II SA 3878/02 publikator: ONSA 2004/1/41 Wyrok z dnia 2003.04.16

sygn. akt: II SA 3878/02
publikator: ONSA 2004/1/41
Wyrok
z dnia 2003.04.16
Naczelny Sąd Administracyjny
Przy udzielaniu zgody na przekazanie danych osobowych za granicę (art. 47 ust. 1
ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - Dz. U. z 2002 r. Nr
101, poz. 926) organ powinien kierować się oceną, czy zastosowane środki róŜnego typu,
klauzule umowne i środki techniczne pozwalają zapewnić stopień ochrony tych danych
odpowiadający ustawodawstwu polskiemu.
Teza częściowo nieaktualna
Przewodniczący: sędzia NSA E. Kierejczyk.
Sędziowie NSA: M. Jaśkowska (sprawozdawca), J. Rajewska.
Naczelny Sąd Administracyjny oddalił na podstawie art. 27 ust. 1 ustawy z dnia 11
maja 1995 r. o Naczelnym Sądzie Administracyjnym (Dz. U. Nr 74, poz. 368 ze zm.)
skargę "R.D.P." spółka z o.o. na decyzję Generalnego Inspektora Ochrony Danych
Osobowych z dnia 25 października 2002 r. w przedmiocie odmowy wyraŜenia zgody na
przekazanie danych osobowych za granicę.
R.D.P. sp. z o.o. zwrócił się w dniu 27 lutego 2002 r. do Generalnego Inspektora
Ochrony Danych Osobowych o wyraŜenie zgody na podstawie art. 48 ustawy o ochronie
danych osobowych na przekazywanie danych osobowych do Stanów Zjednoczonych
Ameryki Północnej. Wniosek uzasadnił potrzebą scentralizowanego przetwarzania danych
w ramach korporacji The R.D.A., w specjalnie utworzonym w tym celu Globalnym
Centrum Danych, znajdującym się w USA. Przekazywanie danych przez Spółkę miało się
odbywać na podstawie umowy świadczenia usług przetwarzania danych osobowych, którą
załączono do wniosku. Przewidywała ona zasadę ochrony danych według prawodawstwa
polskiego. W uzasadnieniu podkreślono, Ŝe na podstawie analogicznych umów spółki
naleŜące do korporacji i działające w poszczególnych krajach (m.in. w Wielkiej Brytanii,
Szwecji, Hiszpanii i Portugalii) powierzyły za zgodą właściwych organów ochrony danych
osobowych R. D.A. Inc. przetwarzanie danych.
W ramach wszczętego postępowania administracyjnego inspektorzy Generalnego
Inspektora Ochrony Danych Osobowych ustalili, Ŝe do przekazania danych osobowych ma
być wykorzystywany system informatyczny "SCS +". PoniewaŜ jednak system taki nie
został jeszcze wdroŜony, nie było moŜliwości dokonania oceny jego zgodności z
wymaganiami prawa polskiego. Ponadto Generalny Inspektor Ochrony Danych
Osobowych zwrócił się do organów ochrony danych osobowych w Wielkiej Brytanii,
Szwecji, Hiszpanii, Portugalii i Francji z prośbą o udzielenie informacji dotyczących
wyraŜenia zgody spółkom zaleŜnym R. D.A. Inc. w poszczególnych krajach na
przekazywanie danych osobowych do USA.
W wyniku postępowania Generalny Inspektor Ochrony Danych Osobowych w dniu 26
lipca 2002 r. decyzją nr (...) odmówił wyraŜenia zgody na przekazanie danych osobowych
do R. D.A. Inc. w USA. W uzasadnieniu stwierdził, Ŝe Spółka nie zapewniła dostatecznych
gwarancji bezpieczeństwa operacji transferu danych osobowych do USA. Wskazał przy
tym na brak moŜliwości dokonania oceny systemu informatycznego "SCS+", mającego
słuŜyć przekazywaniu danych. Podkreślił teŜ, Ŝe w polskiej ustawie o ochronie danych
-1-
osobowych zastosowanie odpowiednich klauzul umownych nie jest jedną z przesłanek
dopuszczenia przekazania danych za granicę. Zdaniem Generalnego Inspektora, istotne
znaczenie dla jego rozstrzygnięcia miał fakt, Ŝe R. D.A. Inc. nie przystąpiła do programu
Safe Harbor, który zapewnia trwałą kontrolę przestrzegania zasad ochrony danych
osobowych, w tym zasad dotyczących ich bezpieczeństwa.
Spółka złoŜyła wniosek o ponowne rozpatrzenie sprawy. Wskazała w nim, Ŝe
proponowany przez nią system informatyczny "SCS+" jest powszechnie stosowany i brak
wdroŜenia nie stanowi przeszkody dla jego oceny. Przepisy nie wymagają, aby ocenie
podlegał tylko system wdroŜony. We wniosku podała takŜe zarzut, Ŝe w toku kontroli
przeprowadzonej w jej siedzibie proponowano inspektorom uruchomienie systemu w jego
wersji testowej z uŜyciem fikcyjnych danych; propozycja ta jednak nie została przyjęta.
Ponadto wyraziła opinię, Ŝe oprócz programu Safe Harbor równieŜ odpowiednia umowa,
zawarta między przekazującym a odbiorcą danych, moŜe we właściwy sposób zapewnić
ochronę danych osobowych podlegających transferowi do USA.
Pismem z dnia 16 września 2002 r. Spółka złoŜyła wniosek o uzupełnienie materiału
dowodowego o decyzję organu ochrony danych osobowych w Szwecji w sprawie transferu
danych do USA, treść Dyrektywy 95/46/EC Parlamentu Europejskiego i Rady Unii
Europejskiej z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w
zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych,
treść art. 9 Rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 45/2001 z dnia 18
grudnia 2000 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych
osobowych oraz swobodnego przepływu danych, treść decyzji Komisji Europejskiej z dnia
27 grudnia 2001 r. w sprawie wzorcowych klauzul umownych w związku z
przekazywaniem danych osobowych do podmiotów przetwarzających dane osobowe w
imieniu administratorów danych w krajach trzecich na podstawie dyrektywy 95/46/EC
(ogłoszonej w dokumencie nr C[2001] 4540), a takŜe o zwrócenie się do organu ochrony
danych osobowych na Węgrzech w celu uzyskania stanowiska z grudnia 1999 r. w
sprawie przekazania danych osobowych do USA przez (...) Bank Rt.
Postanowieniem z dnia 7 października 2002 r. Generalny Inspektor Ochrony Danych
Osobowych odmówił uwzględnienia wniosku w zakresie dotyczącym uzyskania stanowiska
organu ochrony danych osobowych na Węgrzech w sprawie przekazania danych
osobowych do USA przez (...) Bank Rt. Wskazał, Ŝe rozstrzygniecie węgierskiego organu
ochrony danych osobowych w sprawie przekazania danych osobowych do USA przez ten
bank nie dotyczy przedmiotu niniejszej sprawy, którym jest ocena warunków
przeprowadzenia operacji przekazania danych osobowych pomiędzy innymi podmiotami i
w innych okolicznościach faktycznych. Natomiast w odniesieniu do pozostałych wniosków
Generalny Inspektor podał, Ŝe zarówno stanowisko szwedzkiego organu ochrony danych
osobowych dotyczące przekazywania danych osobowych przez szwedzką spółkę R. D. do
Stanów Zjednoczonych, jak i treść powołanych przez wnioskodawcę regulacji prawnych
są Generalnemu Inspektorowi znane i zostały uwzględnione w całym postępowaniu
dotyczącym sprawy.
W wyniku tego postępowania Generalny Inspektor Ochrony Danych Osobowych w
dniu 25 października 2002 r. decyzją utrzymał w mocy zaskarŜone orzeczenie. Wyjaśnił
przede wszystkim, Ŝe w trakcie czynności kontrolnych w siedzibie Spółki, mających na
celu m.in. ustalenie warunków technicznych przeprowadzenia operacji transferu danych,
brak było moŜliwości zbadania systemu informatycznego, przy uŜyciu którego dane
miałyby być przekazywane. Nie uznał przy tym argumentacji, Ŝe mimo niewdroŜenia tego
systemu moŜliwa jest jego ocena w zakresie zgodności z właściwymi przepisami.
Zdaniem Generalnego Inspektora, oceny takiej moŜna dokonać jedynie na podstawie
stanu faktycznego ustalonego w toku kontroli. W odniesieniu do oświadczenia Spółki, Ŝe
w toku czynności kontrolnych nie zbadano systemu "SCS+" w wersji testowej, mimo Ŝe
administrator danych o to wnioskował, podał, iŜ oświadczenie takie jest niezgodne z
prawdą; w zgromadzonym materiale dowodowym (w tym równieŜ w protokole
przeprowadzonej kontroli) brak jest dowodu potwierdzającego prawdziwość takiego
oświadczenia. Ponadto Generalny Inspektor uznał za wątpliwe stwierdzenie sformułowane
we wniosku o ponowne rozpatrzenie sprawy, Ŝe osoby, których dane są przetwarzane,
nie będą w wyniku transferu pozbawione uprawnień przysługujących im na mocy
-2-
przepisów o ochronie danych osobowych. Spółka zadeklarowała, Ŝe osoby te, po
przekazaniu danych za granicę, w dalszym ciągu będą mogły wykonywać swoje prawa
przysługujące im wobec administratora danych. Biorąc pod uwagę duŜą liczbę skarg
kierowanych do Generalnego Inspektora w sprawach nierespektowania przez R.D.P. sp. z
o.o. praw podmiotów danych, Generalny Inspektor podał w wątpliwość wiarygodność
powyŜszej deklaracji, tym bardziej Ŝe równieŜ informacje przekazane przez Prezesa
Urzędu Ochrony Konkurencji i Konsumentów w piśmie z dnia 4 października 2002 r.
świadczyły o wpływających do tego Urzędu skargach na naruszenie prawa
konsumenckiego przez Spółkę, w związku z czym Prezes Urzędu skierował w 1999 r.
sprawę na drogę postępowania sądowego. Opierając się na informacjach uzyskanych od
organów ochrony danych osobowych w Wielkiej Brytanii, Szwecji, Hiszpanii, Portugalii
oraz Francji, Generalny Inspektor stwierdził, Ŝe jedynie hiszpański i francuski organ
ochrony danych osobowych udzieliły zgody spółkom naleŜącym do korporacji The R. D.A.,
prowadzącym działalność w Hiszpanii i Francji. Natomiast zgodnie z informacjami
przekazanymi przez brytyjski i szwedzki organ ochrony danych osobowych spółki R. D.,
prowadzące działalność na terytorium Wielkiej Brytanii i Szwecji, nie występowały do
tych organów z wnioskami o wydanie decyzji w tym przedmiocie, gdyŜ w myśl
obowiązujących w tych krajach przepisów o ochronie danych osobowych zgoda taka nie
jest wymagana. Portugalski organ ochrony danych osobowych natomiast poinformował,
Ŝe udzielona spółce R. D. zgoda na przekazywanie danych do USA dotyczyła jedynie
danych osobowych pracowników tej firmy, a nie jej klientów. W decyzji wydanej w tej
sprawie portugalski organ ochrony danych osobowych przedstawił ponadto, Ŝe
przekazanie danych osobowych dopuszczalne będzie jedynie po uprzednim wyraŜeniu na
to zgody pracowników tej firmy. Biorąc pod uwagę wszystkie te okoliczności, Generalny
Inspektor Ochrony Danych Osobowych uznał, Ŝe brak jest podstaw do zmiany
rozstrzygnięcia, i utrzymał zaskarŜoną decyzję w mocy. Wskazał przy tym, Ŝe nie
oznacza to w ogóle braku moŜliwości przekazania danych do USA, ale będzie to moŜliwe
na warunkach określonych w art. 47 ust. 2 i 3 ustawy o ochronie danych osobowych, to
jest na przykład na podstawie zgody osób, których dane mają być przedmiotem
transferu.
W dniu 26 listopada 2002 r. Spółka wniosła do Naczelnego Sądu Administracyjnego
skargę na tę decyzję i utrzymane przez nią w mocy poprzednie orzeczenie Generalnego
Inspektora Ochrony Danych Osobowych. Zarzuciła im naruszenie przepisów o ochronie
danych osobowych przez stwierdzenie, Ŝe system słuŜący przetwarzaniu danych powinien
być uprzednio wdroŜony, naruszenie art. 7 i 77 § 1 K.p.a. przez pominięcie wniosków
dowodowych zgłoszonych przez stronę, naruszenie art. 107 § 3 K.p.a. przez wydanie
decyzji w oparciu o opinię Prezesa Urzędu Ochrony Konkurencji i Konsumentów w
przedmiocie postępowania, które nie zakończyło się prawomocnym wyrokiem, a takŜe
naruszenie art. 8 K.p.a. SkarŜąca podkreśliła, Ŝe system "SCS+" jest stosowany
powszechnie, a brak jego wdroŜenia nie stanowi przeszkody dla oceny, czy jest on
zgodny z prawem. Takiego warunku nie zawiera ani ustawa, ani rozporządzenie.
Generalny Inspektor Ochrony Danych Osobowych nie ma zresztą wystarczających
kwalifikacji do dokonania takiej oceny. Ponadto Spółka wskazała, Ŝe wbrew stanowisku
Inspektora decyzja organu ochrony danych na Węgrzech dotyczyła sytuacji o
identycznym stanie faktycznym. Dlatego zasadny jest zarzut niewyjaśnienia wszystkich
okoliczności faktycznych. Podała takŜe, Ŝe Generalny Inspektor Ochrony Danych
Osobowych oparł się na opinii Prezesa Urzędu Ochrony Konkurencji i Konsumentów,
mimo Ŝe sprawa sądowa nie została jeszcze zakończona. Nie uwzględnił natomiast
rozwiązań przyjętych w Unii Europejskiej, które - choć nie są obowiązującym prawem mogą być brane pod uwagę ze względu na niejasność polskiej ustawy o ochronie danych
osobowych.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o
jej oddalenie. Ustosunkowując się do pierwszego zarzutu, podkreślił, Ŝe ocena zgodności
systemu informatycznego z obowiązującymi przepisami nie moŜe być dokonywana w
sposób abstrakcyjny, lecz jedynie na podstawie kontroli konkretnego stanu faktycznego.
Tymczasem w trakcie kontroli nie proponowano uruchomienia tego systemu, o czym
świadczy podpisany protokół. Generalny Inspektor podkreślił takŜe, iŜ w pełni ustalił stan
-3-
faktyczny. Nie uwzględnił jedynie wniosku o uzyskanie stanowiska organu ochrony
danych osobowych na Węgrzech w sprawie przekazania danych osobowych do USA przez
(...) Bank. Dotyczyło to bowiem innych stron i innego stanu faktycznego. Stan faktyczny
niniejszej sprawy został juŜ dostatecznie wyjaśniony przez Generalnego Inspektora, który
zwracał się do organów ochrony danych osobowych w róŜnych krajach. Generalny
Inspektor brał pod uwagę przepisy unijne, ale uwzględnił fakt, Ŝe w polskiej ustawie o
ochronie danych osobowych zawarcie modelowej umowy dotyczącej przekazania danych
za granicę nie zobowiązuje polskiego organu do automatycznego wyraŜania zgody na
przekazywanie danych i nie zwalnia go od badania innych okoliczności. Jego zdaniem,
uczestnictwo w programie Safe Harbor, które zapewnia odpowiedni poziom
bezpieczeństwa ochrony danych osobowych, stanowiłoby odpowiednią gwarancję ochrony
danych, Spółka jednak nie uczestniczyła w tym programie.
Naczelny Sąd Administracyjny zwaŜył, co następuje:
Skarga nie jest zasadna.
Przekazywanie danych osobowych za granicę moŜe nastąpić zgodnie z art. 47 ust. 1
ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101,
poz. 926) jedynie wtedy, gdy kraj docelowy daje danym osobowym na swoim terytorium
przynajmniej takie gwarancje ochrony, jak obowiązujące na terytorium Rzeczypospolitej
Polskiej. Pomiędzy stronami nie ma sporu co do tego, iŜ gwarancji takich nie dają Stany
Zjednoczone Ameryki.
Przepisu tego nie stosuje się, gdy zachodzą okoliczności wskazane w art. 47 ust. 2 i
3 ustawy. RównieŜ w tym wypadku nie jest okolicznością sporną, Ŝe Spółka nie spełniała
ustawowych warunków, a więc na przykład nie dysponowała udzieloną na piśmie zgodą
osób, których dane dotyczą.
Podstawą przekazania danych zatem miał być art. 48 powyŜszej ustawy. Przewiduje
on, Ŝe w wypadkach innych niŜ wymienione w art. 47 ust. 2 i 3 ustawy przekazanie
danych osobowych za granicę do kraju, który nie daje gwarancji ochrony danych
osobowych przynajmniej takich, jakie obowiązują na terytorium Rzeczypospolitej
Polskiej, moŜe nastąpić po uzyskaniu zgody Generalnego Inspektora Ochrony Danych
Osobowych. Jest to przepis uznaniowy i nie zawiera kryteriów udzielania bądź odmowy
wyraŜenia takiej zgody.
Ze względu na brak takich kryteriów naleŜy ich poszukiwać w innych przepisach
ustawy. Decydujące znaczenie ma przy tym art. 1 ust. 1, który jako zasadę przewiduje
ochronę danych osobowych. Na podstawie art. 1 ust. 2 ustawy ich przetwarzanie moŜe
być dokonywane ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub
dobro osób trzecich. Warto równieŜ podkreślić, Ŝe zgodnie z art. 47 ust. 1 ustawy zasadą
jest przekazywanie danych do krajów, które ustawowo gwarantują odpowiedni stopień
ochrony. Oznacza to w konsekwencji, Ŝe wyraŜając zgodę na przekazywanie danych
osobowych za granicę, Generalny Inspektor powinien kierować się oceną, czy
zastosowane środki róŜnego typu, klauzule umowne i środki techniczne pozwalają
zapewnić odpowiadający ustawodawstwu polskiemu stopień ochrony tych danych.
W rozpatrywanej sytuacji Generalny Inspektor słusznie uznał, Ŝe brak jest tego typu
gwarancji. Strona skarŜąca powoływała się co prawda na zawartą wzorcową umowę
świadczenia usług przetwarzania danych osobowych, która zawierała wyraźne
postanowienie, Ŝe ochrona danych będzie dokonywana według ustawodawstwa polskiego,
ale zawarcie takiej umowy nie jest w świetle prawa polskiego autonomiczną przesłanką
udzielenia zgody.
Zdaniem skarŜącej, moŜna się było tutaj posłuŜyć pomocniczo art. 26 ust. 2
Dyrektywy 95/46/EC Parlamentu Europejskiego i Rady Unii Europejskiej z dnia 24
października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych
osobowych oraz swobodnego przepływu tych danych. Dotyczy ona przesyłania danych
osobowych do innych krajów i zezwala na upowaŜnienie do takiego przesyłania do
krajów, które nie zapewniają odpowiedniego poziomu ochrony, jeŜeli kontroler wskaŜe
odpowiednie środki ochrony prywatności, fundamentalnych praw i wolności osobistych w
odniesieniu do przestrzegania tych praw, zwłaszcza wynikających z odpowiednich
postanowień umowy (tekst /w:/ J. Barta, R. Markiewicz: Ochrona danych osobowych.
-4-
Komentarz, Zakamycze 2001, s. 692). PoniewaŜ Polska przystosowuje swoje prawo do
prawodawstwa unijnego, powinna brać pod uwagę przy wykładni tego prawa wspomnianą
Dyrektywę. Wobec tego odpowiednia umowa, a taką jest wzorcowa umowa dołączona do
wniosku, powinna być wystarczającą przesłanką wyraŜenia zgody.
Naczelny Sąd Administracyjny podziela pogląd, Ŝe przy wykładni polskiej ustawy o
ochronie danych osobowych moŜna posługiwać się pomocniczo wspomnianą wyŜej
Dyrektywą, nie oznacza to jednak, iŜ akceptuje wnioski wyprowadzone z tego przez
skarŜącą. Zdaniem Naczelnego Sądu Administracyjnego, umowa przedstawiona przez
Spółkę nie gwarantuje odpowiedniego poziomu ochrony danych. Wynika z niej tylko
odpowiedzialność kontraktowa, a ustawa o ochronie danych osobowych przewiduje
równieŜ inne formy odpowiedzialności, między innymi administracyjną czy karną.
Stwierdzenie zatem, Ŝe ochrona danych będzie się odbywać według zasad prawa
polskiego, nie oznacza poddania się organów i osób R.D.A. w USA jurysdykacji organów
państwa polskiego. Nie jest teŜ słuszny zarzut, iŜ zgodnie ze wskazaną Dyrektywą taka
ochrona umowna wystarcza w sytuacji Unii Europejskiej. Dyrektywa wiąŜe państwo, do
którego jest skierowana, w zakresie celów, które mają być osiągnięte, pozostawiając
władzom swobodę wyboru środków i form ich realizacji. Za pomocą dyrektyw koordynuje
się, upodabnia i ujednolica akty prawa krajowego. Wspomniana Dyrektywa zezwala
jedynie państwom członkowskim na udzielenie zgody w sytuacji zawarcia odpowiednich
umów, ale nie zobowiązuje do tego i - jak wskazuje postępowanie przeprowadzone przez
Generalnego Inspektora Ochrony Danych Osobowych - w krajach będących członkami
Unii (podanymi we wniosku) praktyka w tym zakresie jest róŜna. Dla oceny
proponowanych rozwiązań nie moŜna teŜ nie uwzględniać faktu, Ŝe członkowie Unii
związani są nie tylko Dyrektywą, ale takŜe rozporządzeniami, decyzjami itp. Chcąc więc
zagwarantować odpowiedni stopień ochrony, Generalny Inspektor nie moŜe abstrahować
od faktu, Ŝe godząc się na ochronę wynikającą z umowy według zasad wynikających z
Dyrektywy, czyniłby to wobec spółki, która działa w państwie nienaleŜącym do Unii,
niepoddanym jej prawodawstwu.
Z tego powodu Generalny Inspektor Ochrony Danych Osobowych widział jako
zabezpieczenie odpowiedniego poziomu ochrony zastosowanie systemu Safe Harbor.
Program ten został opracowany przez Deparlament Handlu Stanów Zjednoczonych we
współpracy z Komisją Europejską. Gwarantuje on stałą kontrole przestrzegania zasad
ochrony danych osobowych, w tym zasad dotyczących ich bezpieczeństwa. Członkostwo
w nim zobowiązuje firmy uczestniczące do zapewnienia właściwej ochrony danych
osobom pochodzącym z Europy zgodnie z wymaganiami Dyrektywy 95/46/EC Parlamentu
Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych
w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych.
Tymczasem w rozpatrywanej sprawie Spółka powołuje się na art. 26 ust. 2 Dyrektywy,
zezwalający na przesłanie danych, gdy odpowiedni stopień ochrony wynika z umowy, ale
jednocześnie firma funkcjonująca w państwie nienaleŜącym do Unii i nieuczestnicząca w
programie nie bierze na siebie obowiązku przestrzegania pozostałych przepisów tej
Dyrektywy.
Naczelny Sąd Administracyjny nie zgodził się takŜe z zarzutem, Ŝe nie jest istotne
przy udzielaniu zgody, aby program, za pomocą którego dane mają być przekazywane,
był juŜ wdroŜony, a zgoda mogła być wyraŜona wobec programu abstrakcyjnego. Jak
podkreślono wyŜej, kryterium udzielenia zgody jest zapewnienie odpowiednich gwarancji
przesyłania danych. Muszą one zapewniać wymagany stopień ochrony danych. Zarówno
ustawa o ochronie danych osobowych, jak i rozporządzenie Ministra Spraw Wewnętrznych
i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków
technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne słuŜące do przetwarzania danych osobowych (Dz. U. Nr 80, poz. 521 ze
zm.) zawierają warunki, które mogą być sprawdzalne jedynie na podstawie juŜ
wdroŜonego systemu. Ustawa bowiem przewiduje w rozdziale 4 prawa osoby, której dane
dotyczą: prawo kontroli danych (art. 32) czy prawo informacji (art. 33). Rozporządzenie
natomiast wskazuje w § 17, Ŝe system informatyczny słuŜący do przekazywania danych
osobowych powinien umoŜliwić udostępnienie na piśmie, w powszechnie zrozumiałej
treści, danych o kaŜdej osobie, której dane są przetwarzane, wraz z informacjami, o
-5-
których mowa w § 16. Trudno ocenić, czy ochrona w tym względzie jest gwarantowana,
jeŜeli nie ma moŜliwości sprawdzenia programu. WyraŜając zgodę na przekazanie danych
za granicę w sytuacji, gdy osoby i instytucja, które dane przetwarzają, znajdują się
częściowo poza zakresem jurysdykcji państwa polskiego, Generalny Inspektor Ochrony
Danych Osobowych musi w większym stopniu zwracać uwagę na rozwiązania, czy to
instytucjonalne, czy techniczne, które takiej ochronie mogą sprzyjać lub nie. Trudno
ocenę taką wyrazić abstrakcyjnie, bez odwołania się do określonego stanu faktycznego.
Naczelny Sąd Administracyjny nie stwierdził równieŜ naruszenia przez Generalnego
Inspektora Ochrony Danych Osobowych art. 7 i 77 § 1 K.p.a. Stan faktyczny został
ustalony na podstawie obszernego materiału dowodowego.
Brak jest dowodu na to, Ŝe w trakcie postępowania wyjaśniającego proponowano
inspektorom Generalnego Inspektora sprawdzenie systemu informatycznego "SCS+".
Przeczy temu treść podpisanego protokołu. RównieŜ we wniosku o ponowne rozpatrzenie
sprawy Spółka skarŜąca wskazała, Ŝe system ten moŜe być dopiero uruchomiony w
przyszłości.
Nie jest takŜe słuszny zarzut braku uwzględnienia wniosku o uzyskanie stanowiska
organu ochrony danych na Węgrzech. Dotyczył on bowiem innych podmiotów i innej
sytuacji; nie miał teŜ znaczenia dla sprawy, poniewaŜ Generalny Inspektor Ochrony
Danych Osobowych uzyskał juŜ dane wystarczające do wydania decyzji w sprawie.
Nie jest równieŜ zasadny zarzut naruszenia art. 8 K.p.a. przez powołanie się w
uzasadnieniu decyzji na opinię Prezesa Urzędu Ochrony Konkurencji i Konsumentów,
mimo Ŝe sprawa sądowa nie została jeszcze zakończona, a organ ten zajmuje się innego
typu sprawami. Przeciwnie, badając wiarygodność firmy, która chciała uzyskać zgodę na
transfer danych, organ mógł, a nawet powinien posługiwać się takimi środkami
dowodowymi, które miały tę wiarygodność potwierdzić lub nie. Mimo braku wyroku sądu,
juŜ opinia zawarta w wystąpieniu organu administracji publicznej mogła stanowić środek
dowodowy w sprawie.
PoniewaŜ Naczelny Sąd Administracyjny nie dopatrzył się w zaskarŜonej decyzji
naruszenia prawa, orzekł na podstawie art. 27 ust. 1 i art. 57 ust. 2 ustawy z dnia 11
maja 1995 r. o Naczelnym Sądzie Administracyjnym (Dz. U. Nr 74, poz. 368 ze zm.) w
związku z art. 48 ustawy o ochronie danych osobowych jak w sentencji (...).
-6-