DANE OSOBOWE W OBROCIE TRADYCYJNYM I ELEKTRONICZNYM

Andrzej Krasuski DANE OSOBOWE W OBROCIE TRADYCYJNYM I ELEKTRONICZNYM PRAKTYCZNE PROBLEMY Warszawa 2012

SPIS TREŚCI Wykaz skrótów...9 Wprowadzenie...15 Część I Zasady prawne przetwarzania danych osobowych...19 Rozdział 1 Rola sądów administracyjnych w kształtowaniu wykładni przepisów ustawy o ochronie danych osobowych i przepisów szczególnych o ochronie danych osobowych...21 Rozdział 2 Źródła prawa w zakresie ochrony danych osobowych...29 2.1. Wprowadzenie...29 2.2. Zasada komplementarności a funkcja odesłań. do przepisów szczególnych (lex specialis)...33 2.3. Prawne podstawy działania Generalnego Inspektora Ochrony. Danych Osobowych...42 2.4. Ochrona danych osobowych w Konstytucji RP...54 2.5. Ustawa o ochronie danych osobowych zakres regulacji...59 2.6. Ustawa o ochronie danych osobowych a prawo wspólnotowe...70 Rozdział 3 Przetwarzanie danych osobowych...75 3.1. Dane osobowe...75 3.1.1. Wprowadzenie...75 3.1.2. Informacje jako dane osobowe...79 3.1.3. Dane zwykłe a dane wrażliwe...83 3.1.4. Zastosowanie definicji danych osobowych w praktyce. na podstawie wybranych przykładów...84 3.2. Czynności wykonywane na danych osobowych...104

6 SPIS TREŚCI Rozdział 4 Podmioty uczestniczące w procesie przetwarzania danych osobowych...110 4.1. Wprowadzenie...110 4.2. Status przedsiębiorcy z Europejskiego Obszaru Gospodarczego w Polsce...111 4.3. Administrator danych...117 4.4. Przetwarzający...127 4.4.1. Status prawny...127 4.4.2. Powierzenie przetwarzania danych osobowych...133 Rozdział 5 Prawne podstawy przetwarzania danych osobowych...147 5.1. Przetwarzanie danych osobowych na podstawie przesłanki. ustawowej...147 5.2. Zgoda...152 5.3. Przetwarzanie danych osobowych w prawnie oznaczonych celach...157 5.4. Zasada merytorycznej poprawności...157 5.5. Zasada adekwatności...158 5.6. Przetwarzanie danych osobowych w czasie oznaczonym...160 Rozdział 6 Przetwarzanie danych osobowych w chmurze obliczeniowej...161 Rozdział 7 Przekazywanie danych osobowych do państw trzecich...166 Rozdział 8 Kontrola GIODO...192 8.1. Wprowadzenie...192 8.2. Przebieg kontroli...194 8.3. Sposób przygotowania do kontroli GIODO...197 8.4. Skutki kontroli GIODO...203 Rozdział 9 Kierunki zmian przepisów o ochronie danych osobowych...205 Część II Kazusy...215 Kazus nr 1...217 Kazus nr 2...247

SPIS TREŚCI 7 Kazus nr 3...255 Kazus nr 4...273 Kazus nr 5...278 Kazus nr 6...287 Kazus nr 7...292 Kazus nr 8...301 Kazus nr 9...314 Kazus nr 10...322 Kazus nr 11...325 Kazus nr 12...329 Kazus nr 13...341 Kazus nr 14...348 Kazus nr 15...355 Wykaz orzecznictwa...361 Bibliografia...365

Wykaz skrótów Akty normatywne Akty prawa krajowego k.c. ustawa z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. Nr 16, poz. 93 z późn. zm.) Konstytucja RP Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. (Dz. U. Nr 78, poz. 483 z późn. zm.) k.p. ustawa z dnia 26 czerwca 1974 r. Kodeks pracy (tekst jedn.: Dz. U. z 1998 r. Nr 21, poz. 94 z późn. zm.) k.p.a. ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (tekst jedn.: Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) k.p.c. ustawa z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego (tekst jedn.: Dz. U. z 1964 r. Nr 43, poz. 296 z późn. zm.) k.p.s.w. ustawa z dnia 24 sierpnia 2001 r. Kodeks postępowania w sprawach o wykroczenia (tekst jedn.: Dz. U. z 2008 r. Nr 133, poz. 848 z późn. zm.) k.s.h. ustawa z dnia 15 września 2000 r. Kodeks spółek handlowych (Dz. U. Nr 94, poz. 1037 z późn. zm.) o.p. ustawa z dnia 29 sierpnia 1997 r. Ordynacja podatkowa (tekst jedn.: Dz. U. z 2005 r. Nr 8, poz. 60 z późn. zm.) p.p.s.a. ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 z późn. zm.) pr. bank. ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe (tekst jedn.: Dz. U. z 2002 r. Nr 72, poz. 665 z późn. zm.)

10 Wykaz skrótów p.r.d. ustawa z dnia 20 czerwca 1997 r. Prawo o ruchu drogowym (tekst jedn.: Dz. U. z 2005 r. Nr 108, poz. 908 z późn. zm.) pr. pras. ustawa z dnia 26 stycznia 1984 r. Prawo prasowe (Dz. U. Nr 5, poz. 24 z późn. zm.) pr. tel. ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. Nr 171, poz. 1800 z późn. zm.) p.u.s.a. ustawa z dnia 27 lipca 2001 r. Prawo o ustroju sądów powszechnych (Dz. U. Nr 98, poz. 1070 z późn. zm.) r.o.s.p.a. rozporządzenie Ministra Finansów z dnia 22 kwietnia 2004 r. w sprawie obniżenia stawek podatku akcyzowego (Dz. U. Nr 87, poz. 825 z późn. zm.) r.r.z.d.m. rozporządzenie Ministra Zdrowia z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania (Dz. U. Nr 252, poz. 1697) u.d.i.p. ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. Nr 112, poz. 1198 z późn. zm.) u.d.l. ustawa z dnia 15 kwietnia 2011 r. o działalności leczniczej (Dz. U. Nr 112, poz. 654 z późn. zm.) u.d.p. ustawa z dnia 13 lipca 2006 r. o dokumentach paszportowych (Dz. U. Nr 143, poz. 1027 z późn. zm.) u.d.u. ustawa z dnia 22 maja 2003 r. o działalności ubezpieczeniowej (tekst jedn.: Dz. U. z 2010 r. Nr 11, poz. 66 z późn. zm.) u.o.d.o. ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) u.p.p. ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz. U. z 2009 r. Nr 52, poz. 417 z późn. zm.) u.s.d.g. ustawa z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (tekst jedn.: Dz. U. z 2010 r. Nr 220, poz. 1447 z późn. zm.) u.s.g. ustawa z dnia 29 sierpnia 1997 r. o strażach gminnych (Dz. U. Nr 123, poz. 779)

Wykaz skrótów 11 u.ś.u.d.e. u.z.e.i. u.z.n.k. ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204 z późn. zm.) ustawa z dnia 13 października 1995 r. o zasadach ewidencji i identyfikacji podatników i płatników (tekst jedn.: Dz. U. z 2004 r. Nr 269, poz. 2681 z późn. zm.) ustawa z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (tekst jedn.: Dz. U. z 2003 r. Nr 153, poz. 1503 z późn. zm.) Akty prawa europejskiego dyrektywa 95/46/WE dyrektywa 2002/58/WE EKPC rozporządzenie nr 80/2009 dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. WE L 281 z 23.11.1995, s. 31; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 13, t. 15, s. 355) dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej, Dz. Urz. UE L 201 z 31.07.2002, s. 37) Konwencja o ochronie praw człowieka i podstawowych wolności, sporządzona w Rzymie dnia 4 listopada 1950 r., zmieniona następnie Protokołami nr 3, 5 i 8 oraz uzupełniona Protokołem nr 2 (Dz. U. z 1993 r. Nr 61, poz. 284 z późn. zm.), a następnie zmieniona i uzupełniona Protokołem nr 14 zmieniającym system kontroli Konwencji (Dz. U. z 2010 r. Nr 90, poz. 587) rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 80/2009 z dnia 14 stycznia 2009 r. w sprawie kodeksu postępowania dla komputerowych systemów rezerwacji i uchylające rozporządzenie Rady (EWG) nr 2299/89 (Dz. Urz. UE L 35 z 04.02.2009, s. 47)

12 Wykaz skrótów TFUE Traktat o Funkcjonowaniu Unii Europejskiej (wersja skonsolidowana Dz. Urz. UE C 83 z 30.03.2010, s. 47) Czasopisma i publikatory Biul. SN Biuletyn Informacyjny Sądu Najwyższego CBOSA Centralna Baza Orzeczeń Sądów Administracyjnych ECR European Court Reports M. Praw. Monitor Prawniczy ONSA Orzecznictwo Naczelnego Sądu Administracyjnego OSNKW Orzecznictwo Sądu Najwyższego. Izba Karna i Wojskowa OSP Orzecznictwo Sądów Polskich Inne CRP KEP EOG ETS GIODO Grupa Robocza KNF Komisja KRS NSA OSD SN SNS Centralny Rejestr Podmiotów Krajowej Ewidencji Podatników Europejski Obszar Gospodarczy Europejski Trybunał Sprawiedliwości Generalny Inspektor Ochrony Danych Osobowych Grupa Robocza ds. Ochrony Danych Osobowych, powołana na mocy art. 29 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. WE L 281 z 23.11.1995, s. 31; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 13, t. 15, s. 355) Komisja Nadzoru Finansowego Komisja Europejska Krajowy Rejestr Sądowy Naczelny Sąd Administracyjny Operator Systemu Dystrybucyjnego Sąd Najwyższy sieciowe serwisy społecznościowe (ang. Social Networking Service)

Wykaz skrótów 13 UKE UOKiK WSA Urząd Komunikacji Elektronicznej Urząd Ochrony Konkurencji i Konsumentów wojewódzki sąd administracyjny

Wprowadzenie Stosowanie właściwych przepisów z zakresu ochrony danych osobowych w obrocie gospodarczym jest procesem złożonym. Przy dokonywaniu wyboru właściwych przepisów z zakresu ochrony danych osobowych przedsiębiorcy muszą wskazać właściwą regulację spośród przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) oraz przepisów ustaw odnoszących się do regulacji sektorowych. Ponadto obowiązujące przepisy regulujące zasady ochrony danych osobowych nie nadążają za szybkim rozwojem technologii informatycznych, z których coraz częściej korzystają na szeroką skalę przedsiębiorcy. Stosowanie nowych rozwiązań teleinformatycznych jest wyrazem ciągłego dostosowywania się przedsiębiorców do rzeczywistości zmieniającej się poprzez postęp technologiczny. Za przykład mogą posłużyć urządzenia do gromadzenia linii papilarnych czy też innych danych biometrycznych, jak również stosowanie monitoringu wizyjnego i elektronicznego. Znakiem czasu, uwzględniającym spowolnienie gospodarcze wielu państw członków Unii Europejskiej i innych państw, jest stosowanie rozwiązań opartych na optymalizacji kosztów. Za przykład może posłużyć przetwarzanie danych osobowych w chmurze obliczeniowej. Z punktu widzenia przedsiębiorców stosowanie coraz nowszych rozwiązań technologicznych rodzi pytanie o ich kwalifikację prawną, status prawny podmiotów uczestniczących w procesie przetwarzania danych osobowych, wreszcie o zakres obowiązków związanych z przetwarzaniem danych osobowych. W art. 5 u.o.d.o. nakazano stosowanie przepisów innych ustaw w przypadku, gdy te przewidują dalej idącą ochronę. Przepis ten stanowi, że jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z ustawy o ochronie danych osobowych, stosuje się przepisy tych ustaw. Ustawa o ochronie danych osobowych nie definiuje, na czym polega wyrażona w przepisie art. 5 u.o.d.o. zasada komplementarności, co sprawia, że

16 Wprowadzenie odwoływanie się do przepisów szczególnych jest utrudnione. Stan ten najlepiej obrazuje wyrok NSA z dnia 22 marca 2011 r., I OSK 623/10, LEX nr 826320, w którym sąd orzekł, że prawo do ochrony danych osobowych jest niewątpliwie wartością konstytucyjnie chronioną. Przedmiotowe uprawnienie podobnie jak i inne prawa oraz wolności gwarantowane bezpośrednio Konstytucją RP nie ma jednak charakteru absolutnego. Podlega pewnym ograniczeniom i niekiedy musi ustąpić innym prawom obowiązującym w demokratycznym państwie. Wynika to z przyjętej w Konstytucji zasady proporcjonalności (art. 31 ust. 3) oraz z treści samego art. 51 Konstytucji. Zgodnie z tym ostatnim przepisem każdy jest właścicielem i dysponentem własnych danych osobowych. Pewne ograniczenia tej zasady są jednak dopuszczalne, z tym że zostały one zastrzeżone do wyłącznej regulacji ustawowej. Dostrzegła to również Grupa Robocza ds. Ochrony Danych Osobowych, powołana na mocy art. 29 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. WE L 281 z 23.11.1995, s. 31; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 13, t. 15, s. 355), stanowiąc, że dyrektywa 95/46/WE pozwala na interakcję z innymi przepisami, jak wspomniano w motywie 23 preambuły, stanowiącym, że państwa członkowskie są upoważnione do zapewnienia ochrony osobom fizycznym przez stosowanie zarówno ogólnych przepisów prawa o ochronie osób fizycznych w zakresie przetwarzania danych osobowych, jak i przepisów sektorowych. Grupa Robocza dostrzegła, że sposób działania tego systemu jest w praktyce złożony, gdyż państwa członkowskie mają swoje własne podejścia i w praktyce i w niektórych przypadkach doprowadziło to do rozbieżności 1. Grupa Robocza to powołany na podstawie art. 29 dyrektywy 95/46/WE organ konsultacyjny. Zgodnie z art. 29 ust. 2 dyrektywy 95/46/WE w skład grupy roboczej wchodzą przedstawiciele organu lub organów nadzorczych powołanych przez każde państwo członkowskie oraz przedstawicieli organu lub organów ustanowionych dla instytucji i organów wspólnotowych oraz przedstawiciel komisji. Rolą Grupy Roboczej jest monitorowanie jednolitego stosowania w państwach 1 Opinia Grupy Roboczej 15/2011 z dnia 13 listopada 2011 r. w sprawie definicji zgody, WP 187.

Wprowadzenie 17 członkowskich środków zmierzających do ochrony danych osobowych, przyjętych na podstawie dyrektywy 95/46/WE. Przedmiotem niniejszej publikacji jest omówienie wybranych praktycznych zagadnień dotyczących przetwarzania danych osobowych, z którymi mają do czynienia przedsiębiorcy przy prowadzeniu bieżącej działalności gospodarczej. W ramach niniejszej publikacji uwzględnione zostało przetwarzanie danych osobowych z wykorzystaniem Internetu. Zagadnienia praktyczne dotyczące obrotu danymi osobowymi zostały przedstawione w części I. W części II zostały przedstawione i omówione kazusy. Źródłem kazusów są sprawy z zakresu ochrony danych osobowych oraz świadczenia usług drogą elektroniczną, zaczerpnięte z orzecznictwa sądów polskich i rozstrzygnięć organów regulacyjnych, w tym publikowanych decyzji Generalnego Inspektora Ochrony Danych Osobowych oraz Prezesa Urzędu Komunikacji Elektronicznej, oraz zaleceń i opinii, w tym opinii Grupy Roboczej. Pozwoli to czytelnikowi na bardziej wnikliwe zapoznanie się z danym zagadnieniem przez analizę różnych możliwych odpowiedzi. Niniejsza publikacja adresowana jest do przedsiębiorców, administratorów bezpieczeństwa informacji, prawników praktyków, jak również wszystkich tych, którzy chcieliby pogłębić znajomość problemów praktycznych związanych z zastosowaniem przepisów odnoszących się do ochrony danych osobowych. Niniejsza publikacja uwzględnia stan prawny na dzień 1 maja 2012 r.

Część I Zasady prawne przetwarzania danych osobowych

Rozdział 1 Rola sądów administracyjnych w kształtowaniu wykładni przepisów ustawy o ochronie danych osobowych i przepisów szczególnych o ochronie danych osobowych Kontrola sądowa administracji publicznej była przedmiotem licznych rozważań w doktrynie. Podkreśla się, że poddanie administracji kontroli sądów wywodzi się z dążności do stworzenia jednostce ochrony względem działań władzy publicznej i swymi początkami sięga idei kształtowania się państwa praworządnego 2. W aktualnym stanie prawnym przewidziano model dwuinstancyjnej kontroli administracji. Stanowi o tym przepis art. 176 ust. 1 Konstytucji Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. (Dz. U. Nr 78, poz. 483 z późn. zm.). Należy go analizować, biorąc pod uwagę art. 78 Konstytucji RP, który przewiduje, że każda ze stron ma prawo do zaskarżenia orzeczeń i decyzji wydanych w pierwszej instancji. Wyjątki od tej zasady oraz tryb zaskarżania określa ustawa. Z kolei na podstawie przepisu art. 184 Konstytucji RP Naczelny Sąd Administracyjny oraz inne sądy administracyjne sprawują, w zakresie określonym w ustawie, kontrolę działalności administracji publicznej. Kontrola ta obejmuje również orzekanie o zgodności z ustawami uchwał organów samorządu terytorialnego i aktów normatywnych terenowych organów administracji rządowej. W doktrynie przyjmuje się na podstawie wykładni przepisów art. 184 Konstytucji RP w związku z art. 177 Konstytucji RP, że konstytucyjne domniemanie właściwości sądów powszechnych we wszystkich sprawach z wyjątkiem spraw ustawowo zastrzeżonych dla właściwości innych sądów powinno być rozumiane tak, że już Kon- 2 J. Jagielski, Kontrola administracji publicznej, Warszawa 1999, s. 129.

22 Rozdział 1 stytucja zastrzega dla sądów administracyjnych sprawowanie kontroli administracji publicznej, tym wyłącza zastosowanie sądów powszechnych 3. Na mocy art. 1 1 ustawy z dnia 25 lipca 2002 r. Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 z późn. zm.) wskazano, że sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej oraz rozstrzyganie sporów kompetencyjnych i o właściwość między organami jednostek samorządu terytorialnego, samorządowymi kolegiami odwoławczymi i między tymi organami a organami administracji rządowej. Przepis art. 127 3 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (tekst jedn.: Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) stanowi, że od decyzji wydanej w pierwszej instancji przez ministra lub samorządowe kolegium odwoławcze nie służy odwołanie, jednakże strona niezadowolona z decyzji może się zwrócić do tego organu z wnioskiem o ponowne rozpatrzenie sprawy; do wniosku tego stosuje się odpowiednio przepisy dotyczące odwołań od decyzji. Sytuacji opisanej w powyższym przepisie odpowiada przepis art. 21 ust. 1 u.o.d.o. Dopiero decyzja GIODO wydana w przedmiocie wniosku o ponowne rozpatrzenie sprawy podlega kontroli sądowej. Przepis art. 21 ust. 2 u.o.d.o. stanowi bowiem, że na decyzję GIODO w przedmiocie wniosku o ponowne rozpatrzenie sprawy stronie przysługuje skarga do sądu administracyjnego. Warunkiem wniesienia skargi jest wyczerpanie środków zaskarżenia. Zgodnie z art. 52 2 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 z późn. zm.) przez wyczerpanie środków zaskarżenia należy rozumieć sytuację, w której stronie nie przysługuje żaden środek zaskarżenia, taki jak zażalenie, odwołanie lub wniosek o ponowne rozpatrzenie sprawy, przewidziany w ustawie. Przepis art. 53 1 p.p.s.a. stanowi, że skargę wnosi się w terminie 30 dni od dnia doręczenia skarżącemu rozstrzygnięcia w sprawie. Wnosi się ją za pośrednictwem GIODO, którego działanie, bezczynność lub przewlekłe prowadzenie postępowania jest przedmiotem skargi, zaś GIODO przekazuje skargę sądowi wraz z aktami sprawy i odpowiedzią na skargę w terminie 30 dni od dnia jej wniesienia. Generalny Inspektor 3 R. Hauser, Konstytucyjny model polskiego sądownictwa administracyjnego (w:) Polski model sądownictwa administracyjnego, red. J. Stelmasiak, J. Niczyporuk, S. Fundowicz, Lublin 2003, s. 145.

Rola sądów administracyjnych... 23 Ochrony Danych Osobowych może uwzględnić skargę w całości do dnia rozpoczęcia rozprawy. Uwzględniając skargę, organ stwierdza jednocześnie, czy działanie, bezczynność lub przewlekłe prowadzenie postępowania miały miejsce bez podstawy prawnej albo też z rażącym naruszeniem prawa (zob. art. 54 p.p.s.a.). Zgodnie z art. 134 1 p.p.s.a. sąd rozstrzyga w granicach danej sprawy, nie będąc związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną. Przepis art. 145 1 stanowi, że sąd, uwzględniając skargę na decyzję lub postanowienie: 1) uchyla decyzję lub postanowienie w całości albo w części, jeżeli stwierdzi: a) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, b) naruszenie prawa dające podstawę wznowienia postępowania administracyjnego, c) inne naruszenie przepisów postępowania, jeżeli mogło ono mieć istotny wpływ na wynik sprawy; 2) stwierdza nieważność decyzji lub postanowienia w całości lub w części, jeżeli zachodzą przyczyny określone w art. 156 k.p.a. lub w innych przepisach; 3) stwierdza wydanie decyzji lub postanowienia z naruszeniem prawa, jeżeli zachodzą przyczyny określone w kodeksie postępowania administracyjnego lub w innych przepisach. W razie nieuwzględnienia skargi sąd ją oddala (zob. art. 151 p.p.s.a.). Od wyroku wydanego przez wojewódzki sąd administracyjny stronie przysługuje prawo do złożenia skargi w trybie kasacyjnym do Naczelnego Sądu Administracyjnego (zob. art. 173 p.p.s.a.). Orzecznictwo sądów administracyjnych w sprawach dotyczących ochrony danych osobowych ma niebagatelne znaczenie z punktu widzenia stosowania przepisów ustawy o ochronie danych osobowych i ustaw sektorowych odnoszących się do ochrony danych osobowych, a więc przy kształtowaniu wykładni tych przepisów. Na przykład w wyroku z dnia 19 maja 2011 r. 4 NSA dokonał kwalifikacji adresów IP 5 z punktu widzenia ustawy o ochronie danych osobo- 4 Wyrok NSA z dnia 19 maja 2011 r., I OSK 1079/10, CBOSA. 5 Adresacja IP jednoznaczna identyfikacja adresowa sieci (komputera) w sieci Internet przez przyporządkowanie jej adresu IP, składającego się z czterech liczb oddzielonych znakami kropek. Nazwę komputera i sieci ustala użytkownik w po-