Wyrok NSA z dnia 12 maja 2020 r., sygn. I OSK 991/19
Ochrona danych osobowych
Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Tamara Dziełakowska Sędziowie sędzia NSA Iwona Bogucka (spr.) sędzia NSA Małgorzata Pocztarek po rozpoznaniu w dniu 12 maja 2020 r. na posiedzeniu niejawnym w Izbie Ogólnoadministracyjnej skargi kasacyjnej Fundacji [...] z siedzibą w W. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 5 grudnia 2018 r. sygn. akt II SA/Wa 457/18 w sprawie ze skargi Fundacji [...] z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] stycznia 2018 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę kasacyjną.
Uzasadnienie
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z 5 grudnia 2018 r., II SA/Wa 457/18, oddalił skargę Fundacji [...] z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z [...] stycznia 2018 r. nr [...] w przedmiocie przetwarzania danych osobowych.
Wyrok zapadł w następującym stanie faktycznym i prawnym:
Inspektorzy upoważnieni przez Generalnego Inspektora Ochrony Danych Osobowych (dalej jako: "GIODO") przeprowadzili w Fundacji [...] z siedzibą w W. (dalej jako: "Fundacja") przy ul. S. nr [...] lok. [...], pod sygn. akt [...], kontrolę zgodności przetwarzania danych osobowych z przepisami ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2016 r., poz. 922; dalej jako: "ustawa") oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024; dalej jako: "rozporządzenie").
Na podstawie zgromadzonego materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych Fundacja, jako administrator danych, naruszyła przepisy o ochronie danych osobowych. Uchybienia te polegały na nieuwzględnieniu w opracowanej i wdrożonej w Fundacji dokumentacji stanowiącej politykę bezpieczeństwa, informacji zawierających: wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; sposób przepływu danych pomiędzy poszczególnymi systemami (§ 4 pkt 1 - 4 rozporządzenia).