Problem dotyczył przekazywania danych osobowych obywateli ubiegających się o Kartę Warszawiaka przez urząd miasta do ministerstwa finansów. Podstawą była umowa między tymi dwoma instytucjami.
Generalny Inspektor Ochrony Danych Osobowych (wówczas Wojciech Wiewiórowski) stwierdził, że takie praktyki naruszają prawa obywateli.
Nie wolno udostępniać danych mieszkańców
A zatem Inspektor nakazał nie udostępniać prezydentowi Warszawy danych ze zbioru Centralnego Rejestru Krajowej Ewidencji Podatników i Płatników. Ratusz zwrócił się bowiem do ministra o potwierdzenie, czy adresy zamieszkania obywateli, którzy zwrócili się do miasta o wydanie Karty Warszawiaka i Karty Młodego Warszawiaka są aktualne.
GIODO w październiku 2014 r. utrzymał w mocy zaskarżoną decyzję ministra finansów. Zdaniem Inspektora nie może on przetwarzać danych osobowych bez podstawy prawnej. W uzasadnieniu decyzji GIODO nakazał ministrowi finansów przywrócenie stanu zgodnego z ustawą.
Cel Karty Warszawiaka
Uchwała rady miasta z października 2013 r. o Karcie miała na celu tworzenie przyjaznych warunków rozwoju rodzin z dziećmi, wzmacnianie funkcji rodzin, rozwijanie możliwości spędzania wolnego czasu rodziców z dziećmi, promowanie pozytywnego wizerunku rodziny. Wiązało się to z wprowadzeniem zniżek w opłatach. Wykonanie uchwały zostało powierzone prezydentowi.
Odzwierciedleniem zasadności podjętych uchwał miasta i ich społecznego charakteru są wyniki referendum, które dało wotum zaufania dla prezydenta miasta.
Przetwarzanie danych nie jest niezbędne
Generalny Inspektor nie zgadza się z zaprezentowanym przez Ministra Finansów stanowiskiem, że dane zawarte w Centralnym Rejestrze KEP mogą być przetwarzane, w tym również udostępniane, gdyż jest to niezbędne do wykonania zadań realizowanych dla dobra publicznego. Ponadto niesłusznie Ministerstwo twierdzi, iż jest to konieczne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą ( art. 23 ust. 1 pkt 4 i pkt 5 ustawy o ochronie danych osobowych).
Dlatego, że obowiązują przepisy szczególne przewidujące dalej idącą ich ochronę, zwłaszcza w zakresie ograniczenia kręgu podmiotów mających dostęp do danych zgromadzonych w tym rejestrze.
Umowa w celu przetwarzania
22 listopada 2013 r. wpłynęły do ministerstwa finansów trzy egzemplarze umowy przetwarzania danych osobowych, podpisane przez prezydenta Warszawy. Umowa powierzenia przetwarzania danych osobowych w sprawie współpracy w zakresie weryfikacji uprawnień osób zamierzających skorzystać z przyznanych zniżek lub ulg na zasadach określonych uchwałami rady Warszawy została podpisana przez ministra finansów. Jak wynika z treści tej umowy, minister finansów oraz prezydent miasta powierzają sobie wzajemnie do przetwarzania dane osobowe takie jak imię, nazwisko, nr PESEL, a w przypadku cudzoziemców: imię, nazwisko, datę urodzenia oraz NIP. Ratusz pytał ministra, czy osoba, która chce skorzystać ze zniżek i ulg posiadała na dzień 31 grudnia, adres miejsca zamieszkania w Warszawie.
Prezydent Warszawy i minister finansów wnieśli skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie. Domagali się uchylenia zaskarżonej decyzji oraz o wstrzymania jej wykonalności.
Zarzuty skarżących
Ministerstwo twierdziło, że przetwarzanie danych osobowych było legalne ze względu na dobro publiczne, a także dobro osoby, której dane dotyczą lub dobro osób trzecich, tj. mieszkańców
Minister finansów zawierając umowę z prezydentem Warszawy działał dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora danych
Nastąpiła więc - zdaniem resortu - błędna wykładnia art. 5 ustawy oraz art. 15 ustawy z dnia 13 października 1995 r. o zasadach ewidencji i identyfikacji podatników i płatników . Dlatego, że są przepisami szczególnymi i wyłączają stosowanie ustawy o ochronie danych.
WSA oddalił dwie skargi
Wojewódzki Sąd Administracyjny w Warszawie stwierdził, że zaskarżona decyzja nie narusza prawa.
W tej sprawie doszło do wykorzystywania danych osobowych pochodzących ze zbioru Centralny Rejestr Podmiotów - Krajowa Ewidencja Podatników (CRP KEP) prowadzonego przez Ministra Finansów dla celów realizacji projektu "Karta Warszawiaka" i "Karta Młodego Warszawiaka" , a konkretnie w celu uzyskania miejsca zamieszkania.
WSA dodał, że przesłanki usprawiedliwionego celu, czy też działania dla dobra publicznego, musiałyby istnieć po stronie administratora danych, czyli ministra finansów. W ocenie sądu, należy zgodzić się z GIODO, że udostępnianie danych z CRP KEP może odbywać się wyłącznie na zasadach określonych w ustawie o zasadach ewidencji i identyfikacji podatników i płatników.
Skargi do NSA: działania organizacyjne
W skargach kasacyjnych minister finansów i urząd miasta zarzucili sądowi I instancji błędną interpretację art. 5 i art. 23 ustawy o ochronie danych osobowych oraz 15 ustawy o zasadach ewidencji i identyfikacji podatników i płatników. I to są podstawy do przetwarzania danych.
Jak tłumaczył w imieniu miasta dr Arwid Mednis w istocie nie dochodziło do przetwarzania czy przekazywania danych osobowych między ratuszem a ministerstwem, gdyż resort już te dane posiadał. Biuro podawcze ratusza przyjmowało wniosek obywatela ubiegającego się o Kartę na podstawie okazanego urzędnikowi zeznania podatkowego PIT.
Co więcej - zdaniem dr Mednisa - działania organizacyjne miasta, jakim było sprawdzenie danych, nie muszą mieć wyraźnej podstawy prawnej, gdyż nie są władczymi działaniami organu.
NSA utrzymuje decyzje Inspektora w mocy
Naczelny Sąd Administracyjny oddalił skargi prezydenta miasta i ministra finansów. Zdaniem sądu II instancji sprawdzanie adresu zamieszkania wnioskodawcy było przetwarzaniem danych. Celem umowy między ministrem finansów a prezydentem miasta nie miała na celu jedynie weryfikację danych osobowych, ale ich pozyskanie.
NSA nie zgodził się z twierdzeniem przedstawiciela prezydenta miasta, że podstawa prawna do sprawdzenia danych nie jest konieczna. Jak podkreśliła sędzia Małgorzata Jaśkowiak ustawa o ochronie danych osobowych przewiduje daleko idącą ochronę prywatności. A prawo do prywatności to jest dobro konstytucyjnie chronione.
Sygnatura akt I OSK 3192/15 i I OSK 3240/15, wyroki z 27 października 2017 r.