Wyrok NSA z dnia 10 stycznia 2013 r., sygn. I OSK 2383/11
Naczelny Sąd Administracyjny w składzie następującym: Przewodniczący Sędzia NSA Małgorzata Jaśkowska, Sędzia NSA Janina Antosiewicz (spr.), Sędzia del. NSA Jacek Hyla, Protokolant starszy inspektor sądowy Kamil Wertyński, po rozpoznaniu w dniu 10 stycznia 2013 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Generalnego Inspektora Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 14 września 2011 r. sygn. akt II SA/Wa 645/11 w sprawie ze skargi Z.L. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] stycznia 2011 r. nr [...] w przedmiocie odmowy uwzględnienia wniosku o zabezpieczenie danych osobowych oddala skargę kasacyjną
Uzasadnienie
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 14 września 2011 r. sygn. akt II SA/Wa 645/11 uwzględniając skargę Z. L. uchylił decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] stycznia 2011 r. nr [...] w przedmiocie zabezpieczenia danych osobowych.
W uzasadnieniu wyroku Sąd przedstawił następujący stan sprawy.
Decyzją z dnia [...] września 2010 r., wydaną na podstawie art. 12 pkt 2 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o odmowie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.), zw. dalej u.o.d.o., Generalny Inspektor Ochrony Danych Osobowych odmówił uwzględnienia wniosku Z. L. o wydanie decyzji nakazującej administratorom danych osobowych - Prezesowi [...] Spółdzielni Mieszkaniowej [...] w O. przywrócenia właściwego stanu technicznego oddawanych skrzynek pocztowych oraz Dyrektorowi Oddziału Rejonowego Poczty Polskiej w O. wydania zakazu pozostawiania listonoszowi korespondencji pocztowej w skrytkach nieposiadających zabezpieczenia przed dostępem osób niepowołanych. Po rozpoznaniu wniosku o ponowne rozpatrzenie sprawy Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] stycznia 2011 r. utrzymał w mocy swą poprzednią decyzję.
W uzasadnieniu organ powołał się na przepis art. 36 ust. 1 u.o.d.o., który zobowiązuje administratora danych do zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Oznacza to, że jest on obowiązany nie tylko do stosowania odpowiednich środków zabezpieczających i monitorowania ich sprawności, ale również reagowania na wszelkie sygnały dotyczące wadliwości tych zabezpieczeń.