Tezy
- W przypadku zbierania danych osób nie od osoby od której one pochodzą administrator danych obowiązany jest do podania pełnej nazwy podmiotu, jego adresu i siedziby, bowiem podanie skrótu, który w sposób niepełny określa zbywcę danych narusza przepis art. 25 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych /Dz.U. 2002 nr 101 poz. 926 ze zm./.
- Przepis art. 18 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych /Dz.U. 2002 nr 101 poz. 926 ze zm./ uprawnia Generalnego Inspektora Ochrony Danych Osobowych do wydawania nakazów odnoszących się do zachowań kontrolowanego podmiotu również w przyszłości.
Sentencja
Naczelny Sąd Administracyjny po rozpoznaniu w dniu 13 lipca 2004 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Spółki z o.o. "S." w W. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 22 stycznia 2004 r. II SA 2665/02 w sprawie ze skargi Spółki z o.o. "S." w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 19 lipca 2002 r. (...) w przedmiocie ochrony danych osobowych - oddala skargę kasacyjną; (...).
Uzasadnienie
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 22 stycznia 2004 r. II SA 2665/02 oddalił skargę "S." Spółka z o.o. w W. na decyzje Generalnego Inspektora Ochrony Danych Osobowych z 19 lipca 2002 r. (...) w przedmiocie danych osobowych. Decyzja ostateczna z 19 lipca 2002 r. orzekała o utrzymaniu w mocy decyzji Generalnego Inspektora Ochrony Danych Osobowych /oznaczonego dalej jako GIODO/ z dnia 21 maja 2002 r., którą organ nakazał:
- usunięcie uchybień w procesie przetwarzania danych osobowych przez dopełnienie wobec klientów, których dane pozyskiwano od spółki COID i włączono do Centralnego Rejestru Oznakowanych Pojazdów /CROP/, obowiązku informacyjnego w zakresie źródła danych tj. poinformowania o pełnej nazwie podmiotu oraz jego siedziby w terminie 1 miesiąca od dnia, kiedy decyzja stanie się ostateczna,
- dopełnienie wobec wszystkich klientów "S." obowiązku informacyjnego z art. 25 ustawy o ochronie danych osobowych bezpośrednio po utrwaleniu zebranych danych przed wysłaniem pierwszej oferty marketingowej.
Podstawę faktyczną decyzji stanowiły ustalenia kontroli, przeprowadzonej w dniu 12-13 grudnia 2001 r. przez kontrolerów upoważnionych przez GIODO, w trakcie której ustalono, że kontrolowana Spółka "S." - jako administrator danych - naruszyła przepisy o ochronie danych przez:
1/ niezrealizowanie wobec klientów, których dane pozyskano od Spółki z o.o. "COID", obowiązku informacyjnego w zakresie danych i obowiązku informacyjnego z art. 25 ustawy wobec wszystkich klientów spółki przed wydaniem pierwszej oferty marketingowej; ponadto klienci, których dane pozyskano od Spółki "COID" zostali wprowadzeni w błąd przez podanie w piśmie przewodnim, że obie Spółki nawiązały współpracę w celu ochrony pojazdów, gdy z treści umowy sprzedaży z 28 czerwca 2001 r. wynikało, że podstawą była umowa sprzedaży bazy danych,
2/ niezapewnienie przez system informatyczny "Centralny Rejestr Oznakowanych Pojazdów" /CROP/ odnotowania informacji komu i w jakim zakresie dane zostały udostępnione.
W uzasadnieniu decyzji z 21 maja 2001 r. GIODO powołał się na ustalenia kontroli oraz art. 25 ust. 1 ustawy o ochronie danych osobowych wg którego bezpośrednio po zebraniu danych należy poinformować m.in. o źródle danych. Spółka nie uczyniła tego wobec wszystkich klientów przed rozpoczęciem wykorzystania danych. Przesłana informacja nie była pełna, nie zawierała oznaczenia podmiotu wraz z adresem. Klienci byli też wprowadzeni w błąd co do celu przetwarzania danych . Nie mieli dostępu do zawartych między spółkami umów.
Składając wniosek o ponowne rozpatrzenie sprawy Spółka wywodziła, że wykonała obowiązek informacyjny z art. 25 ust. 1 pkt 3 ustawy. Przepis ten nie określa zakresu informacji. Wyznaczony na usunięcie uchybień termin nie znajduje podstawy w przepisach prawnych. Powołała się na dyrektywę Parlamentu Europejskiego i Rady z 24.10.1995 r. wyłączającą obowiązek informacyjny w razie znacznych nakładów /art. 11 ust. 2/.
W decyzji ostatecznej GIODO podtrzymał swe poprzednie stanowisko.
W skardze do Naczelnego Sądu Administracyjnego Spółka zarzuciła błędną wykładnię art. 25 ustawy przez przyjęcie, że ma on zastosowanie w sprawie, zaś w przypadku nieuznania tego zarzutu - błędną wykładnię tegoż przepisu przez przyjęcie, że podanie źródła danych musi zawierać pełne przytoczenie nazwy podmiotu udostępniające dane i jego siedziby, że wysłanie oferty marketingowej może nastąpić dopiero po spełnieniu obowiązku informacyjnego, naruszenie swobodnej oceny dowodów /art. 80/ przez stwierdzenie, iż pismo z 1 lipca 2001 r. wraz z załącznikami zawierało dane niepełne, niezrozumiałe dla odbiorcy, ukryte i wprowadzające w błąd. Organ pominął fakt, iż tylko jedna osoba z 86681 klientów uznała tę informację za niewystarczającą, a nadto błędną wykładnię art. 18 ust. 1 ustawy, przez uznanie, że daje on uprawnienie do wydawania decyzji w zakresie stanów faktycznych, które jeszcze nie nastąpiły.
Oddalając skargę Wojewódzki Sąd Administracyjny w Warszawie - właściwy w tej sprawie na podstawie art. 97 par. 1 ustawy z dnia 30 sierpnia 2002 r. Przepisy wprowadzające ustawę - Prawo o ustroju sądów administracyjnych i ustawę Prawo o postępowaniu przed sądami administracyjnymi /Dz.U. nr 153 poz. 1271 ze zm./ nie podzielił argumentacji skarżącej Spółki.
Nie zgodził się przede wszystkim z zarzutem, że w przypadku uzyskania bazy danych w drodze umowy cywilnoprawnej jej nabywcy nie obciąża obowiązek informacyjny z art. 25 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych /Dz.U. 2002 nr 101 poz. 926/, ponieważ nie zbiera on danych lecz jest jedynie, w wyniku przekazania, ich odbiorcą. Sąd zwrócił w związku z tym uwagę na fakt, iż językowe znaczenie słowa "zbierać" oznacza "brać, wydostawać, uzyskiwać po kolei coś skąd, gromadzić w jednym miejscu lub w swoim posiadaniu". /Mały Słownik Języka Polskiego W-wa 1996 r. str. 1141/. Nabycie w drodze umowy jest, więc także sposobem uzyskiwania czy wydostawania czegoś.
Pewne formy zbieractwa wymuszają zresztą niejako jedynie wtórny sposób ich nabycia. Stąd też nie można przyjąć, że zakup bazy danych nie oznacza ich zebrania. Jest on bowiem w istocie tożsamy z procesem ich pozyskiwania.
Zbieranie danych mieści się w pojęciu ich przetwarzania zgodnie z art. 7 pkt 2 ustawy o ochronie danych osobowych. Stąd może mieć ono miejsce, na podstawie art. 1 ust. 2 ustawy w zakresie i trybie określonym ustawą.
Ustawa przewiduje dwa sposoby zbierania danych osobowych, różnicując w zależności od tego obowiązki administratora danych. Są to: zbieranie danych od osoby, której one dotyczą /art. 24 ustawy/ oraz w inny sposób, a więc nie od tej osoby /art. 25 ustawy/. W sprawie nie budziło wątpliwości, że spółka "S." nie zbierała danych bezpośrednio od osób, których te dane dotyczyły, lecz zakupiła je od innego podmiotu. Kwestia umowy cywilnoprawnej będącej podstawą przekazania danych nie była przy tym przedmiotem orzekania. Sąd badał jedynie legalność dalszego przetwarzania danych przez nabywcę danych oraz fakt wywiązywania się przez niego obowiązków wynikających z ustawy.
Spółka zebrała dane nie od osób, których dane dotyczą, była więc zobowiązana do wykonania obowiązku informacyjnego z art. 25 ustawy. Musiał on być przy tym wykonany bezpośrednio po utrwaleniu zebrania danych. W zakresie tego obowiązku powinna była poinformować wspomniane wyżej osoby:
1/ o adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swego zamieszkania oraz imieniu i nazwisku,
2/ celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych,
3/ źródle danych,
4/ prawie wglądu do swoich danych oraz ich poprawiania,
5/ o uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8.
Źródło danych, podobnie jak każda informacja podana w przypadku powyższego obowiązku musi być na tyle skonkretyzowana, aby pozwoliła je zindywidualizować.
Trudno zgodzić się ze skarżącym, iż przy źródle danych ustawodawca nie wskazuje, tak jak w przypadku nabywcy danych wyraźnych elementów jak siedziba, pełna nazwa itp., elementy te są zbędne i niewymagalne. Słowo źródło danych oznacza bowiem bardzo szeroki zbiór elementów. Z językowego punktu widzenia "źródło" to m.in. . "przyczyna, punkt wyjścia, w którym coś się rozpoczyna, z którego coś pochodzi" /Mały Słownik języka polskiego W-wa 1996 r. str. 1174/. Stąd źródło pochodzenia danych oznacza zarówno podmiot, od którego dane uzyskano, jak i podstawę ich pozyskania. Podmiotem może być przy tym zarówno jakaś osoba, instytucja, czasopismo, osoba fizyczna, jak i jednostka organizacyjna. Nie ulega wątpliwości, że w przypadku wskazania podmiotów, od których uzyskano dane ich indywidualizacja winna nastąpić poprzez podanie imienia i nazwiska, bądź pełnej nazwy oraz adresu czy siedziby.
Warunku tego nie spełnia podanie używanego przez poprzednią spółkę skrótu. Nie jest on bowiem nawet na tyle charakterystyczny, "ażeby pozwalał na pełne określenie źródła danych nawet w odniesieniu do osób, które kiedyś weszły z takim podmiotem w stosunki prawne. Nie pozwala również na skorzystanie w stosunku do tegoż podmiotu ze swoich uprawnień, w przypadku naruszenia obowiązków z zakresu ochrony danych osobowych, nie wskazuje bowiem adresu i siedziby tego podmiotu. Jak podkreśla się zaś w literaturze informacja w zakresie obowiązku z art. 25 ust. 1 ustawy musi być pełna i dostatecznie wyodrębniona /J. Barta, R. Markiewicz. "Ochrona danych osobowych" Zakamycze 2001 str. 404/. Dotyczy to więc wszystkich elementów tego obowiązku.
Dlatego też nie można podzielić zarzutu skarżącej, że nabywca danych nie ma obowiązku podania podstawy ich nabycia. Słowo źródło danych dotyczy bowiem różnych kwestii - zarówno podmiotu, od którego dane uzyskano, jak i w związku z tym, że językowo obejmuje "punkt wyjścia, przyczynę", także podstawę nabycia tych danych, sposób ich nabycia. Informacje te mogą być niezbędne dla osoby, której dane dotyczą w celu kontroli, czy dane zostały udostępnione innemu podmiotowi zgodnie z jej wcześniej przekazaną wolą. Sposób podania źródła nie może przy tym wprowadzać w błąd osoby, której dane dotyczą. Taki zaś charakter miała niewątpliwie informacja o współpracy obu firm, podczas gdy podstawą przekazania danych nie była umowa o współpracy, lecz umowa zbycia danych.
Kwestią, która wymagała rozważenia była sprawa dalszego przetwarzania przez "S." uzyskanych danych osobowych poprzez wysyłanie do osób, których dane uzyskano, ofert marketingowych.
Ustawa w art. 1 ust. 1 zapewnia prawo osoby do ochrony jej danych osobowych.
Wszelkie przetwarzanie danych ma miejsce jedynie ze względu na dobro publiczne, dobro osoby, której dane dotyczą lub dobro osób trzecich w zakresie i w trybie określonym ustawą /art. 1 ust. 2/. Art. 23 ust. 1 wskazując na zasady przetwarzania danych określa kiedy to jest dopuszczalne.
W sprawie tej nie budziło wątpliwości, że nabywca danych mógł je przetwarzać na podstawie art. 25 ust. 1. Wspomniany artykuł nie pozwala jednak na przetwarzanie danych w żadnym innym celu. Celem tym nie może być w szczególności ochrona interesów finansowych nabywcy danych, przez ograniczenie kosztów wysyłanej korespondencji.
Zdaniem skarżącej Spółki podstawą dalszego przetwarzania danych był art. 23 ust. 1 pkt 5 ustawy, gdyż przetwarzała ona dane w związku ze swoją działalnością zarobkową i zawodową.
Takie przetwarzanie jest możliwe o ile jest niezbędne dla realizacji tych zadań i nie narusza praw i wolności zainteresowanego.
Zapewnienie ochrony tych danych wymaga przynajmniej, aby mogła po uzyskaniu informacji o zebraniu jej danych od innego podmiotu sprzeciwić się dalszemu przetwarzaniu. Powinna więc mieć czas na możliwość skorzystania ze środków przewidzianych w art. 32 ustawy. Połączenie w jednym piśmie obowiązku informacyjnego z art. 25 z dalszym przetwarzaniem danych osób, których dane te dotyczą bez ich zgody, stawiałoby pod znakiem zapytania cały art. 23 ustawy. Pozwalałoby do czasu zgłoszenia sprzeciwu posługiwać się danymi osobowymi.
Powyższa wykładnia art. 23 ust. 1 pkt 5 i art. 25 ust. 1 ustawy sprawia, że czynność zakupu danych osobowych jest czynnością o dużym charakterze ryzyka. Jednakże celem ustawy nie jest ochrona interesów zawodowych i gospodarczych nabywcy danych, lecz prawo do ochrony swoich danych osobowych. Wyważenie tych interesów wymaga zabezpieczenia każdego z nich. Osoba, której dane dotyczą musi mieć więc możliwość zaprotestowania przeciwko posługiwaniu się jej danymi przez inną firmę, której danych tych nie przekazywała.
Sąd nie podzielił także zastrzeżeń skarżącej co do naruszenia art. 18 ustawy.
Uprawnienia GIODO skonstruowane są w sposób specyficzny. Dotyczą one przypadków kiedy nastąpiło naruszenie ustawy o ochronie danych osobowych i chodzi o zapobieżenie im w przyszłości. W tym znaczeniu decyzje Głównego Inspektora mogą dotyczyć stanów przyszłych. Na podstawie art. 18 ust. 1 ustawy Generalny Inspektor może nakazać administratorowi danych w drodze decyzji administracyjnej przywrócenie stanu zgodnego z prawem, a w szczególności: 1/ usunięcie uchybień, 2/ uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych. 3/ zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, 4/ wstrzymanie przekazywania danych osobowych za granicę, 5/ zabezpieczenie danych lub przekazanie ich innym podmiotom, 6/ usunięcie danych osobowych.
Zdaniem Sądu mimo zwrotu w szczególności Generalny Inspektor może podjąć decyzję o treści określonej w art. 18, gdyż nie można domniemywać władczych form działania administracji.
Stwierdzając naruszenie prawa, organ może wypowiedzieć się co do konkretnego naruszenia i nakazać np. w drodze decyzji usunięcie danych. W tym przypadku odnosi się to do jednej określonej decyzji i chroni prawa jednego podmiotu.
Usunięcie uchybień i zastosowanie dodatkowych środków zabezpieczających może jednak odnosić się do przyszłych działań administratora danych i chronić wszystkie przyszłe osoby, których dane są przetwarzane. Stwierdzając naruszenie prawa GIODO winien więc nakazać zamieszczenie dodatkowych sformułowań w przyszłych umowach, zakończenia pewnych działań itp.
Wszystkie te środki będą w istocie dotyczyły przyszłych stanów faktycznych, a ich zgodność z art. 18 ustawy nie budzi wątpliwości.
Skargę kasacyjną od powyższego wyroku wniosła "S." Spółka z o.o. - działająca za pośrednictwem radcy prawnego Krzysztofa G., zarzucając naruszenie prawa materialnego:
- przez błędną wykładnię art. 25 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych /Dz.U. 2002 nr 101 poz. 926 ze zm./ poprzez przyjęcie, że wykonanie przez administratora danych osobowych /który uzyskał dane w drodze zakupu bazy danych/ obowiązku informacyjnego w zakresie źródła danych może polegać tylko na podaniu pełnej nazwy oraz adresu siedziby poprzedniego administratora oraz przyjęcie, że informacja winna również obejmować przekaz w zakresie sposobu pozyskania danych,
- błędną wykładnię i niewłaściwe zastosowanie art. 23, art. 25 w związku z art. 32 ust. 1 pkt 8 ustawy przez przyjęcie, że wykonanie obowiązku informacyjnego nie może być połączone z prowadzeniem akcji marketingowej własnych usług administratora danych,
- błędną wykładnię art. 18 ustawy, przyjmującą, że przepis ten umożliwia wydanie przez Generalnego Inspektora decyzji regulującej zachowanie skarżącej na przyszłość tj. w zakresie stanów faktycznych, które jeszcze nie wystąpiły.
Skarżąca wniosła o uchylenie zaskarżonego wyroku i przekazanie sprawy do ponownego rozpoznania ewent. o zmianę zaskarżonego wyroku i uwzględnienie skargi oraz o zasądzenie kosztów postępowania.
Naczelny Sąd Administracyjny zważył, co następuje.
Skarga kasacyjna wniesiona przez "S." Sp. z o.o. nie jest zasadna.
Podstawę materialnoprawną zaskarżonej decyzji Generalnego Inspektora stanowiły przepisy art. 18 ust. 1 pkt 1 i art. 25 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych /Dz.U. 2002 nr 101 poz. 926/.
W pierwszym z wymienionych przepisów ustawodawca zawarł podstawę prawną dla Generalnego Inspektora Ochrony Danych Osobowych do wydawania decyzji nakazującej usunięcie uchybień i przywrócenie stanu zgodnego z prawem w przypadku naruszenia przepisów o ochronie danych osobowych.
Przepis art. 25 ust. 1 ustawy nakłada na administratora danych, w przypadku zbierania danych osobowych nie od osoby, której dane te dotyczą, obowiązek poinformowania tej osoby bezpośrednio po utrwaleniu danych o:
- adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu zamieszkania oraz imieniu i nazwisku,
- celu i zakresie zbierania danych,
- źródle danych,
- prawie wglądu do swoich danych oraz ich poprawiania,
- uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8.
W zaskarżonym wyroku, oddalającym skargę "S." Sp. z o.o. na decyzję Generalnego Inspektora, Wojewódzki Sąd Administracyjny dokonał prawidłowej interpretacji przepisów ustawy o ochronie danych osobowych, uznając, iż wydane nakazy usunięcia uchybień i przywrócenia stanu zgodnego z prawem - prawa tego nie naruszyły.
W obszernym uzasadnieniu wyroku Sąd dokonując wykładni językowej przepisów będących podstawą decyzji, zasadnie uznał, że obowiązki określone w art. 25 ust. 1 ustawy obciążają administratora danych także w przypadku uzyskania bazy danych w drodze umowy cywilnoprawnej. Administrator nie jest bowiem - jak twierdził skarżący tylko odbiorcą danych - lecz czynność jego - nabycie w drodze umowy - mieści się w pojęciu, o którym stanowi przepis art. 7 pkt 2 ustawy.
Przepis ten definiując przetwarzanie rozumie pod tym pojęciem jakiekolwiek operacje wykonywane na danych osobowych takie jak: zbieranie, utrwalanie, przekazywanie, opracowywanie, zmienianie, udostępnianie i usuwanie.
Nabycie w drodze umowy jest więc także sposobem uzyskiwania, czy wydostawania /danych/, co prowadzi do konkluzji, iż zakup bazy danych jest tożsamy z procesem ich zbierania i pozyskiwania.
Zasadnie Sąd ocenił, iż w przypadku zbierania danych osób nie od osoby, od której one pochodzą, administrator danych obowiązany jest w przypadku informacji, o której mowa w art. 25 ust. 1 pkt 3 ustawy, podając źródło, podać pełną nazwę podmiotu i jego adres oraz siedzibę, zaś w przypadku osoby fizycznej imię, nazwisko i adres, a nadto podstawę nabycia. Podanie skrótu, który w sposób niepełny określa zbywcę danych trafnie, zarówno organ jak i Sąd, uznały za niewystarczające.
Nie można przy tym za usprawiedliwioną uznać okoliczność, iż osoby przekazując dane miały wiedzę w kwestii komu dane te udostępniły - jak twierdzi skarżący - gdyż wprowadzając obowiązki dla nabywcy danych /nie od osób, których one dotyczą/ ustawodawca miał na uwadze zagwarantowanie osobom, których dane są przetwarzane pełnej wiedzy o dokonanym obrocie danymi.
Taka regulacja, przy zapewnieniu, że obowiązek informacyjny zostanie wykonany bezpośrednio po utrwaleniu zebranych danych umożliwia osobom zainteresowanym skorzystanie z przysługującej ochrony przewidzianej w art. 32 ustawy.
Stąd też praktykę skarżącego, iż wystarczało podanie skrótu Spółki COID, bez jej pełnej nazwy, siedziby i sposobu uzyskania danych, a następnie przesłanie ofert marketingowych bez uprzedniego wykonania obowiązku, o którym mowa w art. 25 ust. 1 zasadnie Generalny Inspektor ocenił jako naruszające omawiane przepisy prawa i wywołujące konieczność wydania decyzji na podstawie art. 18 ust. 1 ustawy.
Należy podzielić także argumentację Sądu do tego, iż przepis art. 18 ust. 1 ustawy o ochronie danych osobowych uprawnia Generalnego Inspektora do wydawania nakazów co do zachowania się kontrolowanego podmiotu w przyszłości.
Przepis art. 18 ust. 1, zawierający podstawę do wydawania decyzji przez Generalnego Inspektora w przypadku stwierdzenia naruszenia przepisów prawa, przewiduje możliwość wydawania rozstrzygnięć o dość zróżnicowanej treści.
Wymienione w pkt 1-6 art. 18 ust. 1 rozstrzygnięcia nie stanowią zamkniętego katalogu, gdyż ustawodawca posługując się sformułowaniem "w szczególności", a ponadto stosując określenia w rodzaju "zastosowanie dodatkowych środków zabezpieczających", "zabezpieczenie danych", stworzył organowi możliwość elastycznego reagowania na przypadki naruszania przepisów o ochronie danych.
Jeśli więc organ decyzyjny stwierdzi - jak w tym przypadku - sprzeczną z art. 25 ust. 1 ustawy praktykę zaniechania bezpośredniego informowania o nabyciu danych przed wysłaniem pierwszej oferty marketingowej, to wydany w decyzji nakaz dopełnienia wobec wszystkich klientów obowiązku informacyjnego z art. 25 ust.1, odnoszący się do przyszłej działalności spółki, mieści się w pkt 1 omawianego artykułu, przewidującego usunięcie uchybień.
Skoro zaskarżone decyzje były zgodne z obowiązującym prawem, to wyrok Wojewódzkiego Sądu Administracyjnego oddalający skargę, a zawierający prawidłową wykładnię przepisów prawa materialnego również nie narusza prawa.
Z tego względu Sąd uznając, iż skarga kasacyjna nie zawiera usprawiedliwionych podstaw oddalił ją na podstawie art. 184 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi /Dz.U. nr 153 poz. 1270/, zasądzając od skarżącej Spółki zwrot kosztów na rzecz Generalnego Inspektora Ochrony Danych Osobowych - stosownie do art. 204 powołanej wyżej ustawy.