>Decyzje Giodo>2004 >

Warszawa, dnia 13 lutego 2004 r.

(dotyczy usunięcia danych osobowych Skarżącej, uzyskanych przez Spółkę od Zleceniobiorcy, który  pozyskał je w trakcie kontroli biletów w środkach komunikacji miejskiej)

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2000 r., Nr 98 poz. 1071 z późn. zm.) oraz art. 12 pkt 2 i art. 18 ust. 1 pkt 6 w zw. z art. 23 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926) i art. 33 a ustawy z dnia 15 listopada 1984 r. Prawo przewozowe (Dz. U. z 2000 r. Nr 50, poz. 601 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi na przetwarzanie  danych osobowych Skarżącej przez Zarząd Dróg i Komunikacji z siedzibą we Wrocławiu przy ul. Długiej 49 oraz przez Zleceniobiorcę i Spółkę (Sp. z o.o.)

nakazuję Spółce (Sp. z o.o.) usunięcie z prowadzonego zbioru danych, danych osobowych Skarżącej z powodu ich przetwarzania bez podstawy prawnej.   

Uzasadnienie

Do Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga w sprawie przetwarzania danych osobowych Skarżącej przez Zarząd Dróg i Komunikacji z siedzibą we Wrocławiu przy ul. Długiej 49 oraz przez Zleceniobiorcę (Sp. z o.o.) i przez Spółkę (jawną, przekształconą później w Sp. z o.o.).Ze skargi i innych materiałów, które przysłała Skarżąca wynika, że podczas przejazdu tramwajem we Wrocławiu, w dniu 23 marca 1998 r., została skontrolowana przez pracownika Zleceniobiorcy co do posiadania ważnego biletu. Ponieważ biletu takiego nie posiadała, a jednocześnie odmówiła zapłacenia należności z tego tytułu, z okazanego przez nią dokumentu tożsamości kontroler Zleceniobiorcy spisał jej dane osobowe, w zakresie co najmniej imienia, nazwiska oraz adresu zamieszkania. Po jakimś czasie Skarżąca otrzymała od Zleceniobiorcy wezwanie do uiszczenia tzw. opłaty dodatkowej, na które nie odpowiedziała, po czym odebrała pismo tej spółki z informacją, iż wierzytelność „z tytułu przejazdu bez ważnego biletu (mandat nr 7104/19980323 z dnia 98-03-23)” została zbyta na rzecz Spółki (spółki jawnej). Następnie Skarżąca otrzymała od spółki jawnej wezwanie do zapłaty „długu wynikającego z niezapłaconych mandatów za przejazd bez ważnego biletu”, w którego treści wskazano także, iż „od dnia 02-07-25 jest Pani dłużnikiem naszej firmy i poniższa należność winna być zaspokojona na rzecz spółki jawnej”. Jednocześnie, na odwrocie tego wezwania do zapłaty zamieszczona została informacja o tym, że „na mocy umowy o przelew wierzytelności z dnia 02-07-25 administratorem danych osobowych dłużnika jest spółka jawna z siedzibą (...). Państwa dane pozyskane zostały od Zleceniobiorcy i przetwarzane będą w zakresie wymaganym do dochodzenia wierzytelności z tytułu nieuregulowanych należności dla Zleceniobiorcy.” Skarżąca zakwestionowała legalność takiego przetwarzania jej danych osobowych i wniosła o nakazanie Zleceniobiorcy i Spółce usunięcia jej danych osobowych, w szczególności ze względu na to, że nie wyrażała zgody na ich udostępnianie wspólnikom ostatniej z wymienionych spółek. 
Powyższe okoliczności potwierdzone zostały w toku postępowania wyjaśniającego przeprowadzonego w tej sprawie przez Generalnego Inspektora Ochrony Danych Osobowych, zwanego dalej Generalnym Inspektorem. W postępowaniu tym pisemne wyjaśnienia wraz ze stosownymi dokumentami złożyli Dyrektor Zarządu Dróg i Komunikacji we Wrocławiu z siedzibą przy ul. Długiej 49, Prezydent Wrocławia, jak też  Zleceniobiorca i wspólnicy spółki jawnej. Ponadto, upoważnieni inspektorzy przeprowadzili czynności kontrolne w siedzibie Spółki (spółki jawnej).
Z zebranego w ten sposób materiału dowodowego wynika, że:
1.    Zarząd Dróg i Komunikacji jest jednostką organizacyjną miasta Wrocławia, utworzoną na podstawie art. 9 ust. 1 ustawy z dnia 8 marca 1990 r. o samorządzie gminnym (Dz. U. z 2001 r. Nr 142, poz. 1591 ze zm.) a jego działalność - jak poinformował Prezydent Wrocławia,  „obejmuje wykonywanie wszelkich zadań i kompetencji związanych z przewozem osób w ramach wrocławskiej komunikacji zbiorowej”. Zarząd upoważniony został także do zarządzania środkami wrocławskiej komunikacji zbiorowej.
2.    Zleceniobiorca pozyskał dane osobowe Skarżącej w wyniku realizacji umowy  zawartej w dniu 23 lutego 1998 r. między Zleceniobiorcą, zwanym w tej umowie Wykonawcą, a Zarządem Dróg i Komunikacji we Wrocławiu. Na podstawie tej umowy, nazwanej umową w sprawie prowadzenia zorganizowanej kontroli biletowej w środkach komunikacji zbiorowej we Wrocławiu (Umowa Nr 2/MPK/98), Zarząd „zlecił” Zleceniobiorcy prowadzenie zorganizowanej kontroli biletowej w środkach wrocławskiej komunikacji zbiorowej zarządzanej przez Zarząd (§ 1 ww. umowy), w tym pobieranie opłat za przejazd bez ważnego biletu. Ponadto w umowie tej postanowiono, że wszelkie opłaty z tytułu nie posiadania przez pasażera ważnego biletu przejazdowego wpływają na konto bankowe Wykonawcy i stanowią jego wynagrodzenie z tytułu prowadzonej kontroli biletowej. W przypadku rozwiązania umowy Wykonawcy przysługuje w trybie postępowania egzekucyjnego prawo do ściągania opłat powstałych w trakcie obowiązywania umowy (§ 6). Wykonawca zobowiązuje się do prowadzenia dokumentacji dotyczącej spraw związanych z kontrolą biletów ze szczególnym uwzględnieniem dziennych i miesięcznych raportów z miejsca zdarzenia oraz raportów zdawczych. Strony zobowiązują się do regularnego udostępniania dokumentacji, opisanej w ust. 1 (§ 8). 
3.    Zarówno Zarząd Dróg i Komunikacji, jak i Zleceniobiorca, powołując się na treść § 6 umowy, o której mowa w pkt 2 niniejszej decyzji, prezentują stanowisko, iż administratorem danych osobowych pasażerów, którzy nie uiścili opłat z tytułu przejazdu bez ważnego biletu jest wyłącznie Zleceniobiorca. Zarząd twierdzi, iż dokonał „umownej cesji uprawnień” na rzecz Zleceniobiorcy, a Zleceniobiorca uważa się za dłużnika skontrolowanych pasażerów z tytułu opłat wskazanych w art. 33 a Prawa przewozowego.      
4.    W dniu 25 lipca 2002 r. Zleceniobiorca (występując wówczas pod inną nazwą zawarł ze Spółką (spółką jawną, obecnie sp. z o.o.) „Umowę cesji wierzytelności”, dotyczącą wierzytelności wobec osób, które dokonały przejazdu bez ważnego biletu środkami komunikacji zarządzanymi przez Zarząd i udostępniła wspólnikom tej spółki dane osobowe tych osób. W wykonaniu tej umowy CSG Polska Sp. z o.o. przekazała wspólnikom spółki jawnej w szczególności raport z kontroli biletowej dotyczący Skarżącej oraz jej dane osobowe przetwarzane w systemie informatycznym. Aktualnie Zleceniobiorca przetwarza imię, nazwisko oraz adres zamieszkania Skarżącej.  
5.    W toku postępowania prowadzonego w niniejszej sprawie Generalny Inspektor pozyskał opinię Prezesa Urzędu Ochrony Konkurencji i Konsumentów na temat legalności wyżej przedstawionych czynności podejmowanych przez Zleceniobiorcę oraz Spółkę Sp. z o.o. wobec pasażerów. Na wstępie swoich rozważań Prezes UOKIK stwierdził, iż Zleceniobiorca posiada status „pełnomocnika przedsiębiorstwa przewozowego upoważnionego do kontroli biletów na przejazd środkami komunikacji miejskiej, tj. podmiotu trzeciego, upoważnionego przez usługodawcę do kontroli zgodności zachowań konsumenta z umową przewozową”. Ponadto, w opinii Prezesa UOKIK, zbycie przez przewoźnika jego praw i obowiązków wynikających z umowy przewozu jest niedopuszczalne bez zgody podróżnego – konsumenta, jest bowiem niezgodne z przepisami art. 385³ pkt 5 i art. 385 ¹ § 1 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. Nr 16, poz. 93). W szczególności, Prezes UOKIK stwierdził,
że konstruowanie stosunków prawnych w ten sposób, że dokonuje się przekazania praw i obowiązków „bez wiedzy i zgody” kontrahenta – konsumenta „należy zdaniem Urzędu uznać za rażące naruszenie interesu konsumentów i w rezultacie - nie wiążące”.    

Mając na uwadze powyższe ustalenia faktyczne, Generalny Inspektor zważył, co następuje:

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r.
Nr 101, poz. 926), zwana dalej ustawą, określa prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). W szczególności, każda osoba, której dane dotyczą ma prawo do tego, by jej dane osobowe były przetwarzane legalnie oraz należycie chronione przed dostępem do nich osób nieuprawnionych do ich pozyskania. Uprawnieniom tym na gruncie przepisów ustawy odpowiadają konkretne obowiązki po stronie administratora danych. Przy czym, administratorem danych jest organ, instytucja, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3 ust. 1 i 2 ustawy – w tym m.in. komunalna jednostka organizacyjna - decydujące o celach i środkach przetwarzania danych (art. 7 pkt 4 ustawy). Dla legalności procesu przetwarzania danych niezbędne jest w pierwszym rzędzie spełnienie przez administratora jednej z przesłanek określonych w przepisach ustawy. Mając na uwadze charakter danych osobowych, których dotyczy rozpatrywana sprawa, wskazać należy, że przesłanki te wymienione są w przepisie art. 23 ust. 1 ustawy. Stosownie do przepisu art. 23 ust. 1 pkt 2 ustawy, przetwarzanie danych osobowych jest dopuszczalne w szczególności, gdy zezwalają na to przepisy prawa.
Z przepisu tego wynika zatem, że o ile przepisy szczególne regulują przetwarzanie danych osobowych w danej dziedzinie życia społecznego, to podejmowanie na nich jakichkolwiek operacji (np. pozyskiwanie, czy udostępnianie) możliwe jest jedynie na określonych tam warunkach prawnych.
Wobec powyższego wskazać należy, iż przetwarzanie danych osobowych pasażerów w związku z kontrolą biletową w danym środku komunikacji reguluje przepis art. 33a ustawy z dnia 15 listopada 1984 r. Prawo przewozowe (Dz. U. z 2000 r. Nr 50, poz. 601 z późn. zm.).
Przepis ten stanowi, że przewoźnik lub osoba przez niego upoważniona, legitymując się identyfikatorem umieszczonym w widocznym miejscu, może dokonywać kontroli dokumentów przewozu osób lub bagażu (ust. 1). W razie stwierdzenia braku odpowiedniego dokumentu przewozu albo dokumentu uprawniającego do przejazdu bezpłatnego lub ulgowego, przewoźnik lub osoba przez niego upoważniona powinni pobrać właściwą należność i opłatę dodatkową (ust. 3). Przewoźnik lub osoba przez niego upoważniona ma prawo w razie odmowy zapłacenia należności – żądać okazania dokumentu umożliwiającego stwierdzenie tożsamości podróżnego (ust. 4 pkt 1) oraz w razie odmowy zapłacenia należności i niemożności ustalenia tożsamości podróżnego – zwrócić się do funkcjonariusza Policji i innych organów porządkowych, które mają, zgodnie z przepisami prawa, uprawnienia do ustalania tożsamości osób, o podjęcie czynności zmierzających do ustalenia tożsamości podróżnego (ust. 4 pkt 2).
Z powołanego przepisu art. 33a Prawa przewozowego wynika zatem, że uprawnieni do pozyskiwania i dalszego przetwarzania danych osobowych podróżnych są przewoźnik „lub osoba przez niego upoważniona”. W systemie prawa przez „osobę upoważnioną” rozumie się podmiot, który został upoważniony do podejmowania określonych czynności w imieniu i na rzecz mocodawcy. W doktrynie wskazuje się, że uzyskanie upoważnienia jest skutkiem  dokonania „upoważniającej czynności prawnej”, na które to pojęcie składają się różnego rodzaju „czynności prawne, których istota sprowadza się do umocowania określonego podmiotu do działania z bezpośrednim skutkiem dla upoważniającego, np. pełnomocnictwo, prokura” (tak Encyklopedia Prawa, red. prof. dr hab. Urszula Kalina – Prasznic, Warszawa, s. 810). Analiza treści art. 33a Prawa przewozowego prowadzi zatem do wniosku, że o ile przewoźnik powierzy wykonywanie czynności związanych z kontrolą biletową osobie trzeciej, to – w zakresie umocowania - działa ona każdorazowo na jego rzecz. W szczególności dotyczy to pozyskiwania danych osobowych pasażerów podczas kontroli i dalszego ich przetwarzania w związku z dochodzeniem należności z tytułu opłat za przejazd bez ważnego biletu. Z takiego ukształtowania przez ustawodawcę relacji między przewoźnikiem a podmiotem, który zostaje przez niego upoważniony do prowadzenia kontroli biletowej, wynika zatem, iż decyzje o calach i środkach przetwarzania danych osobowych pasażerów w każdym przypadku należą wyłącznie do przewoźnika.
W konsekwencji, status administratora danych pasażerów zawsze przysługiwał będzie przewoźnikowi. Podkreślić przy tym należy, że przepis art. 33a Prawa przewozowego ma charakter bezwzględnie obowiązujący, wobec czego niedopuszczalne jest odmienne ukształtowanie ww. spraw w drodze umowy między przewoźnikiem a osobą trzecią.
W ten sam sposób przepis art. 33 a Prawa przewozowego interpretuje Urząd Ochrony Konkurencji i Konsumentów. W opinii, którą Prezes tego urzędu przedstawił w niniejszej sprawie, Zleceniobiorca jest „pełnomocnikiem przedsiębiorstwa przewozowego” i „podmiotem trzecim upoważnionym przez usługodawcę do kontroli zgodności zachowań konsumenta z umową przewozową”.
Odnosząc powyższe uwagi do okoliczności rozpatrywanej sprawy stwierdzić zatem należy, że to Zarząd Dróg i Komunikacji jest administratorem danych osobowych Skarżącej, jak też danych innych pasażerów pozyskanych przez kontrolerów Zleceniobiorcy podczas kontroli biletowej w środkach komunikacji zarządzanych przez Zarząd. W świetle wyjaśnień złożonych w tej sprawie przez Prezydenta Wrocławia nie budzi bowiem wątpliwości, że Zarząd jest komunalną jednostką organizacyjną, utworzoną przez miasto Wrocław na podstawie art. 9 ust. 1 powołanej wyżej ustawy o samorządzie gminnym, której powierzona została realizacja zadań z zakresu lokalnego transportu zbiorowego.
W szczególności, jak wskazał Prezydent Wrocławia, działalność Zarządu „obejmuje wykonywanie wszelkich zadań i kompetencji związanych z przewozem osób w ramach wrocławskiej komunikacji zbiorowej”. Wyrazem posiadania uprawnień do dokonywania wszelkich czynności związanych z zarządzaniem środkami komunikacji zbiorowej we Wrocławiu było zawarcie ze Zleceniobiorcą umowy w sprawie prowadzenia zorganizowanej kontroli biletowej w środkach komunikacji zbiorowej we Wrocławiu.         
    Jak już wyżej wskazano, zarówno Zarząd Dróg i Komunikacji, jak i Zleceniobiorca, powołując się na treść § 6 umowy, o której mowa w pkt 2 niniejszej decyzji, prezentują stanowisko, iż administratorem przedmiotowych danych osobowych pasażerów,
w tym danych Skarżącej, jest wyłącznie Zleceniobiorca. Zarząd twierdzi, iż dokonał „umownej cesji uprawnień” na rzecz Zleceniobiorcy, a Zleceniobiorca uważa się za dłużnika skontrolowanych pasażerów z tytułu opłat wskazanych w art. 33 a Prawa przewozowego. Jednocześnie, również wyniki kontroli przeprowadzonej przez inspektorów w siedzibie Zleceniobiorcy wskazują na okoliczność, iż to ta spółka prowadzi i przechowuje dokumentację dotyczącą kontroli biletowych, zawierającą dane osobowe podróżnych, w celu uzyskania od nich zapłaty za przejazd bez biletu.
Odnosząc się do powyższego, podkreślić należy, iż w sytuacji, gdy istnieją szczególne przepisy prawa regulujące przetwarzanie danych w danej dziedzinie życia społecznego, to o tym, jakiemu podmiotowi przysługuje przymiot administratora tych danych, rozstrzygać powinna przede wszystkim treść tych przepisów. Taki też pogląd wyraził Prezes Naczelnego Sądu Administracyjnego, Pan Roman Hauser, który w artykule pt. „Przetwarzanie danych osobowych: cel i środki” stwierdził, m.in. że o tym czy dany organ, jednostka organizacyjna albo innego rodzaju podmiot jest administratorem danych osobowych, decyduje przede wszystkim rodzaj i charakter nadanych im przez prawo kompetencji. Do uznania danego podmiotu za administratora danych potrzebna jest zawsze analiza konkretnych przepisów mających zastosowanie w określonej sytuacji, dokonywana często wedle skomplikowanych reguł interpretacji tekstu prawnego („Rzeczpospolita” z dnia 6 kwietnia 1999 r.). Również Naczelny Sąd Administracyjny, w wyroku z dnia 30 stycznia 2002 r. (sygn. akt II S.A. 1098/2001), uznał, iż „administratorem danych osobowych nie jest każdy dysponent tych danych, a tylko ten, kto decyduje o celach i środkach ich przetwarzania”. W uzasadnieniu tego wyroku, Naczelny Sąd Administracyjny, odnosząc się do argumentów strony skarżącej, wskazał m.in. iż „ nie można podzielić zarzutu skarżącej, że za administratora danych należy uznać każdego dysponenta danych, gdyż inaczej pewne sfery ochrony danych osobowych znalazłyby się poza ochroną prawną. Sfera ochrony dotyczy bowiem nie tylko tych działań, które są dokonywane na podstawie ustawy o ochronie danych osobowych. W grę wchodzi także ochrona np. na podstawie przepisów o zwalczaniu nieuczciwej konkurencji, ochrona cywilnoprawna, ochrona karna itp. Dlatego też m.in. Sąd Najwyższy w postanowieniu z dnia 11 grudnia 2000 r. II KKN 438/2000 OSNKW 2001/3-4, poz. 33 rozróżnił administratora i administrującego danymi osobowymi. Za administratora uznał jedynie ten podmiot, który decyduje o celach i środkach przetwarzania danych (art. 7 pkt 4 ustawy), natomiast administrującym jest taki podmiot, który zarządza, zawiaduje zbiorem  danych lub danymi. (...) Administratorem nie jest więc każdy dysponent danych osobowych”. W konsekwencji, stwierdzić zatem trzeba, że faktyczne decydowanie o celach i środkach przetwarzania danych przez dany podmiot może rozstrzygać o posiadaniu przez niego statusu administratora danych jedynie w tych sytuacjach, gdy nie ma przepisów szczególnych, z których wynika co innego.
W świetle powyższego, stwierdzić należy, iż pogląd, zgodnie z którym, to Zleceniobiorca jest administratorem danych osobowych Skarżącej, jak też innych pasażerów, jest sprzeczny z bezwzględnie obowiązującym przepisem art. 33 a Prawa przewozowego. Jak już bowiem wskazano, z przepisu tego wynika, że w każdym przypadku skutki prawne działań podejmowanych przez pracowników firm, które dokonują kontroli biletowej za zgodą i wiedzą przewoźnika powstają bezpośrednio w sferze prawnej z jednej strony - przewoźnika, a z drugiej – podróżnego. Nie jest zatem dopuszczalne zawarcie przez przewoźnika umowy, na podstawie której nastąpiłaby sukcesja prawna na rzecz firmy kontrolującej bilety, bowiem przewoźnik może jedynie upoważnić ją do działania w swoim imieniu. W konsekwencji, wszelkie umowy między przewoźnikami a firmami kontrolującymi bilety muszą być rozumiane jako dotyczące powierzenia wykonywania czynności w imieniu przewoźnika. W opinii Generalnego Inspektora, w zakresie dotyczącym przetwarzania danych osobowych pasażerów, przepis art. 33 a Prawa przewozowego daje podstawę do zawarcia między przewoźnikiem a firmą kontrolującą jedynie umowy powierzenia przetwarzania danych osobowych, o której mowa w art. 31 ustawy o ochronie danych osobowych. Umowę  zawartą między Zarządem Dróg i Komunikacji a Zleceniobiorcą, w sprawie prowadzenia zorganizowanej kontroli biletowej w środkach komunikacji zbiorowej we Wrocławiu, należy zatem uznać za umowę powierzenia przetwarzania danych, o której mowa w art. 31 ustawy. W konsekwencji, Zleceniobiorca nie posiada statusu administratora danych osobowych pozyskanych od podróżnych, którzy dokonali przejazdu środkiem komunikacji zarządzanym przez Zarząd Dróg i Komunikacji, a jest jedynie podmiotem, któremu powierzono przetwarzanie tych danych, którego pozycję prawną wyznacza art. 31 ustawy o ochronie danych osobowych.   
 Przedstawione stanowisko, oparte na analizie przepisu art. 33 a Prawa przewozowego, ma zasadnicze znaczenie dla rozstrzygnięcia niniejszej sprawy. Skoro bowiem Zleceniobiorca nie jest administratorem danych osobowych Skarżącej, to statusu takiego, poprzez zawarcie umowy w sprawie przelewu wierzytelności, nie mogła uzyskać również Spółka. W systemie prawa obowiązuje bowiem ogólna  zasada, zgodnie z którą, nikt nie może przekazać drugiemu więcej praw, niż sam posiada (nemo in alium transferre potest quam ipse habet). Jedynie Zarząd Dróg i Komunikacji, jako posiadający atrybuty administratora danych na podstawie art. 33 a Prawa przewozowego, uprawniony był do podjęcia czynności mających na celu uzyskanie od pasażerów, w tym Skarżącej, zapłaty należności za przejazd bez ważnego biletu. W konsekwencji stwierdzić należy, że na pozyskanie przez Spółkę z. o.o. danych osobowych Skarżącej od Zleceniobiorcy nie zezwalały przepisy prawa, tj. art. 33a Prawa przewozowego. Przetwarzanie przez Spółkę danych osobowych Skarżącej nie znajduje zatem uzasadnienia w przepisie art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych.
Działanie Spółki nie znajduje także podstaw w pozostałych przesłankach wymienionych w art. 23 ust. 1 ustawy o ochronie danych osobowych.
Z ustalonych okoliczności faktycznych niniejszej sprawy wynika bowiem, że Spółka Sp. z o.o. przetwarza dane osobowe Skarżącej wyłącznie w związku z zawarciem umowy przelewu wierzytelności ze Zleceniobiorcą, natomiast sama Skarżąca nie zawierała ze Spółką żadnej umowy (art. 23 ust. 1 pkt 3 ustawy), jak też nie wyrażała zgody na przetwarzanie przez nią jej danych (art. 23 ust. 1 pkt 1). Nie można także uznać, iż Spółka przetwarza te w prawnie usprawiedliwionym celu, o którym mowa w art. 23 ust. 1 pkt 5 ustawy. Przez prawnie usprawiedliwiony cel rozumie się bowiem, jak stanowi art. 23 ust. 4 pkt 2 ustawy, m.in. dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. Natomiast, jak już wyżej wskazano, w świetle treści art. 33a Prawa przewozowego jedynie Zarząd Dróg i Komunikacji uprawniony był do ewentualnego zawarcia ze Spółką Sp. z o.o. umowy dotyczącej dochodzenia zapłaty od pasażerów.
Konkludując, Spółka Sp. z o.o. nie posiada zatem tytułu prawnego do przetwarzania danych osobowych Skarżącej, wobec czego niezbędne jest wydanie nakazu ich usunięcia z prowadzonego na podstawie przepisów prawa zbioru danych osobowych jej klientów. 
 
W tym stanie faktycznym i prawnym, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji. 


Decyzja jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych strona niezadowolona z niniejszej decyzji może zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych (adres: ul. Stawki 2, 00 – 193 Warszawa)
z wnioskiem o ponowne rozpatrzenie sprawy, w terminie 14 dni od daty doręczenia niniejszej decyzji.