Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym :
Przewodniczący Sędzia WSA Sławomir Antoniuk
Sędziowie WSA: Janusz Walawski (spr.), Eugeniusz Wasilewski Protokolant, starszy referent Marcin Borkowski
po rozpoznaniu na rozprawie w dniu 28 kwietnia 2014 r. sprawy ze skargi [...] Sp. z o.o. [...] Sp. j. z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2013 r. nr [...] w przedmiocie nakazu usunięcia uchybień w procesie przetwarzania danych osobowych
1. uchyla zaskarżoną decyzję,
2. stwierdza, że zaskarżona decyzja nie podlega wykonaniu w całości,
3. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz [...] Sp. z o.o. [...] Sp. j. z siedzibą w W. kwotę 440 (czterysta czterdzieści) złotych tytułem zwrotu kosztów postępowania.
Wojewódzki Sąd Administracyjny w Warszawie w dniu 2 czerwca 2011 r. wydał wyrok o sygn. akt II SA/WA 720/11, którym oddalił skargę I. Sp. j. z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] stycznia 2011 r. nr [...] w przedmiocie usunięcia uchybień w przetwarzaniu danych osobowych.
Sąd w uzasadnieniu wyroku podał, co następuje:
Generalny Inspektor Ochrony Danych Osobowych, działając na podstawie art. 138 § 1 pkt 1 i 2 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2, art. 18 ust. 1 pkt 1 i art. 22 w związku z art. 23 ust. 1 pkt 1, art. 25 ust. 1, art. 36 ust. 2, art. 37, art. 39 i art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), decyzją z dnia [...] stycznia 2011 r. nr [...], po rozpoznaniu wniosku powyżej określonej Spółki o ponowne rozpatrzenie sprawy, utrzymał w mocy decyzję poprzedzającą z dnia [...] września 2010 r. nr [...], nakazującą usunięcie uchybień w procesie przetwarzania danych osobowych. Generalny Inspektor Ochrony Danych Osobowych w decyzji poprzedzającej nakazał Spółce usunięcie uchybień w procesie przetwarzania danych osobowych, poprzez:
1) dopełnienie wobec osób, których dane pochodzące ze źródeł powszechnie dostępnych (Monitor Sądowy i Monitor Gospodarczy) zostały zebrane i utrwalone przez ww. administratora danych, obowiązku informacyjnego, o którym mowa w art. 25 ust. 1 ustawy o ochronie danych osobowych, w terminie 3 miesięcy od dnia, w którym niniejsza decyzja stanie się ostateczna,
2) zgłoszenie do rejestracji zbioru danych osobowych klientów (właścicieli adresów poczty elektronicznej) w terminie 30 dni od dnia, w którym niniejsza decyzja stanie się ostateczna,
3) zapewnienie użytkownikom serwisu I. możliwości swobodnego wyrażenia zgody na przetwarzanie ich danych osobowych w celach marketingowych w terminie 30 dni od dnia, w którym niniejsza decyzja stanie się ostateczna,
4) opracowanie dokumentacji stanowiącej politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, w terminie 30 dni od dnia, w którym niniejsza decyzja stanie się ostateczna,
5) nadanie upoważnień do przetwarzania danych osobowych osobom dopuszczonym do przetwarzania danych osobowych w terminie 14 dni od dnia, w którym niniejsza decyzja stanie się ostateczna,
6) opracowaniu ewidencji osób upoważnionych do przetwarzania danych osobowych w terminie 14 dni od dnia, w którym niniejsza decyzja stanie się ostateczna.
W pozostałym zakresie postępowanie zostało umorzone.
W dniu [...] października 2010 r. do Generalnego Inspektora Ochrony Danych Osobowych wpłynął wniosek pełnomocnika Spółki o ponowne rozpatrzenie przedmiotowej sprawy, w którym zarzucono zaskarżonej decyzji naruszenie prawa materialnego, tj. art. 25 ust. 1 i ust. 2 pkt 1 ustawy o ochronie danych osobowych w zw. z art. 8 ust. 1-2 ustawy z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym (Dz.U. z 2007 r. Nr 168, poz. 1186 ze zm.) oraz wniesiono o uchylenie zaskarżonej decyzji i umorzenie postępowania. Spółka podkreśliła, że przyjęcie przez Generalnego Inspektora Ochrony Danych Osobowych stanowiska, potwierdzającego obowiązek zbierającego dane z KRS przekazania osobie fizycznej, ujawnionej w rejestrze, informacji określonych w art. 25 ust. 1 ustawy o ochronie danych osobowych, skutkować będzie tym, iż wymóg taki będzie wówczas powszechnie występował w obrocie gospodarczym, w związku z szeregiem czynności związanych z pozyskiwaniem danych z KRS, np. w przypadku kancelarii prawnych, sprawdzających prawidłową reprezentację stron stosunków umownych.
W zakresie natomiast pozostałych zarzutów, wymienionych w pkt I.2-6 rozstrzygnięcia zaskarżonej decyzji Spółka wyjaśniła, że aktualnie prowadzi działania mające na celu przywrócenie stanu zgodnego z przepisami ustawy o dostępie do informacji publicznej, wskazując jakiego rodzaju działania przywracające stan zgodny z prawem zostały podjęte.
Generalny Inspektor Ochrony Danych Osobowych w uzasadnieniu zaskarżonej decyzji przytoczył treść art. 25 ust. 1 ustawy, zgodnie z którym w przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o:
1) adresie swojej siedziby i pełnej nazwie, a w przypadku, gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku,
2) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych,
3) źródle danych,
4) prawie dostępu do treści swoich danych oraz ich poprawiania,
5) uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8.
Natomiast zgodnie z treścią art. 25 ust. 2 pkt 1 ustawy, przepisu ust. 1 nie stosuje się, jeżeli: przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą.
Organ podniósł, że Spółka prowadzi działalność w zakresie świadczenia usług odpłatnego udzielania informacji gospodarczej, pochodzącej ze źródeł powszechnie dostępnych (Monitor Sądowy i Monitor Gospodarczy), osobom zainteresowanym. Usługa ta jest udostępniana za pośrednictwem publicznej sieci Internet. W związku z powyższym, Spółka przetwarza dane osobowe w zakresie: imię, nazwisko, nr PESEL, pełniona funkcja, rok urodzenia, które zostały ujawnione w Krajowym Rejestrze Sądowym (KRS).
Generalny Inspektor Ochrony Danych Osobowych stwierdził, że przedmiotowa ustawa nie zakazuje tworzenia odrębnych zbiorów na podstawie danych pochodzących ze źródeł powszechnie dostępnych, jednakże nie oznacza to, że powstałe w ten sposób zbiory nie podlegają przepisom tej ustawy. Przede wszystkim Spółka, jako administrator danych osobowych, powinna legitymować się przesłanką do ich przetwarzania.
W opisanej sytuacji należałoby uznać, że taką przesłankę może stanowić art. 23 ust. 1 pkt 5 ustawy, zgodnie z którym przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Kolejnym obowiązkiem, który ciąży na administratorze danych, jest zgłoszenie zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1 (art. 40 ustawy).
W opisanym przypadku mamy do czynienia z wyjątkiem, o którym mowa w art. 43 ust. 1 pkt 9 ustawy, tj. z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych powszechnie dostępnych. Brak jest natomiast podstaw do zwolnienia Spółki z obowiązku przekazania osobom, których dane dotyczą, informacji, o których mowa w art. 25 ust. 1 ustawy o ochronie danych osobowych.
Organ podkreślił, że Spółka pozyskuje dane z KRS w celu utworzenia odrębnego zbioru danych, który wykorzystuje dla własnych celów zarobkowych. W ten sposób Spółka staje się administratorem zebranych w opisany sposób danych, zatem, jako na administratorze danych, ciąży na niej obowiązek informacyjny (bezpośrednio po utrwaleniu zebranych danych), o którym mowa w art. 25 ust. 1 przedmiotowej ustawy.
Przesłanki, o których mowa w art. 25 ust. 2 pkt 1 ustawy, dotyczą zaś sytuacji, gdy przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą. Zwolnienie to dotyczy zatem podmiotów, których działalność, polegająca na przetwarzaniu danych osobowych, została uregulowana szczegółowymi przepisami prawa. Spółka nie jest podmiotem (administratorem danych) prowadzącym rejestry publiczne na podstawie przepisów prawa, a jedynie administratorem danych, który pozyskał dane z takiego rejestru. Zasady dotyczące jawności danych z KRS nie zobowiązują Spółki do upowszechnienia posiadanych informacji, świadczy ona swoje usługi odpłatnie. Co więcej mogłaby ona utajnić posiadane dane i nikt nie mógłby żądać od niej ujawnienia zebranych informacji, powołując się na przepisy o Krajowym Rejestrze Sądowym.
Organ wskazał również, że dane osobowe zostały umieszczone w Krajowym Rejestrze Sądowym m.in. w celu zapewnienia jawności obrotu gospodarczego. W tym też celu powinny być przetwarzane przez podmioty je pozyskujące. Natomiast Spółka stworzyła swoją bazę na podstawie informacji z KRS i świadczy usługi w zakresie udostępniania informacji, wśród których znajdują się dane osobowe, dla realizacji swoich celów zarobkowych.
Konstytucyjnie zagwarantowane prawa osób do nieujawniania dotyczących ich informacji mogą ograniczać wyłącznie przepisy rangi ustawowej. Ustawa o Krajowym Rejestrze Sądowym jest właśnie takim aktem, bowiem zgodnie z treścią art. 35 pkt 1 tej ustawy, ilekroć do Rejestru wpisuje się: osobę fizyczną - zamieszcza się nazwisko i imiona oraz identyfikator nadany w systemie ewidencji ludności, zwany dalej "numerem PESEL". Przy tym rejestr ten jest jawny, bowiem powstał m.in. dla zapewnienia jawności danych podmiotów uczestniczących w życiu gospodarczym. Osoby, o których mowa w przepisach ustawy o KRS, mają zatem obowiązek podania swoich danych w celu ich zamieszczenia w tym rejestrze, muszą też liczyć się z ich ujawnieniem. Nie oznacza to jednak, że muszą one godzić się na wykorzystanie ich danych w celach innych, niż (ogólnie rzecz ujmując) "jawność obrotu gospodarczego".
W myśl art. 26 ust. 1 pkt 2 ustawy o dostępie do informacji publicznej, administrator danych przetwarzający dane powinien dołożyć szczególnej stranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były: zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu, niezgodnemu z tymi celami, z zastrzeżeniem ust. 2.
Niedopełnienie przez Spółkę obowiązku informacyjnego wobec osób, których dane dotyczą, pozbawia te osoby podstawowego prawa do informacji o przetwarzaniu ich danych, a tym samym ogranicza możliwość skorzystania z uprawnień, o których mowa w art. 32 ust. 1 pkt 7 i 8 ustawy o ochronie danych osobowych, tj. wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację; wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych.
Organ podkreślił również, że katalog przypadków, pozwalających odstąpić od przekazania informacji, o którym mowa w art. 25 ust. 1 ustawy, uległ zmianie w wyniku nowelizacji ustawy, dokonanej w 2004 r. (uchylony został m.in. przepis ust. 2 pkt 2 powołanego artykułu, który zwalniał z dopełnienia tego obowiązku w sytuacji, gdy "dane przewidziane do zebrania są ogólnie dostępne"). Z tych względów należy uznać, iż intencją ustawodawcy było zobowiązanie administratorów danych, którzy zbierają dane "ogólnie dostępne", do dopełniania obowiązków wynikających z powołanego przepisu.
Odnosząc się do wniosku o uchylenie decyzji i umorzenie postępowania w zakresie pkt I ppkt 2-6 zaskarżonej decyzji, organ wskazał, że rozstrzygnięcie zawarte w zaskarżonej decyzji jest prawidłowe zarówno z punktu widzenia zgodności z prawem, jak i pod względem celowości. Z uwagi na to, że zaskarżona decyzja została wydana na podstawie właściwie zastosowanych przepisów prawa oraz na podstawie prawidłowo ustalonego stanu faktycznego, należało utrzymać ją w mocy.
Natomiast na podstawie przedstawionych przez Spółkę dowodów, zawartych we wniosku o ponowne rozpatrzenie sprawy z dnia [...] października 2010 r. oraz w piśmie z dnia [...] grudnia 2010 r., organ uznał, że wykonała ona pozostałe nakazy decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] września 2010 r.
W dniu 28 lutego 2011 r. skargę na powyższą decyzję oraz na decyzję ją poprzedzającą złożyła Spółka, reprezentowana przez profesjonalnego pełnomocnika, wnosząc o stwierdzenie ich nieważności, ewentualnie o ich uchylenie, ponadto Spółka wniosła o wstrzymanie wykonalności zaskarżonych decyzji i o zasądzenie na jej rzecz zwrotu kosztów postępowania.
Pełnomocnik Spółki zarzucił zaskarżonym decyzjom spełnienie przesłanki, o której mowa w art. 156 § 1 pkt 5 Kpa, powodującej ich nieważność ze względu na trwałą niewykonalność (istniejącą już w dniu wydania aktów administracyjnych) nałożonego w decyzji obowiązku przekazania informacji osobie, której dane dotyczą, a także naruszenie przepisów ustawy o ochronie danych osobowych, tj. art. 25 ust. 2 pkt 1 w zw. z ust. 1 tej ustawy oraz art. 8 ust. 1-2 ustawy o Krajowym Rejestrze Sądowym, poprzez błędną wykładnię wspomnianego przepisu, polegającą na stwierdzeniu przez organ administracji publicznej, że w przedmiotowej sprawie nie zachodzi wyłączenie obowiązku informacyjnego oraz art. 18 ust. 1 ustawy o dostępie do informacji publicznej poprzez zawarcie w decyzji administracyjnej wadliwego rozstrzygnięcia, w którym nie określa się przedmiotu nakazu, tj. czynności służących przywróceniu stanu zgodnego z prawem.
W odpowiedzi na skargę organ wniósł o jej oddalenie i podtrzymał argumenty zawarte w zaskarżonej decyzji.
Sąd, oddalając skargę, podał, że ustawa o ochronie danych osobowych statuuje zasadę ochrony danych osobowych. Zgodnie z art. 1 tej ustawy, każdy ma prawo do ochrony dotyczących go danych osobowych, a samo przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne lub dobro osoby, której te dane dotyczą.
Ochrona danych osobowych jest jednym z podstawowych praw obywatelskich w demokratycznym państwie prawa. Ochrona danych osobowych wiąże się bowiem z ochroną życia prywatnego, a zatem stanowi o wolności obywatela. Prawo do ochrony danych osobowych nie jest jednak prawem absolutnym i podlega ograniczeniu ze względu na interes publiczny lub usprawiedliwiony interes innych osób. Niemniej jednak, skoro jest to prawo obywatelskie, decydujące o poczuciu wolności danej osoby, to wyjątki dopuszczające zbieranie i wykorzystywanie danych osobowych powinny być poddane ścisłej wykładni.
Ustawodawca, kierując się wartościami ochrony praw konstytucyjnych, nie może dopuścić do sytuacji, w której to prawo, poprzez rozszerzającą interpretację przepisów dotyczących przetwarzania i udostępnienia danych osobowych, jest naruszane.
Za błędny należy uznać pogląd, przedstawiony przez pełnomocnika Spółki, iż podstawa prawna zaniechania przez niego obowiązku informacyjnego, określonego w art. 25 ust. 1 ustawy, istnieje w jej art. 25 ust. 2 pkt 1 w zw. z art. 8 ust. 1-2 ustawy z dnia 27 sierpnia 1997 r. o Krajowym Rejestrze Sądowym (Dz. U. z roku 2007 Nr 168, poz.1186 ze zm.). Przepis art. 25 ust. 2 pkt 1 statuuje, iż nie ma obowiązku powiadamiania osoby, której dane dotyczą, w sytuacji, gdy przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której te dane dotyczą.
Przepisy ustawy o Krajowym Rejestrze Sądowym określają zasady wpisu do rejestru oraz zasady jego udostępnienia. Wspomniany w skardze art. 8 ust. 1-2 ustawy o Krajowym Rejestrze Sądowym statuuje zasadę jawności danych zawartych w rejestrze.
Należy jednak zauważyć, że ww. ustawa z dnia 27 sierpnia 1997 r. reguluje sposób udostępnienia danych osobowych osób, których dane znajdują się w KRS w sposób całkowity. Dane te udostępniane są w drodze elektronicznej przez Centralną Informację KRS lub w drodze przeglądania akt rejestru we właściwych wydziałach sądów. Dane te są udostępniane każdemu zainteresowanemu, dla jego potrzeb związanych z pewnością obrotu gospodarczego. Osoba, która podejmuje działalność, która ma być wpisana do KRS, wie, że jej dane są w prowadzonym przez Państwo rejestrze i tylko na podstawie przepisów dotyczących funkcjonowania tego rejestru te dane będą wykorzystane. Tymczasem Spółka pobiera dane osobowe osób znajdujących się w KRS, takie jak imię, nazwisko, numer PESEL, do własnej bazy danych, w której te dane są przetwarzane. Dane z KRS nie mają służyć do takiego celu, a osoby, które udostępniają swoje dane osobowe nie wyrażają zgody na to, aby ich dane osobowe były umieszczane w innej, prywatnej bazie danych. Decydując się na umieszczenie swoich danych w KRS, przedsiębiorcy mają zaufanie, że ich dane będą ujawniane i wykorzystywane tylko w taki sposób, na jaki zezwala ustawa o Krajowym Rejestrze Sądowym. Takie rozumienie przepisu art. 25 ust. 2 pkt 1 przedmiotowej ustawy w zw. z art. 8 ust. 1-2 ustawy o Krajowym Rejestrze Sądowym wynika ze ściślej interpretacji tych przepisów. Ustawodawca nie może bowiem dopuścić do tego, że ochrona danych osobowych, znajdujących się w KRS, nie będzie ograniczona wobec podmiotów, które będą chciały wykorzystać te dane w innych celach i na innych zasadach niż dopuszcza to ustawa o Krajowym Rejestrze Sądowym. Wówczas dopuszczonoby także do sytuacji, w której dane z KRS mogłyby być w nieograniczony sposób wykorzystywane, bez woli osób w nich ujętych, w celu utworzenia bazy danych dla prowadzenia kampanii marketingowych.
Powyższa interpretacja art. 25 ust. 2 pkt 1 ustawy o ochronie danych osobowych ma uzasadnienie także w wykładni historycznej art. 25 ust. 2 tej ustawy, który obowiązywał do dnia 1 maja 2004 r. Przepis ten przewidywał, że administrator nie informował danej osoby o tym, że jej dane znajdują się w bazie danych w sytuacji, gdy dane te pochodziły ze zbiorów powszechnie dostępnych. Wejście w dniu 1 maja 2004 r., a więc w dniu przystąpienia Polski do Unii Europejskiej, przepisów ustawy z dnia 22 stycznia 2004 r. o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe (Dz. U. Nr 33, poz. 285) spowodowało, iż uchylone zostały wyłączenia obowiązku informacyjnego. Tym samym w przypadku pozyskiwania danych ze źródeł ogólnie dostępnych (pkt 2), czyli np. opublikowanych we wszelkich wykazach, spisach, rejestrach, książkach telefonicznych, almanachach(...).
Istnieje również obowiązek poinformowania osoby, której dane dotyczą o ich przetwarzaniu (P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2009, s. 257). Ustawodawca, implementując przepisy europejskie do polskiego prawa ochrony danych osobowych, wykreślił możliwości nieinformowania osoby o jej uprawnieniach związanych z przetwarzaniem danych osobowych w sytuacji, gdy jej dane są zawarte w powszechnie dostępnych i jawnych rejestrach. Tak więc w sytuacji, gdy Spółka pozyskuje dane osobowe z KRS w celu ich przetwarzania jest zobowiązana do wypełnienia obowiązku informacyjnego, określonego w art. 25 ust. 1 ustawy o ochronie danych osobowych.
Za nieuzasadniony należy uznać zarzut skarżącego, że zaskarżona decyzja stoi w sprzeczności z postanowieniami Dyrektywy 2003/98/WE Rady i Parlamentu Europejskiego z dnia 17 listopada 2003 r. w sprawie ponownego wykorzystywania informacji sektora publicznego.
Powyższy akt prawny nie ma zastosowania wprost do polskiego porządku prawnego, bowiem dyrektywy unijne są implementowane do porządku prawnego państwa członkowskiego i dopiero wówczas wchodzą w życie w danym porządku prawnym. Powyższa dyrektywa nie jest przyjęta do prawa polskiego i dopiero trwają prace nad jej implementacją (por. Założenia do projektu ustawy o ponownym wykorzystaniu informacji publicznej z dnia 3 września 2009 r., opublikowane w bip.mswia.gov.pl/download.php?s=4&id=5366).
Wbrew zarzutom skargi należy uznać, że zaskarżona decyzja jest wykonalna. Spółka, budując własną bazę danych osobowych, posiada dane, które zezwalają jej na wykonanie obowiązku informacyjnego wobec osób, które się w tej bazie znajdują, są tam bowiem imiona i nazwiska osób oraz numery PESEL osób fizycznych, a także siedziba podmiotów gospodarczych, w których pełnią one funkcje. Nadto Spółka może skorzystać z usług Centralnego Biura Adresowego. Fakt, że jest to duże przedsięwzięcie organizacyjne i dotyczy znacznej liczby osób nie oznacza, że jest ono niewykonalne. Spółka, budując dużą bazę danych, musiała się liczyć z tym, że w stosunku do takiej liczby osób będzie miała określone przepisami ustawy o ochronie danych osobowych obowiązki.
W ocenie Sądu, decyzje wydane przez Generalnego Inspektora Ochrony Danych Osobowych nie naruszają treści art. 18 ust. 1 ustawy o ochronie danych osobowych. Dyspozycja w tym zakresie jest jasna. Spółka ma wykonać obowiązek informacyjny, określony w treści art. 25 ust. 1 przedmiotowej ustawy. Organ nie miał obowiązku wskazywać, w jaki konkretny sposób ma ten obowiązek wykonać. Sposób, w jaki zostaną zawiadomione osoby, których dane osobowe znajdują się w bazie danych, jest pozostawiony Spółce, która powinna go dostosować do posiadanych danych i swoich możliwości organizacyjnych. Wskazanie przez organ na konkretny sposób zawiadomienia, np. tylko pocztą albo tylko drogą elektroniczną, nie miałoby uzasadnienia w charakterze sprawy, a nawet mogłoby doprowadzić do niewykonalności decyzji.
Naczelny Sąd Administracyjny, po rozpoznaniu skargi kasacyjnej I. Sp. j. z siedzibą w W. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 2 czerwca 2011 r., sygn. akt II SA/Wa 720/11 w sprawie ze skargi powyżej określonej Spółki na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] stycznia 2011 r. nr [...] w przedmiocie usunięcia uchybień w przetwarzaniu danych osobowych, w dniu 24 stycznia 2013 r. wydał wyrok o sygn. akt I OSK 1827/11, którym uchylił zaskarżony wyrok i przekazał sprawę do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie oraz zasądził od Generalnego Inspektora Ochrony Danych Osobowych na rzecz Spółki kwotę 380 zł tytułem zwrotu kosztów postępowania kasacyjnego.
Naczelny Sąd Administracyjny w uzasadnieniu wyroku podał, co następuje:
W zaskarżonej decyzji organ swe rozstrzygnięcie oparł na art. 18 ust. 1 pkt 1 ustawy o ochronie danych osobowych, nakazując Spółce usunięcie uchybień w procesie przetwarzania danych osobowych przez m.in. dopełnienie wobec osób, których dane pochodzą ze źródeł powszechnie dostępnych (Monitor Sądowy i Monitor Gospodarczy), a które zostały zebrane i utrwalone przez ww. administratora danych, obowiązku informacyjnego, o którym mowa w art. 25 ust. 1 powołanej ustawy. Zauważyć należy, iż art. 18 ust. 1 zawiera cały szereg sankcji, które ustawodawca wyraźnie różnicuje, stopniując ich rodzaj i zakres.
Prawidłowe zastosowanie tych sankcji wymaga więc przeprowadzenia postępowania wyjaśniającego, spełniającego wymogi kodeksowe, zamieszczone w przepisach art. 7 i art. 77 Kpa, jak również uwzględniającego regulacje materialnoprawne, z których wynika konieczność umiejętnego stopniowania sankcji.
Stosując nakazy, Generalny Inspektor Ochrony Danych Osobowych powinien uwzględniać wynikający także z konkretnego stanu faktycznego charakter stwierdzonego naruszenia. Zastosowana sankcja administracyjna powinna być adekwatna, współmierna do stopnia naruszenia prawa, a także winna uwzględniać zagrożenie praw osoby, której dane dotyczą (art. 23 ust. 1 pkt 5 i art. 26 ust. 1 pkt 1, 2 i 3 ustawy).
W doktrynie oprócz tego wyraża się pogląd, iż decyzje Generalnego Inspektora powinny być podejmowane rozważnie, tak aby osiągnąć zamierzony cel (stan zgodności z prawem) środkami możliwie jak najmniej dotkliwymi (uciążliwymi) dla adresata decyzji (G. Sibiga, Postępowanie w sprawach ochrony danych osobowych, Warszawa 2003, s. 153, J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, wyd. 5, Lex a Wolters Kluwer Business, Warszawa 2011, s. 430 i 431).
Podzielając powyższe poglądy, Naczelny Sąd Administracyjny zauważył, iż rozstrzygnięcia organu w tej sprawie nie spełniają powyższych kryteriów.
Z ustaleń dokonanych przez organ wynika, iż skarżąca Spółka w ramach prowadzonej działalności komercyjnej świadczenia usług, polegających na udzielaniu informacji, przetwarza dane o osobach prawnych oraz jednostkach organizacyjnych nieposiadających osobowości prawnej, których dane są ujawnione w Krajowym Rejestrze Sądowym (Monitor Sądowy i Gospodarczy). W zbiorach tych znajdują się również dane osobowe osób fizycznych w zakresie: imię, nazwisko, nr PESEL, pełniona funkcja, rok urodzenia. Monitory Sądowy i Gospodarczy nie zawierają danych o adresach osób fizycznych.
Zasadnie skarżąca Spółka podważa w tej sytuacji nałożenie przez organ ogólnie obowiązku spełnienia obowiązku informacyjnego, bez wskazania, w jaki sposób i jakimi środkami administrator danych winien je uzyskać.
Stwierdzić należy, iż ani z materiałów postępowania wyjaśniającego, ani z uzasadnienia decyzji nie wynika, aby organ rozważał, a następnie oceniał, czy zakres przetwarzania danych przez Spółkę był adekwatny do celów, w jakich były one przetwarzane, zwłaszcza w kontekście zagrożenia interesów osób fizycznych, gdyż tylko z takich względów ustawodawca wprowadził w art. 25 ust. 1 obowiązek informacyjny.
Brak jest także materiałów pozwalających przyjąć, iż organ rozważał możliwość zastosowania innych środków, adekwatnych do stwierdzonych uchybień, a pozwalających usunąć stan sprzeczny z prawem przy użyciu środków mniej uciążliwych dla skarżącej Spółki. Tak ogólne sformułowanie obowiązku informacyjnego mogło być rozumiane przez skarżącą jako prowadzące do uzupełnienia danych osobowych (art. 18 ust. 1 pkt 2 ustawy) o adresy osób fizycznych. Poszerzenie bazy danych osobowych o adresy osób fizycznych, przy przesłance legalizacyjnej z art. 23 ust. 1 pkt 5 ustawy, stwarzałoby niebezpieczeństwo konfliktu z celem przetwazania danych, a nadto mogłoby godzić w dobro osób, których dane te dotyczą. Powyższe niebezpieczeństwo jawi się jako realne w świetle stanowiska Wojewódzkiego Sądu Administracyjnego, wyrażonego w zaskarżonym wyroku, a dopuszczającego możliwość skorzystania przez administratora danych osobowych z usług Centralnego Biura Adresowego. Tym samym realizacja obowiązku prowadziłaby do uzupełnienia danych osobowych o adresy osób fizycznych. Niedostrzeżenie błędów organu oraz wadliwe sformułowanie wskazań dla organu oznacza, iż Sąd pierwszej instancji wadliwie wykonał obowiązek kontroli legalności, a zarzuty skargi kasacyjnej naruszenia wskazanych wyżej przepisów ustawy - Prawo o postępowaniu przed sądami administracyjnymi, Kpa oraz art. 18 ust. 1 pkt 1 i 2 przedmiotowej ustawy należy uznać za usprawiedliwione.
Pozostałe zarzuty naruszenia przepisów postępowania zostały sformułowane w ten sposób, że zarzut naruszenia przepisów proceduralnych przedstawia się jako wynik wadliwego zastosowania prawa materialnego, a ponadto postawiono także zarzut naruszenia przepisów prawa materialnego w rozumieniu podstawy z art. 174 pkt 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2012 r., poz. 270 z późn. zm.).
Zarzuty te Sąd odwoławczy uznał częściowo za przedwczesne, jednocześnie w pewnym zakresie, usprawiedliwionym dotychczasowymi ustaleniami, nie podzielił argumentacji skarżącej Spółki. Wskazany jako naruszony przepis art. 25 ust. 2 pkt 1 ustawy o ochronie danych osobowych został w zarzucie powiązany z przepisami art. 8 i art. 13 ustawy z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym. Przepis art. 25 ustawy o ochronie danych osobowych reguluje powinność administratora danych w sytuacji zbierania danych osobowych nie od osoby, której one dotyczą. Ma on wówczas obowiązek powiadomić tę osobę o adresie siedziby i pełnej nazwie lub imieniu i nazwisku oraz miejscu zamieszkania, gdy administratorem jest osoba fizyczna, celu i zakresie zbierania danych oraz odbiorcach, źródle, prawie dostępu do treści swoich danych oraz ich poprawiania i o uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8.
Obowiązki te są wyłączone jeżeli przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą (art. 25 ust. 1 pkt 1 ustawy).
Spółka, powołując się na art. 8 i art. 13 ustawy o KRS, wywodzi, iż zawarta w nich treść normatywna odpowiada przesłankom wyłączającym obowiązek informacyjny.
Przyjmując argumentację WSA i organu, że art. 8 ust. 1 i 2 ustawy o KRS statuuje zasadę jawności danych zawartych w Rejestrze, prawo każdego dostępu do danych zawartych w Rejestrze za pośrednictwem Centralnej Informacji oraz obowiązek upublicznienia wpisów przez ogłoszenie ich w Monitorze Sądowym i Gospodarczym, skarżąca Spółka podważa jednocześnie takie rozumienie przepisów obu ustaw, zaprezentowane zarówno w decyzji, jak i w uzasadnieniu zaskarżonego wyroku, które akcentuje konieczność ścisłej interpretacji tych przepisów.
Przypomnieć należy, uznając je jednocześnie za trafne, stanowisko organu, że dane dotyczące osób fizycznych, wpisane do KRS, są danymi osobowymi, a zasady ich przetwarzania, jak: zbieranie, przekazywanie, utrwalanie, udostępnianie i zmienianie, w sposób kompletny reguluje ustawa z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym.
Ustawa ta w sposób ścisły wskazuje równocześnie zakres danych osobowych, dotyczących osób fizycznych, wpisanych do Rejestru, które muszą ograniczać się tylko do nazwiska, imienia oraz identyfikatora nadanego w systemie ewidencji ludności, zwanego "numerem PESEL".
Wspomniany numer identyfikacyjny, składający się z 11 cyfr, określa każdą osobę fizyczną, przy czym, co jest także istotne w tej sprawie, cztery pierwsze cyfry oznaczają dokładną datę urodzenia w kolejności: data roczna, miesięczna oraz dzienna. W połączeniu z nazwiskiem i imionami powyższe dane odpowiadają pojęciu danych osobowych, zdefiniowanych w art. 6 ust. 1 i 2 ustawy o ochronie danych osobowych.
W myśl tych przepisów za dane osobowe uważa się wszelkie informacje, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (ust. 1). Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (ust. 2). Zauważyć należy, iż powyższa definicja stanowi implementację definicji, zawartej w art. 2 pkt a Dyrektywy 95/46 WE Parlamentu Europejskiego i Rady.
Zwrócić należy uwagę, że zgodnie z art. 39 pkt 1 ustawy o KRS w zakresie danych dotyczących reprezentacji podmiotów gospodarczych zamieszcza się oznaczenie organu uprawnionego do reprezentowania podmiotu oraz osób wchodzących w jego skład, ze wskazaniem sposobu reprezentacji.
Zakres danych osobowych, wynikających z przepisów ustawy o Krajowym Rejestrze Sądowym, odpowiada celowi, w jakim został utworzony, a którym jest zapewnienie jawności i pewności obrotu gospodarczego.
Na ten cel zasadnie zwrócił uwagę Sąd pierwszej instancji, jak również skarżąca Spółka, stwierdzając, że art. 8 ustawy o KRS nie upoważnia do przetwarzania danych osobowych zawartych w KRS w dowolnych celach (s. 9 skargi kasacyjnej). Spółka wywodzi jednakże, że czyni to w tych samych co KRS celach "co tym samym zwalnia ją z obowiązku informacyjnego".
Chociaż z tym twierdzeniem nie można się zgodzić w świetle ustaleń kontroli i wyjaśnień wspólników i pracowników Spółki, na które to ustalenia powołuje się organ w uzasadnieniu decyzji, a przyjął je za prawidłowe Sąd, to należy uznać, iż nakładając na Spółkę nakaz dopełnienia wobec osób, których dane pochodzą ze źródeł powszechnie dostępnych (Monitor Sądowy i Gospodarczy), a które zostały zebrane i utrwalone przez Spółkę, obowiązku informacyjnego, o którym mowa w art. 25 ust. 1 ustawy o ochronie danych osobowych, Sąd pierwszej instancji nie rozważył i nie uwzględnił w sposób należyty celu, w jakim Spółka ta przetwarzała dane osobowe, ich zakresu a w związku z tym zastosowania odpowiedniego środka przewidzianego w art. 18 ust. 1 przedmiotowej ustawy.
Zwrócić należy uwagę na to, że organ w uzasadnieniu decyzji z dnia [...] stycznia 2011 r. powołał się na art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych jako przesłankę legalizującą przetwarzanie danych osobowych.
Przepis ten dopuszcza przetwarzanie danych tylko wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów, realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Cel, w jakim Spółka przetwarza dane osobowe, nie może być utożsamiany z tym, jakiemu służy Rejestr KRS.
W stosunkach umownych cel przetwarzania danych osobowych wynika najczęściej z treści umowy, jednakże w razie wątpliwości cel powinien być m.in. zgodny z przedmiotem działalności przedsiębiorstwa (A. Mednis, Obowiązki podmiotów prywatnych wykorzystujących dane osobowe, Monitor Prawniczy, 1998, nr 8, s. 293).
Posługując się tym kryterium, należy odwołać się do rodzaju działalności Spółki wpisanej do KRS, określonej jako działalność w zakresie oprogramowania, doradztwa w zakresie prowadzenia działalności gospodarczej i zarządzania oraz działalność związana z bazami danych. Powyższe potwierdzają wyniki kontroli, na które powołuje się organ, a co zaakceptował Sąd, iż Spółka prowadzi działalność świadczenia odpłatnie usług z zakresu informacji gospodarczej ze źródeł powszechnie dostępnych (Monitory Sądowy i Gospodarczy) osobom zainteresowanym, a usługa ta jest udostępniana za pomocą publicznej sieci Internet. W związku z tą działalnością przetwarza dane osobowe osób fizycznych, ujawnione w Rejestrze jak imię, nazwisko, numer PESEL, pełnione funkcje, rok urodzenia.
Należy zgodzić się z oceną organu i Sądu, iż cele przetwarzania danych objętych KRS, a ujawnionych w Monitorze Sądowym i Gospodarczym, nie są tożsame z celami komercyjnymi, dla których dane te przetwarza (zbiera, utrwala, udostępnia itd.) skarżąca Spółka.
Rozważenia zatem wymagało, czy dla prowadzenia działalności gospodarczej o charakterze komercyjnym (co nie budzi wątpliwości w świetle ustaleń organu) zakres przetwarzania danych osobowych przez Spółkę jest zgodny z usprawiedliwionym celem, realizowanym przez administratora danych. Jawność i powszechna dostępność danych z Rejestru KRS oraz cel, jaki realizuje tą drogą ustawodawca, determinuje rodzaj i zakres przetwarzania danych osobowych osób fizycznych. Ustawa ogranicza je tylko do danych dotyczących imienia, nazwiska, pełnionej w podmiotach funkcji oraz numeru identyfikacyjnego PESEL. Są to zatem dane wiążące się ściśle ze sferą obrotu gospodarczego, zaś poza ww. danymi identyfikacyjnymi Rejestr nie pozwala na ujawnienie innych, bardziej szczegółowych danych dot. osób fizycznych, jak np. miejsce zamieszkania. Oznacza to, że dla powszechnie dostępnych celów informacyjnych nie jest dopuszczalne ujawnianie adresu, miejsca zamieszkania osób fizycznych (członków zarządu, wspólników), co można tłumaczyć ochroną sfery prywatnej tych osób. Pozostaje to w zgodzie z konstytucyjną zasadą prawa jednostki do zachowania w tajemnicy informacji dotyczącej własnej osoby.
W art. 51 ust. 1 Konstytucja Rzeczypospolitej Polskiej gwarantuje obywatelom, że nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawnienia informacji dotyczącej jego osoby. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym (ust. 2), zaś zasady i tryb określać może tylko ustawa (ust. 5). Realizacja tej zasady znalazła odzwierciedlenie w art. 26 ustawy o ochronie danych osobowych, który nakłada na administratora danych obowiązek dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności obowiązany jest zapewnić, aby dane te były przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane.
Powyższy przepis odpowiada wymaganiom, zawartym w art. 6 ust. 1 pkt a, b, c. d Dyrektywy 95/46 WE, wśród których znalazł się wymóg gromadzenia danych do określonych, jednoznacznych i legalnych celów oraz zakaz niepodawania dalszemu przetwarzaniu w sposób niezgodny z tym celem (b), merytorycznej poprawności, stosowności oraz wymóg aby były nienadmierne ilościowo w stosunku do celów, dla których zostały zgromadzone i/lub dalej przetworzone (c).
Konieczność respektowania tych przepisów przez organ nadzoru nakłada na niego obowiązek ustalenia i rozważenia, czy zakres przetworzenia danych osób fizycznych przez Spółkę był adekwatny do realizowanych przez nią celów, a w szczególności czy adekwatne byłoby przetwarzanie oprócz takich danych jak rok urodzenia, PESEL jeszcze danych dotyczących adresu osób fizycznych. Przeprowadzone postępowanie nie wyjaśniło w jakim zakresie, wysyłając informację do odbiorców danych (klientów Spółki), przekazuje ona dane osobowe ww. osób i w jakich celach.
Konieczność uzupełnienia postępowania w tym kierunku wiąże się z omówionymi wcześniej zasadnymi zarzutami naruszenia przepisów postępowania w sposób mający istotny wpływ na wynik sprawy.
Ustawowy wymóg ochrony interesów osób, których dane dotyczą nakłada na organ, jak również sąd administracyjny wykonujący kontrolę, obowiązek czuwania, aby zakres przetwarzania nie wkraczał w sferę prywatną, jak również, aby dane te odpowiadały przesłance adekwatności, a także pozostawały w zgodzie z zasadą proporcjonalności, uregulowaną w art. 31 Konstytucji.
W takiej sytuacji jak w przedmiotowej sprawie nie można zatem rozważać możliwości uzupełnienia danych osobowych o adresy osób fizycznych, zwłaszcza w drodze ich poszukiwania w CBA, lecz jak wyżej wskazano należy dążyć do ograniczenia ich w zakresie dostosowanym do celu działalności Spółki oraz ochrony interesów osób, których dotyczą.
Jeżeli dane uzyskane w wyniku uzupełnionego postępowania wyjaśniającego będą uzasadniały zastosowanie przepisu art. 25 ust. 1 ustawy, organ winien rozważyć możliwość ograniczenia obowiązku informacyjnego. Należy zważyć, iż przepis art. 42 ust. 1 Kpa jako równoważne uznaje doręczanie pism osobom fizycznym w ich mieszkaniu lub miejscu pracy. W takiej sytuacji konkretyzacja nakazu uwzględniałaby z jednej strony ochronę danych osób pełniących funkcje w podmiotach gospodarczych, z drugiej byłaby mniej dotkliwa niż wykonanie tego obowiązku w sposób wskazany przez Sąd, tj. ustalanie adresu (miejsca zamieszkania) za pośrednictwem Centralnego Biura Adresowego. Dodać należy, iż taki sposób realizacji obowiązku, bez zastosowania odpowiednich środków zabezpieczających, stwarzałby niebezpieczeństwo poszerzenia zakresu przetwarzanych danych osobowych osób fizycznych, pozostając w konflikcie z obowiązkami organu, wynikającymi z przepisów art. 25 ust. 1 pkt 5 i art. 26 ust. 1 ustawy o ochronie danych osobowych.
Należy zauważyć, że w toku postępowania wyjaśniającego organ nie rozważał okoliczności wiążących się z sygnalizowanymi przez Spółkę trudnościami w realizacji nakazu. Wynikało to m.in. stąd, że zarzuty w tym zakresie zostały sformułowane przez Spółkę dopiero przy okazji wniosku o wstrzymanie wykonania zaskarżonej decyzji. W uzasadnieniu zaskarżonego wyroku Sąd ocenił to jako duże przedsięwzięcie, lecz jego rozmiary, skala trudności, nakłady oraz konsekwencje pozostały poza ramami postępowania administracyjnego. Zachodzi więc konieczność uzupełnienia postępowania administracyjnego, a w razie ustalenia, że skarżącą obciąża obowiązek informacyjny odniesienia się także do możliwości jego nałożenia w kontekście zastosowania prounijnej wykładni przepisów prawa (art. 11 ust. 2 Dyrektywy 95/46 WE Parlamentu Europejskiego i Rady).
Z uwagi na opisane wyżej mankamenty postępowania wyjaśniającego Naczelny Sąd Administracyjny nie mógł rozpoznać w pełni zarzutów naruszenia przepisów prawa materialnego, uznając je w takiej sytuacji za przedwczesne; za przedwczesne należało także uznać wystąpienie z pytaniem do Trybunału Sprawiedliwości Unii Europejskiej.
W uzasadnieniu decyzji z [...] stycznia 2011 r. organ, odnosząc się do wniosku skarżącej o umorzenie postępowania wobec wykonania nakazów wymienionych w pkt 26 decyzji i nie uwzględniając tego wniosku, stwierdził, że rozstrzygnięcie zawarte w zaskarżonej decyzji jest prawidłowe pod względem zgodności z prawem i celowości.
Stanowisko to jest błędne, bowiem rozstrzygając sprawę z wniosku w trybie art. 127 § 3 k.p.a. organ nie ocenia legalności swej poprzedniej decyzji, lecz ponownie rozpoznaje sprawę w jej całokształcie. Oznacza to, że jeżeli strona wykonała nałożone na nią nakazy, organ obowiązany jest, po potwierdzeniu tego, wobec zmiany stanu faktycznego, wydać decyzję na podstawie art. 138 § 1 pkt 2 Kpa., tj. uchylającą decyzję w tej części i umarzającą postępowanie administracyjne w tym zakresie.
Podobny pogląd wyrażono w cytowanym wcześniej Komentarzu do ustawy o ochronie danych osobowych (s. 431), w którym stwierdzono, że stan naruszenia przepisów ustawy o ochronie danych osobowych powinien istnieć w dacie wydania decyzji. Jeżeli w trakcie wszczętego postępowania nieprawidłowości zostaną usunięte postępowanie staje się bezprzedmiotowe, a organ wydaje decyzję o jego umorzeniu na podstawie art. 105 § 1 k.p.a.
Jest oczywiste, że stosowanie art. 105 § 1 k.p.a. w postępowaniu prowadzonym na podstawie art. 127 § 3 k.p.a. następuje w zw. z art. 138 § 1 pkt 2 Kpa.
Wojewódzki Sąd Administracyjny w Warszawie, po rozpoznaniu na rozprawie sprawy ze skargi I. Sp. j. z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] stycznia 2011 r. nr [...] w przedmiocie usunięcia uchybień w przetwarzaniu danych osobowych, w dniu 24 kwietnia 2013 r. wydał wyrok o sygn. akt II SA/Wa 507/13, którym uchylił zaskarżoną decyzję i określił, że nie podlega ona wykonaniu w całości. Sąd w uzasadnieniu wyroku podkreślił, że Naczelny Sąd Administracyjny wskazał, że organ, rozpoznając sprawę, naruszył art. 7 i art. 77 Kpa poprzez niezgromadzenie niezbędnego do wydania decyzji materiału dowodowego, a w konsekwencji nieprawidłowo zastosował art. 18 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.).
Prawidłowe zastosowanie sankcji wymienionych w tym przepisie wymaga przeprowadzenia postępowania wyjaśniającego, spełniającego wymogi kodeksowe, zamieszczone w art. 7 i art. 77 Kpa, jak również uwzględnijącego regulacje materialnoprawne, z których wynika konieczność umiejętnego stopniowania sankcji. W rozpoznawanej sprawie organ nie wyjaśnił, dlaczego zastosował sankcję wskazaną w ustawie.
Naczelny Sąd Administracyjny podkreślił, że Generalny Inspektor Ochrony Danych Osobowych powinien uwzględniać przy stosowaniu sankcji stan faktyczny sprawy i charakter naruszenia. Zastosowana sankcja powinna być adekwatna, współmierna do stopnia naruszenia prawa, a także powinna uwzględniać zagrożenie praw osoby, której dane dotyczą (art. 23 ust. 1 pkt 5 i art. 26 ust. 1 pkt 1-3 przedmiotowej ustawy).
Z materiałów postępowania wyjaśniającego rozpoznawanej sprawy, jak i z uzasadnienia decyzji, nie wynika, by organ rozważał, a następnie ocenił, czy zakres przetwarzania danych przez Spółkę był adekwatny do celów, w jakich były one przetwarzane, zwłaszcza w kontekście zagrożenia interesów osób fizycznych i wprowadzenia w art. 25 ust. 1 ustawy obowiązku ich informowania (obowiązek informacyjny). Brak jest zatem możliwości oceny, czy organ rozważał możliwość zastosowania innych środków, adekwatnych do stwierdzonych uchybień, a pozwalających usunąć stan sprzeczny z prawem przy użyciu środków mniej uciążliwych dla Spółki.
Rozpoznając wniosek o ponowne rozpatrzenie sprawy, Generalny Inspektor Ochrony Danych Osobowych zobowiązany jest do wyjaśnienia, czy i jakie środki, przewidziane w art. 18 ust. 1 przedmiotowej ustawy, należy zastosować, a zajęte stanowisko powinno znaleźć odzwierciedlenie w uzasadnieniu decyzji. Co więcej, w zaskarżonej decyzji organ, odnosząc się do wniosku Spółki o umorzenie postępowania wobec wykonania prze nią nakazów wymienionych w pkt 2-6 decyzji z dnia [...] września 2010 r., nie uwzględniając tego wniosku, stwierdził, że rozstrzygnięcie zawarte w zaskarżonej decyzji jest prawidłowe, zgodne z prawem i celowe, podczas gdy jest ono błędne, gdyż na podstawie art. 127 § 3 Kpa organ nie ocenia legalności decyzji poprzedzającej, lecz ponownie rozpoznaje sprawę, co oznacza, że jeżeli strona wykonała nałożone na nią obowiązki, to zmiana stanu faktycznego powoduje po stronie organu obowiązek wydania decyzji na podstawie art. 138 § 1 pkt 2 Kpa.
Generalny Inspektor Ochrony Danych Osobowych, działając na podstawie art. 138 § 1 pkt 1 i 2 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2013 r., poz. 267) oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1 i art. 22 w zw. z art. 23 ust. 1 pkt 1, art. 25 ust. 1, art. 36 ust. 2, art. 37, art. 39 i art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie wniosku pełnomocnika I. Sp. j. z siedzibą w W. przy ul. [...] o ponowne rozpatrzenie sprawy zakończonej decyzją Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] września 2010 r. nr [...], nakazującą usunięcie uchybień w procesie przetwarzania danych osobowych przez Spółkę, w dniu [...] listopada 2013 r. wydał decyzję nr [...], którą:
I. uchylił pkt I. ppkt 2 - 6 zaskarżonej decyzji i umorzył postępowanie w tym zakresie, tj. w części dotyczącej:
1) zgłoszenia do rejestracji zbioru danych osobowych klientów, właścicieli adresów poczty elektronicznej,
2) zapewnienia użytkownikom serwisu Spółki możliwości swobodnego wyrażania zgody na przetwarzanie ich danych osobowych w celach marketingowych,
3) opracowania dokumentacji stanowiącej politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych,
4) nadania upoważnień do przetwarzania danych osobowych osobom dopuszczonym do przetwarzania danych osobowych,
5) opracowania ewidencji osób upoważnionych do przetwarzania danych osobowych.
II. w pozostałym zakresie utrzymał w mocy decyzje poprzedzającą.
Organ w uzasadnieniu decyzji podał, co następuje:
Generalny Inspektor Ochrony Danych Osobowych może w drodze decyzji administracyjnej nakładać nakazy bądź zakazy, których zasadniczą rolą jest przywrócenie stanu zgodnego z prawem.
Zgodnie z art. 25 ust. 1 ustawy o ochronie danych osobowych, w przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować te osobę, bezpośrednio po utrwaleniu zebranych danych.
Spółka prowadzi działalność w zakresie świadczenia usług odpłatnego udzielania informacji gospodarczej pochodzących ze źródeł powszechnie dostępnych, tj. z Monitora Sądowego i Monitora Gospodarczego, osobom zainteresowanym. Usługa ta jest świadczona za pośrednictwem publicznej sieci Internetu.
Przedmiotowa ustawa nie zakazuje tworzenia odrębnych zbiorów na podstawie źródeł powszechnie dostępnych, jednakże zbiory te podlegają przepisom tej ustawy.
Spółka powinna posiadać legitymację do przetwarzania danych osobowych, które zostały ujawnione w Krajowym Rejestrze Sądowym i taką przesłanką może być ta, która została określona w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, zezwalająca na przetwarzanie danych osobowych tylko wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów, realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której te dane dotyczą. Brak jest zatem podstaw do zwolnienia Spółki z tego obowiązku.
Niedopełnienie przez Spółkę obowiązku informacyjnego pozbawia osoby których dane dotyczą podstawowego ich prawa, tzn. informacji, że ich dane są przetwarzane i nie narusza to ich praw i wolności.
Zgodnie z art. 5 Dyrektywy 95/46/WE, Państwa Członkowskie określają w granicach przepisów, zawartych w niniejszym rozdziale, bardziej szczegółowe warunki ustalania legalności przetwarzania danych osobowych. Ustawa o ochronie danych osobowych nie wykracza w istocie poza generalne, merytoryczne granice w niej określone.
Reasumując, należy stwierdzić, że Spółka jest zobowiązana do dopełnienia obowiązku, wynikającego z art. 25 ust. 1 przedmiotowej ustawy i brak jest podstaw do jej zwolnienia z tego obowiązku. Generalny Inspektor Ochrony Danych Osobowych, nakazując Spółce spełnienie obowiązku informacyjnego, przeanalizował i rozważył interesy stron i zastosował środki adekwatne i proporcjonalne w ustalonym stanie faktycznym i prawnym.
W ocenie organu Spółka usunęła stwierdzone wcześniej pozostałe uchybienia oraz przywróciła stan zgodny z prawem i z tego względu w tym zakresie postępowanie należało umorzyć na podstawie art. 105 § 1 Kpa, gdyż stało się ono bezprzedmiotowe. Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2013 r. stała sie przedmiotem skargi, wniesionej przez I. Sp. j. z siedzibą w W. do Wojewódzkiego Sądu Administracyjnego w Warszawie.
Spółka zarzuciła organowi, że wydał decyzję z naruszeniem przepisów prawa materialnego oraz przepisów postępowania, powodujących bezwzględną nieważność zaskarżonej decyzji, tj.:
1) art. 18 ust. 1 ustawy o ochronie danych osobowych w zw. z art. 25 ust. 1, art. 23 ust. 1 pkt 5, art. 26 ust. 1 pkt 2 i 3 tej ustawy oraz art. 1 ust. 2 powołanej ustawy, poprzez przyjęcie, że art. 25 ust. 1 przedmiotowej ustawy nakłada na administratora danych obowiązek informacyjny, nawet jeżeli jego zrealizowanie:
- powoduje konieczność pozyskania danych osobowych o adresach osób fizycznych, których dane związane są ze sprawowaniem funkcji w jednostkach organizacyjnych lub osobach prawnych pochodzących ze źródeł powszechnie dostępnych zostały zebrane i utrwalone przez Spółkę, podczas gdy obowiązujące przepisy prawa nie stwarzają bezwzględnej podstawy udostępnienia Spółce adresów tych osób, a tym samym wykonanie tego obowiązku jest prawnie oraz technicznie niewykonalne, a niewykonalność ta ma charakter trwały;
- stwarza istotne niebezpieczeństwo przetwarzanie przez Spółkę danych osobowych niezgodnie z przepisami przedmiotowej ustawy (art. 26 ust. 1 pkt 2 i 3 ustawy), a nadto powoduje zagrożenie dla praw i wolności (dobra) osób, których te dane dotyczą, co powoduje, że przetwarzanie tych danych osobowych naraziłoby Spółkę na odpowiedzialność karną, która wynika z art. 49 ust. 1 ustawy o ochronie danych osobowych, gdyż jako naruszające prawa i wolności osób jest niedopuszczalne, tj. niezgodne z art. 23 ust. 1 pkt 5 powołanej ustawy, co powoduje, że zaskarżona decyzja jest dotknięta wadą bezwzględnej nieważności, albowiem:
- decyzja była niewykonalna w dniu jej wydania, a jej niewykonalność ma charakter trwały (art. 156 § 1 pkt 5 Kpa), gdyż zrealizowanie nakazu nałożonego na Spółkę zaskarżoną decyzją powoduje konieczność poszerzenia przez nią przetwarzanego zbioru danych o prywatne adresy osób fizycznych, a obowiązujące przepisy nie pozwalają na udostępnienie Spółce takich danych osobowych;
- wykonanie zaskarżonej decyzji powodowałoby czyn zagrożony karą (art. 156 § 1 pkt 6 Kpa), gdyż zrealizowanie nakazu w niej zawartego spowodowałoby dla Spółki niebezpieczeństwo przetwarzania danych osobowych niezgodnie z przepisami ustawy i powodujące dla osób, których dane osobowe są przetwarzane zagrożenie dla ich praw i wolności, a dla Spółki zagrożenie poniesienia odpowiedzialności karnej, przewidzianej w art. 49 ust. przedmiotowej ustawy (art. 23 ust. 1 pkt 5 ustawy);
2) art. 25 ust. 1 przedmiotowej ustawy w zw. z art. 11 ust. 2 Dyrektywy 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych osób (Dz. U. UE.L.95.281.31) oraz w zw. z art. 91 Konstytucji RP oraz art. 288 Traktatu o funkcjonowaniu Unii Europejskiej (Dz. U. z 2004 r. Nr 90, poz. 864), poprzez przyjęcie, ze art. 25 ust. 1 ustawy, nakłada na administratora danych obowiązek informacyjny, nawet jeżeli jego zrealizowanie wymaga niewspółmiernie dużego wysiłku tego podmiotu w rozumieniu art. 11 ust. 2 powyżej określonej dyrektywy;
3) naruszenie przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy, tj.:
- art. 153 ustawy - Prawo o postępowaniu prze sądami administracyjnymi w zw. z art. 6-8 Kpa, w stopniu mającym istotny wpływ na wynik sprawy, przez niewykonanie wskazań zawartych w wyroku WSA w Warszawie z dnia 24 kwietnia 2013 r., sygn. akt II SA/Wa 507/13 (...);
- art. 18 ustawy o ochronie danych osobowych w zw. z art. 1 ust. 2 tej ustawy oraz art. 7, art. 77 Kpa w zw. z art. 31 ust. 3 Konstytucji RP, w stopniu mającym istotny wpływ na wynik sprawy, polegające na przeprowadzeniu postępowania z naruszeniem zasady proporcjonalności oraz adekwatności (brak należytego wyważenia interesu społecznego i słusznego interesu obywatela przez organ przy załatwieniu sprawy zgodnie z art. 7 Kpa), co doprowadziło do błędnego zastosowania art. 18 oraz art. 25 przedmiotowej ustawy, polegającego na nałożeniu na Spółkę nakazu dopełnienia przez nią obowiązku informacyjnego wobec osób, których dane pochodzące ze źródeł powszechnie dostępnych zostały zebrane i utrwalone prze Spółkę, pomimo tego, że ten pozostaje w całkowitej dysproporcji do stopnia ewentualnych uchybień zarzucanych Spółce oraz pomimo, tego, że nałożenie na Spółkę tego nakazu prowadzi do zmniejszenia, a nie zwiększenia ochrony praw osób, których dane dotyczą;
- art. 107 § 3 Kpa poprzez sporządzenie uzasadnienia decyzji niezawierającego dostatecznego wskazania i wyjaśnienia podstawy prawnej i faktycznej rozstrzygnięcia, uniemożliwiające należyte wywiedzenie zarzutów skargi w zakresie naruszenia przez organ przepisów prawa oraz kontrolę sądową rozstrzygnięcia.
Podnosząc powyższe zarzuty, pełnomocnik Spółki wniósł o stwierdzenie nieważności decyzji w zaskarżonej części, ewentualnie o jej uchylenie w zaskarżonej części. Ponadto pełnomocnik Spółki wniósł o wstrzymanie wykonalności zaskarżonej decyzji oraz o zasądzenie kosztów postępowania.
Generalny Inspektor Ochrony Danych Osobowych wniósł o oddalenie skargi i podtrzymał stanowisko przedstawione w uzasadnieniu zaskarżonej decyzji oraz odniósł sie do zarzutów podniesionych w skardze, odmawiając im zasadności. Organ, odnosząc sie do zarzutu naruszenia art. 153 Kpa, tzn. obowiązku podporządkowania się ocenie prawnej zawartej w uzasadnieniu w wyroku Wojewódzkiego Sadu Administracyjnego w Warszawie z dnia 24 kwietnia 2013 r., stwierdził, że nie uchybił temu obowiązkowi, bowiem uznał że najbardziej adekwatnym do stwierdzonych uchybień i pozwalającym na usunięcie stanu sprzecznego z prawem przy użyciu środków najmniej uciążliwych dla Spółki jest nakaz dopełnienia obowiązku informacyjnego, zaś sposób w jaki zostaną zawiadomione osoby, których dane osobowe są przetwarzane jest pozostawiony Spółce, która ma możliwość dostosowania go do posiadanych danych i możliwości organizacyjnych. Organ nie dostrzegł mniej dolegliwego oraz bardziej adekwatnego nakazu niż ten, który zastosował.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 z późn. zm.), sąd administracyjny sprawuje wymiar sprawiedliwości m.in. poprzez kontrolę działalności organów administracji publicznej pod względem zgodności z prawem.
Stosownie do art. 190 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2012 r., poz. 270 z późn. zm.), sąd, któremu sprawa została przekazana, związany jest wykładnią prawa, dokonaną w tej sprawie przez Naczelny Sąd Administracyjny.
Sąd pierwszej instancji przy ponownym rozpoznaniu sprawy związany jest wykładnią dokonaną przez Naczelny Sąd Administracyjny zarówno w zakresie prawa materialnego, jak i przepisów postępowania, przy czym ocena ustaleń faktycznych jest pochodną oceny wykładni (a w konsekwencji zastosowania) przepisów postępowania. W tym sensie orzeczenie Naczelnego Sądu Administracyjnego może pośrednio wiązać sąd pierwszej instancji przy ponownym rozpoznaniu sprawy co do oceny ustaleń faktycznych, dokonanych przez organy administracyjne.
Wojewódzki Sąd Administracyjny w Warszawie, wydając w dniu 24 kwietnia 2013 r. wyrok o sygn. akt II SA/Wa 507/13, był związany wykładnią prawa, dokonaną przez Naczelny Sąd Administracyjny w uzasadnieniu wyroku z dnia 24 stycznia 2013 r., sygn. akt I OSK 1827/11.
Naczelny Sąd Administracyjny przesądził, że organ, rozpoznając sprawę, naruszył art. 7 i art. 77 Kpa poprzez niezgromadzenie niezbędnego do wydania decyzji materiału dowodowego, a w konsekwencji nieprawidłowo zastosował art. 18 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.). Prawidłowe zastosowanie sankcji przewidzianych w tym przepisie wymaga bowiem przeprowadzenia postępowania wyjaśniającego, spełniającego warunki określone w art. 7 i art. 77 Kpa i uwzględniającego regulacje materialnoprawne. Ponadto Naczelny Sąd Administracyjny stwierdził, że organ, rozstrzygając sprawę w trybie art. 127 § 3 Kpa, nie ocenia legalności decyzji poprzedzającej, lecz ponownie rozpoznaje sprawę w jej całokształcie, co oznacza, że jeżeli zostały wykonane nakazy organ obowiązany będzie, po potwierdzeniu tego, wobec zmiany stanu faktycznego, wydać decyzję na podstawie art. 138 § 1 pkt 2 Kpa.
Wojewódzki Sąd Administracyjny w Warszawie, będąc związany orzeczeniem Naczelnego Sądu Administracyjnego, w uzasadnieniu wyroku nałożył na Generalnego Inspektora Ochrony Danych Osobowych określone obowiązki, które organ zobowiązany był wykonać, a ich nie wykonał, tzn. nie przeprowadził postępowania wyjaśniającego zgodnie z art. 7 i art. 77 we wskazanym przez sądy zakresie.
Zgodnie z art. 153 ustawy - Prawo o postępowaniu przed sądami administracyjnymi, ocena prawna i wskazania co do dalszego postępowania, wyrażone w orzeczeniu sądu, wiąże w sprawie ten sąd oraz organ, którego działanie, bezczynność lub przewlekle prowadzenie postępowania było przedmiotem zaskarżenia.
Odstępstwo od zasady wyrażonej w przytoczonym przepisie może dotyczyć tylko dwóch sytuacji. Pierwsza z nich związana jest z ewentualną zmianą stanu faktycznego, gdy w trakcie ponownego rozpatrywania sprawy organ stwierdzi, że stan faktyczny uległ zasadniczej zmianie i jest odmienny od przyjętego przez sąd, natomiast drugi z przypadków utraty mocy wiążącej oceny prawnej i wskazań co do dalszego postępowania wyrażonych w wyroku sądu to zmiana stanu prawnego po wydaniu orzeczenia przez sąd.
W pojęciu "ocena prawna" mieści się przede wszystkim wykładnia przepisów prawa materialnego i prawa procesowego, a także sposób ich zastosowania w rozpoznawanej sprawie. Może ona dotyczyć ujawnionych w postępowaniu administracyjnym istotnych okoliczności stanu faktycznego, w szczególności kwestii zastosowania do nich określonych regulacji prawnych. Wskazania co do dalszego postępowania zasadniczo stanowią konsekwencję oceny prawnej, określając sposób i kierunek działania przy ponownym rozpoznaniu sprawy. Związanie oceną prawną, jak i zawartymi w orzeczeniu wskazaniami co do dalszego postępowania, powoduje, że determinują one działania każdego organu w postępowaniu administracyjnym, podejmowane w sprawie, której dotyczyło postępowanie sądowoadministracyjne, aż do czasu jej rozstrzygnięcia (patrz wyrok II SA/Op 87/13; Lex nr 1316874).
Uchybienie przez organ administracji publicznej przepisowi art. 153 ustawy - Prawo o postępowaniu przed sądami administracyjnymi powoduje konieczność - w razie złożenia na tej podstawie kolejnej skargi - uchylenia zaskarżonej decyzji. Rozwiązanie to stanowi gwarancję przestrzegania przez organy administracji publicznej obowiązku związania orzeczeniem sądu. Działania naruszające tę zasadę muszą być konsekwentnie eliminowane przez uchylanie wadliwych z tego powodu rozstrzygnięć administracyjnych już chociażby z uwagi na związanie wcześniej przedstawioną oceną prawną także i samego sądu administracyjnego. Bez ścisłego stosowania powołanego przepisu trudno byłoby zapewnić spójność działania systemu władzy państwowej. Jego nieprzestrzeganie w istocie podważałoby bowiem obowiązującą w polskim prawie zasadę sądowej kontroli nad aktami i czynnościami organów administracji (wyrok II SA/Ol 1350/12; Lex nr 1316805).
Mając powyższe na względzie, przede wszystkim należy podkreślić, że ocena prawna i zalecenia co do dalszego postępowania, wyrażone przez wojewódzki sąd administracyjny w kasatoryjnym wyroku, muszą być jednoznaczne i wyraźne. Tylko wtedy organ ponownie rozpoznający sprawę będzie na podstawie art. 153 związany, gdy owa ocena prawna i zalecenia nie budzą żadnych wątpliwości i nie wymagają zabiegów interpretacyjnych. Przedstawiony powyżej expressis verbis fragment uzasadnienia wyroku spełnia te wymogi. Przede wszystkim Wojewódzki Sąd Administracyjny w Warszawie wskazał jednoznacznie, jakie przepisy postępowania, dotyczące postępowania dowodowego, zostały naruszone i wskazał co organ powinien uczynić w ramach postępowania wyjaśniającego.
Prawomocny wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 24 kwietnia 2013 r. wraz z uzasadnieniem i aktami administracyjnymi zostały zwrócone do Generalnego Inspektora Ochrony Danych Osobowych w dniu 10 lipca 2013 r. Od tej daty organ nie podjął żadnej czynności procesowej zgodnej z wytycznymi Sądu. Pierwszą czynnością organu było wydanie w dniu [...] listopada 2013 r. zaskarżonej decyzji.
Podkreślić należy, że Sąd w wytycznych zalecił przeprowadzenie postępowania wyjaśniającego w sprawie w zakresie określonym w uzasadnieniu wyroku, a nie, jak to uczynił organ, dokonania ponownej analizy zebranego w sprawie materiału dowodowego.
Pomimo, że decyzja została zaskarżona w części, to Sąd uznał, że wobec stwierdzonego uchybienia należało ją uchylić w całości, tym bardziej, że takie rozstrzygnięcie nie spowoduje dla Spółki żadnych negatywnych konsekwencji.
Rozpoznając ponownie sprawę, organ zobowiązany jest wykonać wytyczne Sądu, zawarte w wyroku z dnia 24 kwietnia 2013 r., sygn. akt II SA/Wa 507/13.
Z tych względów, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit. c) oraz art. 200 ustawy - Prawo o postępowaniu przed sądami administracyjnymi, orzekł, jak w sentencji wyroku.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl