Wyrok NSA z dnia 12 maja 2020 r., sygn. I OSK 991/19
Ochrona danych osobowych
Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Tamara Dziełakowska Sędziowie sędzia NSA Iwona Bogucka (spr.) sędzia NSA Małgorzata Pocztarek po rozpoznaniu w dniu 12 maja 2020 r. na posiedzeniu niejawnym w Izbie Ogólnoadministracyjnej skargi kasacyjnej Fundacji [...] z siedzibą w W. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 5 grudnia 2018 r. sygn. akt II SA/Wa 457/18 w sprawie ze skargi Fundacji [...] z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] stycznia 2018 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę kasacyjną.
Uzasadnienie
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z 5 grudnia 2018 r., II SA/Wa 457/18, oddalił skargę Fundacji [...] z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z [...] stycznia 2018 r. nr [...] w przedmiocie przetwarzania danych osobowych.
Wyrok zapadł w następującym stanie faktycznym i prawnym:
Inspektorzy upoważnieni przez Generalnego Inspektora Ochrony Danych Osobowych (dalej jako: "GIODO") przeprowadzili w Fundacji [...] z siedzibą w W. (dalej jako: "Fundacja") przy ul. S. nr [...] lok. [...], pod sygn. akt [...], kontrolę zgodności przetwarzania danych osobowych z przepisami ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2016 r., poz. 922; dalej jako: "ustawa") oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024; dalej jako: "rozporządzenie").
Na podstawie zgromadzonego materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych Fundacja, jako administrator danych, naruszyła przepisy o ochronie danych osobowych. Uchybienia te polegały na nieuwzględnieniu w opracowanej i wdrożonej w Fundacji dokumentacji stanowiącej politykę bezpieczeństwa, informacji zawierających: wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; sposób przepływu danych pomiędzy poszczególnymi systemami (§ 4 pkt 1 - 4 rozporządzenia).
W związku z powyższym w dniu 17 października 2017 r. GIODO wszczął z urzędu postępowanie administracyjne w celu wyjaśnienia okoliczności sprawy, a w odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego Prokurent Fundacji pismem z 2 listopada 2017 r. złożył wyjaśnienia, w których nie zgodził się ze wskazanymi uchybieniami, zarzucając m.in. brak podstawy do wskazywania w polityce bezpieczeństwa informacji o budynkach, pomieszczeniach lub częściach pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe w związku z powierzeniem przetwarzania danych. Ponadto wyjaśnił, że do przetwarzania danych osobowych w Fundacji wykorzystywane są wszystkie programy wchodzące w skład pakietu biurowego MS Office oraz że w Fundacji nie następuje przepływ danych pomiędzy systemami.
Już dziś zamów dostęp
do IFK Platforma Księgowych i Kadrowych
- Codzienne aktualności prawne
- Porady i artykuły z najpopularniejszych czasopism INFOR wraz z bieżącymi wydaniami
- Bogatą bibliotekę materiałów wideo
- Merytoryczne dodatki, ściągi, plakaty
