Wyrok NSA z dnia 21 lutego 2014 r., sygn. I OSK 2445/12

Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Wiesław Morys Sędziowie: Sędzia NSA Barbara Adamiak (spr.) Sędzia NSA Aleksandra Łaskarzewska Protokolant st. inspektor sądowy Tomasz Zieliński po rozpoznaniu w dniu 21 lutego 2014 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej G. w M. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 5 lipca 2012 r. sygn. akt II SA/Wa 630/12 w sprawie ze skargi G. w M. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] lutego 2012 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. oddala skargę kasacyjną; 2. zasądza od G. w M. na rzecz Generalnego Inspektora Ochrony Danych Osobowych kwotę 240 (dwieście czterdzieści) złotych tytułem zwrotu kosztów postępowania kasacyjnego.

Uzasadnienie

Decyzją z dnia [...] grudnia 2011 r. nr [...] Generalny Inspektor Ochrony Danych Osobowych, stosując art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (t. j.: Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.), art. 12 pkt 2, art. 18 ust. 1 pkt 1 i art. 22 w związku z art. 36 ust. 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j.: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), nakazał G. z siedzibą w M. (Stany Zjednoczone Ameryki Północnej) usunięcie uchybienia w procesie przetwarzania danych osobowych, poprzez wyznaczenie administratora bezpieczeństwa informacji, w terminie 3 dni od dnia, w którym decyzja stanie się ostateczna.

W motywach rozstrzygnięcia organ wyjaśnił, że w toku kontroli zgodności przetwarzania danych przy użyciu urządzeń i systemów informatycznych, służących do rejestracji obrazu widoku ulicy w ramach usługi S., z przepisami ww. ustawy o ochronie danych osobowych i rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), ustalono, iż w procesie przetwarzania danych osobowych Spółka G., jako administrator danych, naruszyła przepisy o ochronie danych osobowych w ten sposób, że nie wyznaczyła administratora bezpieczeństwa informacji, jak tego wymaga art. 36 ust. 3 ustawy o ochronie danych osobowych. Zgodnie bowiem z tym przepisem, administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1 (administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem), chyba że sam wykonuje te czynności. Zdaniem GIODO, wykonywanie przez administratora danych czynności administratora bezpieczeństwa informacji możliwe jest jedynie wówczas, gdy administrator danych jest osobą fizyczną. Jednak w przedmiotowej sprawie tak nie jest, gdyż G. nie jest osobą fizyczną. W takiej sytuacji Spółka, jako administrator danych, powinna wyznaczyć osobę fizyczną, która byłaby odpowiedzialna za proces bezpieczeństwa informacji i nadzór nad przestrzeganiem zasad ochrony. Dla wzmocnienia swojej argumentacji organ ochrony danych osobowych powołał się na przepis art. 18 ust. 2 dyrektywy 9546WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. WE L. 281 z dnia 23 listopada 1995 r., s. 31 ze zm.), który stanowi o powołaniu urzędnika do spraw ochrony danych osobowych, odpowiedzialnego w szczególności za zapewnienie w niezależny sposób wewnętrznego stosowania przepisów prawa krajowego, przyjętych na mocy dyrektywy. W ocenie GIODO, na gruncie ustawy o ochronie danych osobowych administrator bezpieczeństwa informacji jest odpowiednikiem wymienionego w powyższym przepisie dyrektywy urzędnika do spraw ochrony danych osobowych i trudno uznać, by jego kompetencje mogła wykonywać osoba prawna.