Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia NSA (del) Małgorzata Jaśkowska, WSA Joanna Kube, A. WSA Andrzej Kołodziej (spr.), Protokolant Grzegorz Walczak, po rozpoznaniu w dniu 11 marca 2004 r. sprawy ze skargi Naczelnika Urzędu Skarbowego W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] września 2003 r. nr [...] w przedmiocie usunięcia uchybień w procesie przetwarzania danych oddala skargę
W dniach 27-31 stycznia 2003 r. inspektorzy Biura Generalnego Inspektora Ochrony Danych Osobowych przeprowadzili w Urzędzie Skarbowym W. kontrolę zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, tj. ustawą o ochronie danych osobowych i rozporządzeniem MSWiA w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
W związku ze stwierdzeniem szeregu uchybień w procesie przetwarzania danych 1 kwietnia 2003 r. zostało wszczęte postępowanie administracyjne zakończone decyzją z dnia [...] lipca 2003 r. nr [...], w której Generalny Inspektor Ochrony Danych Osobowych:
I. Nakazał Urzędowi Skarbowemu W. z siedzibą w W. przy ul. [...] usunięcie uchybień w procesie przetwarzania danych osobowych w terminie 6 miesięcy od dnia, kiedy niniejsza decyzja stanie się ostateczna, poprzez:
1. Zapewnienie, aby moduły "[...]", "[...]", "[...]", "[...]", "[...]" i "[...]" systemu "[...]" odnotowywały dla każdej osoby, której dane są przetwarzane w systemie informatycznym, informacje - komu, kiedy i w jakim zakresie dane zostały udostępnione.
2. Zapewnienie, aby moduł "[...]" systemu "[...]" odnotowywał dla każdej osoby, której dane są przetwarzane w systemie informatycznym, datę pierwszego wprowadzenia danych oraz identyfikator użytkownika wprowadzającego dane.
3. Zapewnienie, aby system "[...]", w zakresie modułów "[...]", "[...]", "[...]", "[...]", "[...]" i "[...]", umożliwiał udostępnienie na piśmie w powszechnie zrozumiałej formie, treści danych o każdej osobie, której dane są przetwarzane, wraz z informacjami, o których mowa w § 16 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 80, poz. 521 z późn. zm.).
4. Zapewnienie, aby kopie awaryjne były przechowywane w innych pomieszczeniach, niż te, w których są przechowywane zbiory danych osobowych eksploatowane na bieżąco.
II. W pozostałym zakresie postępowanie umorzył.
W uzasadnieniu GIODO wskazał, że zgodnie z § 16 pkt 1, 3 i 4 rozporządzenia, dla każdej osoby, której dane są przetwarzane w systemie informatycznym, system ten powinien zapewniać odnotowanie daty pierwszego wprowadzenia danych tej osoby, identyfikatora użytkownika wprowadzającego dane, informacje - komu, kiedy i w jakim zakresie dane zostały udostępnione, jeśli przewidziane jest udostępnianie danych innym podmiotom, chyba że dane te traktuje się jako dane powszechnie dostępne. Stosownie zaś do § 17, system informatyczny służący do przetwarzania danych osobowych powinien umożliwić udostępnienie na piśmie, w powszechnie zrozumiałej formie, treści danych o każdej osobie, której dane są przetwarzane, wraz z informacjami, o których mowa w § 16.
Z kolei art. 12 rozporządzenia stanowi, że kopie awaryjne, o których mowa w § 11 ust. 2 pkt 4, nie powinny być przechowywane w tych samych pomieszczeniach, w których przechowywane są zbiory danych osobowych eksploatowane na bieżąco.