>Orzecznictwo>WSA>2009 >

II SA/Wa 725/09
Orzeczenie nieprawomocne

WYROK

W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ
 

dnia 3 listopada 2008 r.
 

Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu na rozprawie w dniu 3 listopada 2009 r. sprawy ze skargi B. M. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] marca 2009 r. nr [...] w przedmiocie odmowy uwzględnienia wniosku w sprawie przetwarzania danych osobowych
1. uchyla zaskarżoną decyzję oraz decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] grudnia 2008 r. nr [...],
2. stwierdza, że zaskarżona decyzja nie podlega wykonaniu w całości,
3. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz skarżącej B. M. kwotę 200 (dwieście) złotych tytułem zwrotu kosztów postępowania

Uzasadnienie
 

Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] marca 2009 r. nr [...] utrzymał w mocy własną decyzję z dnia [...] grudnia 2008 r. nr [...] odmawiającą uwzględnienia wniosku w sprawie skargi B. M. na przetwarzanie jej danych osobowych przez Starostę [...] z siedzibą w P.
W uzasadnieniu powyższej decyzji Generalny Inspektor Ochrony Danych Osobowych podniósł, iż B. M. wniosła do Biura Generalnego Inspektora Ochrony Danych Osobowych skargę na niezgodne z prawem przetwarzanie jej danych osobowych przez Starostę [...], w tym na udostępnienie jej danych osobom nieupoważnionym. Skarżąca wskazała, iż Zarząd Powiatu [...] naruszył przepis art. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) poprzez zlecenie osobom fizycznym: W. M., W. K.i K. M. sporządzenia "raportu zbiorczego obejmującego ocenę sytuacji w zakresie przestrzegania standardów wychowania i opieki w Domu Dziecka w K., wskazanie przyczyn zaistniałej sytuacji oraz opracowanie programu naprawczego w przedmiotowym zakresie". Wskazane osoby nie miały pisemnego upoważnienia organu powiatowego do przeprowadzenia nadzoru przez ww. placówki w dniu jego rozpoczęcia oraz nie były uprawnione do wglądu w dokumentację pracowniczą skarżącej, zawierającą między innymi dane o jej stanie zdrowia.
W toku przeprowadzonego postępowania administracyjnego w tej sprawie Generalny Inspektor uzyskał od Starosty [...] reprezentującego Zarząd Powiatu [...] stosowne wyjaśnienia, w których wskazał, iż zgodnie z art. 112 ust. 8 ustawy z dnia 12 marca 2004 r. o pomocy społecznej (Dz. U. z 2008 r. Nr 115, poz. 728) starosta sprawuje nadzór nad działalnością rodzinnej opieki zastępczej, ośrodków adopcyjno-opiekuńczych, jednostek specjalistycznego poradnictwa, w tym rodzinnego, oraz ośrodków wsparcia, domów pomocy społecznej, placówek opiekuńczo-wychowawczych i ośrodków interwencji kryzysowej. Starosta wskazał również, iż był uprawniony do przeprowadzenia czynności nadzorczych poprzez zlecenie ich wykonania niezależnemu zespołowi ekspertów na podstawie umowy cywilnoprawnej. W związku z powyższym w dniu [...] kwietnia 2006 r. w P. doszło do zawarcia trzech umów o dzieło pomiędzy Powiatem [...], w imieniu którego działał Starosta [...] J. G., a W. M., W. K. i K. M. Celem każdej z umów było wykonanie dzieła polegającego na sporządzeniu diagnozy dotyczącej oceny realizacji zadań w zakresie standardów wychowania i opieki Domu Dziecka w K., a także opracowanie programu naprawczego. Osoby opracowujące program naprawczy miały dostęp do tzw. "danych wrażliwych" dotyczących stanu zdrowia skarżącej, zawartych w dokumentacji pracowniczej. Umowy o dzieło zostały sporządzone w formie pisemnej w trakcie wykonywania nadzoru. Skarżąca podczas przeprowadzania nadzoru pełniła funkcję Dyrektora ww. Domu Dziecka. Raport zbiorczy dotyczący oceny realizacji zadań w zakresie standardów wychowania i opieki Domu Dziecka w K. wykorzystany został jako materiał dowodowy w postępowaniu sądowym o rozwiązanie stosunku pracy ze skarżącą.
W wyniku dokonanych ustaleń Generalny Inspektor w dniu [...] grudnia 2008 r. wydał decyzję administracyjną odmawiającą uwzględnienia wniosku skarżącej, albowiem organ uznał, iż działanie Starosty [...] było usankcjonowane przepisem art. 23 ust. 1 pkt 2 i 4 w zw. z art. 31 ust. 1 i 2 ustawy o ochronie danych osobowych.
Powyższą decyzję B. M. zaskarżyła wnosząc o ponowne rozpatrzenie sprawy. Kwestionowanemu rozstrzygnięciu strona zarzuciła, iż: 1) Generalny Inspektor uczynił podmiotem jej skargi Starostę Powiatu [...], a nie jak skarżąca wskazała Zarząd Powiatu [...], 2) Generalny Inspektor za przedmiot jej skargi uznał wyłącznie wgląd osób nadzorujących w dokumentację pracowniczą skarżącej zawierającą informacje o stanie jej zdrowia, podczas gdy właściwym przedmiotem skargi był "szereg innych czynności" dokonywanych podczas nadzoru, 3) Generalny Inspektor pominął kwestię wglądu osób nadzorujących w dane wrażliwe innych pracowników, jak również wychowanków placówki, 4) "dywagacje Generalnego Inspektora w przedmiocie zlecenia przez Starostę [...] przetwarzania danych osobowych osobom trzecim są bezprzedmiotowe, bowiem Starosta nie jest administratorem danych pracowników domu dziecka i wychowanków placówki w świetle art. 7 pkt 4 cytowanej ustawy. (...) Administratorem danych w tej konkretnej sprawie nie jest też Powiat [...], w imieniu którego działał Zarząd Powiatu zlecając kontrolę", 5) czynności kontrolne w placówkach opiekuńczo-wychowawczych w sytuacjach niecierpiących zwłoki powinny być przeprowadzane wyłącznie przez służby wojewody lub powiatowe centrum pomocy rodzinie. Brak kompetencji do dokonywania czynności nadzorczych w placówkach opiekuńczych przez Zarząd Powiatu został wskazany przez Sąd Okręgowy w P. w orzeczeniu z dnia [...] stycznia 2008 r. dotyczącym przywrócenia skarżącej do pracy w Domu Dziecka w K., 6) Generalny Inspektor odmawiając skarżącej, podczas prowadzonego postępowania administracyjnego, przesłania akt sprawy w formie kserokopii, nie zastosował "naczelnej zasady administracji polegającej na pełnieniu służebnej roli wobec obywatela i pogłębiania zaufania obywateli do organów Państwa", 7) postępowanie prowadzone przez Generalnego Inspektora odbyło się przewlekle.
Po powtórnym rozpatrzeniu zgromadzonego w sprawie materiału dowodowego i przeanalizowaniu wniosku strony Generalny Inspektor nie znalazł podstaw do uwzględnienia wniosku odwoławczego i rozstrzygnięciem z dnia [...] marca 2009 r., wydanym na podstawie art. 138 § 1 k.p.a. w związku z art. 12 pkt 2, art. 22, 23 ust. 1 pkt 2 i 4 oraz art. 31 ust. 1 ustawy o ochronie danych osobowych, utrzymał zaskarżoną decyzję w mocy.
Odnosząc się do zarzutów wniosku o ponowne rozpatrzenie sprawy Generalny Inspektor podniósł, że używając w zaskarżonej decyzji stwierdzenia, iż skarga dotyczyła przetwarzania danych osobowych skarżącej przez Starostę [...] działał prawidłowo. Stwierdzenie to miało na celu wskazanie osoby uprawnionej do reprezentacji Zarządu Powiatu [...], na czele którego stoi Starosta [...] uprawniony do jego reprezentacji. Wynika to z art. 26 ust. 2 ustawy z dnia 5 czerwca 1998 r. o samorządzie powiatowym (tekst jednolity: Dz. U. z 2001 r. Nr 142, poz. 1592), który stanowi, iż w skład zarządu powiatu wchodzą starosta jako jego przewodniczący, wicestarosta i pozostali członkowie. Natomiast z art. 34 ust. 1 tej ustawy wynika, iż starosta organizuje pracę zarządu powiatu i starostwa powiatowego, kieruje bieżącymi sprawami powiatu oraz reprezentuje powiat na zewnątrz. Organ wskazał, iż w decyzji z dnia [...] grudnia 2008 r. nie odnosił się do legalności przetwarzania danych osobowych pracowników bądź wychowanków Domu Dziecka w K., a w związku z tym nie wskazywał również podmiotu posiadającego uprawnienie do administrowania danymi pracowników bądź wychowanków tejże placówki, skupił się wyłącznie na przetwarzaniu danych osobowych skarżącej przez administratora jej danych osobowych czyli Starostę [...]. Za administratora danych uznaje się organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3 ustawy o ochronie danych osobowych, decydujące o celach i środkach przetwarzania danych osobowych. Administratorem danych jest więc każdy podmiot, który spełnia określone przepisami warunki, a więc legitymuje się co najmniej jedną z przesłanek legalności przetwarzania danych wymienionych w art. 23 ust. 1 ustawy, a ponadto przetwarza dane w sposób zgodny z ustawą o ochronie danych osobowych. Mając na uwadze kwestię sprawowania przez skarżącą funkcji Dyrektora Domu Dziecka w K.na podstawie uchwały o numerze [...] z dnia [...] grudnia 2004 r. podjętej przez Zarząd Powiatu [...], organ stwierdził, iż podstawą prawną upoważniającą Starostę (posiadającego status pracodawcy w stosunku do skarżącej) do przetwarzania jej danych osobowych jest ustawa z dnia 26 czerwca 1974 r. Kodeks pracy (tekst jednolity: Dz. U. z 1998 r. Nr 21, poz. 94 ze zm.). Dom Dziecka w K.jest jednostką organizacyjną powiatu i Starosta [...] reprezentujący Zarząd Powiatu [...], będąc jednocześnie pracodawcą, jest administratorem danych skarżącej - Dyrektora wymienionej placówki. Administrator danych może, w świetle art. 31 ust. 1 ustawy o ochronie danych osobowych, powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Organ wskazał także, iż podczas prowadzonego postępowania w tej sprawie Generalny Inspektor odniósł się tylko i wyłącznie do czynności nadzorczych, które miały ścisły związek z przetwarzaniem danych osobowych skarżącej, nie zaś innych osób (pracowników i wychowanków), których, jak zarzuca skarżąca, dane osobowe tzw. "wrażliwe" były podczas realizacji tych czynności przetwarzane. Pismem z dnia 20 sierpnia 2007 r. Generalny Inspektor poinformował skarżącą, iż w postępowaniu zainicjowanym jej skargą, Generalny Inspektor może dokonać oceny legalności przetwarzania wyłącznie jej danych osobowych z uwagi na brak stosownego pełnomocnictwa, które uprawniałoby skarżącą do występowania w imieniu pozostałych pracowników bądź wychowanków placówki. Odnosząc się do zagadnienia podmiotów uprawnionych do przeprowadzania czynności nadzorczych w placówkach opiekuńczo-wychowawczych, organ stwierdził, iż wbrew twierdzeniom skarżącej wojewoda nie jest jedynym organem o uprawnieniach nadzorczo-kontrolnych w pomocy społecznej. Generalny Inspektor nie odniósł się w decyzji do treści wyroku Sądu Okręgowego w P. z dnia [...] stycznia 2008 r. przywracającego skarżącą do pracy, w którym Sąd ten odniósł się także do kwestii uprawnień osób nadzorujących Dom Dziecka w K., ze względu na niewielki wpływ tego orzeczenia na treść decyzji. Przedmiotowy wyrok wydany został w sprawie ze stosunku pracy pomiędzy skarżącą a Zarządem Powiatu [...], nie dotyczył zaś kwestii legalności przeprowadzenia nadzoru w placówce opiekuńczo-wychowawczej, w związku z czym nie mógł związać Generalnego Inspektora. Organ stwierdził ponadto, iż prowadząc postępowanie nie naruszył uprawnień procesowych strony, zaś długie procedowanie w sprawie było uzasadnione zbieraniem materiału dowodowego i nie wpływa na końcowy wynik załatwienia sprawy.
Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] marca 2009 r. stała się przedmiotem skargi wniesionej przez B. M. do Wojewódzkiego Sądu Administracyjnego w Warszawie. Kwestionując legalność zaskarżonej decyzji strona podniosła, iż jej skarga inicjująca postępowanie Generalnego Inspektora nie dotyczyła Starosty [...], który zdaniem organu był uprawniony do przeprowadzenia czynności nadzorczych poprzez zlecenie ich wykonywania niezależnemu zespołowi ekspertów. Zdaniem skarżącej, takie stwierdzenie jest nieuprawnione w świetle przepisów prawa, bowiem nie istnieje podstawa prawna do zlecania czynności kontrolnych na podstawie umów cywilnoprawnych przez Starostę, a tym bardziej przez Zarząd Powiatu. Ustawa o pomocy społecznej wyraźnie wskazuje, kto z ramienia Starosty może wykonywać czynności nadzorczo-kontrolne w jednostkach pomocy społecznej. Ponadto stanowisko Generalnego Inspektora, dotyczące Starosty jako administratora danych osobowych skarżącej jest niesłuszne, bowiem nie wnosiła ona skargi dotyczącej działalności Starosty jako osoby wykonującej czynności z zakresu prawa pracy, lecz działań Zarządu.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie oraz podtrzymał argumentację zaprezentowaną w uzasadnieniu zaiskrzonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. Sąd, stosownie do art. 134 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), rozstrzyga w granicach danej sprawy nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną.
Skarga zasługuje na uwzględnienie.
Na wstępie należy wskazać, iż zadaniem ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) nie jest jedynie stanie na straży interesów tych, których przetwarzane dane osobowe dotyczą. Naczelną zasadą ustawy nie jest zakaz przetwarzania danych osobowych, lecz przestrzeganie zakresu i trybu ich przetwarzania. Omawiana ustawa w art. 1 ust. 2 stwierdza, że dane osobowe mogą być przetwarzane, jeżeli służy to dobru publicznemu, dobru osoby, której dane dotyczą, lub dobru osób trzecich.
Stosownie do treści art. 7 pkt 2 ww. ustawy, przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
Zakres przetwarzania danych osobowych określa zaś art. 23 ust. 1 ustawy o ochronie danych osobowych stanowiąc, iż przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Wyżej wymienione przesłanki ustawowe wyznaczają granice dopuszczalności przetwarzania danych. Zatem mogą być wykonywane wszystkie lub niektóre czynności składające się na to pojęcie "przetwarzania danych" zdefiniowane w art. 7 pkt 2 ustawy. W przypadku spełnienia choćby jednej z przesłanek wymienionych w art. 23 tej ustawy, administrator jest uprawniony do udostępnienia innym podmiotom zgromadzone przez siebie dane osobowe.
Zwrócić także należy szczególną uwagę na treść art. 26 ust. 1 pkt 1 i 2 ustawy, w świetle którego, administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem i zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2 (przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje w celach badań naukowych, dydaktycznych, historycznych lub statystycznych, z zachowaniem przepisów art. 23 i 25). Z powołanych unormowań wynika obowiązek przetwarzania danych zgodnie z prawem. Wyrażona w ten sposób zasada legalności dotyczy nie tylko postanowień ustawy o ochronie danych osobowych (w szczególności art. 23), ale wszelkich norm prawa. Zgodność z prawem dotyczy przestrzegania zarówno przepisów prawa materialnego, jak i przepisów dotyczących postępowania.
W niniejszej sprawie skarżąca kwestionuje legalność przetwarzania jej danych osobowych, jak i wychowawców oraz podopiecznych Domu Dziecka w K. (w tym danych tzw. "wrażliwych" wymienionych w art. 27 ustawy), przez osoby fizyczne, którym na podstawie umów cywilnoprawnych Powiat [...], reprezentowany przez Zarząd, zlecił dokonanie oceny sytuacji w zakresie przestrzegania standardów wychowania i opieki w ww. placówce, wskazanie przyczyn zaistniałej sytuacji oraz opracowanie programu naprawczego (§ 1 umowy o dzieło z dnia [...] kwietnia 2006 r. nr [...] zawartej z W. M.), a także sporządzenie diagnozy dotyczącej oceny realizacji zadań w zakresie standardów wychowania i opieki w ww. placówce oraz opracowanie programu naprawczego (§ 1 umów o dzieło z dnia [...] kwietnia 2006 r. nr [...] i nr [...] zawartych z K. M. i W. K.).
Generalny Inspektor uznał, iż przetwarzanie danych osobowych skarżącej we wskazanych okolicznościach było zgodne z prawem, albowiem uprawnienia nadzorcze starosty w stosunku do placówek opiekuńczo wychowawczych wynikają z art. 112 ust. 8 ustawy o pomocy społecznej, zaś zlecenie przez organ powiatowy przetwarzania danych osobowych osobom trzecim było możliwe w oparciu o umowę cywilnoprawną, zgodnie z art. 31 ust. 1 i 2 ustawy o ochronie danych osobowych.
W ocenie Sądu rozstrzygnięcie organu opiera się na błędnej wykładni powyższych przepisów prawa materialnego.
Zgodnie z art. 112 ust. 5 i 8 ustawy o pomocy społecznej, w indywidualnych sprawach z zakresu pomocy społecznej należących do właściwości powiatu decyzje administracyjne wydaje starosta lub z jego upoważnienia kierownik powiatowego centrum pomocy rodzinie i inni pracownicy centrum upoważnieni na wniosek kierownika. Starosta przy pomocy powiatowego centrum pomocy rodzinie sprawuje nadzór nad działalnością rodzinnej opieki zastępczej, ośrodków adopcyjno-opiekuńczych, jednostek specjalistycznego poradnictwa, w tym rodzinnego, oraz ośrodków wsparcia, domów pomocy społecznej, placówek opiekuńczo-wychowawczych i ośrodków interwencji kryzysowej. Analiza powołanych przepisów prowadzi do wniosku, że ustawodawca tylko staroście - jako organowi administracji publicznej - przyznaje uprawnienia do wydawania decyzji administracyjnych w indywidualnych sprawach z zakresu opieki społecznej. Przeniesienie tych uprawnień jest ograniczone podmiotowo i może zostać uczynione na rzecz kierownika centrum pomocy społecznej lub innych pracowników centrum. Wskazane kompetencje stanowią lex specialis w stosunku do ogólnych unormowań (art. 38 ust. 2 ustawy o samorządzie powiatowym - starosta może upoważnić wicestarostę, poszczególnych członków zarządu powiatu, pracowników starostwa, powiatowych służb, inspekcji i straży oraz kierowników jednostek organizacyjnych powiatu do wydawania w jego imieniu decyzji, o których mowa w ust. 1). Starosta jest również organem nadzoru wobec rodzin zastępczych i powiatowych jednostek organizacyjnych pomocy społecznej. Pojęcie nadzoru jest pojęciem szerszym, nierozerwalnie łączy się z kontrolą. Uprawnienia nadzorcze obejmują prawo ustalenia stanu faktycznego, porównania zaistniałej w toku kontroli sytuacji z normą prawną i stosowania władczych form działania (wydawania decyzji, wystąpień) w celu przywrócenia naruszonego wzorca określonego przepisami prawa. Wymienione formy działania przysługują tylko i wyłącznie organom administracji publicznej, zarówno państwowej, jak i samorządowej. Mogą być zatem dokonywane tylko przez organy do tego ustawowo umocowane, bądź też aparat urzędniczy organu, jeżeli przepisy kompetencyjne na to zezwalają, albowiem organy administracji publicznej działają tylko i wyłącznie na podstawie przepisów prawa powszechnie obowiązującego (ogólna zasada wyrażona w art. 6 k.p.a.).
Jak wynika z załączonej do skargi z dnia 12 lipca 2007 r. kserokopii odpisu "Materiału Zbiorczego/Raportu" sporządzonego przez W. M. - [...] Dyrektora Centrum [...] w P., [...], W. K. - [...], K. M. - [...] w Centrum [...] w P., wymienione osoby dokonywały w okresie od dnia [...] marca 2006 r. do dnia [...] maja 2006 r. niezapowiedzianych "wizytacji" Domu Dziecka w K., w toku którym zapoznawały się m.in. z dokumentacją pracowników placówki, dokumentacją wychowanków, kartami pobytu dziecka w placówce. Zakres dokonywanych czynności przez ww. specjalistów, wskazuje jednoznacznie na dokonywanie czynności kontrolnych, do wykonywania których osoby te, niezależnie od posiadanych kwalifikacji zawodowych, nie były w świetle obowiązujących przepisów uprawnione. Wbrew twierdzeniom Generalnego Inspektora, działań nadzorczych osób niebędących pracownikami powiatowego centrum pomocy rodzinie nie może legalizować, zarówno natychmiastowa potrzeba uzdrowienia sytuacji w placówce podległej Staroście [...], jak i powierzenie tych uprawnień w drodze czynności cywilnoprawnych specjalistom spoza administracji Powiatu. Wprawdzie na podstawie art. 31 ust. 1 i 2 ustawy o ochronie danych osobowych, administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych, a podmiot taki może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie, jednakże unormowanie to nie może mieć zastosowania do czynności zastrzeżonych do wyłącznej kompetencji organów administracji publicznej.
Wskazać należy, iż na podstawie art. 84 k.p.a. organ administracji publicznej może zwrócić się do biegłego lub biegłych o wydanie opinii, gdy w sprawie wymagane są wiadomości specjalistyczne. W takim przypadku przetwarzanie danych osobowych przez biegłego specjalistę uzyskuje przymiot legalności. W doktrynie podkreśla się, iż biegły nie jest powołany do ustalenia stanu faktycznego, lecz naświetlenia i wyjaśnienia okoliczności sprawy wskazanych przez organ administracji publicznej z punktu widzenia posiadanych przez niego wiadomości - patrz B. Adamiak, J. Borkowski, Kodeks postępowania administracyjnego, Komentarz, wydanie 8, str. 420. Dokonywanie ustaleń kontrolnych nie należy jednak do biegłego specjalisty, lecz do samego organu. Ponadto z treści zawartych przez Zarząd Powiatu [...] z ww. osobami umów o dzieło nie wynika, aby celem zawarcia tych umów było przetwarzanie danych osobowych skarżącej dla potrzeb wynikających ze stosunku pracy. Mając na uwadze przepis art. 31 ust. 2 ustawy o ochronie danych osobowych, nie można zgodzić się ze stanowiskiem organu, że ww. osoby na zlecenie Zarządu Powiatu [...] realizowały wobec Dyrektora Domu Dziecka w K.uprawnienia pracodawcy.
Mając powyższe na uwadze stwierdzić należy, że Generalny Inspektor Ochrony Danych Osobowych bezzasadnie przyjął, iż przetwarzanie danych osobowych skarżącej przez ww. zespół specjalistów na zlecenie Zarządu Powiatu [...] było uzasadnione przesłankami wskazanymi w art. 23 ust. 1 pkt 2 i 4 ustawy o ochronie danych osobowych.
Rozpatrując ponownie wniosek skarżącej z dnia 12 lipca 2007 r. organ będzie obowiązany uwzględnić powyżej wskazaną ocenę prawną.
Mając powyższe na uwadze, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit. a) w zw. z art. 152 ustawy - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), orzekł jak w sentencji. O kosztach rozstrzygnięto na podstawie art. 200 w zw. z art. 209 tej ustawy