Wyrok NSA z dnia 3 grudnia 2021 r., sygn. III OSK 590/21
Przepis art. 36 ust. 1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (obecnie art. 24 i 32 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) nakładał na Ministra Cyfryzacji jako administratora danych przetwarzanych w ramach rejestru PESEL, obowiązek zastosowania takich środków technicznych i organizacyjnych, które zapewnią odpowiednią ochronę danych osobowych. Skoro wyposażenie systemu informatycznego w funkcjonalność pozwalającą na odnotowywanie celu pozyskiwania danych spowoduje zwiększenie bezpieczeństwa danych przetwarzanych w ramach rejestru PESEL, przez wyeliminowanie (lub co najmniej ograniczenie) zidentyfikowanego już zagrożenia dla danych, polegającego na możliwości dokonywania sprawdzeń w tym rejestrze przez podmioty uprawnione bez związku z prowadzoną sprawą, to oczywiste jest, że konieczne jest zobowiązanie Ministra jako administratora danych do podjęcia działań niezbędnych do wyeliminowania (lub co najmniej ograniczenia) takiej praktyki. Nie ulega wątpliwości, że najbardziej odpowiednim sposobem przeciwdziałania ww. praktykom będzie wdrożenie w aplikacji „Źródło”, za pośrednictwem której jest realizowany dostęp do rejestru PESEL, funkcjonalności wymuszającej podawanie uzasadnienia dla dokonywanego sprawdzenia. Umożliwienie odnotowywania przez system teleinformatyczny celu pozyskania danych ma pozwolić na kontrolowanie podmiotów i informacji, które są pozyskiwane, a w konsekwencji przyczyni się do ochrony danych osobowych.
Teza od Redakcji
Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Zbigniew Ślusarczyk (spr.) Sędziowie Sędzia NSA Tamara Dziełakowska Sędzia del. WSA Mariusz Kotulski po rozpoznaniu w dniu 3 grudnia 2021 r. na posiedzeniu niejawnym w Izbie Ogólnoadministracyjnej skargi kasacyjnej Ministra Cyfryzacji od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 19 lipca 2018 r. sygn. akt II SA/Wa 2168/17 w sprawie ze skargi Ministra Cyfryzacji na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2017 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę kasacyjną.