POSTANOWIENIE Z DNIA 11 GRUDNIA 2000 R.
II KKN 438/2000


1. Dane osobowe korzystają z ochrony przewidzianej ustawą z dnia
29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 133, poz. 883
ze zm.) już wówczas, jeżeli tylko mogą znaleźć się w zbiorze danych oso-
bowych, bez względu na to, czy się w nim ostatecznie znalazły, a ustawa w
odniesieniu do różnych etapów i rodzajów przetwarzania danych, określa
jeszcze dodatkowe uprawnienia osób, których dane te dotyczą (rozdz. 4
ustawy). Rzecz bowiem w tym, że każdy ma prawo do ochrony dotyczą-
cych go danych osobowych (art. 1 ust. 1 ustawy), a nie jedynie ten, czyje
dane znalazły się już w zbiorze.
2. Na gruncie ustawy o ochronie danych osobowych administratorem
danych osobowych jest jedynie ten podmiot, który decyduje o celach i
środkach przetwarzania tych danych (art. 7 pkt 4 ustawy), natomiast admi-
nistrującym - także taki podmiot, który zarządza, zawiaduje zbiorem danych
(art. 50, 51, 54) lub danymi (art. 52) w procesie ich przetwarzania, w tym i
powierzonego mu w trybie wskazanym w art. 31 tej ustawy, przy czym od-
powiedzialność karna administrującego nie będącego administratorem da-
nych wchodzi w rachubę wówczas gdy jego zachowanie - uznane za ka-
ralne przez ustawę - wynika z powierzonych mu czynności przetwarzania
danych.

Przewodniczący: sędzia SN T. Grzegorczyk (sprawozdawca).
Sędziowie SN: A. Kapłon, D. Rysińska.
Prokurator Prokuratury Krajowej: K. Parchimowicz.

Sąd Najwyższy po rozpoznaniu w dniu 11 grudnia 2000 r., sprawy
Andrzeja S., skazanego na podstawie art. 51 ust. 1 ustawy z dnia 29 sierp-
nia 1997 r. o ochronie danych osobowych (Dz. U. Nr 133, poz. 883 ze zm.),
z powodu kasacji, wniesionej przez obrońcę skazanego od wyroku Sądu
Okręgowego w W. z dnia 19 czerwca 2000 r., zmieniającego wyrok Sądu
Rejonowego w W. z dnia 10 kwietnia 2000 r.,

o d d a l i ł kasację (...).


U Z A S A D N I E N I E

Andrzej S., wyrokiem Sądu Rejonowego w W. z dnia 10 kwietnia
2000 r., został uznany winnym tego, że w okresie od dnia 22 lutego 1999 r.
do 15 marca 1999 r. w K., administrując zbiorem danych osobowych osób
biorących udział w loterii ,,Graj w zielone" oraz będąc zobowiązanym do
ochrony tych danych, umożliwił dostęp do nich osobom nieupoważnionym
na terenie Zakładów Papierniczych, tj. przestępstwa określonego w art. 51
ust.1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.
U. Nr 133, poz. 833 ze zm.), za co orzeczono wobec niego karę 100 sta-
wek dziennych grzywny po 40 złotych każda. Po rozpoznaniu apelacji
obrońcy od tego wyroku, Sąd Okręgowy w W., wyrokiem z dnia 19 czerwca
2000 r., zmienił to orzeczenie w ten tylko sposób, że przyjął, iż oskarżony
był jedynie obowiązany do ochrony danych osobowych osób biorących
udział w loterii ,,Graj w zielone".
W kasacji wywiedzionej od prawomocnego wyroku sądu odwo-
ławczego obrońca skazanego podniósł zarzut obrazy prawa procesowego
przez ,,naruszenie zasady obiektywizmu, zasady domniemania niewinności,
zasady in dubio pro reo, jak również zasady swobodnej oceny dowodów
(art. 4, 5 § 1 i 2 oraz art. 7 k.p.k.)", co stanowi - zdaniem skarżącego - ,,ra-
żące naruszenie prawa, mające wpływ na treść orzeczenia, przez uznanie
Andrzeja S. za winnego popełnienia czynu w oparciu o domniemanie braku
odpowiedzialności ze strony Zakładów Papierniczych za przyjmowane do
zniszczenia dokumenty, a także uznanie, iż dokument wystawiony przez
zakład, potwierdzający przyjęcie makulatury (...) z adnotacją < tajna>> obciąża skazanego i świadczy o dokonanych przez niego zaniedba-
niach". W uzasadnieniu skargi kasacyjnej znalazł się jeszcze jeden zarzut,
nie wskazany na wstępie kasacji, a mianowicie, że sądy pominęły ,,argu-
menty zawarte w pozasądowej opinii prawnej załączonej do akt sprawy",
zwłaszcza zaś wyrażony tam pogląd, że ,,sposób przechowywania zgło-
szeń promocyjnych w trakcie całej promocji, jak i po jej zakończeniu, nie
pozwala na uznanie, iż tworzyły one zbiór w rozumieniu ustawy" i że ,,obro-
na nie zgadza się z zaprezentowaną interpretacją sądu, co do ustawy o
ochronie danych osobowych", co oznaczałoby zarzut rażącego naruszenia
prawa materialnego przez błędną jego interpretację.
Rozpoznając skargę kasacyjną Sąd Najwyższy zważył, co następuje:
Przede wszystkim należy przyjrzeć się stanowi faktycznemu, w jakim
sądy zastosowały art. 51 ust.1 ustawy z dnia 29 sierpnia 1997 r. o ochronie
danych osobowych (Dz. U. Nr 133, poz. 883 ze zm.), gdyż wprawdzie usta-
lenia faktyczne nie mogą być przedmiotem kasacji, ale bez wątpienia mają
istotne znaczenie zarówno dla oceny zarzutu obrazy prawa procesowego
(kwestia sposobu dokonania ustaleń i wpływu uchybienia proceduralnego
na treść orzeczenia), jak i naruszenia prawa materialnego w sferze właści-
wej oceny prawnej czynu (zob. np. wyroki SN z dnia 6 września 1996 r., II
KKN 63/96, OSNKW 1997, z. 1-2, poz.11 i z dnia 24 czerwca 1996 r., IV
KKN 42/96, OSN Prok. i Pr. 1997, z. 2, poz.16).
Otóż oskarżony, jako przedstawiciel firmy RECON, zawarł w dniu 20
stycznia 1998 r. z Frito Lay Poland Sp. z o.o. z siedzibą w G. umowę zle-
cenia, dotyczącą zorganizowania dla zleceniodawcy obsługi promocji ,,Graj
w Zielone", zobowiązując się w niej m. in. do udostępnienia swych skrytek
pocztowych, odbioru korespondencji z tych skrytek, segregacji owej kore-
spondencji na kupony z wygranymi pieniężnymi i na kupony zgłoszone do
losowania rowerów, weryfikacji kuponów z wygranymi pieniężnymi oraz
przygotowania i wysłania tych nagród, prowadzenia baz danych wygrywa-
jących i rejestracji wygrywających oraz przechowywania korespondencji
zgłoszonej do losowania i przygotowania jej do losowania, a także do
zniszczenia pozostałej po losowaniu korespondencji w terminie 2 miesięcy
po zakończeniu promocji. W wykonaniu tej umowy do firmy oskarżonego
przychodziła w okresie promocji korespondencja z oznaczeniem imienia i
nazwiska nadawcy oraz jego adresu, była ona odbierana ze skrytek w wor-
kach pocztowych, następnie układana w kartony, oklejana taśmą i ważona,
i tak oczekiwała na losowania, a po zakończeniu akcji promocyjnej została
ponownie przeliczona i zmagazynowana z uwagi na okres reklamacji. Po
jego zakończeniu w styczniu 1999 r., oskarżony zlecił swemu pracownikowi
skontaktowanie się z Zakładami Papierniczymi, z usług których wcześniej
korzystał, w celu zniszczenia pozostałej korespondencji jako makulatury
tajnej. Pracownik ten ustalił termin dostarczenia tym zakładom korespon-
dencji promocyjnej i w określonej dacie, w lutym 1999 r., inny zaś pracow-
nik wraz z wynajętym kierowcą przywiózł ją do Zakładów. Jak stwierdził
oskarżony: ,,Korespondencja promocyjna nie zawierała żadnych danych
poza imieniem, nazwiskiem i adresem. W związku z tym nie został przez
nas oddelegowany żaden pracownik do bezpośredniego nadzoru nad
zniszczeniem". Twierdził on też, że ,,makulatura, którą dostarczyłem, była
tajna, ale dla mnie nie stanowiła żadnego zbioru, była to czysta makulatura,
była wrzucona do jednego worka". Po przewiezieniu ,,makulatury" do zakła-
dów papierniczych i odebraniu pokwitowania dostarczenia makulatury taj-
nej, pracownicy oskarżonego opuścili teren zakładów po zrzuceniu jej pod
wiatą, na wolnej przestrzeni, gdzie w marcu 1999 r. odnaleźli ją pracownicy
biura Generalnego Inspektora Danych Osobowych, którzy pojawili się w
zakładach po stosownej informacji od dziennikarza telewizyjnych ,,Wiado-
mości". Z zeznań świadków pracowników Zakładów Papierniczych wynika-
ło z kolei, że różnice między tajną i zwykłą makulaturą sprowadzają się do
tego, że za zwykłą płaci się dostawcy, za tajną zaś rozliczenie jest bezgo-
tówkowe, gdyż wchodzi w nie też koszt zniszczenia, oraz że dostawcy ma-
kulatury tajnej, który jednocześnie chce ją zniszczyć, udostępnia się urzą-
dzenia i pracowników zakładu i jest on wtedy obecny przy niszczeniu.
Przy takich ustaleniach sąd pierwszej instancji uznał, że oskarżony,
administrując zbiorem danych osobowych osób biorących udział w loterii i
będąc zobowiązanym do ochrony tych danych, umożliwił dostęp do nich
osobom nieupoważnionym na terenie Zakładów Papierniczych. Sąd ten
podkreślił, że art. 51 ust. 1 ustawy o ochronie danych osobowych przewidu-
je odpowiedzialność tego, kto administruje zbiorem danych lub jest zobo-
wiązany do ochrony danych osobowych, a oskarżony był do ochrony takiej
zobowiązany umową podpisaną w 1998 r. W ocenie tego sądu bez zna-
czenia jest, czy dane osobowe wchodziły do zbioru, gdyż ustawa o ochro-
nie danych osobowych nie dotyczy wyłącznie danych figurujących w zbio-
rze. Sąd odwoławczy, podzielając tę interpretację, podniósł jednak, że ad-
ministrowanie zbiorem zachodzi w trakcie korzystania z niego, a w niniej-
szej sprawie wchodzi w grę jedynie faza zobowiązania do ochrony danych
po zakończeniu korzystania z nich, przeto wyeliminował z opisu czynu sło-
wa o administrowaniu przez oskarżonego zbiorem danych.
Spoglądając na powyższe, stwierdzić należy, że wysuwany w kasacji
zarzut obrazy podstawowych zasad postępowania, takich jak obiektywizm,
domniemanie niewinności, zasada in dubio pro reo i swobodna ocena do-
wodów, jest właściwie czystą polemiką z ustaleniami faktycznymi sądów i
dokonaną przez nie oceną dowodów. Nie jest bowiem prawdą, że sądy
przyjęły jakoby domniemanie braku odpowiedzialności Zakładów Papierni-
czych za przyjmowane do zniszczenia dokumenty i uznały, że wydany
przez nie dokument ,,makulatura tajna" obciąża oskarżonego i świadczy o
jego zaniedbaniach. Sądy wskazały jedynie, na podstawie zebranych do-
wodów, że umowa z 1998 r. zobowiązywała właśnie oskarżonego do
zniszczenia korespondencji promocyjnej, to on zdecydował, że przekazy-
wana jako makulatura korespondencja promocyjna jest makulaturą tajną,
był zatem świadomy konieczności jej zniszczenia, nie traktował jej jednak
jako zbioru danych i nie dopełnił obowiązków, jakie na nim ciążyły, w za-
kresie uniemożliwienia do niej dostępu osobom nieupoważnionym, a samo
przekazanie materiałów do zniszczenia jako tajnych nie zwalniało go od
tych obowiązków. Dokonanej przez sądy ocenie dowodów, które legły u
podstaw ustaleń, nie można zarzucić nielogiczności rozumowania, wycią-
gania nieuprawnionych wniosków i dowolności. W gruncie rzeczy autor ka-
sacji chce w tym zakresie doprowadzić do ponownej oceny poszczegól-
nych dowodów i uczynić instancję kasacyjną trzecim stadium procesu kar-
nego w sytuacji, gdy postępowanie karne jest dwuinstancyjne, a w kasacji
wolno skutecznie zarzucać jedynie rażące uchybienia prawu.
W kasacji podniesiono wszak i zarzut co do interpretacji art. 51 ust. 1
ustawy o ochronie danych osobowych, czyli prawnej podstawy skazania.
Zarzut ten wyrażony wprawdzie został - jak już wskazano - dopiero w uza-
sadnieniu skargi kasacyjnej, co przy istniejącym przymusie adwokackim
budzić musi pewne zaskoczenie, ale skoro skarga kasacyjna jest kasacją w
całej swojej formie, to trzeba się zgodzić, że także wtedy, gdy zarzut poja-
wia się dopiero w uzasadnieniu kasacji - a nie we wstępnej części tej skar-
gi, gdzie wskazuje się zarzuty - przyjąć należy, iż jest to zarzut ,,podany w
kasacji", w rozumieniu art. 526 § 1 i art. 536 k.p.k. W tym miejscu trzeba
zauważyć, iż zdziwienie budzi tu potraktowanie przez autora kasacji jako
uchybienia sądów tego, że ,,sąd rejonowy, a także sąd okręgowy pominął
argumenty zawarte w pozasądowej opinii prawnej załączonej do akt spra-
wy". Skarżący podnosi wprawdzie, że wie , iż ,,przedstawiona opinia nie jest
dowodem w rozumieniu k.p.k." ale, jak wskazuje, ,,jest w niej wyrażony
podgląd, z którym zgadza się skazany", że ,,sposób przechowywania zgło-
szeń promocyjnych (...) nie pozwala na uznanie, iż tworzyły one zbiór w
rozumieniu ustawy." Należy podnieść, że przedmiotowa ,,opinia prawna"
była pozaprocesową opinią, sporządzoną wyraźnie do danej sprawy, anali-
zowała bowiem sposób postępowania oskarżonego i na tym tle interpreto-
wała przepisy ustawy z 1997 r., wywodząc, iż ustawa ta chroni tylko dane
w zbiorze danych, w tym i na gruncie swego art. 51 ust. 1, a takowego
zbioru w sprawie nie było. Autorowi kasacji należałoby w tym miejscu przy-
pomnieć, że na gruncie (także) postępowania karnego jedynie facta pro-
bantur, natomiast iura novit curia, nie należy zatem do stron udowadnianie
sądowi treści przepisów prawa. Strona może samodzielnie, w tym korzysta-
jąc z opinii pozaprocesowych, prezentować określone argumenty na rzecz
wskazywanej przez siebie interpretacji przepisu prawa, nie może natomiast
przedstawiać sądowi tego typu ,,opinii", z żądaniem merytorycznego usto-
sunkowania się do nich przez sąd. Sądy zresztą przedstawiły - wskazaną
już wcześniej - swoją interpretację art. 51 ustawy o ochrony danych oso-
bowych i prawem obrony jest niezgadzanie się z nią. Do tego zresztą
sprowadza się analizowany tu zarzut obrazy prawa materialnego. Jest on
ujęty nader ogólnikowo, gdyż autor kasacji, odwołując się do powołanej
wyżej opinii, przyjmuje, iż sposób przechowywania danych wskazywał, że
nie tworzyły one zbioru i dlatego nie zgadza się z interpretacją sądów, a
zatem - jak należy zakładać - uznaje, że tylko dane w zbiorze podlegają
ochronie na gruncie art. 51 ust.1 ustawy o ochronie danych osobowych.
Ogólnikowość tego zarzutu i brak sprecyzowania, na czym polegało uchy-
bienie sądów, mogłyby prowadzić do uznania kasacji w tym zakresie za
oczywiście bezzasadną, skoro sądy wypowiedziały się w tej materii, a
skarżący nie wykazał, gdzie tkwi błąd ich rozumowania. Biorąc jednak pod
uwagę rangę ustawy, będącej podstawą skazania, krótki jeszcze okres jej
obowiązywania i szczególny charakter przedmiotu ochrony tego aktu praw-
nego, Sąd Najwyższy zdecydował się poddać analizie powyższy przepis, w
jego powiązaniu z innymi normami tej ustawy, a więc rozważyć trafność
zarzutu jego wadliwej, przez sądy, interpretacji.
Ochrona danych osobowych wynika z art.51 Konstytucji RP, i bez
wątpienia ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
nie jest jedynym aktem prawnym chroniącym te dane (szerzej zob. np. A.
Bierć: Ochrona prawna danych osobowych w sferze działalności gospodar-
czej w Polsce - aspekty cywilnoprawne; W. Kulesza: Ochrona danych oso-
bowych a nowa kodyfikacja prawa karnego w Polsce; A. Mednis: Ochrona
prawna danych osobowych a zagrożenie prywatności - rozwiązania pol-
skie, w: Ochrona danych osobowych, praca zbiorowa, pod red. M. Wyrzy-
kowskiego, Warszawa 1999). Na gruncie tej ustawy wypowiadane są jed-
nak rozbieżne w istocie swej poglądy co do zakresu jej działania. Wedle
niektórych autorów, ustawa ta ,,jest aktem kompleksowo ujmującym całość
zagadnienia, bez względu na sposób, w jaki przetwarza się dane osobowe,
elektronicznie czy też manualnie" (tak B. Banaszak, K. Wygoda: Regulacja
prawna ochrony danych osobowych w Polsce w świetle ustawy z dnia 29
sierpnia 1997 r. i standardów europejskich, w: Ochrona danych osobo-
wych, op. cit., s.53). Inni z kolei podnoszą, że ,,ochrona ta dotyczy przede
wszystkim sytuacji, gdy dane te przetwarza w systemach informatycznych"
(tak A. Bierć: op. cit., s. 112), a więc nie tylko danych przetwarzanych w
owych systemach. Jeszcze inni uważają, iż ,,na pytanie czy przepisy (...)
ustawy stosuje się do wszelkich danych osobowych, czy tylko do takich,
które znajdują się w lub mają się znaleźć w zbiorze, nie można odpowie-
dzieć jednoznacznie" , przy czym przyjmują, że gdy chodzi o dane przetwa-
rzane ręcznie, to ,,korzystają one z ochrony o tyle, o ile są lub mają być
elementem zbioru" (tak A. Mednis: Ustawa o ochronie danych osobowych.
Komentarz, Warszawa 1999, s. 15).
Analizując przepisy ustawy z 1997 r. należy zauważyć, że już z jej ty-
tułu wynika, iż dotyczy ona ochrony danych osobowych, a nie danych oso-
bowych w zbiorach. Zgodzić się trzeba, że sam tytuł ustawy nie musi jesz-
cze przesądzać o zakresie jej działania, choć co do zasady powinien, i na
pewno ma znaczenie dla interpretacji danego aktu prawnego. Już zresztą
w art. 1 ustawa zakłada, że każdy ma prawo do ochrony danych osobo-
wych (ust. 1), a ich przetwarzanie może mieć miejsce tylko z uwagi na
wskazane w ustawie dobra i jedynie w zakresie i trybie określonym ustawą
(ust. 2). W art. 2 ust. 1 ustawa wskazuje z kolei, że ,,określa zasady postę-
powania przy przetwarzaniu danych oraz prawa osób fizycznych, których
dane osobowe są lub mogą być przetwarzane w zbiorach danych." Nie
chodzi przy tym o prawa osób, których dane - jak twierdzą niektórzy auto-
rzy - ,,są lub mają być elementem zbioru" (tak A. Mednis), ale które ,,są lub
mogą być przetwarzane w zbiorach". Zgodnie zaś z ustawą przetwarzanie
danych, to ,,wszelkie operacje na tych danych" - a nie na zbiorze takich
danych - w tym m. in. ,,takie jak zbieranie, utrwalanie, przechowywanie (...)
i usuwanie" (art. 7 pkt 2). Tym samym dane osobowe korzystają z ochrony
przewidzianej ustawą o ochronie danych osobowych już wówczas, jeżeli
tylko mogą znaleźć się w zbiorze, bez względu na to, czy się w nim osta-
tecznie znalazły, a ustawa w odniesieniu do różnych etapów i rodzajów
przetwarzania danych określa jeszcze dodatkowe uprawnienia osób, któ-
rych dane te dotyczą (rozdz. 4 ustawy). Rzecz bowiem w tym, że każdy ma
prawo do ochrony dotyczących go danych osobowych (art. 1 ust. 1 usta-
wy), a nie jedynie ten, czyje dane znalazły się już w zbiorze. Ustawa precy-
zyjnie przy tym określa do jakich podmiotów przetwarzających dane się
odnosi (art. 3 ust.1-3), i zastrzega, iż nie stosuje się jej norm tylko wobec
osób fizycznych przetwarzających dane osobowe w celach osobistych lub
domowych (art. 3 ust.4); jest to jedyne ograniczenie podmiotowego zakresu
ustawy. Na marginesie zauważyć należy, iż w piśmiennictwie wskazuje się
wyraźnie, że wzorcem regulacji polskiej z 1997 r. stały unormowania za-
chodnioeuropejskie oraz Konwencja nr 108 Rady Europy z dnia 26 stycznia
1981 r. i Dyrektywa Unii Europejskiej nr 95/46/CE z dnia 24 października
1995 r. oraz podnosi, że o ile początkowo ustawodawstwo europejskie
chroniło praktycznie wyłącznie zbiory danych osobowych, o tyle obecnie
wraz z rozwojem technologii uznano, iż nieobjęcie ochroną pojedynczych
danych byłoby niewłaściwe (zob. A. Mednis: op. cit, s. 7 i 14).
Danymi osobowymi są przy tym wszelkie informacje dotyczące osoby
fizycznej, pozwalające na określenie tożsamości tej osoby (art. 6 ustawy),
są więc nimi na pewno także np. informacje znajdujące się na kopercie z
imieniem, nazwiskiem i adresem danej osoby fizycznej. Jeżeli zaś, stosow-
nie do art. 7 omawianej ustawy, przetwarzaniem danych jest ich zbieranie,
przechowywanie i usuwanie, a usuwaniem m.in. niszczenie (pkt 2 i 3 art.
7), to nie powinno budzić wątpliwości, iż ochrona danych osobowych, o ja-
kiej mowa w ustawie z 1997 r., odnosi się już do etapu ich zbierania, a na-
stępnie fazy przechowywania i niszczenia, i to choćby nie znalazły się one
ostatecznie w zbiorze danych osobowych. Nie może bowiem być pozba-
wiona w ogóle ochrony prawnej płynącej z ustawy w odniesieniu swych da-
nych osoba, której dane - mimo że zbierane, czyli przetwarzane w rozu-
mieniu tej ustawy - nie znalazły się w zbiorze, i to tylko dlatego, że nie we-
szły one do zbioru. Pamiętać też należy, iż zgodnie z art. 31 ustawy, admi-
nistrator danych, czyli ten podmiot, który decyduje o celach i środkach
przetwarzania danych (art. 7 pkt 4), może w drodze umowy powierzyć
przetwarzanie danych innemu podmiotowi i wówczas - niezależnie od od-
powiedzialności administratora danych za przestrzeganie ustawy - podmiot
przetwarzający dane ponosi odpowiedzialność za przetwarzanie ich nie-
zgodnie z tą umową (art. 31 ust. 4). Ponosi on jednak odpowiedzialność
także w tych sytuacjach, w których ustawa odnosi określone zachowanie
nie tylko do administratora danych.
W niniejszej sprawie oskarżony zawarł z firmą prowadzącą promocję
,,Graj z zielone" umowę, na podstawie której zobowiązał się m.in. do udo-
stępnienia skrytek pocztowych, odbierania korespondencji, segregowania
jej, weryfikowania kuponów z wygranymi, prowadzenia baz danych osób
wygrywających i ich rejestracji oraz do przechowywania korespondencji i jej
zniszczenia po promocji. Były to bez wątpienia czynności z zakresu prze-
twarzania danych w rozumieniu art. 7 pkt 2 i 3 ustawy z 1997 r. Nie był on
jednak administratorem danych w znaczeniu nadanym temu pojęciu w art.
7 pkt 4 ustawy, gdyż nie decydował o celach i środkach przetwarzania da-
nych, a jedynie o sposobach realizacji określonych w umowie czynności
przetwarzania.
Przechodząc do analizy art. 51 ust. 1 ustawy o ochronie danych oso-
bowych, który stał się podstawą skazania w niniejszej sprawie, zauważyć
należy, że zakłada on odpowiedzialność tego, ,,kto administrując zbiorem
danych lub będąc obowiązany do ochrony danych osobowych udostępnia
je lub umożliwia dostęp do nich osobom nieupoważnionym". Udostępnianie
danych oznacza tu z założenia działanie sprawcy, oznacza bowiem czy-
nienie dostępnym, ułatwianie dostępu (zob. Słownik języka polskiego, pra-
ca zbiorowa pod red. M. Szymczaka, Warszawa 1989, t. III, s. 582), zaś
umożliwienie dostępu do nich - jako czynienie tylko możliwym, ułatwianie,
przyczynianie się (zob. Słownik języka polskiego, s. 600) - może nastąpić i
przez zaniechanie, a więc niedopełnienie obowiązku. Zauważyć jednak na-
leży, że o ile w licznych przepisach ustawy mówi się o - zdefiniowanym w
art.7 pkt 4 - ,,administratorze danych" (zob. np. art.26 ust.1, art. 29 ust.1,
art. 30, art. 31 ust.1 i 4, art. 33 ust. 1, art. 36, czy art. 38, 39, 40), o tyle w
art. 51 użyto innego wyrażenia, a mianowicie ,,kto administrując zbiorem",
czyli pojęcia ,,administrującego zbiorem danych". Podobnie uczyniono w
art. 50 i 54, by z kolei w art. 52 spenalizować zachowania ,,administrujące-
go danymi". W piśmiennictwie jakby nie dostrzega się tej różnicy, utożsa-
miając administrującego zbiorem, o którym mowa w art. 51 (oraz w art. 50 i
54) ustawy, i administrującego danymi, o którym mowa w art. 52, z admini-
stratorem danych (zob. np. A. Mednis: op. cit., s. 130; W. Kulesza: op. cit.,
s. 92). Nie można jednak zgodzić się z poglądem, jakoby administrujący
zbiorem, administrujący danymi i administrator danych były tu pojęciami
tożsamymi. Racjonalny ustawodawca bowiem nie używa w tym samym ak-
cie prawnym różnych określeń dla wskazania tego samego podmiotu. Ana-
lizując przedstawione zwroty, należy więc przyjąć, iż na gruncie ustawy o
ochronie danych osobowych administratorem danych osobowych jest jedy-
nie ten podmiot, który decyduje o celach i środkach przetwarzania tych da-
nych (art. 7 pkt 4 ustawy), natomiast administrującym - także taki podmiot,
który zarządza, zawiaduje (zob. Słownik poprawnej polszczyzny, pod red.
W. Doroszewskiego, Warszawa 1994. s. 4) zbiorem danych (art. 50, 51,
54) lub danymi (art. 52) w procesie ich przetwarzania, w tym i powierzone-
go mu w trybie wskazanym w art. 31 tej ustawy z tym zastrzeżeniem, że
odpowiedzialność karna administrującego nie będącego administratorem
danych wchodzi w rachubę gdy jego zachowanie - uznane za karalne
przez ustawę - wynika z powierzonych mu czynności przetwarzania da-
nych.
W art. 51 ustawy o ochronie danych osobowych nie chodzi zatem je-
dynie o odpowiedzialność karną podmiotu, który ,,będąc administratorem
danych" udostępnia je lub umożliwia do nich dostęp osobom nieupoważ-
nionym, ale o odpowiedzialność każdego, kto czyni to ,,administrując zbio-
rem", choćby nie był jego administratorem. Istotne jest tu jednak, aby za-
wiadywał on nie tyle danymi, ile zbiorem danych. Zbiorem takim zaś jest
,,posiadający strukturę zestaw danych osobowych, dostępnych według
określonych kryteriów", bez względu na to, czy jest on rozproszony, czy
podzielony funkcjonalnie (art. 7 ust. 1 ustawy). Jak już wskazano, w świetle
umowy między oskarżonym a Frito Lay Poland Sp. z o.o. miał on m.in.
przyjmować korespondencję promocyjną, segregować ją na kupony z wy-
granymi pieniężnymi i kupony do losowania nagród rzeczowych (rowerów),
weryfikować kupony z wygranymi pieniężnymi, przygotowywać i przesyłać
nagrody, prowadzić bazy danych i rejestrację wygrywających, przechowy-
wać korespondencję zgłoszoną do losowania oraz zniszczyć ją po losowa-
niu i zakończeniu promocji. Nie powinno zatem budzić wątpliwości, że miał
tu miejsce zbiór danych osobowych, a to, jak oskarżony sam go traktował i
jak praktycznie realizował poszczególne cele i środki powierzonego prze-
twarzania oraz jakimi sposobami to czynił, nie ma znaczenia. To bowiem
nie ocena subiektywna oskarżonego i sposoby praktycznej realizacji prze-
zeń czynności składających się na przetwarzanie danych decydują o ist-
nieniu zbioru, ale to, czy wykaz danych i nakazane mu umową ich przetwa-
rzanie spełniało ustawowe wymogi zbioru i jego przetwarzania, przy czym
bez znaczenia pozostaje tu kryterium doboru danych do zbioru. Wskazano
już wcześniej, że ochrona przewidziana w ustawie o ochronie danych oso-
bowych odnosi się także do danych, które nie weszły do zbioru, a zatem
administrujący zbiorem danych odpowiada na gruncie art. 51 ustawy także
za ochronę tych danych, które były zbierane, ale nie wprowadzono ich do
dalszego przetwarzania w zbiorze. Administrujący zbiorem danych odpo-
wiada tu bowiem za udostępnienie lub umożliwienie dostępu do danych
osobowych, a nie do zbioru takich danych, a więc także za udostępnienie
lub umożliwienie dostępu do takich danych, które z racji zbierania mogły
jedynie być (choć nie były ostatecznie) dalej przetwarzane jako element
zbioru. Dla odpowiedzialności tej jest zatem obojętne, czy dane osobowe
określonej osoby fizycznej stały się elementem zbioru i były w nim dalej
przetwarzane, wystarczy zaś, że były one zbierane, w tym i koresponden-
cyjnie. Nie można przy tym zgodzić się z Sądem Okręgowym, że admini-
strowanie zbiorem ma miejsce jedynie w trakcie korzystania z danych,
czym uzasadniał on wyeliminowanie z opisu czynu słów o administrowaniu
zbiorem danych przez oskarżonego. Jeżeli - jak wcześniej wskazano -
administrowanie to zarządzanie, zawiadywanie, to tym samym także nisz-
czenie jako usuwanie jest administrowaniem danymi. To uchybienie sądu
odwoławczego nie ma jednak istotnego wpływu na treść zaskarżonego
orzeczenia. Mają bowiem racje oba sądy orzekające w tej sprawie, że art.
51 ustawy alternatywnie ujmuje podmiot przestępstwa, skoro zakłada, iż
jest nim ten, ,,kto administrując zbiorem danych lub będąc obowiązany do
ochrony danych osobowych", zachowuje się w sposób określony w tym
przepisie. Oskarżony w ramach cytowanej umowy z 1998 r. obowiązany był
m.in. do ,,zniszczenia pozostałej po losowaniu korespondencji w terminie 2
miesięcy po zakończeniu promocji". Niezależnie zatem od tego, że wyko-
nywać miał określone czynności przetwarzania danych, był też zobligowa-
ny do zniszczenia danych po zakończeniu promocji. Nie jest zaś wykluczo-
ne, że administrator danych powierzy, w drodze umowy wskazanej w art.
31 ustawy, poszczególne czynności, będące przetwarzaniem danych, róż-
nym podmiotom, w tym jednemu z nich tylko usunięcie danych. W takim
wypadku za ochronę danych przy ich usuwaniu odpowiadać może ten
właśnie podmiot, a udostępnienie lub umożliwienie dostępu do danych przy
innych czynnościach ich przetwarzania będzie obciążało administrującego
zbiorem w trakcie tych czynności. W niniejszej sprawie oskarżonemu po-
wierzono usunięcie danych wraz z innymi czynnościami ich uprzedniego
przetwarzania, w tym i zbieranie, przeto powinien odpowiadać jako admini-
strujący zbiorem danym i będący obowiązany do ochrony tych danych, w
tym także w trakcie ich niszczenia (usuwania). Skazanie go jedynie jako
będącego obowiązanym do ochrony danych trudno jednak - uwzględniając
całokształt sprawy - uznać za uchybienie mogące mieć istotny wpływ na
treść orzeczenia. Nie budzi natomiast wątpliwości, że oskarżony nie dopeł-
nił obowiązku ochrony danych osobowych w zakresie powierzonego mu ich
zniszczenia, umożliwiając w tej fazie administrowania dostęp do owych da-
nych osobom nieupoważnionym. Oskarżony powinien podjąć takie czynno-
ści, które zapewniałyby zniszczenie korespondencji promocyjnej bez moż-
liwości zapoznania się z danymi osobowymi z niej wynikającymi osobom
nieupoważnionym do dostępu do nich. Oskarżony nie traktował, jak sam
przyznawał, owej korespondencji jako zbioru, nie zapewnił udziału swego
lub swego pracownika przy niezwłocznym zniszczeniu w Zakładach Pa-
pierniczych przekazanej tam jako makulatura korespondencji z danymi
osobowymi, i nie można przyjąć, iżby przez przekazanie jej owym Zakła-
dom jako makulatury tajnej uwolnił się automatycznie od odpowiedzialności
karnej z art. 51 ustawy o ochronie danych osobowych. To on bowiem w
pierwszej kolejności był odpowiedzialny za ochronę danych w zakresie
określonym w tym przepisie, a samo przekazanie tych danych do znisz-
czenia innemu podmiotowi, nie gwarantujące ich zniszczenia bez dostępu
do danych osób nieupoważnionych, nie może oznaczać uwolnienia się
obowiązanego do ochrony danych od odpowiedzialności za tę ochronę.
W świetle tego, co dotychczas powiedziano, nie można przyjąć, tak
jak chciałby skarżący, że w sprawie tej naruszono prawo materialne, a to
art. 51 ustawy o ochronie danych osobowych, gdyż wbrew twierdzeniom
kasacji przepis ten nie odnosi się jedynie do ochrony danych stanowiących
element zbioru. Nie można zresztą też przyjąć, iżby zbierana i przetwarza-
na przez oskarżonego korespondencja promocyjna nie była w ogóle takim
zbiorem z uwagi na stosowane przezeń sposoby powierzonego przetwa-
rzania ani też, że oskarżony uwolnił się od odpowiedzialności przez prze-
kazanie owej korespondencji jako makulatury tajnej Zakładom Papierni-
czym do zniszczenia.
Mając powyższe na uwadze, kasację niniejszą oddalono, orzekając
jak w wyroku.