II SA/Wa 1818/07
2009-04-09
Orzeczenie prawomocne
WYROK
W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ
Dnia 20 grudnia 2007 r.
Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu na rozprawie w dniu 11 grudnia 2007 r. sprawy ze skargi J.K. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] sierpnia 2007 r. Nr [...] w przedmiocie przetwarzania danych osobowych
oddala skargę
UZASADNIENIE
Generalny Inspektor Ochrony Danych Osobowych działając na podstawie art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.) oraz art. 12 pkt 2 w zw. z art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101 poz. 926 ze zm.) - zwana dalej uodo, decyzją nr [...] z dnia [...] sierpnia 2007 r. utrzymał w mocy decyzję z dnia [...] maja 2007 r. nr [...] umarzającą postępowanie w sprawie wniosku pana J. K. dotyczącego skargi na przetwarzanie jego danych osobowych przez I. S.A. z siedzibą w W.
W uzasadnieniu organ podniósł, że w dniu 6 listopada 2006 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pana J. K., dotycząca przetwarzania jego danych osobowych przez I. S.A. z siedzibą w W. W treści skargi strona wskazała, iż ww. Spółka pozyskała jego dane osobowe od nieznanej mu osoby trzeciej, która została poproszona przez Spółkę o wypełnienie tzw. referencji przez podanie danych kontaktowych do swoich znajomych. Pozyskane w ten sposób jego dane osobowe zostały wykorzystane przez pracownika Spółki, który zadzwonił do niego w celu umówienia się z nim na spotkanie. Pan J. K. podniósł, iż nie wyrażał zgody na przetwarzanie jego danych osobowych przez Spółkę w celach marketingowych w ten sposób została zakwestionowana legalność przetwarzania przez Spółkę danych osobowych strony oraz niewykonanie wobec niego obowiązku informacyjnego, o którym mowa w art. 25 ustawy z dnia 29 sierpnia 1997 r. uodo, zwanej dalej ustawą, a także nieprawidłowe wypełnienie w stosunku do niego obowiązku informacyjnego z art. 33 ustawy. Pan J. K. wskazał bowiem, iż wystąpił do Spółki z wnioskiem z art. 33 ustawy o udzielenie mu informacji na temat przetwarzania jego danych osobowych, jednakże Spółka nie poinformowała go o tym czy zbiór zawierający jego dane został zgłoszony Generalnemu Inspektorowi do rejestracji, a także o celu, zakresie i sposobie przetwarzania jego danych zawartych w zbiorach danych Spółki oraz sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane. Skarżący wniósł o przeprowadzenie kontroli w Spółce pod kątem legalności przetwarzania danych osobowych, w tym ich udostępniania na rzecz innych podmiotów i spełnienia przez Spółkę obowiązku rejestracyjnego zbioru danych potencjalnych klientów Spółki. Przeprowadzając postępowanie GIODO zebrał wyjaśnienia od I. S.A. Wynikało z nich, iż jej pracownik pozyskał dane osobowe strony (w zakresie imienia, nazwiska i numeru telefonu) od jej znajomego. Dane te zostały pozyskane w celu nawiązania ze stroną kontaktu i umówienia spotkania. Po zakończeniu rozmowy jego dane zostały przez Spółkę zniszczone, bowiem nie wyraził on zgody na przetwarzanie swoich danych w celach marketingowych. Wówczas został również omyłkowo zniszczony formularz, na którym figurowały informacje o źródle, z którego Spółka pozyskała dane osobowe Skarżącego. Pracownik Spółki odpowiedzialny za zniszczenie ww. informacji został upomniany za dopuszczenie do powyższego uchybienia. Spółka nie wypełniła wobec Skarżącego obowiązku informacyjnego, o którym mowa w art. 25 ustawy, po tym jak pozyskała jego dane. Spółka nie przetwarza obecnie danych osobowych Pana J. K. w zbiorze klientów i potencjalnych klientów Spółki, ani nie udostępniała ich innym podmiotom. Z wyjaśnień Spółki nie wynika ponadto, aby wprowadziła dane osobowe Skarżącego do systemu informatycznego. W toku postępowania brała udział Helsińska Fundacja Praw Człowieka, która w piśmie z dnia 7 maja 2007 r. zaprezentowała swoje stanowisko w sprawie. Wedle Fundacji praktyka Spółki w zakresie pozyskiwania danych potencjalnych klientów od innych klientów powinna zostać oceniona przez GIODO negatywnie. Oceniając ponownie sprawę organ przywołał treść art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. kpa, wedle którego, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe, organ administracji publicznej wydaje decyzję o umorzeniu postępowania. Z powołanego przepisu wynika, zdaniem GIODO, iż postępowanie administracyjne nie może toczyć się w sytuacji, gdy w jego toku przestał istnieć jego przedmiot, bądź też przedmiot ten nie istniał już przed wszczęciem postępowania. W konsekwencji, jeśli nie istniałaby tego typu przeszkoda w sprawie, podjęta byłaby decyzja merytoryczna tj. decyzja rozstrzygająca sprawę administracyjną co do jej istoty i zarazem kończąca ją w danej instancji. Organ podkreślił, że przedmiot mniejszego postępowania wyznaczony został zakresem skargi Pana J. K. i stanowi go fakt przetwarzania (zatem i zbierania) jego danych osobowych przez Spółkę. Jednakże w toku postępowania okazało się, że Spółka jeszcze przed wszczęciem niniejszego postępowania nie przetwarzała już danych osobowych Skarżącego i tym samym nie przetwarza ich obecnie, co oznacza, że niniejsze postępowanie jeszcze przed jego wszczęciem było bezprzedmiotowe. W tej sytuacji, w świetle przepisu art. 105 § 1 kpa, nie było zatem możliwe wydanie innego rozstrzygnięcia aniżeli to, które zostało zawarte w zaskarżonej decyzji Generalnego Inspektora z dnia [...] maja 2007 r. Nie jest bowiem możliwa merytoryczna ocena procesu przetwarzania danych osobowych, skoro proces ten nie istnieje. Generalny Inspektor podkreślił, że nie może ustosunkować się do nieistniejącego ww. procesu i sformułować pewne nakazy pod adresem Spółki, które zapobiegłyby ponownemu wejściu w posiadanie jego danych osobowych przez Spółkę. Jednakże ww. nakaz nie może zostać sformułowany pod adresem Spółki na przyszłość (niejako na wszelki wypadek) i odnosić się do osoby, której danych Spółka nie przetwarza. Podkreślenia wymaga, iż nakaz zaprzestania pozyskiwania przez Spółkę danych osobowych w kwestionowany sposób o charakterze ogólnym nie może być sformułowany w postępowaniu prowadzonym na skutek indywidualnej skargi. W postępowaniu toczącym się na skutek indywidualnej skargi możliwa jest wyłącznie ocena procesu przetwarzania danych osoby wnoszącej skargę, zaś w niniejszej sprawie proces ten nie zachodzi.
W dniu 14 września 2007 r. skargę na powyższą decyzję złożył pan J. K. Skarżący zarzucił Generalnemu Inspektorowi Ochrony Danych Osobowych:
naruszenie art. 6, 7, 71 ust. 1 i art. 105 § 1 Kodeksu postępowania administracyjnego poprzez bezpodstawne odstąpienie od przeprowadzenia postępowania merytorycznego w sprawie;
naruszenie art. 8, 11 i 107 § 1 Kodeksu postępowania administracyjnego poprzez nieodniesienie się do jego merytorycznych zarzutów związanych z bezprawnym przetwarzaniem danych osobowych przez I. S.A.
Skarżący podkreślił, iż Generalny Inspektor Ochrony Danych Osobowych skoncentrował swoje działania tylko na fakcie przechowywania jego danych osobowych przez ww. spółkę. Tymczasem istotą sprawy było zbieranie bez jego zgody, w sposób sprzeczny z prawem jego danych osobowych. W ten sposób organ nie odniósł się do sprawy merytorycznie. Zdaniem skarżącego w sprawie istotnym jest sam fakt pozyskania jego danych osobowych w postaci referencji od innej osoby i to zagadnienie winno być przedmiotem oceny GIODO.
W odpowiedzi na skargę organ wniósł o jej oddalenie i podtrzymał argumenty zawarte w zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Na podstawie art. 13 § 2 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi ( Dz. U. Nr 153, poz.1270 ze zm.) do rozpoznania sprawy właściwy jest wojewódzki sąd administracyjny, na którego obszarze właściwości ma siedzibę organ administracji publicznej, którego działalność została zaskarżona
Natomiast zgodnie z treścią art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. Prawo o ustroju sądów administracyjnych ( Dz. U. Nr 153, poz.1269 ze zm.) sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującymi w dacie jej wydania.
Rozpatrywana pod tym względem skarga nie zasługuje na uwzględnienie.
Na wstępie należy wskazać, że zgodnie z wyrażoną w art. 6 Konstytucji Rzeczypospolitej Polskiej "organy władzy działają na podstawie przepisów prawa". Przepis ten statuuje zasadę praworządności, wedle której ograny władzy publicznej są związane przepisami prawa. Zasada ta jest powtórzona w art. 6 kpa. Oznacza ona, iż w zakresie swych kompetencji i możliwości działania organy władzy publicznej nie mogą wychodzić poza kompetencje wyznaczone im przez przepisy prawa powszechnie obowiązującego. W przypadku Generalnego Inspektora Ochrony danych osobowych będą to przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Zgodnie z art. 12 pkt 1 i pkt 2 uodo do zadań Generalnego Inspektora należy m.in.:
kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych.
Z kolei zgodnie z art. 7 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych przez przetwarzanie danych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
Z porównania treści ww. przepisów wynika, iż GIODO może podejmować działania kontrolne i wydawać na ich podstawie decyzje administracyjne wówczas, gdy dane osobowe są przetwarzane.
Sprawa dotyczyła skargi Pana J. K. z dnia 6 listopada 2006 r. w sprawie nieuprawnionego przetwarzania jego danych osobowych przez I. S.A. W toku postępowania GIODO otrzymał wyjaśnienia od ww. Spółki. Należy wskazać, że wyjaśnienia są jednym ze środków dowodowych wymienionych w art. 14 uodo, jakie organ może stosować w trakcie postępowania kontrolnego. Ustawa nie wskazuje, iż w toku postępowania kontrolnego organ ma zastosować wszystkie środki dowodowe. Jeśli jeden organ uważa, że jeden środek wystarczy dla wyjaśnienia sprawy, może on na nim poprzestać. W toku czynności organ stwierdził, że I. S.A. nie przetwarza danych osobowych skarżącego. W tej sytuacji brak było podstaw prawnych do podejmowania rozstrzygnięcia przez GIODO. Postępowanie stało się bezprzedmiotowe.
Zgodnie z treścią art. 105 § 1 kpa, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe, organ administracji publicznej wydaje decyzję o umorzeniu postępowania. Postępowanie administracyjne nie może toczyć się w sytuacji, gdy w jego toku przestał istnieć jego przedmiot, bądź też przedmiot ten nie istniał już przed wszczęciem postępowania. Sytuacja taka zaistniała w niniejszej sprawie, gdyż jak wynika z akt sprawy dane osobowe pana J. K. nie są przetwarzane przez I. S.A. Organ natomiast nie ma możliwości interwencji w zdarzenia przeszłe, które były przedmiotem wniosku skarżącego z dnia 6 listopada 2006 r. Organ prawidłowo zatem przyjął, że należy umorzyć postępowanie w sprawie.
Mając powyższe na względzie Wojewódzki Sąd Administracyjny w Warszawie na podstawie art. 151 w związku z art. 132 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi orzekł, jak w sentencji.
