I OSK 1353/05
2009-04-14
Orzeczenie prawomocne
WYROK
W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ
Dnia 10 października 2006 r.
Naczelny Sąd Administracyjny w składzie po rozpoznaniu w dniu 10 października 2006r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Generalnego Inspektora Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 23 czerwca 2005 r. sygn. akt II SA/Wa 417/05 w sprawie ze skargi na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia listopada 2004 r. nr w przedmiocie przetwarzania danych osobowych
oddala skargę kasacyjną
UZASADNIENIE
Generalny Inspektor Ochrony Danych Osobowych decyzją nr września 2004 r., wydaną na podstawie art. 44 ust. 1 pkt 2 w związku z art. 26 ust. 1 pkt 1 i 3, art. 44 ust. 2 pkt 2 w związku z art. 18 ust. 1 pkt 1 oraz art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) po przeprowadzeniu postępowania w sprawie rejestracji zbioru danych o nazwie „Dane abonentów sieci…”, zgłoszonego do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych:
1. odmówił rejestracji zbioru danych osobowych o nazwie „Dane abonentów sieci…”
2. nakazał usunięcie uchybień w procesie przetwarzania danych osobowych, zaprzestanie przetwarzania w zbiorze danych o nazwie „Dane abonentów sieci…” danych osobowych w zakresie: wizerunek, rysopis, poprzedni adres zameldowania oraz dane dzieci lub innych osób znajdujących się pod opieką posiadacza dowodu osobistego (imię, nazwisko, data urodzenia, stopień pokrewieństwa, numer ewidencyjny PESEL) wykraczających poza zakres wyznaczony przepisami art. 161 ust. 2 w związku z art. 57 ust. 1 pkt 3 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz. U. Nr 171, poz. 1800), a pozyskanych do zbioru po 1 stycznia 2001 r., tj. po dniu wejścia w życie ustawy z dnia 21 lipca 2000 r. – Prawo telekomunikacyjne (Dz. U. Nr 73, poz. 852 ze zm.).
Strona złożyła wniosek o ponowne rozpatrzenie sprawy zarzucając błędną wykładnię art. 161 ust. 2 i 3 ustawy z 16 lipca 2004 r. – Prawo telekomunikacyjne, która doprowadziła do bezprzedmiotowej oceny adekwatności zakresu danych osobowych abonentów pozyskiwanych przez operatora w celu zawarcia i wykonania umowy o świadczenie usług telekomunikacyjnych, z uwagi na fakt, że ustawodawca w sposób jednoznaczny określił w bezwzględnie obowiązujących przepisach wykaz danych osobowych, do pozyskiwania których uprawnieni są operatorzy publiczni.
GIODO był zobowiązany na podstawie art. 161 ust. 3 Prawa telekomunikacyjnego wykazać, że dane w zakresie wizerunku i rysopisu nie pozostają w związku ze świadczoną usługą, zaniechał dokonania jakichkolwiek ustaleń w tym zakresie i nie uzasadnił swego stanowiska.
Decyzją z dnia listopada 2004 r. nr Generalny Inspektor Ochrony Danych Osobowych, na podstawie art. 138 § 1 pkt 1 i 2 w związku z art. 26 ust. 1 pkt 1 i 3, art. 44
ust. 2 pkt 2 w związku z art. 18 ust. 1 pkt 1 i art. 12 pkt 2 w związku z art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.):
1) utrzymał w mocy pkt 1 decyzji,
2) uchylił pkt 2 decyzji i w tym zakresie orzekł co następuje:
nakazał usunięcie uchybień w procesie przetwarzania danych osobowych poprzez zaprzestanie przetwarzania w zbiorze danych o nazwie „Dane abonentów sieci…” danych osobowych w zakresie: wizerunek, rysopis, poprzedni adres zameldowania oraz dane dzieci lub innych osób znajdujących się pod opieką posiadacza dowodu osobistego (imię, nazwisko, data urodzenia, stopień pokrewieństwa, numer ewidencyjny PESEL) przetwarzanych niezgodnie z art. 161 ust. 2 i 3 w związku z art. 57 ust. 1 pkt 3 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz.U. Nr 171, poz. 1800), a pozyskanych do zbioru po dniu 1 stycznia 2001 r., tj. po dniu wejścia w życie ustawy z dnia 21 lipca 2000 r. Prawo telekomunikacyjne (Dz.U. Nr 73, poz. 852 ze zm.).
W uzasadnieniu zaskarżonej decyzji Generalny Inspektor Ochrony Danych Osobowych podał, że zgromadzony w sprawie materiał dowodowy wskazuje, że spółka w zbiorze o nazwie „Dane abonentów sieci…” przetwarza dane osób korzystających z publicznie dostępnej usługi telekomunikacyjnej w zakresie jaki zdaniem organu, sprzeciwia się treści art. 161 ust. 2 i 3 oraz art. 57 ust. 1 pkt 3 Prawa telekomunikacyjnego.
Organ wywodził, że w wykładni przepisów regulujących zakres danych osobowych, do którego przetwarzania uprawniony jest dostawca publicznie dostępnych usług telekomunikacyjnych, z przepisami ustawy o ochronie danych osobowych, próbował wyważyć niewątpliwie istotne z punktu widzenia gospodarczego interesy administratora danych a z drugiej strony słuszny interes obywateli i ich prawo do dysponowania swoją prywatnością.
Przepis art. 161 ust. 2 Prawa telekomunikacyjnego wymienia dane osobowe, które dla celu świadczenia usługi telekomunikacyjnej dostawca tej usługi może przetwarzać bez zgody użytkownika. O ile w tym wypadku ocena adekwatności tych danych w stosunku do celu w jakim są przetwarzane, jest bezprzedmiotowa z uwagi na fakt, iż tę okoliczność rozstrzygnął ustawodawca, o tyle regulacja zawarta w ust. 3 tego artykułu, nie przesądzając ostatecznie o dopuszczalnym zakresie przetwarzania danych osobowych wprost wskazuje na konieczność powiązania danych osobowych pozyskiwanych od użytkowników z usługą świadczoną przez dostawcę publicznie dostępnych usług.
Zasada adekwatności wyrażona w art. 26 ustawy o ochronie danych osobowych zdaniem organu znajduje swój odpowiednik w treści art. 161 ust. 3 Prawa telekomunikacyjnego, który to przepis uzależnia odpuszczalność przetwarzania przez dostawcę publicznie dostępnych usług innych danych użytkownika niż wymienione w art. 161 ust. 2, od zgody użytkownika oraz od istnienia związku pomiędzy pozyskanymi w ten sposób danymi a świadczoną usługą.
GIODO wskazał dalej, że przetwarzanie danych osobowych w postaci wizerunku i rysopisu użytkownika nie jest potrzebne, a tym bardziej niezbędne ze względu na świadczenie usługi telekomunikacyjnej, ale ma służyć zabezpieczeniu administratora danych na wypadek nieuczciwości klienta i prowadzenia ewentualnego postępowania karnego.
Wskazuje również, że powstają wątpliwości czy decyzja klienta w sprawie wyrażenia zgody jest rzeczywiście podjęta swobodnie, czy też wynika z uznania, iż wszelkie próby przeciwstawienia się żądaniom silniejszego partnera są z góry skazane na niepowodzenie.
Wobec powyższych ustaleń uznał, że została spełniona przesłanka odmowy rejestracji określona w art. 44 ust. 1 pkt 2, tj. przetwarzanie danych narusza art. 26 ust. 1 pkt 1 i 3 ustawy.
Strona zaskarżyła decyzję do sądu administracyjnego w części odmawiającej rejestracji zbioru oraz w części nakazującej spółce zaprzestanie przetwarzania w zbiorze danych osobowych w zakresie wizerunku i rysopisu abonentów. Zarzuciła naruszenie art. 161 ust. 3 Prawa telekomunikacyjnego, a ponadto naruszenie art. 7, art. 77 § 1, art. 80 oraz art. 107 § 3 kodeksu postępowania administracyjnego.
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z 23 czerwca 2005 r. sygn. akt II SA/Wa 417/05, po rozpoznaniu sprawy ze skargi na decyzję Generalnego Inspektora Ochrony Danych Osobowych z listopada 2004 r. nr w przedmiocie przetwarzania danych osobowych, uchylił zaskarżoną decyzję oraz poprzedzającą ją decyzję z września 2004 r. nr . W uzasadnieniu Sąd wywodził, że art. 23 ust. 1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.) określa ogólnie materialne przesłanki przetwarzania danych osobowych. Przesłanki te mają charakter generalny. Dla swobody posługiwania się danymi osobowymi nie ma znaczenia okoliczność, czy w danym przypadku występuje jedna czy dwie lub więcej przesłanek legalizujących. Każda z wymienionych w art. 23 okoliczności usprawiedliwiających przetwarzanie danych ma charakter autonomiczny i niezależny. Oczywiście może zdarzyć się tak, że określone przetwarzanie danych będzie legalizowane przez więcej niż jedną przesłankę wymienioną w art. 23 ust. 1.
Zgodnie z jedną z zasad zawartą w art. 23 ust. 1 pkt 2, przetwarzanie danych jest dopuszczalne wtedy gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. W razie gdy okoliczności przetwarzania są regulowane bezpośrednio przepisami prawa, przesłankę „zgodność z przepisami prawa” należy stosować przed innymi przesłankami.
W sprawie przesłanki materialnoprawne będące podstawą zaskarżonej decyzji są zawarte w ustawie z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz.U. Nr 171,
poz. 1800), obowiązujące w dacie wydania zaskarżonej decyzji.
W zaskarżonych decyzjach Generalny Inspektor Ochrony Danych Osobowych jednoznacznie stwierdza, że chodzi o zakres przetwarzania danych osobowych abonentów w zakresie wizerunek i rysopis, a więc w rozumieniu art. 2 pkt 1 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz.U. Nr 73, poz. 1800), a ten abonent jest stroną umowy o świadczenie usług telekomunikacyjnych zawartej na piśmie z operatorem lub podmiotem udostępniającym usługi telekomunikacyjne.
Artykuł 23 ust. 1 pkt 2 odsyła do przepisów prawa w tym przypadku do ustawy – Prawo telekomunikacyjne, w której przepisy nie ograniczają się do sformułowania ogólnego zezwolenia na przetwarzanie danych, lecz również podają na jakich warunkach przetwarzanie to ma następować jak i jakie dane mają być zbierane, jak gromadzone i jak udostępniane. Zagadnienia związane ze zbieraniem, utrwalaniem, przechowywanie, opracowywanie, zmianą, usuwaniem danych osobowych regulują przepisy umieszczone w rozdziale „Tajemnica telekomunikacyjna”. Zgodnie z treścią art. 161 ust. 1 Prawa telekomunikacyjnego z zastrzeżeniem ust. 2, treści lub dane objęte tajemnicą telekomunikacyjną mogą być zbierane, utrwalane, przechowywane, opracowywane, zmieniane, usuwane lub udostępniane tylko wówczas, gdy czynności te, zwane dalej przetwarzaniem, dotyczą usługi świadczonej użytkownikowi albo są zbierane do jej wykonania. Przetwarzanie w innych celach jest dopuszczalne jedynie na podstawie przepisów ustawowych.
Nie budzi wątpliwości interpretacja ust. 2 powołanego przepisu, który zawiera zamknięty katalog danych osobowych, do przetwarzania których uprawniony jest dostawca publicznie dostępnych usług telekomunikacyjnych.
Tego rodzaju unormowanie prawne eliminuje zajmowanie się adekwatnością danych dla celów w jakich są przetwarzane.
Spór natomiast dotyczy interpretacji art. 161 ust. 3, który stanowi: „oprócz danych, o których mowa w ust. 2, dostawca publicznie dostępnych usług telekomunikacyjnych może za zgodą użytkownika będącego osobą fizyczną, przetwarzać inne dane tego użytkownika w związku ze świadczoną usługą, w szczególności numer identyfikacji podatkowej NIP, numer konta bankowego lub karty płatniczej, adres korespondencyjny użytkownika, jeżeli jest on inny niż adres zameldowania na pobyt stały tego użytkownika, a także adres poczty elektronicznej oraz numery telefonów kontaktowych.
W ocenie Sądu przepis ten jest lex specialis w stosunku do przepisu art. 26 ustawy o ochronie danych osobowych i wyłącza jego stosowanie. Artykuł 26 ustawy o ochronie danych osobowych wyznacza główne zasady postępowania przy przetwarzaniu danych osobowych.
Z treści art. 161 ust. 3 Prawa telekomunikacyjnego wynika, że dla oceny legalności przetwarzania danych wymienionych w tym przepisie muszą wystąpić dwie przesłanki:
1) musi być zgoda abonenta,
2) przetwarzanie danych następuje w związku ze świadczoną usługą.
Dane osobowe wymienione w tym przepisie nie stanowią zamkniętego katalogu, o czym świadczy treść przepisu i umieszczony zapis „w szczególności” wskazujący, że przepis nie zawiera enumeratywnego wyliczenia danych osobowych.
Organ badając czy administrator nie naruszył prawa ma zbadać tylko i wyłącznie czy zostały spełnione dwie przesłanki legalności przetwarzania danych wymienione w art. 161 ust. 3. Po pierwsze czy jest zgoda abonenta, po drugie czy przetwarzanie danych następuje w związku ze świadczoną usługą.
Zdaniem Sądu intencją ustawodawcy było rozszerzenie katalogu danych jakie mogą być przetwarzane, oczywiście przy spełnieniu dwóch przesłanek legalności określonych w art. 161 ust. 3. Wniosek taki Sąd wyprowadził z treści art. 69 ust. 2a poprzednio obowiązującego Prawa telekomunikacyjnego (Dz.U. z 2000 r. Nr 73, poz. 853), odpowiadający obecnie obowiązującemu przepisowi art. 161 ust. 3. Artykuł 69 ust. 2a, zawierał rozszerzony katalog danych, w stosunku do wymienionych w ust. 2 powołanego wyżej przepisu. Dane te można było przetwarzać przy spełnieniu przesłanki legalności w postaci zgody abonenta, jednak był to katalog zamknięty, poprzez enumeratywne wyliczenie danych jakie mogą być przetwarzane.
Zgoda o jakiej mówi przepis art. 161 ust. 3, nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Wyrażenie takiej zgody ma charakter oświadczenia woli. Może być wyrażona nie tylko w formie jednostronnego oświadczenia woli, ale może np. stanowić element umowy.
Świadczenie usług telekomunikacyjnych, jest poprzedzone zawarciem umowy pomiędzy abonentem i usługodawcą. Zgodnie z zasadą swobody zawierania umów, abonent może zawrzeć umowę o określonej treści na wskazanych w niej warunkach.
Według skarżącego abonenci mogą zawierać umowy tej samej treści na różnych warunkach. W przypadku zawierania umów „w promocji” umowy są kredytowane przez usługodawcę i wówczas wymagany jest szerszy zakres danych (rysopis i wizerunek). W ocenie Sądu, nie można pozbawić w granicach prawa, udzielającego kredytu wyboru sposobu jego zabezpieczenia.
Sąd podkreślił wagę przeprowadzenia postępowania wyjaśniającego, zgodnie z regułami ustanowionymi w art. 7 i 77 k.p.a. To organ obowiązany jest udowodnić, że nie zostały spełnione przesłanki niezbędne do legalizacji przetwarzanych danych.
Generalny Inspektor Danych Osobowych wniósł od wyroku skargę kasacyjną, zaskarżając wyrok w całości. Skargę kasacyjną oparto na zarzucie naruszenia prawa materialnego przez niezastosowanie art. 26 ust. 1 pkt 3 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.) oraz błędną wykładnię art. 161 ust. 3 ustawy z 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz.U. Nr 171, poz. 1800 ze zm.) polegającą na przyjęciu, że przepis ten jest lex specialis w stosunku do art. 26 ustawy o ochronie danych osobowych.
Na tej podstawie wnosił o uchylenie w całości zaskarżonego wyroku i oddalenie skargi.
W uzasadnieniu skargi kasacyjnej Generalny Inspektor Danych Osobowych wywodził, że przewidziana w art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych przesłanka legalności przetwarzania danych osobowych w postaci zgody osoby, której dane dotyczą nie legitymuje pozyskiwania wszelkich danych osobowych, według swobodnego uznania administratora danych. W każdym przypadku zakres gromadzonych danych osobowych musi podlegać ocenie ze względu na konieczność zachowania równowagi pomiędzy dobrem osoby, której dane dotyczą, a interesem administratora danych. Z tego też względu ustawa wyraźnie wymaga, żeby zbierane dane były istotne w stosunku do celu, dla jakiego są pozyskiwane, tak aby swym rodzajem i treścią nie wykraczały poza potrzeby wynikające z celu ich zbierania. Wyrażona w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych zasada adekwatności, jedna z podstawowych, powszechnie przyjmowanych zasad, na których opiera się ustawowa poświęcona ochronie danych osobowych, zobowiązuje administratora danych do dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności zapewnienia, aby dane te były adekwatne w stosunku do celów, w jakich są przetwarzane. Obowiązek badania adekwatności przetwarzania danych osobowych wynika nie tylko z przepisów ustawy o ochronie danych osobowych, ale także z Dyrektywy Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (95/46/WE). Zgodnie z art. 6 ust. 1 lit. c/ Dyrektywy, państwa członkowskie mają obowiązek dopilnowania, żeby dane osobowe były nie nadmierne ilościowo w stosunku do celów, dla których zostały zgromadzone i/lub dalej przetworzone.
Skarżący dalej wywodził, że nie można podzielić wykładni, wedle której art. 161 ust. 3 Prawa telekomunikacyjnego jest lex specjalis w stosunku do art. 26 ustawy o ochronie danych osobowych i wyłącza jego stosowanie. W orzecznictwie jest ugruntowane stanowisko, iż wyłączenie zasady adekwatności jest dopuszczalne tylko gdy w przepisie prawa unormowano, jakie konkretne dane są adekwatne do celu przetwarzania. Tak jest w przypadku art. 161 ust. 2 Prawa telekomunikacyjnego, który to przepis ma charakter lex specjalis wobec art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych. O ile zatem w powyższym wypadku ocena adekwatności zakresu przetwarzanych danych do celu ich przetwarzania jest bezprzedmiotowa, o tyle znajdzie zastosowanie w związku z brzmieniem art. 161 ust. 3 Prawa telekomunikacyjnego, który to przepis nie przesądza o dopuszczalnym zakresie przetwarzania danych, wprost wskazuje na konieczność powiązania danych osobowych pozyskanych od użytkowników z usługą telekomunikacyjną świadczoną im przez dostawcę usług.
W odpowiedzi na skargę strona wniosła o oddalenie skargi. Wywodzono, że zasadnie Sąd przyjął, że art. 161 ust. 3 ustawy – Prawo telekomunikacyjne wyłącza stosowanie zasady adekwatności. Nie jest zasadne przyjęcie, że art. 161 ust. 3 tej ustawy nie przesądza ostatecznie o dopuszczalnym zakresie danych osobowych. Enumeratywne wyliczenie, jakie zastosowano w art. 161 ust. 2 tej ustawy nie jest jedynym sposobem określenia zakresu. Zakres ten może być określony poprzez wyraźne wdrażanie metody klasyfikacji poszczególnych danych do zakresu, takim sposobem ustawodawca posłużył się w art. 161 ust. 3 tej ustawy. Zakres danych z art. 161 ust. 3 powołanej ustawy jest przesądzony przez wskazanie na dwie kumulatywne przesłanki, które muszą być spełnione, aby przetwarzanie danych w oparciu o ten przepis było legalne: – musi być zgoda abonenta, – przetwarzanie danych następuje w związku ze świadczoną usługą. W art. 161 ust. 3 ustawodawca przesądził o zakresie danych, co wyłącza stosowanie art. 26 ustawy o ochronie danych osobowych.
Naczelny Sąd Administracyjny zważył, co następuje:
Zgodnie z art. 183 § 1 ustawy z 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. Nr 153, poz. 1270 ze zm.), Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, bierze jednak z urzędu pod rozwagę nieważność postępowania. W sprawie nie występują, enumeratywnie wyliczone w art. 183 § 2 powołanej ustawy – Prawo o postępowaniu przed sądami administracyjnymi, przesłanki nieważności postępowania sądowoadministracyjnego. Z tego względu, przy rozpoznaniu sprawy, Naczelny Sąd Administracyjny związany był granicami skargi kasacyjnej.
Skarga kasacyjna nie została oparta na usprawiedliwionych podstawach. W zakresie przetwarzania danych osobowych z regulacji prawa wspólnotowego należy wyprowadzić dwie podstawowe zasady: zasadę adekwatności i zasadę równowagi praw i interesów stron. Zasadę adekwatności przyjmuje się za naczelną zasadę związana a przetwarzaniem danych. Wynika już z art. 8 ust. 1 Konwencji o ochronie praw człowieka i podstawowych wolności (Dz.U. z 1993 r. Nr 61, poz. 284), która stanowi, że każda osoba ma prawo do poszanowania swojego życia prywatnego i rodzinnego. Regułę tę przyjmuje art. 8 Karty Praw Podstawowych Unii Europejskiej: każdy ma prawo do ochrony danych osobowych, które go dotyczą. Dane te muszą być przetwarzane rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej ustawą. Wartość ta została wprowadzona do najważniejszych europejskich regulacji, w tym do konwencji nr 108 Rady Europy z 28 stycznia 1981 r. o ochronie danych osobowych w związku z automatycznym przetwarzaniu danych. Zgodnie z art. 5 pkt 3 tej konwencji dane osobowe będące przedmiotem automatycznego przetwarzania powinny być adekwatne, rzeczowe, niewykraczające poza cele, dla których są rejestrowane. Taką regulację przyjmuje dyrektywa 95/46 Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych w art. 6 regulującym zasady dotyczące jakości danych: dane powinny być przetwarzane rzetelnie i legalnie, prawidłowo, stosowne oraz nienadmierne ilościowo w stosunku do celów, dla których zostały zgromadzone i/lub dalej przetwarzane. W preambule dyrektywy w punkcie 28 przyjmuje się, że „Przetwarzanie danych osobowych musi być zgodne z prawem i rzetelne wobec zainteresowanych osób; w szczególności dane muszą być adekwatne, właściwe i nie wykraczające poza cele, dla których są przetwarzane; cele takie muszą być jednoznaczne i uzasadnione oraz określone w czasie gromadzenia danych; potrzeby dalszego przetwarzania danych dla potrzeb ich gromadzenia nie może być niezgodne z pierwotnie określonymi celami”.
Dla adekwatności istotne jest oparcie przetwarzania danych na zgodzie osoby, której dane dotyczą. Dyrektywa w art. 7 lit. a/ przyjmuje, że jednym z kryteriów legalności przetwarzania danych jest jednoznaczne wyrażenie zgody przez osobę, której dane dotyczą.
Zasadę równowagi praw i interesów stron przyjmuje art. 7 lit. f/ dyrektywy, stanowiąc, że kryterium legalności przetwarzania danych, to – „przetwarzanie danych jest konieczne dla potrzeb wynikających z uzasadnionych interesów administratora danych (…)”.
Te zasady zostały przyjęte w dyrektywie 97/66/WE Parlamentu Europejskiego i Rady z 15 grudnia 1997 r. dotyczącej przetwarzania danych osobowych oraz ochrony prywatności w sektorze telekomunikacyjnym i dyrektywie 2002/58 WE Parlamentu Europejskiego i Rady z 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej).
Według art. 161 ust. 3 ustawy z 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz.U. Nr 171, poz. 1800 ze zm.) „Oprócz danych, o których mowa w ust. 2 dostawca publicznie dostępnych usług telekomunikacyjnych może, za zgodą użytkownika będącego osobą fizyczną, przetwarzać inne dane tego użytkownika w związku ze świadczoną usługą, w szczególności numer identyfikacji podatkowej NiP, numer konta bankowego lub karty płatniczej, adres korespondencyjny użytkownika, jeżeli jest on inny niż adres miejsca zameldowania na pobyt stały tego użytkownika, a także adres poczty elektronicznej oraz numery telefonów kontaktowych”. Regulacja ta oparta jest na uwzględnieniu zasady adekwatności i równowagi praw i interesów stron. Zakres przetwarzanych danych za zgodą jest wyznaczony przez przedmiot danych: dane związane ze świadczoną usługą.
Ta szczegółowa regulacja jest wyczerpująca, a zatem nie ma podstaw do stosowania regulacji ogólnej przyjętej w art. 26 ust. 1 pkt 3 z 20 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.). Tak też przyjął w uzasadnieniu decyzji zaskarżonej do sądu Główny Inspektor Danych Osobowych „Zasada adekwatności wyrażona w ustawie o ochronie danych osobowych znajduje tym samym niejako swój odpowiednik w treści art. 161 ust. 3 Prawa telekomunikacyjnego, który to przepis uzależnia dopuszczalność przetwarzania przez dostawcę publicznie dostępnych usług innych danych użytkownika aniżeli wymienione w art. 161 ust. 2, od zgody użytkownika oraz od istnienia związku pomiędzy pozyskiwanymi w ten sposób danymi a świadczoną usługą”.
W tym stanie rzeczy, skoro skarga kasacyjna nie została oparta na usprawiedliwionej podstawie, na mocy art. 184 powołanej ustawy – Prawo o postępowaniu przed sądami administracyjnymi, Naczelny Sąd Administracyjny orzekł jak w sentencji.
