II SA/Wa 3498/02
2009-04-09
orzeczenie prawomocne
WYROK
W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ
Dnia 22 stycznia 2004 r.
Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu na rozprawie w dniu 22 stycznia 2004 r. sprawy ze skargi C. Sp. z o o na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] września 2002 r. nr [...] w przedmiocie ochrony danych osobowych
1. uchyla zaskarżoną decyzję i poprzedzającą ją decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] lipca 2002 nr [....]
2. wstrzymuje wykonanie zaskarżonej decyzji w całości
3. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz C. sp. z. o o kwotę 265 (słownie dwieście sześćdziesiąt pięć) zł tytułem zwrotu kosztów postępowania.
Uzasadnienie:
Stan sprawy przedstawiał się następująco. W dniach [...] listopada 2001 r. inspektorzy upoważnieni przez Generalnego Inspektora Ochrony Danych Osobowych przeprowadzili w P. Spółka z o.o., na podstawie art. 14 ustawy o ochronie danych osobowych kontrolę zgodności przetwarzania danych osobowych z przepisami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2002 r. Nr 101, poz. 926) i rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 80, poz. 521). W toku kontroli odebrano ustne wyjaśnienia od pracowników P., skontrolowano system informatyczny służący do przetwarzania danych, dokonano oględzin pomieszczeń, w których odbywało się przetwarzanie i oględzin dokumentacji umów abonenckich. Sporządzony protokół kontroli został podpisany przez dwóch członków zarządu.
Wynikało z niego, że dane osobowe abonentów A są pozyskiwane na podstawie standardowych formularzy umów o abonament (imię, nazwisko, adres, e-mail, Pesel, tel. prywatny i służbowy i adres do korespondencji) oraz zgodnie z "Procedurą sprzedaży abonamentów B" przez kserokopię z dokumentów, w tym dowodu.
Formularz umowy zawierał klauzulę o wyrażenie zgody na przetwarzanie danych osobowych przez operatora B lub A w związku z tą umową.
Z oględzin wynikało, że kserokopie dokumentów oprócz dowodu zawierają prawo jazdy i paszport.
W związku ze złą jakością usług P. [...] maja 2001 r. zwróciła się do Agencji [...] o zaprzestaniu przez tę Agencję [...] maja 2001 r. sprzedaży usług A.
Ponieważ, Agencja [...] przetwarzała tylko dane w formie papierowej, P. nie zobowiązywała jej do zastosowania środków technicznych i organizacyjnych zapewniających należytą ochronę elektronicznej bazy danych.
Na podstawie wyników kontroli Generalny Inspektor Ochrony Danych Osobowych wszczął 7 marca 2002 r. postępowanie w sprawie uchybień w procesie przetwarzania danych. Wskazał przy tym na pozyskiwanie danych w szerszym zakresie, niż wynikało to z umowy abonenckiej.
W piśmie z 22 marca 2002 r. członek zarządu P. złożył wyjaśnienia; powołując się na zgodę abonentów, która nie musiała być wyrażona na piśmie oraz konieczność zabezpieczenia się przed kradzieżami sprzętu.
W dniu 7 maja 2002 r. przedmiot postępowania został poszerzony w zakresie braku odrębnej zgody na przetwarzanie danych osobowych abonentów w celach marketingowych oraz na przekazywanie ich A Sp. z o.o. oraz osobom trzecim przez P.. Dyrektor Działu [...] P. przesłał w załączeniu do pisma z 17 maja 2002 r. regulamin umowy o abonament oraz formularz umowy o abonament obowiązujące od 1 marca 2002 r., według którego formularz zawiera odrębną klauzulę zgody na przetwarzanie danych w celach marketingowych.
Ponieważ, dotychczasowa Spółka została przejęta przez C. Spółka z o.o., A. stał się stroną postępowania i zapoznał się z materiałem dowodowym.
W dniu [...] lipca 2002 r. Generalny Inspektor Ochrony Danych Osobowych decyzją nr [...] nakazał C. Spółka z o.o. usunięcie uchybień w procesie przetwarzania danych osobowych abonentów poprzez ich przetwarzanie wyłącznie w takim zakresie w jakim jest to niezbędne do zawarcia umowy o abonament i jej wykonywania stosownie do art. 26 ust. 1 pkt 3 ustawy. W pozostałym zakresie postępowanie umorzył. W uzasadnieniu wskazał, że zakres danych utrwalonych w umowie nie odpowiada zakresowi danych uzyskanych w wyniku dokonania kserokopii dokumentów, czym narusza zasadę adekwatności z art. 26 ust. 1 pkt 3 ustawy. Pozyskuje się w ten sposób dane zbędne dla realizacji umowy. W pozostałym zakresie postępowanie umorzono wskutek wprowadzenia nowego formularza umów.
W dniu 19 sierpnia 2002 r. wpłynął wniosek Spółki o ponowne rozpatrzenie sprawy. Zarzucił on GIODO naruszenie art. 7 i 80 kpa i wnosił o uchylenie decyzji. Spółka wskazała przy tym, że wszystkie dane są niezbędną częścią procesu potwierdzenia tożsamości abonentów, co czyni zadość wymogom art. 26 ust. 1 pkt 3 ustawy dokładania należytej staranności w celu ochrony interesów tych osób. Podstawę prawną ich przetwarzania stanowi zaś art. 23 ust. 1 pkt 5 ustawy o ochronie danych.
Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] września 2002 r. [...] podtrzymał swoje poprzednie rozstrzygnięcie. Podkreślił przy tym, że nie jest zasadny zarzut naruszenia art. 7 i 80 kpa, gdyż stan faktyczny został ustalony na podstawie przeprowadzonej w P. kontroli, protokół został w tej mierze przyjęty i nie zgłoszono do niego zastrzeżeń.
GIODO wskazał też, że kserowanie dokumentów stanowi jedynie techniczną czynność pozyskiwania danych, nie są one jednak adekwatne do celu umowy.
W dniu 23 października 2002 r. C. Spółka z o.o. złożyła do Naczelnego Sądu Administracyjnego skargę na tę decyzję żądając jej uchylenia, wstrzymania jej wykonania i zasądzenia kosztów postępowania. Podniosła, że narusza ona art. 7 kpa oraz art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych. Skarżąca podkreśliła też, że podstawą decyzji GIODO był zarzut, że zakres przetwarzanych przez Spółkę danych osobowych objęty umową nie odpowiada zakresowi faktycznego przetwarzania danych, uzyskiwanych przez dokonywanie przy zawieraniu umów kserokopii dowodów osobistych oraz innych dokumentów (paszportu, książeczki wojskowej, książeczki ubezpieczeniowej) oraz, że prowadzi do przetwarzania tych danych w sposób nieadekwatny. Zdaniem skarżącego wykonywanie kserokopii tych dokumentów prowadzi do pozyskiwania danych, które są merytorycznie poprawne i adekwatne do celów w jakich są przetwarzane. Służą one ustaleniu tożsamości abonenta, czego wymaga bezpieczeństwo obrotu prawnego. Abonentowi wydaje się bowiem sprzęt, który stanowi własność spółki. Ma on wysoką wartość. Zgodnie z art. 26 ust. 1 pkt 3 ustawy administrator danych musi zapewnić należytą ochronę danych osobowych. Musi więc wyeliminować możliwość posłużenia się skradzionymi dokumentami. Kserowane dokumenty stanowią też cenny materiał dowodowy w sprawach fałszerstw i wyłudzeń prowadzonych przez organy ścigania. W 2002 r. wszczęto wiele postępowań karnych. Kserowanie jest więc czynnością techniczną korzystną zarówno dla abonentów, jak i skarżącego. Jest to jedynie technika utrwalania danych. Zgodnie z art. 23 ust. 1 pkt 5 ustawy usprawiedliwionym celem administratora jest podejmowanie wszystkich czynności niezbędnych dla bezpieczeństwa obrotu. Co prawda formularz umowy abonenckiej zawiera węższy katalog danych niż pozyskiwane, ale zasadnicze znaczenie winien mieć usprawiedliwiony cel skarżącego. W tej mierze nie wpływały też żadne skargi. Skarżący powołał się przy tym też na wyrok NSA z 19 grudnia 2001 r. II SA 2869/2000, iż nie można uznać aby posługiwanie się techniką kopiowania dokumentu naruszało zasadę adekwatności przetwarzania danych.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie. Wskazał, że do ustalenia tożsamości wystarcza dowód osobisty. Nie można zaś utożsamiać ustalania tożsamości za pomocą dowodu z przetwarzaniem danych w nim zawartych (Wyrok z 19 grudnia 2001 r. II SA 2869/00). Sposób zbierania danych nie decyduje o ich legalności. Kserowanie dokumentów jest jedynie czynnością techniczną. Ocenie podlega jednak zakres danych pozyskiwanych za pomocą tej metody.
Zgodnie z art. 26 ust. 1 pkt 3 ustawy pozyskiwane dane muszą być i merytorycznie poprawne i adekwatne. Przesłankami przetwarzania są w danej sytuacji art. 23 ust. 1 pkt 1 ustawy (zgoda osoby, której dane dotyczą) i art. 23 ust. 1 pkt 3 (jest to konieczne dla zawarcia umowy). Przez kserowanie poszerza się jednak zakres danych. Wg umowy jest to imię, nazwisko, adres, Pesel, natomiast uzyskuje się wizerunek, rysopis, podpis, stan cywilny, czy poprzednie miejsca zamieszkania. Nie można natomiast takich danych zbierać na zapas. Ogranicza to także prawo do prywatności. W postępowaniu nie naruszono art. 7 kpa, gdyż decyzje wydano po wnikliwym postępowaniu administracyjnym.
W piśmie procesowym skarżąca podniosła dodatkowo, że stanowiąca przedmiot zaskarżenia decyzja GIODO nie spełnia wymogów z art. 18 ust. 1 ustawy o ochronie danych osobowych przez brak wskazania konkretnych czynności, jakie zobowiązany jest podjąć administrator danych w celu przywrócenia stanu zgodnego z prawem, że pozbawia ona administratora prawa do gromadzenia jakichkolwiek danych a także, że w sprawie uległ zmianie stan faktyczny i prawny. W dniu [...] września 2003 r. skarżąca otrzymała, bowiem zezwolenie telekomunikacyjne i stała się operatorem publicznym. Uzyskała w związku z tym szersze uprawnienia do przetwarzania danych osobowych.
Wojewódzki Sąd Administracyjny zważył, że:
Po pierwsze Sąd uznał swoją właściwość do rozpatrywania danej sprawy. Zgodnie bowiem z art. 97 § 1 ustawy z dnia 30 sierpnia 2002 r. - Przepisy wprowadzające ustawę - Prawo o ustroju sądów administracyjnych i ustawę - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1271 ze zm.) sprawy, w których skargi zostały wniesione do Naczelnego Sądu Administracyjnego przed dniem 1 stycznia 2004 r. i postępowanie nie zostało zakończone, podlegają rozpoznaniu przez właściwe wojewódzkie sądy administracyjne na podstawie przepisów ustawy - Prawo o postępowaniu przed sądami administracyjnymi.
W odniesieniu do meritum sprawy Sąd uznał skargę za zasadną.
Zgodnie z art. 18 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2002 r. Nr 101, poz. 926) w razie stwierdzenia naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej nakazuje administratorowi danych w drodze decyzji administracyjnej przywrócenie stanu zgodnego z prawem, a w szczególności usunięcie uchybień. Orzeczenia te powinny przy tym spełniać wszelkie wymogi decyzji administracyjnej podane w art. 107 ustawy z dnia 14 czerwca 1960 r. kodeksu postępowania administracyjnego (Dz. U. 2000 Nr 98, poz. 1071 ze zm.). Jednym z tych wymogów jest podanie w decyzji elementu rozstrzygnięcia. Winno być ono przy tym określone w taki sposób, aby strona wiedziała, jakie obciążają ją obowiązki lub jakie przyznano jej uprawnienia. Tymczasem w rozpatrywanej sprawie sentencja orzeczenia podjętego przez GIODO w dniu [...] lipca 2001 r. nie wskazywała konkretnych czynności, jakie w ramach usuwania uchybień miałaby podjąć skarżąca, lecz oznaczała je nieprecyzyjnie poprzez odesłanie do art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych. Nakładała w związku z tym na adresata decyzji obowiązek jej dookreślenia poprzez ustalenie tego typu działań, które spowodowałyby, aby zbierane dane były merytorycznie poprawne i adekwatne w stosunku do celów w jakich są przetwarzane.
Tak sformułowana decyzja nie tylko pozostawia możliwość różnych jej interpretacji, ale z powodu swojej niejasności i wieloznaczności znajduje się prawie na granicy niewykonalności. Została ona następnie utrzymana w mocy przez decyzję z dnia[...]września 2002 r.
Z tych też powodów Wojewódzki Sąd Administracyjny uchylił zarówno zaskarżoną decyzję, jak i ją poprzedzającą.
Jednocześnie Sąd nie podzielił zarzutu skargi dotyczącej możliwości szerokiego, wykraczającego poza zgodę wyrażoną przez abonentów, możliwość przetwarzania danych osobowych. Zgodnie z art. 23 ust. 1 ustawy o ochronie danych osobowych przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
1. osoba, której dane dotyczą wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
2. zezwalają na to przepisy prawa,
3. jest to niezbędne osobie, której dane dotyczą w celu wywiązania się z umowy, której jest stroną lub na jej życzenie w celu podjęcia niezbędnych działań przed zawarciem umowy,
4. jest niezbędne dla wykonania określonych prawem zadań realizowanych dla dobra publicznego.
5. jest niezbędne dla wypełnienia usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2, a przetwarzanie danych nie narusza praw i wolności osób, której dane dotyczą.
Istotą sporu jest przy tym nie samo kserowanie dokumentów, które jest jedynie pewną techniką pozyskiwania danych, a ich zakres.
W odniesieniu do tego zagadnienia GIODO słusznie uznał, że przetwarzany zakres danych osobowych nie znajduje podstawy w art. 23 ust. 1 ustawy. Klienci wyrażali, bowiem w umowach zgodę tylko na przetwarzanie części tych danych. Podstawy do ich przetwarzania nie stanowił w szczególności art. 23 ust. 1 pkt 3 ustawy, gdyż zebrane dane mogły być tylko częściowo przydatne do zadań realizowanych dla dobra publicznego, nie były jednak do tego celu niezbędne. Nie stanowił jej również art. 23 ust. 1 pkt 5 ustawy. Co prawda, skarżąca przetwarzała te dane dla swoich celów zarobkowych i zawodowych, ale nie wykazała aby nie naruszała w ten sposób praw i wolności innych osób, w tym osób trzecich. Dane te były zresztą zbędne dla ustalenia tożsamości danej osoby, a jednocześnie naruszały ich prawo do ochrony danych.
Niesłuszny jest również zarzut skarżącego odnoszący się do zmiany okoliczności faktycznych i prawnych po wydaniu zaskarżonej decyzji. Podstawą kontroli sądu jest, bowiem stan faktyczny i prawny istniejący w dniu wydania decyzji. Jednocześnie nie wchodzą tu w grę okoliczności wymienione w art. 145 § 1 kpa, które stanowiły podstawę wznowienia postępowania.
Stąd Wojewódzki Sąd Administracyjny orzekł na podstawie art. 145 § 1 pkt 1 a i c oraz art. 132 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270) w związku z art. 18 ust. 1 pkt 1 i art. 23 ust. 1 ustawy o ochronie danych osobowych i art. 107 kpa.
O kosztach orzeczono na podstawie art. 200 ustawy - Prawo o postępowaniu przed sądami administracyjnymi.
