Wyrok z dnia 2013-06-07 sygn. II SA/Wa 666/13

Drukuj dokument lub zaznaczenie Kopiuj zaznaczony tekst bez formatowania

Sentencja

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Anna Mierzejewska (sprawozdawca), Sędziowie WSA Sławomir Antoniuk, Andrzej Kołodziej, Protokolant spec. Marek Kozłowski, po rozpoznaniu na rozprawie w dniu 7 czerwca 2013 r. sprawy ze skargi [...] Banku [...] z/s we [...]. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] stycznia 2013 r. nr [...] w przedmiocie ochrony danych osobowych – oddala skargę –

Uzasadnienie

Generalny Inspektor Ochrony Danych Osobowych decyzją nr [...] z dnia [...] października 2012 r., na podstawie art. 44 ust. 1 pkt 2 w związku z art. 26 ust. 1 pkt 1 i art. 318 ust. 1, art. 44 ust. 2 pkt 1 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U z 2002 r. nr 101, poz. 926 ze zm.) oraz art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U z 2000 r. nr 98, poz. 1071 ze zm.) po przeprowadzeniu postępowania administracyjnego, w związku ze zgłoszeniem do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych o nazwie "DANE OSOBOWE [...]" obecna nazwa zbioru dokonanym przez [...] Bank [...] z siedzibą w W. przy ulicy [...]:

1. odmówił [...] Bankowi [...] z siedzibą w W. przy ulicy [...] rejestracji zbioru danych o nazwie "Zbiór danych osobowych [...]";

2. nakazał [...] Bankowi [...]. z siedzibą w W. .przy ulicy [...] ograniczenie przetwarzania danych osobowych zgromadzonych w zbiorze o nazwie "Zbiór danych osobowych [...]" wyłącznie do ich przechowywania do czasu zerejestrowania tego zbioru, po jego ponownym zgłoszeniu tego zbioru, po jego ponownym zgłoszeniu stosownie do art. 44 ust 4 ustawy o ochronie danych osobowych.

W uzasadnieniu decyzji organ podał, że w dniu 13 lipca 2011 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęło zgłoszenie do rejestracji zbioru danych osobowych o nazwie "DANE OSOBOWE [...]" obecna nazwa zbioru złożone przez [...] BANK [...] z siedzibą w W.

W dniach [...] września 2011 r. przeprowadzono w [...] Banku [...] z siedzibę w W. kontrolę zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych w przedmiotowym zbiorze danych.

Pismem z dnia 29 lutego 2012 r. GIODO poinformował Spółkę o poczynionych ustaleniach. W szczególności ustalono, iż Spółka w związku z realizacją umowy o izolację, preparatykę i przechowywanie materiału genetycznego, przechowując próbki DNA, będzie przetwarzać dane osobowe, o których mowa w art. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U z 2002 r. Nr 101, poz. 2926) zwanej dalej ustawą. Ponadto w toku kontroli ustalono, iż 14 kwietnia 2011 r. Spółka zawarła z Akademią Medyczną im. [...] z siedzibą w W. przy ulicy [...]. Na mocy tej umowy Akademia Medyczna będzie dokonywała na zlecenie Spółki izolacji DNA z dostarczonych próbek krwi lub naskórka ludzkiego. Z ustaleń kontrolnych wynika, iż taką umowę należy uznać za umowę powierzenia przetwarzania danych osobowych o której mowa w art. 31 ust. 1 ustawy. Ustalono, iż w związku z zawarciem umowy o izolację, preparatykę i przechowywanie materiału genetycznego z materiału pobranego od klienta sporządzane będą dwie próbki DNA. Jedną Spółka zamierza przechowywać w Zakładzie [...] w W. W tym celu zawarła ustną umowę z Kierownikiem Zakładu [...] w W.

Przechowywanie próbek DNA klientów Spółki jest przetwarzaniem danych osobowych, dlatego w tym zakresie powinna być zawarta umowa powierzenia przetwarzania danych osobowych, spełniająca wymogi określone w art. 31 ustawy.

Spółka nie podzieliła stanowiska, że przechowując próbki DNA, będzie przetwarzać dane osobowe, o których mowa w art. 27 ust. 1 o ochronie danych osobowych. Twierdzi, że zawartej z Akademią umowy nie można traktować jako umowy powierzenia przetwarzania danych osobowych, bowiem "wyizolowanej próbki DNA", nie można traktować jako danych osobowych, a ponadto preparat przekazywany Akademii Medycznej jest w formie anonimowej próbki oznaczonej kodem, w związku z tym nie istnieje konieczność zawarcia z Akademią Medyczną w W. umowy powierzenia przetwarzania danych osobowych w zakresie materiału genetycznego.

Dalej organ podał, że ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U z 2002 r. Nr 101, poz. 926 ze zm.) w art. 40 wprowadziła dla administratora danych obowiązek zgłoszenia Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych do rejestracji z wyjątkiem przypadków o których mowa w art. 43 ust 1 ustawy. Stosownie do treści art. 44 ust 1 pkt 2 ustawy Generalny Inspektor Ochrony Danych Osobowych odmawia w drodze decyzji administracyjnej, rejestracji zgłoszonego zbioru danych, jeżeli przetwarzanie danych naruszyłoby zasady określone w art. 23-28 ustawy.

Zgodnie z art. 26 ust. 1 pkt 1 ustawy administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem. Naruszenie przez administratora danych art. 26 ust. 1 pkt 1 (zasady legalności) stanowi przesłankę wydania decyzji o odmowie rejestracji zbioru danych, na podstawie art. 44 ust. 1 pkt 2 w związku z art. 26 ust. 1 pkt 1 ustawy o ochronie danych osobowych.

Zgodnie z art. 31 ust. 1 ustawy administrator danych, może powierzyć innemu podmiotowi w drodze umowy zawartej na piśmie przetwarzanie danych. Podmiot, któremu powierzono przetwarzanie danych może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie, a więc ustawa wymaga aby taka umowa była zawarta na piśmie.

Z przeprowadzonej kontroli wynika, że Spółka przechowując próbki DNA w przedmiotowym zbiorze będzie przetwarzała dane osobowe o których mowa w art. 27 ust. 1 ustawy tj. dane o kodzie genetycznym, oraz dane o stanie zdrowia, bowiem pozyskiwane przez Spółkę DNA może być wykorzystane do diagnostyki medycznej, między innymi, poprzez możliwość ustalenia na ich podstawie już istniejącej choroby.

Spółka oprócz informacji o stanie zdrowia i kodu genetycznego posiada dane osobowe dotyczące imienia nazwiska adresu zamieszkania lub pobytu, numeru PESEL. Dane te identyfikują osobę której dotyczą informacje o kodzie genetycznym i stanie zdrowia możliwe do stwierdzenia na podstawie próbki DNA.

Zgodnie z art. 26 ust. 1 pkt 1 ustawy Spółka ma obowiązek przetwarzać dane zgodnie z zasadą legalności, a więc ponieważ zamierza przechowywać próbki DNA w Zakładzie Technik [...] w W., winna zawrzeć z tym podmiotem umowę zgodnie z art. 31 ustawy.

W tej sytuacji GIODO był zobligowany wydać decyzję o odmowie rejestracji zgłoszonego zbioru danych na podstawie art. 44 ust. 1 pkt 2, bowiem przetwarzanie danych przez administratora naruszałoby zasadę określoną w art. 26 ust. 1 pkt 1 ustawy w związku z art. 31 ust. 1 ustawy.

Powyższa decyzja stała się przedmiotem wniosku o ponowne rozpatrzenie sprawy, w którym administrator zarzucił GIODO naruszenie art. 6 w zw z art. 27 ust. 1 ustawy, poprzez uznanie, że przechowywane przez wnioskodawcę próbki DNA we współpracy z Akademią Medyczną w W. stanowią dane osobowe, a w konsekwencji naruszenie art. 44 ust. 1 pkt 2 ustawy, poprzez jego zastosowanie w sytuacji gdy nie było do tego podstaw prawnych. Zarzucił ponadto, że nie dopuszczono dowodu z opinii biegłego biotechnologa, przez co GIODO naruszył również art. 75 § 1 oraz 84 § 1 kpa.

Po rozpoznaniu wniosku o ponowne rozpatrzenie sprawy Generalny Inspektor Ochrony Danych Osobowych decyzją [...] z dnia [...] stycznia 2013 r. utrzymał w mocy zaskarżoną decyzję.

W uzasadnieniu decyzji wskazał między innymi, że zgodnie z art. 6 ustawy dane osobowe stanowią wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Informacja może być wyrażona słowem, dźwiękiem, obrazem, w tym obrazem ruchomym, może przybierać formę zapisu informatycznego. Format informacji może być różny. Informacja może być zrozumiała dla każdego jak tylko dla niektórych lub po zastosowaniu określonych procedur (informacja kodowana). Bez znaczenia jest źródło pochodzenia informacji. Danymi osobowymi są również informacje osiągane w rezultacie przetwarzania danych.

Odnosząc się do zarzutu administratora, zgodnie z art. 78 § 1 kpa, żądanie strony przeprowadzenia dowodu należy uwzględnić jeżeli przedmiotem dowodu jest okoliczność mająca znaczenie dla sprawy.

Powyższa decyzja stała się przedmiotem skargi [...] .Banku [...] z/s w W. wniesionej do Wojewódzkiego Sądu Administracyjnego w Warszawie w której skarżący wniósł o uchylenie zaskarżonej decyzji i zasądzenie kosztów:

Decyzji zarzucił:

← naruszenie art. 6 i 27 ust. 1 ustawy o ochronie danych osobowych, poprzez jego niewłaściwe zastosowanie i przyjęcie że przechowywane przez Spółkę próbki DNA stanowią dane osobowe o szczególnym charakterze – dane dotyczące informacji genetycznej oraz stanu zdrowia;

← art. 44 ust. 1 pkt 2, poprzez zastosowanie przepisu w sytuacji gdy nie było do tego podstaw prawnych;

← art. 7, 75 § 1 oraz 84 § 1 kpa.

W odpowiedzi na skargę organ wniósł o jej oddalenie powołując argumenty jak w uzasadnieniu zaskarżonej decyzji.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje;

Stosownie do treści art. 13 § 2 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (tekst jednolity Dz. U. z 2012 r., poz. 270 ze zm.) do rozpoznawania sprawy właściwy jest wojewódzki sąd administracyjny, na którego obszarze właściwości ma siedzibę organ administracji publicznej, którego działalność została zaskarżona.

Natomiast zgodnie z treścią art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. –Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sąd administracyjny sprawuje wymiar sprawiedliwości przez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującymi w dacie jej wydania.

Skarga analizowana pod tym kątem nie zasługuje na uwzględnienie, albowiem zaskarżona decyzja, w ocenie Sądu nie narusza przepisów prawa.

Materialnoprawną podstawę do wydania zaskarżonej decyzji stanowi art. 26 ust. 1 pkt 1 w zw. z art. 31 ust. 1 ustawy o ochronie danych osobowych, które stanowiły przesłankę do odmowy rejestracji zbioru danych.

Należy zgodzić się z organem, że skarżąca przechowując próbki DNA w Zakładzie Technik [...] w W. bez zawarcia pisemnej umowy powierzenia przetwarzania danych, naruszałaby przesłanki dwóch wyżej powołanych przepisów.

Zgodnie z art. 27 ust. 1 wyżej powołanej ustawy "zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną, związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Wskazać należy, że każda próbka materiału genetycznego będzie oznaczona przez skarżącą specjalnym kodem, który umożliwi pełną i jednoznaczną identyfikację osoby fizycznej, poprzez powiązanie próbki z innymi danymi osobowymi klienta, w których posiadaniu będzie skarżąca.

Słusznie GIODO uznał, że zamierzając przechowywać próbki DNA swoich klientów w Zakładzie Technik [...] w W., skarżąca była obowiązana zawrzeć z Akademią umowę spełniającą wymogi określone w art. 31 ustawy, którą powierzyłaby przetwarzanie danych Akademii –w zakresie informacji genetycznej oraz stanu zdrowia, a także kodu klienta którym oznaczona będzie próbka.

Podkreślić należy, że Spółka przetwarzać będzie osobowe dane drażliwe ujawniające stan zdrowia oraz kod genetyczny. Przypomnieć należy, że zgodnie z art. 6 ust. 1 ustawy, dane osobowe stanowią wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Obojętny jest sposób wyrażenia informacji. Może być ona wyrażona słowem, dźwiękiem, obrazem, w tym też obrazem ruchomym, może przybierać formę zapisu informatycznego.

Również jest to niezmierne ważne, że chodzi zarówno o informację zrozumiałą dla każdego, lub tylko dla niektórych osób lub dopiero po zastosowaniu odpowiednich procedur.

W ustawie została zawarta, bardzo szeroka definicja danych osobowych, bowiem podstawowym celem publicznoprawnej ochrony danych osobowych jest zagwarantowanie realizacji konstytucyjnego prawa jednostki do prywatności i intymności, a więc niedopuszczalna jest interpretacja art. 6 ustawy w taki sposób, aby osoby fizyczne pozbawić ochrony ich praw.

Również należy wskazać, że zgodnie z art. 27 ust. 1 ustawy, nie muszą to być informacje wskazujące wprost na określone w art. 27 ust. 1 cechy lub przymioty osoby fizycznej.

Nie ulega wątpliwości, że wyizolowana próbka DNA jest nośnikiem informacji genetycznej, a także zawiera ona informacje o stanie zdrowia. Każda próbka materiału genetycznego będzie oznaczona specjalnym kodem, który umożliwi skarżącej pełną i jednoznaczną identyfikację osoby fizycznej, poprzez powiązanie próbki z danymi osobowymi klienta w których posiadaniu będzie skarżąca.

Oznakowanie próbek niepowtarzalnym kodem i możliwość prostego zestawienia za jego pomocą wszystkich danych osobowych, które znajdują się w dyspozycji skarżącej, w tym imion i nazwisk, adresu zamieszkania, numeru ewidencyjnego PESEL oraz serii i numeru dowodu osobistego, oznacza że osoby te są zidentyfikowane.

Wobec powyższego, w ocenie Sądu, zaskarżona decyzja nie narusza prawa.

Mając powyższe na uwadze, na podstawie art. 151 ppsa, Wojewódzki Sąd Administracyjny, orzekł jak w sentencji.