Wyrok z dnia 2008-01-28 sygn. I OSK 1365/06

Drukuj dokument lub zaznaczenie Kopiuj zaznaczony tekst bez formatowania

Sentencja

Naczelny Sąd Administracyjny w składzie następującym: Przewodniczący Sędzia NSA Irena Kamińska, Sędzia NSA Małgorzata Borowiec – spr., Sędzia del. NSA Ewa Dzbeńska, Protokolant Kamil Wertyński, po rozpoznaniu w dniu 17 stycznia 2008 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej [...] Instytutu Pamięci Narodowej Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 30 maja 2006 r. sygn. akt II SA/Wa 1894/05 w sprawie ze skargi [...] Instytutu Pamięci Narodowej Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] nr [...] w przedmiocie nakazania [...] Instytutu Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu usunięcia uchybień w procesie przetwarzania danych osobowych oddala skargę kasacyjną

Uzasadnienie

Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 30 maja 2006 r., sygn. akt II SA/Wa 1894/05 po rozpoznaniu skargi Prezesa Instytutu Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...], nr [...] w przedmiocie nakazania Prezesowi Instytutu Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu usunięcia uchybień w procesie przetwarzania danych osobowych uchylił zaskarżoną decyzję oraz utrzymaną nią w mocy decyzję z dnia [...], nr [...].

Wyrok został wydany w następujących okolicznościach faktycznych i prawnych sprawy.

Generalny Inspektor Ochrony Danych Osobowych po przeprowadzeniu kontroli w Instytucie Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu decyzją z dnia [...] nr [...], działając na podstawie art. 104 § 1 i art. 105 § 1 k.p.a., art. 12 pkt 2, art. 18 ust. 1 pkt 1 i art. 22 w zw. z art. 23 ust. 1 pkt 2, art. 36 ust. 1 i ust. 3, art. 37, art. 38, art. 39 ust. 1 i art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.), § 3 ust. 1 i § 7 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024) oraz pkt II ust. 2 załącznika do wyżej wymienionego rozporządzenia:

I. Nakazał Prezesowi Instytutu Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu usunięcia uchybień w procesie przetwarzania danych osobowych poprzez:

1. Zaprzestanie udostępniania osobom korzystającym z czytelni akt jawnych, niebędącym pracownikami Instytutu Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu, pomocy archiwalnych Instytutu Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu od dnia, kiedy decyzja stanie się ostateczna.

2. Opracowanie procedur, które określałyby m.in. rodzaj prowadzonych pomocy ewidencyjnych, zakres danych, jaki powinny zawierać, narzędzia informatyczne, jakie mają zostać użyte do ich opracowania i sposób ich przekazywania innym komórkom organizacyjnym i oddziałom terenowym, a także zabezpieczenia, jakie powinny zostać zastosowane w celu zapewnienia ochrony danych osobowych w nich zawartych, w terminie 30 dni od dnia, kiedy decyzja stanie się ostateczna.

3. Opracowanie procedury określającej zasady i tryb udostępniania dokumentów z zasobu archiwalnego w celu prowadzenia badań naukowych, w terminie 30 dni od dnia, kiedy niniejsza decyzja stanie się ostateczna.

4. Zastosowanie środków technicznych i organizacyjnych w czytelni akt jawnych, znajdujących się przy ul. [...] w W., uniemożliwiających wgląd do danych osobom nieuprawnionym, w terminie 30 dni od dnia, kiedy niniejsza decyzja stanie się ostateczna.

5. Zastosowanie środków zapewniających ochronę danych osobowych przetwarzanych w ramach pomocy ewidencyjnych, ułatwiających przeszukiwanie zasobu archiwalnego Instytutu Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu, opracowanych przy wykorzystaniu programu MS Excel, w terminie 30 dni od dnia, kiedy niniejsza decyzja stanie się ostateczna.

6. Zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane, w terminie 30 dni od dnia, kiedy niniejsza decyzja stanie się ostateczna.

7. Opracowanie ewidencji osób upoważnionych do przetwarzania danych osobowych, w terminie 14 dni od dnia, kiedy niniejsza decyzja stanie się ostateczna.

8. Zgłoszenie do rejestracji Generalnego Inspektora Ochrony Danych Osobowych następujących zbiorów danych osobowych:

– zbioru danych osób, którym dokumenty znajdujące się w zasobie archiwalnym Instytutu Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu zostały udostępnione w celu prowadzenia badań naukowych, tj. osób, które złożyły "Wniosek o wyrażenie zgody na udostępnienie i wykorzystanie w celu prowadzenia badań naukowych dokumentów, o których mowa w art. 36 ustawy o Instytucie Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu",

– zbioru danych osób, które złożyły wniosek w sprawie np. ustalenia losów osoby zaginionej na wschodzie w latach 1939–1945, pracy przymusowej w Trzeciej Rzeszy Niemieckiej oraz w sprawie potwierdzenia okresu przebywania w więzieniach lub innych miejscach odosobnienia na terytorium Polski w latach 1944–1955 bez wyroku za działalność polityczną bądź religijną związaną z walką o suwerenność i niepodległość, osadzenia w więzieniach lub innych miejscach odosobnienia na terytorium Polski bez wyroku po grudniu 1956 r. za działalność polityczną albo faktu bycia osobą, która jako dziecko została odebrana rodzicom w celu poddania eksterminacji lub w celu przymusowego wynarodowienia,

– zbiorów danych zawartych w utworzonych w Instytucie Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu pomocach ewidencyjnych, opracowanych w wersji elektronicznej (m.in. pomoce ewidencyjne o nazwach: "Jedynki", "Materiały", "Mikrofilmy", "Akta osobowe" i "Baza akt paszportowych") oraz w formie tradycyjnej (spisy zdawczo-odbiorcze, karty inwentarzowe), wykorzystywanych do przeszukiwania zasobu archiwalnego Instytutu Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu,

– zbioru danych zawartych w dokumentach i kartotekach przekazanych do Instytutu Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu przez organy wymienione w art. 25 ust. 1 ustawy z dnia 18 grudnia 1998 r. o Instytucie Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu (Dz.U. Nr 155, poz. 1016 ze zm.), w tym m.in. Ministra Spraw Wewnętrznych i Administracji, Ministra Obrony Narodowej, Ministra Sprawiedliwości, prezesów sądów powszechnych i wojskowych, w terminie 14 dni od dnia, kiedy niniejsza decyzja stanie się ostateczna.

9. Opracowanie polityki bezpieczeństwa, w terminie 30 dni od dnia, kiedy niniejsza decyzja stanie się ostateczna.

10. Uzupełnienie instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w sposób realizacji, o których mowa w § 7 ust. 1 pkt 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakimi powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024), w terminie 14 dni od dnia, kiedy niniejsza decyzja stanie się ostateczna.

11. Zapewnienie, aby dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym o nazwie "Rejestr wniosków pokrzywdzonych i funkcjonariuszy", odnotowane były informacje o przekazywaniu danych osobowych innym podmiotom, w terminie 14 dni od dnia, kiedy niniejsza decyzja stanie się ostateczna.

12. Zmodyfikowanie programów wykorzystywanych do opracowania pomocy ewidencyjnej, ułatwiających przeszukiwanie zasobu archiwalnego Instytutu Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu, tj. m.in. programów MS Excel i MS Access, tak aby zapewniały dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, odnotowanie identyfikatora użytkownika wprowadzającego dane osobowe do systemu oraz daty pierwszego wprowadzenia danych do systemu, w terminie 2 miesięcy od dnia, kiedy niniejsza decyzja stanie się ostateczna.

13. Zmodyfikowanie systemów informatycznych wykorzystywanych w Instytucie Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu do przetwarzania danych osobowych, tak aby zapewniały dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, odnotowanie informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.), którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, w terminie 2 miesięcy od dnia, kiedy niniejsza decyzja stanie się ostateczna.

14. Zapewnienie, aby dostęp do systemu informatycznego, w którym prowadzona jest ewidencja wniosków o udostępnienie dokumentów (plik danych w formacie MS Excel), oraz do systemu o nazwie "Rejestr wniosków pokrzywdzonych i funkcjonariuszy" był możliwy wyłącznie po wprowadzeniu identyfikatora i podaniu hasła, odrębnych dla każdego z użytkowników ww. systemów, w terminie 14 dni od dnia, kiedy niniejsza decyzja stanie się ostateczna.

II. W pozostałym zakresie postępowanie umorzył.

Prezes Instytutu Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu we wniosku o ponowne rozpatrzenie sprawy z dnia 27 lipca 2005 r. skierowanym do Generalnego Inspektora Ochrony Danych Osobowych, podniósł, że nie podlega on kontroli ze strony powyższego organu administracji publicznej. Stosownie do treści art. 9 ust. 1 i 2 ustawy o Instytucie Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu, Instytutem kieruje Prezes, który w sprawowaniu swojego urzędu jest niezależny od organów władzy państwowej, zaś przepisy ustawy w sposób kompleksowy regulują działalność Instytutu. Stąd też żaden podmiot nie może ograniczać jego uprawnień tym bardziej, że art. 1 pkt 1 ustawy, reguluje ewidencjonowanie, gromadzenie, udostępnianie, zarządzanie i korzystanie z dokumentów organów bezpieczeństwa państwa. Natomiast ustawa o ochronie danych osobowych umożliwia przetwarzanie danych osobowych dopiero z chwilą ich zgłoszenia do rejestracji

W dalszej części wniosku, z ostrożności procesowej podał, że wydanie decyzji było przedwczesne, bowiem nie otrzymał on pełnego protokołu kontroli z dnia [...] marca 2005 r., co w konsekwencji skutkuje tym, że nie została ona zakończona. Kontrolerzy przekazali bowiem protokół główny, zawierający faktyczny opis czynności kontrolnych, którego częścią składową były załączniki m.in. w postaci zrzutów z ekranów komputerowych, których on nie otrzymał. Zatem wszczęcie postępowania administracyjnego nastąpiło z naruszeniem art. 16 ust. 1 ustawy o ochronie danych osobowych, bowiem nie mógł on skorzystać z uprawnień wynikających z art. 16 ust. 2 i 3 ustawy. Podkreślił, że mimo wzmianki w protokole o odmowie odebrania protokołu kontroli przez przedstawicieli Prezesa Instytutu Pamięci Narodowej, formalna odmowa protokołu nie nastąpiła, bowiem Dyrektor Generalny był umocowany wyłącznie do odbioru protokołu kontroli, bez prawa jego podpisywania i zapoznawania się z materiałem zebranym w trakcie kontroli. Niezależnie od powyższego Prezes Instytutu Pamięci Narodowej zarzucił powyższej decyzji naruszenie art. 107 § 1 k.p.a., gdyż jej uzasadnienie faktyczne i prawne nie odpowiadało wymogom określonym w tym przepisie. Powinna ona bowiem szczegółowo określić stan faktyczny sprawy, a nie odsyłać do protokołu kontroli. W jej uzasadnieniu nie wskazano jakie wyjaśnienia, czy też zeznania złożyli pracownicy Instytutu Pamięci Narodowej nie podano jakie systemy informatyczne poddano kontroli przy przeprowadzaniu tego dowodu. Z kolei uzasadniając nakaz zaprzestania udostępniania pomocy ewidencyjnych opracowanych w celu przeszukania zasobu archiwalnego Instytutu Pamięci Narodowej osobom korzystającym z czytelni akt jawnych niebędących pracownikami Instytutu, wskazano na przepis art. 23 ust. 1 pkt 2 i art. 7 pkt 2 ustawy o ochronie danych osobowych, a także na art. 36 ustawy o Instytucie Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu, jednakże nie wyjaśniono na czym polegało ich naruszenie. Nie dokonano analizy obu ustaw pod kątem ich wzajemnego oddziaływania i wpływu.

W dalszej części poddał w wątpliwość dostęp inspektorów (art. 15 ust. 2 ustawy) Generalnego Inspektora Ochrony Danych Osobowych do zbiorów, o których mowa w art. 43 ust. 1 pkt 1a ustawy o ochronie danych osobowych. Dotyczy to zbiorów, które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności. W każdym bądź razie inspektor przeprowadzający kontrolę ma prawo wglądu do tych zbiorów jedynie za pośrednictwem upoważnionego przedstawiciela kontrolowanej jednostki organizacyjnej. Stąd też nie mogli oni osobiście dokonywać zrzutów z ekranów komputerowych i jest to rażące naruszenie cytowanego już wyżej art. 15 ust. 2 ustawy. Na zakończenie skonstatował, że przepisy ustawy o ochronie danych osobowych nie przewidują możliwości wyznaczenia przez Generalnego Inspektora Ochrony Danych Osobowych terminów usunięcia uchybień, co stanowi przekroczenie jego uprawnień.

Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] nr GI-DEC-[...], na podstawie art. 138 § 1 pkt 1 k.p.a., zaskarżoną decyzję utrzymał w mocy, a w jej uzasadnieniu – powołując się na argumenty zawarte w zaskarżonej decyzji – podał, że art. 7 Konstytucji Rzeczypospolitej Polskiej stanowiący, iż organy władzy publicznej działając na podstawie i w granicach prawa, zawiera normę zakazującą domniemania kompetencji organu i tym samym, nakazuje, aby wszelkie działania władzy publicznej oparte były na wyraźnie określonej normie kompetencyjnej. Zatem, jeżeli brak jest normy, uprawniającej Prezesa Instytutu Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu do wyłączenia go spod działania innych przepisów prawa, to jest on bezwzględnie zobowiązany do ich stosowania. Ponadto zgodnie z art. 3 ust. 1 i 2 ustawy o ochronie danych osobowych, ustawę stosuje się m.in. do organów państwowych mających siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej. Jednocześnie żaden z tych przepisów nie zwalnia Prezesa Instytutu Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu, jako administratora danych, z obowiązku jej stosowania. W tej sytuacji nie jest uzasadnione powoływanie się na treść art. 9 ust. 2 ustawy o Instytucie Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu. Przepis ten jedynie oznacza, że niezależność ta ma charakter merytoryczny, przejawiający się w autonomicznym podejmowaniu rozstrzygnięć w sprawach zakreślonych w tej ustawie. Natomiast przepis ten nie może stanowić podstawy do wyłączenia Prezesa Instytutu spod kontroli uprawnionych organów. W dalszej części organ wskazał, że Prezes Instytutu Pamięci Narodowej w okresie od [...] czerwca 2000 r. do [...] lipca 2000 r. przystąpił do przyjmowania dokumentów od organów wymienionych w art. 25 ust. 1 ustawy o Instytucie Pamięci Narodowej i przystępując do ich przyjmowania był zobowiązany, jako administrator danych osobowych, do zgłoszenia zbiorów danych osobowych do rejestracji. Tym samym przetwarzanie danych w zbiorze mogło się rozpocząć już po dokonaniu samej czynności złożenia wniosku rejestracyjnego. Zatem inaczej, aniżeli obecnie, po nowelizacji ustawy. Jednocześnie organ wskazał na sposób rozstrzygania zbiegu norm dotyczących przetwarzania danych osobowych, a określonych w art. 5 ustawy. Wyrażona w nim zasada przewiduje rozstrzyganie zbiegu norm na korzyść tych, które przewidują wyższy poziom ochrony przetwarzania danych osobowych. Przepisy ustawy o Instytucie Pamięci Narodowej nie regulują w sposób kompleksowy przetwarzania danych osobowych przez Prezesa Instytutu, a w szczególności brak jest w nim norm dotyczących środków technicznych i organizacyjnych, dokumentacji opisującej sposób przetwarzania danych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Reasumując, przepisy powyższej ustawy nie wyłączają uprawnień Generalnego Inspektora Ochrony Danych Osobowych do kontroli zgodności z prawem przetwarzanych tam danych osobowych.

Odpowiadając na kolejny zarzut organ stwierdził, że protokół został przedstawiony przedstawicielowi Prezesa Instytutu Pamięci Narodowej wraz ze wszystkimi załącznikami i stanowi on akta sprawy, o których mowa w art. 73 k.p.a. Termin zapoznania się z aktami kontroli oraz podpisanie protokołu kontroli ustalono na dzień [...] marca 2005 r. i w czynnościach tych miał wziąć udział Zastępca Prezesa Instytutu Pamięci Narodowej w jego siedzibie. W ustalonym terminie przedstawiciele organu udali się do Instytutu Pamięci Narodowej, lecz w rozmowie nie uczestniczył Zastępca Prezesa Instytutu lecz Dyrektor Generalny Instytutu. Przedstawiono mu protokół kontroli wraz z całością dokumentów, lecz wymieniony nie skorzystał z prawa zapoznania się z dokumentami. Z prawa tego skorzystali jednak przedstawiciele Prezesa Instytutu Pamięci Narodowej w dniu [...] maja 2005 r. w siedzibie organu, gdzie przeglądali akta sprawy. Ponadto egzemplarz protokołu kontroli został doręczony kontrolowanemu administratorowi danych, o czym świadczy potwierdzenie odbioru przez Dyrektora Generalnego Instytutu. Tym samym została wyczerpana przesłanka z art. 16 ust. 1 ustawy o ochronie danych osobowych. Na marginesie organ podniósł, że Prezes Instytutu Pamięci Narodowej mógł skorzystać z uprawnień wynikających z art. 16 ust. 2 i 3 ustawy, czego jednak nie uczynił (protokół podpisują inspektor i kontrolowany administrator danych, który może wnieść umotywowane zastrzeżenia i uwagi). Wyjaśnił, że w razie odmowy podpisania protokołu przez kontrolowanego administratora danych, inspektor czyni o tym wzmiankę w protokole, a odmawiający może w terminie 7 dni przedstawić swoje stanowisko na piśmie Generalnemu Inspektorowi Ochrony Danych Osobowych i odmowa podpisania protokołu nie stanowi przeszkody do wszczęcia postępowania administracyjnego.

Odnosząc się do zarzutu naruszenia art. 107 § 1 k.p.a., stwierdził, iż jest on nietrafny, gdyż decyzja zawierała wszystkie niezbędne elementy wymagane tym przepisem. Zdaniem organu, niezasadny jest zarzut dotyczący braku uzasadnienia w decyzji nakazu zaprzestania udostępniania osobom korzystającym z czytelni akt jawnych, niebędących pracownikami Instytutu Pamięci Narodowej, pomocy ewidencyjnych opracowanych w celu usprawnienia przeszukiwania zasobu archiwalnego Instytutu Pamięci Narodowej. W decyzji podano, że ustawa o Instytucie Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu nie zawiera przepisów, które stanowiłyby podstawę prawną do takiego działania i w ocenie organu jest to wystarczające uzasadnienie. W tym miejscu organ powołał się również na treść art. 36 pkt 5 ustawy o Instytucie Pamięci Narodowej konstatując, że dane osobowe zawarte w pomocach ewidencyjnych udostępniane były przed wyrażeniem na to zgody przez Prezesa Instytutu Pamięci Narodowej, zaś do kompetencji organu nie należy określanie, w jaki sposób prowadzący badania naukowe ma wskazywać interesujące go dokumenty.

Generalny Inspektor za nietrafny uznał także zarzut naruszenia przez inspektorów przeprowadzających kontrolę art. 15 ust. 2 ustawy o ochronie danych osobowych, gdyż mieli oni bezpośredni dostęp do zbiorów, o których mowa w art. 43 ust. 1 pkt 1a ustawy o ochronie danych osobowych, a więc zbiorów, które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności. W wyniku przekazania powyższych dokumentów do Instytutu Pamięci Narodowej przez organy wymienione w art. 25 ust. 1 ustawy o Instytucie Pamięci Narodowej, zmienił się ich dotychczasowy cel przetwarzania oraz administrator danych. Zmiana ta z kolei spowodowała, że do danych zawartych w tych dokumentach, nie znajduje zastosowania przesłanka zawarta w art. 43 ust. 1 pkt 1a ustawy o ochronie danych osobowych. Niezależnie od powyższego, wszystkie czynności inspektorów, były dokonywane w obecności pracownika jednostki kontrolowanej, o czym świadczą stosowne podpisy. Odnosząc się zaś co do wyznaczenia terminów usunięcia uchybień organ podał, że niemożność ich określenia mogłaby przesądzić o trwaniu stanu niezgodnego z prawem i należy je traktować w ramach uznania administracyjnego.

Powyższa decyzja stała się przedmiotem skargi Prezesa Instytutu Pamięci Narodowej do Wojewódzkiego Sądu Administracyjnego w Warszawie. Skarżący stwierdził, iż zarówno zaskarżone decyzje, jak i poprzedzające je postępowanie kontrolne i administracyjne, zostało przeprowadzone z rażącym naruszeniem prawa i wskazując na powyższe wniósł o stwierdzenie nieważności decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] nr [...] i utrzymującej ją w mocy decyzji z dnia [...] nr [...]. W uzasadnieniu skargi podał, iż nakazy sformułowane w rozstrzygnięciu decyzji Generalnego Inspektora Ochrony Danych Osobowych naruszają art. 9 ust. 1 i 2 ustawy z dnia 18 grudnia 1998 r. o Instytucie Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu (Dz.U. Nr 155, poz. 1016, ze zm.), zgodnie z którym Instytutem Pamięci Narodowej kieruje Prezes Instytutu Pamięci Narodowej, który w sprawowaniu swego urzędu jest niezależny od organów władzy państwowej. Zwrócił uwagę, że zgodnie z art. 19 k.p.a. organy administracji publicznej przestrzegają z urzędu swojej właściwości, a w związku z tym Generalny Inspektor Ochrony Danych Osobowych nie jest zwolniony z obowiązku badania z urzędu swojej właściwości, również w niniejszej sprawie. Zdaniem Prezesa Instytutu, Generalny Inspektor Ochrony Danych Osobowych prowadząc kontrolę oraz wydając zaskarżone decyzje całkowicie pominął ten przepis, uznając że wyłączenie jego kompetencji w stosunku do Prezesa Instytutu Pamięci Narodowej powinno być wyartykułowane wprost w ustawie o ochronie danych osobowych. Podniósł, że niezależne sprawowanie urzędu w rozumieniu art. 9 ust. 1 i 2 ustawy o Instytucie Pamięci Narodowej mieści w sobie zakaz władczego oddziaływania na sferę prawną Prezesa Instytutu Pamięci Narodowej, wyznaczoną przez zakres zadań określonych w ustawie. W dalszej części skarżący w sposób bardzo obszerny, powołując się na szereg przepisów prawa oraz poglądy doktryny wskazał na podstawy niezależności i pozycji ustrojowej tego organu oraz podkreślił jego niezależność w wykonywaniu przepisów ustawy o Instytucie Pamięci Narodowej. Ponadto, w ocenie Prezesa Instytutu, zastosowanie przepisu art. 12 pkt 1 i 2 ustawy o ochronie danych osobowych do działalności Instytutu Pamięci Narodowej prowadzi do wniosku, że Generalny Inspektor Ochrony Danych Osobowych wydaje decyzje i rozpatruje skargi na wykonywanie przepisów ustawy o Instytucie Pamięci Narodowej w zakresie, w jakim dotyczą one ochrony danych osobowych, a więc także w zakresie przepisów, które dotyczą przetwarzania tych danych, co stoi w rażącej sprzeczności z art. 9 ust. 1 i 2 ustawy o Instytucie Pamięci Narodowej. Zarzucił także, iż w niezależność Prezesa Instytutu Pamięci Narodowej godzi art. 18 ustawy o ochronie danych osobowych, zgodnie z którym w przypadku naruszenia przepisów o ochronie danych osobowych, Generalny Inspektor Ochrony Danych Osobowych z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem.

Według skarżącego, postanowienia zaskarżonej decyzji, na mocy których nakazano wprowadzenie określonych procedur oraz środków technicznych i organizacyjnych służących ochronie danych przetwarzanych w zasobie Instytutu Pamięci Narodowej, naruszają art. 9 ust. 1 ustawy o Instytucie Pamięci Narodowej, a w pewnym zakresie wkraczają także w kompetencje jego Kolegium. W świetle bowiem powołanego przepisu, to Prezes Instytutu Pamięci Narodowej decyduje jakie środki techniczne zastosuje w celu wykonania przepisów ustawy o Instytucie Pamięci Narodowej, a w pewnych sytuacjach, z zastrzeżeniem kompetencji przewidzianych dla Kolegium, decyduje o tym, jakie procedury będą obowiązywać w Instytucie Pamięci Narodowej. Stwierdził, że Prezes Instytutu, wykonując ustawę o Instytucie Pamięci Narodowej, czyni to bez wpływu i ingerencji innych organów władzy. W związku z tym Generalny Inspektor Ochrony Danych Osobowych nie może w tym zakresie korzystać ze swych uprawnień nadzorczych przewidzianych w ustawie o ochronie danych osobowych. Nie znajdują zatem zastosowania przesłanki udostępniania danych wyznaczone przepisami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, co oznacza, że ustawa o Instytucie Pamięci Narodowej jest w tym zakresie lex specialis w stosunku do ustawy o ochronie danych osobowych. Odnosząc się do problematyki ochrony danych osobowych znajdujących się w dokumentach organów bezpieczeństwa państwa skarżący wskazał, że należy przede wszystkim rozstrzygnąć, czy dane te podlegają ochronie w trybie ustawy o ochronie danych osobowych, czy też ustawa o Instytucie Pamięci Narodowej zawiera w tym zakresie uregulowania odrębne. Poniósł, iż powyższa ustawa reguluje m.in. ochronę danych osobowych pokrzywdzonych i jest ona w zakresie ochrony danych osób pokrzywdzonych przepisem szczególnym w stosunku do ustawy o ochronie danych osobowych. Zasady dokonywania operacji na danych osobowych osób pokrzywdzonych, zostały szczegółowo zawarte właśnie w ustawie o Instytucie Pamięci Narodowej. Jednocześnie, Prezes Instytutu powołał się na treść art. 71 powyższej ustawy, na mocy którego Instytut Pamięci Narodowej może przetwarzać dane osobowe bez zgody i wiedzy osób, których te dane dotyczą, z czego także wyprowadził wniosek, iż do działalności Instytutu Pamięci Narodowej nie mają zastosowania te przepisy, które uzależniają możliwość przetwarzania danych osobowych od uzyskania zgody zainteresowanych osób. Następnie wskazał, iż do działalności Instytutu Pamięci Narodowej nie mają zastosowania przepisy rozdziału 3 ustawy o ochronie danych osobowych: "Zasady przetwarzania danych", podobnie jak rozdziału 4 tej ustawy: "Prawa osoby, której dane dotyczą". Wskazał, iż ustawa o ochronie danych osobowych ma zastosowanie do przetwarzania baz danych tworzonych w ramach bieżącej pracy Instytutu Pamięci Narodowej, czyli danych osobowych pracowników Instytutu Pamięci Narodowej oraz kandydatów do pracy, danych osobowych w postępowaniach z wniosków emerytalno-rentowych obywateli, składanych na podstawie art. 117 ust. 3 ustawy o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych, danych osobowych obywateli występujących do Instytutu Pamięci Narodowej w trybie art. 30 ustawy o Instytucie Pamięci Narodowej, danych osobowych zebranych w postępowaniach sprawdzających i wydanych poświadczenia bezpieczeństwa oraz dane osobowe zebrane w postępowaniach o potwierdzenie przez Prezesa Instytutu Pamięci okoliczności, o której mowa w art. 4 ust. 1 pkt 4, w przypadku osadzenia bez wyroku w więzieniu lub innym miejscu odosobnienia na terytorium Polski oraz w art. 4 ust. 2 ustawy z dnia 24 stycznia 1991 r. ustawy o kombatantach oraz niektórych osobach będących ofiarami represji wojennych i okresu powojennego. Natomiast ustawa o ochronie danych osobowych nie ma zastosowania do danych osobowych zawartych w dokumentach przejętych przez Instytut Pamięci Narodowej na podstawie art. 25 ustawy o Instytucie Pamięci Narodowej oraz danych osobowych zawartych w dokumentach pionu śledczego Instytutu.

Skarżący podniósł, iż zupełnie inne są też konstytucyjne podstawy obu ustaw, gdyż ustawa o Instytucie Pamięci Narodowej stanowi wypełnienie nakazu zapewnienia prawa każdego do uzyskiwania informacji o działalności organów władzy publicznej oraz osób pełniących funkcje publiczne (art. 61 ust. 1 zd. 1 Konstytucji) oraz wypełnienie obowiązku takiego zorganizowania struktur państwa prawnego, aby przestępstwa nie ścigane do 1989 roku z przyczyn politycznych, popełnione przez funkcjonariuszy publicznych lub na ich zlecenie, nie pozostały bezkarne (art. 44 Konstytucji). Tymczasem ustawa o ochronie danych osobowych stanowi wypełnienie nakazu zapewnienia prawa każdego do tego, aby władze publiczne nie pozyskiwały, gromadziły i udostępniały innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. Celem jej jest zatem ochrona prywatności (art. 51 Konstytucji).

Odnosząc się do kontroli przeprowadzonej przez inspektorów, Prezes Instytutu Pamięci Narodowej zarzucił, że Generalny Inspektor Ochrony Danych Osobowych jeszcze przed zakończeniem kontroli (przed podpisaniem protokołu kontroli i przed ewentualnym wniesieniem przez kontrolowanego administratora danych osobowych umotywowanych zastrzeżeń i uwag do protokołu kontroli), podczas wystąpienia w Sejmie RP stwierdził jednoznacznie, że w trakcie kontroli w Instytucie Pamięci Narodowej ujawniono wiele nieprawidłowości. W konsekwencji, zdaniem skarżącego, przesądził, jaki będzie wynik postępowania kontrolnego oraz jaka będzie treść kończącej sprawę decyzji administracyjnej i naruszył w ten sposób ogólne zasady postępowania administracyjnego, w tym art. 7 Kodeksu postępowania administracyjnego, według którego w toku postępowania organy administracji publicznej stoją na straży praworządności i podejmują wszelkie kroki niezbędne do dokładnego wyjaśnienia stanu faktycznego oraz do załatwienia sprawy, mając na względzie interes społeczny i słuszny interes obywateli.

Ponadto, podniósł zarzut, że ustalenia faktyczne poczynione w trakcie kontroli są niezgodne z rzeczywistością, przede wszystkim w zakresie ustaleń kontrolnych odnoszących się do kwestii zabezpieczenia systemu informatycznego Instytutu Pamięci Narodowej, służącego do przetwarzania danych osobowych. Podkreślił także, iż nigdy nie doręczono mu protokołu kontroli w rozumieniu art. 16 ust. 1 ustawy o ochronie danych osobowych, gdyż jego integralną częścią są załączniki, które nie zostały mu doręczone. W ocenie skarżącego, nie doręczając załączników do protokołu kontroli, organ nadzoru w istotny sposób pogorszył sytuację procesową strony w postępowaniu administracyjnym. Doręczenie protokołu wraz załącznikami umożliwia stronie późniejszego postępowania administracyjnego swobodne dysponowanie tymi dokumentami w celu obrony swoich praw w toku procesu. Ma ona do nich niczym nieograniczony dostęp i może z nich korzystać w każdym czasie we własnej siedzibie. Taki sposób procedowania jest znacznie korzystniejszy, niż tryb przewidziany w art. 73 k.p.a., w świetle którego strona za każdym razem musi udać się do siedziby organu, gdy chce zapoznać się z aktami, w tym wypadku załącznikami do protokołu.

Skarżący wskazał również, iż jako podstawę materialnoprawną zaskarżonych decyzji Generalny Inspektor Ochrony Danych Osobowych podał art. 18 ust. 1 pkt 1 ustawy o ochronie danych osobowych, który nie stanowi samoistnej podstawy wydania decyzji nakazowej. Zgodnie bowiem z tym przepisem, w razie stwierdzenia naruszenia przepisów o ochronie danych osobowych, Generalny Inspektor Ochrony Danych Osobowych z urzędu lub na wniosek osoby zainteresowanej nakazuje administratorowi danych, w drodze decyzji administracyjnej, przywrócenie stanu zgodnego z prawem, a w szczególności usunięcie uchybień. Tymczasem nakaz usunięcia konkretnych uchybień musi opierać się na konkretnym przepisie o ochronie danych osobowych, których decyzja nie wymienia.

Skarżący zarzuci, iż uzasadnienie prawne nakazu, zawarte w zaskarżonych decyzjach jest niewystarczające. Z jego treści wynika, że nakaz zaprzestania udostępniania pomocy ewidencyjnych osobom korzystającym z czytelni akt jawnych, niebędącym pracownikami Instytutu Pamięci Narodowej, został wyprowadzony z art. 36 pkt 5 ustawy o Instytucie Pamięci Narodowej. Zdaniem Prezesa Instytutu, stanowisko organu jest błędne, gdyż opiera się na wadliwej interpretacji tego przepisu. Przepis ten bowiem nie określa jednoznacznie komu i w jakim celu Prezes Instytutu może udostępniać dane osobowe, natomiast określa kto, w jakim celu i zakresie oraz na jakich zasadach może wykorzystywać dokumenty zawierające dane osobowe. Przepisy ustawy o Instytucie Pamięci Narodowej nie przewidują wydawania przez Prezesa Instytutu decyzji administracyjnej w sprawie udostępniania osobom prowadzącym badania naukowe dokumentów zawierających dane osobowe. Ustawa ta rozróżnia pojęcie udostępniania dokumentów od pojęcia wykorzystywania dokumentów. Dlatego dopiero po zapoznaniu się z materiałami wnioskodawca będzie mógł określić zakres oraz sposób wykorzystania tych dokumentów i dopiero wówczas Prezes Instytutu, wyrażając zgodę na ich wykorzystanie, będzie mógł ocenić, czy zakres ten nie jest za szeroki i czy sposób wykorzystania tych dokumentów nie narusza praw osób, których dane znajdują się w tych dokumentach.

Odnosząc się do pkt 2 oraz pkt 3 rozstrzygnięcia zaskarżonych decyzji Prezes Instytutu Pamięci Narodowej wskazał, iż przepis art. 36 ust. 1 ustawy o ochronie danych osobowych, na którym oparto te nakazy nie nakłada na administratorów danych obowiązku opracowania jakichkolwiek procedur. Przepis ten reguluje zupełnie inną materię, gdyż środków technicznych i organizacyjnych nie można utożsamiać z dokumentacją techniczną i organizacyjną. W żadnym też wypadku nie można utożsamiać z taką lub inną procedurą. Stwierdził, że art. 36 pkt 5 tej ustawy określa jedynie zasadę ogólną, która jest uszczegółowiana w przepisach rozporządzenia wydanego na podstawie art. 39a ustawy o ochronie danych osobowych. Ponieważ wykaz dokumentów, które winien posiadać administrator danych, został w sposób wyczerpujący określony w wymienionym wyżej rozporządzeniu, to Generalny Inspektor Ochrony Danych Osobowych nie może dowolnie, mocą swych własnych decyzji, rozszerzać tego katalogu. Tym samym zaskarżona decyzja została wydana bez podstawy prawnej w zakresie, w jakim nakłada na Prezesa Instytutu Pamięci Narodowej obowiązek opracowania procedur określonych w pkt 2 i 3, co uzasadnia stwierdzenie jej nieważności.

Jednocześnie podniósł, że obowiązki dotyczące opracowania procedur określonych w pkt 2 i 3 rozstrzygnięcia zaskarżonych decyzji są w pewnym zakresie skierowane do organu niebędącego stroną. Zgodnie bowiem z art. 23 ust. 2 pkt 2 i 3 ustawy o Instytucie Pamięci Narodowej, Kolegium Instytutu zajmuje stanowisko w sprawach ustalania zasad archiwizacji dokumentów przy ich ocenie, porządkowaniu, udostępnianiu, przechowywaniu i administrowaniu oraz w sprawach ustalania zasad wglądu w dokumenty oraz zasad ich publikowania. Kompetencje te zostały zastrzeżone dla Kolegium, który stanowi odrębny od Prezesa Instytutu, wewnętrzny organ Instytutu. Prezes nie jest więc stroną decyzji w tym zakresie. Powyższe stanowi – zdaniem skarżącego – podstawę do stwierdzenia nieważności zaskarżonej decyzji na podstawie art. 156 § 1 pkt 4 Kodeksu postępowania administracyjnego.

Odnosząc się do pkt 8 zaskarżonej decyzji, a dotyczącego obowiązku rejestracji zbiorów danych osobowych Prezes Instytutu wyjaśnił, że dane osób, które złożyły wnioski o wykorzystywanie dokumentów archiwalnych Instytutu Pamięci Narodowej do prowadzenia badań naukowych, o ustalenie losów osób zaginionych na wschodzie w latach 1939–1945, o potwierdzenie okresu przebywania w więzieniu lub faktu odebrania rodzicom w celu poddania eksterminacji lub wynarodowieniu, rejestrowane są w systemie "Kancelaria". Zbiór danych osobowych "Kancelaria" został zgłoszony Generalnemu Inspektorowi Ochrony Danych Osobowych do zarejestrowania przed wydaniem decyzji z dnia [...] (sygn. [...]). Jednocześnie skarżący podtrzymał swoje stanowisko, że zbiory danych osobowych przekazane w trybie art. 25 ustawy o Instytucie Pamięci Narodowej nie podlegają rejestracji, natomiast znaczna część danych znajdujących się w dokumentach przekazanych na podstawie art. 25 ustawy o Instytucie Pamięci Narodowej została uzyskana w wyniku czynności operacyjno-rozpoznawczych. W związku z tym zbiory te i tak są zwolnione z obowiązku rejestracji na podstawie art. 43 ust. 1 pkt 1a ustawy o ochronie danych osobowych. Ponadto, omawiając kwestię rejestracji zbiorów danych osobowych przekazanych Prezesowi Instytutu, należy również pamiętać, że zbiory te powstały w latach 1944–1989, a więc przed wejściem w życie ustawy o ochronie danych osobowych. Zbiory te były i nadal są archiwizowane metodami tradycyjnymi, a więc nie w systemie informatycznym.

Skarżący zarzucił także, iż nakazy sformułowane w osnowie zaskarżonych decyzji nie spełniają wymogów przewidzianych w Kodeksie postępowania administracyjnego dla rozstrzygnięć decyzji administracyjnych.

Generalny Inspektor Ochrony Danych Osobowych w odpowiedzi na skargę wniósł o jej oddalenie. Odnosząc się do zarzutu skargi dotyczącego naruszenia niezależności Prezesa Instytutu Pamięci Narodowej i zastosowania ustawy o ochronie danych osobowych wskazał, że zgodnie z art. 3 ust. 1 i ust. 2 ustawy o ochronie danych osobowych, ustawę stosuje się do organów państwowych, organów samorządu terytorialnego, do państwowych i komunalnych jednostek organizacyjnych oraz podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych – które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej. Zdaniem Generalnego Inspektora Ochrony Danych Osobowych nie ulega wątpliwości, że Prezes Instytutu Pamięci Narodowej spełnia przesłanki wymienione w powołanych przepisach ustawy o ochronie danych osobowych. Jest bowiem organem państwowym, który ma siedzibę na terytorium Rzeczypospolitej Polskiej i który do przetwarzania danych osobowych wykorzystuje środki techniczne znajdujące się w Polsce. W konsekwencji nie jest uzasadnione powoływanie się przez Prezesa Instytutu na art. 9 ust. 2 ustawy o Instytucie Pamięci Narodowej, jako okoliczność wyłączającą go z katalogu podmiotów podlegających kontroli Generalnego Inspektora Ochrony Danych Osobowych. W myśl powołanego przepisu, Prezes Instytutu w sprawowaniu swego urzędu jest niezależny od organów władzy państwowej. W ocenie organu wyrażona w tym przepisie zasada niezależności Prezesa Instytutu od organów władzy państwowej odnosi się do jego działalności merytorycznej. Jednocześnie kontrola inspektorów Generalnego Inspektora Ochrony Danych Osobowych dotyczyła realizacji obowiązków określonych w ustawie o ochronie danych osobowych związanych z zabezpieczeniem zbiorów danych osobowych i zgłoszenia zbiorów danych osobowych do rejestracji. Zatem dokonane czynności kontrolne nie wkraczały w obszar zagadnień związanych z merytoryczną działalnością Instytutu.

Odnosząc się do zarzutu skarżącego, że ustawa o Instytucie Pamięci Narodowej w zakresie ochrony danych osobowych zawiera odrębne uregulowania od określonych w ustawie o ochronie danych osobowych podkreślił, że zasady rozstrzygania zbiegu norm dotyczących przetwarzania danych osobowych zostały zawarte w art. 5 ustawy o ochronie danych osobowych. Zgodnie z powołanym przepisem, jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw. Tymczasem przepisy ustawy o Instytucie Pamięci Narodowej w ogóle nie regulują sprawy zabezpieczeń zbiorów danych osobowych.

Zdaniem Generalnego Inspektora Ochrony Danych Osobowych nie zasługuje na uwzględnienie również zarzut niedoręczenia protokołu z kontroli Prezesowi Instytutu Pamięci Narodowej. Zapoznanie się z aktami kontroli oraz podpisanie protokołu kontroli miało bowiem nastąpić w dniu [...] marca 2005 r., tj. w terminie ustalonym z Dyrektorem Generalnym Ochrony Danych Osobowych. W terminie tym do siedziby Instytutu Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu zgłosili się Dyrektor Departamentu Inspekcji i Dyrektor Departamentu Informatyki, którzy przedstawili przedstawicielowi Prezesa Instytutu Pamięci Narodowej protokół kontroli wraz z załącznikami do protokołu kontroli. Przedstawiciel Prezesa Instytutu nie skorzystał jednak z prawa do zapoznania się z powyższymi dokumentami i nie zgłosił również zamiaru dokonania z nich notatek lub odpisów oraz sporządzenia kserokopii. Zdaniem organu, protokół kontroli i pozyskane dowody stanowią akta sprawy, o których mowa w art. 73 k.p.a. W konsekwencji dokumenty składające się na akta danej sprawy, gromadzi i dysponuje nimi organ, który przeprowadza określone czynności. Biorąc pod uwagę fakt, iż organ jest obowiązany umożliwić stronie postępowania realizację prawa wglądu do akt, pracownicy Generalnego Inspektora Ochrony Danych Osobowych dołożyli należytej staranności w celu dopełnienia tego obowiązku, jednak przedstawiciel Prezesa Instytutu z takiej możliwości nie skorzystał w trakcie doręczania protokołu kontroli. Generalny Inspektor Ochrony Danych Osobowych stwierdził, że Prezesowi Instytutu Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu, zagwarantowane zostały wszystkie uprawnienia wynikające zarówno z ustawy o ochronie danych osobowych, jak i z k.p.a. Mimo to, nie podpisał protokołu i nie skorzystał z uprawnień wynikających z art. 16 ust. 2 i ust. 3 ustawy o ochronie danych osobowych.

Generalny Inspektor nie zgodził się też z zarzutem, że w zaskarżonych decyzjach nie wymieniono przepisów, które zostały naruszone przez jednostkę kontrolowaną, gdyż takie przepisy zostały wskazane w części decyzji dotyczącej podstaw prawnych jej wydania.

Także zarzut niewystarczającego uzasadnienia decyzji uznał za całkowicie bezpodstawny. W uzasadnieniu wskazano bowiem, że przepisy ustawy o Instytucie Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu nie zawierają przepisów, które stanowiłyby podstawę prawną do udostępniania danych osobowych zawartych w pomocach ewidencyjnych osobom korzystającym z czytelni akt jawnych. Takie uzasadnienie, zdaniem Generalnego Inspektora, było wystarczające w świetle przepisów ustawy o Instytucie Pamięci Narodowej, a w szczególności jej art. 36.

Odnosząc się z kolei do zarzutu, iż art. 36 ust. 1 ustawy o ochronie danych osobowych dotyczy wyłącznie konkretnych rozwiązań technicznych i organizacyjnych, których nie można utożsamiać z dokumentacją techniczną i organizacyjną oraz procedurami wskazał, że zgodnie z tym przepisem, administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub niszczeniem. Jednocześnie ustawodawca nie przesądził, jakiego rodzaju środki techniczne i organizacyjne administrator danych ma zastosować.

Generalny Inspektor Ochrony Danych Osobowych wskazał także, iż wbrew stanowisku Prezesa Instytutu Pamięci Narodowej, zbiór danych zawartych w dokumentach i kartotekach przekazanych do Instytutu Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu przez organy wymienione w art. 25 ust. 1 ustawy o Instytucie Pamięci Narodowej, w tym m.in. Ministra Spraw Wewnętrznych i Administracji, Ministra Obrony Narodowej, Ministra Sprawiedliwości, prezesów sądów powszechnych i wojskowych, podlega zgłoszeniu do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Tworzą one bowiem zbiór danych osobowych w rozumieniu art. 7 pkt 1 ustawy, zgodnie z którym ilekroć w ustawie jest mowa o zbiorze danych – rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Jednocześnie do Prezesa Instytutu zastosowanie mają przepisy o ochronie danych osobowych, w tym art. 40 ustawy o ochronie danych osobowych, wprowadzający obowiązek zgłaszania zbiorów danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.

Zdaniem Generalnego Inspektora Ochrony Danych Osobowych nie do przyjęcia jest również teza skarżącego, że z uwagi na treść art. 61 ust. 1 i 2 ustawy o ochronie danych osobowych, obowiązkowi zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych w ogóle nie podlegają zbiory danych, które nie są prowadzone w systemach informatycznych, utworzone przed wejściem w życie ustawy o ochronie danych osobowych. Konieczność bowiem odmiennego potraktowania w tym zakresie administratorów przetwarzających dane przy użyciu systemów informatycznych związana była z tym, że przepisy o ochronie danych osobowych dla zbiorów danych osobowych prowadzonych w systemach informatycznych wprowadziły dodatkowe wymogi, których spełnienie było warunkiem ich zarejestrowania. W celu umożliwienia administratorom danych przetwarzanych w zbiorach zrealizowania tych wymogów ustawodawca wyznaczył, w art. 61 ust. 1 ustawy o ochronie danych osobowych, termin do złożenia wniosków o ich rejestrację. Dodatkowych wymogów nie musieli natomiast spełniać administratorzy, niewykorzystujący do przetwarzania danych systemów informatycznych. Administratorzy ci byli jednak zobowiązani do zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych w dniu wejścia w życie ustawy o ochronie danych osobowych, tj. w dniu 30 kwietnia 1998 r., zgodnie z dyspozycją zawartą w art. 40 ustawy o ochronie danych osobowych. Organ podkreślił, że żaden z przepisów ustawy o ochronie danych osobowych, nie przewiduje zwolnienia z obowiązku zgłoszenia do rejestracji zbioru danych prowadzonego przed wejściem w życie powołanej ustawy w sposób tradycyjny, tzn. bez wykorzystywania systemu informatycznego.

Ustosunkowując się zaś do zarzutu skarżącego, że nakazy sformułowane w osnowie zaskarżonych decyzji nie spełniają wymogów przewidzianych w Kodeksie postępowania administracyjnego dla rozstrzygnięć decyzji administracyjnych, Generalny Inspektor Ochrony Danych Osobowych wskazał, że nakazy zaskarżonych decyzji są precyzyjne i nie pozostawiają możliwości ich różnej interpretacji.

Wojewódzki Sąd Administracyjny w Warszawie rozpoznając skargę, uznał, że zasługuje ona na uwzględnienie.

W uzasadnieniu wyroku wskazał, że stosownie do treści art. 12 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.), do zadań Generalnego Inspektora Ochrony Danych Osobowych należy w szczególności kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych (pkt 1). Zgodnie z treścią art. 13 ust. 1 ustawy, zadanie te wykonuje przy pomocy Biura Generalnego Inspektora Ochrony Danych Osobowych, a w celu realizacji tych zadań, Generalny Inspektor, jego zastępca bądź upoważnieni przez niego pracownicy Biura Generalnego mają uprawnienia do wykonywania czynności kontrolnych określonych w art. 14 ustawy. Z czynności kontrolnych inspektor sporządza protokół, którego jeden egzemplarz doręcza kontrolowanemu administratorowi danych (art. 16 ust. 1 ustawy).

Sąd pierwszej instancji stwierdził, że z systematyki tych przepisów oraz z hierarchii zadań wynikających z treści art. 12 ustawy wynika, że podstawowym zadaniem Generalnego Inspektora Ochrony Danych Osobowych jest kontrola zgodności przetwarzania danych osobowych z przepisami. Etapem kolejnym jest natomiast, jeżeli na podstawie wyników kontroli inspektor stwierdzi naruszenie przepisów o ochronie danych osobowych i wystąpi do Generalnego Inspektora o zastosowanie środków, o których mowa w art. 18 ustawy, element władczej kompetencji tego organu przejawiający się tym, że – w myśl art. 12 pkt 2 ustawy – może on wydawać odpowiednie decyzje administracyjne. Oznacza to, że jeżeli Generalny Inspektor Danych Osobowych wniosku inspektora nie odrzuci, to wszczyna postępowanie administracyjne zawiadamiając o tym administratora danych i przeprowadza postępowanie wyjaśniające, a następnie w zależności od jego efektów nakazuje przywrócenie stanu zgodnego z prawem.

Sąd pierwszej instancji doszedł więc do wniosku, że wszczęcie postępowania administracyjnego przez Generalnego Inspektora Ochrony Danych Osobowych, poprzedzone jest odrębnym i autonomicznym postępowaniem kontrolnym, stwierdzającym naruszenie przepisów o ochronie danych osobowych.

W rozpoznawanej sprawie bezspornym jest, że upoważnieni inspektorzy Biura Generalnego Inspektora Danych Osobowych przeprowadzili kontrolę w Instytucie Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu w dniach od [...] do [...] lutego 2005 r. Następnie w dniu [...] marca 2005 r., po uprzednim uzgodnieniu, doręczono do siedziby Instytutu Pamięci Narodowej protokół podpisany przez inspektorów. Dyrektor Generalny Instytutu Pamięci Narodowej posiadając jedynie pełnomocnictwo Prezesa Instytutu do odbioru protokołu kontroli, dokonał tej czynności, co potwierdził własnoręcznym podpisem. Jednak odmówił jego podpisania i na tę okoliczność sporządzono w protokole stosowny zapis. Sąd pierwszej instancji podniósł, że z treści tego dokumentu wynikało, że jego integralną część stanowią bardzo obszerne i skomplikowane w swym układzie załączniki. W piśmie z dnia 18 marca 2005 r. Dyrektor Generalny Instytutu Pamięci Narodowej, a zatem osoba upoważniona przez kontrolowanego administratora danych osobowych, w związku z otrzymaniem powyższego protokołu, poinformował Generalnego Inspektora Ochrony Danych Osobowych, że doręczony mu protokół, nie zawiera żadnego ze stanowiących jego integralną część załączników, co – jego zdaniem – uniemożliwia Instytutowi realizację prawa wynikającego z art. 16 ust. 2 i 3 ustawy o ochronie danych osobowych. W związku z powyższym wniósł "o doręczenie wszystkich brakujących załączników". W odpowiedzi na powyższe Generalny Inspektor Danych Osobowych w piśmie z dnia 23 marca 2005 r. adresowanym do Prezesa Instytutu Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu poinformowała, że zostało wszczęte z urzędu postępowanie administracyjne w sprawie zgodności przetwarzania danych osobowych w Instytucie Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu z przepisami o ochronie danych osobowych. Ponadto poinformowała, powołując się na przepisy art. 10 § 1 i art. 73 § 1 k.p.a., o możliwości skorzystania z akt sprawy oraz sporządzenia z nich notatek i odpisów dodając jednocześnie, że Prezes Instytutu lub upoważniona przez niego osoba, może w siedzibie Generalnego Inspektora w terminie 7 dni od daty otrzymania powyższego pisma, zgłosić się w celu zapoznania z materiałem zebranym w toku kontroli i podpisać protokół, uznając ową czynność, jako "niezbędną". W tej sytuacji Prezes Instytutu Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu pismem z dnia [...] marca 2005 r. stwierdził, że – jego zdaniem – postępowanie kontrolne jest jeszcze cały czas w toku, bowiem protokół pokontrolny nie został podpisany, a Generalnego Dyrektora Instytutu Pamięci Narodowej nie można utożsamiać z kontrolowanym administratorem danych osobowych, ponieważ miał on tylko upoważnienie do odbioru, a nie do podpisania protokołu. O niekonsekwencji Generalnego Inspektora świadczy ponadto fakt, że mimo wszczęcia postępowania administracyjnego, prosi on jednocześnie o zapoznanie się z materiałem zebranym w toku kontroli i podpisanie protokołu. Jednocześnie zadeklarował się, że po uzyskaniu wyjaśnień w przedmiotowej kwestii, dokona niezwłocznie określonych prawem czynności. Generalny Inspektor Danych Osobowych w piśmie z dnia 22 kwietnia 2005 r. odpowiedziała, że aktualnie, tj. od dnia [...] marca 2005 r. postępowanie toczy się w trybie Kodeksu postępowania administracyjnego, co nie wyklucza na tym etapie również zapoznania się z dokumentacją zebraną w toku kontroli i podpisania protokołu kontroli w oparciu o przepisy ustawy o ochronie danych osobowych.

W ocenie Sądu pierwszej instancji, Dyrektor Generalny Instytutu Pamięci Narodowej nie mógł podpisać protokołu z kontroli, gdyż udzielone mu pełnomocnictwo sprowadzało się tylko do odbioru protokołu, a w myśl art. 16 ust. 2 ustawy jedynie kontrolowany administrator danych osobowych, w tej konkretnej sprawie Prezes Instytutu Pamięci Narodowej, miał prawo do podpisania protokołu i ewentualnie wnieść do niego umotywowane zastrzeżenia, bądź uwagi. Ponadto adnotacja o odmowie podpisania protokołu poczyniona na powyższym dokumencie, nie ma swojego umocowania w art. 16 ust. 3 ustawy, albowiem zgodnie z jego treścią wzmiankę taką sporządza się w sytuacji odmowy podpisania protokołu przez kontrolowanego administratora danych osobowych, a nie przez osobę upoważnioną jedynie do jego odbioru.

Zdaniem Sądu pierwszej instancji, przy rozpoznawaniu tego zagadnienia należy uwzględnić fakt, że ustawa o ochronie danych osobowych w wielu kwestiach proceduralnych, nie wprowadza własnych przepisów, a poprzez art. 22, który stanowi, iż postępowanie w sprawach uregulowanych w niniejszej ustawie prowadzi się według Kodeksu postępowania administracyjnego, o ile przepisy ustawy nie stanowią inaczej, wprowadza zasadę subsydiarności przepisów k.p.a., przy czym owa subsydiarność nie dotyczy tylko samego sensu stricte postępowania administracyjnego, lecz całej procedury prowadzonej zgodnie z tą ustawą, na co wskazuje użyta w art. 22 formuła "o ile przepisy ustawy nie stanowią inaczej" (vide: A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Lexis Nexis, 2004).

Oceniając prawidłowość stosowania przez Generalnego Inspektora Ochrony Danych Osobowych przepisów Kodeksu postępowania administracyjnego Sąd pierwszej instancji uznał, iż w sprawie nie został naruszony art. 45 Kodeksu postępowania administracyjnego, gdyż doręczenie protokołu z kontroli Dyrektorowi Generalnemu Instytutu Pamięci Narodowej, spełniało wymóg określony w tym przepisie.

Sąd pierwszej instancji uznał jednak, iż w rozpoznawanej sprawie Generalny Inspektor Ochrony Danych osobowych naruszył art. 70 k.p.a. zawierający regulację dotyczącą załączników do protokołów. Przepis ten stanowi, że organ administracji publicznej może zezwolić na dołączenie do protokołu zeznania na piśmie podpisanego przez zeznającego, oraz innych dokumentów mających znaczenie dla sprawy. Z użytych w tym przepisie słów "może zezwolić" wynika, iż zezwolenie na dołączenie ich do protokołu pozostawiono uznaniu organu. Jednakże to uznanie organu musi przybrać formę procesową. Wprawdzie poglądy doktryny co do formy zezwolenia różnią się, to jednak w kwestii odmowy takiego zezwolenia są zbieżne i przyjmuje się, że winno ono przybrać formę postanowienia.

Sąd pierwszej instancji stwierdził, iż w rozpoznawanej sprawie nie wydano postanowienia o odmowie zezwolenia dołączenia do protokołu kontroli załączników na wniosek z dnia [...] marca 2005 r. uprawnionego do odbioru protokołu Dyrektora Generalnego Instytutu Pamięci Narodowej, ale również nie ustosunkowano się do tej kwestii w piśmie z dnia [...] marca 2005 r., będącym odpowiedzią na ów wniosek. Nie uczyniono tego również w innych pismach. Natomiast skarżący trafnie podniósł, iż protokół pokontrolny zawiera krótki stan faktyczny i wnioski końcowe, które zostały wyprowadzone z bardzo obszernego materiału zgromadzonego w załącznikach.

W tych warunkach Wojewódzki Sąd Administracyjny w Warszawie uznał, iż naruszenie przez Generalnego Inspektora Ochrony Danych Osobowych art. 70 k.p.a. mogło mieć istotny wpływ na wynik sprawy w rozumieniu art. 145 § 1 pkt 1 lit. c/ ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. Nr 153, poz. 1270 ze zm.)

Sąd pierwszej instancji podkreślił, że w przepisie art. 16 ust. 2 in fine ustawy o ochronie danych osobowych, wprowadzono treść o charakterze gwarancyjnym dla strony, a mianowicie "kontrolowany administrator danych osobowych (...) może wnieść do protokołu umotywowane zastrzeżenia i uwagi."

Nie można zatem wykluczyć takiej ewentualności, że gdyby Prezes Instytutu Pamięci Narodowej dysponował wspomnianymi załącznikami, to – jak zresztą zadeklarował we wniosku z dnia [...] marca 2005 r. – mógłby wnieść do protokołu swoje zastrzeżenia i uwagi. To z kolei, hipotetycznie, nie wykluczało ewentualnej odmiennej oceny zarówno inspektorów, co do wniosku o wszczęcie postępowania administracyjnego, jak i stanowiska o odrzuceniu tego wniosku przez Generalnego Inspektora Ochrony Danych Osobowych. Nie wykluczało również chociażby modyfikacji przedmiotu dalszego postępowania administracyjnego, a w konsekwencji innej treści zaskarżonej i poprzedzającej ją decyzji. Wreszcie, umożliwiłoby to stronie skarżącej wypowiedzenie się w sprawie ewentualnych sprzeczności ustaleń kontrolnych ze stanem faktycznym spełniłoby zatem wskazaną funkcję gwarancyjną.

Zdaniem Sądu pierwszej instancji, działanie Generalnego Inspektora Ochrony Danych Osobowych na etapie postępowania kontrolnego naruszyło przede wszystkim art. 8 k.p.a., nakładający na organy administracji publicznej obowiązek prowadzenia postępowania w sposób pogłębiający zaufanie obywateli do organów Państwa, jak również przepisy o sporządzaniu i doręczaniu protokołów, w tym art. 68 § 1 i art. 70 k.p.a. w stopniu mogącym mieć istotny wpływ na wynik sprawy.

Natomiast Sąd pierwszej instancji nie podzielił stanowiska strony skarżącej, że owo naruszenie miało charakter rażący w rozumieniu art. 156 § 1 pkt 2 k.p.a.

Odnosząc się do zarzutu dotyczącego naruszenia przez Generalnego Inspektora Ochrony Danych Osobowych art. 9 ust. 2 ustawy o Instytucie Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu (Dz. U. Nr 155, poz. 1016 ze zm.) określającego niezależność Prezesa Instytutu Pamięci Narodowej i naruszenia w ten sposób, Sąd pierwszej instancji wskazał na normy ustrojowe wyrażone w Konstytucji Rzeczypospolitej Polskiej, w szczególności zaś na zasadę demokratycznego państwa prawnego i będącą jej elementem zasadę działania organów państwa wyłącznie na podstawie i w granicach prawa. Stwierdził, że organy władzy publicznej zobowiązane są działać na podstawie prawa i realizować powierzone kompetencje w oparciu o wyraźnie określone normy powszechnie obowiązującego prawa. Nie ulega wątpliwości, że zarówno Prezes Instytutu Pamięci Narodowej, jak i Generalny Inspektor Ochrony Danych Osobowych są organami, które zobowiązane są realizować konstytucyjną zasadę praworządności formalnej pogłębiając jednocześnie zaufanie obywateli do państwa. W tym kontekście nie można obronić stanowiska wskazującego na wyłączenie któregokolwiek organu władzy publicznej od konieczności przestrzegania przepisów prawa, stanowiących w założeniu spójny system norm wzajemnie się uzupełniających i pozostających w zgodzie z ustawą zasadniczą, określającą ustrój Rzeczypospolitej Polskiej. Oznacza to również, że organy władzy publicznej zobowiązane są dostosować realizację powierzonych im kompetencji do wymogów wynikających z przepisów prawa, zaś wszelkie wyłączenia w stosowaniu określonych norm prawnych powinny być wyraźnie i jednoznacznie uregulowane oraz uzasadnione specyfiką danej materii wymagającą regulacji o charakterze szczególnym.

Kompleksową ochronę danych osobowych jednostki w oparciu o dwa podstawowe elementy: prawo każdego człowieka do prywatności oraz zasadę demokratycznego państwa prawnego tworzy art. 51 Konstytucji Rzeczypospolitej Polskiej. Stąd też legalne jest jedynie pozyskiwanie, gromadzenie i udostępnianie informacji o obywatelach, które jest niezbędne i mieści się w granicach wspomnianej zasady. W ocenie Sądu pierwszej instancji nie ulega wątpliwości, iż Prezes Instytutu Pamięci Narodowej jest także zobowiązany do przestrzegania granic legalności przetwarzania danych osobowych wyznaczonych w art. 51 ust. 2 Konstytucji, a więc także poszczególnych przepisów ustawy o ochronie danych osobowych, z wyjątkiem przypadków, w których ustawodawca wyraźnie wyłącza stosowanie tej ustawy.

Biorąc pod uwagę powyższe Sąd pierwszej instancji zwrócił uwagę na fakt, że prawo ochrony danych osobowych wyrażone w art. 51 Konstytucji Rzeczypospolitej Polskiej i skonkretyzowane w ustawie o ochronie danych osobowych, zakreśla jednocześnie obowiązek dla organów władzy publicznej stosowania regulacji, które pozwalają powyższe prawo realizować. Krąg adresatów ustawy o ochronie danych osobowych został w sposób jednoznaczny wyznaczony w art. 3 ust. 1 i ust. 2 tej ustawy, z której wynika, że akt ten stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych, jak również do podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych – które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej. Jednocześnie prawodawca określił wyłączenie stosowania ustawy o ochronie danych osobowych w art. 3a, zgodnie z którym ustawy nie stosuje się do osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych oraz podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych.

Odnosząc się do zarzutu naruszenia niezależności Prezesa IPN, Wojewódzki Sąd Administracyjny w Warszawie stwierdził, że art. 9 ust. 2 ustawy o IPN wskazuje jednoznacznie na niezależność Prezesa Instytutu jedynie w zakresie sprawowanego urzędu, czyli realizacji zadań i kompetencji wynikających z przepisów regulujących funkcjonowanie tego organu. Przepis ten jednakże nie daje żadnych podstaw do przyjęcia tezy, iż Prezes Instytutu nie jest zobowiązany do stosowania przepisów ustawy o ochronie danych osobowych a tym samym nie podlega w żadnym stopniu obowiązkom wynikającym z jej przepisów. Przyjęcie takiego poglądu prowadziłoby do sytuacji, w której Prezes Instytutu Pamięci Narodowej, jako organ władzy publicznej nie podlegałby obowiązkom wynikającym z art. 51 Konstytucji, co w demokratycznym państwie prawnym jest niedopuszczalne. Podkreślił, iż niezależność w sprawowaniu urzędu nie oznacza w żadnym wypadku niezależności od powszechnie obowiązujących przepisów rangi ustawowej normujących tak istotną dziedzinę życia społecznego i państwowego, jaką jest ochrona danych osobowych. Zasadę niezależności Prezesa Instytutu Pamięci Narodowej odnosi się wyłącznie do realizacji przypisanych przepisami prawa kompetencji.

A zatem, skoro kontrola inspektorów Generalnego Inspektora Ochrony Danych Osobowych dotyczyła realizacji obowiązków określonych w ustawie o ochronie danych osobowych, czyli zabezpieczenia zbiorów danych osobowych i zgłoszenia zbiorów danych osobowych do rejestracji, to trudno inspektorom czynić zarzut, iż kontrolując realizację obowiązków wynikających z przepisów ustawy o ochronie danych osobowych, której podlega również Prezes Instytutu Pamięci Narodowej, naruszyli jego niezależność.

Ustosunkowując się do kolejnego zarzutu skargi, w którym podniesiono, że ustawa o Instytucie Pamięci Narodowej zawiera odrębne uregulowania dotyczące ochrony danych osobowych w stosunku do określonych w ustawie o ochronie danych osobowych, Sąd pierwszej instancji wskazał na treść art. 5 tej ostatniej ustawy. Przepis ten stanowi: "jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw". Niewątpliwie jedną z takich ustaw jest ustawa o Instytucie Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu. Jednak podzielono stanowisko Generalnego Inspektora Ochrony Danych Osobowych, że zasada rozstrzygania zbiegu norm na korzyść tych z nich, które przewidują wyższy poziom ochrony nie oznacza generalnego wyłączenia stosowania ustawy o ochronie danych osobowych, lecz jedynie w zakresie, w jakim zapewniają danym osobowym dalej idącą ochronę.

Zdaniem Sądu pierwszej instancji, nie ulega wątpliwości, iż ustawodawca przyjął zasadę rozstrzygania zbiegu norm na korzyść tych, które przewidują wyższy poziom ochrony. Przykładem przepisów, które przewidują wyższą ochronę danych osobowych, niż określone w ustawie o ochronie danych osobowych są przepisy regulujące ochronę informacji niejawnych, w tym tajemnicy służbowej i państwowej, których naruszenie wiąże się z sankcją o charakterze karnym. Jednocześnie niektóre ustawy nie wyłączają stosowania całej ustawy o ochronie danych osobowych, lecz jedynie w zakresie, w którym przewidują właśnie wyższą ochronę. Ustawa o Instytucie Pamięci Narodowej nie przewiduje w całości wyższej ochrony danych osobowych niż ustawa o ochronie danych osobowych, natomiast o charakterze przepisów szczególnych regulujących ten zakres, a co za tym idzie ewentualnym zastosowaniu reguły lex specialis derogat legi generali można decydować jedynie w odniesieniu do kilku norm zawartych w ustawie o Instytucie Pamięci Narodowej, regulujących przetwarzanie danych osobowych, np. art. 71. W konsekwencji, biorąc pod uwagę, że przepisy ustawy o Instytucie Pamięci Narodowej nie regulują kwestii zabezpieczenia zbiorów danych osobowych, nie można przyjąć, iż w tym zakresie nie znajdą zastosowania przepisy ustawy o ochronie danych osobowych, zaś działania inspektorów Generalnego Inspektora były nieuprawnione.

Wojewódzki Sąd Administracyjny w Warszawie nie podzielił argumentacji skarżącego, że o generalnym wyłączeniu stosowania ustawy o ochronie danych osobowych rozstrzyga art. 1 pkt 3 ustawy o Instytucie Pamięci Narodowej, zgodnie z którym ustawa ta reguluje ochronę danych osobowych osób pokrzywdzonych, gdyż przepis ten w żadnym stopniu nie przesądza o wyższym poziomie ochrony danych osobowych. Zatem, ustawa o Instytucie Pamięci Narodowej nie stanowi jako całość lex specialis w stosunku do ustawy o ochronie danych osobowych, której zastosowanie jest wyłączone. Taki charakter może mieć natomiast art. 71 ustawy, stosownie do którego w działalności Instytutu Pamięci Narodowej dozwolone jest przetwarzanie danych osobowych, o których mowa w art. 27 ustawy o ochronie danych osobowych, bez zgody i wiedzy osoby, której dotyczą. Jednak należy zatem przyjąć, że w pozostałym zakresie znajdą zastosowanie przepisy ustawy o ochronie danych osobowych dotyczące zabezpieczenia przetwarzania danych osobowych.

Nawiązując do zarzutu podniesionego w skardze, a dotyczącego oparcia ustaleń pokontrolnych wyłącznie na zeznaniach archiwistów Sąd pierwszej instancji wskazał, że z akt postępowania administracyjnego wynika jednoznacznie, iż kontrola przeprowadzona przez inspektorów Generalnego Inspektora Ochrony Danych Osobowych miała charakter kompleksowy. Objęła ona nie tylko zeznania archiwistów Instytutu Pamięci Narodowej, ale zeznania informatyka i przegląd poszczególnych dokumentów oraz elementów systemu informatycznego pod kątem realizacji zasady ochrony danych osobowych. W konsekwencji za uzasadniony uznać należy zarzut skarżącego, iż ustalenia faktyczne nie są zgodne z rzeczywistością, gdyż opierały się wyłącznie na zeznaniach pracowników Biura Udostępniania i Archiwizacji Dokumentów i oględzinach.

Sąd pierwszej instancji uznał, że nie można również zgodzić się z twierdzeniem Prezesa Instytutu Pamięci Narodowej dotyczącym zawartego w zaskarżonej decyzji niewłaściwego nakazu zaprzestania udostępnienia "pomocy ewidencyjnych" osobom korzystającym z czytelni akt jawnych niebędących pracownikami Instytutu oraz niewystarczającego uzasadnienia prawnego tego nakazu. Przepis art. 36 ustawy o Instytucie Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu stanowi, iż dokumenty zawierające dane o pokrzywdzonych lub osobach trzecich mogą być, w niezbędnym zakresie i w sposób nienaruszający praw tych osób, wykorzystywane przez organy władzy publicznej oraz przez inne instytucje, organizacje i osoby w celach wykonania ustawy z dnia 24 stycznia 1991 r. o kombatantach oraz niektórych osobach będących ofiarami represji wojennych i okresu powojennego (Dz.U. z 1997 r. Nr 142, poz. 950 oraz z 1998 r. Nr 37, poz. 204 i Nr 106, poz. 668), wykonania ustawy z dnia 11 kwietnia 1997 r. o ujawnieniu pracy lub służby w organach bezpieczeństwa państwa lub współpracy z nimi w latach 1944–1990 osób pełniących funkcje publiczne, ścigania przestępstw, o których mowa w art. 1 pkt 1 lit. a/ tej ustawy (popełnionych na osobach narodowości polskiej lub obywatelach polskich innych narodowości w okresie od dnia 1 września 1939 r. do dnia 31 grudnia 1989 r. – zbrodni nazistowskich, zbrodni komunistycznych, innych przestępstw stanowiących zbrodnie przeciwko pokojowi, ludzkości lub zbrodnie wojenne) oraz prowadzenia badań naukowych, o ile Prezes Instytutu wyrazi na to zgodę.

Przepis ten nie określa kręgu adresatów, w stosunku do których Prezes Instytutu Pamięci Narodowej może wyrazić zgodę na wykorzystanie tych danych osobowych. Nie ulega także wątpliwości, że przepis ten wyraźnie wskazuje ex lege na konieczność wyrażenia zgody na wykorzystanie danych zawartych w udostępnianych dokumentach, nie zaś tylko ich udostępnianie. Tym niemniej analizując przedmiotowy przepis w świetle wszystkich przepisów regulujących ochronę danych osobowych i funkcjonowania Instytutu Pamięci Narodowej należy uznać, iż wskazany nakaz jest zgodny z prawem. Legalność zaskarżonego elementu decyzji wynika przede wszystkim z faktu, iż "pomoce ewidencyjne", zawierają bez wątpienia dane osobowe, a zatem ich charakter jest zbliżony do innych przekazanych przez organy zobowiązane dokumentów dotyczących poszczególnych osób, jak teczki osobowe, obiektowe i kontrolne. Z tych względów powinny one podlegać takim samym rygorom wynikającym z ustawy o Instytucie Pamięci Narodowej. W związku z powyższym nie można zgodzić się ze skarżącym, iż przepis art. 36 wskazuje wyłącznie na wykorzystanie danych, co może sugerować, iż samo udostępnienie w czytelni akt jawnych nie może być obwarowane wspomnianymi rygorami. Taka interpretacja przepisu w kontekście celu, dla którego został on powołany, nie jest możliwa do przyjęcia. Nie można bowiem wykluczyć, co potwierdza praktyka funkcjonowania Instytutu Pamięci Narodowej, że już samo udostępnienie dokumentów wiąże się z ich wykorzystaniem poprzez zaczerpnięcie zawartej w nich wiedzy, czy wręcz podanie określonych w nich danych, w sposób mogący budzić wątpliwości, co do realnej ochrony danych osobowych.

Oceniając następny zarzut Prezesa Instytutu Pamięci Narodowej dotyczący niewłaściwego zastosowania przez Generalnego Inspektora art. 36 ust. 1 ustawy o ochronie danych osobowych Sąd pierwszej instancji stwierdził, iż nie zasługuje on na uwzględnienie. Nie można podzielić stanowiska, że przepis ten nie nakłada na administratorów danych obowiązku opracowania jakichkolwiek procedur, które określałyby np. rodzaj prowadzonych pomocy ewidencyjnych, a jedynie rozwiązania techniczne i organizacyjne, które służą ochronie danych osobowych. Zgodnie z art. 36 ust. 1 cyt. wyżej ustawy, administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Stosownie do przepisu ust. 2 i 3 tego artykułu, administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz wskazane wyżej środki, a także wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony danych osobowych, chyba że sam wykonuje te czynności. Należy podkreślić, że przepis art. 36 ustawy o ochronie danych osobowych należy traktować jako całość normatywną nakładającą na adresata obowiązek poczynienia wszelkich czynności, polegających na wprowadzeniu odpowiednich rozwiązań, które mogłyby zapewnić rzeczywistą ochronę danych osobowych. Zdaniem Sądu pierwszej instancji nie można rozważać wprowadzenia środków technicznych i zakładać ich skuteczności bez spójnej koncepcji ich wykorzystania np. w ramach określonej procedury. Środkiem organizacyjnym zapewniającym ochronę będzie więc nie tylko np. lokalizacja lub zabezpieczenie pomieszczeń, w których przechowywane są dokumenty zawierające dane osobowe, ale także zasady wstępu do tych pomieszczeń i sposób kontroli przestrzegania tych zasad. Zastosowanie zatem rozwiązań technicznych bez określonej procedury ich wykorzystywania, nie może stanowić dostatecznej gwarancji realizacji celu, dla którego ustawodawca powołał cytowany wyżej art. 36 ust. 1 ustawy o ochronie danych osobowych. Analogicznie należy odnieść się do zarzutu dotyczącego zamkniętego katalogu dokumentów, które administrator zobowiązany jest bezwzględnie opracować. Należy zgodzić się ze stanowiskiem Generalnego Inspektora Ochrony Danych Osobowych, iż specyfika działalności Instytutu Pamięci Narodowej może wymagać zastosowania dodatkowych środków ochrony danych osobowych, w szczególności, gdy dotychczasowa praktyka funkcjonowania wykazała, że dotychczas używane środki okazały się niewystarczające.

Odnosząc się do kolejnego zarzutu Prezesa Instytutu Pamięci Narodowej dotyczącego obowiązku zgłoszenia do rejestracji poszczególnych zbiorów danych osobowych przekazanych w trybie art. 25 ustawy o Instytucie Pamięci Narodowej, Sąd pierwszej instancji wskazał, iż powyższe zbiory danych osobowych stanowią bezspornie zbiory w rozumieniu art. 7 pkt 1 ustawy o ochronie danych osobowych, a co za tym idzie, należy rozważyć zastosowanie przepisu art. 40 ust. 1 tej ustawy, zgodnie z którym administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1. Jednocześnie Sąd ten podzielił stanowisko Generalnego Inspektora Ochrony Danych Osobowych, że w niniejszej sprawie nie występują wyłączenia obowiązku rejestracji określone w art. 43 ust. 1 ustawy o ochronie danych osobowych.

Zdaniem Sądu pierwszej instancji również zarzut dotyczący wyłączenia wspomnianego wyżej obowiązku rejestracji zbiorów danych osobowych w odniesieniu do danych zgromadzonych przed wejściem w życie ustawy o ochronie danych osobowych, nie zasługuje na uwzględnienie. Ustawodawca określił w art. 61 ustawy o ochronie danych osobowych, obowiązek złożenia przez podmioty, do których stosuje się ustawę o ochronie danych osobowych, wniosków o zarejestrowanie tych zbiorów w trybie określonym w art. 41, w terminie 18 miesięcy od dnia jej wejścia w życie, chyba że ustawa zwalnia ich z tego obowiązku. Do tego czasu podmioty te mogą prowadzić zbiory bez rejestracji. Prezes Instytutu nie jest zatem zwolniony z obowiązku rejestracji zbiorów danych osobowych, których jest administratorem. Jest więc zobowiązany zrealizować obowiązek uregulowany w art. 61 ustawy o ochronie danych osobowych.

Nawiązując do zarzutu naruszenia wymogów przewidzianych w Kodeksie postępowania administracyjnego dla rozstrzygnięć administracyjnych ze względu na nieprecyzyjność nakazów zawartych w zaskarżonej decyzji Sąd pierwszej instancji uznał, iż organ zachował wymogi formalne decyzji administracyjnej. W szczególności nakazy zawarte w tej decyzji należy uznać za sformułowane w sposób jasny i precyzyjny, zaś ich uzasadnienie za spełniające wymogi określone w art. 107 § 3 k.p.a.

Wobec stwierdzenia naruszenia przez Generalnego Inspektora Ochrony Danych Osobowych prawa procesowego w stopniu mogącym mieć wpływ na wynik sprawy Wojewódzki Sąd Administracyjny w Warszawie na podstawie art. 145 § 1 pkt 1 lit. c/ ustawy z dnia 30 sierpnia 2002 roku – Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. Nr 153, poz. 1270 ze zm., zwanej dalej w skrócie "P.p.s.a.") uchylił obie wydane w sprawie decyzje.

Skargę kasacyjną od powyższego wyroku do Naczelnego Sądu Administracyjnego wniósł Prezes Instytutu Pamięci Narodowej i zaskarżając go w całości zarzucił:

1) naruszenie przepisów prawa materialnego art. 174 pkt 1 P.p.s.a. przez:

a) błędne zastosowanie art. 6 ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.) do pomocy ewidencyjnych Instytutu Pamięci Narodowej, polegające na uznaniu, że pomoce ewidencyjne zawierają dane osobowe,

b) błędną wykładnię art. 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz art. 9 ust. 2 ustawy z dnia 18 grudnia 1998 r. o Instytucie Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu (Dz.U. Nr 155, poz. 1016, ze zm.), zwanej dalej "ustawą o IPN" poprzez przyjęcie, że:

– do pomocy ewidencyjnych znajdujących się w czytelni akt jawnych mają zastosowanie przepisy ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych;

– przy wykonywaniu zadań i kompetencji wynikających z ustawy Prezes Instytutu Pamięci Narodowej podlega kontroli Generalnego Inspektora Ochrony Danych Osobowych;

c) błędną wykładnię art. 36 ustawy z dnia 18 grudnia 1998 r. o Instytucie Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu przez przyjęcie, że Generalny Inspektor Ochrony Danych Osobowych mógł zakazać udostępniania pomocy ewidencyjnych w zakresie wynikającym z tego przepisu;

2) procesowego (art. 174 pkt 2 P.p.s.a):

a) art. 3 § 1 i 2 P.p.s.a. w zw. z art. 1 ustawy z dnia 25 lipca 2002r. – Prawo o ustroju sądów administracyjnych (Dz.U. Nr 153, poz. 1269) poprzez niedokonanie kontroli pod względem zgodności z prawem decyzji Generalnego Inspektora Ochrony Danych Osobowych w kontekście zarzutów podniesionych w skardze z dnia 28 września 2005 r., wskazujących na nieważność zaskarżonej decyzji oraz utrzymanej nią w mocy decyzji z dnia [...], które to uchybienie miało wpływ na treść zaskarżonego wyroku albowiem doszło do uchylenia decyzji a nie stwierdzenia ich nieważności,

b) art. 141 § 4 P.p.s.a. poprzez brak ustosunkowania się w uzasadnieniu zaskarżonego wyroku do zarzutów podniesionych w skardze z dnia 28 września 2005 r., co mogło mieć wpływ na wynik sprawy albowiem:

– wskazuje na brak dokonania przez Sąd należytej kontroli zaskarżonej decyzji;

– skarżący został pozbawiony w ten sposób informacji o przesłankach rozstrzygnięcia co uniemożliwia mu poddanie w sposób prawidłowy kontroli Naczelnego Sądu Administracyjnego zaskarżonego wyroku,

c) art. 145 § 1 lit. c/ P.p.s.a. poprzez błędne zastosowanie tego przepisu, co miało wpływ na wynik sprawy, albowiem Sąd uchylił decyzje Generalnego Inspektora Ochrony Danych Osobowych zamiast stwierdzić ich nieważność wobec wydania ich z rażącym naruszeniem prawa oraz naruszeniem przepisów o właściwości,

d) art. 145 § 1 pkt 2 P.p.s.a poprzez jego niezastosowanie w sytuacji, gdy decyzje objęte kontrolą Sądu są dotknięte wadą opisaną w art. 156 § 1 pkt 1 i 2 Kodeksu postępowania administracyjnego, co miało wpływ na wynik postępowania, gdyż skutkiem wystąpienia tych wad powinno być stwierdzenie nieważności decyzji.

Wskazując na powyższe naruszenia prawa Prezes IPN wniósł o uchylenie zaskarżonego wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie i przekazanie sprawy do ponownego rozpoznania oraz zasądzenie kosztów postępowania według norm przepisanych.

W uzasadnieniu skargi kasacyjnej podniesiono, że zawarte w "pomocach ewidencyjnych", opracowanych w Instytucie Pamięci Narodowej w celu usprawnienia przeszukiwania zasobu archiwalnego Instytutu, imiona i nazwiska bliżej niezidentyfikowanych osób nie mogą być uznane za dane osobowe w znaczeniu jakie temu pojęciu nadaje art. 6 ustawy o ochronie danych osobowych. Zidentyfikowanie, tj. ustalenie tożsamości konkretnej osoby, jest bowiem możliwe dopiero po uzyskaniu materiałów źródłowych. W literaturze przedmiotu przyjęto, że za dane osobowe art. 6 pozwala uznawać tylko te informacje, które "umożliwiają ustalenie tożsamości osoby fizycznej", a więc takie jak np. imię i nazwisko, w połączeniu z dodatkowymi wskazówkami (data i miejsce urodzenia czy cechy zewnętrzne), numer PESEL, struktura DNA (J. Barta, R. Markiewicz, Ochrona danych osobowych. Komentarz, Zakamycze 2001).

Uzasadniając zarzut błędnej wykładni art. 3 ustawy o ochronie danych osobowych oraz art. 9 ust. 2 ustawy o IPN, autor skargi kasacyjnej podkreślił, że zasady ochrony danych osobowych osób pokrzywdzonych zostały szczegółowo określone w ustawie o IPN, a nie w ustawie o ochronie danych osobowych. Analiza art. 1 pkt 1 ustawy o IPN prowadzi do wniosku, że ustawa ta reguluje zasady ewidencjonowania, gromadzenia, udostępniania, zarządzania i korzystania z danych osobowych, pod warunkiem, iż dane te znajdują się w dokumentach organów bezpieczeństwa państwa, wytworzonych oraz gromadzonych od dnia 22 lipca 1944 r. do dnia 31 grudnia 1989 r., i o ile będą wykorzystywane do wykonywania zadań określonych w art. 1 ustawy o IPN. Takie stanowisko znajduje potwierdzenie także w rozdziale 3 i 4 tej ustawy, które określają w jakim celu, zakresie i na jakich warunkach będą przetwarzane dane osobowe osób pokrzywdzonych, funkcjonariuszy, pracowników i współpracowników organów bezpieczeństwa państwa. Zatem w zakresie, w jakim przedmiotem regulacji ustawy jest problematyka ochrony danych osobowych, na gruncie systemu prawa polskiego przepisy ustawy o IPN mają charakter regulacji ustawowej szczególnej (lex specialis) względem ogólnych zasad prawnych dotyczących problematyki ochrony danych osobowych, które określone zostały przepisami ustawy o ochronie danych osobowych (lex generalis). Oznacza to, że każdy z organów (Prezes Instytutu Pamięci Narodowej oraz Generalny Inspektor Ochrony Danych Osobowych) może podejmować działania wyłącznie w zakresie przyznanych mu kompetencji, nie wkraczając w zakres kompetencji ustawowych drugiego organu. Tym samym, wkraczanie Generalnego Inspektora Ochrony Danych Osobowych w obszar władztwa Prezesa IPN musi być uznane za działanie z naruszeniem właściwości rzeczowej. W konsekwencji prowadzi to do wniosku, że decyzje Generalnego Inspektora Ochrony Danych Osobowych zostały wydane z naruszeniem przepisów o właściwości i są zatem nieważne.

Z kolei wskazując zarzut naruszenia art. 36 ustawy o IPN w zw. z art. 6 ustawy o ochronie danych osobowych autor skargi kasacyjnej stwierdził, że skoro to Prezes IPN wyraża zgodę na wykorzystanie dokumentów, to tym bardziej do Prezesa Instytutu należy określenie sposobu udostępnienia danych o znajdujących się w zasobach Instytutu dokumentach (skoro ktoś może czynić więcej to tym bardziej może czynić mniej). Stąd za nieuprawnione należy uznać stanowisko Sądu pierwszej instancji, że Generalny Inspektor Ochrony Danych Osobowych mógł ograniczyć udostępnienie danych zawartych w pomocach ewidencyjnych. W ten sposób wkroczył on w obszar związany z wykonywaniem przepisów ustawy o IPN, w szczególności zaś wykonywaniem art. 36 pkt 5. W świetle art. 9 ust. 1 i 2 ustawy o IPN żaden inny organ władzy państwowej nie może wydać Prezesowi IPN wskazówek i poleceń. Ponadto, w ocenie skarżącego do pomocy ewidencyjnych nie ma zastosowania art. 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

Zarzut naruszenia przez Sąd pierwszej instancji przepisów postępowania, tj. art. 3 § 1 i 2 P.p.s.a w związku z art. 1 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych, art. 145 § 1 lit. c/ P.p.s.a, art. 145 § 1 pkt 2 P.p.s.a. uzasadniono tym, że Sąd pierwszej instancji nie dokonał kontroli decyzji ostatecznej pod względem zgodności z prawem w kontekście zarzutów wskazujących na jej nieważność. W ocenie autora skargi kasacyjnej naruszenie art. 141 § 4 P.p.s.a. polegało na nieustosunkowaniu się do wszystkich podniesionych w skardze zarzutów.

Generalny Inspektor Ochrony Danych Osobowych w odpowiedzi na skargę kasacyjną wniósł o jej oddalenie.

Wskazał, że wbrew twierdzeniom strony skarżącej pomoce ewidencyjne opracowane w celu przeszukiwania zasobu archiwalnego IPN zawierają nie tylko imiona i nazwiska, ale także sygnaturę archiwalną nadaną przez pracowników, a część z nich o nazwach "Wyroki sądowe i akta dyscyp.xls", "CAWcałośćSpisów.xls", "Kartoteka OCK.Xls" zawiera także inne dane, np. datę urodzenia, imię ojca, sygnatury spraw i na podstawie tych danych istnieje możliwość identyfikacji konkretnej osoby. Spełnione są tym samym przesłanki do tego, aby dane przetwarzane w ramach pomocy ewidencyjnych uznać za dane osobowe w rozumieniu art. 6 ust. 1 ustawy o ochronie danych osobowych.

Ustosunkowując się do twierdzenie skarżącego, że ustawa o IPN w zakresie ochrony danych osobowych zawiera odrębne uregulowania od określonych w ustawie o ochronie danych osobowych wskazał, że zasady rozstrzygania zbiegu norm dotyczących przetwarzania danych osobowych zostały zawarte w art. 5 ustawy o ochronie danych osobowych. Przepis ten stanowi, iż w przypadku, gdy przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych osobowych przewidują dalej idącą ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw. Przepisy ustawy o IPN nie regulują jednak w sposób kompleksowy przetwarzania danych osobowych przez Prezesa IPN, brak jest w nich m.in. postanowień dotyczących środków technicznych i organizacyjnych, które mają zapewnić ochronę przetwarzanym danym osobowym, dokumentacji opisującej sposób przetwarzania danych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Ponadto, zdaniem Generalnego Inspektora Ochrony Danych Osobowych bezzasadny jest zarzut błędnej wykładni art. 36 pkt 5 ustawy o IPN, gdyż udostępnianie pomocy ewidencyjnych osobie prowadzącej badania naukowe powinno następować na takich samych zasadach, jak dokumentów zawierających dane o pokrzywdzonych lub o osobach trzecich, tzn. po wydaniu przez Prezesa IPN zgody na ich udostępnienie.

Naczelny Sąd Administracyjny zważył, co następuje:

Skarga kasacyjna nie zasługuje na uwzględnienie.

W świetle art. 183 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. Nr 153, poz. 1270 ze zm.), zwanej dalej P.p.s.a., Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej. Z powyższego wynika, że Naczelny Sąd Administracyjny jest związany zawartymi w niej podstawami i wnioskami. Związanie wnioskami skargi kasacyjnej oznacza niemożność wyjścia poza tę część wyroku sądu pierwszej instancji, której strona nie zaskarżyła. Związanie natomiast podstawami skargi kasacyjnej polega na tym, że Naczelny Sąd Administracyjny jest władny badać naruszenie jedynie tych przepisów, które zostały wyraźnie wskazane przez stronę skarżącą. Nie jest dopuszczalna wykładnia zakresu zaskarżenia i jego kierunków oraz konkretyzowanie zarzutów skargi kasacyjnej, ani ich uściślanie. Zgodnie z art. 174 P.p.s.a. podstawą skargi kasacyjnej może być naruszenie prawa materialnego przez błędną jego wykładnię lub niewłaściwe zastosowanie lub naruszenie przepisów postępowania, jeżeli uchybienie to mogło mieć istotny wpływ na wynik sprawy.

W świetle art. 176 P.p.s.a. podstawy skargi kasacyjnej powinny zostać uzasadnione. Ze względu na związanie Naczelnego Sądu Administracyjnego granicami skargi nie wystarczy jednak odwołać się do ogólnikowego stwierdzenia naruszenia przepisów postępowania lub prawa materialnego, czy też ewentualnie poprzeć to przywołaniem przepisu art. 174 P.p.s.a., ale konieczne jest wskazanie konkretnego przepisu prawa oznaczonego numerem i ewentualnie jego jednostki redakcyjnej (artykułu, paragrafu, ustępu), który został naruszony oraz na czym to naruszenie polegało.

W rozpoznawanej sprawie pełnomocnik powołał się na obydwie podstawy kasacyjne wymienione w przepisie art. 174 P.p.s.a.

Wobec przedstawienia przez autora skargi kasacyjnej zarówno zarzutu naruszenia przepisów prawa materialnego, jak i naruszenia przepisów postępowania, w pierwszej kolejności rozpoznaniu podlega drugi z zarzutów. Dopiero bowiem po przesądzeniu, że stan faktyczny przyjęty przez sąd w zaskarżonym wyroku jest prawidłowy, albo że nie został skutecznie podważony, można przejść do skontrolowania procesu subsumcji danego stanu faktycznego pod zastosowany przez sąd pierwszej instancji przepis prawa materialnego.

Przechodząc do oceny zarzutu naruszenia przepisów postępowania na wstępie należy wskazać, iż stosownie do art. 174 pkt 2 P.p.s.a. zarzut ten może zostać uwzględniony jedynie wtedy, gdy uchybienie sądu mogło mieć istotny wpływ na wynik sprawy. Użycie przez ustawodawcę słowa "wpływ" oznacza, że pomiędzy uchybieniem procesowym a wydanym w sprawie orzeczeniem podlegającym zaskarżeniu powinien zachodzić związek przyczynowy. Związek ten nie musi być realny, wystarczy, że zaistniała hipotetycznie możliwość odmiennego wyniku sprawy.

W rozpoznawanej sprawie skarżący podnosząc zarzut naruszenia przepisów postępowania wskazał art. 3 § 1 i 2 P.p.s.a. w związku z art. 1 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych. Uzasadniając go stwierdził, że Sąd pierwszej instancji nie dokonał kontroli zaskarżonej decyzji pod względem zgodności z prawem w kontekście zarzutów podniesionych w skardze, które wskazywały na jej nieważność, gdyż jedynie uchylił obie decyzje, a nie stwierdził ich nieważności.

Pierwszy z powołanych przepisów art. 3 § 1 P.p.s.a. nie zawiera samodzielnej treści normatywnej ponad to, co wynika z art. 1 P.p.s.a. i art. 1 § 1 ustawy – Prawo o ustroju sądów administracyjnych. W takim zakresie przepis ten należy zaliczyć do przepisów, które regulują prawo do sądu. Kryteria kontroli wykonywanej przez sąd administracyjny określa art. 1 § 2 ostatnio powołanej ustawy. Należy mieć bowiem na uwadze to, że przedmiotem postępowania sądowoadministracyjnego jest ocena z punktu widzenia zgodności z prawem procesu zastosowania norm prawa materialnego w określonej sytuacji faktycznej. Zadaniem Sądu jest ocena, czy zebrany w postępowaniu administracyjnym materiał dowodowy jest pełny, czy materiał dowodowy został w postępowaniu administracyjnym zebrany prawidłowo oraz czy jest on wystarczający do wymaganego przez prawo ustalenia podstawy faktycznej decyzji. W tak określonym zakresie kontrola działalności administracji publicznej następuje przy zastosowaniu środków określonych w ustawie – Prawo o postępowaniu przed sadami administracyjnymi. Stanowi o tym powołany w skardze kasacyjnej przepis art. 3 § 1 P.p.s.a. Przepis ten nie mógł jednak stanowić samodzielnej podstawy skargi kasacyjnej. Taką podstawę mogły stanowić jedynie przepisy ustawy – Prawo o postępowaniu przed sądami administracyjnymi zastosowane przez Sąd pierwszej instancji, stanowiące podstawę wydania zaskarżonego wyroku, bądź też przepisy, których Sąd ten nie zastosował, pomimo tego, iż wytknięte uchybienia były na tyle istotne, że uzasadniały wyeliminowanie zaskarżonej decyzji z obrotu prawnego.

Z kolei zarzut naruszenia art. 3 § 2 P.p.s.a. został sformułowany w sposób nieprecyzyjny, a tym samym niepozwalający na ustalenie, jaki konkretnie przepis został naruszony. Zauważyć należy, że § 2 art. 3 P.p.s.a. zbudowany jest z 8 punktów. Autor skargi kasacyjnej odwołał się ogólnie do art. 3 § 2 nie wskazując konkretnej numeracji punktu przepisu, którego naruszenia dopatrywał się przy wydaniu przez Sąd pierwszej instancji zaskarżonego wyroku. Postanowienia art. 3 P.p.s.a. wyznaczają zakres przedmiotowy postępowania sądowoadministracyjnego. W rozpoznawanej sprawie przedmiotem sporu nie była dopuszczalność zaskarżenia decyzji Generalnego Inspektora Ochrony Danych Osobowych w drodze skargi skierowanej do właściwego sądu administracyjnego (art. 3 § 1 i § 2 pkt 1 P.p.s.a.).

Według przedstawionych kryteriów rozpoznaniu jako prawidłowo sformułowane, podlegały zarzuty naruszenia przepisów art. 141 § 4 i art. 145 § 1 pkt 1 lit. c/ oraz art. 145 § 1 pkt 2 P.p.s.a. w związku z art. 156 § 1 pkt 1 i 2 k.p.a.

W pierwszej kolejności rozpoznaniu podlegał najdalej idący zarzut pominięcia przez Sąd pierwszej instancji wad zaskarżonej decyzji uzasadniających stwierdzenie jej nieważności (art. 145 § 1 pkt 2 P.p.s.a.). Zdaniem skarżącego Sąd pierwszej instancji nie dostrzegł wad decyzji polegających na ich wydaniu z naruszeniem przepisów o właściwości, zaś naruszenie art. 70 k.p.a. poprzez niedoręczenie załączników do protokołu kontroli stanowiło rażące naruszenie prawa. Wady te powinny skutkować stwierdzeniem przez Sąd pierwszej instancji nieważności wydanych w sprawie decyzji nie zaś tylko ich uchyleniem. Dla oceny, czy istotnie, wydanie zaskarżonej decyzji nastąpiło z naruszeniem przepisów o właściwości rzeczowej organu, konieczne jest odwołanie się do mających w sprawie zastosowanie przepisów prawa materialnego.

Zgodnie z art. 9 ust. 2 ustawy o Instytucie Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu Prezes Instytutu Pamięci w sprawowaniu swego urzędu jest niezależny od organów administracji państwowej. Sąd pierwszej instancji trafnie stwierdził, że analiza tego przepisu prowadzi do wniosku, iż niezależność ta odnosi się do działalności merytorycznej w sprawach określonych w tej ustawie. Natomiast przepis ten nie stanowi podstawy do uznania, że Prezes Instytutu jest wyłączony spod kontroli uprawnionych organów w zakresie w jakim wyznaczają to przepisy prawa. W przeciwnym razie bowiem należałoby przyjąć, że pozostaje on nie tylko poza kontrolą Generalnego Inspektora Ochrony Danych Osobowych w zakresie przetwarzania danych, ale także innych podmiotów umocowanych ustawowo do kontroli organów państwowych w danym zakresie. Tymczasem za słusznością przedstawionego wyżej poglądu Sądu pierwszej instancji przemawia m.in. fakt, że Prezes IPN podlega np. kontroli Najwyższej Izby Kontroli w zakresie wykonania budżetu państwa oraz realizacji ustaw i innych aktów prawnych dotyczących działalności finansowej, gospodarczej i organizacyjno-administracyjnej.

W świetle art. 3 ust. 1 i ust. 2 ustawy o ochronie danych osobowych Prezes Instytutu mieści się w kręgu podmiotów, do których stosuje się przepisy tej ustawy. Oznacza to, iż jest on zobowiązany do przestrzegania jej przepisów, z wyjątkiem przypadków, w których ustawodawca wyraźnie wyłącza jej zastosowanie np. art. 71 ustawy o IPN. Jednocześnie żaden z przepisów tej ustawy nie wyłącza Prezesa IPN jako administratora danych osobowych z obowiązku jej stosowania. Zatem wyrażona w art. 9 ust. 2 ustawy o Instytucie Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu zasada niezależności nie zwalnia Prezesa IPN od wykonywania obowiązków wynikających z ustawy o ochronie danych osobowych. Z akt sprawy wynika, że kontrola inspektorów Generalnego Inspektora Danych Osobowych dotyczyła realizacji przez Prezesa Instytutu obowiązków określonych w ustawie o ochronie danych osobowych związanych z zabezpieczeniem zbiorów danych osobowych i zgłoszenia ich do rejestracji.

Oznacza to, że Generalny Inspektor Danych Osobowych był organem uprawnionym (właściwym) do wydania decyzji w przedmiotowej sprawie. Zatem zarzut autora skargi kasacyjnej, iż decyzja została wydana przez organ niewłaściwy co winno skutkować stwierdzeniem jej nieważności jest niezasadny.

Podobnie ocenić należy zarzut skarżącego, iż niedołączenie do protokołu kontroli załączników powinno być przez Sąd pierwszej instancji uznane za rażące naruszenie prawa procesowego i skutkować stwierdzeniem nieważności decyzji. Przypomnieć należy, iż Sąd pierwszej instancji stwierdził, że to uchybienie nie stanowiło rażącego naruszenia prawa lecz mogło mieć istotny wpływ na wynik sprawy (art. 145 § 1 pkt 1 lit. c/ P.p.s.a.). Przyjęcie takiej oceny należało uznać za usprawiedliwiające pominięcie dalej idących wniosków nakazujących stwierdzenie nieważności wydanych w sprawie decyzji (art. 145 § 1 pkt 2 P.p.s.a.). Uznając tę ocenę za trafną i w pełni usprawiedliwioną w okolicznościach rozpoznawanej sprawy należało, odwołując się do treści przepisu art. 145 § 1 pkt 2 P.p.s.a. wyjaśnić, iż sąd administracyjny stwierdza nieważność decyzji lub postanowienia w całości lub w części, jeżeli ustali zaistnienie wady powodującej jej nieważność, nie badając wpływu tej wady na treść zaskarżonej decyzji lub postanowienia. Podstawę do wydania orzeczenia stwierdzającego nieważność zaskarżonej decyzji mogło stanowić m.in. stwierdzenie wydania jej z naruszeniem przepisów o właściwości i z rażącym naruszeniem prawa. Sąd pierwszej instancji trafnie przyjął, że decyzja została wydana przez organ właściwy w sprawie, zaś stwierdzone uchybienia nie były rażące, a ich rodzaj pozwalał na uznanie, że mogły mieć one istotny wpływ na wynik sprawy.

Za nietrafny uznać należy również kolejny z podniesionych zarzutów skargi kasacyjnej naruszenia przepisów postępowania (art. 145 § 1 pkt 1 lit. c/ P.p.s.a.). Zarzut ten został skierowany przeciwko ocenie Sądu pierwszej instancji uznającej, że stwierdzone uchybienia uzasadniają uchylenie wydanych w sprawie decyzji, a nie stwierdzenie ich nieważności. W tym zakresie Naczelny Sąd Administracyjny w pełni podziela stanowisko, że postępowanie administracyjne nie było dotknięte wadami skutkującymi stwierdzeniem nieważności wydanych w sprawie decyzji.

Nie jest uzasadniony także zarzut skargi kasacyjnej naruszenia przepisu art. 141 § 4 P.p.s.a. Zdaniem autora skargi kasacyjnej uchybienie temu przepisowi polegało na tym, że Sąd pierwszej instancji nie odniósł się do wszystkich podniesionych przez skarżącego w skardze zarzutów. W uzasadnieniu skargi kasacyjnej zarzutów tych jednak nie wskazał. Analizując pisemne motywy zaskarżonego wyroku Naczelny Sąd Administracyjny uznał, że spełnia ono wszystkie wymogi określone w art. 141 § 4 P.p.s.a. Wbrew twierdzeniom skarżącego Sąd pierwszej instancji ustosunkował się do twierdzeń i zarzutów skarżącego. Okoliczność, że stanowisko zajęte przez Wojewódzki Sąd Administracyjny w Warszawie w uzasadnieniu zaskarżonego wyroku jest odmienne od prezentowanego przez skarżącego nie oznacza, że takie uzasadnienie nie odpowiada wymogom formalnym.

Przechodząc do oceny zarzutów dotyczących naruszenia prawa materialnego art. 174 pkt 1 P.p.s.a. wskazać należy, iż zarzut naruszenia przez Sąd pierwszej instancji art. 3 ustawy o ochronie danych osobowych przez błędną jego wykładnię nie spełnia warunków, jakim powinna odpowiadać podstawa skargi kasacyjnej. Skarżący nie wskazał bowiem jednostki redakcyjnej tego przepisu, który składa się z czterech ustępów. Przypomnieć należy, że skarga kasacyjna powinna być tak zredagowana, aby nie stwarzała wątpliwości interpretacyjnych. Naczelny Sąd Administracyjny z uwagi na to, że jest związany granicami skargi kasacyjnej nie jest uprawniony do samodzielnego konkretyzowania zarzutów lub też stawiania hipotez co do tego, jakiego przepisu dotyczy podstawa skargi kasacyjnej (por. wyrok NSA z dnia 26 czerwca 2004 r. sygn. akt OSK 421/04, Lex nr 146732).

Odnosząc się do kolejnego zarzutu zawartego w skardze kasacyjnej dotyczącego naruszenia art. 9 ust. 2 ustawy o Instytucie Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu wskazać należy, że nie można się zgodzić z wykładnią tego przepisu przedstawioną przez skarżącego w uzasadnieniu skargi kasacyjnej. W tej mierze Naczelny Sąd Administracyjny podtrzymuje argumenty podane przy omawianiu zarzutu naruszenia prawa procesowego art. 145 § 1 pkt 2 P.p.s.a.

Do uwzględnienia skargi kasacyjnej nie może doprowadzić również zarzut naruszenia art. 6 ust. 1–3 ustawy o ochronie danych osobowych przez jego błędne zastosowanie. Zdaniem autora skargi kasacyjnej w przedmiotowej sprawie doszło do niewłaściwego zastosowania tego przepisu przez stwierdzenie, że pomoce ewidencyjne zawierają dane osobowe w znaczeniu jakie nadaje temu pojęciu art. 6 cyt. ustawy.

Stosownie do powołanego przepisu za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (art. 1). Osobą możliwą do zidentyfikowania jest natomiast osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (ust. 2). Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (ust. 3).

Zdaniem Naczelnego Sądu Administracyjnego osobę fizyczna uważa się za zidentyfikowaną, jeżeli w grupie można ją odróżnić od wszystkich pozostałych jej członków. Identyfikacji dokonuje się zazwyczaj za pomocą informacji (czynników identyfikacyjnych), które w sposób szczególny wiążą się z daną osobą. Najczęściej używanym czynnikiem identyfikującym jest nazwisko osoby i w praktyce pojęcie "osoby zidentyfikowanej" oznacza zazwyczaj odniesienie do nazwiska tej osoby. Oczywiście bardzo pospolite nazwisko nie pozwala na zidentyfikowanie, wyodrębnienie kogoś spośród dużej grupy osób, np. ludności kraju i aby upewnić się co do tożsamości danej osoby należy je uzupełnić o dodatkowe dane. Wówczas mamy do czynienia z pośrednim określeniem tożsamości. Jednakże w przypadku nazwisk rzadko spotykanych, dodatkowo w połączeniu z imionami, identyfikacja taka jest już możliwa. Zatem nawet dane w zakresie imienia i nazwiska mogą w niektórych przypadkach stanowić podstawę identyfikacji danej osoby, a tym samym stanowią dane osobowe.

Niezależnie od powyższego wskazać należy, iż z analizy akt sprawy wynika, że dane zawarte w pomocach ewidencyjnych prowadzonych przez IPN, w szczególności w pomocy ewidencyjnej o nazwie "akta osobowe" zawierały nie tylko imię i nazwisko, ale również sygnaturę IPN. W oparciu o tę sygnaturę istniała możliwość odnalezienia dokumentów na temat danej osoby, a tym samym ustalenia dodatkowych danych pozwalających na zidentyfikowanie tej osoby. Ponadto, część pomocy ewidencyjnych o nazwach "Wyroki sądowe i akta dyscyp.xls", "CAWcałośćSpisów.xls", "Kartoteka OCK.Xls" zawiera także inne dane, np. datę urodzenia, imię ojca, sygnatury spraw, które umożliwiają identyfikację konkretnej osoby. Dane zawarte w pomocach ewidencyjnych były więc punktem wyjścia do uzyskania informacji, które w połączeniu z imieniem i nazwiskiem pozwalały odróżnić konkretną osobę. Z tych względów Sąd pierwszej instancji prawidłowo podzielił stanowisko organu administracyjnego, iż te dane należy uważać za informacje dotyczące osób możliwych do zidentyfikowania, a więc dane osobowe w rozumieniu art. 6 ustawy o ochronie danych osobowych.

Bezzasadny jest również zarzut naruszenia prawa materialnego przez błędną wykładnię art. 36 pkt 5 ustawy o IPN. Przepis ten stanowi, że dokumenty zawierające dane o pokrzywdzonych lub osobach trzecich mogą być, w niezbędnym zakresie i w sposób nienaruszający praw tych osób, wykorzystywane przez organy władzy publicznej oraz przez inne instytucje i osoby w celu prowadzenia badań naukowych, o ile Prezes Instytutu Pamięci wyrazi na to zgodę.

Sąd pierwszej instancji prawidłowo uznał, iż zgoda Prezesa IPN jest wymagana nie tylko na wykorzystywanie ale również na udostępnienie danych osobowych zawartych w pomocach ewidencyjnych osobom prowadzącym badania naukowe. Trafnie wskazał, że samo udostępnienie dokumentów wiąże się z ich wykorzystywaniem przez zaczerpnięcie zawartej w nich wiedzy. Należy zgodzić się z poglądem autora skargi kasacyjnej, że określenie sposobu udostępniania ww. danych należy do Prezesa IPN. Jednakże zasady udostępniania tych danych muszą odpowiadać wymogom ustawy o ochronie danych osobowych co oznacza, iż Prezes IPN powinien zagwarantować, aby dane te nie były udostępniane osobom nieuprawnionym. Natomiast Generalny Inspektor Ochrony danych Osobowych jako organ uprawniony do kontroli zgodności przetwarzania danych osobowych z ustawą, w przypadku stwierdzenia uchybień w sposobie udostępniania poprzez narażenie ich na udostępnienie osobom nieuprawnionym, był uprawniony do wydania decyzji nakazującej usunięcie uchybień.

Z tych względów Naczelny Sąd Administracyjny uznał, iż skarga kasacyjna nie zasługuje na uwzględnienie i podlega oddaleniu na podstawie art. 184 ustawy – Prawo o postępowaniu przed sądami administracyjnymi.