Wyrok WSA w Warszawie z dnia 23 października 2015 r., sygn. II SA/Wa 47/15

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Joanna Kube, Sędziowie WSA Iwona Dąbrowska (spr.), Ewa Grochowska - Jung, Protokolant specjalista Aleksandra Weiher, po rozpoznaniu na rozprawie w dniu 23 października 2015 r. sprawy ze skargi C. z siedzibą w L. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] października 2014 r. nr [...] w przedmiocie przetwarzania danych osobowych - oddala skargę -

Uzasadnienie

Decyzją nr [...] z dnia [...] października 2014 r. wydaną na podstawie art. 138 § 1 k.p.a. oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1 i pkt 6, art. 22 w związku z art. 26 ust. 1 pkt 1 i pkt 3 i art. 36 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r., poz. 1182 dalej powołanej jako: "u.o.d.o."), Generalny Inspektor Ochrony Danych Osobowych:

1) uchylił pkt 1 wcześniejszej decyzji z dnia [...] lipca 2014 r. nr [...], w części dotyczącej nakazu zaprzestania przetwarzania, tj. pozyskiwania numeru PESEL, od osób, które dokonują rezerwacji w celu zakupu biletu na przejazd i

w tym zakresie umorzył postępowanie,

2) uchylił pkt 3 zaskarżonej decyzji, w części dotyczącej nakazu zastosowania odpowiednich środków technicznych i organizacyjnych, zapewniających ochronę danych osobowych przetwarzanych w związku z logowaniem się do systemu informatycznego o nazwie "[...]" (system służący do przetwarzania danych osobowych w związku z rezerwacją biletu przez Internet) i w tym zakresie umorzył postępowanie,

3) w pozostałym zakresie utrzymał w mocy zaskarżoną decyzję.

Do wydania powyższej decyzji doszło w następującym stanie faktycznym

i prawnym:

Inspektorzy upoważnieni przez Generalnego Inspektora Ochrony Danych Osobowych (dalej powołany jako GIODO) przeprowadzili w [...] Sp. j. z siedzibą w L. przy ul. [...], zwaną dalej również "Spółką", kontrolę zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych (sygn. akt [...]), tj. ustawą o ochronie danych osobowych oraz rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), zwanym dalej "rozporządzeniem". Zakresem kontroli objęto przetwarzanie przez Spółkę danych osób korzystających z rezerwacji i zakupu biletu przez stronę internetową o adresie: [...].