Wyrok NSA z dnia 16 kwietnia 2003 r., sygn. II SA 3878/02
Przy udzielaniu zgody na przekazanie danych osobowych za granicę /art. 47 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - Dz.U. 2002 nr 101 poz. 926/ organ powinien kierować się oceną, czy zastosowane środki różnego typu, klauzule umowne i środki techniczne pozwalają zapewnić stopień ochrony tych danych odpowiadający ustawodawstwu polskiemu.
Naczelny Sąd Administracyjny po rozpoznaniu sprawy ze skargi R. D. P. Sp. z o.o. na decyzję Generalnego Inspektora Danych Osobowych z dnia 25 października 2002 r. (...) w przedmiocie odmowy wyrażenia zgody na przekazanie danych osobowych - oddala skargę, (...).
UZASADNIENIE
R. D. P. Sp. z o.o., zwana dalej Spółką zwróciła się w dniu 27 lutego 2002 r. do Generalnego Inspektora Danych Osobowych o wyrażenie zgody, na podstawie art. 48 ustawy o ochronie danych osobowych, na przekazywanie danych osobowych do Stanów Zjednoczonych Ameryki Północnej. Wniosek uzasadniła potrzebą scentralizowanego przetwarzania danych w ramach korporacji T. R. D. A., w specjalnie utworzonym w tym celu Globalnym Centrum Danych, znajdującym się w USA. Przekazywanie danych przez Spółkę miało się odbywać na podstawie "Umowy świadczenia usług przetwarzania danych osobowych", którą załączono do wniosku. Przewidywała ona zasadę ochrony danych według prawodawstwa polskiego. W uzasadnieniu podkreślono, że na podstawie analogicznych umów, spółki należące do korporacji w poszczególnych krajach /m.in. w Wielkiej Brytanii, Szwecji, Hiszpanii i Portugalii/ za zgodą właściwych organów ochrony danych osobowych powierzyły przetwarzanie danych R. D. A. I.
W ramach wszczętego postępowania administracyjnego inspektorzy Generalnego Inspektora Ochrony Danych Osobowych ustalili, że do przekazania danych osobowych ma być wykorzystywany system informatyczny "SCS+". Ponieważ jednak system taki nie został jeszcze wdrożony, nie było możliwości dokonania zgodności jego oceny z wymogami prawa polskiego. Ponadto Generalny Inspektor Ochrony Danych Osobowych zwrócił się do organów ochrony danych osobowych w Wielkiej Brytanii, Szwecji, Hiszpanii, Portugalii i Francji z prośbą o udzielenie informacji, dotyczących wyrażenia zgody spółkom zależnym R. D. A. I. w poszczególnych krajach na przekazywanie danych osobowych do USA.