Wyrok z dnia 2006-12-21 sygn. I OSK 1279/05

Drukuj dokument lub zaznaczenie Kopiuj zaznaczony tekst bez formatowania

Sentencja

Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Janina Antosiewicz (spr.) Sędziowie NSA Jolanta Rajewska Anna Łuczaj Protokolant Edyta Pawlak po rozpoznaniu w dniu 21 grudnia 2006r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Generalnego Inspektora Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 22 czerwca 2005 r. sygn. akt II SA/Wa 165/05 w sprawie ze skargi Prokuratora Rejonowego Warszawa - Mokotów na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 22 listopada 2004 r. nr GI-DEC-DIS-254/04/541 w przedmiocie ochrony danych osobowych 1. oddala skargę kasacyjną, 2. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz Prokuratora Rejonowego Warszawa - Mokotów kwotę 195 (słownie: sto dziewięćdziesiąt pięć) zł tytułem zwrotu kosztów postępowania kasacyjnego.

Uzasadnienie

Wojewódzki Sąd Administracyjny w Warszawie, wyrokiem z 22 czerwca 2005 r. sygn. akt II SA/Wa 165/05, uwzględniając częściowo skargę Prokuratora Rejonowego Warszawa-Mokotów na decyzję Generalnego Inspektora Ochrony Danych Osobowych z 22 listopada 2004r. nr GJ-DEC-DIS-254/04/541 w przedmiocie ochrony danych osobowych, uchylił zaskarżoną decyzję w części, która utrzymuje w mocy pkt I.1 poprzedzającej ją decyzji z 25 sierpnia 2004 r., zaś w pozostałym zakresie oddalił skargę.

Z uzasadnienia wyroku wynika, iż w toku kontroli w Prokuraturze Rejonowej Warszawa Mokotów, przeprowadzonej przez inspektorów Generalnego Inspektora Ochrony Danych Osobowych (zw. dalej w skrócie GIODO), ujawniono przetwarzanie danych osobowych w systemie informatycznym z zainstalowanym programem o nazwie "Zawieszeni", wykorzystywanym do prowadzenia rejestru zawieszonych postępowań karnych. W kontrolowanej jednostce nie został wyznaczony administrator bezpieczeństwa informacji; nie prowadzi się ewidencji osób upoważnionych do przetwarzania danych osobowych oraz nie opracowano instrukcji określającej sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych.

Decyzją z dnia 25 sierpnia 2004 r. GIODO nakazał Prokuratorowi Rejonowemu usunięcie uchybień w procesie przetwarzania danych osobowych przez:

1. sporządzenie ewidencji osób upoważnionych do przetwarzania danych osobowych, w terminie czternastu dni od dnia, kiedy decyzja stanie się ostateczna,

2. wyznaczenie administratora bezpieczeństwa informacji, odpowiedzialnego za bezpieczeństwo danych osobowych w systemie informatycznym ww. określonym terminie,

3. opracowanie instrukcji, określającej sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych w tym terminie.

W uzasadnieniu decyzji organ podał, że z art. 39 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) zwanej dalej uodo, wynika dla administratora danych obowiązek prowadzenia ewidencji osób upoważnionych do ich przetwarzania. Kontrola ustaliła, że Prokurator Rejonowy Warszawa-Mokotów nie prowadzi ewidencji osób upoważnionych do przetwarzania danych osobowych. Zarządzenie nr 5/03 z 13 października 2003 r. Prokuratora Rejonowego o zatwierdzeniu podziału czynności i zakresie obowiązków urzędników i innych pracowników Prokuratury, nie spełnia wymogów określonych w art. 39 ust. 1 ustawy, bowiem nie obejmuje wszystkich pracowników Prokuratury, upoważnionych do przetwarzania danych; nie zawiera też identyfikatorów osób przetwarzających dane w systemie informatycznym.

Ustawa nie wskazuje w jakiej formie powinna być prowadzona ewidencji osób upoważnionych do przetwarzania danych osobowych, ale określa niezbędne jej elementy. Brak tych elementów, a nie forma dokumentu uzasadnia zarzut niedopełnienia obowiązku określonego w art. 39 ust. 1. Organ nie podzielił poglądu kontrolowanej Prokuratury, że prokuratorzy nie musieli być uwzględnieni w ewidencji osób upoważnionych do przetwarzania danych, bowiem ustawa nie przewiduje wyjątków w tym zakresie. Powołał się nadto na konstytucyjną zasadę ochrony danych (art. 47 Konstytucji RP), z której wynika, iż ograniczenia mogą być ustanowione tylko w ustawie i tylko wtedy gdy są konieczne w demokratycznym państwie dla jego bezpieczeństwa, porządku publicznego, bądź ochrony środowiska, zdrowia i moralności publicznej, albo wolności i praw innych osób. Zgodnie z art. 51 ust. 1 i 2 Konstytucji RP, nikt nie może być obowiązany, inaczej niż na podstawie ustawy, do ujawnienia informacji dotyczących jego osoby. Żaden organ nie może pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. Zasady i tryb gromadzenia oraz udostępniania takich informacji określa ustawa o ochronie danych osobowych. Zakres podmiotowy stosowania tej ustawy określa art. 3 ust. 1 i ust. 2, zgodnie z którym ustawę stosuje się do organów państwowych, samorządu terytorialnego, do państwowych i komunalnych jednostek organizacyjnych oraz podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych oraz jednostek organizacyjnych, niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statusowych, które mają siedzibę, albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych, znajdujących się na terytorium Rzeczypospolitej Polskiej. Żaden z przepisów tej ustawy nie zwalnia organów ścigania z obowiązków jej stosowania, a jedynie przewiduje zwolnienie z obowiązku rejestracji administratorów danych, którzy prowadzą zbiory danych osobowych dla potrzeb postępowania sądowego. Okoliczność ta nie wyłącza jednak uprawnień GIODO w zakresie kontroli zgodności z przepisami powołanej ustawy o ochronie danych osobowych. Zbiory danych osobowych prowadzone przez Prokuratora Rejonowego Warszawa-Mokotów, nie podlegają wyłączeniu. Zdaniem organu, na Prokuratorze Rejonowym, jako administratorze danych, ciążą obowiązki przewidziane przepisami ustawy o ochronie danych osobowych, w szczególności prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych, wyznaczenie administratora bezpieczeństwa informacji oraz opracowanie instrukcji określającej sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych. W Prokuraturze Rejonowej Warszawa-Mokotów prowadzony jest zbiór danych osobowych, do których dostęp odbywa się za pośrednictwem uporządkowanych alfabetycznie sposób prowadzonych w formie skorowidzów, pozwalających na szybki i bezpośredni wgląd do danych osobowych w nich zawartych, a jednocześnie ułatwiających dostęp do danych osobowych zawartych w repertoriach oraz aktach postępowań, np. na podstawie sygnatury akt można ustalić nazwisko, adres, datę urodzenia, jak również można ustalić gdzie znajdują się akta sprawy. Zdaniem GIODO akta jednej sprawy nie są zbiorem danych, jednak akta wszystkich postępowań przygotowawczych są zbiorem danych osobowych w rozumieniu przepisu art. 7 ust. 1 u o d o.

Również postępowanie w odniesieniu do danych zamieszczonych w programie komputerowym "Zawieszeni" narusza prawo. Dane osobowe w tym systemie są przetwarzane przy wykorzystaniu procesów czysto informatycznych, czyli procesów, za pośrednictwem których przetwarzane są dane w postaci cyfrowej. Zakres danych osobowych przetwarzanych w tym systemie, obejmuje w szczególności: imię, nazwisko osoby poszukiwanej (podejrzanego, pokrzywdzonego, świadka), datę i miejsce urodzenia oraz adres zamieszkania. Zdaniem organu definicja systemu informatycznego zawarta w art. 7 pkt 2a uodo odnosi się do urządzeń zastosowanych do zainstalowania programu o nazwie "Zawieszeni", co obliguje Prokuratora Rejonowego, jako administratora danych do wyznaczenia administratora bezpieczeństwa informacji oraz opracowania instrukcji, określającej sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych.

Powyższą decyzję Generalny Inspektor utrzymał w mocy decyzją z dnia 22 listopada 2004 r., podzielając w uzasadnieniu przedstawione wyżej stanowisko.

W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie, Prokurator Rejonowy Warszawa-Mokotów wniósł o uchylenie zaskarżonej decyzji oraz utrzymanej nią w mocy decyzji z dnia 25 sierpnia 2004 r., jako wydanych z naruszeniem prawa materialnego, a w szczególności:

- art. 7 pkt 2a w związku z art. 36 uodo, polegające na błędnej wykładni definicji systemu informatycznego i przyjęciem, że w Prokuraturze Rejonowej Warszawa Mokotów taki system funkcjonował, co spowodowało nieuzasadnione wyznaczenie administratora bezpieczeństwa informacji,

- art. 7 pkt 2a w związku z § 3 ust. 1 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. (Dz. U. Nr 100, poz. 1024) w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), polegające na błędnej wykładni definicji systemu informatycznego i przyjęcie, że system taki funkcjonował w kontrolowanej Prokuraturze, co spowodowało nieuzasadnione nakazanie opracowania instrukcji, określającej sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych,

- art. 7 pkt 2a w związku z art. 37 w związku z art. 39 ust. 1 i 2 uodo poprzez ich błędną wykładnię, co doprowadziło do uznania, iż zarządzenie Prokuratora Rejonowego Warszawa-Mokotów z 13 października 2003 r. w sprawie zatwierdzenie podziału czynności z zakresu obowiązków urzędników i innych pracowników Prokuratury, nie stanowi wykonania obowiązku określonego w punkcie 1 decyzji z dnia 25 sierpnia 2004 r., w sytuacji gdy zarządzenie to wykazuje szerszy zakres informacji i obowiązków pracowników niż przewidziany w art. 39 ust. 1 i 2 powołanej ustawy,

- art. 7 pkt 2a w związku z art. 37 w związku z art. 5 uodo, polegające na uznaniu, iż dopuszczenie prokuratorów do przetwarzania danych uzależnione jest od posiadania upoważnienia nadanego przez administratora danych, wbrew treści art. 5 tej ustawy, który wyłącza stosowanie w tym zakresie przepisów ustawy o ochronie danych osobowych w stosunku do prokuratorów, mających dostęp do wszelkich danych wytworzonych w trakcie postępowania przygotowawczego na mocy innych ustaw.

W uzasadnieniu skargi Prokurator Rejonowy podniósł, że w wydanym zarządzeniu z dnia 13 października 2003 r. w sprawie zatwierdzenia podmiotu czynności i zakresu obowiązków urzędników i innych pracowników Prokuratury, wskazano szersze zakres informacji i obowiązków niż to przewiduje ewidencja osób upoważnionych do przetwarzania danych osobowych, o których mowa w art. 39 ust. 1 ustawy. Ustawa o ochronie danych osobowych nie określa formy ewidencjonowania osób upoważnionych do przetwarzania danych osobowych. Zarządzenie to stanowi wymaganą przepisami, regulującymi zasady funkcjonowania powszechnych jednostek organizacyjnych prokuratury, formę określania zasad organizacji pracy i obowiązków poszczególnych urzędników i innych pracowników. Zaznaczył również, że prokuratorzy posiadają z mocy prawa upoważnienie do przetwarzania danych osobowych.

Skarżący podniósł także, że przepisy Kodeksu postępowania karnego i innych ustaw oraz aktów prawnych, np. ustawa z dnia 25 czerwca 1997 r. o świadku koronnym (Dz. U. Nr 114, poz. 738 z późn. zm.), ustawa z dnia 22 stycznia 1999 r., o ochronie informacji niejawnych (Dz. U. Nr 11, poz. 95 z późn. zm.), określają szczególny obowiązek ochrony danych osobowych gromadzonych w postępowaniu karnym. W postępowaniu karnym w zakresie regulowanym przez kpk, obowiązują także inne akty prawne, tworzące szczególny system ochrony wszelkich danych. Celem prowadzenia postępowań karnych nie jest wyłącznie gromadzenie i przetwarzanie danych osobowych, ale wykrywanie i ściganie przestępstw. System prowadzenia postępowań karnych ustawowo podlega też różnym formom kontroli i nadzoru przez organy wymiaru sprawiedliwości – szczegółowo określonym i wymienionym w tym zakresie. Tym samym należy przyjąć, że przetwarzanie i ochrona danych osobowych w działalności podmiotu podlega przepisom przewidującym dalej idącą ich ochronę, niż przewidziano w przepisach ustawy.

Zdaniem skarżącego, akta postępowań karnych nie tworzą zbioru danych osobowych. Przyjęcie takiej koncepcji wiązałoby się z uznaniem, że Generalnemu Inspektorowi przysługują uprawnienia kontrolne określone w art. 12 pkt 2, art. 14 pkt 1, 3 i 5 oraz art. 15 do 18 uodo, co wiązałoby się z kontrolą śledztw i dochodzeń przez organ niepowołany do wykrywania i ścigania przestępstw.

Skarżący podniósł, że w Prokuraturze Rejonowej Warszawa-Mokotów nie jest użytkowany system informatyczny i w związku z tym nie ma konieczności wyznaczania administratora bezpieczeństwa informacji oraz opracowania instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. W prokuraturze użytkowany jest jedynie komputer, na którym zainstalowano typowe narzędzie biurowe – program o nazwie "Zawieszeni" – a nie specjalistyczne oprogramowanie. To urządzenie biurowe jest wykorzystywane do prowadzenia wykazu postępowań karnych, w których postępowanie zawieszono. Prowadzenie tego wykazu podlega przepisom Kodeksu postępowania karnego i innych aktów prawnych, które szczegółowo określają zasady ochrony danych osobowych, co najmniej takie, jak określają przepisy ustawy o ochronie danych osobowych.

W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych, powołując się na dotychczasowe ustalenia faktyczne i prawne, wniósł o jej oddalenie.

Rozpoznając skargę Wojewódzki Sąd Administracyjny uznał, iż Generalny Inspektor Ochrony Danych Osobowych dopuścił się naruszenia przepisów prawa materialnego w stopniu, w jakim mogło to mieć wpływ na wynik sprawy.

Nakazując Prokuratorowi Rejonowemu sporządzenie ewidencji osób upoważnionych do przetwarzania danych osobowych, organ nieprecyzyjnie określił zakres tego obowiązku.

Zdaniem Sądu nie można ustalić, czy nakaz ten dotyczy całego zbioru informatycznego, czy także zbiorów informacji prowadzonych tradycyjnie – repertoria, skorowidze. Ma to istotne znaczenie dla wyniku sprawy, bowiem gdyby przyjąć oświadczenie pełnomocnika organu, że nakaz ten dotyczy pełnego zbioru informatycznego, to byłoby to nieuzasadnione i bezprzedmiotowe do zbiorów prowadzonych tradycyjnie (repertoria, skorowidze), gdyż w postępowaniu karnym, w zakresie regulowanym przez Kodeks postępowania karnego, obowiązują także inne akty prawne tworzące łącznie szczególny system ochrony wszelkich danych. System prowadzenia postępowań karnych ustawowo podlega też różnym formom kontroli i nadzoru przez organy wymiary sprawiedliwości – szczegółowo określonym i upoważnionym w tym zakresie. Tym samym należy przyjąć, że przetwarzanie i ochrona danych osobowych w działalności prokuratur podlega bardziej restrykcyjnym zasadom, niż przyjęta w ustawie o ochronie danych osobowych. Nakaz ten więc może dotyczyć tylko systemu informatycznego.

Ze względu na treść art. 5 ustawy o ochronie danych osobowych nie do przyjęcia jest pogląd, że konieczne jest specjalne upoważnienie dla prokuratora do wglądu do akt prowadzonego postępowania karnego, rejestrów i innych urządzeń ewidencyjnych tworzonych dla potrzeb prowadzonych postępowań karnych, skoro dostęp do danych w ramach prowadzonych postępowań karnych przysługuje prokuratorom z mocy prawa w odniesieniu do wszystkich zbiorów danych, także chronionych. Prokuratorzy i sędziowie mają bowiem z mocy prawa - bez konieczności uzyskiwania specjalnych uprawnień - dostęp do danych szczególnie chronionych – przykładowo informacji niejawnych, które objęte są ochroną niewspółmiernie wysoką w porównaniu z danymi osobowymi.

Mając powyższe na względzie, Sąd na podstawie art. 145 § 1 pkt 1 lit. a w związku z art. 132 oraz art. 152 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 z późn. zm.) orzekł jak w punktach 1 i 3 sentencji.

Oddalając skargę w pozostałym zakresie, Sąd podzielił słuszność stanowiska Generalnego Inspektora Ochrony Danych Osobowych, że zainstalowany w Prokuraturze Rejonowej Program o nazwie "Zawieszeni" jest systemem informatycznym w rozumieniu art. 7 pkt 2a uodo. Jeśli więc w Prokuraturze były przetwarzane dane osobowe, to zgodnie z art. 36-39 powołanej ustawy, obligowało to skarżącego do wyznaczenia administratora bezpieczeństwa informacji oraz opracowania instrukcji określającej sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych.

Skargę kasacyjną od powyższego wyroku wniósł Generalny Inspektor Danych Osobowych, prawidłowo reprezentowany i zaskarżając wyrok w zakresie w jakim uchyla decyzję GIODO z 22 listopada 2004 r. utrzymującą w mocy pkt I.1. decyzji poprzedzającej z 25 sierpnia 2004 r. zarzucił naruszenie prawa materialnego – art. 39 ust. 1 ustawy o ochronie danych osobowych przez błędną jego wykładnię polegającą na przyjęciu, że ewidencja osób upoważnionych do przetwarzania danych obejmuje jedynie osoby upoważnione do przetwarzania danych w systemie informatycznym z wyłączeniem osób upoważnionych do przetwarzania danych osobowych na podstawie przepisów prawa, które mają dostęp do danych przetwarzanych w postaci tradycyjnej.

Skarga kasacyjna domaga się uchylenia wyroku w zaskarżonej części oraz oddalenie skargi ewentualnie przekazanie sprawy do ponownego rozpoznania przez WSA.

W uzasadnieniu skargi organ wywodzi, iż z treści art. 39 ust. 1 (którą przytacza w całości) wynika obligatoryjny zakres danych jakie powinna zawierać ewidencja osób upoważnionych do przetwarzania danych. Żaden z przepisów ustawy nie wskazuje, iż obowiązek prowadzenia ewidencji osób upoważnionych dotyczy administratorów prowadzących zbiory danych w systemach informatycznych, a nie dotyczy tych, którzy prowadzą zbiory w sposób tradycyjny. Ustawę stosuje się bowiem do przetwarzania danych osobowych w systemach informatycznych oraz kartotekach, skorowidzach, księgach i w innych zbiorach ewidencyjnych (art. 2 ust. 2 pkt 1 i 2 uodo).

Sposób prowadzenia zbiorów danych osobowych nie ma przy tym żadnego znaczenia w zakresie zobowiązania administratora danych do sporządzenia ewidencji osób upoważnionych do przetwarzania tych danych. Obowiązek prowadzenia ewidencji został zawarty w przepisach rozdziału V ustawy pt. "Zabezpieczenie danych osobowych". Oznacza to, że obowiązki w zakresie zabezpieczenia danych osobowych (w tym wiążące się z prowadzeniem ewidencji osób upoważnionych do przetwarzania danych) ciążą na administratorze danych i innych podmiotach niezależnie od tego, czy administrator danych przetwarza je w zbiorze danych, czy też w zbiorze ewidencyjnym. (A. Drozd, Komentarz do uodo Lex Polonica Maxima, Wyd. LexisNeksis).

Skarżący wywodzi, iż art. 39 ust. 1 ustawy, zobowiązuje administratora danych do wpisywania do ewidencji wszystkich osób, które są upoważnione do przetwarzania danych osobowych nie przewidując żadnych wyjątków dla określonej kategorii osób. Celem ewidencji jest właściwe zabezpieczenie przez administratora przetwarzanych danych, dające możliwość precyzyjnego określenia, które osoby w jakim zakresie oraz w jakim terminie przetwarzają dane osobowe.

W odniesieniu do art. 5 uodo organ stwierdził, że ustalona w tym przepisie zasada rozstrzygania zbiegu norm kolizyjnych na korzyść przewidujących wyższy poziom ochrony przetwarzanym danym, nie oznacza wyłączenia stosowania przepisów ustawy w całości, a jedynie w zakresie w jakim przepisy innych ustaw zapewniają danym osobowym dalej idącą ochronę. Przepisy kpk szczegółowo regulują kwestie dotyczące przetwarzania danych osobowych w toku postępowania karnego i w tym zakresie są przepisami szczególnymi w stosunku do uodo.

Przepisy szczególne nie wyłączają jednak – zdaniem organu – przepisów uodo w zakresie obowiązku prowadzenia ewidencji osób upoważnionych do przetwarzania danych, gdyż przepisy uodo zapewniają dalej idącą ochronę niż przepisy regulujące postępowanie karne w omawianym zakresie.

Organ powołuje się nadto na obowiązek przestrzegania prawa przez organy władzy publicznej wynikający z Konstytucji RP (art. 2 i 7).

Naruszenie przepisów obowiązującego prawa przez niedopełnienie obowiązków spoczywających na administratorze danych, będącym organem władzy publicznej, może prowadzić w konsekwencji do utraty zaufania obywateli nie tylko do tego organu ale do państwa, co jest niedopuszczalne w świetle obowiązujących zasad konstytucyjnych.

W odpowiedzi na skargę kasacyjną Prokurator Rejonowy wniósł ojej oddalenie opowiadając się za trafnością stanowiska Sądu. Zdaniem Prokuratora, z art. 37 uodo wynika konieczność posiadania indywidualnego upoważnienia do przetwarzania danych, ale z wyłączeniem sytuacji gdy dostęp do danych przysługuje z mocy prawa. Jest oczywistym, że zarówno prokuratorzy jak i sędziowie posiadają dostęp do danych w zakresie wykonywanych obowiązków zawodowych. Dodać należy, iż osoby wykonujące ten zawód mają z mocy prawa – bez konieczności uzyskiwania specjalnych uprawnień – dostęp do danych szczególnie chronionych – przykładowo informacji niejawnych, które objęte są ochroną niewspółmiernie wyższą w porównaniu z danymi osobowymi.

Skoro dostęp do danych w ramach prowadzonych postępowań karnych przysługuje podmiotom z mocy prawa w odniesieniu do wszystkich zbiorów danych także chronionych, to nie do przyjęcia jest pogląd, aby koniecznym było specjalne upoważnienie do wglądu w akta postępowań karnych, rejestrów i innych urządzeń ewidencyjnych tworzonych dla potrzeb prowadzonych postępowań karnych. Stosowanie innych ustaw w tym względzie wynika także z art. 5 uodo, i w tym zakresie strona powołuje się na swą argumentację użytą w skardze do WSA.

Zdaniem Prokuratora Rejonowego, powołującego się na komentarz do ustawy o ochronie danych osobowych autorstwa A. Mednisa, zbiorem danych osobowych nie będzie wiele akt sądowych poukładanych według sygnatur, numerów spraw mimo, że zawierają one dane osobowe. Tym samym należy przyjąć, że akta postępowań nie tworzą zbioru danych, ale że w aktach postępowań przetwarzane są dane osobowe zapewniając im ochronę, co najmniej taką, jaką gwarantuje ustawa o ochronie danych osobowych.

Zasady ochrony danych osobowych przetwarzanych na potrzeby postępowań karnych podlegają innym przepisom niż cyt. uodo i przewidują one dalej idącą ochronę. W myśl art. 5 uodo powoduje to sytuację, w której zastosowanie jej uregulowań wyłączone jest m.in. w stosunku do zbiorów danych prowadzonych tradycyjnie (jak repertoria, skorowidze), a także w zakresie dostępu podmiotów do danych przetwarzanych w postępowaniach karnych. Zatem Generalny Inspektor nie był uprawniony do nałożenia na Prokuratora Rejonowego obowiązku polegającego na sporządzeniu ewidencji osób upoważnionych do przetwarzania danych.

Naczelny Sąd Administracyjny zważył, co następuje.

Rozpoznając sprawę w granicach skargi kasacyjnej – stosownie do art. 183 § 1 ustawy Prawo o postępowaniu przed sądami administracyjnymi – Naczelny Sąd Administracyjny uznał, iż skarga ta nie posiada usprawiedliwionych podstaw.

Wyrok Wojewódzkiego Sadu Administracyjnego został zaskarżony w części, w jakiej uchylił ostateczną decyzję Generalnego Inspektora Ochrony Danych Osobowych, utrzymującą w mocy nakaz organu sporządzenia ewidencji osób upoważnionych do przetwarzania danych osobowych w Prokuraturze Rejonowej Warszawa-Mokotów.

Z uwagi na treść orzeczenia i jego motywy oraz powołaną podstawę skargi kasacyjnej rozważenia wymaga charakter prawny kontrolowanego podmiotu, wyznaczany głównie zadaniami spełnianymi przez prokuraturę.

Prokuratura jest organem państwowym, zorganizowanym na zasadzie hierarchicznego podporządkowania, funkcjonującym na zasadach jednolitości (stanowi jednolitą całość, prokurator zawsze reprezentuje prokuraturę w całości), niepodzielności (każdy prokurator ma prawo podejmować wszelkie czynności z wyjątkiem wyraźnie zastrzeżonych dla prokuratora odpowiedniego szczebla), dewolucji i substytucji.

Wśród licznych zadań prokuratury wymienionych w art. 3 ust. 1 ustawy z dnia 20 czerwca 1985 r. o prokuraturze (Dz. U. z 2002 r. Nr 21, poz. 206 z późn. zm.) na czoło wysuwa się prowadzenie lub nadzorowanie postępowania przygotowawczego w sprawach karnych oraz sprawowanie funkcji oskarżyciela publicznego przed sądami.

Dla prawidłowego wykonania tych zadań ustawa w art. 8 wyposaża prokuratora w niezależność z zastrzeżeniem podległości służbowej prokuratorowi przełożonemu w ściśle określonym w ustawie zakresie. Prokurator Generalny, kierujący działalnością prokuratury, a będący równocześnie Ministrem Sprawiedliwości został ustawowo upoważniony (art. 18 ust. 1 i 2 ustawy o prokuraturze) do ustalenia regulaminu określającego tryb urzędowania powszechnych jednostek organizacyjnych prokuratury oraz zakresu działania sekretariatów i innych działów administracji (ust. 2).

Prowadząc postępowanie przygotowawcze, do czego uprawnia prokuratora art. 298 kpk jak również uczestnicząc w postępowaniu karnym jako oskarżyciel (stosownie do art. 45 § 1 i in. kpk) prokurator zarówno gromadzi jak i przetwarza dane osobowe.

Z racji ustawowego usytuowania zadań i procesowej funkcji ma on dostęp do wszelkich danych, niezbędnych dla potrzeb prowadzonego postępowania. Stosownie do art.156 § 5 kpk w toku postępowania przygotowawczego akta sprawy udostępnia się tylko stronom, obrońcom, pełnomocnikom i przedstawicielom ustawowym za zgodą prokuratora. Tylko prokurator może wyrazić zgodę na udostępnienie danych o postępowaniu przygotowawczym innej osobie.

Do podejmowania tych czynności zarówno w sferze ścigania przestępstw jak i działalności oskarżycielskiej oraz dostępu do danych osobowych, prokurator legitymujący się ustawowym upoważnieniem i limitowany normami proceduralnymi, nie musi posiadać odrębnego upoważnienia do dostępu do danych osobowych.

Przedstawione regulacje, mające w stosunku do uodo charakter lex specialis, rozstrzygają o dostępie prokuratorów do danych osobowych, także przetwarzanych w zbiorach ewidencyjnych i w tym zakresie wyłączają zastosowanie ustawy o ochronie danych osobowych.

Zauważyć należy, iż zawierając przepisy zapewniające dalej idącą ochronę - w myśl art. 5 uodo wymienione akty będą miały zastosowanie w tej sprawie.

Trafnie Sąd I instancji wywiódł, iż pozycja prokuratora, określona ustawowymi zadaniami, czyni zbędnym nadawanie mu przez administratora danych (czyli kierownika jednostki organizacyjnej) upoważnienia do przetwarzania danych osobowych.

Inaczej przedstawia się natomiast sytuacja urzędników i innych pracowników prokuratury.

Zasady ich zatrudnienia, obowiązki i prawa, określają odrębne przepisy (art. 101 ust. 2 ustawy o prokuraturze).

Z racji ich pozycji zawodowej, wykonywanych obowiązków, zakresy ich zadań określa w drodze organizacyjnej – właściwy prokurator kierujący jednostką – w drodze zarządzenia. Na takiej podstawie prawnej zostało oparte zarządzenie nr 5/03 Prokuratora Rejonowego Warszawa-Mokotów z dnia 13 października 2003 r. Zarządzenie to wraz z załącznikiem zawiera imiona i nazwiska urzędników i innych pracowników prokuratury, szczegółowy zakres czynności, przypisany określonym pracownikom, uwzględniający ewentualne zastępstwa oraz ściśle określoną datę od kiedy zaczęło obowiązywać.

Nie ulega wątpliwości, iż osoby te prowadząc repertoria, skorowidze, rejestry i wykonując powierzone czynności przetwarzają dane osobowe stron i innych uczestników postępowań karnych, prowadzonych przez tę Prokuraturę. Czynności te mieszczą się w art. 7 ust. 2 ustawy o ochronie danych osobowych, który przez przetwarzanie danych rozumie jakiekolwiek operacje wykonywane na danych osobowych takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie.

W odniesieniu do tych osób mieć będzie zastosowanie przepis art. 39 ust. 1 uodo, nakazujący prowadzenie ewidencji osób upoważnionych do przetwarzania danych. Ewidencja ta powinna zawierać: 1) imię i nazwisko osoby upoważnionej, 2) datę nadania i ustania oraz zakres przetwarzania danych, 3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.

Jeżeli porównać treść zarządzenia nr 5/03 Prokuratora Rejonowego z wymaganiami art. 39 ust. 1 uodo to nasuwa się wniosek, iż zarządzenie to spełnia wymagania pkt 1 i 2 przepisu. Zbędne było więc w takiej sytuacji prowadzenie odrębnej ewidencji skoro dane zamieszczone w zarządzeniu wydanym na podstawie obowiązujących w Prokuraturze aktów prawnych pozwalają na sprawdzenie prawidłowości wykonania przez administratora danych obowiązku wynikającego z ustawy o ochronie danych osobowych.

Wydanie w tym przedmiocie nakazu było więc zbędne.

Zasadnie natomiast organ kontrolujący przyjął, iż w Prokuraturze Rejonowej przetwarzane były dane w systemie informatycznym, o czym także przesądza treść art. 7 ust. 2 i ust. 2a. Definiując przetwarzanie danych osobowych art. 7 ust. 2 (i wymieniając operacje dokonywane na danych osobowych) wyróżnia zwłaszcza te, które wykonuje się w systemach informatycznych. Z kolei definicja zawarta w art. 7 ust. 2a pozwala zaliczyć do przetwarzania w tym systemie także dane przetworzone w ramach programu "Zawieszeni" wprowadzonego w Prokuraturze.

Skoro w Prokuraturze Rejonowej przetwarzane były dane w systemie informatycznym, to zarządzenie nr 5/03 niezawierające identyfikatora osoby upoważnionej, nie odpowiadało wymaganiom art. 39 ust. 1 ustawy.

Zasadnie zatem Wojewódzki Sąd Administracyjny ocenił, iż nakaz prowadzenia ewidencji (lub jej uzupełnienia) winien odnosić się tylko do danych przetwarzanych w systemie informatycznym, czego nie uwzględniła zaskarżona decyzja.

Z powyższych względów Naczelny Sąd Administracyjny uznał, iż zarzuty skargi kasacyjnej nie zasługują na uwzględnienie, zaś zaskarżony wyrok odpowiada prawu, co prowadziło do oddalenia skargi kasacyjnej na podstawie art. 184 ustawy Prawo postępowaniu przed sądami administracyjnymi.

O kosztach Sąd orzekł w oparciu o przepis art. 204 pkt 2 powołanej ustawy i § 18ust.1 pkt 2 lit.c rozporządzenia Ministra Sprawiedliwości z dnia 28 września 2002 r. w sprawie opłat za czynności adwokackie oraz ponoszenia przez Skarb Państwa kosztów nieopłaconej pomocy prawnej udzielonej z urzędu ( Dz.U. Nr 163,poz.1348 z późn.zm.) uznając za uzasadnione zasądzenie kwoty 180 zł z tytułu udziału pełnomocnika w rozprawie przed Sądem oraz kwoty 15 zł z tytułu zwrotu uiszczonej opłaty skarbowej.