II SA 2684/00
2009-04-14
Orzeczenie prawomocne
WYROK
W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ
dnia 11 grudnia 2001 r.
Naczelny Sąd Administracyjny po rozpoznaniu sprawy ze skargi Polskiej Telefonii Cyfrowej Sp. z o.o. w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 21 września 2000 r. (...) w przedmiocie przetwarzania danych osobowych
uchyla zaskarżoną decyzję i poprzedzającą ją decyzję z dnia 14 lipca 2000 r.
Uzasadnienie:
Generalny Inspektor Ochrony Danych Osobowych decyzją z 21 września 2000 r., wydaną po ponownym rozpatrzeniu sprawy, zmienił swoją decyzję z 14 lipca 2000 r. W jej wyniku nakazał skarżącej przywrócenie stanu zgodnego z prawem w procesie przetwarzania danych osobowych swoich klientów poprzez:
- usunięcie ze zbioru abonentów ich danych osobowych innych niż: imię, nazwisko, adres zamieszkania, nr PESEL lub data urodzenia, numer identyfikacji podatkowej oraz aktualne miejsce pracy abonenta,
- przetwarzanie danych osobowych przy zawieraniu umów o świadczenie usług telekomunikacyjnych wyłącznie w zakresie obejmującym: imię, nazwisko, adres zamieszkania, nr PESEL lub datę urodzenia, numer identyfikacji podatkowej oraz aktualne miejsce pracy abonenta,
- zaprzestanie kopiowania dokumentów klientów jako prowadzącego do pozyskania, zbyt szerokiego, nieadekwatnego w stosunku do celów, zebrania danych w zakresie wykraczającym poza dane niezbędne do zawarcia umowy.
Każdy z przytoczonych punktów decyzji został powiązany z art. 26 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych /Dz. U. Nr 133, poz. 883 ze zm./.
W uzasadnieniu decyzji Generalny Inspektor w szczególności podkreślił, że wszczęcie postępowania w tej sprawie nastąpiło z urzędu wskutek licznych interwencji klientów Polskiej Telefonii Cyfrowej Sp. z o.o. z siedzibą w Warszawie skarżących się na kopiowanie ich dokumentów tożsamości i zbieranie od nich zbyt szerokiego zakresu danych osobowych przy zawieraniu umów o świadczenie usług telekomunikacyjnych. Według art. 6 wymienionej ustawy za dane osobowe uważa się każdą informację dotyczącą osoby fizycznej, pozwalającą na określenie jej tożsamości. Imiona rodziców są nie tylko danymi osobowymi klienta, lecz także samych rodziców i bez ich zgody nie powinny być przetwarzane przez skarżącą przy zawieraniu powyższych umów /art. 23 ust. 1 pkt 1/. Przewidziany w art. 26 ust. 1 pkt 3 obowiązek przetwarzania danych osobowych w sposób zapewniający ich merytoryczną poprawność i adekwatność w stosunku do celów w jakich są przetwarzane, kształtuje równowagę zakresu żądanych informacji, a więc dobrem osoby, której dane dotyczą, a interesem administratora danych. Zdaniem Generalnego Inspektora dane określone rodzajowo w decyzji są wystarczające, przez co kopiowanie dokumentu tożsamości prowadzi do uzyskiwania wzoru podpisu klienta, jego wizerunku i informacji o poprzednich miejscach pracy - z naruszeniem zasady adekwatności. Jest przy tym naganne i niezgodne z ustawą uzależnienie zawarcia umowy od zgody na kopiowanie dokumentów. W szczególności nie można powoływać się na obowiązek wykonywania zadań i świadczenia usług specjalnych oraz udzielania przez skarżącą pomocy na rzecz obronności i bezpieczeństwa państwa i organów wymiaru sprawiedliwości. Również koncesja na świadczenie usług nie upoważnia do stosowania praktyki zbierania zbyt szerokiego zakresu danych osobowych. Dotyczy to również przechowywania kopii podpisu w dokumencie tożsamości, który można porównać w chwili zawierania umowy. Wreszcie unormowania zawarte w nowej ustawie - Prawo telekomunikacyjne nie miały wpływu na zakres przetwarzania danych osobowych, gdyż wówczas ta ustawa jeszcze nie weszła w życie.
Skarżąca w skardze do Sądu zarzuciła Generalnemu Inspektorowi naruszenie licznych przepisów prawa procesowego i materialnego w jego decyzji, która w razie jej pełnego wykonania utrudni, a niekiedy uniemożliwi nawet prowadzenie działalności gospodarczej określonej w koncesji. Przede wszystkim skarżącej nie udostępniono licznych skarg klientów, co uniemożliwia ocenę skali i charakteru zastrzeżeń inicjujących wszczęcie postępowania administracyjnego w tej sprawie. Zakwestionowała też ona zbyt wąski zakres danych osobowych uznanych przez Generalnego Inspektora za wystarczający z pominięciem szeregu ustawowych regulacji. Chodziło głównie o zakwalifikowanie przez Prawo telekomunikacyjne numeru telefonu lub znaku identyfikacyjnego abonenta jako danych osobowych umożliwiających pobieranie opłat za wykonane usługi i rzetelne prowadzenie dokumentacji finansowo-księgowej, udostępnienie spisu abonentów zawierającego m.in. numer abonenta, jego imiona, nazwisko i adres zamieszkania. Skarżąca nie zgodziła się również z przyjętą w decyzji interpretacją niektórych przepisów ustawy o ochronie danych osobowych, zwłaszcza art. 6 przez zakazanie podawania imion rodziców klienta utrudniające identyfikację osób o takich samych nazwiskach i imionach oraz art. 26 ust. 1 pkt 3 i art. 23 ust. 1 pkt 1 i 2 wskutek pozbawienia możliwości wykorzystywania kopii podpisu do sprawdzania autentyczności składanych podpisów osoby będącej stroną umowy i bezpodstawnego przyjęcia, że na przetwarzanie danych nie uzyskiwano zgody klientów. Kserokopie dokumentów są dowodami w licznych pozwach przeciwko niesolidnym klientom /10.000 miesięcznie/ i stosowanie obecnie procedury ustalania tożsamości osób spowodowało dziesięciokrotny spadek liczby oszustw i sześciokrotny spadek wartości strat przy dwukrotnym wzroście ilości zawieranych umów, co ilustruje praktyczną adekwatność przetwarzania danych osobowych do celu w jakim są zbierane. Mimo zawierania ponad 90 procent umów w formie akcji promocyjnych nie uzależniano tej czynności od zgody na kopiowanie dowodu osobistego klienta, stąd zarzut Generalnego Inspektora o stosowaniu odmiennej praktyki jest niezrozumiały. Istnieją możliwości korzystania z systemu usług telekomunikacyjnych po dokonaniu przedpłaty lub zwrotnej kaucji zabezpieczającej interesy skarżącej, w których dane o klientach są sprowadzone do ich imion, nazwisk i adresów do korespondencji. Skarżąca zarzucała również sprzeczność zawężonego zakresu danych osobowych z przepisami o ewidencji i dowodach osobistych służących określeniu tożsamości osób.
Generalny Inspektor wniósł o oddalenie skargi posługując się argumentacją ukazaną w motywach jego decyzji. W nawiązaniu do niej dodatkowo podkreślił, że skarżąca może przetwarzać tylko te dane, które są wskazane w sentencji decyzji, co nie dotyczy zaprzestania przetwarzania określonego w umowie numeru telefonu czy znaku identyfikacyjnego abonenta. Powołał się również na podobną reakcję węgierskiego organu ochrony danych, która przyniosła oczekiwane rezultaty oraz na opinię Rzecznika Praw Obywatelskich, że gromadzenie szerokiego zakresu danych o użytkownikach wykracza poza potrzeby operatora sieci i zbyt daleko penetruje prywatność klienta.
W nawiązaniu do tej odpowiedzi pełnomocnik skarżącej w piśmie procesowym z dnia 6 grudnia 2001 r. zakwestionował niezrozumiałe i bezpodstawne zakazanie przez Generalnego Inspektora przetwarzania podpisu klienta /mylnie zwanego wzorem podpisu/, jego numeru telefonu nadanego przy zawieraniu umowy, zbieranie za zgodą klienta innych danych, jak adres do korespondencji, numeru telefonu kontaktowego, a także jako danych osobowych jego drugiego imienia, gdy je posiada, imion rodziców i miejsca jego urodzenia, co jest sprzeczne z art. 69 Prawa telekomunikacyjnego. Zwrócił też uwagę na niedopuszczalność dokonywania w dokumentach księgowych jakichkolwiek wymazywań i przeróbek /art. 22 ustawy o rachunkowości/ i skutki w postaci autentyczności tak zmienionej umowy przy dochodzeniu roszczeń od niesolidnych klientów.
Naczelny Sąd Administracyjny zważył co następuje:
Art. 1 ustawy o ochronie danych osobowych zapewnia każdemu ochronę jego danych osobowych i dopuszcza ich przetwarzanie ze względu na dobro: publiczne, osoby, której one dotyczą i osób trzecich. Na potrzeby rozpoznawanej sprawy konieczne jest przypomnienie niektórych przepisów art. 23 tej ustawy:
"Art. 23.1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
- osoba, której one dotyczą, wyrazi na to zgodę, chyba, że chodzi o usunięcie dotyczących jej danych,
- zezwalają na to przepisy prawa,
- jest konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia koniecznych działań przed zawarciem umowy".
Ustawa ta nie określa, jakie dane do poszczególnych rodzajów spraw lub celów mogą być przetwarzane, ale w art. 26 ust. 1 pkt 1 i 3 stanowi, że administrator danych jest obowiązany zapewnić, aby dane były przetwarzane zgodnie z prawem oraz były merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane. Przy tak skonstruowanej normie prawnej chodzi o ocenę, czy przetwarzanie danych osobowych, w znaczeniu jakichkolwiek operacji na nich wykonywanych /art. 7 pkt 2/, należycie chroni interesy obu stron w łączących je stosunkach prawnych, również - jak w tej sprawie - powstałych w wyniku zawartej między nimi umowy o świadczenie usług telekomunikacyjnych.
Skarżąca realizuje istotne zadanie w dziedzinie telekomunikacji wpływające na rozwój infrastruktury technicznej w tej ważnej dla państwa i obywateli sferze społeczno - gospodarczej, o czym świadczy podana na rozprawie sądowej liczba 2,5 mln zawartych umów o świadczenie powyższych usług. Oceny tej nie zmienia naturalna troska skarżącej o jej interesy gospodarcze przy przetwarzaniu danych osobowych abonentów na potrzeby zawieranych umów o świadczenie usług, wymagająca odpowiedniego uwzględnienia w orzecznictwie Generalnego Inspektora.
W decyzjach i odpowiedzi na skargę Generalny Inspektor akcentował związek podjętych czynności kontrolnych i rozstrzygnięć ze skargami obywateli na stosowaną przez skarżącą praktykę wadliwego przetwarzania ich danych osobowych, konsekwentnie odmawiając zapoznania jej z tymi skargami jako dowodami w sprawie. Taka odmowa jest sprzeczna z art. 10 Kpa, który do kategorii zasady ogólnej zakwalifikował obowiązek organu administracji publicznej zapewnienia stronom czynnego udziału w każdym stadium postępowania i wypowiedzenia się im co do zebranych dowodów i materiałów przed wydaniem decyzji. W razie istnienia potrzeby wyłączenia ze skarg obywateli danych osobowych ich autorów, Generalny Inspektor mógł tego dokonać, a w pozostałym zakresie umożliwić zapoznanie się z nimi przez skarżącą i ocenić je w motywach decyzji jak każdy inny dowód.
Przy ocenie wymogu przetwarzania danych adekwatnie w stosunku do celów, w jakich są przetwarzane, w zbyt małym stopniu uwzględniono w decyzjach sposoby kształtowania obowiązków stron umów zawieranych w systemie promocji, przedpłat i zwrotnej kaucji. Licząca się wysokość opłat za usługi wymaga stosownego zabezpieczenia możliwości ich egzekwowania przez różnicowanie zakresu danych osobowych abonentów korzystających z akcji promocyjnych w stosunku do umów zawieranych z odpowiednim zapewnieniem uiszczania opłat. Generalny Inspektor nie podważył informacji podanych w skardze o bezpośrednim związku między stosowaną przez nią procedurą ustalania tożsamości abonenta za ich zgodą, a skalą oszustw i wartością strat. Skoro więc zakres przetwarzania danych osobowych następuje według wyboru abonenta i za jego zgodą oraz jest adekwatny do realizowanych celów, to sformułowany w decyzji bezwzględny zakaz stosowania takiej praktyki narusza art. 23 ust. 1 pkt 1 i art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych.
W art. 23 ust. 1 pkt 2 tej ustawy wyodrębniono jako osobną grupę dopuszczalność przetwarzania danych osobowych, gdy zezwalają na to przepisy prawa. Takimi przepisami są niewątpliwie art. 69 ust. 2 i art. 70 Prawa telekomunikacyjnego, w których określono dopuszczalny zakres przetwarzania danych osobowych użytkowników będących osobami fizycznymi i dane jakie winny być zamieszczone w publicznie dostępnym spisie abonentów. W porównaniu z danymi określonymi w zaskarżonej decyzji, obejmują one dodatkowo: imiona rodziców użytkownika, miejsce jego urodzenia, nazwy i numery dokumentów potwierdzających tożsamość oraz na jego wniosek - numer konta bankowego lub karty płatniczej, a w spisie abonentów - numer abonenta lub identyfikującego go znaku. Unormowań tych, mimo obowiązywania Prawa telekomunikacyjnego od 1 stycznia 2001 r. z nielicznymi wyjątkami, nie można było w ogóle nie dostrzec przez Generalnego Inspektora przy ponownym rozpoznawaniu sprawy 21 września 2000 r., gdy już Prawo telekomunikacyjne było 6 września ogłoszone w "Dzienniku Ustaw". Tę uwagę należy powiązać z szeregiem istotnych okoliczności.
Przede wszystkim zastosowana w decyzji konwencja bezpodstawnie wykluczyła realizację kształtowanego przez przepisy prawa zakresu przetwarzania danych /art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych/. Chodzi tu również o zarzuty skarżącej dotyczące pomijania specjalnych potrzeb z zakresu bezpieczeństwa państwa, ochrony porządku publicznego, wymiaru sprawiedliwości i zasad prowadzenia dokumentacji finansowej. Ponadto jako wadliwe należy ocenić wymuszanie na skarżącej stosowanie zakresu przetwarzania danych osobowych, który - nawet przy traktowaniu art. 69 i art. 79 Prawa telekomunikacyjnego jako całkowicie nowych unormowań - wkrótce musiał ulec poszerzeniu. Treść obu tych przepisów mieściła się zresztą w ramach art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych kształtującym pojęcie danych adekwatnych w stosunku do celów, w jakich są przetwarzane. Jest to dobry przykład uściślania szczegółowszymi unormowaniami wcześniej funkcjonujących, ogólniejszych konstrukcji prawnych. Działalność objęta przepisami Prawa telekomunikacyjnego była już wcześniej prowadzona przez skarżącą z wykorzystaniem szeregu podobnych rozwiązań.
Biorąc pod uwagę dotychczasowe wywody nie było wreszcie uzasadnionych podstaw prawnych do nakazania skarżącej usunięcia z tak dużej ilości akt abonentów, danych wykraczających poza określone w zaskarżonej decyzji, w dodatku bez jakiegokolwiek skalkulowania kosztów wykonania tego zadania i uzyskanych efektów. Końcowo odnotowania wymagają sprzeczne ze sobą wypowiedzi organu i strony postępowania administracyjnego co do istnienia samych faktów dot. zakresu i sposobu przetwarzania danych osobowych abonentów, utrzymujące się na poszczególnych etapach postępowania.
Z powyższych względów Naczelny Sąd Administracyjny na podstawie art. 22 ust. 2 pkt 1 i 3 oraz art. 55 ust. 1 ustawy o NSA orzekł jak w sentencji.
