>Decyzje Giodo>2004 >

(dotyczy legalności przetwarzania danych Skarżącej pozyskanych w trakcie kontroli biletów w środkach komunikacji miejskiej przez Zleceniobiorcę oraz Spółkę, której dane te Zleceniobiorca przekazał)

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2000 r., Nr 98 poz. 1071 z późn. zm.) oraz art. 12 pkt 2 i art. 18 ust. 1 pkt 1 i 5 w zw. z art. 23 ust. 1 pkt 2 oraz art. 31 i art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926) oraz art. 33 a ustawy z dnia 15 listopada 1984 r. Prawo przewozowe (Dz. U. z 2000 r. Nr 50, poz. 601 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi na przetwarzanie danych osobowych Skarżącej przez Zarząd Dróg i Komunikacji z siedzibą we Wrocławiu przy ul. Długiej 49 oraz przez Zleceniobiorcę (Sp. z o.o.) i Spółkę (spółkę jawną, przekształconą w sp. z o.o.).

nakazuję Zarządowi Dróg i Komunikacji z siedzibą we Wrocławiu przy ul. Długiej 49, jako administratorowi danych osobowych pozyskanych od podróżnych podczas kontroli biletowej w środkach komunikacji zbiorowej, w tym danych osobowych Skarżącej, przywrócenie stanu zgodnego z prawem w procesie przetwarzania tych danych, poprzez:
1)    określenie celu i zakresu danych osobowych, które przetwarzane są przez  Zleceniobiorcę w związku z wykonywaniem zawartej w dniu 23 lutego 1998 r. pomiędzy Zarządem Dróg i Komunikacji (zleceniodawcą) a Zleceniobiorcą (Sp. z o.o.) „Umowy Nr 2/MPK/98” w sprawie prowadzenia zorganizowanej kontroli biletowej w środkach komunikacji zbiorowej we Wrocławiu, stosownie do art. 31 ustawy o ochronie danych osobowych;
2)    podjęcie stosownych środków technicznych i organizacyjnych w celu należytego zabezpieczenia danych osobowych podróżnych, w tym danych Skarżącej, przed ich udostępnianiem osobom nieupoważnionym.    

Uzasadnienie

Do Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga w sprawie przetwarzania danych osobowych Skarżącej przez Zarząd Dróg i Komunikacji z siedzibą we Wrocławiu przy ul. Długiej 49, zwany dalej Zarządem, oraz przez Zleceniobiorcę i Spółkę (jawną, przekształconą w sp. z o.o.).
Ze skargi i innych materiałów, które przysłała Skarżąca wynika, że podczas przejazdu tramwajem we Wrocławiu, w dniu 23 marca 1998 r., została skontrolowana przez pracownika Zleceniobiorcy co do posiadania ważnego biletu. Ponieważ biletu takiego nie posiadała, a jednocześnie odmówiła zapłacenia należności z tego tytułu,
z okazanego przez nią dokumentu tożsamości kontroler Zleceniobiorcy spisał jej dane osobowe, w zakresie co najmniej imienia, nazwiska oraz adresu zamieszkania. Po jakimś czasie Skarżąca otrzymała od Zleceniobiorcy wezwanie do uiszczenia tzw. opłaty dodatkowej, na które nie odpowiedziała, po czym odebrała pismo tej spółki z informacją,
iż wierzytelność „z tytułu przejazdu bez ważnego biletu (mandat nr 7104/19980323 z dnia 98-03-23)” została zbyta na rzecz Spółki (spółki jawnej). Następnie Skarżąca otrzymała od Spółki wezwanie do zapłaty „długu wynikającego z niezapłaconych mandatów za przejazd bez ważnego biletu”, w którego treści wskazano także, iż „od dnia 02-07-25 jest Pani dłużnikiem naszej firmy i poniższa należność winna być zaspokojona na rzecz Spółki”. Jednocześnie, na odwrocie tego wezwania do zapłaty zamieszczona została informacja o tym, że „na mocy umowy o przelew wierzytelności z dnia 02-07-25 administratorem danych osobowych dłużnika jest Spółka (spółka jawna). Państwa dane pozyskane zostały od Zleceniobiorcy i przetwarzane będą w zakresie wymaganym do dochodzenia wierzytelności
z tytułu nieuregulowanych należności dla Zleceniobiorcy” Skarżąca zakwestionowała legalność takiego przetwarzania jej danych osobowych i wniosła
o nakazanie Zleceniobiorcy i Spółce usunięcia jej danych osobowych,
w szczególności ze względu na to, że nie wyrażała zgody na ich udostępnianie wspólnikom ostatniej z wymienionych spółek. 
Powyższe okoliczności potwierdzone zostały w toku postępowania wyjaśniającego przeprowadzonego w tej sprawie przez Generalnego Inspektora Ochrony Danych Osobowych, zwanego dalej Generalnym Inspektorem. W postępowaniu tym pisemne wyjaśnienia wraz ze stosownymi dokumentami złożyli Dyrektor Zarządu Dróg
i Komunikacji we Wrocławiu z siedzibą przy ul. Długiej 49, Prezydent Wrocławia oraz Zleceniobiorca i wspólnicy Spółki (spółki jawnej). Ponadto, upoważnieni inspektorzy przeprowadzili czynności kontrolne w siedzibie Zleceniobiorcy. Z zebranego w ten sposób materiału dowodowego wynika, że:
1.    Zarząd jest jednostką organizacyjną miasta Wrocławia, utworzoną na podstawie art. 9
ust. 1 ustawy z dnia 8 marca 1990 r. o samorządzie gminnym (Dz. U. z 2001 r. Nr 142, poz. 1591 ze zm.) a jego działalność - jak poinformował Prezydent Wrocławia,  „obejmuje wykonywanie wszelkich zadań i kompetencji związanych z przewozem osób
w ramach wrocławskiej komunikacji zbiorowej”. Zarząd upoważniony został także do zarządzania środkami wrocławskiej komunikacji zbiorowej.
2.    Zleceniobiorca pozyskał dane osobowe Skarżącej w wyniku realizacji umowy  zawartej w dniu 23 lutego 1998 r. między Zleceniobiorcą, zwanym w tej umowie Wykonawcą,
a Zarządem Dróg i Komunikacji we Wrocławiu. Na podstawie tej umowy, nazwanej umową w sprawie prowadzenia zorganizowanej kontroli biletowej w środkach komunikacji zbiorowej we Wrocławiu (Umowa Nr 2/MPK/98), Zarząd „zlecił” Zleceniobiorcy prowadzenie zorganizowanej kontroli biletowej w środkach wrocławskiej komunikacji zbiorowej zarządzanej przez Zarząd (§ 1 ww. umowy), w tym pobieranie opłat za przejazd bez ważnego biletu. Ponadto w umowie tej postanowiono,
że wszelkie opłaty z tytułu nieposiadania przez pasażera ważnego biletu przejazdowego wpływają na konto bankowe Wykonawcy i stanowią jego wynagrodzenie z tytułu prowadzonej kontroli biletowej. W przypadku rozwiązania umowy Wykonawcy przysługuje w trybie postępowania egzekucyjnego prawo do ściągania opłat powstałych
w trakcie obowiązywania umowy (§ 6). Wykonawca zobowiązuje się do prowadzenia dokumentacji dotyczącej spraw związanych z kontrolą biletów ze szczególnym uwzględnieniem dziennych i miesięcznych raportów z miejsca zdarzenia oraz raportów zdawczych. Strony zobowiązują się do regularnego udostępniania dokumentacji, opisanej w ust. 1. 
3.    Zarówno Zarząd, jak i Zleceniobiorca, powołując się na treść § 6 umowy, o której mowa w pkt 2 niniejszej decyzji, prezentują stanowisko, iż administratorem danych osobowych pasażerów, którzy nie uiścili opłat z tytułu przejazdu bez ważnego biletu jest wyłącznie Zleceniobiorca. Zarząd twierdzi, iż dokonał „umownej cesji uprawnień” na rzecz Zleceniobiorcy, a Zleceniobiorca uważa się za dłużnika skontrolowanych pasażerów z tytułu opłat wskazanych w art. 33 a Prawa przewozowego.      
4.    W dniu 25 lipca 2002 r. Zleceniobiorca (występując wówczas pod inną nazwą zawarł ze Spółką (spółką jawną, obecnie przekształconą w spółkę z o.o.) „Umowę cesji wierzytelności”, dotyczącą wierzytelności wobec osób, które dokonały przejazdu bez ważnego biletu środkami komunikacji zarządzanymi przez Zarząd i udostępniła wspólnikom tej spółki dane osobowe tych osób. W wykonaniu tej umowy Zleceniobiorca  przekazał wspólnikom Spółki (spółki jawnej) w szczególności raport z kontroli biletowej dotyczący Skarżącej oraz jej dane osobowe przetwarzane w systemie informatycznym. Aktualnie Zleceniobiorca przetwarza imię, nazwisko oraz adres zamieszkania Skarżącej.  
5.    W toku postępowania prowadzonego w niniejszej sprawie Generalny Inspektor pozyskał opinię Prezesa Urzędu Ochrony Konkurencji i Konsumentów na temat legalności wyżej przedstawionych czynności podejmowanych przez Zleceniobiorcę oraz Spółkę (spółkę jawną, przekształconą w Sp. z o.o.) wobec pasażerów. Na wstępie swoich rozważań Prezes UOKIK stwierdził, iż Zleceniobiorca posiada status „pełnomocnika przedsiębiorstwa przewozowego upoważnionego do kontroli biletów na przejazd środkami komunikacji miejskiej, tj. podmiotu trzeciego, upoważnionego przez usługodawcę do kontroli zgodności zachowań konsumenta z umową przewozową”. Ponadto, w opinii Prezesa UOKIK, zbycie przez przewoźnika jego praw i obowiązków wynikających z umowy przewozu jest niedopuszczalne bez zgody podróżnego – konsumenta, jest bowiem niezgodne z przepisami art. 385³ pkt 5 i art. 385 ¹ § 1 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. Nr 16, poz. 93). W szczególności, Prezes UOKIK stwierdził, że konstruowanie stosunków prawnych w ten sposób, że dokonuje się przekazania praw i obowiązków „bez wiedzy i zgody” kontrahenta – konsumenta „należy zdaniem Urzędu uznać za rażące naruszenie interesu konsumentów i w rezultacie - nie wiążące”.    

Mając na uwadze powyższe ustalenia faktyczne, Generalny Inspektor zważył, co następuje:

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r.
Nr 101, poz. 926), zwana dalej ustawą, określa prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). W szczególności, każda osoba, której dane dotyczą ma prawo do tego, by jej dane osobowe były przetwarzane legalnie oraz należycie chronione przed dostępem do nich osób nieuprawnionych do ich pozyskania. Uprawnieniom tym na gruncie przepisów ustawy odpowiadają konkretne obowiązki po stronie administratora danych. Przy czym, administratorem danych jest organ, instytucja, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3 ust. 1 i 2 ustawy – w tym m.in. komunalna jednostka organizacyjna - decydujące o celach i środkach przetwarzania danych (art. 7 pkt 4 ustawy). Dla legalności procesu przetwarzania danych niezbędne jest w pierwszym rzędzie spełnienie przez administratora jednej z przesłanek określonych w przepisach ustawy. Mając na uwadze charakter danych osobowych, których dotyczy rozpatrywana sprawa, wskazać należy, że przesłanki te wymienione są w przepisie art. 23 ust. 1 ustawy. Stosownie do przepisu art. 23 ust. 1 pkt 2 ustawy, przetwarzanie danych osobowych jest dopuszczalne w szczególności, gdy zezwalają na to przepisy prawa.
Z przepisu tego wynika zatem, że o ile przepisy szczególne regulują przetwarzanie danych osobowych w danej dziedzinie życia społecznego, to podejmowanie na nich jakichkolwiek operacji (np. pozyskiwanie, czy udostępnianie) możliwe jest jedynie na określonych tam warunkach prawnych.
Wobec powyższego wskazać należy, iż przetwarzanie danych osobowych pasażerów w związku z kontrolą biletową w danym środku komunikacji reguluje przepis art. 33a ustawy z dnia 15 listopada 1984 r. Prawo przewozowe (Dz. U. z 2000 r. Nr 50, poz. 601 z późn. zm.).
Przepis ten stanowi, że przewoźnik lub osoba przez niego upoważniona, legitymując się identyfikatorem umieszczonym w widocznym miejscu, może dokonywać kontroli dokumentów przewozu osób lub bagażu (ust. 1). W razie stwierdzenia braku odpowiedniego dokumentu przewozu albo dokumentu uprawniającego do przejazdu bezpłatnego lub ulgowego, przewoźnik lub osoba przez niego upoważniona powinni pobrać właściwą należność i opłatę dodatkową (ust. 3). Przewoźnik lub osoba przez niego upoważniona ma prawo w razie odmowy zapłacenia należności – żądać okazania dokumentu umożliwiającego stwierdzenie tożsamości podróżnego (ust. 4 pkt 1) oraz w razie odmowy zapłacenia należności i niemożności ustalenia tożsamości podróżnego – zwrócić się do funkcjonariusza Policji i innych organów porządkowych, które mają, zgodnie z przepisami prawa, uprawnienia do ustalania tożsamości osób, o podjęcie czynności zmierzających do ustalenia tożsamości podróżnego (ust. 4 pkt 2).
Z powołanego przepisu art. 33a Prawa przewozowego wynika zatem, że uprawnieni do pozyskiwania i dalszego przetwarzania danych osobowych podróżnych są przewoźnik „lub osoba przez niego upoważniona”. W systemie prawa przez „osobę upoważnioną” rozumie się podmiot, który został upoważniony do podejmowania określonych czynności w imieniu
i na rzecz mocodawcy. W doktrynie wskazuje się, że uzyskanie upoważnienia jest skutkiem  dokonania „upoważniającej czynności prawnej”, na które to pojęcie składają się różnego rodzaju „czynności prawne, których istota sprowadza się do umocowania określonego podmiotu do działania z bezpośrednim skutkiem dla upoważniającego, np. pełnomocnictwo, prokura” (tak Encyklopedia Prawa, red. prof. dr hab. Urszula Kalina – Prasznic, Warszawa,
s. 810). Analiza treści art. 33a Prawa przewozowego prowadzi zatem do wniosku, że o ile przewoźnik powierzy wykonywanie czynności związanych z kontrolą biletową osobie trzeciej, to – w zakresie umocowania - działa ona każdorazowo na jego rzecz.
W szczególności dotyczy to pozyskiwania danych osobowych pasażerów podczas kontroli
i dalszego ich przetwarzania w związku z dochodzeniem należności z tytułu opłat za przejazd bez ważnego biletu. Z takiego ukształtowania przez ustawodawcę relacji między przewoźnikiem a podmiotem, który zostaje przez niego upoważniony do prowadzenia kontroli biletowej, wynika zatem, iż decyzje o calach i środkach przetwarzania danych osobowych pasażerów w każdym przypadku należą wyłącznie do przewoźnika.
W konsekwencji, status administratora danych pasażerów zawsze przysługiwał będzie przewoźnikowi. Podkreślić przy tym należy, że przepis art. 33a Prawa przewozowego ma charakter bezwzględnie obowiązujący, wobec czego niedopuszczalne jest odmienne ukształtowanie ww. spraw w drodze umowy między przewoźnikiem a osobą trzecią.
W ten sam sposób przepis art. 33 a Prawa przewozowego interpretuje Urząd Ochrony Konkurencji i Konsumentów. W opinii, którą Prezes tego urzędu przedstawił
w niniejszej sprawie, Zleceniobiorca jest „pełnomocnikiem przedsiębiorstwa przewozowego” i „podmiotem trzecim upoważnionym przez usługodawcę do kontroli zgodności zachowań konsumenta z umową przewozową”.
Odnosząc powyższe uwagi do okoliczności rozpatrywanej sprawy stwierdzić zatem należy, że to Zarząd jest administratorem danych osobowych Skarżącej, jak też danych innych pasażerów pozyskanych przez kontrolerów Zleceniobiorcy podczas kontroli biletowej w środkach komunikacji zarządzanych przez Zarząd. W świetle wyjaśnień złożonych w tej sprawie przez Prezydenta Wrocławia nie budzi bowiem wątpliwości,
że Zarząd jest komunalną jednostką organizacyjną, utworzoną przez miasto Wrocław na podstawie art. 9 ust. 1 powołanej wyżej ustawy o samorządzie gminnym, której powierzona została realizacja zadań z zakresu lokalnego transportu zbiorowego. W szczególności, jak wskazał Prezydent Wrocławia, działalność Zarządu „obejmuje wykonywanie wszelkich zadań i kompetencji związanych z przewozem osób w ramach wrocławskiej komunikacji zbiorowej”. Wyrazem posiadania uprawnień do dokonywania wszelkich czynności związanych z zarządzaniem środkami komunikacji zbiorowej we Wrocławiu było zawarcie
ze Zleceniobiorcą umowy w sprawie prowadzenia zorganizowanej kontroli biletowej
w środkach komunikacji zbiorowej we Wrocławiu.         
    Jak już wyżej wskazano, zarówno Zarząd, jak i Zleceniobiorca, powołując się na treść § 6 umowy, o której mowa w pkt 2 niniejszej decyzji, prezentują stanowisko,
iż administratorem przedmiotowych danych osobowych pasażerów jest wyłącznie Zleceniobiorca. Zarząd twierdzi, iż dokonał „umownej cesji uprawnień” na rzecz
Zleceniobiorcy, a Zleceniobiorca uważa się za dłużnika skontrolowanych pasażerów z tytułu opłat wskazanych w art. 33 a Prawa przewozowego. Jednocześnie, również wyniki kontroli przeprowadzonej przez inspektorów w siedzibie Zleceniobiorcy wskazują, iż to ta spółka prowadzi i przechowuje dokumentację dotyczącą kontroli biletowych, zawierającą dane osobowe podróżnych, w celu uzyskania od nich zapłaty za przejazd bez biletu.
Odnosząc się do powyższego, podkreślić należy, iż w sytuacji, gdy istnieją szczególne przepisy prawa regulujące przetwarzanie danych w danej dziedzinie życia społecznego, to o tym, jakiemu podmiotowi przysługuje przymiot administratora tych danych, rozstrzygać powinna przede wszystkim treść tych przepisów. Taki też pogląd wyraził Prezes Naczelnego Sądu Administracyjnego, Pan Roman Hauser, który w artykule
pt. „Przetwarzanie danych osobowych: cel i środki” stwierdził, m.in. że o tym czy dany organ, jednostka organizacyjna albo innego rodzaju podmiot jest administratorem danych osobowych, decyduje przede wszystkim rodzaj i charakter nadanych im przez prawo kompetencji. Do uznania danego podmiotu za administratora danych potrzebna jest zawsze analiza konkretnych przepisów mających zastosowanie w określonej sytuacji, dokonywana często wedle skomplikowanych reguł interpretacji tekstu prawnego („Rzeczpospolita” z dnia 6 kwietnia 1999 r.). Również Naczelny Sąd Administracyjny, w wyroku z dnia 30 stycznia 2002 r. (sygn. akt II S.A. 1098/2001), uznał, iż „administratorem danych osobowych nie jest każdy dysponent tych danych, a tylko ten, kto decyduje o celach i środkach ich przetwarzania”. W uzasadnieniu tego wyroku, Naczelny Sąd Administracyjny, odnosząc się do argumentów strony skarżącej, wskazał m.in. iż „ nie można podzielić zarzutu skarżącej, że za administratora danych należy uznać każdego dysponenta danych, gdyż inaczej pewne sfery ochrony danych osobowych znalazłyby się poza ochroną prawną. Sfera ochrony dotyczy bowiem nie tylko tych działań, które są dokonywane na podstawie ustawy o ochronie danych osobowych. W grę wchodzi także ochrona np. na podstawie przepisów o zwalczaniu nieuczciwej konkurencji, ochrona cywilnoprawna, ochrona karna itp. Dlatego też m.in. Sąd Najwyższy w postanowieniu z dnia 11 grudnia 2000 r. II KKN 438/2000 OSNKW 2001/3-4, poz. 33 rozróżnił administratora i administrującego danymi osobowymi. Za administratora uznał jedynie ten podmiot, który decyduje o celach i środkach przetwarzania danych (art. 7 pkt 4 ustawy), natomiast administrującym jest taki podmiot, który zarządza, zawiaduje zbiorem  danych lub danymi. (...) Administratorem nie jest więc każdy dysponent danych osobowych”. W konsekwencji, stwierdzić zatem trzeba, że faktyczne decydowanie
o celach i środkach przetwarzania danych przez dany podmiot może rozstrzygać o posiadaniu przez niego statusu administratora danych jedynie w tych sytuacjach, gdy nie ma przepisów szczególnych, z których wynika co innego.
W świetle powyższego, stwierdzić należy, iż pogląd, zgodnie z którym, to Zleceniobiorca jest administratorem danych osobowych Skarżącej, jak też innych pasażerów, jest sprzeczny z bezwzględnie obowiązującym przepisem art. 33 a Prawa przewozowego. Jak już bowiem wskazano, z przepisu tego wynika, że w każdym przypadku skutki prawne działań podejmowanych przez pracowników firm, które dokonują kontroli biletowej za zgodą i wiedzą przewoźnika powstają bezpośrednio w sferze prawnej z jednej strony - przewoźnika, a z drugiej – podróżnego. Nie jest zatem dopuszczalne zawarcie przez przewoźnika umowy, na podstawie której nastąpiłaby sukcesja prawna na rzecz firmy kontrolującej bilety, bowiem przewoźnik może jedynie upoważnić ją do działania w swoim imieniu. W konsekwencji, wszelkie umowy między przewoźnikami a firmami kontrolującymi bilety muszą być rozumiane jako dotyczące powierzenia wykonywania czynności w imieniu przewoźnika. W opinii Generalnego Inspektora, w zakresie dotyczącym przetwarzania danych osobowych pasażerów, przepis art. 33 a Prawa przewozowego daje podstawę do zawarcia między przewoźnikiem a firmą kontrolującą jedynie umowy powierzenia przetwarzania danych osobowych, o której mowa w art. 31 ustawy o ochronie danych osobowych.
Zgodnie z tym przepisem, administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych (art. 31 ust. 1 ustawy). Podmiot, o którym mowa w ust. 1 może przetwarzać dane wyłącznie w zakresie i celu określonym w umowie (art. 31 ust. 2 ustawy). Podmiot, o którym mowa w ust. 1 jest obowiązany przed rozpoczęciem przetwarzania danych do podjęcia środków zabezpieczających zbiór danych, o których mowa w art. 36 – 39 ustawy (ust. 3).
W przypadkach, o których mowa w ust. 1 – 3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową (ust. 4).
W świetle powyższego, umowę, zawartą między Zarządem a Zleceniobiorcą, w sprawie prowadzenia zorganizowanej kontroli biletowej w środkach komunikacji zbiorowej we Wrocławiu należy uznać za umowę powierzenia określoną w art. 31 ustawy. Mając na uwadze treść tej umowy i powołany art. 31 ust. 2 ustawy, podkreślenia wymaga, iż niezbędne jest niezwłoczne wprowadzenie do niej postanowienia, które określi, w jakim zakresie i celu Zarząd powierzył Zleceniobiorcy przetwarzanie danych osobowych pasażerów.
Niezależnie od powyższego wskazać należy, że administrator danych odpowiada nie tylko za legalność przetwarzania danych osobowych, ale także za zapewnienie odpowiednich warunków (technicznych i organizacyjnych) w celu zapewnienia danym należytej ochrony,
w tym uniemożliwienia do nich dostępu osobom nieupoważnionym. Zgodnie bowiem
z przepisem art. 36 ustawy, administrator danych jest obowiązany do zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, a w szczególności powinien zabezpieczyć przetwarzane dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem
z naruszeniem ustawy, zmianą, utratą, uszkodzeniem lub zniszczeniem.
W odniesieniu do powyższego, wskazać należy, że ze stanu faktycznego niniejszej sprawy wynika, iż dane osobowe Skarżącej, jak też dane innych pasażerów, którzy nie uiścili opłaty dodatkowej, zostały udostępnione Spółce (jawnej, przekształconej w Sp. z o.o.), co świadczy o nienależytym ich zabezpieczeniu przez Zarząd. Nie można bowiem przyjąć, że Spółka (jawna, przekształcona w z o.o.) była upoważniona do pozyskania danych osobowych podróżnych, w tym danych Skarżącej, a co zatem idzie, że jest ich administratorem, skoro – jak już wyżej wskazano - Zleceniobiorca, który dane te udostępnił, statusu tego nie posiadał. Powyższy wniosek opiera się na  obowiązującej w systemie prawa zasadzie, iż nikt nie może przekazać drugiemu więcej praw, niż sam posiada (nemo in alium transferre potest quam ipse habet). Jedynie Zarząd, jako posiadający atrybuty administratora danych z mocy art.. 33 a Prawa przewozowego uprawniony był do podjęcia czynności mających na celu uzyskanie od pasażerów, w tym Skarżącej, zapłaty należności za przejazd bez ważnego biletu.
W świetle powyższego, niezbędne jest przywrócenie przez Zarząd Dróg
i Komunikacji stanu zgodnego z prawem w procesie przetwarzania danych osobowych Skarżącej. Podkreślić przy tym należy, że brak jest w niniejszej sprawie podstaw prawnych do wydania przez Generalnego Inspektora decyzji wobec samego Zleceniobircy, nakazującej usunięcie danych osobowych Skarżącej. Z przepisu art. 18 ustawy o ochronie danych osobowych wynika bowiem, że Generalny Inspektor wydaje decyzje administracyjne jedynie wobec administratorów danych, natomiast, jak wyżej wskazano, status taki nie przysługuje Zleceniobiorcy.
 
W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji. 

Decyzja jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych strona niezadowolona z niniejszej decyzji może zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych (adres: ul. Stawki 2, 00 – 193 Warszawa)
z wnioskiem o ponowne rozpatrzenie sprawy, w terminie 14 dni od daty doręczenia niniejszej decyzji.