>Orzecznictwo>WSA>2007 >

II SA/Wa 2328/06 → I OSK 1218/07

Orzeczenie nieprawomocne

W Y R O K

W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

Dnia 2 kwietnia 2007 r.

Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu na rozprawie w dniu 2 kwietnia 2007 r. sprawy ze skargi „P.” Spółki akcyjnej z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia […] r. nr […] w przedmiocie ochrony danych osobowych;

- oddala skargę -

UZASADNIENIE

Wnioskiem z 3 kwietnia 2006 r. K. S. wystąpił do Generalnego Inspektora Ochrony Danych Osobowych o sprostowanie nazwiska przetwarzanego przez P. S.A. W uzasadnieniu wniosku podał, że po pisemnym zwróceniu się do P. S.A. z prośbą o poprawienie jego nazwiska z S. na S. , otrzymał pismo z 22 lutego 2006 r. o niemożliwości takiej poprawy.
W wyjaśnieniach złożonych w trakcie postępowania wszczętego przez GIODO w tej sprawie, w piśmie z 30 maja 2006 r. P. S.A. wskazała, iż przetwarza dane K. S. w zbiorze – dane osobowe klientów ([…]), zarówno w formie papierowej, jak i elektronicznej. W piśmie ręcznym na dokumentach papierowych zastosowano oryginalną pisownię z użyciem przegłosu umlaut. W informatycznym systemie automatycznego przetwarzania, ze względu na stosowanie alfabetu łacińskiego, bez konieczności stosowania przegłosów narodowościowych oraz innych narodowych czcionek lub znaków, użyto litery „u”. Niepoprawny zapis nazwiska ubezpieczonego został zmieniony na S.. Dane osobowe K. S.  P.S.A. przetwarza w związku z zawartą umową ubezpieczenia następstw nieszczęśliwych wypadków kierowcy i pasażerów (NW).
Mając na uwadze powyższe ustalenia Generalny Inspektor Ochrony Danych Osobowych decyzją z […] r. nr […] wydaną na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t.j. Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.; zwanej: k.p.a.) oraz art. 18 ust. 1 pkt 2 w związku z art. 26 ust. 1 pkt 3, art. 32 ust. 1 pkt 6 oraz art. 35 ust. 1 i 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) nakazał P. S.A., sprostowanie nazwiska K. S., z niepoprawnej formy „S.” na „S.”, we wszystkich zbiorach danych osobowych, w których dana ta jest przetwarzana.
We wniosku o ponowne rozpatrzenie sprawy z 5 lipca 2006 r. P. S.A. zarzuciła powyższej decyzji, iż nakazuje zmianę nazwiska jedynie z zastosowaniem pisowni ze znakiem „ü”, a nie alternatywnie „ue”, gdy poprawną pisownią wynikającą z ortografii niemieckiej jest zastępowanie przegłosów dwuznakami. Ponadto P. S.A. powołując się na ustawę z dnia 6 stycznia 2005 r. o mniejszościach narodowych i etnicznych oraz języku regionalnym (Dz. U. Nr 17, poz. 141), podniosła, że imiona i nazwiska osób zapisane w alfabecie innym niż łaciński podlegają transliteracji. W przypadku języka niemieckiego rozwiązanie takie narzuca ortografia języka niemieckiego, która umożliwia w każdym przypadku stosowanie alfabetu łacińskiego. P. S.A. oświadczyła także, iż w chwili obecnej dokonała zmiany niepoprawnego zapisu nazwiska „S.” na zgodny z zasadami ortografii „S.”.
Generalny Inspektor Ochrony Danych Osobowych decyzją z […] r. wydaną na podstawie art. 138 § 1 k.p.a. oraz art. 18 ust. 1 pkt 2 w związku z art. 26 ust. 1 pkt 3, art. 32 ust. 1 pkt 6 oraz art. 35 ust. 1 i 2 ustawy o ochronie danych osobowych, utrzymał w mocy zaskarżoną decyzję.
W uzasadnieniu wskazał, iż P. S.A. jest zakładem ubezpieczeń społecznych w rozumieniu ustawy z dnia 22 maja 2003 r. o działalności ubezpieczeniowej (Dz. U. Nr 124, poz. 1151 ze zm.). Zgodnie z art. 24 ust. 1 ww. ustawy, zakład ubezpieczeń może zbierać, odpowiednio w celu oceny ryzyka ubezpieczeniowego lub wykonania umowy ubezpieczenia, zawarte w umowach ubezpieczenia lub oświadczeniach ubezpieczających składanych przed zawarciem umowy ubezpieczenia, dane ubezpieczonych lub uprawnionych z umowy ubezpieczenia. Stosownie natomiast do art. 26 ust. 1 tej ustawy, dokumenty związane z zawieraniem i wykonywaniem umów ubezpieczenia mogą być sporządzane na elektronicznych nośnikach informacji, jeżeli będą w sposób należyty utworzone, utrwalone, przechowywane i zabezpieczone. Z powyższego wynika, iż zakład ubezpieczeń jest zobligowany, w wypadku przetwarzania danych w systemach informatycznych, do ich utrwalania, przechowywania i zabezpieczania w sposób należyty. Wynika również to, iż zakład ubezpieczeń jest administratorem danych osobowych w rozumieniu ustawy o ochronie danych osobowych, przetwarzanych w celu oceny ryzyka ubezpieczeniowego lub wykonania umowy ubezpieczenia. Biorąc pod uwagę, iż ustawa ma zastosowanie m.in. do przetwarzania danych osobowych w systemach informatycznych (art. 2 ust. 2 pkt 2 ustawy), organ wskazał, iż na administratorze danych osobowych, z mocy ustawy spoczywają konkretne obowiązki określone w tej ustawie, w tym obowiązek wynikający z art. 26 ust. 1 pkt ustawy, zgodnie z którym administrator danych osobowych powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których one dotyczą, w szczególności zaś jest obowiązany zapewnić, aby dane te były merytorycznie poprawne. Przepis ten wyraża jedną z podstawowych zasad ochrony danych – zasadę poprawności (prawdziwości) danych oraz ich aktualności. W praktyce oznacza ona, że informacje wynikające z danych przetwarzanych przez ich administratora powinny być zgodne z prawdą, pełne (kompletne) oraz powinny odpowiadać aktualnemu (najnowszemu) stanowi rzeczy.
Organ zaznaczył, iż przepis art. 26 ustawy, odpowiada w zupełności art. 5 Konwencji 108 Rady Europy sporządzonej w Strasburgu dnia 28 stycznia 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (Dz. U. z 2003 r. Nr 3, poz. 25) który stanowi m.in., że dane powinny być przetwarzane rzetelnie, dokładnie i w razie potrzeby uaktualniane, oraz art. 6 Dyrektywy 95/46/EC Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (OJ Nr L 281 z 23 listopada 1995 r., s. 31), nakładającemu obowiązek zapewnienia przez państwa członkowskie by dane osobowe były w szczególności prawidłowe oraz w razie konieczności aktualizowane, a nadto stanowiącemu, iż należy podjąć wszelkie uzasadnione działania, aby zapewnić usunięcie lub poprawienie nieprawidłowych lub niekompletnych danych. Powyższe wskazuje na wagę problemu, jakim jest zapewnienie przetwarzania danych osobowych merytorycznie poprawnych, a tym samym zapewnienie odpowiedniej jakości danych. Organ podkreślił, że ww. dyrektywa nie przewiduje żadnych wyjątków w zakresie sprostowania przetwarzanych danych osobowych, a dyrektywa ta została w całości implementowana w polskiej ustawie o ochronie danych osobowych.
W sytuacji zatem, w której wbrew w powyższej zasadzie jakości danych, dane przetwarzane przez administratora są niepoprawne, osoba, której one dotyczą, może skorzystać z uprawnienia, którego istotą jest doprowadzenie do zweryfikowania błędnych informacji. W myśl art. 32 ust. 1 pkt 6 ustawy o ochronie danych osobowych, każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane z naruszeniem ustawy albo już są zbędne do realizacji celu, dla którego zostały zebrane. Zgodnie natomiast z art. 35 ust. 1 ustawy, w razie wykazania przez osobę, której dane osobowe dotyczą, że są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są zbędne do realizacji celu, dla którego zostały zebrane, administrator danych jest obowiązany, bez zbędnej zwłoki, do uzupełnienia, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru, chyba że dotyczy to danych osobowych, w odniesieniu do których tryb ich uzupełnienia, uaktualnienia lub sprostowania określają odrębne ustawy.
W niniejszej sprawie nazwisko K. S., przetwarzane przez P. S.A. w „informatycznym systemie automatycznego przetwarzania”, w zbiorze „dane osobowe klientów – […]”, jest nieprawdziwe, w związku z czym korzystając z uprawnień określonych w art. 32 ust. 1 pkt 6 ustawy, K. S. zwrócił się o stosowanie poprawnej pisowni jego nazwiska. Z chwilą wystąpienia z tym żądaniem po stronie P. S.A. powstał wynikający z ww. przepisów obowiązek sprostowania nazwiska wnioskodawcy. P. S.A. jednak, nie dochowując należytej staranności w zakresie ochrony interesów wnioskodawcy, odmówiła sprostowania jego nazwiska uzasadniając to stosowaniem obowiązującego w naszym kraju alfabetu łacińskiego. Wprawdzie następnie dokonała zmiany w pisowni nazwiska wnioskodawcy z zastosowaniem formy „ue”, niemniej jednak, pomimo wprowadzenia zmiany pisowni, wnioskodawca w dalszym ciągu figuruje w danych osobowych P. S.A. pod nazwiskiem nieoddającym jego prawidłowej pisowni. Zdaniem organu zasadnym jest by wymóg zapewnienia merytorycznej poprawności przetwarzanych danych rozumieć wąsko, tzn. tak, by zapewnić oryginalną pisownię danych osobowych, a nie tylko właściwe ich brzmienie. Tym bardziej, że nie ma podstaw prawnych dla dokonanej przez P. S.A. transliteracji, zaś wnioskodawca wyraźnie wskazywał na konieczność poprawienia jego nazwiska z „S.” na „S.”. Organ podkreślił, że nie można dopuścić do sytuacji, w której wnioskodawca w zbiorach danych osobowych jednej instytucji figurowałby pod nazwiskiem „S.”, natomiast w zbiorach innej – pod nazwiskiem oryginalnym S.. Istnienie takiego stanu mogłoby bowiem wprowadzać w błąd, jak i powodować wątpliwości, co do tożsamości takiej osoby.
Odnosząc się do zarzutów P. S.A., organ wskazał, że ustawa o mniejszościach narodowych i etnicznych oraz języku regionalnym nie znajduje zastosowania w sprawie, ponieważ ustawa ta znajduje zastosowanie do mniejszości narodowych, natomiast z materiału dowodowego sprawy nie wynika by K. S. zaliczał się do tej grupy, jak również brak podstaw by Generalny Inspektor prowadził w tym zakresie postępowanie wyjaśniające, gdyż nie leży to w zakresie jego kognicji. Zaś rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 30 maja 2005 r. w sprawie sposobu transliteracji imion i nazwisk osób należących do mniejszości narodowych i etnicznych zapisanych w alfabecie innym niż alfabet łaciński (Dz. U. Nr 102, poz. 855), wydane na podstawie tej ustawy, nie wskazuje na sposób transliteracji imion i nazwisk z języka niemieckiego.
Na końcu organ wskazał, że w sprawach analogicznych do niniejszej, inne instytucje były w stanie dostosować swe systemy informatyczne do wymogu zapewnienia odpowiedniej jakości przetwarzanych danych osobowych, stąd też stanowisko P. S.A. o tym, że nie jest w stanie zapewnić pisowni nazwiska K. S. zgodnie z jego treścią, gdyż system informatyczny nie zawiera znaku „ü” nie zasługuje na uwzględnienie.
 Na powyższą decyzję 8 listopada 2006 r. P. S.A. złożyła skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie, w której wniosła o jej uchylenie i przekazanie sprawy do ponownego rozpatrzenia. Do skargi załączyła: Uchwałę ortograficzną nr 3 Rady Języka Polskiego w sprawie zapisu niemieckich liter „ü”, „ö”, „ä”, opinię językoznawcy z 6 listopada 2006 r. oraz pismo z 27 października 2006 r. z Departamentu Rozwoju Rejestrów MSWiA wraz z załącznikiem – Zestawem zamienników znaków diakrytycznych stosowanych w systemie PESEL. Spółka zaskarżonej decyzji zarzuciła:
1.    naruszenie art. 27 Konstytucji RP, poprzez naruszenie istniejącej zasady języka polskiego (w tym jego alfabetu) – jako języka urzędowego, w postaci nakazu zastosowania języka niemieckiego – litery alfabetu niemieckiego „ü” (umlaut);
2.    naruszenie art. 3 ust. 2 ustawy z dnia 7 października 1999 r. o języku polskim (Dz. U. Nr 90, poz. 999 ze zm.) poprzez niezastosowanie tego przepisu i niezapewnienie ochrony języka polskiego (w tym jego alfabetu), jak również brak dbałości o poprawne używanie języka polskiego (w tym jego alfabetu) – w postaci nakazu zastosowania języka niemieckiego – litery alfabetu niemieckiego „ ü”;
3.    naruszenie art. 4 pkt 4 ustawy o języku polskim, poprzez naruszenie istniejącej zasady języka polskiego (w tym jego alfabetu) – jako języka urzędowego, w postaci nakazu zastosowania języka niemieckiego – litery alfabetu niemieckiego „ ü”;
4.    naruszenie art. 13 ust. 1 w zw. z art. 12 ust. 1 ustawy o języku polskim, poprzez pominięcie wyłącznych kompetencji Rady Języka Polskiego oraz podjętej Uchwały ortograficznej nr 3 – ustalającej zasady ortografii, interpunkcji i pisowni języka polskiego – odnośnie zasad stosowania języka niemieckiego – litery alfabetu niemieckiego „ ü”;
5.    naruszenie art. 20 w zw. z art. 22 Konstytucji RP, poprzez niedopuszczalne naruszenie zapewnionej Konstytucją wolności działalności gospodarczej w stosunku do skarżącego i uznanie za ważny interes publiczny wpływu zapisywania danych w systemach informatycznych, pomimo istnienia przesłanek do uznania, iż sposób taki nie stanowi ważnego interesu publicznego – dane w najbardziej powszechnej bazie danych osobowych w Polsce, urzędowym systemie PESEL – nie przewidują wpisywania do systemu informatycznego zapisu litery języka obcego „ ü”; 
6.    niewłaściwe zastosowanie art. 18 ust. 1 pkt 2, art. 26 ust. 1 pkt 3, art. 32 ust. 1 pkt 6 oraz art. 35 ust. 1 ustawy o ochronie danych osobowych, poprzez nakazanie sprostowania nazwiska – pomimo wpisania go w prawidłowej i obowiązującej w języku polskim – alfabecie polskim formie „S.” oraz poprzez nakazanie sprostowania w systemach informatycznych w formie nieprzystającej do powszechnie stosowanych systemów informatycznych w Polsce (np. PESEL) i w innych krajach;
7.    niewłaściwe zastosowanie art. 18 ust. 1 pkt 2, art. 26 ust. 1 pkt 3, art. 32 ust. 1 pkt 6 oraz art. 35 ust. 1 ustawy o ochronie danych osobowych, poprzez przyjęcie, że dane przetwarzane przez P. S.A. są merytorycznie niepoprawne, poprzez przyznanie K. S. prawa do sprostowania danych osobowych, pomimo braku dowodów, że są one prawdziwe i brak wskazania, że dane osobowe przetwarzane przez P. S.A. są nieprawdziwe. Organ nie sprawdził bowiem pod jakim nazwiskiem K.S. występuje w rzeczywistości w aktach stanu cywilnego i w dokumentach urzędowych oraz brakiem wskazania przez K. S., iż figuruje w aktach stanu cywilnego oraz w dokumentach urzędowych pod nazwiskiem pisowni, którą podaje, tj. „ü”.
W motywach skargi spółka podniosła w szczególności, iż zgodnie z Uchwałą ortograficzną nr 3 Rady Języka Polskiego, niemieckie litery ü, ö, ä można w tekstach polskich pozostawiać bez zmian lub zapisywać je jako ue, oe, ae, natomiast decyzja Generalnego Inspektora nie respektuje kompetencji Rady Języka Polskiego, ani ww. uchwały, przez co w konsekwencji narusza ustawę o języku polskim, zaś Generalny Inspektor ma obowiązek chronić język polski i poprawnie go używać, gdyż jest on językiem urzędowym w Polsce. Co więcej, zastosowanie kombinacji grafemów ue, oe, ae jest zgodne również z zasadami ortografii niemieckiej, czego również nie respektuje Generalny Inspektor. Skarżąca wskazała, iż uprawnienia K. S. do posiadania merytorycznie poprawnego nazwiska w komputerowej bazie P. S.A. nie jest powszechnie stosowane i akceptowane przez Państwo Polskie jako ważny interes publiczny, czego wyrazem jest system PESEL, a tylko ze względu na taki interes jest możliwe ograniczenie wolności gospodarczej w stosunku do P. S.A., zatem ta ostatnia została ograniczona wbrew przepisom Konstytucji. Ponadto zdaniem skarżącej decyzja Generalnego Inspektora prowadzi do niejednoznacznej i błędnej wymiany danych pomiędzy użytkownikami różnych systemów informatycznych w Polsce, bowiem zapis znaku „ü” może być zrealizowany według różnych tabel kodowania. W konsekwencji brak stosowania reguł transliteracji zaproponowanych przez P. S.A. i ustalonych uchwałą Rady Języka Polskiego prowadzić będzie do braku kompatybilności równych systemów, co powoduje, iż decyzja Generalnego Inspektora jest nieprawidłowa.  
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych podtrzymał okoliczności faktyczne i prawne zawarte w zaskarżonej decyzji i wniósł o oddalenie skargi. Ponadto odnosząc się do zarzutów skargi dotyczących niewykazania przez organ jakie nazwisko wpisane ma K. S. w aktach stanu cywilnego, organ wskazał, że w dowodzie osobistym jego nazwisko figuruje w formie „S.”.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Stosownie do treści art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującymi w dacie jej wydania.
Skarga analizowana pod tym kątem podlega oddaleniu.
Na wstępie należy stwierdzić, że K. S. posługuje się nazwiskiem pisanym z literą „ü” (umlaut) i takie też nazwisko jest wpisane w jego dowodach tożsamości m.in. w dowodzie osobistym i paszporcie, co zostało bezspornie ustalone na rozprawie. (v. protokół rozprawy – k. 58 – 59 akt sądowych)
Powyższe ma istotne znaczenie zważywszy, że skarżąca P. S.A. poddawała w wątpliwość posługiwanie się przez K. S. dokumentami, w których jego nazwisko zostało wpisane z literą „ü” i sformułowała taki zarzut w skardze.
Należy zauważyć, iż P. S.A. działający na podstawie ustawy z dnia 22 maja 2003 r. o działalności ubezpieczeniowej (Dz. U. Nr 124, poz. 1151 ze zm.), zgodnie z art. 24 ust. 1 ww. ustawy, może zbierać, odpowiednio w celu oceny ryzyka ubezpieczeniowego lub wykonania umowy ubezpieczenia, zawarte w umowach ubezpieczenia lub oświadczeniach ubezpieczających składanych przed zawarciem umowy ubezpieczenia, dane ubezpieczonych lub uprawnionych z umowy ubezpieczenia. Stosownie zaś do art. 26 ust. 1 ww. ustawy, dokumenty związane z zawieraniem i wykonywaniem umów ubezpieczenia mogą być sporządzane na elektronicznych nośnikach informacji, jeżeli będą w sposób należyty utworzone, utrwalone, przechowywane i zabezpieczone. Z powyższego wynika, że zakład ubezpieczeń społecznych jest administratorem danych osobowych w rozumieniu art. 7 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), przetwarzanych w celu oceny ryzyka ubezpieczeniowego lub wykonania umowy ubezpieczenia.
Zgodnie z art. 2 ust. 2 pkt 2 ustawy o ochronie danych osobowych, ma zastosowanie m.in. do przetwarzania danych osobowych w systemach informatycznych. Na administratorze danych osobowych, z mocy ustawy spoczywają konkretne obowiązki określone w tej ustawie, w tym obowiązek wynikający z art. 26 ust. 1 pkt 3 ww. ustawy. W myśl tego przepisu, administrator danych osobowych powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których one dotyczą, w szczególności zaś jest obowiązany zapewnić, aby dane te były merytorycznie poprawne. Przy czym przepis ten wyraża jedną z podstawowych zasad ochrony danych – zasadę poprawności (prawdziwości) danych oraz ich aktualności. W praktyce oznacza ona, że informacje wynikające z danych przetwarzanych przez ich administratora powinny być zgodne z prawdą, pełne (kompletne) oraz powinny odpowiadać aktualnemu (najnowszemu) stanowi rzeczy.
Trafnie dowodzi organ – powołując się na literaturę (J. Barta, P. Fajgielski, R. Markiewicz, „Ochrona danych osobowych. Komentarz” Zakamycze 2004, str. 548, 555-556) – że przepis art. 26 ustawy o ochronie danych osobowych, wyznaczając główne zasady postępowania przy przetwarzaniu danych osobowych obejmuje je w formę podstawowych obowiązków, których musi zawsze przestrzegać administrator danych. Jest on odpowiedzialny nie tylko za samo przetwarzanie danych, w wąskim znaczeniu, ale także za jakość danych, (…) wymóg zapewnienia merytorycznej poprawności danych osobowych przez ich administratora wiąże się z obowiązkiem uwzględnienia przez niego m.in. następujących okoliczności: znaczenie ewentualnej niedokładności danych z perspektywy osoby, której one dotyczą, (…), konieczności wypracowania trybu weryfikowania prawdziwości danych w odniesieniu do poszczególnych ich kategorii oraz zasad postępowania w przypadku stwierdzenia nieprawdziwości danych (…). Zatem ustawodawca dostrzegając wagę problemu ochrony interesów osób, których dane są przetwarzane, w tym zapewnienia poprawności tych danych, uznał za stosowne nałożyć na administratora obowiązek dołożenia w tym zakresie szczególnej staranności.
Powyższe potwierdza art. 5 Konwencji 108 Rady Europy sporządzonej w Strasburgu dnia 28 stycznia 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (Dz. U. z 2003 r. Nr 3, poz. 25), który stanowi m.in., że dane powinny być przetwarzane rzetelnie, dokładnie i w razie potrzeby uaktualniane, oraz art. 6 Dyrektywy 95/46/EC Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (OJ Nr L 281 z 23 listopada 1995 r., str. 31), nakładającemu obowiązek zapewnienia przez państwa członkowskie by dane osobowe były w szczególności prawidłowe oraz w razie konieczności aktualizowane a nadto stanowiącemu, że należy podjąć wszelkie uzasadnione działania, aby zapewnić usunięcie lub poprawienie nieprawidłowych lub niekompletnych danych. 
Tak więc w przypadku, gdy dane przetwarzane przez administratora są niepoprawne, osoba, której dane dotyczą, może skorzystać z uprawnienia, którego istotą jest doprowadzenie do zweryfikowania błędnych informacji. W myśl bowiem art. 32 ust. 1 pkt 6 ustawy o ochronie danych osobowych, każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia,  jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane. Stosownie zaś do art. 35 ust. 1 ustawy o ochronie danych osobowych, w razie wykazania przez osobę, której dane osobowe dotyczą, że są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są zbędne do realizacji celu, dla którego zostały zebrane, administrator danych jest obowiązany, bez zbędnej zwłoki, do uzupełnienia, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru, chyba że dotyczy to danych osobowych, w odniesieniu do których tryb ich uzupełnienia, uaktualnienia lub sprostowania określają odrębne ustawy.
W niniejszej sprawie nie ulega wątpliwości, iż P. S.A. przetwarzała w „informatycznym systemie automatycznego przetwarzania” nazwisko K. S. niepoprawnie i to zarówno w sytuacji, w której przetwarzała to nazwisko jako „S.”, jak też po dokonaniu zmiany w formie „S.”. Podnieść należy, że wymóg zapewnienia merytorycznej poprawności przetwarzanych danych trzeba rozumieć wąsko, tak by zapewnić oryginalną pisownię danych osobowych, a nie tylko właściwe ich brzmienie. Nie można bowiem dopuścić do sytuacji – co trafnie dostrzegł organ – w której nazwisko K. S. w zbiorach danych osobowych jednej instytucji figurowałoby pod nazwiskiem oryginalnym „S.”, a w zbiorach innej „S.”.
Odnosząc się do zarzutów skargi dotyczących naruszenia przepisów art. 27 Konstytucji RP, art. 3 ust. 2 i art. 4 pkt 4 ustawy o języku polskim, Sąd nie stwierdza, aby organ uchybił powyższym przepisom. W niniejszej sprawie Generalny Inspektor stosował naczelną zasadą ustawy o języku polskim, tj. ochronę języka polskiego i używania języka polskiego w realizacji zadań publicznych. Przy czym należy podnieść, iż art. 11 pkt 1 ustawy o języku polskim stanowi, że przepisy art. 5 – 10 (ochrona prawna języka polskiego w życiu publicznym – przyp. włas.) nie dotyczą nazw własnych, a taki charakter – nazw własnych – mają nazwiska. W związku z tym w niniejszej sprawie nie znajduje zastosowania Uchwała ortograficzna Rady Języka Polskiego nr 3, która dotyczy możliwości stosowania przegłosów ue, oe, ae w tekstach polskich, a nie określa zasad pisowni samych nazw własnych, które, jak wynika z ustawy o języku polskim, podlegają odmiennemu traktowaniu. Dodać należy, iż zasady ortografii (a zasad ortografii dotyczy powyższa uchwała) nie dotyczą nazw własnych, bowiem  powszechnie wiadomym jest, iż występują nazwiska z błędami ortograficznymi, które z tego powodu nie podlegają prostowaniu. Zatem Sąd zarzuty skargi dotyczące naruszenia art. 13 ust. 1 w zw. z art. 12 ust. 1 ustawy o języku polskim, także uznał za chybione.
  Sąd nie znalazł także podstaw do uwzględnienia zarzutów skargi dotyczących naruszenia art. 20 w zw. z art. 22 Konstytucji RP, poprzez niedopuszczalne naruszenie wolności działalności gospodarczej. Należy zauważyć, iż zgodnie z art. 26 ust. 1  ustawy o działalności gospodarczej, dokumenty związane z zawieraniem i wykonywaniem umów ubezpieczenia mogą być sporządzane na elektronicznych nośnikach informacji, jeżeli będą w sposób należyty utworzone, utrwalone, przechowywane i zabezpieczone. Z powyższego wynika, iż P. S.A. – jako zakład ubezpieczeń – jest zobligowany, w wypadku przetwarzania danych w systemach informatycznych do ich utrwalania w sposób należyty, a więc musi spełniać ustawowe wymagania prowadzonej działalności ubezpieczeniowej w tym zakresie i trudno uznać, aby to ograniczało jego wolność działalności gospodarczej.
Niezasadne jest również powołanie się przez skarżącą spółkę na sposób zapisu znaków diakrytycznych w system PESEL, ponieważ system ten nie stanowi żadnego powszechnie obowiązującego wzorca w tym przedmiocie.
Sąd wyraża pogląd, iż nazwisko osoby, której dane są przetwarzane winno być przetwarzane w takiej formie, w jakiej znajduje się w aktach stanu cywilnego i wystawianych na podstawie tych akt dokumentów tożsamości (np. dowodu osobistego, paszportu). Inne zapisy niż oryginalne mogą wprowadzać w błąd i są niepoprawne.
W niniejszej sprawie P. S.A. stosując dwa różne zapisy – w formie papierowej nazwisko S. przez umlaut (por. polisa nr 12424567 k. 10 akt adm.), a w formie elektronicznej S., później S. w istocie przetwarza różne nazwiska, co niewątpliwie może wprowadzać w błąd. Tym bardziej, iż w Polsce występują te nazwiska we wszystkich trzech formach jako: „S.”, „S.” i „S.” (por. "Słownik nazwisk współcześnie w Polsce używanych" pod red. prof. Kazimierza Rymuta, wydanego przez Instytut Języka Polskiego PAN w Krakowie.; Słownik prezentuje występowanie nazwisk w Polsce na początku lat 90-tych XX wieku. Dane zostały zaczerpnięte z systemu PESEL. – „www.herby.com.pl/herby/naz_query.html”).          
Odnosząc się zarzutów skarżącej, że decyzja Generalnego Inspektora prowadzi do niejednoznacznej i błędnej wymiany danych pomiędzy użytkownikami różnych systemów informatycznych w Polsce i w konsekwencji brak stosowania reguł transliteracji zaproponowanych przez P. S.A. prowadzić będzie do braku kompatybilności równych systemów, Sąd zauważa, iż w istocie to zmiana dokonana przez P. S.A. spowodowałaby taką sytuację. Istnieją bowiem systemy – jak słusznie podnosi organ i o czym świadczą dokumenty tożsamości K. S. – w których ta dana jest przetwarzana z zastosowaniem przegłosu „ü”, więc zastosowanie proponowanej przez P. S.A. transliteracji „ue” wprowadzałoby niejednolitość tych systemów. Zatem stanowisko P. S.A. o braku kompatybilności różnych systemów, w których nazwisko K. S. jest przetwarzane, które spowodować miałaby zaskarżona decyzja jest błędne.
W tej sytuacji pozostałe zarzuty skargi dotyczące niewłaściwego zastosowania przez organ art. 18 ust. 1 pkt 2, art. 26 ust. 1 pkt 3, art. 32 ust. 1 pkt 6 oraz art. 35 ust. 1 ustawy o ochronie danych osobowych, poprzez nakazanie skarżącej sprostowania nazwiska należało uznać za chybione.
W świetle powyższych rozważań Sąd uznał, że zaskarżona decyzja jest zgodna z prawem, gdyż zarówno argumentacja skargi, jak i analiza akt sprawy nie ujawniła wad tego rodzaju, że mogłyby one mieć wpływ na podjęte rozstrzygnięcie.  
Z uwagi na powyższe, Wojewódzki Sąd Administracyjny w Warszawie w oparciu o art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.) orzekł, jak w sentencji wyroku.

Sygnatura powiązana