to udostępnienie, które następuje w urzędowym publikatorze teleinformatycznym – Biuletynie Informacji Publicznej.

Należy podkreślić stanowisko Generalnego Inspektora Ochrony Danych Osobowych oraz Sądu, że przepis art. 8 ust. 3 ustawy zobowiązuje organ gminy do udostępnienia informacji w postaci uchwał rady gminy w Biuletynie Informacji Publicznej. Uchwały rady gminy co do zasady mieszczą się w kategorii aktów, o których stanowi przepis art. 6 ust. 1 pkt 4 lit. a ustawy i podlegają udostępnieniu, jako informacja zawierająca dane publiczne. Treść tych dokumentów, zwłaszcza w zakresie w jakim akty tę będą dotyczyć władz publicznych lub innych podmiotów wykonujących funkcje publiczne albo osób pełniących funkcje publiczne podlega udostępnieniu w Biuletynie Informacji Publicznej.

W przepisie art. 5 ust. 1 ustawa zawiera ograniczenie prawa dostępu do informacji publicznej w zakresie i na zasadach określonych w przepisach o ochronie informacji niejawnych oraz o ochronie tajemnic ustawowo chronionych. Przepis ten nie ma jednakże zastosowania w tej sprawie, natomiast istotne jest dla rozstrzygnięcia tej sprawy ograniczenie dostępu do informacji uregulowane w art. 5 ust. 2. W myśl tego przepisu prawo do informacji publicznej podlega ograniczeniu ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorcy. Ograniczenie to nie dotyczy informacji o osobach pełniących funkcje publiczne, mających związek z pełnieniem tych funkcji w tym o warunkach powierzenia i wykonywania funkcji oraz przypadku, gdy osoba fizyczna lub przedsiębiorca rezygnują z przysługującego im prawa.

Prawidłowo organ i Sąd przyjęły, że w tej sprawie, w której udostępnieniu w BIP podlegała informacja o sposobie załatwienia przez Radę Gminy skargi osoby fizycznej, niepełniącej funkcji publicznej, na działalność Wójta Gminy, wzgląd na ochronę prawa do prywatności tej osoby uzasadniał pominięcie w informacji zamieszczonej w Biuletynie danych personalnych tej osoby.

Ograniczenie to znajduje w pełni uzasadnienie w omawianym przepisie art. 5 ust. 2 ustawy oraz art. 61 ust. 3 Konstytucji. Z przepisów tych, jak trafnie zauważył Sąd wynika, iż ustawodawca kreując prawo obywateli do uzyskiwania informacji o działalności organów władzy publicznej, jako dobro nadrzędne nad prawem dostępu do informacji, usytuował ochronę prywatności osób fizycznych. Należy dodać, że sferę prywatności osób fizycznych chronią także inne przepisy ustawy zasadniczej.

Artykuł 47 Konstytucji gwarantuje każdemu prawo do ochrony prawnej życia prywatnego, rodzinnego, czci, dobrego imienia oraz decydowania o swoim życiu osobistym. Natomiast przepis art. 51 ust. 2 Konstytucji zakazuje władzom publicznym pozyskiwania, gromadzenia i udostępniania innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.

Jeżeli więc celem dostępu do informacji publicznej jest przejrzystość działalności organów władzy publicznej, przy jednoczesnym zachowaniu prawa do prywatności osób fizycznych (art. 5 ust. 2) to cel informacyjny jest spełniony także wówczas gdy informacja o treści uchwały Rady Gminy z dnia 25 marca 2010 r. w sprawie rozpatrzenia skargi S. U. zamieszczona w BIP-ie pomija dane osobowe skarżącego.

Przy ocenie stosowania art. 5 ust. 2 ustawy nie można pominąć treści art. 5 ust. 3 tej ustawy. Przepis ten ustanawia dodatkowe gwarancje jawności postępowań toczących się przed organami państwa, jeżeli postępowanie dotyczy władz publicznych albo osób pełniących funkcje publiczne.

Jeżeli postępowanie dotyczy wskazanych w tym przepisie podmiotów i ma związek z wykonywanymi przez nie zadaniami lub sprawowaną funkcją nie można ograniczać dostępu do informacji o rozstrzyganych i dotyczących obywateli kwestii sprawach ze względu na interes strony. Dodać jednakże należy, że przepis ten przywołuje zastrzeżenie zawarte w ust. 1 i 2 art. 5, co oznacza, iż w dalszym ciągu ochronie podlegają tajemnice chronione innymi ustawami (ust. 1), a prawo do informacji podlega także ograniczeniu ze względu m.in. na prywatność osoby fizycznej.

Prawo do prywatności realizuje się także poprzez stosowanie zasad i przepisów ustawy z dnia 29 sierpnia 2001 r. o ochronie danych osobowych, co z kolei uzasadnia ingerencję w tę sferę Generalnego Inspektora Ochrony Danych Osobowych.

Naruszenie przepisów art. 61 ust. 1 i 2 Konstytucji skarga kasacyjna wiąże z jednoznacznym naruszeniem przez organ i Sąd przepisów art. 11b ustawy z dnia 8 marca o samorządzie gminnym art. 3 ust. 1 pkt 3, art. 18 ust. 1 i art. 19 ustawy o dostępnie do informacji publicznej.

Pierwszy ze wskazanych przepisów statuuje zasadę jawności działalności gminy. Ograniczenia jawności mogą wynikać wyłącznie z ustaw (ust. 1). Jawność ta w myśl ust. 2 obejmuje w szczególności prawo obywateli do uzyskiwania informacji, wstępu na sesje rady gminy i posiedzenia jej komisji, a także dostępu do dokumentów wynikających z wykonywania zadań publicznych, w tym protokołów posiedzeń organów gminy i komisji rady gminy. Z przepisami tymi korespondują przepisy art. 3 ust. 1 pkt 3 i art. 18 ust. 1 ustawy o dostępie do informacji publicznej, w których uregulowano prawo dostępu do posiedzeń kolegialnych organów władzy publicznej pochodzących z powszechnych wyborów, przy czym art. 18 ust. 1 ustawy dodatkowo akcentuje jawność tych posiedzeń.

Nie budzi wątpliwości, że z zasady jawności działania organów gminy wynika dla osób biorących udział w posiedzeniach, na których rozpatrywane są ich sprawy, powinność ujawnienia swych danych osobowych, które podobnie jak przebieg posiedzenia będą utrwalone w dokumentacji urzędowej.

Na aprobatę zasługuje stanowisko WSA różnicujące udostępnianie informacji publicznej poprzez wstęp na posiedzenie organów kolegialnych i udostępnienie ich udokumentowania od udostępnienia w BIP-ie.

To ostanie nie musi zawierać pełnej informacji pokrywającej się w całości z porządkiem i przebiegiem posiedzenia.

Należy zwrócić uwagę, iż sam ustawodawca w art. 8 ust. 3 ustawy wyłączył od obowiązku udostępnienia w BIP-ie informacji, o których mowa w art. 6 ust. 1 pkt 4 lit. a tiret pierwsze i art. 6 ust. 1 pkt 4 lit. b ustawy.

Wykładając przepisy wskazane w skardze kasacyjnej jako naruszone, z uwzględnieniem zastrzeżeń wynikających z art. 11b ust. 1 in fine ustawy o samorządzie gminnym, art. 5 ust. 2 ustawy o dostępie do informacji publicznej oraz przepisu art. 61 ust. 3 Konstytucji należy dojść do wniosku, iż dostęp do informacji uzewnętrznionej w urzędowym publikatorze teleinformatycznym zw. Biuletynem Informacji Publicznej doznaje ograniczenia, gdy dotyczy sfery prywatności osoby fizycznej, a ta nie zrezygnuje z przysługującego jej prawa.

Nie można zgodzić się z przedstawioną w skardze kasacyjnej wykładnią przepisu art. 19 ustawy o dostępie do informacji. Przepis ten nakłada na organy, o których mowa w art. 18 ust. 1 i 2 obowiązek sporządzenia i udostępnienia protokołów lub stenogramów swoich obrad. Obowiązek ten, mający charakter bezwzględny, może doznać ograniczenia, gdy organy sporządzają i udostępniają materiały teleinformatyczne rejestrujące w pełni te obrady. Należy zwrócić uwagę, iż w przepisie tym jest mowa o sporządzeniu i udostępnieniu informacji. Nie oznacza to jednakże, że w przypadku rejestracji obejmującej całość obrad organ jest zwolniony z respektowania zasad chronionych dane osobowe ze względu na prywatność osoby fizycznej (art. 5 ust. 2). Jeżeli udostępnienie tych treści naruszałoby prywatność osoby fizycznej wówczas mimo sporządzenia materiałów audiowizualnych rejestrujących w pełni obrady nie będą one udostępniane w takim zakresie w jakim godziłyby w dobra podlegające ochronie. Szczególnie regulacja zawarta w art. 19 dotycząca środków technicznych służących do utrwalania przebiegu obrad nie zwalnia organów ze stosowania zasad ogólnych regulujących prawo dostępu do informacji, a w szczególności przepisów ograniczających ten dostęp ze względów, o których mowa w art. 5 ust. 1 i 2 ustawy.

Z powyższych względów Naczelny Sąd Administracyjny odmówił trafności zarzutowi opisanemu w pkt II a skargi kasacyjnej.

Jak wspomniano wyżej ochrona prywatności osoby fizycznej, o czym mowa w art. 5 ust. 2 ustawy o dostępie do informacji publicznej, realizuje się także poprzez stosowanie zasad i przepisów ustawy o ochronie danych osobowych. Trafnie Sąd pierwszej instancji powołując się na przepis art. 6 tej ustawy uznał, że imię i nazwisko osoby fizycznej mieści się w kategorii danych osobowych zdefiniowanych w tym przepisie, a zamieszczenie w BIP-ie uchwały Rady Gminy z dnia 25 marca 2010 r. stanowiło przetwarzanie danych osobowych tej osoby w rozumieniu art. 7 pkt 2 ustawy o ochronie danych osobowych. Jako organ ochrony danych osobowych omawiana ustawa w art. 8 powołuje Generalnego Inspektora Ochrony Danych Osobowych. W art. 12 określającym jego zadania wymienia m.in. kontrolę zgodności przetwarzania danych z przepisami o ochronie danych osobowych (pkt 1) oraz wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych (pkt 2).

Badając zgodność z prawem przetwarzania danych osobowych S. U. prawidłowo zarówno Generalny Inspektor jak i Sąd pierwszej instancji posłużyły się zasadami określającymi dopuszczalność przetwarzania danych osobowych zamieszczonych w art. 23 ust. 1 ustawy przyjmując, że przesłanką legalizującą przetwarzanie tych danych była wymieniona w pkt 2 powołanego przepisu. Dopuszcza on przetwarzanie danych osobowych jeżeli jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.

W niniejszej sprawie obowiązkiem wynikającym z przepisu prawa było zamieszczenie przez Wójta Gminy informacji o treści uchwały Rady Gminy w urzędowym publikatorze teleinformacyjnym – Biuletynie Informacji Publicznej.

Do spełnienia tego obowiązku nie było niezbędne ujawnienie danych osoby fizycznej, która wniosła skargę na działalność Wójta Gminy. Jeżeli celem zamieszczenia informacji publicznej w BIP-ie jest transparentność działalności publicznej Rady Gminy, w tym treść podejmowanych przez nią uchwał, to cel ten zostaje spełniony także wówczas gdy chroniąc sferę prywatności z informacji usunięte zostaną dane dot. osób prywatnych. Należy zważyć, iż skarga S. U. dotyczyła niewłaściwego załatwiania przez Wójta Gminy spraw indywidualnych w tym przewlekłego załatwiania jego pism. Uznanie przez Radę Gminy skargi S. U. za niezasadną z podaniem obszernego uzasadnienia obrazującego jednoznacznie rodzaj spraw, w których obywatel kwestionował prawidłowość działania organu nie uzasadniało posłużenia się w informacji zamieszczonej w BIP-ie pełnym imieniem i nazwiskiem. Stanowisko Generalnego Inspektora uznające, że w procesie przetwarzania danych osobowych obywatela skarżącego się na działalność organu doszło do naruszenia prawa i wydania decyzji na podstawie art. 18 ust. 1 pkt 6 ustawy nakazującej usunięcie ze strony internetowej BIP danych osobowych S. U. w zakresie imienia i nazwiska z uchwały nr […] Rady Gminy W. z dnia 25 marca 2010 r. nie naruszało prawa. Zamieszczenie w uzasadnieniu decyzji wzmianki o możliwości anonimizacji danych nie stanowiło konkretyzacji nakazu zawartego w osnowie decyzji, lecz przykładowo wskazywało na możliwe sposoby działania organu w takim przypadku.

Nie można zatem przypisać Generalnemu Inspektorowi naruszenia prawa przez nałożenie obowiązku nie istniejącego w przepisach prawa, gdyż treść nałożonego na organ obowiązku odpowiada ściśle określonemu w art. 18 ust. 1 pkt 6 ustawy, który to przepis został powołany w podstawie prawnej decyzji.

Z tych względów Naczelny Sąd Administracyjny nie uznał za zasadny zarzutu naruszenia przepisów art. 12 pkt 1 i 2 oraz art. 18 ust. 1 ustawy o ochronie danych osobowych.

Zaskarżony wyrok nie został wydany z naruszeniem przepisów postępowania mogącymi mieć istotny wpływ na wynik sprawy. W postępowaniu wyjaśniającym został zebrany materiał dowodowy wystarczający do wydania decyzji, a wydana decyzja zawierała rozstrzygniecie adekwatne do wniosku wszczynającego postępowanie. Nie zachodziła potrzeba wydania nakazu obejmującego usuniecie innych danych, gdyż podanie numeru księgi wieczystej dot. nieruchomości, w dodatku nie stanowiącej własności wnoszącego skargę w żadnej mierze nie może być uznane za przetwarzanie danych osobowych, o którym mowa w art. 6 ustawy o ochronie danych osobowych. Ocena w tym zakresie dokonana przez Sąd nie naruszała przepisów art. 134 § 1, art. 134 p.p.s.a. i nie mogła prowadzić do uchylenia zaskarżonych decyzji na podstawie art. 145 § 1 pkt 1 lit. c p.p.s.a. w zw. z art. 7 i 77 § 1 k.p.a.

Odnosząc się do zamieszczonych w piśmie procesowym Wójta Gminy z dnia 7 lutego 2013 r. uzupełnienia uzasadnienia podniesionych w skardze kasacyjnej zarzutów Naczelny Sąd Administracyjny nie podzielił zawartej tam argumentacji, polemizującej ze stanowiskiem WSA i Generalnego Inspektora Ochrony Danych Osobowych. Nie można zdaniem Sądu – art. 19 ustawy o dostępie do informacji publicznej traktować jako przepisu znoszącego obowiązek stosowania przez organy ograniczenia dostępu do informacji publicznej w przypadkach przewidzianych w art. 5 ust. 2 tej ustawy.

Zdaniem Naczelnego Sądu Administracyjnego nie zmienia oceny trafności zarzutów stanowisko zawarte w wyroku Sądu Najwyższego z dnia 8 listopada 2012 r. sygn. akt I CSK 190/12, z uwagi na to, że dotyczył on kwestii prawa do prywatności, jako przesłanki ograniczającej dostęp do informacji publicznej w odniesieniu do nazwisk i imion osób zawierających umowy cywilnoprawne z jednostkami samorządu terytorialnego i korzystających z przywileju czerpania z zasobów publicznych. Wyłączenie prawa do prywatności tych osób (niepełniących funkcji publicznych) podyktowane było rodzajem stosunku prawnego jaki łączył te osoby z j.s.t. dysponującymi w wyniku zawieranych umów majątkiem publicznym.

Zupełnie odmienna jest sytuacja prawna obywatela wnoszącego skargę na działalność organu j.s.t. Prawo do składania skarg stanowiące actio popularis jest objęte ochroną konstytucyjną w art. 63 Konstytucji, a konkretyzacja zasad obowiązujących przy ich rozpatrywaniu nastąpiła w dziale VIII Kodeksu postępowania administracyjnego. Istotne znaczenie z punktu widzenia ochrony praw obywateli ma przepis art. 225 k.p.a. Stanowi on, że nikt nie może być narażony na jakikolwiek uszczerbek lub zarzut z powodu złożenia skargi lub wniosku. Oprócz zakazu dyskryminacji w § 2 przepisu nałożono na organy państwowe i j.s.t. obowiązek przeciwdziałania hamowaniu krytyki i innym działaniom, ograniczającym prawo do skierowania skarg i wniosków.

Zauważyć należy, że skarga, którą wniósł S. U. do rady gminy dotyczyła przewlekłego załatwiania sprawy przez Wójta Gminy oraz spraw załatwianych decyzjami administracyjnymi o rozgraniczeniu i ustanowieniu przebiegu granic oraz podziale nieruchomości, zatwierdzonym decyzją Wójta Gminy z dnia 23 listopada 2009 r. Z uzasadnienia uchwały Rady Gminy z dnia 25 marca 2010 r. wynika w sposób niewątpliwy, że wniesiona skarga dotyczyła spraw indywidualnych, przy czym poza skargą na przewlekłość działania Wójta została załatwiona na podstawie art. 235 k.p.a., tj. przekazaniem według właściwości do załatwienia przez Samorządowe Kolegium Odwoławcze w Katowicach.

Indywidualny charakter spraw, w których podjęta została uchwała Rady Gminy z dnia 25 marca 2010 r. wskazuje, że nie dotyczyła ona sfery publicznej, lecz ściśle określonych interesów osoby prywatnej. Także z tych względów podlegały ochronie dane osobowe wnoszącego skargę, jeżeli nie wyraził on zgody na ich upublicznienie. W przeciwnym razie upublicznienie wyników postępowania skargowego, co także z mocy art. 229 pkt 3 k.p.a. dotyczy rady gminy, zwłaszcza gdy skarga uznana została za niezasadną, mogłoby wpływać na ograniczenie prawa do korzystania z tego środka.

Oceniając to w aspekcie działania organów mogłoby to być postrzegane jako środek do hamowania krytyki obywateli, podejmowanej na tle indywidualnych spraw dotyczących bezpośrednio obywateli.

Poza zakresem tej sprawy pozostaje kwestia opublikowania uchwały w pełnym brzmieniu, jako załącznika do protokołu sesji Rady Miejskiej, gdyż nie było to przedmiotem postępowania wyjaśniającego i decyzji, stąd argumentacja skarżącego organu nie może podlegać rozpatrzeniu w tej sprawie.

Z powyższych względów Naczelny Sąd Administracyjny orzekł jak w sentencji na podstawie art. 184 p.p.s.a. zasądzając zwrot kosztów postępowania kasacyjnego na podstawie art. 204 pkt 1 powołanej ustawy.