GI-DEC-DS-143/04
2007-05-15
Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 16 lipca 2004 r. dotycząca wykorzystywania pozyskanych w związku z przeprowadzeniem kontroli biletowej danych osobowych pasażerów podróżujących środkami miejskiej komunikacji zbiorowej.
Warszawa, dnia 16 lipca 2004 r.
DECYZJA
Na podstawie art. 138 § 1 pkt 2 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2000 r., Nr 98 poz. 1071 z późn. zm.) oraz art. 12 pkt 2 i art. 18 ust. 1 pkt 1, 5 i 6 w zw. z art. 23 ust. 1 i art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) oraz art. 33a ustawy z dnia 15 listopada 1984 r. Prawo przewozowe (Dz. U. z 2000 r. Nr 50, poz. 601 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie złożonych przez Zarząd Dróg i Komunikacji z siedzibą w Mieście T przy ul. (...) oraz Spółkę Windykacyjną (sp. z o.o.) z siedzibą (...) wniosków o ponowne rozpatrzenie sprawy rozstrzygniętej decyzjami Generalnego Inspektora Ochrony Danych Osobowych z dnia 13 lutego 2004 r. (znak: GI-DEC-DS-35/04/74,75,76 i GI-DEC-DS-34/04/70,71,72), dotyczącymi przetwarzania danych osobowych Pani Q.U. zam. w Mieście T. Przy ul. (...) przez ww. Zarząd Dróg i Komunikacji, Spółkę Windykacyjną oraz Spółkę Inną (Sp. z o.o.) z siedzibą (...),
1) uchylam w całości decyzje Generalnego Inspektora Ochrony Danych Osobowych:
- z dnia 13 lutego 2004 r. (znak: GI-DEC-DS-35/04/74,75,76), nakazującą Zarządowi Dróg i Komunikacji z siedzibą w Mieście T. (...), jako administratorowi danych osobowych pasażerów pozyskanych w związku z przeprowadzeniem kontroli biletowej w zarządzanych przez niego środkach komunikacji zbiorowej w Mieście T, w tym danych osobowych Pani Q.U. zam. w Mieście T przy ul. (...), przywrócenie stanu zgodnego z prawem w procesie przetwarzania tych danych, poprzez podjęcie określonych czynności oraz - decyzję z dnia 13 lutego 2004 r. (GI-DEC-DS-34/04/70,71,72), nakazującą Spółce Windykacyjnej’ usunięcie z prowadzonego zbioru danych osobowych Pani Q.U. z powodu ich przetwarzania bez podstawy prawnej;
2) nakazuję Zarządowi Dróg i Komunikacji z siedzibą w Mieście T., jako administratorowi danych osobowych podróżnych pozyskanych w związku z przeprowadzeniem kontroli biletowej w zarządzanych przez niego środkach komunikacji zbiorowej w Mieście T., w tym danych Pani Q.U., nieudostępnianie w przyszłości tych danych innym podmiotom z naruszeniem art. 33a Prawa przewozowego oraz art. 31 ustawy o ochronie danych osobowych, tj. w inny sposób niż na podstawie upoważnienia, z którego wynikać będzie wprost, że podmioty te prowadzą kontrolę biletową w imieniu i na rzecz Zarządu, jako administratora danych oraz ze wskazaniem celu przetwarzania danych osobowych oraz ich zakresu;
3) nakazuję Spółce Windykacyjnej usunięcie z prowadzonego zbioru danych osobowych dłużników danych osobowych Pani Q.U., pozyskanych od Spółki Innej’ (sp. z o.o.) z siedzibą w Mieście T przy ul. (...) (aktualnie działającej pod firmą Spółka Inna Sp. z o.o.), z powodu ich przetwarzania bez podstawy prawnej.
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pani Q.U. zam. w Mieście T. przy ul. (...), zwanej dalej Skarżącą, w sprawie przetwarzania jej danych osobowych przez Zarząd Dróg i Komunikacji z siedzibą w Mieście T przy ul. (...) (zwany dalej Zarządem), przez Spółkę Inną’ z siedzibą w Mieście T. przy ul. (...) (aktualnie działająca pod firmą Spółka Inna Sp. z o.o.), oraz przez (...) spółkę jawną - Spółkę Windykacyjną’ (...) (aktualnie Spółka Windykacyjna (Sp. z o.o.)).
Ze skargi i innych materiałów, które przysłała Skarżąca wynikało, że podczas przejazdu tramwajem w Mieście T., w dniu 23 marca 1998 r., została skontrolowana przez pracownika Spółki Innej co do posiadania ważnego biletu. Ponieważ biletu takiego nie posiadała, a jednocześnie odmówiła zapłacenia należności z tego tytułu, z okazanego przez nią dokumentu tożsamości kontroler Spółki Innej spisał jej dane osobowe, w zakresie co najmniej imienia, nazwiska oraz adresu zamieszkania. Po jakimś czasie Skarżąca otrzymała od Spółki Innej wezwanie do uiszczenia tzw. opłaty dodatkowej, na które nie odpowiedziała, po czym odebrała pismo tej spółki z informacją, iż wierzytelność „z tytułu przejazdu bez ważnego biletu (mandat nr 7104/19980323 z dnia 98-03-23)” została zbyta na rzecz Spółki Windykacyjnej’. Następnie Skarżąca otrzymała od Spółki Windykacyjnej’ wezwanie do zapłaty „długu wynikającego z niezapłaconych mandatów za przejazd bez ważnego biletu”, w którego treści wskazano także, iż „od dnia 02-07-25 jest Pani dłużnikiem naszej firmy i poniższa należność winna być zaspokojona na rzecz Spółki Windykacyjnej’ ”. Jednocześnie, na odwrocie tego wezwania do zapłaty zamieszczona została informacja o tym, że „na mocy umowy o przelew wierzytelności z dnia 02-07-25 administratorem danych osobowych dłużnika jest Spółka Windykacyjna’ z siedzibą w (...). Państwa dane pozyskane zostały od Spółki Innej i przetwarzane będą w zakresie wymaganym do dochodzenia wierzytelności z tytułu nieuregulowanych należności dla firmy Spółki Innej.” Skarżąca zakwestionowała legalność takiego przetwarzania jej danych osobowych i wniosła o nakazanie Spółce Innej i Spółce Windykacyjnej usunięcia jej danych osobowych, w szczególności ze względu na to, że nie wyrażała zgody na ich udostępnianie wspólnikom ostatniej z wymienionych spółek.
Powyższe okoliczności potwierdzone zostały w toku postępowania wyjaśniającego przeprowadzonego w tej sprawie przez Generalnego Inspektora Ochrony Danych Osobowych, zwanego dalej Generalnym Inspektorem. W postępowaniu tym pisemne wyjaśnienia wraz ze stosownymi dokumentami złożyli dyrektor Zarządu Dróg i Komunikacji w Mieście T. z siedzibą przy ul. (...), Prezydent Miasta T. oraz Spółka Inna i wspólnicy Spółki Windykacyjnej’. Ponadto upoważnieni inspektorzy przeprowadzili czynności kontrolne w siedzibie Spółki Innej. Z zebranego w ten sposób materiału dowodowego wynikało, że:
1. Zarząd jest jednostką organizacyjną Miasta T., utworzoną na podstawie art. 9 ust. 1 ustawy z dnia 8 marca 1990 r. o samorządzie gminnym (Dz. U. z 2001 r. Nr 142, poz. 1591 ze zm.) a jego działalność - jak poinformował Prezydent Miasta T. „obejmuje wykonywanie wszelkich zadań i kompetencji związanych z przewozem osób w ramach wrocławskiej komunikacji zbiorowej”.
2. Spółka Inna pozyskała dane osobowe Skarżącej w wyniku realizacji umowy zawartej w dniu 23 lutego 1998 r. między Spółką Inną’ (to poprzednia nazwa Spółki Innej), zwaną w tej umowie Wykonawcą, a Zarządem Dróg i Komunikacji w Mieście T. Na podstawie tej umowy, nazwanej umową w sprawie prowadzenia zorganizowanej kontroli biletowej w środkach komunikacji zbiorowej w Mieście T. (Umowa Nr 2/MPK/98), Zarząd „zlecił” Spółce Innej prowadzenie zorganizowanej kontroli biletowej w środkach wrocławskiej komunikacji zbiorowej zarządzanej przez Zarząd (§ 1 ww. umowy), w tym pobieranie opłat za przejazd bez ważnego biletu. Ponadto w umowie tej postanowiono, że wszelkie opłaty z tytułu nieposiadania przez pasażera ważnego biletu przejazdowego wpływają na konto bankowe Wykonawcy i stanowią jego wynagrodzenie z tytułu prowadzonej kontroli biletowej. W przypadku rozwiązania umowy Wykonawcy przysługuje w trybie postępowania egzekucyjnego prawo do ściągania opłat powstałych w trakcie obowiązywania umowy (§ 6). Wykonawca zobowiązuje się do prowadzenia dokumentacji dotyczącej spraw związanych z kontrolą biletów ze szczególnym uwzględnieniem dziennych i miesięcznych raportów z miejsca zdarzenia oraz raportów zdawczych. Strony zobowiązują się do regularnego udostępniania dokumentacji, opisanej w ust. 1.
3. Zarówno Zarząd, jak i Spółka Inna, powołując się na treść § 6 umowy, o której mowa w pkt 2 niniejszej decyzji, prezentowali stanowisko, iż administratorem danych osobowych pasażerów, którzy nie uiścili opłat z tytułu przejazdu bez ważnego biletu jest wyłącznie Spółka Inna Zarząd twierdził, iż dokonał „umownej cesji uprawnień” na rzecz Spółki Innej, a Spółka Inna uważała się za dłużnika skontrolowanych pasażerów z tytułu opłat wskazanych w art. 33 a Prawa przewozowego.
4. W dniu 25 lipca 2002 r. Spółka Inna (występując wówczas pod nazwą Spółka Inna zawarła z e Spółką Windykacyjną’ (obecnie Spółka Windykacyjna) „Umowę cesji wierzytelności”, dotyczącą wierzytelności wobec osób, które dokonały przejazdu bez ważnego biletu środkami komunikacji zarządzanymi przez Zarząd i udostępniła wspólnikom tej spółki dane osobowe tych osób. W wykonaniu tej umowy Spółka Inna przekazała wspólnikom Spółki Windykacyjnej’ w szczególności raport z kontroli biletowej dotyczący Skarżącej oraz jej dane osobowe przetwarzane w systemie informatycznym.
5. W toku postępowania prowadzonego w niniejszej sprawie Generalny Inspektor pozyskał opinię Prezesa Urzędu Ochrony Konkurencji i Konsumentów na temat legalności wyżej przedstawionych czynności podejmowanych przez Spółkę Inną oraz Spółkę Windykacyjną wobec pasażerów. Na wstępie swoich rozważań Prezes UOKIK stwierdził, iż Spółka Inna posiada status „pełnomocnika przedsiębiorstwa przewozowego upoważnionego do kontroli biletów na przejazd środkami komunikacji miejskiej, tj. podmiotu trzeciego, upoważnionego przez usługodawcę do kontroli zgodności zachowań konsumenta z umową przewozową”. Ponadto, w opinii Prezesa UOKIK, zbycie przez przewoźnika jego praw i obowiązków wynikających z umowy przewozu jest niedopuszczalne bez zgody podróżnego – konsumenta, jest bowiem niezgodne z przepisami art. 385³ pkt 5 i art. 385 ¹ § 1 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. Nr 16, poz. 93). W szczególności, Prezes UOKIK stwierdził, że konstruowanie stosunków prawnych w ten sposób, że dokonuje się przekazania praw i obowiązków „bez wiedzy i zgody” kontrahenta – konsumenta „należy zdaniem Urzędu uznać za rażące naruszenie interesu konsumentów i w rezultacie - nie wiążące”.
Mając na uwadze powyższe ustalenia faktyczne, Generalny Inspektor wydał w dniu 13 lutego 2004 r. decyzję administracyjną (GI-DEC-DS-35/04/74,75,76), którą nakazał Zarządowi, jako administratorowi danych osobowych podróżnych pozyskanych podczas kontroli biletowej w środkach wrocławskiej komunikacji zbiorowej, w tym danych osobowych Pani Q.U., przywrócenie stanu zgodnego z prawem w procesie przetwarzania tych danych, poprzez: 1) określenie celu i zakresu danych osobowych, które przetwarzane są przez Spółkę Inną w związku z wykonywaniem zawartej w dniu 23 lutego 1998 r. pomiędzy Zarządem (zleceniodawcą) a Spółką Inną (zleceniobiorcą) „Umowy Nr 2/MPK/98” w sprawie prowadzenia zorganizowanej kontroli biletowej w środkach komunikacji zbiorowej w Mieście T., stosownie do art. 31 ustawy o ochronie danych osobowych; 2) podjęcie stosownych środków technicznych i organizacyjnych w celu należytego zabezpieczenia danych osobowych podróżnych, w tym danych Pani Q.U., przed ich udostępnianiem osobom nieupoważnionym.
Ponadto, w dniu 13 lutego 2004 r. Generalny Inspektor wydał decyzję administracyjną wobec Spółki Windykacyjnej’ z siedzibą (...), w której nakazał usuniecie z prowadzonego zbioru danych, danych osobowych Pani Q.U., z powodu przetwarzania ich bez podstawy prawnej (znak: GI-DEC-DS.-34/04/70, 71,72).
W dniu 4 marca 2004 r. do Biura Generalnego Inspektora wpłynął (w terminie) wniosek Zarządu o ponowne rozpatrzenie sprawy rozstrzygniętej ww. decyzją z dnia 13 lutego 2004 r. z powodu niewykonalności orzeczonego nią nakazu. W uzasadnieniu wniosku Zarząd wskazał, m.in. że: „Umowa ze Spółką Inną została rozwiązana za zgodą stron z dniem 31 grudnia 1999 r. Obecnie Zarząd nie współpracuje z tą firmą i nie jest z nią związany żadną umową, nie ma więc skutecznego wpływu na działania tej firmy. Z firmą Spółką Windykacyjną. Zarząd także nie ma żadnych kontaktów. Nie ma więc środków prawnych, aby nakłonić ją do postępowania zgodnego z prawem. Przelew długów przez firmę Spółkę Inną nastąpił bez wiedzy i zgody Zarządu.” Ponadto, Zarząd poinformował, że aktualnie prowadzi kontrolę biletową „we własnym zakresie (gospodarstwo pomocnicze ZDiK) i uzyskane w trakcie kontroli biletów dane osobowe są właściwie zabezpieczone. Również windykacja należności jest wykonywana we własnym zakresie, nie istnieje więc potrzeba udostępniania danych osobowych innym podmiotom”. Zarząd przesłał przy tym dokumenty na potwierdzenie okoliczności powołanych we wniosku (m.in. pismo dyrektora Zarządu z dnia 30 września 1999 r. do Spółki Innej, znak: FZBK/967/4793/28132/99, o wypowiedzeniu umowy nr 2 z dnia 23 lutego 1998 r. na prowadzenie zorganizowanej kontroli biletowej w środkach komunikacji zbiorowej w Mieście T. oraz zarządzenie nr 26/03 dyrektora Zarządu z dnia 8 grudnia 2003 r. w sprawie utworzenia gospodarstwa pomocniczego do spraw kontroli biletowej i opłat parkingowych, dotyczące utworzenia gospodarstwa pomocniczego Zarządu o nazwie „Zakład kontroli biletowej i opłat parkingowych – gospodarstwo pomocnicze Zarządu Dróg i Komunikacji w Mieście T.”).
Ponadto, w dniu 1 marca 2004 r. (w terminie) do Generalnego Inspektora wpłynął wniosek Spółki Windykacyjnej (zwanej dalej także Spółką) o ponowne rozpatrzenie sprawy zakończonej ww. decyzją z dnia 13 lutego 2004 r. (znak: GI-DEC-DS-34/04/70,71,72). Spółka podniosła zarzuty zarówno co do ustaleń faktycznych, w oparciu o które wydana została zaskarżona przez nią decyzja, jaki i zakwestionowała przedstawione w niej uzasadnienie prawne.
Podważając prawidłowość ustalenia stanu faktycznego sprawy, Spółka wskazała, iż „(...) istnieją poważne i niewyjaśnione przez GIODO w toku postępowania wątpliwości dotyczące: 1) ustalenia, jaki podmiot na terenie Miasta T. jest odpowiedzialny za organizację przewozów lokalnym transportem publicznym, 2) jakim podmiotom, uczestniczącym w procesie organizacji transportu lokalnego, przysługuje status „przewoźnika” w rozumieniu kodeksu cywilnego i prawa przewozowego. GIODO nie zbadał również, w jakim zakresie, na jakich zasadach i przy wykorzystaniu jakich środków podmioty uczestniczące w sprawach związanych z transportem miejskim w Mieście T. dokonują przetwarzania danych osobowych.
W odniesieniu do argumentów prawnych, w oparciu o które wydana została zaskarżona decyzja Spółka podniosła natomiast, że opierają się one na „dokonanej w sposób niewłaściwy wykładni przepisów ustawy o ochronie danych osobowych, prawa przewozowego, kodeksu cywilnego, jak również w sposób niewłaściwy oceniają stan faktyczny zaistniały w sprawie”. W szczególności Spółka podniosła w tym zakresie zarzuty dotyczące:
1) niewłaściwej interpretacji art. 33 a ustawy z dnia 15 listopada 1984 r. Prawo przewozowe (Dz. U. z 2000 r. Nr 50, poz. 601 z późn. zm.),
2) niewłaściwej interpretacji art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), w związku z błędnym zastosowaniem art. 33a Prawa przewozowego oraz nieuwzględnieniem przepisu art. 509 § 1 Kodeksu cywilnego,
3) nieuwzględnienia art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych,
4) brak podstaw do uzyskania opinii Prezesa UOKIK,
5) naruszenia art. 18 ust. 1 ustawy o ochronie danych osobowych,
6) „wpływu ewentualnej decyzji GIODO dotyczącej ZDK i/lub Spółki Innej na sytuację procesową Spółki Windykacyjnej”.
Szczegółowe argumenty, jakie przedstawiła Spółka na poparcie powyższych zarzutów zostaną przedstawione i rozpatrzone w dalszej części niniejszej decyzji. Przy czym ostatni z zarzutów został uzupełniony przez Spółkę w piśmie, jakie przysłała do Biura Generalnego Inspektora po zapoznaniu się z aktami niniejszej sprawy. Spółka podniosła w tym piśmie m.in. że skoro w postępowaniu, w którym wydana została zaskarżona decyzja występuje wiele stron, to Spółce – jako jednej z nich powinny być doręczane wszelkie wydane w tej sprawie orzeczenia. Wobec tego, że Spółce nie została doręczona decyzja wydana w tej sprawie wobec Zarządu Dróg i Komunikacji, która w jej opinii dotyczy także jej praw i obowiązków, wniosła o jej doręczenie.
Po dokonaniu ponownej analizy niniejszej sprawy, w tym w szczególności okoliczności faktycznych wskazanych przez Zarząd Dróg i Komunikacji we wniosku o ponowne rozpatrzenie sprawy, Generalny Inspektor zważył, co następuje:
I. Mając na uwadze zarzut podniesiony przez Zarząd i Dróg i Komunikacji, dotyczący błędnego przyjęcia w zaskarżonej decyzji z dnia 13 lutego 2004 r. (GI-DEC-DS-35/04/74,75,76), iż nadal obowiązuje umowa zawarta przez Zarząd z CSG Sp. z o.o., z dnia 23 lutego 1998 r. („Umowa Nr 2/MPK/98”), na podstawie której przeprowadzana była kontrola biletowa i pozyskiwane dane osobowe pasażerów, wskazać należy, iż z materiału dowodowego zebranego w toku postępowania wyjaśniającego przeprowadzonego w tej sprawie nie wynikało, że umowa ta wygasła. W szczególności, nie wskazał na nią wcześniej ani Zarząd, ani Spółka Inna. W konsekwencji, Generalny Inspektor nałożył na Zarząd nakaz podjęcia określonych działań w celu ochrony danych osobowych podróżnych w ramach umowy w sprawie prowadzenia zorganizowanej kontroli biletowej w środkach komunikacji zbiorowej w Mieście T. („Umowa Nr 2/MPK/98”). W świetle wyjaśnień i dokumentów złożonych przez Zarząd po wniesieniu wniosku o ponowne rozparzenie sprawy nie budzi jednak wątpliwości, iż wskazana umowa już nie obowiązuje, jak też, że Zarząd aktualnie sam, w ramach utworzonego gospodarstwa pomocniczego, prowadzi kontrolę biletową i aktualnie nie udostępnia danych osobowych podróżnych, w tym dotyczących Pani Q.U., osobom nieupoważnionym. W takim stanie faktycznym Zarząd zasadnie zatem podniósł, iż nie jest możliwe wykonanie przez niego zaskarżonej decyzji z dnia 13 lutego 2004 r.
W opinii Generalnego Inspektora powyższe okoliczności nie uzasadniają jednak umorzenia postępowania prowadzonego w tej sprawie. Należy bowiem zauważyć, że Zarząd nadal pozostaje administratorem danych osobowych podróżnych pozyskiwanych podczas kontroli biletowej, w tym danych osobowych Skarżącej, natomiast w toku postępowania przed Generalnym Inspektorem prezentował stanowisko o utracie tego statusu w związku z zawarciem ww. umowy ze Spółką Inną. Jak już wyżej wskazano, Zarząd - powołując się na treść § 6 tej umowy – podnosił, iż administratorem danych osobowych pasażerów, którzy nie uiścili opłat z tytułu przejazdu bez ważnego biletu, o których mowa w art. 33a ustawy Prawo przewozowe, w tym danych Skarżącej, jest wyłącznie Spółka Inna, bowiem dokonana została „umowna cesja uprawnień” na rzecz tej spółki. Również we wniosku o ponowne rozpatrzenie sprawy Zarząd, wskazując na zawierane dotychczas umowy z firmami kontrolerskimi - i nawiązując do orzeczonego zaskarżoną decyzją nakazu dotyczącego określenia celu i zakresu danych osobowych przetwarzanych przez Spółkę Inną - podniósł, że „wprawdzie w tych umowach nie określono, w jakim celu i zakresie mogą te firmy pozyskiwać dane osobowe, ale jako podmioty zajmujące się profesjonalnie wykonywaniem kontroli, powinny przestrzegać obowiązującego w Polsce prawa”.
Stanowisko Zarządu Dróg i Komunikacji prezentowane w toku postępowania przed Generalnym Inspektorem wskazuje zatem na błędne rozumienie zakresu uprawnień do przetwarzania danych osobowych podróżnych, jaki wynika dla przewoźnika z przepisu art. 33 a Prawa przewozowego, jak też obowiązków administratora danych określonych w art. 31 ustawy o ochronie danych osobowych, zwanej dalej ustawą. Dość w tym miejscu wskazać, że zgodnie z art. 31 ustawy, administrator danych, powierzający przetwarzanie danych innemu podmiotowi, obowiązany jest do określenia celu i zakresu danych osobowych, którego to warunku nie spełniała umowa zawarta przez Zarząd ze Spółką Inna. Jednocześnie, brak w ww. umowie w sprawie prowadzenia kontroli biletowej także postanowień wskazujących na posiadanie statusu administratora danych przez Zarząd pozwolił Spółce Innej na uznanie się za administratora danych osobowych podróżnych, którzy nie uiścili opłat za przejazd bez biletu. Uchybienie to spowodowało, iż na wezwaniach do zapłaty opłaty dodatkowej za przejazd bez ważnego biletu, które wysyłała Spółka Inna m.in. do Skarżącej umieszczona była błędna informacja co posiadania przez nią statusu administratora danych.
Wobec prezentowania przez Zarząd i Dróg i Komunikacji błędnego stanowiska co do realizacji powyższych obowiązków, dotyczących sposobu, w jaki powinny być przetwarzane dane osobowe podróżnych pozyskane w toku kontroli biletowej, nie można wykluczyć, iż Zarząd - chociaż aktualnie prowadzi kontrolę biletową we własnym zakresie, to powierzy ją w przyszłości innym podmiotom. Przepis art. 33 a Prawa przewozowego dopuszcza bowiem taką możliwość. W konsekwencji niezbędne jest wydanie przez Generalnego Inspektora niniejszej decyzji, wskazującej – na przyszłość, co powinno zawierać – z punktu widzenia przetwarzania danych osobowych podróżnych, upoważnienie udzielone innemu podmiotowi do prowadzenia kontroli biletowej.
Wobec powyższego, wskazać należy, iż ustawa określa prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). W szczególności, każda osoba, której dane dotyczą ma prawo do tego, by jej dane osobowe były przetwarzane legalnie oraz należycie chronione przed dostępem do nich osób nieuprawnionych do ich pozyskania. Uprawnieniom tym na gruncie przepisów ustawy odpowiadają konkretne obowiązki po stronie administratora danych. Przy czym, administratorem danych jest organ, instytucja, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3 ust. 1 i 2 ustawy – w tym m.in. komunalna jednostka organizacyjna - decydujące o celach i środkach przetwarzania danych (art. 7 pkt 4 ustawy). Dla legalności procesu przetwarzania danych niezbędne jest w pierwszym rzędzie spełnienie przez administratora jednej z przesłanek określonych w przepisach ustawy. Mając na uwadze charakter danych osobowych, których dotyczy rozpatrywana sprawa, wskazać należy, że przesłanki te wymienione są w przepisie art. 23 ust. 1 ustawy. Stosownie do przepisu art. 23 ust. 1 pkt 2 ustawy – w brzmieniu obowiązującym od dnia 1 maja 2004 r. - przetwarzanie danych osobowych jest dopuszczalne w szczególności, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Z przepisu tego wynika zatem, że o ile przepisy szczególne regulują przetwarzanie danych osobowych w danej dziedzinie życia społecznego, to podejmowanie na nich jakichkolwiek operacji (np. pozyskiwanie, czy udostępnianie) możliwe jest jedynie na określonych tam warunkach prawnych.
Wobec powyższego ponownie wskazać należy, iż przetwarzanie danych osobowych pasażerów w związku z kontrolą biletową w danym środku komunikacji reguluje przepis art. 33a ustawy Prawo przewozowe. Przepis ten stanowi, że przewoźnik lub osoba przez niego upoważniona, legitymując się identyfikatorem umieszczonym w widocznym miejscu, może dokonywać kontroli dokumentów przewozu osób lub bagażu (ust. 1). W razie stwierdzenia braku odpowiedniego dokumentu przewozu albo dokumentu uprawniającego do przejazdu bezpłatnego lub ulgowego, przewoźnik lub osoba przez niego upoważniona powinni pobrać właściwą należność i opłatę dodatkową (ust. 3). Przewoźnik lub osoba przez niego upoważniona ma prawo w razie odmowy zapłacenia należności – żądać okazania dokumentu umożliwiającego stwierdzenie tożsamości podróżnego (ust. 4 pkt 1) oraz w razie odmowy zapłacenia należności i niemożności ustalenia tożsamości podróżnego – zwrócić się do funkcjonariusza Policji i innych organów porządkowych, które mają, zgodnie z przepisami prawa, uprawnienia do ustalania tożsamości osób, o podjęcie czynności zmierzających do ustalenia tożsamości podróżnego (ust. 4 pkt 2).
Z powołanego przepisu art. 33a Prawa przewozowego wynika zatem, że uprawnieni do pozyskiwania i dalszego przetwarzania danych osobowych podróżnych są przewoźnik „lub osoba przez niego upoważniona”. W systemie prawa przez „osobę upoważnioną” rozumie się podmiot, który został upoważniony do podejmowania określonych czynności w imieniu i na rzecz mocodawcy. W doktrynie wskazuje się, że uzyskanie upoważnienia jest skutkiem dokonania „upoważniającej czynności prawnej”, na które to pojęcie składają się różnego rodzaju „czynności prawne, których istota sprowadza się do umocowania określonego podmiotu do działania z bezpośrednim skutkiem dla upoważniającego, np. pełnomocnictwo, prokura” (tak Encyklopedia Prawa, red. prof. dr hab. Urszula Kalina – Prasznic, Warszawa, s. 810). Analiza treści art. 33a Prawa przewozowego prowadzi zatem do wniosku, że o ile przewoźnik powierzy wykonywanie czynności związanych z kontrolą biletową osobie trzeciej, to – w zakresie umocowania - działa ona każdorazowo na jego rzecz. W szczególności dotyczy to pozyskiwania danych osobowych pasażerów podczas kontroli i dalszego ich przetwarzania w związku z dochodzeniem należności z tytułu opłat za przejazd bez ważnego biletu. Z takiego ukształtowania przez ustawodawcę relacji między przewoźnikiem a podmiotem, który zostaje przez niego upoważniony do prowadzenia kontroli biletowej, wynika zatem, iż decyzje o celach i środkach przetwarzania danych osobowych pasażerów w każdym przypadku należą wyłącznie do przewoźnika. W konsekwencji, status administratora danych pasażerów zawsze przysługiwał będzie przewoźnikowi. Podkreślić przy tym należy, że przepis art. 33a Prawa przewozowego ma charakter bezwzględnie obowiązujący, wobec czego niedopuszczalne jest odmienne ukształtowanie ww. spraw w drodze umowy między przewoźnikiem a osobą trzecią.
W ten sam sposób przepis art. 33 a Prawa przewozowego interpretuje Urząd Ochrony Konkurencji i Konsumentów. W opinii, którą Prezes tego urzędu przedstawił w niniejszej sprawie, Spółka Inna jest „pełnomocnikiem przedsiębiorstwa przewozowego” i „podmiotem trzecim upoważnionym przez usługodawcę do kontroli zgodności zachowań konsumenta z umową przewozową”.
Odnosząc powyższe uwagi do okoliczności rozpatrywanej sprawy stwierdzić zatem należy, że to Zarząd jest administratorem danych osobowych Skarżącej, jak też danych innych pasażerów pozyskanych przez kontrolerów Spółki Innej podczas kontroli biletowej w środkach komunikacji zarządzanych przez Zarząd. W świetle wyjaśnień złożonych w tej sprawie przez Prezydenta Miasta T. nie budzi bowiem wątpliwości, że Zarząd jest komunalną jednostką organizacyjną, utworzoną przez miasto Wrocław na podstawie art. 9 ust. 1 powołanej wyżej ustawy o samorządzie gminnym, której powierzona została realizacja zadań z zakresu lokalnego transportu zbiorowego. W szczególności, jak wskazał Prezydent Miasta T., działalność Zarządu „obejmuje wykonywanie wszelkich zadań i kompetencji związanych z przewozem osób w ramach wrocławskiej komunikacji zbiorowej”. Wyrazem posiadania uprawnień do dokonywania wszelkich czynności związanych z zarządzaniem środkami komunikacji zbiorowej we Wrocławiu było zawarcie ze Spółką Inną umowy w sprawie prowadzenia zorganizowanej kontroli biletowej w środkach komunikacji zbiorowej we Wrocławiu.
Jak już wyżej wskazano, zarówno Zarząd, jak i Spółka Inna, powołując się na treść § 6 umowy, o której mowa w pkt 2 niniejszej decyzji, prezentują stanowisko, iż administratorem przedmiotowych danych osobowych pasażerów jest wyłącznie Spółka Inna. Zarząd twierdzi, iż dokonał „umownej cesji uprawnień” na rzecz Spółki Innej, a Spółka Inna uważa się za dłużnika skontrolowanych pasażerów z tytułu opłat wskazanych w art. 33 a Prawa przewozowego. Jednocześnie, również wyniki kontroli przeprowadzonej przez inspektorów w siedzibie Spółki Innej wskazują, iż to ta spółka prowadziła i przechowywała dokumentację dotyczącą kontroli biletowych, zawierającą dane osobowe podróżnych, w celu uzyskania od nich zapłaty za przejazd bez biletu. Natomiast aktualnie dane osobowe Skarżącej wraz z dokumentacją, dotyczącą należności za przejazd bez ważnego biletu przetwarza Spółka Windykacyjna.
Odnosząc się do powyższego, podkreślić należy, iż w sytuacji, gdy istnieją szczególne przepisy prawa regulujące przetwarzanie danych w danej dziedzinie życia społecznego, to o tym, jakiemu podmiotowi przysługuje przymiot administratora tych danych, rozstrzygać powinna przede wszystkim treść tych przepisów. Taki też pogląd wyraził Prezes Naczelnego Sądu Administracyjnego, Pan Roman Hauser, który w artykule pt. „Przetwarzanie danych osobowych: cel i środki” stwierdził, m.in. że o tym czy dany organ, jednostka organizacyjna albo innego rodzaju podmiot jest administratorem danych osobowych, decyduje przede wszystkim rodzaj i charakter nadanych im przez prawo kompetencji. Do uznania danego podmiotu za administratora danych potrzebna jest zawsze analiza konkretnych przepisów mających zastosowanie w określonej sytuacji, dokonywana często wedle skomplikowanych reguł interpretacji tekstu prawnego („Rzeczpospolita” z dnia 6 kwietnia 1999 r.). Również Naczelny Sąd Administracyjny, w wyroku z dnia 30 stycznia 2002 r. (sygn. akt II S.A. 1098/2001), uznał, iż „administratorem danych osobowych nie jest każdy dysponent tych danych, a tylko ten, kto decyduje o celach i środkach ich przetwarzania”. W uzasadnieniu tego wyroku, Naczelny Sąd Administracyjny, odnosząc się do argumentów strony skarżącej, wskazał m.in. iż „ nie można podzielić zarzutu skarżącej, że za administratora danych należy uznać każdego dysponenta danych, gdyż inaczej pewne sfery ochrony danych osobowych znalazłyby się poza ochroną prawną. Sfera ochrony dotyczy bowiem nie tylko tych działań, które są dokonywane na podstawie ustawy o ochronie danych osobowych. W grę wchodzi także ochrona np. na podstawie przepisów o zwalczaniu nieuczciwej konkurencji, ochrona cywilnoprawna, ochrona karna itp. Dlatego też m.in. Sąd Najwyższy w postanowieniu z dnia 11 grudnia 2000 r. II KKN 438/2000 OSNKW 2001/3-4, poz. 33 rozróżnił administratora i administrującego danymi osobowymi. Za administratora uznał jedynie ten podmiot, który decyduje o celach i środkach przetwarzania danych (art. 7 pkt 4 ustawy), natomiast administrującym jest taki podmiot, który zarządza, zawiaduje zbiorem danych lub danymi. (...) Administratorem nie jest więc każdy dysponent danych osobowych”. W konsekwencji, stwierdzić zatem trzeba, że faktyczne decydowanie o celach i środkach przetwarzania danych przez dany podmiot może rozstrzygać o posiadaniu przez niego statusu administratora danych jedynie w tych sytuacjach, gdy nie ma przepisów szczególnych, z których wynika co innego.
W świetle powyższego, stwierdzić należy, iż pogląd Zarządu, zgodnie z którym, to Spółka Inna była administratorem danych osobowych Skarżącej, jak też innych pasażerów, jest sprzeczny z bezwzględnie obowiązującym przepisem art. 33 a Prawa przewozowego. Jak już bowiem wskazano, z przepisu tego wynika, że w każdym przypadku skutki prawne działań podejmowanych przez pracowników firm, które dokonują kontroli biletowej za zgodą i wiedzą przewoźnika powstają bezpośrednio w sferze prawnej z jednej strony - przewoźnika, a z drugiej – podróżnego. Nie jest zatem dopuszczalne zawarcie przez przewoźnika umowy, na podstawie której nastąpiłaby sukcesja prawna na rzecz firmy kontrolującej bilety, bowiem przewoźnik może jedynie upoważnić ją do działania w swoim imieniu. W konsekwencji, wszelkie umowy między przewoźnikami a firmami kontrolującymi bilety muszą być rozumiane jako dotyczące powierzenia wykonywania czynności w imieniu przewoźnika. W opinii Generalnego Inspektora, w zakresie dotyczącym przetwarzania danych osobowych pasażerów, przepis art. 33 a Prawa przewozowego daje podstawę do zawarcia między przewoźnikiem a firmą kontrolującą jedynie umowy powierzenia przetwarzania danych osobowych, o której mowa w art. 31 ustawy o ochronie danych osobowych.
Jak już wyżej wspomniano, zgodnie z tym przepisem, administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych (art. 31 ust. 1 ustawy). Podmiot, o którym mowa w ust. 1 może przetwarzać dane wyłącznie w zakresie i celu określonym w umowie (art. 31 ust. 2 ustawy). Podmiot, o którym mowa w ust. 1 jest obowiązany przed rozpoczęciem przetwarzania danych do podjęcia środków zabezpieczających zbiór danych, o których mowa w art. 36 – 39 ustawy (ust. 3). W przypadkach, o których mowa w ust. 1 – 3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową (ust. 4).
W świetle powyższego, umowę zawartą między Zarządem a Spółką Inną w sprawie prowadzenia zorganizowanej kontroli biletowej w środkach komunikacji zbiorowej w Mieście T. należało uznać za umowę powierzenia określoną w art. 31 ustawy.
W konsekwencji, o ile w przyszłości Zarząd powierzał będzie innym podmiotom prowadzenie kontroli biletowej w zarządzanych przez niego środkach komunikacji zbiorowej we Wrocławiu, w zakresie dotyczącym przetwarzania danych osobowych podróżnych powinien respektować warunki wynikające z treści art. 33a Prawa przewozowego oraz art. 31 ustawy o ochronie danych osobowych, tj. powinien w pisemnej umowie określić w szczególności, że przetwarzanie danych osobowych podróżnych powadzone będzie w jego imieniu i na jego rzecz oraz w jakim celu i zakresie te dane będą przetwarzane.
W celu wyeliminowania wszelkich wątpliwości należy także wskazać, że to Zarząd pozostaje administratorem danych osobowych Skarżącej, a nie Spółka Windykacyjna. Jak już bowiem wyżej wskazano, Spółka Inna, która Spółce Windykacyjnej dane te udostępniła, była jednie podmiotem, któremu Zarząd powierzył dane do przetwarzania (art. 31 ustawy), a zatem nie posiadała statusu administratora danych. Nie posiadając tego statusu, nie mogła także skutecznie przekazać danych osobowych Skarżącej na rzecz wskazanej spółki. Powyższy wniosek opiera się na obowiązującej w systemie prawa zasadzie, iż nikt nie może przekazać drugiemu więcej praw, niż sam posiada (nemo in alium plus iuris transferre potest quam ipse habet). Jedynie zatem Zarząd, jako posiadający atrybuty administratora danych, z mocy art. 33 a Prawa przewozowego uprawniony jest do podjęcia czynności mających na celu uzyskanie od pasażerów, w tym Skarżącej, zapłaty należności za przejazd bez ważnego biletu.
II. Wobec zarzutów podniesionych we wniosku o ponowne rozpatrzenie sprawy przez Spółkę Windykacyjną wskazać natomiast należy, iż nie znajdują one potwierdzenia ani w zgromadzonym w niniejszej sprawie materiale dowodowym, ani w przepisach prawa.
W szczególności nie jest zasadny argument Spółki, iż Generalny Inspektor nie ustalił w sposób dokładny stanu faktycznego sprawy, w następstwie błędnie uznał Zarząd Dróg i Komunikacji za przewoźnika w rozumieniu ustawy Prawo przewozowe.
Zauważyć przede wszystkim należy, iż zarzut powyższy powinien być podniesiony w pierwszym rzędzie przez Zarząd, wobec którego Generalny Inspektor, w oparciu o art. 33a Prawa przewozowego także wydał decyzję administracyjną. Jednakże Zarząd nie zakwestionował stanowiska Generalnego Inspektora, iż status taki posiada.
Niezależnie od powyższego, podkreślić należy, że wbrew temu co twierdzi Spółka Generalny Inspektor podjął szereg czynności przed ustaleniem omawianej okoliczności. W szczególności, wskazując na treść art. 33a Prawa przewozowego, wystąpił do Prezydenta Wrocławia o przekazanie informacji na temat, kto odpowiada w tym mieście za sprawy związane z prowadzeniem kontroli biletowej w środkach transportu lokalnego i za udostępnienie danych osobowych pasażerów firmom kontrolującym bilety. W odpowiedzi Prezydent Miasta T. wskazał na Zarząd Dróg i Komunikacji. Prezydent poinformował przy tym, iż Zarząd posiada status komunalnej jednostki organizacyjnej Wrocławia, „której działalność obejmuje wykonywanie wszelkich zadań i kompetencji związanych z przewozem osób w ramach wrocławskiej komunikacji zbiorowej”. Również sam Zarząd Drógi Komunikacji, którego Prezydent Miasta T. zobowiązał do złożenia w tej sprawie wyjaśnień, wskazał w piśmie do Generalnego Inspektora, iż odpowiada za wszelkie sprawy dotyczące realizacji transportu miejskiego, w tym dokonywanie kontroli dokumentów przewozu osób i bagażu. W szczególności Zarząd przesłał potwierdzoną za zgodność z oryginałem kopię wzoru „identyfikatora kontrolera”, o którym mowa w art. 33a ust. 1 Prawa przewozowego, jaki wydał pracownikom Spółki Innej Z treści tego identyfikatora wynika, że jego wystawcą jest właśnie Zarząd Dróg i Komunikacji w Mieście T. Generalny Inspektor w sposób prawidłowy ustalił zatem, że to Zarząd Dróg i Komunikacji jest przewoźnikiem, o którym stanowi art. 33a Prawa przewozowego.
Jak wyżej wskazano, Spółka Windykacyjna podniosła także szereg zarzutów dotyczących dokonania w zaskarżonej decyzji błędnej interpretacji przepisu art. 33a Prawa przewozowego, jak też w konsekwencji art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych. Zdaniem Spółki, oceniając przetwarzanie przez nią danych osobowych Skarżącej wyłącznie z punktu widzenia przepisów Prawa przewozowego, „GIODO nie wziął (...) w ogóle pod uwagę, iż mogą istnieć inne przepisy prawa, które – wychodząc poza wąsko pojmowany zakres »danej dziedziny życia społecznego« - zezwalają na dalsze przetwarzanie danych osobowych, pozyskanych na podstawie innych przepisów prawa. (...) przyjęcie interpretacji GIODO spowodowałoby, że dane osobowe, pozyskane w ramach kontroli dokumentów upoważniających do przejazdu, byłyby całkowicie bezużyteczne, albowiem – poza ich pozyskaniem (zebraniem) – nie byłoby dopuszczalne wykonanie na nich żadnych innych czynności (w ramach „przetwarzania danych” – w rozumieniu przepisu art. 7 pkt 2 ustawy o ochronie danych osobowych)”. W świetle powyższego stanowiska, Spółka stwierdziła, iż zaskarżona decyzja wydana została także z naruszeniem art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, skoro „przepisy art. 33a prawa przewozowego regulują wyłącznie jeden aspekt przetwarzania danych osobowych osób korzystających z usług przewozu – mianowicie, przepisy te regulują okoliczności i sposób zbierania (pozyskiwania) danych osobowych osób korzystających z przewozu bez ważnego dokumentu przewozu (...). Pozyskania danych osobowych tych osób może dokonać tylko przewoźnik lub osoba przez niego upoważniona. Przepisy te nie odnoszą się natomiast do innych czynności, stanowiących »przetwarzanie danych osobowych« tychże osób, nie wskazują również, kto może tych pozostałych czynności dokonywać. Z faktu bowiem, że dane te są zbierane przez przewoźnika (lub osobę przez niego upoważnioną) nie wynika, że jedynie przewoźnik jest uprawniony do przetwarzania tych danych, polegającego na dokonywaniu innych czynności”. W konsekwencji Spółka uznała, że ma prawo do przetwarzania danych osobowych Skarżącej na podstawie innych szczególnych „przepisów prawa”, także regulujących przelew wierzytelności.
W ocenie Generalnego Inspektora powyższy zarzut Spółki wynika z niezrozumienia stanowiska przedstawionego w zaskarżonej decyzji. Generalny Inspektor nie kwestionuje bowiem dopuszczalności przetwarzania na podstawie innych przepisów prawa danych osobowych podróżnych, które pozyskane zostały w myśl art. 33a Prawa przewozowego przez przewoźnika (lub osobę przez niego upoważnioną). Natomiast w opinii tut. organu określenie przez ustawodawcę we wskazanym przepisie Prawa przewozowego, iż dane te zbierać mogą jedynie przewoźnik lub osoba przez niego upoważniona pociąga za sobą ten skutek, że wszelkie operacje, jakim dane są następnie poddawane powinny znajdować oparcie w stosownej, zgodnej z prawem czynności przewoźnika. W niniejszej sprawie warunek ten nie został spełniony, bowiem umowa w sprawie kontroli biletowej zawarta między Zarządem Dróg i Komunikacji a Spółka Inna prowadziła do udostępnienia danych osobowych niezgodnie z art. 33 a Prawa przewozowego. Przepis ten nie zezwala bowiem na podejmowanie samodzielnych czynności na danych osobowych pasażerów przez inne podmioty niż sam przewoźnik.
W konsekwencji, odnosząc powyższe do okoliczności niniejszej sprawy, skoro Spółka Inna nie mogła sama decydować o celach i środkach przetwarzania danych osobowych podróżnych pozyskanych w toku kontroli biletowej, to tym bardziej nie można uznać, iż status taki w odniesieniu do tych danych, w tym danych Skarżącej, przysługuje Spółce Windykacyjnej. W ocenie Generalnego Inspektora nie do przyjęcia jest pogląd, iż można legalnie przetwarzać dane osobowych w sytuacji, kiedy zostały one pozyskane niezgodnie z przepisami prawa. W świetle ustalonych okoliczności sprawy Spółka Inna nie była natomiast upoważniona do udostępnienia danych osobowych podróżnych nie tylko – jak wyżej wskazano z punktu widzenia art. 33a Prawa przewozowego, ale także umowy łączącej ją z Zarządem Dróg i Komunikacji. W szczególności w piśmie do Generalnego Inspektora Zarząd stwierdził, iż udostępnienie przez Spółkę Inną danych osobowych na rzecz Spółki Windykacyjnej nastąpiło „bez wiedzy i zgody Zarządu”.
W świetle analizowanego stanowiska Spółki raz jeszcze wskazać należy, iż skoro z przepisu art. 33a Prawa przewozowego wynika, że dane osobowe pasażerów przetwarzać mogą „przewoźnik albo osoba przez niego upoważniona”, to w każdym przypadku skutki prawne działań podejmowanych przez pracowników firm, które dokonują kontroli biletowej za zgodą i wiedzą przewoźnika powstają bezpośrednio w sferze prawnej z jednej strony - przewoźnika, a z drugiej – podróżnego. Nie jest zatem dopuszczalne zawarcie przez przewoźnika umowy, na podstawie której nastąpiłaby sukcesja prawna na rzecz firmy kontrolującej bilety, bowiem przewoźnik może jedynie upoważnić ją do działania w swoim imieniu. Jak wskazano w zaskarżonej decyzji, w opinii Generalnego Inspektora, w zakresie dotyczącym przetwarzania danych osobowych pasażerów, przepis art. 33 a Prawa przewozowego daje podstawę do zawarcia między przewoźnikiem a firmą kontrolującą jedynie umowy powierzenia przetwarzania danych osobowych, o której mowa w art. 31 ustawy o ochronie danych osobowych. W konsekwencji, jedynie Zarząd Dróg i Komunikacji, jako posiadający atrybuty administratora danych na podstawie art. 33 a Prawa przewozowego, uprawniony jest do podejmowania czynności mających na celu uzyskanie od pasażerów, w tym Skarżącej, zapłaty należności za przejazd bez ważnego biletu.
Za dokonaniem przez Generalnego Inspektora prawidłowej wykładni przepisu art. 33a Prawa przewozowego przemawia także przedstawione w uzasadnieniu zaskarżonej decyzji stanowisko Prezesa Urzędu Ochrony Konkurencji i Konsumentów, uznające podmiot kontrolujący bilety jedynie za „pełnomocnika” przewoźnika. Także Sąd Najwyższy wypowiedział się w jednym ze swych orzeczeń na temat statusu podmiotów, o których mowa w tym przepisie Prawa przewozowego, kontrolujących dokumenty upoważniające do przejazdu środkami komunikacji oraz zakresu ich uprawnień. Sad Najwyższy stwierdził m.in. że „Ustawa ta nakłada na przewoźnika (...) szereg praw i obowiązków związanych z przewozem osób i rzeczy. Jednym z określonych w tym akcie uprawnień jest dokonywanie kontroli dokumentów przewozu osób lub bagażu. Czynność tę może wykonywać, zgodnie z treścią art. 33a tej ustawy, przewoźnik lub osoba przez niego upoważniona. Tak więc powołany przepis zezwala wprawdzie przewoźnikowi na przeniesienie swoich uprawnień na inną osobę, jednak nie oznacza to przecież, że osoba ta działa we własnym imieniu i na swoją rzecz (podkreślenie Generalnego Inspektora). Wskazuje na to ewidentnie treść art. 33a ust. 1 i 2 ustawy – Prawo przewozowe, określając warunki jakie musi spełniać osoba dokonująca kontroli. I tak, osoba ta musi legitymować się identyfikatorem umieszczonym w widocznym miejscu, zawierającym: nazwę przewoźnika, numer identyfikacyjny osoby dokonującej kontroli, zdjęcie kontrolującego, zakres upoważnienia, okres ważności i wreszcie pieczęć oraz podpis wystawcy, którym jest przewoźnik”, (postanowienie Sądu Najwyższego – Izba Karna, z dnia 23 października 2003 r., OSNKW 2004/2, poz. 17).
Spółka podniosła także, że w zaskarżonej decyzji nie wzięto pod uwagę przepisu art. 509 § 1 kodeksu cywilnego „jako przepisu szczególnego zezwalającego na przetwarzanie (udostępnienie) danych osobowych w świetle treści art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych”.
Zarzut ten uznać należy za niezasadny, bowiem w ocenie Generalnego Inspektora pozyskanie danych osobowych od podmiotu, który udostępnił je niezgodnie z art. 33a Prawa przewozowego przesądza o nielegalności ich dalszego przetwarzania. Bezprzedmiotowe zatem byłoby prowadzenie rozważań co dopuszczalności dokonania przelewu wierzytelności z punktu widzenia regulacji prawa cywilnego. Dodatkowo jedynie zauważyć należy, iż Prezes Urzędu Ochrony Konkurencji i Konsumentów, do którego Generalny Inspektor zwrócił się w rozpatrywanej sprawie stwierdził, że w sytuacji, gdy przelew wierzytelności z tytułu opłaty dodatkowej został dokonany bez zgody podróżnych, to można mówić o działaniu niezgodnym z art. 385 ¹ § 1 oraz art. 385 ³ pkt 5 kodeksu cywilnego.
W świetle powyższego, przetwarzanie przez Spółkę Windykacyjną danych osobowych Skarżącej nie znajduje zatem uzasadnienia w przepisie art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych.
Wobec zarzutów Spółki, powtórzyć należy, że w opinii Generalnego Inspektora przetwarzanie przez Spółkę Windykacyjną danych osobowych Skarżącej nie znajduje podstaw także w pozostałych przesłankach wymienionych w art. 23 ust. 1 ustawy o ochronie danych osobowych. Z ustalonych okoliczności faktycznych niniejszej sprawy wynika bowiem, że Spółka Windykacyjna przetwarza dane osobowe Skarżącej wyłącznie w związku z zawarciem ze Spółką Inną umowy przelewu wierzytelności, natomiast sama Skarżąca nie zawierała ze Spółką Windykacyjną żadnej umowy (art. 23 ust. 1 pkt 3 ustawy), jak też nie wyrażała zgody na przetwarzanie przez nią jej danych (art. 23 ust. 1 pkt 1). Wbrew temu co twierdzi Spółka, nie można także uznać, iż Spółka Windykacyjna przetwarza te dane w prawnie usprawiedliwionym celu, o którym mowa w art. 23 ust. 1 pkt 5 ustawy. Przez prawnie usprawiedliwiony cel rozumie się bowiem, jak stanowi art. 23 ust. 4 pkt 2 ustawy, m.in. dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. Natomiast, jak już wyżej wskazano, w świetle treści art. 33a Prawa przewozowego jedynie Zarząd Dróg i Komunikacji uprawniony był do ewentualnego zawarcia ze Spółką Windykacyjną umowy dotyczącej dochodzenia zapłaty od pasażerów (ewentualnie podmiot, który zostanie przez Zarząd upoważniony do prowadzenia windykacji należności).
W konsekwencji, trafnie przyjęto w zaskarżonej decyzji, iż Spółka Windykacyjna nie posiada tytułu prawnego do przetwarzania danych osobowych Skarżącej i zasadne było wydanie nakazu ich usunięcia.
Spółka zaprezentowała także stanowiska, iż zaskarżona decyzja wydana została z naruszeniem art. 18 ust. 1 ustawy o ochronie danych osobowych, ponieważ z przepisu tego wynika, iż warunkiem wydania rozstrzygnięcia przez Generalnego Inspektora jest istnienie stanu nielegalnego przetwarzania danych osobowych, natomiast w opinii Spółki „w omawianym przypadku nie doszło do naruszenia przepisów o ochronie danych osobowych. Przekazanie danych osobowych Pani Q.U. na rzecz Spółki Windykacyjnej (a poprzednio – na rzecz Spółki Innej przez ZDK) zostało dokonane zgodnie z przepisami art. 23 ust. 1 pkt 2 i 5 ustawy o ochronie danych osobowych”.
Zarzut powyższy uznać należy za bezpodstawny, skoro – jak wyżej wskazano, w ocenie Generalnego Inspektora przetwarzanie danych osobowych Skarżącej przez Spółkę nie znajduje podstaw w żadnym z przepisów art. 23 ust. 1 ustawy o ochronie danych osobowych, w tym w szczególności w obowiązujących przepisach prawa, jak też nie jest niezbędne do wypełniania prawnie usprawiedliwionych celów realizowanych przez Spółkę.
Niezależnie od powyższych zarzutów, dotyczących naruszenia przez Generalnego Inspektora przepisów prawa materialnego, Spółka podniosła także, iż zaskarżona decyzja wydana została z uchybieniem przepisów Kodeksu postępowania administracyjnego (zwanego dalej Kpa).
W szczególności Spółka wskazała na „brak podstaw do uzyskania opinii Prezesa UOKIK”. Zarzut ten nie znajduje uzasadnienia w przepisach postępowania administracyjnego.
Zgodnie bowiem z art. 22 ustawy o ochronie danych osobowych, postępowanie w sprawach uregulowanych w niniejszej ustawie prowadzi się według przepisów Kodeksu postępowania administracyjnego, o ile przepisy ustawy nie stanowią inaczej. Przepisy ustawy o ochronie danych nie regulują m.in. kwestii dotyczących postępowania dowodowego, w tym w oparciu o jakie dowody Generalny Inspektor może ustalać stan faktyczny rozstrzyganych przez siebie spraw. W konsekwencji zastosowanie w tym zakresie znajdują przepisy Kpa. Natomiast postępowanie prowadzone przez organ administracji publicznej na podstawie przepisów Kpa oparte jest na zasadzie prawdy obiektywnej, którą wyraża przepis art. 7 tej ustawy. Stosownie do niego, w toku postępowania organy administracji publicznej stoją na straży praworządności i podejmują wszelkie kroki niezbędne do dokładnego wyjaśnienia stanu faktycznego oraz do załatwienia sprawy, mając na względzie interes społeczny i słuszny interes obywateli. Realizację zasady prawdy obiektywnej zapewniają przede wszystkim gwarancje zawarte w przepisach regulujących postępowanie dowodowe. W szczególności, w myśl art. 77 § 1 Kpa, organ administracji publicznej jest obowiązany w sposób wyczerpujący zebrać i rozpatrzyć cały materiał dowodowy.
W świetle powołanych przepisów, na organie spoczywa zatem obowiązek podjęcia „wszelkich” czynności mających na celu zebranie całego materiału dowodowego. Przy czym - stosownie do przepisu art. 75 § 1 Kpa - jako dowód należy dopuścić wszystko, co może przyczynić się do wyjaśnienia sprawy, a nie jest sprzeczne z prawem. W szczególności dowodem mogą być dokumenty, zeznania świadków, opinie biegłych oraz oględziny. Podkreślić w tym miejscu należy, że w doktrynie dominuje pogląd, iż art. 75 § 1 Kpa nie zawiera zamkniętego katalogu środków dowodowych, lecz że jest to jedynie wyliczenie przykładowe, na co wskazuje zwrot „w szczególności” (tak M. Jaśkowska, A. Wróbel, Kodeks postępowania administracyjnego, Komentarz, Zakamycze 2000, s. 442 i n., M. Szubiakowski, M. Wierzbowski, A. Wiktorowska, Postępowanie administracyjne – ogólne, podatkowe i egzekucyjne, 4 wydanie, C.H. Beck, s. 107 i n., B. Adamiak, J. Borkowski, Polskie postępowanie administracyjne i sądowoadministracyjne, wyd. II, s. 147 i n.). W konsekwencji, w postępowaniu administracyjnym dopuszczalne są środki dowodowe tzw. nienazwane, jeżeli mogą się przyczynić do wykrycia prawdy obiektywnej, a nie są sprzeczne z prawem (ibidem). Jako przykład wskazuje się opinie instytutów naukowych, czy naukowo – badawczych.
W toku postępowania wyjaśniającego w tej sprawie Spółka prezentowała stanowisko, iż działania, na skutek których pozyskała dane osobowe podróżujących środkami komunikacji miejskiej w Mieście T były zgodne z obowiązującymi przepisami prawa. Generalny Inspektor odmiennie oceniał powyższe, niemniej – wobec tego, iż spoczywał na nim ciężar dowodu – dla usunięcia wszelkich wątpliwości i uniknięcia zarzutów o arbitralności swoich rozstrzygnięć – postanowił przed rozstrzygnięciem sprawy poznać stanowisko Urzędu Ochrony Konkurencji i Konsumentów. Z przepisów ustawy z dnia 15 grudnia 2000 r. o ochronie konkurencji i konsumentów (Dz. U. z 2003 r. Nr 86, poz. 804 z późn. zm.) wynika bowiem, że Prezes tego Urzędu podejmuje różnego rodzaju działania, dotyczące ochrony konsumentów – a do tej kategorii podmiotów należy Skarżąca. W świetle przepisów Kpa, dopuszczalne było zatem zwrócenie się przez Generalnego Inspektora do UOKIK, miało bowiem ono na celu wszechstronne wyjaśnienie okoliczności sprawy, jak też zgodne było z przepisem art. 75 § 1 Kpa.
Nie można zgodzić się także z poglądem Spółki, iż nie posiada wiedzy na temat decyzji wydanych w niniejszej sprawie wobec Zarządu Dróg i Komunikacji „i/lub Spółki Innej”, a „zarzuty i stwierdzenia podniesione przez GIODO w tej decyzji, jak również same obowiązki nałożone na jej adresata mogły mieć ewentualnie wpływ na rozstrzygnięcie dokonane w Decyzji – w tej sytuacji, brak znajomości tych zarzutów nie dawałby Spółce Windykacyjnej możliwości odniesienia się w sposób kompleksowy do stanowiska przyjętego przez GIODO wobec przetwarzania przez różne podmioty (w tym Spółki Innej, będącego poprzednikiem prawnym Spółki Windykacyjnej) danych osobowych osób korzystających z przejazdów komunikacją miejską w Mieście T”. W piśmie przesłanym już po wniesieniu rozpatrywanego wniosku o ponowne rozpatrzenie sprawy Spółka zgłosiła także żądanie doręczenia jej decyzji wydanej w niniejszej sprawie wobec Zarządu Dróg i Komunikacji.
Powyższe stanowisko Spółki uznać należy za bezzasadne. Decyzje, jakie zostały wydane w niniejszej sprawie wobec Spółki Windykacyjnej oraz Zarządu i Dróg i Komunikacji objęte są bowiem jednymi aktami postępowania. Spółka, w ramach realizacji uprawnień strony przewidzianych w art. 10 i 73 Kpa mogła zapoznawać się z wynikami postępowania wyjaśniającego prowadzonego w tej sprawie, była też na bieżąco w sposób prawidłowy informowana przez Generalnego Inspektora o prawie wglądu do akt. W konsekwencji, Spółka posiadała wiedzę (a przynajmniej mogła ja mieć) co wydania w tej sprawie przez Generalnego Inspektora rozstrzygnięcia także wobec Zarządu, jak też mogła zapoznać się z jego treścią. Natomiast wydanie niniejszej decyzji, łącznie rozstrzygającej o wnioskach o ponowne rozpatrzenie sprawy złożonych przez Zarządu i Spółkę, znajduje uzasadnienie w przepisach prawa. Z przepisów Kodeksu postępowania administracyjnego, regulujących postępowanie odwoławcze, które znajdują zastosowanie w tej sprawie w zw. z art. 127 § 3 i art. 21 ust. 1 ustawy o ochronie danych osobowych, wynika bowiem, że organ administracji publicznej, do którego wpłynęło odwołanie choćby od jednej ze stron decyzji administracyjnej, obowiązany jest ponownie rozpatrzyć całą sprawę. Prawidłowe zatem będzie sformułowanie w niniejszej decyzji obowiązku nałożonego na Zarząd Dróg i Komunikacji, jak i odpowiadającego mu nakazu dotyczącego usunięcia przez Spółkę danych osobowych Pani Q.U.
W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Decyzja jest ostateczna. Na podstawie art. 21 ust. 2 ustawy o ochronie danych osobowych, w związku z art. 53 § 1 i art. 54 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270), od niniejszej decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia doręczenia niniejszej decyzji, za pośrednictwem Generalnego Inspektora Ochrony Danych Osobowych (na adres: ul. Stawki 2, 00 – 193 Warszawa).
