wtorek, lutego 19, 2013

Na jakie elementy umowy outsourcingowej warto zwrócić uwagę



Outsourcing
Umowa outsourcingowa, z punktu widzenia prawnego to umowa o świadczenie usług, do której odpowiednio będą miały zastosowanie przepisy o zleceniu. Z racji tego, że umowa ta nie jest umowa zytypizowaną w kodeksie cywilnym, jej warunki mogą być z dużą swobodą kształtowany przez strony.

Jakich zasad należy przestrzegać, aby projekt outsourcingowy przyniósł oczekiwane korzyści?

Wiedza o usługodawcy 
Podstawą osiągnięcia sukcesu jest dokonanie pogłębionej analizy potrzeb i ryzyk po stronie zleceniodawcy związanych z przyszłym projektem outsourcingowym. Nie mniej istotne jest poznanie kultury organizacyjnej naszego przyszłego partnera outsourcingowego, stosowanych przez niego rozwiązań w zarządzaniu procesami lub doświadczeń w realizacji podobnych projektów.

Jedną z ważnych czynności na etapie wyboru usługodawcy jest także przeanalizowanie stosowanych przez niego warunków świadczenia usług.

Powinniśmy zwrócić uwagę, w jaki sposób umowa reguluje obowiązki stron w trakcie całego cyklu życia projektu – od jego początkowej fazy, poprzez problemy, które mogą pojawić się na etapie późniejszym, aż do jego zakończenia. 

Doświadczenie podpowiada, że często zleceniodawcy skupiają się przede wszystkim na kwestii sprawnego rozpoczęcia współpracy, wydzielenia procesu ze swojej organizacji i powierzenia go partnerowi outsourcingowemu, traktując jako drugorzędne kwestie wystąpienia trudności w dalszej fazie projektu i związanej z tym konieczności podjęcia określonych działań.

Ograniczenia prawne

Za jeden z najistotniejszych problemów w projektach outsourcingowych uznaje się konieczność zapewnienia poufności i bezpieczeństwa informacji przekazywanych usługodawcy, w związku z czym już na etapie planowania transakcji warto zastanowić się jakie informacje będą przekazywane partnerowi i czy ewentualne ograniczenia prawne związane z poszczególnymi typami informacji nie spowodują całkowitej niemożliwości zrealizowania projektu.

Po pierwsze należy sprawdzić czy przekazywane informacje nie są objęte szczególnymi uregulowaniami dotyczącymi obowiązku zachowania tajemnicy zawodowej. W Polsce istnieje ponad 70 różnego rodzaju tajemnic zawodowych i niektóre ustawy jak np. prawo bankowe czy ustawa o działalności ubezpieczeniowej zawierają ograniczenia w możliwości zastosowania outsourcingu lub stawiają dodatkowe wymogi, którym umowa musi odpowiadać. 

Podobna sytuacja dotyczy branży medycznej, w której możliwość ujawniania wrażliwych informacji na rzecz podmiotów trzecich, niezwiązanych tajemnicą lekarską jest właściwie wyłączona. Ważna jest zatem już na wstępie prawidłowa klasyfikacja przekazywanych informacji w kontekście ograniczeń prawnych.

Po drugie należy sprawdzić czy w ramach umowy dojdzie do przekazania informacji zawierających dane osobowe, gdyż w tym zakresie obowiązki wynikające z ustawy o ochronie danych osobowych mogą przysporzyć niemałych kłopotów w szczególności, jeśli dane będą przekazywane do krajów spoza Europejskiego Obszaru Gospodarczego, np. Stanów Zjednoczonych bądź Indii. Na takie przekazanie konieczna jest bowiem albo oddzielna zgoda osoby, której dane są transferowane albo spełnienie innych przesłanek wymienionych w ustawie o ochronie danych osobowych. W niektórych przypadkach konieczna będzie zgoda na transfer danych wydana przez Generalnego Inspektora Danych Osobowych.

Monitoring wykonania umowy, certyfikaty 

Na etapie realizacji umowy, wśród najczęstszych problemów wymienianych przez firmy korzystające z outsourcingu, jest niedotrzymywanie przez usługodawcę uzgodnionego poziomu obsługi. Dzieje się tak, ponieważ często strony umowy nie potrafią w sposób jednoznaczny i precyzyjny opisać kryteriów, od których uzależniona będzie ocena jej funkcjonowania. Kryteria te powinny być jak najbardziej mierzalne oraz precyzyjnie powiązane ze ewentualnymi sankcjami za niedotrzymanie uzgodnionych parametrów.

Warto także wspomnieć o przedstawianych przez usługodawców certyfikatach mających gwarantować odpowiednią jakość usługi. Posiadanie takich certyfikatów jest zazwyczaj pomocnym elementem oceny rzetelności partnera outsourcingowego, jednakże nie powinno być wyłącznym dowodem na to, że odpowiednie procedury są rzeczywiście stosowane przez usługodawcę. W celach prewencyjnych warto zastrzec w umowie prawo do dokonania kontroli przestrzegania norm w szczególnie ważnych dla nas kwestiach (np. bezpieczeństwa danych).

Elastyczność umowy
Jak jednak postępować, gdy środki prewencyjne nie przyniosły rezultatów i kontrahent nie wywiązuje się z umowy outsourcingowej, zagrażając ciągłości realizowanych procesów biznesowych lub, co gorsza, powodując wymierne straty finansowe ?

Niezwykle ważne jest wcześniejsze szczegółowe określenie skutków naruszenia umowy, w szczególności zagwarantowanie sobie uprawnienia do jej rozwiązania. Dobrze skonstruowana „klauzula wyjścia” jest najważniejszym, w mojej ocenie, składnikiem umowy outsourcingowej.

Samo zastrzeżenie uprawnienia do rozwiązania umowy nie jest jednak jedynym zadaniem negocjatora umowy outsourcingowej. Niezbędne jest także dokładne opisanie różnych skutków rozwiązania umowy, ze szczególnym uwzględnieniem zwrotu posiadanych przez usługodawcę danych oraz zobowiązania się przez niego do usunięcia danych po wygaśnięciu umowy, wreszcie uregulowania relacji stron w zakresie świadczenia usług w okresie przejściowym, przed całkowitym wygaśnięciem umowy.

Podsumowanie 
Nie ma jednego typu umowy outsourcingowej, dlatego każdorazowo konieczne jest dokładne rozważenie ryzyk występujących w określonej sytuacji wraz ze zdefiniowaniem mechanizmów zabezpieczających interesy zleceniodawcy. Najistotniejszym jest, aby pamiętać, iż kontrakt outsourcingowy wymaga zarządzania na każdym jego etapie, a im wcześniej zidentyfikujemy problem, tym mniej kosztować będzie jego usunięcie.

wtorek, listopada 29, 2011

Opinia rzecznika generalnego ETS w sprawie C-406/10 SAS Institute Inc.

W niezwykle interesującej sprawie pomiędzy dwoma brytyjskimi producentami oprogramowania, której rozstrzygnięcie niedługo zapadnie przed Europejskim Trybunałem Sprawiedliwości, rzecznik generalny wydał swoją opinię na temat zakresu ochrony prawno autorskiej oprogramowania. Opinię Rzecznika można znaleźć pod tym adresem

piątek, listopada 18, 2011

Bardzo ważne orzeczenie ETS dotyczące możliwości dochodzenia roszczeń w przypadku, gdy nie jest znany obecny adres pozwanego. W przedmiotowej sprawie roszczeń dochodził bank czeski na podstawie umowy kredytowej z kredytobiorcą będącym osobą fizyczną, dodatkowo konsumentem. 
http://bit.ly/tKVf3K

czwartek, września 22, 2011

Opodatkowanie z tytułu testowania oprogramowania przez nierezydenta

Oczywista oczywistość lecz potrzebna była interpretacja indywidualna Dyrektora Izby Skarbowej w Katowicach z dnia 19 sierpnia 2011 r., sygn. IBPBI/2/423-575/11/BG.
Od wynagrodzenia wypłacanego osobom prawnym świadczącym poza granicami Polski usługi testowania oprogramowania nie pobiera się zryczałtowanego podatku w wysokości 20 %, przewidzianego w ustawie o CIT dla dochodów nierezydentów ze świadczenia usług niematerialnych.
Usługi testowania oprogramowania (gdy nie będzie dochodziło do przeniesienia praw autorskich ani do udzielenia licencji) nie zostały wymienione w treści art. 21 ust. 1 pkt 1 i 2 oraz w pkt 2a ustawy o podatku dochodowym od osób prawnych, jak również nie mają podobnego charakteru do świadczeń tam wymienionych, a tym samym nie podlegają opodatkowaniu na zasadach określonych w tym przepisie.
Należności, które spółka będzie wypłacać osobom prawnym świadczącym usługi testowania oprogramowania, jeżeli osoby te nie posiadają zakładu na terytorium Polski w rozumieniu umowy o unikaniu podwójnego opodatkowania, nie podlegają opodatkowaniu zryczałtowanym podatkiem dochodowym od osób prawnych w Polsce.
Zatem, spółka dokonując przedmiotowych wypłat nie jest zobowiązana jako płatnik na podstawie art. 26 ust. 1 w związku z art. 21 ust. 1 pkt 1, 2 i 2a ustawy o CIT do poboru zryczałtowanego podatku dochodowego. Nie ma również obowiązku posiadania certyfikatu rezydencji podmiotu zagranicznego świadczącego dla niej usługi testowania oprogramowania.

poniedziałek, czerwca 06, 2011

Outsourcing danych medycznych

Przy okazji lektury artykułu w Rzeczpospolitej dotyczącego sporu o przetwarzanie danych medycznych pacjenta zwróciłem uwagę na wypowiedź dr Sibigi o następującej treści : "Ustawa o prawach pacjenta i rzeczniku praw pacjenta w żaden sposób nie reguluje powierzenia innym podmiotom usług związanych z dostępem do danych medycznych, np. serwisującym sprzęt z utrwalonymi danymi czy zarządzającym systemami informatycznymi z danymi osobowymi. A ponieważ chodzi o dane objęte tajemnicą zawodową, nie można powoływać się na ogólne zasady powierzenia przetwarzania danych określone w ustawie o ochronie danych osobowych." 

Wypowiedź nie dotyczy wprawdzie bezpośrednio sprawy poruszanej w artykule, niemniej bardzo cieszy mnie, że ktoś publicznie zwrócił uwagę powyższą okoliczność. Wspomniana ustawa o prawach i o Rzeczniku Praw Pacjenta faktycznie w żaden sposób nie odnosi się do kwestii dopuszczalności outsourcingu w działalności zakładów opieki zdrowotnej - nie ma w niej żadnych zapisów poświęconych outsourcingowi, takich jak np. w ustawie o działalności ubezpieczeniowej czy też prawie bankowym, które regulują tą formę działalności. Mamy więc do czynienia z pytaniem czy ustawodawca umyślnie zdecydował, że outsourcing jest zakazany i nie poświęcił mu choćby jednego zdania w przepisach czy też brak regulacji w tym względzie jest po prostu przeoczeniem, luką ustawową, wobec czego należy szukać rozwiązań problemu na gruncie zasad ogólnych wyznaczanych przez ustawę o ochronie danych osobowych.

Jednocześnie ustawa o ochronie danych osobowych wyznacza bardzo wąskie przesłanki do przetwarzania tzw."danych wrażliwych", ograniczając krąg podmiotów uprawnionych do przetwarzania takich danych do "osób trudniących się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych". Przy takim brzmieniu ustawy ciężko znaleźć jednoznaczne przyzwolenie do powierzenia przetwarzania danych medycznych na rzecz podmiotów trzecich.  

Niektórzy komentatorzy upatrują przyzwolenia dla outsourcingu w niedawnej zmianie rozporządzenia dotyczącego przechowywania dokumentacji medycznej, niektórzy "podciągają" outsourcing pod pojęcie 'zarządzania udzielaniem usług medycznych", niemniej sytuacja prawna pozostaje takiej działalności pozostaje w mojej opinii niejasna i przydałoby się podjąć rzeczową dyskusję na temat jej uregulowania, jeżeli myślimy poważnie o unowocześnieniu przetwarzania dokumentacji medycznej.
 
Uważam, że tak samo jak w przypadku ustaw dla bankowców i ubezpieczycieli outsourcing powinien być uregulowany instytucjonalnie, w postaci odpowiednich przepisów rangi ustawowej.Gdyby w międzyczasie pojawiły się jakieś wskazówki ze strony  GIODO jak poruszać się na tym polu minowym, byłoby niezmiernie miło.

poniedziałek, marca 21, 2011

Opinia Grupy Roboczej o marketingu behawioralnym


Opinia o marketingu behawioralnym

piątek, marca 04, 2011

NSA o danych osobowych przedsiębiorców zawartych w ewidencji działalności gospodarczej

Podstawa prawna wyroku nieaktualna !!! 


Wrzucam na bloga, aby wyrok się nie zapodział gdzieś na dysku :)

Ciekawa sprawa z uwagi na fakt, iż art. 7a ust. 2 ustawy Prawo działalności gospodarczej, który jest jednym z przepisów analizowanych przez Sąd w tej sprawie, przestał niedawno obowiązywać. Pojawia się wątpliwość czy wobec tego dane przedsiębiorcy podlegają pełnej ochronie prawnej wynikającej  z uodo. Taka interpretacja stanowiłaby dużą zmianę w dotychczasowej praktyce i obowiązkach przedsiębiorstw przetwarzających dane osobowe, ponieważ w odniesieniu do danych partnerów handlowych, osób indywidualnych, należałoby spełniać obowiązki wynikające z  ustawy o ochronie danych osobowych. 


I OSK 756/09 - Wyrok NSA
Sentencja
Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Małgorzata Pocztarek Sędziowie: sędzia NSA Jolanta Rajewska (spr.) sędzia del. WSA Ewa Kwiecińska Protokolant Anna Krakowiecka po rozpoznaniu w dniu 15 marca 2010 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Generalnego Inspektora Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 3 marca 2009 r. sygn. akt II SA/Wa 1349/08 w sprawie ze skargi T. W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] sierpnia 2008 r. [...] w przedmiocie umorzenia postępowania w sprawie ochrony danych osobowych oddala skargę kasacyjną.
Uzasadnienie
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 3 marca 2009 r., sygn. akt II SA/Wa 1349/08 uchylił decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] sierpnia 2008 r., [...] oraz poprzedzającą ją decyzję z dnia [...] maja 2008 r. w przedmiocie umorzenia postępowania w sprawie ochrony danych osobowych.
Wyrok zapadł w następujących okolicznościach sprawy.
Generalny Inspektor Ochrony Danych Osobowych decyzję z dnia [...] maja 2008 r. [...], wydaną na podstawie art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm. – dalej w skrócie k.p.a.) oraz art. 12 pkt 2 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), umorzył postępowania w sprawie ochrony danych osobowych. Uzasadniając tę decyzję, organ wskazał, iż T. W. zwrócił się do Generalnego Inspektora Ochrony Danych Osobowych o podjęcie stosownych działań, gdyż [...] Sp. z o.o. z siedzibą w W. nie dopełniła wobec niego obowiązku informacyjnego wynikającego z art. 33 cyt. ustawy o ochronie danych osobowych. W toku przeprowadzonego postępowania organ ustalił, iż Spółka przetwarzała dane osobowe skarżącego na podstawie umowy o świadczenie usług telekomunikacyjnych z dnia 30 kwietnia 2001 r. zawartej z [...] System W. T. z siedzibą w W. Pismami z dnia 8 listopada 2007 r. oraz z dnia 16 grudnia 2007 r. skarżący wystąpił do [...] o udostępnienie mu jego danych w celu ich weryfikacji. Spółka wniosku tego nie uwzględniła, argumentując, iż uprawnienia wynikające z ustawy o ochronie danych osobowych, w tym przewidziane w art. 33 ustawy, nie przysługują osobom prowadzącym działalność gospodarczą. Stanowisko to jest zasadne, co oznacza, że w sprawie omawiana ustawa nie ma zastosowania, a zatem postępowanie wszczęte na jej podstawie podlegało umorzeniu. Ponadto organ stwierdził, że brak jest dowodów, iż skarżący poinformował [...] o zaprzestaniu prowadzenia działalności gospodarczej. Powyższego faktu nie potwierdza w szczególności kopia przedstawionego przez T. W. pisma z dnia [...] sierpnia 2007 r., ponieważ Spółka oświadczyła, iż takiego podania od skarżącego nie otrzymała.
W dniu 3 czerwca 2008 r. T. W. wniósł o ponowne rozpatrzenie sprawy, zarzucając, że organ pobieżnie i lakonicznie załatwił jego sprawę, a swe rozstrzygnięcie oparł na nieprawdziwych informacjach uzyskanych tylko od Spółki. Ponadto wyjaśnił, iż w dniu 2 lipca 2007 r. przesłał na nr faksu [...] kopię decyzji o wykreśleniu swej działalności z ewidencji działalności gospodarczej. Konsultanci Biura Obsługi Klienta tego samego dnia i w późniejszych rozmowach telefonicznych wielokrotnie potwierdzali fakt otrzymania takiego zawiadomienia. Niezależnie od tego w dniu 15 kwietnia 2008 r. po raz kolejny złożył w biurze Spółki dokument potwierdzający wyrejestrowanie działalności gospodarczej.
Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] sierpnia 2008 r. [...] utrzymał w mocy swą poprzednią decyzję z dnia [...] maja 2008 r. Ponawiając wyrażone tam stanowisko, organ stwierdził, że w dalszym ciągu nie został udowodniony fakt, iż T. W. zawiadomił Spółkę o zaprzestaniu prowadzenia działalności gospodarczej. Wymieniony w dniu 15 kwietnia 2008 r. złożył kopię swego pisma z dnia 1 lipca 2007 r., a tym samym sam przyznał, że Spółka wcześniej nie została o tej okoliczności poinformowana. Oznacza to, że [...] przetwarzała dane osobowe T. W. nie jako osoby fizycznej, lecz jako podmiotu gospodarczego. Należy zatem uznać, że ustawa o ochronie danych osobowych nie miała w niniejszej sprawie zastosowania. Powyższe dane Spółka przetwarzała na podstawie ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz. U. z 2007 r. Nr 155, poz. 1095 ze zm.) oraz art. 7a ust. 2 ustawy - Prawo działalności gospodarczej, który zachował moc obowiązującą do dnia 30 września 2008 r.
Powyższą decyzję Generalnego Inspektora Ochrony Danych Osobowych T. W. zaskarżył do Wojewódzkiego Sądu Administracyjnego w Warszawie. W uzasadnieniu skargi skarżący powtórzył argumenty przedstawione we wniosku o ponowne rozpatrzenie sprawy oraz domagał się wydania decyzji nakazującej Spółce [...] udostępnienie jego danych.
W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując stanowisko wyrażone w zaskarżonej decyzji.
Powołanym na wstępie wyrokiem z dnia 3 marca 2009 r., sygn. akt II SA/Wa 1349/08 Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit. a i c ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm. – dalej powoływana jako P.p.s.a.) uchylił zaskarżoną decyzję oraz poprzedzającą ją decyzję Generalnego Inspektora Ochrony Danych Osobowych.
W uzasadnieniu wyroku Sąd I instancji wskazał, iż z akt sprawy bezspornie wynika, iż [...] Sp. z o.o. przetwarzała dane osobowe skarżącego na podstawie umowy o świadczenie usług telekomunikacyjnych z dnia 30 kwietnia 2001 r. zawartej z [...] System W. T. z siedzibą w W. Prezydent miasta stołecznego Warszawy decyzją z dnia [...] czerwca 2007 r. [...], działając na podstawie art. 7e ust. 1 pkt 1 i art. 7g ust. 1 ustawy z dnia 19 listopada 1999 r. - Prawo działalności gospodarczej (Dz. U. Nr 101, poz. 1178 ze zm.), wykreślił z ewidencji działalności gospodarczej wpis dotyczący T. W. Z tą chwilą skarżący podejmował działania zmierzające do poinformowania Spółki o tym, że nie prowadzi działalności gospodarczej, a informacje dotyczące jego osoby należy traktować jako dane osobowe.
Generalny Inspektor Ochrony Danych Osobowych, kierując się treścią art. 6 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm. - dalej w skrócie uodo), uznał, iż dane dotyczące skarżącego będące w posiadaniu [...] Sp. z o.o. nie są danymi osobowymi, gdyż Spółka przetwarza je jako dane osoby prowadzącej działalność gospodarczą, nie zaś osoby fizycznej, a brak jest dowodów wskazujących na to, że T. W. poinformował spółkę o zaprzestaniu prowadzenia działalności gospodarczej. Wobec tego organ przyjął, że postępowanie jako bezprzedmiotowe podlega, na podstawie art. 105 § 1 k.p.a., umorzeniu. W ocenie Sądu I instancji takie stanowisko organu uznać należało za błędne. Przepis art. 1 ustawy o ochronie danych osobowych statuuje bowiem zasadę autonomii informacyjnej człowieka. Znajduje w nim swój wyraz idea powszechności ochrony danych osobowych (por Komentarz do art. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, [w:] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, LEX, 2007, wyd. IV). Prawo do takiej ochrony przysługuje każdemu, a jego ograniczenia mogą być wprowadzone przepisem rangi ustawowej. Dane osobowe mają charakter obiektywny. O tym czy mamy do czynienia z danymi osobowymi nie decyduje subiektywne przeświadczenie podmiotu, który takie dane przetwarza, ale sam fakt tego, czy są one informacją dotyczącą możliwej do zidentyfikowania osoby fizycznej. Ustawodawca w art. 6 uodo nie uzasadnia ochrony danych osobowych i ewentualnej interwencji Generalnego Inspektora Ochrony Danych Osobowych od przeświadczenia administratora o tym, czy informacje, które posiada są danymi osobowymi, czy też nie. Jeżeli więc dany podmiot posiada informacje, o których mowa w art. 6 uodo, to są to dane osobowe. Takie dane osobowe zawsze podlegają ocenie uprawnionych organów z punktu widzenia ustawy o ochronie danych osobowych. Natomiast subiektywne podejście do ochrony danych osobowych oznaczałoby, że jeśli podmiot posiadający dane osobowe uważa, że nie są to dane osobowe, wówczas takie dane nie podlegają regulacjom zawartym w cyt. ustawie z dnia 29 sierpnia 1997 r. Takie rozwiązanie podważałoby w ogóle sens ochrony danych osobowych i faktycznie uniemożliwiłoby skuteczną ich ochronę przez Generalnego Inspektora, który nie mógłby skutecznie interweniować na podstawie art. 12 uodo w sytuacji, gdy administrator zastrzegłby, że nie wie o tym, że ma dane osobowe.
Mając na uwadze powyższe Sąd I instancji stwierdził, iż w sprawie nie ulega wątpliwości, że skarżący wyrejestrował swoją działalność w dniu [...] czerwca 2007 r. Od tej chwili informacje go dotyczące i przechowywane przez [...] Sp. z o.o. stały się danymi osobowymi, bowiem dotyczyły osoby fizycznej nieprowadzącej własnej działalności gospodarczej. Sprawa nie ma więc charakteru bezprzedmiotowego, a Generalny Inspektor Ochrony Danych Osobowych winien rozpatrzyć merytorycznie wniosek skarżącego dotyczący niedopełnienia wobec niego przez [...] Sp. z o.o. obowiązku przewidzianego w art. 33 uodo.
Skargę kasacyjna od powyższego wyroku wniósł Generalny Inspektor Danych Osobowych, reprezentowany przez radcę prawnego, domagając się uchylenia zaskarżonego wyroku w całości i przekazania sprawy do ponownego rozpoznania przez Sąd I instancji.
Zaskarżonemu orzeczeniu zarzucił naruszenie przepisów prawa materialnego, tj art. 7a ust. 2 ustawy z dnia 19 listopada 1999 r. Prawo działalności gospodarczej (Dz. U. Nr 101, poz. 1178 ze zm.) poprzez jego nieuwzględnienie.
Nadto zarzucił naruszenie przepisów postępowania - art. 145 § 1 pkt 1 lit. a i c P.p.s.a. poprzez ich zastosowanie na skutek błędnego przyjęcia, że organ naruszył przepisy prawa materialnego, tj. art. 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), co miało istotny wpływ na wynik sprawy, oraz przepisy postępowania, tj. art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.).
W uzasadnieniu skargi kasacyjnej jej autor przedstawił stan faktyczny sprawy i wyjaśnił, iż brak jest dowodów, iż Spółka otrzymała od skarżącego informację o zaprzestaniu prowadzenia przez niego działalności gospodarczej. Generalny Inspektor zasadnie zatem stwierdził w wydanych rozstrzygnięciach, w tym w zaskarżonej decyzji, że w tej sprawie ustawa o ochronie danych osobowych nie znajduje zastosowania. Spółka, zgodnie z umową o świadczenie usług telekomunikacyjnych, nie przetwarza bowiem danych osobowych skarżącego jako osoby fizycznej, lecz posiada informacje o nim jako o osobie prowadzącej działalność gospodarczą pod firmą [...] System W. T. Przetwarzała zatem dane na podstawie ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz. U. z 2007 r. Nr 155, poz. 1095 ze zm.) oraz art. 7a ust.2 ustawy z dnia 19 listopada 1999 Prawo działalności gospodarczej (Dz. U. Nr 101, poz. 1178 ze zm.). Ten ostatni przepis po ostatniej nowelizacji art. 66 pkt 2 ustawy z dnia 2 lipca 2004 r. Przepisy wprowadzające ustawę o swobodzie działalności gospodarczej (Dz. U. Nr 173, poz. 1808 ze zm.) utraci moc obowiązującą dopiero z dniem 1 lipca 2011 r., czyli w terminie określonym w art. 54 pkt 3 lit. b ustawy z dnia 19 grudnia 2008 r. o zmianie ustawy o swobodzie działalności gospodarczej oraz o zmianie niektórych innych ustaw (Dz. U. Nr 141, poz. 888). Na mocy wskazanego art. 7a ust. 2 ustawy Prawo działalności gospodarczej ewidencja działalności gospodarczej, do której wpisywane są dane dotyczące przedsiębiorców, jest jawna, a dane w niej zawarte nie podlegają przepisom ustawy o ochronie danych osobowych. Z powyższych względów Generalny Inspektor wobec bezprzedmiotowości prowadzonego postępowania administracyjnego zobowiązany był podjąć decyzje o umorzeniu postępowania stosownie do art. 105 § 1 kpa.
W ocenie kasatora stanowisko Sądu I instancji, że dopiero z chwilą wyrejestrowania działalności gospodarczej informacje dotyczące osoby, która prowadziła taką działalność, stają się danymi osobowymi, jest zatem błędne. Omawiane dane są danymi osobowymi, ale do nich - na mocy cytowanego art. 7a ust. 2 ustawy Prawo działalności gospodarczej- nie stosuje się przepisów ustawy o ochronie danych osobowych.
Skarżący kasacyjnie organ po raz kolejny podkreślił, iż w sprawie brak jest dowodów, by Spółka otrzymała od skarżącego informację o zaprzestaniu prowadzenia przez niego działalności gospodarczej. Taką informację powinien Spółce przekazać sam zainteresowany. Dopóki Spółka omawianego zawiadomienia nie uzyska, ma prawo zakładać, że skarżący nadal prowadzi działalność gospodarczą, a w konsekwencji twierdzić, że do posiadanych przez Spółkę informacji o skarżącym nie znajdują zastosowania przepisy ustawy o ochronie danych osobowych.
Kasator wyjaśnił jednocześnie, iż Spółka [...] nie dysponowała żadnymi innymi danymi skarżącego poza informacjami o nim jako o osobie prowadzącej działalność gospodarczą, o czym pismem z dnia 16 grudnia 2008 r. skarżący został poinformowany, uzyskując wówczas wiedzę o tym, jakie jego dane posiada Spółka.
Biorąc pod uwagę wskazane wyżej okoliczności, bezpodstawny, w ocenie organu, jest zarzut Sądu, że Generalny Inspektor Ochrony Danych Osobowych dopuścił się naruszenia przepisów prawa materialnego - art. 6 ustawy o ochronie danych osobowych oraz przepisów postępowania - art. 105 § 1 k.p.a.
W odpowiedzi na skargę kasacyjną, T. W., reprezentowany przez pełnomocnika z urzędu, wniósł o oddalenie skargi kasacyjnej z uwagi na brak usprawiedliwionych podstaw. Domagał się ponadto zasądzenia koszów reprezentacji wg norm przepisanych.

Naczelny Sąd Administracyjny zważył co następuje.
Stosownie do art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153 poz. 1270 ze zm.- dalej w skrócie P.p.s.a.) Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc z urzędu pod rozwagę jedynie nieważność postępowania. Jeżeli zatem - tak jak w niniejszej sprawie - nie występuje żadna z enumeratywnie wymienionych w art. 183 § 2 P.p.s.a. przesłanek nieważności postępowania, zakres postępowania kasacyjnego wyznacza strona wnosząca skargę kasacyjną przez przytoczenie podstaw kasacyjnych i ich uzasadnienie.
Rozpatrywana w tym zakresie skarga kasacyjna nie zasługuje na uwzględnienie. Wojewódzki Sąd Administracyjny w Warszawie zasadnie bowiem uznał, że kontrolowane przezeń decyzje Generalnego Inspektora Ochrony Danych Osobowych są wadliwe, chociaż nie można uznać by powody przytoczone w uzasadnieniu zaskarżonego wyroku były wystarczające. Kasator w tym zakresie nie sformułował jednak żadnych zarzutów. Ponadto pewne mankamenty pisemnych motywów nie mogą skutkować uchyleniem zaskarżonego orzeczenia, jeżeli samo rozstrzygnięcie Sądu odpowiada prawu (art.184 P.p.s.a.). Taka zaś sytuacja występuje w niniejszej sprawie.
Wojewódzki Sąd Administracyjny w Warszawie w zaskarżonym wyroku prawidłowo przypomniał, że art.1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.- dalej w skrócie uodo) statuuje zasadę autonomii informacyjnej człowieka. Stosownie do ust.1 tego artykułu każdy ma prawo do ochrony dotyczących go danych osobowych. Nie ulega przy tym wątpliwości, że sformułowanie "każdy" odnosi się tylko do osób fizycznych, co potwierdza także art.2 ust.1 uodo, z którego wprost wynika, że ustawa określa zasady przetwarzania danych osobowych oraz prawa osób fizycznych w tym zakresie. Powołany przepis nie różnicuje uprawnień osób fizycznych do ochrony ich danych osobowych w zależności od tego czy prowadzą czy nie prowadzą działalności gospodarczej. W tej sytuacji i z uwagi na treść art. 6 uodo oraz brak jakichkolwiek ograniczeń w dalszych przepisach ustawy, uznać należy, iż omawiana ustawa sama nie wyłącza informacji o osobach fizycznych prowadzących działalność gospodarczą spod pojęcia danych osobowych ani spod ochrony gwarantowanej tym aktem prawnym.
Istotne ograniczenia w tym zakresie wprowadziła natomiast ustawa z dnia 19 listopada 1999 r. Prawo działalności gospodarczej (Dz. U. Nr 101, poz. 1178 ze zm), która w obowiązującym jeszcze art. 7a ust. 2 stanowi, że ewidencja działalności gospodarczej jest jawna i dane w niej zawarte nie podlegają przepisom ustawy o ochronie danych osobowych. Przepis ten, wbrew twierdzeniom Generalnego Inspektora Ochrony Danych Osobowych, nie oznacza jednak, że ustawa z dnia 29 sierpnia 1997r. w ogóle nie ma zastosowania do osób fizycznych prowadzących działalność gospodarczą. Intencją ustawodawcy tego aktu prawnego było bowiem nadanie ochronie danych osobowych jak najszerszego zakresu podmiotowego. Regulacja zawarta w art. 7a ust. 2 Prawa działalności gospodarczej, jako stanowiąca wyjątek od tej ogólnej zasady, musi być stosowana ściśle, a jej rozszerzająca interpretacja jest niedopuszczalna. Konieczność dokonywania takiej wykładni potwierdza też art. 51 Konstytucji RP, który przewiduje konstytucyjne prawo do ochrony danych osobowych. Zgodnie z tym przepisem nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby (ust.1) i każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych (ust.3). Oznacza to, że ochroną konstytucyjną objęto wszelkie informacje dotyczące każdej osoby fizycznej, czyli również prowadzącej działalność gospodarczą, a ponadto, że ustrojodawca nakazał chronić te informacje, dopuszczając ograniczenia tylko w ściśle określonych przypadkach wynikających wprost z przepisów ustawy. Skoro zatem w art.7a ust. 2 Prawa działalności gospodarczej mowa jest o danych zawartych w ewidencji działalności gospodarczej, to nie może ulegać wątpliwości, że ustawie o ochronie danych osobowych nie podlegają tylko dane wpisane do ewidencji działalności gospodarczej. Pozostałe zaś informacje o osobie fizycznej prowadzącej działalność gospodarczą takim wyłączeniom już nie podlegają. Dlatego nie można podzielić stanowiska skarżącego kasacyjnie organu, iż złożenie przez taki podmiot wniosku w sprawie nieprzestrzegania wobec niego obowiązku informacyjnego, przewidzianego w art. 33 uodo, skutkuje automatycznie umorzeniem postępowania przed Generalnym Inspektorem Ochrony Danych Osobowych. Osoba fizyczna prowadząca działalność gospodarczą ma prawo do informacji, jakie jej dane są przetwarzane. Dopiero po ustaleniu że zasięg przetwarzanych o niej informacji rzeczywiście nie wykracza poza zakres danych zawartych w ewidencji działalności gospodarczej, organ może umorzyć postępowanie. Natomiast bez przeprowadzenia takich czynności kontrolnych nie można uznać by sprawa była bezprzedmiotowa, a tym samym by dopuszczalne było umorzenie postępowania przez Generalnego Inspektora Ochrony Danych Osobowych.
Z zasady przewidzianej w art. 7a ust. 2 Prawa działalności gospodarczej wynika jeszcze jeden wniosek, a mianowicie, że przewidziane w niej wyłączenie odnosi się tylko do danych o osobie prowadzącej działalność gospodarczą i aktualnie wpisanej do ewidencji działalności gospodarczej. Tylko wówczas można bowiem mówić o danych zawartych w ewidencji i dopuszczalności ich przetwarzania bez zgody zainteresowanego. Po wyrejestrowaniu działalności gospodarczej przedsiębiorca staje się obiektywnie osobą nieprowadzącą działalności gospodarczej. Jego dane osobowe z dniem wykreślenia działalności z ewidencji działalności gospodarczej podlegają zatem pełnej ochronie zagwarantowanej ustawą o ochronie danych osobowych.
Z powyższych względów zarzut naruszenia zaskarżonym wyrokiem art.6 uodo i art.7a ust.2 Prawa działalności gospodarczej jest niezasadny. W niniejszej sprawie nie budzi wątpliwości, że T. W., zwracając się do Generalnego Inspektora Ochrony Danych Osobowych o podjęcie działań przewidzianych w art.18 ust.1 w zw. z art. 33 i art.32 uodo, występował jako osoba fizyczna nieprowadząca już działalności gospodarczej. Chodziło mu przy tym o zobowiązanie Spółki [...] do spełnienia obowiązku informacyjnego wobec niego jako osoby fizycznej a nie podmiotu gospodarczego, na co trafnie zwrócił uwagę WSA w Warszawie. Sąd ten bezbłędnie też stwierdził, że dane osobowe mają charakter obiektywny. O tym, czy mamy do czynienia z takimi danymi oraz czy dane osobowe podlegają pełnej ochronie zagwarantowanej ustawą z dnia 29 sierpnia 1997r decydują obiektywne czynniki, a mianowicie to czy są to informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej oraz czy w grę nie wchodzą przepisy szczególne ograniczające stosowanie powołanej ustawy. Taka kwalifikacja informacji i zakres ochrony danych osobowych nie zależą natomiast od subiektywnego przekonania administratora danych osobowych, a więc od dysponowania przez nią wiedzą, czy są to informacje dotyczące osoby fizycznej czy przedsiębiorcy.
W niniejszej sprawie faktem jest, iż do pewnego momentu dane T. W. jako osoby fizycznej pokrywały się (w całości lub przynajmniej w części) z jego danymi jako przedsiębiorcy. Skoro jednak z dniem [...] czerwca 2007r. wymieniony wyrejestrował swą działalność gospodarczą, to powyższe informacje przestały dotyczyć T. W. jako przedsiębiorcy, gdyż taki podmiot już nie istnieje. Od wskazanej daty były one już tylko danymi osoby fizycznej nieprowadzacej działalności gospodarczej, niezależnie od subiektywnej oceny Spółki [...] w tym zakresie. W tej sytuacji zadaniem Generalnego Inspektora Ochrony Danych Osobowych, po otrzymaniu zawiadomienia T. W., było sprawdzenie czy [...] po dniu [...] czerwca 2007r przetwarzała dane osoby fizycznej czy nie. Organ takich ustaleń jednak nie poczynił, co oznacza, że umorzenie przez niego postępowania nastąpiło z oczywistym naruszeniem art. 105 § 1 kpa. Umorzenie postępowania byłoby bowiem możliwe tylko wówczas, gdyby wymieniony występował jako przedsiębiorca a organ ustalił, że zasięg przetwarzanych o takim podmiocie gospodarczym danych nie wykraczał poza zakres wynikający z art.7a ust.2 Prawa działalności gospodarczej, a nadto gdyby wnioskowany obowiązek informacyjny został wykonany przed dniem wydania decyzji lub przynajmniej przed zakończeniem postępowania prowadzonego w trybie art.127 § 3 kpa.
Dodać również należy, że Generalny Inspektor Ochrony Danych Osobowych, błędnie traktując dane osobowe w znaczeniu subiektywnym, nadmierną wagę przywiązywał do faktu i daty zawiadomienia Spółki przez T. W. o wykreśleniu jego działalności z ewidencji działalności gospodarczej. Tymczasem skuteczność takiego zawiadomienia i związana z nimi kwestia ewentualnych zawinionych działań administratora danych osobowych mogłaby mieć znaczenie tylko wówczas, gdyby organ zamierzał z urzędu podjąć inne działania dopuszczone art. 18 uodo. Okoliczności te nie były natomiast istotne dla realizacji samego obowiązku informacyjnego przewidzianego w art. 33 uodo.
Generalny Inspektor Ochrony Danych Osobowych przedwcześnie zresztą, opierając się wyłącznie na twierdzeniach [...], przyjął, że T. W. w lipcu 2007r. w ogóle nie powiadomił Spółki o wykreśleniu swej działalności z ewidencji działalności gospodarczej. Mimo iż organ dysponował numerem faksu, z którego takie zawiadomienie miało być przesłane, nie poczynił w tym zakresie żadnych samodzielnych ustaleń. Takie postępowanie nie zasługuje na aprobatę. Zgodnie z zasadą prawdy obiektywnej, wyrażoną w art. 7 kpa organ ma obowiązek dokładnie zbadać sprawę, tak, aby w sposób prawidłowy ustalić jej stan faktyczny. Wzmocnieniem tej zasady jest nałożony na organ obowiązek wyczerpującego zebrania i rozpatrzenia całości materiału dowodowego, wynikający z art. 77 § 1 kpa. Dopiero dysponując całokształtem materiału dowodowego, organ może ocenić daną okoliczność i uznać ja za udowodnioną bądź nie, do czego zobowiązuje go art. 80 kpa.
Organ z niezrozumiałych powodów przyjął też, że skoro w kwietniu 2008 r., czyli w trakcie toczącego się postępowania, T. W. złożył kopie swego pisma z dnia 2 lipca 2007r, to tym samym przyznał, że wcześniej takiego podania adresatowi nie przekazał. Takie założenie jest zaś całkowicie nieuprawnione. Przedmiotowe działanie nie jest wcale dowodem na to, że w lipcu 2007r. wymieniony nie zawiadomił [...] o wyrejestrowaniu swej działalności. Może bowiem dowodzić jedynie tego, że co najmniej od kwietnia 2008 r. Spółka wiedziała już, iż wnioskodawca nie prowadzi działalności gospodarczej. Należy jednak jeszcze raz podkreślić, że kwestia winy Spółki w tym zakresie może być rozważana tylko w przypadku podejmowania przez organ innych działań. Nie ma natomiast znaczenia dla oceny przedmiotowości postępowania dotyczącego omawianego obowiązku informacyjnego. Podobnie chybione jest powoływanie się w skardze kasacyjnej na pismo [...] z dnia 16 grudnia 2008r, skoro mogło być ono doręczone T. W. już po wydaniu kontrolowanej przez Sąd I instancji decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia 11 sierpnia 2008 r., a tym samym w żaden sposób nie mogło mieć wpływu na ocenę legalności tego rozstrzygnięcia.
Reasumując, uznać należy, że skarga kasacyjna nie zawiera usprawiedliwionych podstaw. Wbrew wywodom Generalnego Inspektora Ochrony Danych Osobowych Wojewódzki Sąd Administracyjny w Warszawie w istotny sposób nie złamał bowiem ani powołanych przepisów prawa materialnego ani art. 105 § 1 kpa. Chybiony jest zatem także zarzut naruszenia zaskarżonym wyrokiem art.145 § 1 pkt.1 lit. a i c P.p.s.a.

Na zakończenie zauważyć należy, że Wojewódzki Sąd Administracyjny w Warszawie, uchylając decyzje Generalnego Inspektora Ochrony Danych Osobowych, w swych pisemnych motywach nie zawarł dostatecznych wskazań, o jakich mowa w art. 141 § 4 P.p.s.a. Wskazania takie wynikają jednak z uzasadnienia niniejszego wyroku Naczelnego Sądu Administracyjnego i muszą być one uwzględnione przez organ przy ponownym rozpatrzeniu sprawy.
W tym stanie rzeczy Naczelny Sąd Administracyjny orzekł jak w sentencji wyroku na podstawie art.184 Prawa o postępowaniu przed sądami administracyjnymi.
Naczelny Sąd Administracyjny nie orzekł w wyroku o przyznaniu pełnomocnikowi skarżącego wynagrodzenia na zasadzie prawa pomocy, gdyż przepisy art. 209 i 210 P.p.s.a. mają zastosowanie tylko do kosztów postępowania między stronami. Natomiast wynagrodzenie dla pełnomocnika ustanowionego z urzędu za wykonaną pomoc prawną należne od Skarbu Państwa (art. 250 P.p.s.a.) przyznawane jest przez wojewódzki sąd administracyjny w postępowaniu określonym w przepisach art. 258-261 P.p.s.a.
Licencja Creative Commons
Ten utwór jest dostępny na licencji Creative Commons Uznanie autorstwa-Na tych samych warunkach 3.0 Polska.