Skład sądu

Mariusz Kotulski
Tamara Dziełakowska
Zbigniew Ślusarczyk (przewodniczący sprawozdawca)

Sentencja

Naczelny Sąd Administracyjny w dniu 3 grudnia 2021 r. na posiedzeniu niejawnym w Izbie Ogólnoadministracyjnej skargi kasacyjnej Ministra Cyfryzacji od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 19 lipca 2018 r. sygn. akt II SA/Wa 2168/17 w sprawie ze skargi Ministra Cyfryzacji na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia (...) listopada 2017 r. Nr (...) w przedmiocie przetwarzania danych osobowych oddala skargę kasacyjną.

Uzasadnienie

Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z 19 lipca 2018 r. sygn. akt II SA/Wa 2168/17, na podstawie art. 151 ustawy z 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2019 r. poz. 2325 ze zm.) zwanej dalej "PostAdmU" oddalił skargę Ministra Cyfryzacji na decyzję Generalnego Inspektora Ochrony Danych Osobowych z (...) listopada 2017 r. Nr (...) w przedmiocie przetwarzania danych osobowych.

W uzasadnieniu wyroku Sąd pierwszej instancji wskazał, że zaskarżona decyzja nie narusza obowiązujących przepisów prawa, w tym art. 48 pkt 1 i 2 i art. 46 ust. 1 ustawy z 24 września 2010 r. o ewidencji ludności (t.j. Dz.U. z 2017 r. poz. 657). W ocenie Sądu Generalny Inspektor Ochrony Danych Osobowych, dalej jako "GIODO", prawidłowo nakazał Ministrowi Cyfryzacji usunięcie uchybień w procesie przetwarzania danych osobowych w zbiorze o nazwie "Rejestr PESEL - CBD i podsystemy tematyczne", w tym udostępnianie danych z rejestru PESEL komornikom sądowym. Uchybienia te polegały na niewystarczającym zabezpieczeniu danych przez brak szczegółowych wytycznych w zakresie odnotowywania celu udostępnienia danych osobowych przez podmioty mające dostęp do ww. rejestru, w tym komorników sądowych. Rolą Ministra Cyfryzacji jako administratora danych w odniesieniu do danych pobieranych przez uprawnione podmioty z rejestru PESEL jest prowadzenie dokumentacji zawierającej opis sposobu przetwarzania danych oraz środków technicznych i organizacyjnych zapewniających ochronę danych. Zatem rację miał GIODO przyjmując, że w analizowanej sprawie środkiem, który uniemożliwi (lub co najmniej utrudni) wykorzystanie danych niezgodnie z celem ich uzyskania, jest wyposażenie aplikacji "Źródło" w funkcjonalność pozwalającą na odnotowanie uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze PESEL.

Ponadto Sąd pierwszej instancji wskazał, że podziela stanowisko GIODO, iż skoro Minister Cyfryzacji udostępnia aplikację "Źródło" podmiotom uprawnionym do dostępu do rejestru PESEL, to na nim spoczywa obowiązek zapewnienia, że aplikacja ta będzie spełniała wszystkie wymogi wynikające z przepisów prawa, w tym wymogi odnoszące się do przetwarzania danych osobowych pobieranych z rejestru PESEL. Nakazane przez organ rozwiązanie pozwoli na dokonanie weryfikacji, czy osoba dokonująca sprawdzenia danych w rejestrze PESEL uczyniła to na potrzeby prowadzonej sprawy, czy też bez żadnego powiązania z nią. Wyposażenie aplikacji "Źródło" w powyższą funkcję będzie skutkowało eliminacją lub ograniczeniem jednego z zagrożeń dla danych przetwarzanych w rejestrze PESEL, a tym samym będzie stanowiło realizację obowiązku wynikającego z art. 36 ust. 1 ustawy o ochronie danych osobowych.

W odniesieniu do potencjalnego zróżnicowania podmiotów uprawnionych do dostępu do rejestru PESEL Wojewódzki Sąd Administracyjny w Warszawie wskazał, że zróżnicowanie to nie może powodować zaniechania przez administratora danych podejmowania działań zmierzających do zlikwidowania (lub co najmniej ograniczenia) zidentyfikowanego ryzyka dla danych przetwarzanych w ramach rejestru PESEL. W konsekwencji, nie można mówić o naruszeniu art. 32 Konstytucji RP, jak również o tym, że organ ochrony danych osobowych nie wziął pod uwagę faktu, że dostęp do rejestru PESEL nie zawsze odbywa się przy wykorzystaniu aplikacji "Źródło".

Skargę kasacyjną złożył Minister Cyfryzacji, zaskarżając powyższy wyrok w całości. W pkt 1 zarzucił naruszenie przepisów prawa materialnego, polegające na błędnej wykładni i niewłaściwym zastosowaniu:

1. art. 48 pkt 1 i 2 w zw. z art. 46 ust. 1 ustawy o ewidencji ludności "(t.j. Dz.U. z 2018 r. poz. 1382)" przez przyjęcie, że z przepisów tych można wywieść, iż zgodnie z dyspozycją system teleinformatyczny winien odnotowywać informację o celu pozyskania danych z rejestru PESEL, podczas gdy zgodnie z art. 48 pkt 1 tej ustawy system teleinformatyczny winien umożliwiać wyłącznie identyfikację osoby uzyskującej dane z rejestru, a także zakres oraz datę ich uzyskania, natomiast art. 46 ust. 1 tej ustawy niejako z mocy prawa wskazuje, że podmioty uprawnione dostęp do rejestru PESEL otrzymują w celu realizacji zadań ustawowych,

2. art. 32 Konstytucji Rzeczypospolitej Polskiej - przez uznanie, że nakazanie przez GIODO Ministrowi Cyfryzacji modyfikacji aplikacji "ŹRÓDŁO" (dodanie pola "uzasadnienie/sygnatura sprawy"), za pośrednictwem której uprawnione podmioty mogą realizować dostęp do rejestru PESEL, nie doprowadzi do zróżnicowania warunków dostępu do rejestru PESEL pomiędzy podmiotami korzystającymi z tej aplikacji i podmiotami, które dostęp do rejestru PESEL realizują za pośrednictwem aplikacji webowych, a tym samym nie stanie w oczywistej sprzeczności z zasadą równości podmiotów wobec prawa.

W oparciu o tak sformułowane zarzuty Minister Cyfryzacji wniósł o uchylenie zaskarżonego wyroku i o rozpoznanie skargi, ewentualnie o uchylenie zaskarżonego wyroku i przekazanie sprawy do ponownego rozpoznania WSA w Warszawie. Ponadto wniósł o zasądzenie kosztów postępowania według norm przepisanych.

W uzasadnieniu skargi kasacyjnej wskazał, że obecnie obowiązujące przepisy ustawy o ewidencji ludności, odmiennie niż poprzednia ustawa z 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych, nie nakazują odnotowywania przez system teleinformatyczny celu pozyskania danych. Aplikacja "Źródło" została wprowadzona zgodnie z obowiązującymi przepisami prawa i nie zawiera modułu dotyczącego wpisywania celu pozyskania danych oraz sygnatury akt sprawy, gdyż prawo tego nie wymagało w chwili projektowania aplikacji, i nadal tego nie wymaga. W ocenie skarżącego kasacyjnie Ministra norma art. 48 ustawy o ewidencji ludności jest adresowana nie do Ministra, a do podmiotów ubiegających się o dostęp do rejestru PESEL. Sąd pierwszej instancji nie wziął pod uwagę, że wydając, w zakresie dostępu do rejestru PESEL, decyzje dla podmiotów uprawnionych, Minister wydaje je na podstawie obowiązujących przepisów prawa. Przed wydaniem takiej decyzji analizowana jest dokumentacja techniczna przyjętego przez podmiot rozwiązania technicznego, m.in. pod kątem spełnienia warunków opisanych w art. 48 pkt 1 ww. ustawy. Przyjęcie, że system ma gromadzić więcej informacji niż nakazuje ustawa, skutkowałoby wydaniem decyzji odmownych, które nie znalazłyby podstawy w przepisach prawa. Natomiast art. 48 pkt 2 ustawy o ewidencji ludności nie odnosi się do systemu teleinformatycznego, a do ogólnych zabezpieczeń siedziby podmiotu, w szczególności miejsca, w którym usytuowane jest stanowisko dostępowe do rejestru PESEL.

Autorka skargi kasacyjnej podniosła też, że Sąd pierwszej instancji oddalając skargę naruszył art. 32 Konstytucji RP. Zróżnicowanie podmiotów w przypadku dostępu do rejestru PESEL nie jest potencjalne. Dostęp może odbywać się albo przez bezpłatną aplikację ŹRÓDŁO, albo przez własny system informatyczny uprawnionego podmiotu. Około 1/3 podłączonych w trybie teletransmisji kancelarii komorniczych korzysta z własnej aplikacji. Rekomendowane przez GIODO rozwiązanie nie znajdzie zastosowania w przypadku zastosowania własnych systemów informatycznych podmiotów uprawnionych, na budowę których Minister Cyfryzacji nie ma wpływu.

W odpowiedzi na skargę kasacyjną Prezes Urzędu Ochrony Danych Osobowych (następca prawny Generalnego Inspektora Ochrony Danych Osobowych) wniósł o jej oddalenie. W uzasadnieniu wskazał, że co prawda przepisy ustawy o ewidencji ludności rzeczywiście nie formułują wprost obowiązku podawania przez podmioty uprawnione uzasadnienia dla dokonywanego sprawdzenia danych w tym rejestrze, ale obowiązek ten można wywieść z treści art. 48 pkt 2 tej ustawy. Dalej wskazał, że zgodnie z art. 51 ww. ustawy spełnienie przez podmiot ubiegający się o dostęp do rejestru PESEL wymagań określonych w art. 48 tej ustawy jest warunkiem udzielenia przez Ministra zgody na udostępnienie danych z rejestru PESEL w tym trybie. Tym samym Minister Cyfryzacji musi dokonać oceny, czy te wymogi zostały spełnione przez ten podmiot. W odniesieniu do art. 32 Konstytucji RP podał, że obowiązek spełnienia wymogów wynikających z art. 48 pkt 2 ustawy o ewidencji ludności dotyczy wszystkich podmiotów ubiegających się o przyznanie dostępu do rejestru PESEL za pomocą urządzeń teletransmisji danych, niezależnie od tego, czy dostęp ten będzie realizowany za pomocą opracowanej przez Ministerstwo Cyfryzacji aplikacji "Źródło", czy też przy wykorzystaniu własnego systemu informatycznego przez taki podmiot.

Naczelny Sąd Administracyjny zważył, co następuje:

W pierwszej kolejności wskazać należy, że w myśl art. 15zzs4 ust. 1 ustawy z 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz.U. 2020, poz. 1842 ze zm. – dalej: ustawa COVID-19) w brzmieniu od 3 lipca 2021 r. (Dz.U. z 2021, poz. 1090), w okresie obowiązywania stanu zagrożenia epidemicznego albo stanu epidemii ogłoszonego z powodu COVID-19 oraz w ciągu roku od odwołania ostatniego z nich Naczelny Sąd Administracyjny nie jest związany żądaniem strony o przeprowadzenie rozprawy. Zgodnie z ust. 3 powołanego przepisu, Przewodniczący może zarządzić przeprowadzenie posiedzenia niejawnego, jeżeli uzna rozpoznanie sprawy za konieczne, a nie można przeprowadzić jej na odległość z jednoczesnym bezpośrednim przekazem obrazu i dźwięku. Na posiedzeniu niejawnym w tych sprawach sąd orzeka w składzie trzech sędziów. W niniejszej sprawie za zgodą stron Przewodniczący skierował sprawę do rozpoznania na posiedzeniu niejawnym. Natomiast Sąd uznając rozpoznanie sprawy za konieczne, wobec braku możliwości przeprowadzenia rozprawy na odległość z jednoczesnym bezpośrednim przekazem obrazu i dźwięku rozpoznał sprawę na posiedzeniu niejawnym na podstawie art. 15 zzs4 ust. 3 ustawy COVID-19.

Stosownie do art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz.U. z 2019 r. poz. 2325 z późn. zm.), zwanej dalej PostAdmU, Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania. W rozpoznawanej sprawie nie zachodzi żadna z okoliczności skutkujących nieważnością postępowania, o jakich mowa w art. 183 § 2 PostAdmU i nie zachodzi żadna z przesłanek, o których mowa w art. 189 PostAdmU, które Naczelny Sąd Administracyjny rozważa z urzędu dokonując kontroli zaskarżonego skargą kasacyjną wyroku. W tych okolicznościach w sprawie badaniu podlegały wyłącznie zarzuty podniesione w skardze kasacyjnej na uzasadnienie przytoczonych podstaw kasacyjnych.

Minister Cyfryzacji w skardze i skardze kasacyjnej podjął próbę wykazania, że brak jest podstawy materialnoprawnej do nakazania mu usunięcia uchybień w procesie przetwarzania danych osobowych przez modyfikację aplikacji "Źródło", w ten sposób, aby umożliwiała ona podanie uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze PESEL. Nałożenie obowiązku na Ministra Cyfryzacji jest podyktowane koniecznością zlikwidowania lub co najmniej ograniczenia zaistniałego ryzyka dla przetwarzania danych w tym rejestrze przez osoby nieuprawnione lub niezgodnie z celem ich uzyskania. Według Ministra Cyfryzacji Generalny Inspektor Ochrony Danych Osobowych i Sąd pierwszej instancji nieprawidłowo przyjęły, że taką podstawą są przepisy "art. 48 pkt 1 i 2 w zw. z art. 46 ust. 1 ustawy z 24 września 2010 r. o ewidencji ludności (t.j. Dz.U. z 2018 r. poz. 1382)". Zdaniem Ministra z tych przepisów nie można wywieść, że system teleinformatyczny winien odnotowywać informacje o celu pozyskania (uzasadnienie pozyskania, sygnaturę sprawy) danych z rejestru PESEL.

Zdaniem Naczelnego Sądu Administracyjnego, Minister Cyfryzacji ma tylko o tyle rację, że normy zawarte w art. 48 pkt 1 i 2 ustawy z 24 września 2010 r. o ewidencji ludności (t.j. Dz.U. z 2017 r. poz. 657) w zakresie spełnienia warunków wskazanych w jego punktach 1 i 2 nie są adresowane do Ministra Cyfryzacji jako administratora danych zawartych w rejestrze PESEL. Adresatami tych przepisów są bowiem podmioty, o których mowa w art. 46 ust. 1 ustawy o ewidencji ludności, tj. podmioty ubiegające się o dostęp do rejestru PESEL. Przemawia za tym przede wszystkim wykładnia językowa tego przepisu. Bowiem zgodnie z art. 48 ustawy o ewidencji ludności w brzmieniu z dnia wydania zaskarżonej decyzji "[p]odmiotom, o których mowa w art. 46 ust. 1, dane z rejestru PESEL i rejestru mieszkańców udostępnia się za pomocą urządzeń teletransmisji danych po złożeniu jednorazowego, uproszczonego wniosku i wyrażeniu przez właściwy organ zgody, o której mowa w art. 51 ust. 1 pkt 1, jeżeli spełnią łącznie następujące warunki: 1) posiadają urządzenia lub systemy teleinformatyczne przeznaczone do komunikowania się pomiędzy uprawnionymi podmiotami a rejestrem PESEL, umożliwiające identyfikację osoby uzyskującej dane z rejestru, zakres oraz datę ich uzyskania; 2) posiadają zabezpieczenia techniczne i organizacyjne właściwe dla przetwarzania danych osobowych, w szczególności uniemożliwiające dostęp osób nieuprawnionych do przetwarzania danych osobowych i wykorzystanie danych niezgodnie z celem ich uzyskania; 3) uzyskanie danych tą drogą jest uzasadnione specyfiką lub zakresem wykonywanych zadań albo prowadzonej działalności". Natomiast stosownie do treści art. 46 ust. 1 tej ustawy "[d]ane z rejestru PESEL, rejestrów mieszkańców oraz rejestrów zamieszkania cudzoziemców, w zakresie niezbędnym do realizacji ich ustawowych zadań, udostępnia się następującym podmiotom: 1) organom administracji publicznej, sądom i prokuraturze; 2) Policji, Straży Granicznej, Służbie Więziennej, Służbie Kontrwywiadu Wojskowego, Służbie Wywiadu Wojskowego, Służbie Celno-Skarbowej, Żandarmerii Wojskowej, Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu, Biuru Ochrony Rządu, Centralnemu Biuru Antykorupcyjnemu, Szefowi Krajowego Centrum Informacji Kryminalnych, organom wyborczym i strażom gminnym (miejskim); 3) komornikom sądowym - w zakresie niezbędnym do prowadzenia postępowania egzekucyjnego; 4) (uchylony); 5) państwowym i samorządowym jednostkom organizacyjnym oraz innym podmiotom - w zakresie niezbędnym do realizacji zadań publicznych określonych w odrębnych przepisach; 6) Polskiemu Czerwonemu Krzyżowi, w zakresie danych osób poszukiwanych". Trafnie podaje organ w odpowiedzi na skargę kasacyjną, że z treści art. 48 pkt 2 ustawy o ewidencji ludności można wywieść obowiązek podawania przez podmioty uprawnione do dostępu do rejestru PESEL uzasadnienia dla dokonywanego sprawdzenia danych w tym rejestrze, bowiem przepis ten stanowi, że podmioty realizujące dostęp do rejestru PESEL za pomocą urządzeń teletransmisji danych muszą posiadać zabezpieczenia techniczne i organizacyjne właściwe dla przetwarzania danych osobowych, uniemożliwiające w szczególności wykorzystanie danych niezgodnie z celem ich uzyskania. Niewątpliwie takim środkiem, który uniemożliwi lub co najmniej utrudni wykorzystanie danych niezgodnie z celem ich uzyskania, byłoby wyposażenie aplikacji "Źródło" oraz aplikacji dostępowych posiadanych przez podmioty uprawnione do dostępu do rejestru PESEL, w funkcjonalność pozwalająca na odnotowanie uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze PESEL. Nie jest tak jak twierdzi skarżący kasacyjnie, że obecne przepisy ustawy o ewidencji ludności nie pozwalają na gromadzenie informacji o celu pozyskania danych z rejestru PESEL lub sygnatury sprawy, w związku z którą dane z tego rejestru zostały pozyskane. Nie oznacza to jednak, że omawiane przepisy art. 48 pkt 1 i 2 w zw. z art. 46 ust. 1 ustawy z 24 września 2010 r. o ewidencji ludności uprawniają do nałożenia obowiązku utworzenia takiej funkcjonalności na Ministra Cyfryzacji jako administratora danych zgromadzonych w rejestrze PESEL.

Co prawda zgodnie z art. 51 ustawy o ewidencji ludności, spełnienie przez podmiot ubiegający się o dostęp do rejestru PESEL za pomocą urządzeń teletransmisji danych wymagań określonych w art. 48 tej ustawy (a więc również wymogu odnoszącego się do posiadania zabezpieczeń technicznych i organizacyjnych właściwych dla przetwarzania danych osobowych, uniemożliwiających w szczególności wykorzystanie danych niezgodnie z celem ich uzyskania) jest warunkiem udzielenia przez Ministra Cyfryzacji zgody na udostępnienie danych z rejestru PESEL w tym trybie. Zatem Minister Cyfryzacji wydając w tym zakresie decyzję, musi dokonać oceny, czy te wymogi zostały spełnione przez podmiot wnoszący o dostęp (stały) do rejestru PESEL. W toku tej oceny Minister ma obowiązek zweryfikować, czy podmiot ubiegający się o dostęp wdrożył zabezpieczenie uniemożliwiające wykorzystanie pobranych danych z rejestru PESEL w sposób niezgodny z celem ich uzyskania. Te zabezpieczenia nie mogą ograniczać się tylko do zabezpieczeń siedziby i miejsca usytuowania stanowiska dostępu do rejestru PESEL, ale muszą odnosić się do wszystkich elementów wykorzystywanych do uzyskiwania dostępu do danych przetwarzanych w rejestrze PESEL. Jak trafnie wskazuje też organ, w tym kontekście nie ma żadnych przeciwwskazań, aby takie zabezpieczenie funkcjonowało w ramach systemu informatycznego wykorzystywanego do dostępu do rejestru PESEL. Jednak przedstawione stanowisko organu oparte na takiej wykładni art. 48 pkt 2 ustawy o ewidencji ludności, nie usprawiedliwia nałożenia omawianego obowiązku na Ministra Cyfryzacji jako administratora danych w rejestrze PESEL, ponieważ nie jest on podmiotem ubiegającym się o dostęp do rejestru PESEL. Nie podważa tego stanowiska to, że jak twierdzi organ, "Minister Cyfryzacji udostępnia aplikację "Źródło" podmiotom uprawnionym do dostępu do rejestru PESEL. Sam ten fakt nie kreuje obowiązku z art. 48 pkt 2 ustawy o ewidencji ludności, tj. zapewnienia przez Ministra, że aplikacja ta będzie spełniała wszystkie wymogi wynikające z przepisów prawa, w tym wymogi odnoszące się do przetwarzania danych osobowych pobieranych z rejestru PESEL.

Jak to jednak przede wszystkim przyjął prawidłowo Generalny Inspektor Ochrony Danych Osobowych, kwestię odpowiedniego zabezpieczenia danych osobowych i obowiązków administratora danych w powyższym zakresie regulują przepisy ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922. ze zm.). Na dzień wydania zaskarżonej decyzji był to art. 36 ust. 1 tej ustawy. Przepis ten stanowił, że "[a]dministrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem". Należy bowiem przypomnieć, o czym zdaje się zapominać autorka skargi kasacyjnej, że organ w zaskarżonej decyzji (podobnie jak i decyzji ją poprzedzającej) ustosunkowując się do zarzutów Ministra wyraźnie podawał, że "przepisy ustawy rzeczywiście nie formułują wprost obowiązku podawania przez podmioty uprawnione do dostępu do rejestru PESEL uzasadnienia dla sprawdzenia danych w tym rejestrze, choć można próbować go wywieść z treści art. 48 pkt 2 powołanej ustawy". Zasadniczo jednak, organ przyjął w tejże decyzji, że "[k]westie odpowiedniego zabezpieczenia danych osobowych i obowiązków administratora danych w tym zakresie regulują jednak przede wszystkim przepisy ustawy o ochronie danych osobowych, a w szczególności art. 36 ust. 1 tej ustawy". Argumentację organu i Sądu pierwszej instancji opartą na regulacji zawartej w art. 48 pkt 2 ustawy o ewidencji ludności należy uznać za mającą jedynie wzmocnić stanowisko organu przemawiające za nałożeniem na Ministra przedmiotowego obowiązku. Argumentacja ta nie przesądzała o prawidłowości stanowiska organu opartego na wykładni art. 36 ust. 1 tej ustawy i choć nie znalazła uznania Naczelnego Sądu Administracyjnego, to nie podważa prawidłowości stanowiska organu co do zasady. Tymczasem w skardze kasacyjnej nie neguje się stanowiska organu opartego na wykładni art. 36 ust. 1 ustawy o ochronie danych osobowych i nie zarzuca się naruszenia tego przepisu.

Przepis art. 36 ust. 1 ustawy o ochronie danych osobowych (obecnie art. 24 i 32 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119 z 4 maja 2016, str. 1 oraz Dz.Urz. WE L 127 z 23 maja 2018, str.2)) nakładał na Ministra Cyfryzacji jako administratora danych przetwarzanych w ramach rejestru PESEL, obowiązek zastosowania takich środków technicznych i organizacyjnych, które zapewnią odpowiednią ochronę danych osobowych. Skoro w skardze kasacyjnej nie neguje się, że wyposażenie systemu informatycznego w funkcjonalność pozwalającą na odnotowywanie celu pozyskiwania danych spowoduje zwiększenie bezpieczeństwa danych przetwarzanych w ramach rejestru PESEL, przez wyeliminowanie (lub co najmniej ograniczenie) zidentyfikowanego już zagrożenia dla danych, polegającego na możliwości dokonywania sprawdzeń w tym rejestrze przez podmioty uprawnione bez związku z prowadzoną sprawą, to oczywistym jest, że konieczne jest zobowiązanie Ministra jako administratora danych do podjęcia działań niezbędnych do wyeliminowania (lub co najmniej ograniczenia) takiej praktyki. Nie ulega wątpliwości, że najbardziej odpowiednim sposobem przeciwdziałania w/w praktykom będzie wdrożenie w aplikacji "Źródło", za pośrednictwem której jest realizowany dostęp do rejestru PESEL, funkcjonalności wymuszającej podawanie uzasadnienia dla dokonywanego sprawdzenia, np. w postaci sygnatury. Umożliwienie odnotowywania przez system teleinformatyczny celu pozyskania danych ma pozwolić na kontrolowanie podmiotów i informacji, które są pozyskiwane, a w konsekwencji przyczyni się do ochrony danych osobowych. Trzeba tu przypomnieć, że wskazane wyżej zagrożenie zostało zidentyfikowane w związku z dostępem do rejestru PESEL przez Komorników sądowych.

Zatem słusznie zarówno organ jak i Sąd pierwszej instancji przyjęły przepis art. 36 ust. 1 ustawy o ochronie danych osobowych jako zasadniczą podstawę nałożenia na Ministra obowiązku wskazanego w punkcie 3 jego decyzji z (...) września 2017 r., bowiem w sytuacji zidentyfikowania zagrożeń dla ujawniania danych z rejestru w sposób niezgodny z celami jakim służy, Minister nie podjął wszystkich niezbędnych działań w celu ich ochrony, do których jest zobowiązany na podstawie tego przepisu. Minister jako administrator danych jest nie tylko odpowiedzialny za przestrzeganie zasad wskazanych w art. 36 ust. 1 u.o.d.o., lecz także miał obowiązek wykazać w niniejszej sprawie przestrzeganie zasad ochrony danych osobowych.

Rozstrzygnięcie Sądu akceptujące nałożenie przez organ na Ministra Cyfryzacji obowiązku w punkcie 3 decyzji z (...) września 2017 r., nie narusza art. 32 Konstytucji RP. Skarżący kasacyjnie upatruje tego naruszenia w uznaniu, że nakazanie modyfikacji aplikacji "Źródło" (dodania pola uzasadnienie/sygnatura sprawy), za pośrednictwem której uprawnione podmioty mogą realizować dostęp do rejestru PESEL, nie doprowadzi do zróżnicowania warunków dostępu do rejestru PESEL, pomiędzy podmiotami korzystającymi z tej aplikacji i podmiotami, które dostęp do rejestru PESEL realizują za pośrednictwem aplikacji webowych, a tym samym nie stanie w oczywistej sprzeczności z zasadą równości. Zawarta w art. 32 ust. 1 Konstytucji RP zasada równości wobec prawa w znaczeniu formalnym oznacza konieczność takiego samego traktowania przez prawo wszystkich adresatów norm, bez wprowadzania jakiegokolwiek różnicowania. W orzecznictwie Trybunału Konstytucyjnego przyjmuje się, że zasada równości "polega na tym, że wszystkie podmioty prawa (adresaci norm prawnych) charakteryzujące się daną cechą istotną (relewantną) w równym stopniu, mają być traktowane równo, a więc według jednakowej miary, bez zróżnicowań zarówno dyskryminujących jak i faworyzujących" (wyrok TK z 9 marca 1988 r., U 7/87, OTK 1988, nr 1, poz. 1).

Nie budzi wątpliwości, że dostęp do rejestru PESEL może odbywać się w dwojaki sposób: przez bezpłatną aplikacje "Źródło" – zbudowaną przez Ministra Cyfryzacji lub przez własny system informatyczny uprawnionego podmiotu – zbudowany np. przez prywatnego dostawcę. Z niepodważanych informacji Ministra Cyfryzacji wynika, że około 1/3 komorników sądowych podłączonych w trybie teletransmisji korzysta z własnej aplikacji. Z własnych aplikacji dostępowych do rejestru PESEL korzystają też ABW, SKW, CBA, Komenda Główna Policji i Straż Graniczna. "Rekomendowane" przez Generalnego Inspektora Ochrony Danych Osobowych rozwiązanie nie znajdzie zastosowania w przypadku, w którym podmiot uzyskuje dostęp do danych za pomocą swojego systemu teleinformatycznego. Nie oznacza to jednak, że wymogi ochrony danych osobowych, do których zobowiązano Ministra, mające zastosowanie do podmiotów niekorzystających z własnej aplikacji dostępowej, nie mogą być wdrożone również w stosunku do pozostałych podmiotów korzystających z własnej aplikacji. Nie stoją temu na przeszkodzie regulacje zawarte w art. 36 ust. 1 u.o.d.o. i art. 48 w zw. z art. 46 ust. 1 ustawy o ewidencji ludności. Z przepisów tych wynikał wręcz obowiązek Ministra Cyfryzacji do podjęcia działań zrównujących wymogi ochrony danych osobowych wobec obydwu grup podmiotów mających dostęp do danych zgromadzonych w rejestrze PESEL. Nie można zgodzić się z Ministrem, że nie ma żadnego wpływu na budowę własnych aplikacji dostępowych innych podmiotów. Przede wszystkim Minister Cyfryzacji przed wydaniem decyzji o wyrażeniu zgody na udostępnienie danych za pomocą urządzeń teletransmisji danych, dokonując oceny spełnienia wymogów m.in. z art. 36 ust. 1 u.o.d.o. i art. 48 w zw. z art. 46 ust. 1 ustawy o ewidencji ludności powinien zbadać, czy podmiot korzystający z własnego systemu informatycznego przy dostępie do rejestru PESEL, wdrożył zabezpieczenia uniemożliwiające wykorzystanie danych niezgodnie z celem ich uzyskania. Ponadto Minister w związku z zaistnieniem zagrożenia wykorzystywania danych w sposób niezgodny z celem ich pozyskiwania, powinien podjąć działania w celu przeciwdziałania powstałemu zróżnicowaniu. Jak to wskazuje organ, przykładem takiego działania może być opracowanie wytycznych dla podmiotów korzystających przy dostępie do rejestru PESEL z własnych systemów informatycznych, w tym wskazówek, jak interpretować wynikający z art. 48 pkt 2 ustawy o ewidencji ludności, wymóg posiadania zabezpieczeń technicznych i organizacyjnych uniemożliwiających wykorzystywanie danych niezgodnie z celem ich uzyskania. Zatem Minister Cyfryzacji posiada środki prawne i techniczno-organizacyjne umożliwiające wyeliminowanie zarzucanego zróżnicowania w sytuacji podmiotów, które korzystają z dostępu do rejestru PESEL.

Podsumowując powyższe, jak to słusznie podnosi organ w odpowiedzi na skargę kasacyjną, sam fakt, że dostęp do rejestru PESEL może być realizowany także inną drogą niż przez prawidłowo zmodyfikowaną przez Ministra aplikację "Żródło", nie oznacza naruszenia zasady równości wynikającej z art. 32 ust. 1 Konstytucji RP. Podsumowując taka wykładnia przepisów, która nakazuje zachowanie odpowiednich standardów ochrony danych osobowych w stosunku do jednych podmiotów nie oznacza ich nierównego traktowania czy dyskryminacji, skoro takie same odpowiednie standardy mogą być wymagane w stosunku do pozostałych podmiotów.

W rezultacie, trafne jest stwierdzenie Sądu pierwszej instancji, że potencjalne zróżnicowanie podmiotów uprawnionych do dostępu do rejestru PESEL, nie może powodować zaniechania przez administratora danych podejmowania działań zmierzających do zlikwidowania (lub co najmniej ograniczenia) zidentyfikowanego ryzyka dla danych przetwarzanych w ramach rejestru PESEL. W konsekwencji, nie można mówić o naruszeniu art. 32 Konstytucji RP, jak również o tym, że organ ochrony danych osobowych, rozstrzygając niniejszą sprawę, nie wziął pod uwagę faktu, że dostęp do rejestru PESEL nie zawsze odbywa się przy wykorzystaniu aplikacji "Źródło".

Mając na uwadze powyższe wywody, Naczelny Sąd Administracyjny uznał, że zaskarżony wyrok mimo częściowo błędnego uzasadnienia odpowiada prawu, dlatego na mocy art. 184 PostAdmU oddalił skargę kasacyjną.