II SA 3878/02 publikator: ONSA 2004/1/41 Wyrok z dnia 2003.04.16
Transkrypt
II SA 3878/02 publikator: ONSA 2004/1/41 Wyrok z dnia 2003.04.16
sygn. akt: II SA 3878/02 publikator: ONSA 2004/1/41 Wyrok z dnia 2003.04.16 Naczelny Sąd Administracyjny Przy udzielaniu zgody na przekazanie danych osobowych za granicę (art. 47 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - Dz. U. z 2002 r. Nr 101, poz. 926) organ powinien kierować się oceną, czy zastosowane środki róŜnego typu, klauzule umowne i środki techniczne pozwalają zapewnić stopień ochrony tych danych odpowiadający ustawodawstwu polskiemu. Teza częściowo nieaktualna Przewodniczący: sędzia NSA E. Kierejczyk. Sędziowie NSA: M. Jaśkowska (sprawozdawca), J. Rajewska. Naczelny Sąd Administracyjny oddalił na podstawie art. 27 ust. 1 ustawy z dnia 11 maja 1995 r. o Naczelnym Sądzie Administracyjnym (Dz. U. Nr 74, poz. 368 ze zm.) skargę "R.D.P." spółka z o.o. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 25 października 2002 r. w przedmiocie odmowy wyraŜenia zgody na przekazanie danych osobowych za granicę. R.D.P. sp. z o.o. zwrócił się w dniu 27 lutego 2002 r. do Generalnego Inspektora Ochrony Danych Osobowych o wyraŜenie zgody na podstawie art. 48 ustawy o ochronie danych osobowych na przekazywanie danych osobowych do Stanów Zjednoczonych Ameryki Północnej. Wniosek uzasadnił potrzebą scentralizowanego przetwarzania danych w ramach korporacji The R.D.A., w specjalnie utworzonym w tym celu Globalnym Centrum Danych, znajdującym się w USA. Przekazywanie danych przez Spółkę miało się odbywać na podstawie umowy świadczenia usług przetwarzania danych osobowych, którą załączono do wniosku. Przewidywała ona zasadę ochrony danych według prawodawstwa polskiego. W uzasadnieniu podkreślono, Ŝe na podstawie analogicznych umów spółki naleŜące do korporacji i działające w poszczególnych krajach (m.in. w Wielkiej Brytanii, Szwecji, Hiszpanii i Portugalii) powierzyły za zgodą właściwych organów ochrony danych osobowych R. D.A. Inc. przetwarzanie danych. W ramach wszczętego postępowania administracyjnego inspektorzy Generalnego Inspektora Ochrony Danych Osobowych ustalili, Ŝe do przekazania danych osobowych ma być wykorzystywany system informatyczny "SCS +". PoniewaŜ jednak system taki nie został jeszcze wdroŜony, nie było moŜliwości dokonania oceny jego zgodności z wymaganiami prawa polskiego. Ponadto Generalny Inspektor Ochrony Danych Osobowych zwrócił się do organów ochrony danych osobowych w Wielkiej Brytanii, Szwecji, Hiszpanii, Portugalii i Francji z prośbą o udzielenie informacji dotyczących wyraŜenia zgody spółkom zaleŜnym R. D.A. Inc. w poszczególnych krajach na przekazywanie danych osobowych do USA. W wyniku postępowania Generalny Inspektor Ochrony Danych Osobowych w dniu 26 lipca 2002 r. decyzją nr (...) odmówił wyraŜenia zgody na przekazanie danych osobowych do R. D.A. Inc. w USA. W uzasadnieniu stwierdził, Ŝe Spółka nie zapewniła dostatecznych gwarancji bezpieczeństwa operacji transferu danych osobowych do USA. Wskazał przy tym na brak moŜliwości dokonania oceny systemu informatycznego "SCS+", mającego słuŜyć przekazywaniu danych. Podkreślił teŜ, Ŝe w polskiej ustawie o ochronie danych -1- osobowych zastosowanie odpowiednich klauzul umownych nie jest jedną z przesłanek dopuszczenia przekazania danych za granicę. Zdaniem Generalnego Inspektora, istotne znaczenie dla jego rozstrzygnięcia miał fakt, Ŝe R. D.A. Inc. nie przystąpiła do programu Safe Harbor, który zapewnia trwałą kontrolę przestrzegania zasad ochrony danych osobowych, w tym zasad dotyczących ich bezpieczeństwa. Spółka złoŜyła wniosek o ponowne rozpatrzenie sprawy. Wskazała w nim, Ŝe proponowany przez nią system informatyczny "SCS+" jest powszechnie stosowany i brak wdroŜenia nie stanowi przeszkody dla jego oceny. Przepisy nie wymagają, aby ocenie podlegał tylko system wdroŜony. We wniosku podała takŜe zarzut, Ŝe w toku kontroli przeprowadzonej w jej siedzibie proponowano inspektorom uruchomienie systemu w jego wersji testowej z uŜyciem fikcyjnych danych; propozycja ta jednak nie została przyjęta. Ponadto wyraziła opinię, Ŝe oprócz programu Safe Harbor równieŜ odpowiednia umowa, zawarta między przekazującym a odbiorcą danych, moŜe we właściwy sposób zapewnić ochronę danych osobowych podlegających transferowi do USA. Pismem z dnia 16 września 2002 r. Spółka złoŜyła wniosek o uzupełnienie materiału dowodowego o decyzję organu ochrony danych osobowych w Szwecji w sprawie transferu danych do USA, treść Dyrektywy 95/46/EC Parlamentu Europejskiego i Rady Unii Europejskiej z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych, treść art. 9 Rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 45/2001 z dnia 18 grudnia 2000 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu danych, treść decyzji Komisji Europejskiej z dnia 27 grudnia 2001 r. w sprawie wzorcowych klauzul umownych w związku z przekazywaniem danych osobowych do podmiotów przetwarzających dane osobowe w imieniu administratorów danych w krajach trzecich na podstawie dyrektywy 95/46/EC (ogłoszonej w dokumencie nr C[2001] 4540), a takŜe o zwrócenie się do organu ochrony danych osobowych na Węgrzech w celu uzyskania stanowiska z grudnia 1999 r. w sprawie przekazania danych osobowych do USA przez (...) Bank Rt. Postanowieniem z dnia 7 października 2002 r. Generalny Inspektor Ochrony Danych Osobowych odmówił uwzględnienia wniosku w zakresie dotyczącym uzyskania stanowiska organu ochrony danych osobowych na Węgrzech w sprawie przekazania danych osobowych do USA przez (...) Bank Rt. Wskazał, Ŝe rozstrzygniecie węgierskiego organu ochrony danych osobowych w sprawie przekazania danych osobowych do USA przez ten bank nie dotyczy przedmiotu niniejszej sprawy, którym jest ocena warunków przeprowadzenia operacji przekazania danych osobowych pomiędzy innymi podmiotami i w innych okolicznościach faktycznych. Natomiast w odniesieniu do pozostałych wniosków Generalny Inspektor podał, Ŝe zarówno stanowisko szwedzkiego organu ochrony danych osobowych dotyczące przekazywania danych osobowych przez szwedzką spółkę R. D. do Stanów Zjednoczonych, jak i treść powołanych przez wnioskodawcę regulacji prawnych są Generalnemu Inspektorowi znane i zostały uwzględnione w całym postępowaniu dotyczącym sprawy. W wyniku tego postępowania Generalny Inspektor Ochrony Danych Osobowych w dniu 25 października 2002 r. decyzją utrzymał w mocy zaskarŜone orzeczenie. Wyjaśnił przede wszystkim, Ŝe w trakcie czynności kontrolnych w siedzibie Spółki, mających na celu m.in. ustalenie warunków technicznych przeprowadzenia operacji transferu danych, brak było moŜliwości zbadania systemu informatycznego, przy uŜyciu którego dane miałyby być przekazywane. Nie uznał przy tym argumentacji, Ŝe mimo niewdroŜenia tego systemu moŜliwa jest jego ocena w zakresie zgodności z właściwymi przepisami. Zdaniem Generalnego Inspektora, oceny takiej moŜna dokonać jedynie na podstawie stanu faktycznego ustalonego w toku kontroli. W odniesieniu do oświadczenia Spółki, Ŝe w toku czynności kontrolnych nie zbadano systemu "SCS+" w wersji testowej, mimo Ŝe administrator danych o to wnioskował, podał, iŜ oświadczenie takie jest niezgodne z prawdą; w zgromadzonym materiale dowodowym (w tym równieŜ w protokole przeprowadzonej kontroli) brak jest dowodu potwierdzającego prawdziwość takiego oświadczenia. Ponadto Generalny Inspektor uznał za wątpliwe stwierdzenie sformułowane we wniosku o ponowne rozpatrzenie sprawy, Ŝe osoby, których dane są przetwarzane, nie będą w wyniku transferu pozbawione uprawnień przysługujących im na mocy -2- przepisów o ochronie danych osobowych. Spółka zadeklarowała, Ŝe osoby te, po przekazaniu danych za granicę, w dalszym ciągu będą mogły wykonywać swoje prawa przysługujące im wobec administratora danych. Biorąc pod uwagę duŜą liczbę skarg kierowanych do Generalnego Inspektora w sprawach nierespektowania przez R.D.P. sp. z o.o. praw podmiotów danych, Generalny Inspektor podał w wątpliwość wiarygodność powyŜszej deklaracji, tym bardziej Ŝe równieŜ informacje przekazane przez Prezesa Urzędu Ochrony Konkurencji i Konsumentów w piśmie z dnia 4 października 2002 r. świadczyły o wpływających do tego Urzędu skargach na naruszenie prawa konsumenckiego przez Spółkę, w związku z czym Prezes Urzędu skierował w 1999 r. sprawę na drogę postępowania sądowego. Opierając się na informacjach uzyskanych od organów ochrony danych osobowych w Wielkiej Brytanii, Szwecji, Hiszpanii, Portugalii oraz Francji, Generalny Inspektor stwierdził, Ŝe jedynie hiszpański i francuski organ ochrony danych osobowych udzieliły zgody spółkom naleŜącym do korporacji The R. D.A., prowadzącym działalność w Hiszpanii i Francji. Natomiast zgodnie z informacjami przekazanymi przez brytyjski i szwedzki organ ochrony danych osobowych spółki R. D., prowadzące działalność na terytorium Wielkiej Brytanii i Szwecji, nie występowały do tych organów z wnioskami o wydanie decyzji w tym przedmiocie, gdyŜ w myśl obowiązujących w tych krajach przepisów o ochronie danych osobowych zgoda taka nie jest wymagana. Portugalski organ ochrony danych osobowych natomiast poinformował, Ŝe udzielona spółce R. D. zgoda na przekazywanie danych do USA dotyczyła jedynie danych osobowych pracowników tej firmy, a nie jej klientów. W decyzji wydanej w tej sprawie portugalski organ ochrony danych osobowych przedstawił ponadto, Ŝe przekazanie danych osobowych dopuszczalne będzie jedynie po uprzednim wyraŜeniu na to zgody pracowników tej firmy. Biorąc pod uwagę wszystkie te okoliczności, Generalny Inspektor Ochrony Danych Osobowych uznał, Ŝe brak jest podstaw do zmiany rozstrzygnięcia, i utrzymał zaskarŜoną decyzję w mocy. Wskazał przy tym, Ŝe nie oznacza to w ogóle braku moŜliwości przekazania danych do USA, ale będzie to moŜliwe na warunkach określonych w art. 47 ust. 2 i 3 ustawy o ochronie danych osobowych, to jest na przykład na podstawie zgody osób, których dane mają być przedmiotem transferu. W dniu 26 listopada 2002 r. Spółka wniosła do Naczelnego Sądu Administracyjnego skargę na tę decyzję i utrzymane przez nią w mocy poprzednie orzeczenie Generalnego Inspektora Ochrony Danych Osobowych. Zarzuciła im naruszenie przepisów o ochronie danych osobowych przez stwierdzenie, Ŝe system słuŜący przetwarzaniu danych powinien być uprzednio wdroŜony, naruszenie art. 7 i 77 § 1 K.p.a. przez pominięcie wniosków dowodowych zgłoszonych przez stronę, naruszenie art. 107 § 3 K.p.a. przez wydanie decyzji w oparciu o opinię Prezesa Urzędu Ochrony Konkurencji i Konsumentów w przedmiocie postępowania, które nie zakończyło się prawomocnym wyrokiem, a takŜe naruszenie art. 8 K.p.a. SkarŜąca podkreśliła, Ŝe system "SCS+" jest stosowany powszechnie, a brak jego wdroŜenia nie stanowi przeszkody dla oceny, czy jest on zgodny z prawem. Takiego warunku nie zawiera ani ustawa, ani rozporządzenie. Generalny Inspektor Ochrony Danych Osobowych nie ma zresztą wystarczających kwalifikacji do dokonania takiej oceny. Ponadto Spółka wskazała, Ŝe wbrew stanowisku Inspektora decyzja organu ochrony danych na Węgrzech dotyczyła sytuacji o identycznym stanie faktycznym. Dlatego zasadny jest zarzut niewyjaśnienia wszystkich okoliczności faktycznych. Podała takŜe, Ŝe Generalny Inspektor Ochrony Danych Osobowych oparł się na opinii Prezesa Urzędu Ochrony Konkurencji i Konsumentów, mimo Ŝe sprawa sądowa nie została jeszcze zakończona. Nie uwzględnił natomiast rozwiązań przyjętych w Unii Europejskiej, które - choć nie są obowiązującym prawem mogą być brane pod uwagę ze względu na niejasność polskiej ustawy o ochronie danych osobowych. W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie. Ustosunkowując się do pierwszego zarzutu, podkreślił, Ŝe ocena zgodności systemu informatycznego z obowiązującymi przepisami nie moŜe być dokonywana w sposób abstrakcyjny, lecz jedynie na podstawie kontroli konkretnego stanu faktycznego. Tymczasem w trakcie kontroli nie proponowano uruchomienia tego systemu, o czym świadczy podpisany protokół. Generalny Inspektor podkreślił takŜe, iŜ w pełni ustalił stan -3- faktyczny. Nie uwzględnił jedynie wniosku o uzyskanie stanowiska organu ochrony danych osobowych na Węgrzech w sprawie przekazania danych osobowych do USA przez (...) Bank. Dotyczyło to bowiem innych stron i innego stanu faktycznego. Stan faktyczny niniejszej sprawy został juŜ dostatecznie wyjaśniony przez Generalnego Inspektora, który zwracał się do organów ochrony danych osobowych w róŜnych krajach. Generalny Inspektor brał pod uwagę przepisy unijne, ale uwzględnił fakt, Ŝe w polskiej ustawie o ochronie danych osobowych zawarcie modelowej umowy dotyczącej przekazania danych za granicę nie zobowiązuje polskiego organu do automatycznego wyraŜania zgody na przekazywanie danych i nie zwalnia go od badania innych okoliczności. Jego zdaniem, uczestnictwo w programie Safe Harbor, które zapewnia odpowiedni poziom bezpieczeństwa ochrony danych osobowych, stanowiłoby odpowiednią gwarancję ochrony danych, Spółka jednak nie uczestniczyła w tym programie. Naczelny Sąd Administracyjny zwaŜył, co następuje: Skarga nie jest zasadna. Przekazywanie danych osobowych za granicę moŜe nastąpić zgodnie z art. 47 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926) jedynie wtedy, gdy kraj docelowy daje danym osobowym na swoim terytorium przynajmniej takie gwarancje ochrony, jak obowiązujące na terytorium Rzeczypospolitej Polskiej. Pomiędzy stronami nie ma sporu co do tego, iŜ gwarancji takich nie dają Stany Zjednoczone Ameryki. Przepisu tego nie stosuje się, gdy zachodzą okoliczności wskazane w art. 47 ust. 2 i 3 ustawy. RównieŜ w tym wypadku nie jest okolicznością sporną, Ŝe Spółka nie spełniała ustawowych warunków, a więc na przykład nie dysponowała udzieloną na piśmie zgodą osób, których dane dotyczą. Podstawą przekazania danych zatem miał być art. 48 powyŜszej ustawy. Przewiduje on, Ŝe w wypadkach innych niŜ wymienione w art. 47 ust. 2 i 3 ustawy przekazanie danych osobowych za granicę do kraju, który nie daje gwarancji ochrony danych osobowych przynajmniej takich, jakie obowiązują na terytorium Rzeczypospolitej Polskiej, moŜe nastąpić po uzyskaniu zgody Generalnego Inspektora Ochrony Danych Osobowych. Jest to przepis uznaniowy i nie zawiera kryteriów udzielania bądź odmowy wyraŜenia takiej zgody. Ze względu na brak takich kryteriów naleŜy ich poszukiwać w innych przepisach ustawy. Decydujące znaczenie ma przy tym art. 1 ust. 1, który jako zasadę przewiduje ochronę danych osobowych. Na podstawie art. 1 ust. 2 ustawy ich przetwarzanie moŜe być dokonywane ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich. Warto równieŜ podkreślić, Ŝe zgodnie z art. 47 ust. 1 ustawy zasadą jest przekazywanie danych do krajów, które ustawowo gwarantują odpowiedni stopień ochrony. Oznacza to w konsekwencji, Ŝe wyraŜając zgodę na przekazywanie danych osobowych za granicę, Generalny Inspektor powinien kierować się oceną, czy zastosowane środki róŜnego typu, klauzule umowne i środki techniczne pozwalają zapewnić odpowiadający ustawodawstwu polskiemu stopień ochrony tych danych. W rozpatrywanej sytuacji Generalny Inspektor słusznie uznał, Ŝe brak jest tego typu gwarancji. Strona skarŜąca powoływała się co prawda na zawartą wzorcową umowę świadczenia usług przetwarzania danych osobowych, która zawierała wyraźne postanowienie, Ŝe ochrona danych będzie dokonywana według ustawodawstwa polskiego, ale zawarcie takiej umowy nie jest w świetle prawa polskiego autonomiczną przesłanką udzielenia zgody. Zdaniem skarŜącej, moŜna się było tutaj posłuŜyć pomocniczo art. 26 ust. 2 Dyrektywy 95/46/EC Parlamentu Europejskiego i Rady Unii Europejskiej z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych. Dotyczy ona przesyłania danych osobowych do innych krajów i zezwala na upowaŜnienie do takiego przesyłania do krajów, które nie zapewniają odpowiedniego poziomu ochrony, jeŜeli kontroler wskaŜe odpowiednie środki ochrony prywatności, fundamentalnych praw i wolności osobistych w odniesieniu do przestrzegania tych praw, zwłaszcza wynikających z odpowiednich postanowień umowy (tekst /w:/ J. Barta, R. Markiewicz: Ochrona danych osobowych. -4- Komentarz, Zakamycze 2001, s. 692). PoniewaŜ Polska przystosowuje swoje prawo do prawodawstwa unijnego, powinna brać pod uwagę przy wykładni tego prawa wspomnianą Dyrektywę. Wobec tego odpowiednia umowa, a taką jest wzorcowa umowa dołączona do wniosku, powinna być wystarczającą przesłanką wyraŜenia zgody. Naczelny Sąd Administracyjny podziela pogląd, Ŝe przy wykładni polskiej ustawy o ochronie danych osobowych moŜna posługiwać się pomocniczo wspomnianą wyŜej Dyrektywą, nie oznacza to jednak, iŜ akceptuje wnioski wyprowadzone z tego przez skarŜącą. Zdaniem Naczelnego Sądu Administracyjnego, umowa przedstawiona przez Spółkę nie gwarantuje odpowiedniego poziomu ochrony danych. Wynika z niej tylko odpowiedzialność kontraktowa, a ustawa o ochronie danych osobowych przewiduje równieŜ inne formy odpowiedzialności, między innymi administracyjną czy karną. Stwierdzenie zatem, Ŝe ochrona danych będzie się odbywać według zasad prawa polskiego, nie oznacza poddania się organów i osób R.D.A. w USA jurysdykacji organów państwa polskiego. Nie jest teŜ słuszny zarzut, iŜ zgodnie ze wskazaną Dyrektywą taka ochrona umowna wystarcza w sytuacji Unii Europejskiej. Dyrektywa wiąŜe państwo, do którego jest skierowana, w zakresie celów, które mają być osiągnięte, pozostawiając władzom swobodę wyboru środków i form ich realizacji. Za pomocą dyrektyw koordynuje się, upodabnia i ujednolica akty prawa krajowego. Wspomniana Dyrektywa zezwala jedynie państwom członkowskim na udzielenie zgody w sytuacji zawarcia odpowiednich umów, ale nie zobowiązuje do tego i - jak wskazuje postępowanie przeprowadzone przez Generalnego Inspektora Ochrony Danych Osobowych - w krajach będących członkami Unii (podanymi we wniosku) praktyka w tym zakresie jest róŜna. Dla oceny proponowanych rozwiązań nie moŜna teŜ nie uwzględniać faktu, Ŝe członkowie Unii związani są nie tylko Dyrektywą, ale takŜe rozporządzeniami, decyzjami itp. Chcąc więc zagwarantować odpowiedni stopień ochrony, Generalny Inspektor nie moŜe abstrahować od faktu, Ŝe godząc się na ochronę wynikającą z umowy według zasad wynikających z Dyrektywy, czyniłby to wobec spółki, która działa w państwie nienaleŜącym do Unii, niepoddanym jej prawodawstwu. Z tego powodu Generalny Inspektor Ochrony Danych Osobowych widział jako zabezpieczenie odpowiedniego poziomu ochrony zastosowanie systemu Safe Harbor. Program ten został opracowany przez Deparlament Handlu Stanów Zjednoczonych we współpracy z Komisją Europejską. Gwarantuje on stałą kontrole przestrzegania zasad ochrony danych osobowych, w tym zasad dotyczących ich bezpieczeństwa. Członkostwo w nim zobowiązuje firmy uczestniczące do zapewnienia właściwej ochrony danych osobom pochodzącym z Europy zgodnie z wymaganiami Dyrektywy 95/46/EC Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych. Tymczasem w rozpatrywanej sprawie Spółka powołuje się na art. 26 ust. 2 Dyrektywy, zezwalający na przesłanie danych, gdy odpowiedni stopień ochrony wynika z umowy, ale jednocześnie firma funkcjonująca w państwie nienaleŜącym do Unii i nieuczestnicząca w programie nie bierze na siebie obowiązku przestrzegania pozostałych przepisów tej Dyrektywy. Naczelny Sąd Administracyjny nie zgodził się takŜe z zarzutem, Ŝe nie jest istotne przy udzielaniu zgody, aby program, za pomocą którego dane mają być przekazywane, był juŜ wdroŜony, a zgoda mogła być wyraŜona wobec programu abstrakcyjnego. Jak podkreślono wyŜej, kryterium udzielenia zgody jest zapewnienie odpowiednich gwarancji przesyłania danych. Muszą one zapewniać wymagany stopień ochrony danych. Zarówno ustawa o ochronie danych osobowych, jak i rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne słuŜące do przetwarzania danych osobowych (Dz. U. Nr 80, poz. 521 ze zm.) zawierają warunki, które mogą być sprawdzalne jedynie na podstawie juŜ wdroŜonego systemu. Ustawa bowiem przewiduje w rozdziale 4 prawa osoby, której dane dotyczą: prawo kontroli danych (art. 32) czy prawo informacji (art. 33). Rozporządzenie natomiast wskazuje w § 17, Ŝe system informatyczny słuŜący do przekazywania danych osobowych powinien umoŜliwić udostępnienie na piśmie, w powszechnie zrozumiałej treści, danych o kaŜdej osobie, której dane są przetwarzane, wraz z informacjami, o -5- których mowa w § 16. Trudno ocenić, czy ochrona w tym względzie jest gwarantowana, jeŜeli nie ma moŜliwości sprawdzenia programu. WyraŜając zgodę na przekazanie danych za granicę w sytuacji, gdy osoby i instytucja, które dane przetwarzają, znajdują się częściowo poza zakresem jurysdykcji państwa polskiego, Generalny Inspektor Ochrony Danych Osobowych musi w większym stopniu zwracać uwagę na rozwiązania, czy to instytucjonalne, czy techniczne, które takiej ochronie mogą sprzyjać lub nie. Trudno ocenę taką wyrazić abstrakcyjnie, bez odwołania się do określonego stanu faktycznego. Naczelny Sąd Administracyjny nie stwierdził równieŜ naruszenia przez Generalnego Inspektora Ochrony Danych Osobowych art. 7 i 77 § 1 K.p.a. Stan faktyczny został ustalony na podstawie obszernego materiału dowodowego. Brak jest dowodu na to, Ŝe w trakcie postępowania wyjaśniającego proponowano inspektorom Generalnego Inspektora sprawdzenie systemu informatycznego "SCS+". Przeczy temu treść podpisanego protokołu. RównieŜ we wniosku o ponowne rozpatrzenie sprawy Spółka skarŜąca wskazała, Ŝe system ten moŜe być dopiero uruchomiony w przyszłości. Nie jest takŜe słuszny zarzut braku uwzględnienia wniosku o uzyskanie stanowiska organu ochrony danych na Węgrzech. Dotyczył on bowiem innych podmiotów i innej sytuacji; nie miał teŜ znaczenia dla sprawy, poniewaŜ Generalny Inspektor Ochrony Danych Osobowych uzyskał juŜ dane wystarczające do wydania decyzji w sprawie. Nie jest równieŜ zasadny zarzut naruszenia art. 8 K.p.a. przez powołanie się w uzasadnieniu decyzji na opinię Prezesa Urzędu Ochrony Konkurencji i Konsumentów, mimo Ŝe sprawa sądowa nie została jeszcze zakończona, a organ ten zajmuje się innego typu sprawami. Przeciwnie, badając wiarygodność firmy, która chciała uzyskać zgodę na transfer danych, organ mógł, a nawet powinien posługiwać się takimi środkami dowodowymi, które miały tę wiarygodność potwierdzić lub nie. Mimo braku wyroku sądu, juŜ opinia zawarta w wystąpieniu organu administracji publicznej mogła stanowić środek dowodowy w sprawie. PoniewaŜ Naczelny Sąd Administracyjny nie dopatrzył się w zaskarŜonej decyzji naruszenia prawa, orzekł na podstawie art. 27 ust. 1 i art. 57 ust. 2 ustawy z dnia 11 maja 1995 r. o Naczelnym Sądzie Administracyjnym (Dz. U. Nr 74, poz. 368 ze zm.) w związku z art. 48 ustawy o ochronie danych osobowych jak w sentencji (...). -6-