I OSK 221/07
2009-04-14
II Sa/Wa 1612/06 → I OSK 221/07
WYROK
W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ
Dnia 27 lutego 2008 r.
Naczelny Sąd Administracyjny w Warszawie po rozpoznaniu w dniu 27 lutego 2008r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej [...] Towarzystwo Ubezpieczeń SA z siedzibą w W. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 15 listopada 2006 sygn. akt II SA/Wa 1612/06 w sprawie ze skargi [...] Towarzystwo Ubezpieczeń SA z siedzibą w Warszawie na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] nr [...] w przedmiocie usunięcia uchybień w procesie przetwarzania danych osobowych postanawia:
umorzyć postępowanie w sprawie przed Naczelnym Sądem Administracyjnym
UZASADNIENIE
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 15 listopada 2006 r., sygn. akt II SA/Wa 1612/06 oddalił skargę [...] Towarzystwa Ubezpieczeń S.A. z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...], nr [...], w przedmiocie usunięcia uchybień w procesie przetwarzania danych osobowych.
Wyrok został wydany w następujących okolicznościach faktycznych i prawnych sprawy.
Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] nr [...]:
I. Nakazał [...] Towarzystwu Ubezpieczeń S.A. z siedzibą w W. usunięcie uchybień w procesie przetwarzania danych osobowych poprzez:
1) zaprzestanie zbierania danych osobowych potencjalnych klientów w zakresie szerszym niż jest to niezbędne dla realizacji celów przetwarzania danych (przedstawienia telefonicznej oferty ubezpieczeniowej), tj.: imienia, nazwiska, daty urodzenia, adresu zameldowania (lub zamieszkania), numeru telefonu, od dnia, kiedy niniejsza decyzja stanie się ostateczna,
2) zaprzestanie zbierania danych osobowych klientów (w wyniku fotografowania dowodu osobistego i prawa jazdy) w szerszym zakresie niż jest to niezbędne dla realizacji celu przetwarzania danych (wystawienia polisy, oceny ryzyka ubezpieczeniowego, wyliczenia składki i realizacji umowy ubezpieczenia), tj.: wizerunku ubezpieczonego, rysopisu, nazwiska rodowego, imion rodziców, miejsca urodzenia, poprzednich adresów zameldowania, od dnia, kiedy niniejsza decyzja stanie się ostateczna,
3) usunięcie danych osobowych osób, z którymi nie zawarto umowy ubezpieczenia, od dnia, kiedy niniejsza decyzja stanie się ostateczna,
4) uzupełnienie ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych o identyfikator użytkownika systemu informatycznego, w terminie 14 dni od dnia, kiedy niniejsza decyzja stanie się ostateczna.
II. W pozostałym zakresie GIODO postępowanie umorzył.
W uzasadnieniu decyzji organ wskazał, że zgodnie z art. 26 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane.
Generalny Inspektor Ochrony Danych Osobowych stwierdził, iż kontrolowany przez niego podmiot pozyskiwał dane osobowe poprzez zgłoszenia telefoniczne. Potencjalny klient otrzymywał informacje wynikające z art. 24 ustawy o ochronie danych osobowych, a także o tym, że rozmowa jest nagrywana. Operator informował potencjalnego klienta, że w przypadku wyrażenia przez niego zgody na przetwarzanie jego danych osobowych, powinien zaczekać na zgłoszenie się konsultanta, w przypadku niewyrażenia zgody, powinien się rozłączyć. Następnie konsultant ponownie informował potencjalnego klienta, że rozmowa jest nagrywana oraz, że jego dane zostaną zarejestrowane w bazie danych, a następnie zadawał pytanie o wyrażenie zgody na przetwarzanie danych osobowych przez Spółkę. Brak zgody powodował przerwanie przez konsultanta rozmowy, natomiast po uzyskaniu zgody konsultant zwracał się do potencjalnego klienta o podanie danych w następującym zakresie: imię i nazwisko głównego użytkownika pojazdu, datę urodzenia, adres zameldowania lub adres zamieszkania oraz numer telefonu. Udzielenie tych danych przez potencjalnego klienta było obowiązkowe na etapie tworzenia oferty, gdyż Spółka swoją ofertę ubezpieczeniową przedstawiała jedynie tym osobom, które podały dane. Na tym etapie potencjalny klient mógł podać dobrowolnie dane dodatkowe, tzn.: PESEL, stan cywilny, wykształcenie i zawód. Pozostałe dane, które podawał dotyczyły historii ubezpieczenia oraz pojazdu. Dane osobowe uzyskane podczas rozmowy telefonicznej były przez Spółkę wprowadzane do systemu informatycznego.
Generalny Inspektor Ochrony Danych Osobowych stwierdził, iż [...] Towarzystwo Ubezpieczeń S.A. z siedzibą w W. pomimo istnienia podstawy prawnej zawartej w art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych, tj. zgody osoby na przetwarzanie danych osobowych potencjalnych klientów na etapie tworzenia oferty, przetwarzało te dane z naruszeniem zasady wyrażonej w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych, gdyż na etapie tworzenia oferty wystarczające było podanie danych w zakresie: wiek, nazwa miejsca zamieszkania, ewentualnie stan cywilny oraz dane dotyczące historii ubezpieczenia i pojazdu, bez podawania danych indywidualizujących osobę.
Zgodnie z procedurą informatyczną oznaczoną symbolem 05-12, dotyczącą postępowania w sytuacji zgłoszenia przez klienta żądania usunięcia jego danych osobowych przyjęto, że usunięcie tych danych jest możliwe, gdy klient nie zaakceptował oferty ubezpieczeniowej, nie odebrał przesyłki i/lub nie opłacił składki. Jeśli klient po przeprowadzonej rozmowie telefonicznej żądał usunięcia danych osobowych, konsultant zaznaczał status klienta "GIODO - usunąć dane". Ta sama procedura dotyczyła również pozostałych przypadków, tj. gdy klient twierdził, że jego dane są w bazie danych i żąda ich usunięcia, bądź klient nie odebrał polisy lub nie opłacił składki. Zdaniem organu zbieranie danych osobowych, podanych na etapie rozmowy telefonicznej dotyczącej przedstawienia oferty ubezpieczeniowej, jest dla Spółki zbędne, a dalsze przetwarzanie tych danych wynika jedynie z faktu, iż klient nie zażądał ich usunięcia. Przetwarzanie danych potencjalnych klientów we wcześniej określonym zakresie jest nieadekwatne w stosunku do celów, w jakich są one przetwarzane, tj. w celu przedstawienia telefonicznej oferty ubezpieczeniowej.
W uzasadnieniu decyzji organ zauważył, iż w procesie odszkodowawczym klient lub poszkodowany dokonywał także zgłoszenia telefonicznego faktu zaistnienia zdarzenia objętego ubezpieczeniem i składał związany z tym zdarzeniem wniosek o uznanie szkody i wypłatę odszkodowania. Następnie rzeczoznawca dokonywał oględzin pojazdu, sporządzał raport z miejsca wypadku i wykonywał metodą cyfrową dokumentację fotograficzną, m.in. fotografował dowód osobisty, prawo jazdy i dowód rejestracyjny. Zakres danych osobowych przetwarzanych w systemie informatycznym w celu wystawienia polisy, oceny ryzyka ubezpieczeniowego, wyliczenia wysokości składki i realizacji umowy ubezpieczenia to: imię, nazwisko głównego użytkownika pojazdu, data urodzenia, adres zameldowania lub adres zamieszkania, numer telefonu, PESEL, stan cywilny, wykształcenie i zawód. Natomiast szerszy był zakres danych zebranych w wyniku fotografowania dowodu osobistego, obejmował on wizerunek ubezpieczonego, rysopis, nazwisko rodowe, imiona rodziców, miejsce urodzenia, informacje o poprzednich miejscach zameldowania, a w przypadku prawa jazdy - wizerunek.
Spółka, przy likwidacji szkody pozyskiwała zatem dane osobowe klientów w szerszym zakresie niż jest to niezbędne dla realizacji celu przetwarzania danych, tj. wystawienia polisy, oceny ryzyka ubezpieczeniowego, wyliczenia składki i realizacji umowy ubezpieczenia, co stanowi naruszenie zasady wyrażonej w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych.
Podczas kontroli ustalono również, że Spółka nie pozyskiwała zgody klienta na przetwarzanie jego danych osobowych, w przypadku gdy nie doszło do zawarcia z nim umowy ubezpieczenia. Przy odbiorze polisy wraz z niezbędną dokumentacją klient uiszczał opłatę, czym potwierdzał zawarcie umowy ubezpieczenia. Jeżeli opłata nie została uiszczona, to dokumenty zwracane były do Spółki, gdzie po uprzednim kontakcie telefonicznym z klientem, były anulowane. Jeżeli w taki sposób potencjalny klient zrezygnował z zawarcia umowy, usunięcie jego danych osobowych z systemu informatycznego możliwe było wyłącznie w przypadku wyrażenia takiego żądania. Spółka nie usuwała również danych osobowych potencjalnego klienta z bazy danych w przypadku, gdy istniało uzasadnione podejrzenie, że chciał on wyłudzić odszkodowanie, jak również danych zebranych na etapie przedstawienia oferty ubezpieczeniowej. Gdy natomiast nie dochodziło do zawarcia umowy ubezpieczenia, a klient nie zwrócił się o usunięcie jego danych osobowych, jego dane pozostawały w zbiorze danych prowadzonych przez Spółkę.
Ponadto Generalny Inspektor Ochrony Danych Osobowych wskazał, iż zgodnie z art. 39 ust. 1 ustawy o ochronie danych osobowych, administrator danych powinien prowadzić ewidencję osób zatrudnionych przy ich przetwarzaniu. Natomiast w Spółce ewidencja ta jest niepełna, gdyż nie zawiera identyfikatora użytkownika przetwarzającego dane.
W dniu 17 maja 2004 r. pełnomocnik Spółki złożył do Generalnego Inspektora Ochrony Danych Osobowych wniosek o ponowne rozpatrzenie sprawy, w którym wniósł o jej uchylenie w części objętej pkt 1-3 decyzji i umorzenie postępowania w tym zakresie. Odnosząc się do nakazu zaprzestania zbierania danych osobowych potencjalnych klientów pełnomocnik podniósł, że Spółka oferuje produkt ubezpieczeniowy zindywidualizowany - adresowany wyłącznie do telefonującego klienta. Nie jest możliwe złożenie oferty anonimowej. Klient otrzymuje ofertę już w trakcie pierwszej rozmowy z konsultantem. Jeśli nie decyduje się na zawarcie umowy od razu, dane identyfikujące są Spółce potrzebne do złożenia mu ponownej oferty.
Przedstawienie klientowi oferty dopasowanej do jego indywidualnych potrzeb jest możliwe dzięki precyzyjnej ocenie ryzyka ubezpieczeniowego, która jest między innymi dokonywana na podstawie wiarygodności potencjalnego klienta. Z uwagi na różne źródła, z których Spółka może pozyskać dane do weryfikacji klienta, potrzebne jest zbieranie danych w zakresie imienia, nazwiska, daty urodzenia, adresu zameldowania lub zamieszkania, numeru telefonu. Spółka ma prawo oceniać ryzyko na podstawie informacji otrzymanych od innych zakładów, biur informacji gospodarczych oraz baz danych Ubezpieczeniowego Funduszu Gwarancyjnego. Ponadto, Spółka weryfikuje podane przez klienta dane we własnych bazach danych. Ocena wiarygodności klienta na etapie składania indywidualnej oferty ubezpieczeniowej ma zasadnicze znaczenie dla oceny ryzyka ubezpieczeniowego. Spółka legitymuje się zgodą osoby, której dane dotyczą na przetwarzanie danych w zakresie, w którym te dane przetwarza. Klient może w każdym czasie tę zgodę wycofać, co skutkuje usunięciem jego danych z bazy danych Spółki.
Ustosunkowując się do nakazu zaprzestania zbierania danych osobowych klientów poprzez fotografowanie dowodu osobistego i prawa jazdy w zakresie szerszym niż jest to niezbędne dla realizacji celu przetwarzania danych, pełnomocnik Spółki wskazał, że zakres zbieranych danych dotyczy jedynie celów likwidacji szkody, a nie wystawienia polisy, oceny ryzyka ubezpieczeniowego, wyliczenia wysokości składki i realizacji umowy ubezpieczenia. Ponadto stwierdził, że użyte w nakazie określenie "niezbędne" nie jest tożsame z terminem "adekwatne", o którym mowa w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych, jak również, że fotografie dowodu osobistego i prawa jazdy są przydatne w przypadku sporów sądowych w związku z fałszowaniem tych dokumentów.
Odnosząc się do nakazu usunięcia danych osobowych osób, z którymi nie zawarto umowy ubezpieczenia pełnomocnik stwierdził, że Spółka przetwarza dane klientów oraz potencjalnych klientów na podstawie wyrażonej przez nich zgody. Zgoda ta obejmuje wykorzystanie danych w celu sporządzenia oferty ubezpieczeniowej, a przedstawienie kolejnych ofert jest w rzeczywistości jedyną działalnością marketingową Spółki.
Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...], Nr [...] zaskarżoną decyzję utrzymał w mocy.
Decyzja ta w części utrzymującej w mocy pkt 1 ppkt 1-3 stała się przedmiotem skargi [...] Towarzystwa Ubezpieczeń S.A. w W. do Wojewódzkiego Sądu Administracyjnego w Warszawie, w której podniesiono zarzut naruszenia art. 23 ust. 1 pkt 1, 2, i 5 ustawy o ochronie danych osobowych przez nieuwzględnienie podstaw prawnych do przetwarzania danych, które miało wpływ na wynik sprawy, naruszenie art. 26 ust. 1 pkt 3 tej ustawy przez błędną interpretację, naruszenie art. 18 ust. 1 pkt 6 w związku z art. 7 pkt 6 przez brak wskazania obowiązku oraz naruszenie art. 7, 9 i 107 k.p.a. przez niewyjaśnienie stanu faktycznego i nierozpatrzenie całej argumentacji Spółki, co mogło mieć istotny wpływ na wynik sprawy. W uzasadnieniu skargi pełnomocnik Spółki w jej zasadniczej części powtórzył argumenty przedstawione we wniosku o ponowne rozpatrzenie sprawy.
Generalny Inspektor Ochrony Danych Osobowych w odpowiedzi na skargę wniósł o jej oddalenie i podtrzymał argumenty wskazane w uzasadnieniu zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie, po rozpoznaniu skargi, wyrokiem z dnia 20 kwietnia 2005 r., sygn. akt II SA/Wa 1923/04 w pkt. 1 uchylił decyzję GIODO w takim zakresie, w jakim utrzymywała ona w mocy pkt. 1 ppkt. 2 decyzji poprzedzającej z dnia [...] Nr [...] oraz uchylił ten punkt decyzji poprzedzającej, w pkt 2 w pozostałym zakresie skargę oddalił.
W uzasadnieniu wyroku stwierdził, że z rozstrzygnięcia decyzji musi w sposób jednoznaczny wynikać jaki obowiązek zostaje nałożony na stronę. Tymczasem Generalny Inspektor Ochrony Danych Osobowych nakazując [...] Towarzystwu Ubezpieczeń S.A. zaprzestania zbierania danych osobowych klientów (w wyniku fotografowania dowodu osobistego i prawa jazdy) w szerszym zakresie niż jest to niezbędne dla realizacji celu przetwarzania danych (wystawienia polisy, oceny ryzyka ubezpieczeniowego, rysopisu, nazwiska rodowego, imion rodziców, miejsca urodzenia, poprzednich adresów zameldowania), nie określił na jakim etapie zobowiązany podmiot ma zaprzestać zbierania danych osobowych. W tym zakresie organ zobowiązany jest ponownie rozpatrzyć sprawę i wydać właściwe rozstrzygnięcie.
Jednocześnie Sąd, powołując się na treść art. 141 § 2 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. Nr 153, poz. 1270 ze zm., zwanej dalej P.p.s.a.), odstąpił od uzasadnienia wyroku z urzędu w części oddalającej skargę.
Jednakże w związku z wnioskiem strony o przywrócenie terminu do złożenia wniosku o uzasadnienie wyroku w części oddalającej skargę Wojewódzki Sąd Administracyjny w Warszawie przywrócił ten termin i sporządził stosowne uzasadnienie. Wskazał w nim, że zgodnie z wyrokiem NSA z dnia 19 kwietnia 2000 r. II SA 2619/99 przyjęte w ustawie o ochronie danych osobowych regulacje prawne winny być zbieżne z regulacjami prawnymi UE. Sąd powołał się następnie na podstawy przetwarzania danych wymienione w art. 23 ustawy i wskazał, że jego zdaniem zarzuty skarżącej są nieuzasadnione i stanowią własną interpretację przepisów ustawy, nieznajdującą potwierdzenia w materiale dowodowym. Zdaniem Sądu w sprawie nie naruszono również art. 7, 9 i 107 k.p.a. Organy prowadząc postępowanie nie naruszyły bowiem zasady prawdy obiektywnej a zaskarżona decyzja została wydana zgodnie z art.107 k.p.a.
[...] Towarzystwo Ubezpieczeń S.A. z siedzibą w W. wniosło do Naczelnego Sądu Administracyjnego skargę kasacyjną od powyższego wyroku w części oddalającej skargę, zarzucając naruszenie:
1) przepisów postępowania:
art. 141 § 1 i 141 § 2 P.p.s.a. poprzez uzasadnienie wyroku jedynie w części, w której Sąd skargę oddalił, a tym samym błędną wykładnię tych przepisów i ich niewłaściwe zastosowanie, co miało istotny wpływ na wynik sprawy bowiem strona została pozbawiona prawa do poprawnej weryfikacji wyroku przez Naczelny Sąd Administracyjny;
art. 141 § 4 P.p.s.a. poprzez nieprzedstawienie w częściowym uzasadnieniu wyroku stanu sprawy oraz niewyjaśnienie podstawy prawnej rozstrzygnięcia;
2) przepisów prawa materialnego:
art. 23 ust. 1 pkt 1; art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych w zw. z art. 18 ust. 1 ustawy z dnia 22 maja 2003 r. o działalności ubezpieczeniowej (Dz.U. z 2003 r. Nr 124, poz. 1151), oraz art. 23 ust. 1 pkt 5 poprzez nieuwzględnienie podstaw prawnych do przetwarzania danych osobowych, które miało wpływ na wynik sprawy, a tym samym błędną wykładnię tych przepisów oraz ich niewłaściwe zastosowanie;
art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych poprzez jego błędną wykładnię, które miało wpływ na wynik sprawy, oraz jego niewłaściwe zastosowanie.
Naczelny Sąd Administracyjny wyrokiem z dnia 13 lipca 2006 r. sygn. akt I OSK 1083/06, uchylił zaskarżony wyrok w zakresie punktu 2 i przekazał sprawę w tym zakresie do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie, natomiast w pozostałym zakresie skargę kasacyjną oddalił.
W uzasadnieniu tego wyroku Naczelny Sąd Administracyjny stwierdził, iż Sąd pierwszej instancji naruszył art. 141 § 1, 2 i 4 P.p.s.a. i to naruszenie mogło mieć istotny wpływ na wynik sprawy. Odnosząc się do zarzutów naruszenia prawa materialnego, stwierdził, że przesłanki przetwarzania danych zawarte w art. 23 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, mają charakter autonomiczny i są co do zasady równoprawne. Nie oznacza to jednak, iż obojętne jest w oparciu, o jaką z nich prowadzone jest przetwarzanie danych, ich konsekwencje prawne nie są bowiem identyczne, o czym świadczy m.in. art. 32 ust. 1 pkt 7 i 8 powołanej ustawy. Zdaniem Sądu drugiej instancji istotne jest w przedmiotowej sytuacji ustalenie, czy podstawą przetwarzania danych przez skarżącą była zgoda osoby, której dane ulegały przetworzeniu, czy przepis prawa, bądź też czy podstawa ta wynikała z niezbędności wypełniania usprawiedliwionych celów administratorów czy odbiorców danych, a przetwarzanie nie naruszało praw i wolności osoby, której dane dotyczą. Sąd pierwszej instancji nie ustalił tego faktu oraz nie ocenił zaskarżonej decyzji z punktu widzenia powołanych podstaw przetwarzania. Tymczasem te podstawy rzutują m.in. na zakres zbieranych i przetwarzanych danych, warunki tych czynności, ich ewentualną adekwatność czy niezbędność. W zmodyfikowanym w trakcie kontroli przez Spółkę komunikacie telefonicznym, klient wyrażą zgodę na przetwarzanie danych osobowych w celu sporządzenia oferty ubezpieczeniowej oraz w celach marketingowych. Klient, wyrażając zgodę na przetwarzanie jego danych osobowych w celu przedstawienia mu oferty ubezpieczeniowej, wyraża jednocześnie zgodę na przetwarzanie jego danych w celach marketingowych, nawet jeżeli nie dojdzie do zawarcia umowy ubezpieczenia. Generalny Inspektor Ochrony Danych Osobowych uznał, że przy tak sformułowanym komunikacie, klient nie ma możliwości wyrażenia zgody na przetwarzanie jego danych osobowych jedynie w celu przedstawienia mu oferty ubezpieczeniowej. Stwierdził również, że zgoda na przetwarzanie danych osobowych dla celów marketingowych powinna być odrębnym oświadczeniem woli, z treści którego wynikałaby zgoda na przetwarzanie w tym właśnie celu.
Naczelny Sąd Administracyjny wskazał także, iż w każdym przypadku dane osobowe winny być przetwarzane zgodnie z art. 26 ust.1 pkt 3 ustawy, a zatem muszą być merytorycznie poprawne i adekwatne w stosunku do celów. Oznacza to, zdaniem Naczelnego Sądu Administracyjnego, iż zebrane dane osobowe powinny być związane z celem przetwarzania. Cel ten powinien być wyraźnie określony, tak aby można było zbadać, czy zbierane dane nie wykraczają poza jego ramy, a więc czy są adekwatne w stosunku do potrzeb.
W ocenie Naczelnego Sądu Administracyjnego przy ponownym rozpoznawaniu sprawy Sąd pierwszej instancji powinien ocenić zaskarżoną decyzję z punktu widzenia możliwości przetwarzania danych przez skarżącą, wynikających z art. 23 ust.1 pkt 1, 2 i 5 ustawy o ochronie danych osobowych, uwzględniając przy tym fakt, iż ustawa stawia wyższe wymogi przetwarzania danych bez zgody zainteresowanego, niż za jego zgodą. Pierwsze z nich muszą być bowiem m.in. niezbędne i ważone z punktu widzenia porównania usprawiedliwionych celów administratora bądź odbiorcy danych, a praw i wolności posiadacza tych danych. Drugie natomiast, o ile nie zawierają wad oświadczenia woli, winny być jedynie merytorycznie poprawne i adekwatne. Oznacza to w konsekwencji, iż nie można legalizować danych przetwarzanych za zgodą danej osoby, lecz nieadekwatnych - przesłanką wynikającą z art. 23 ust.1 pkt 2 czy 5 ustawy o ochronie danych osobowych. Z tych ostatnich przesłanek wynikają bowiem bardziej restryktywne wymogi.
Wojewódzki Sąd Administracyjny w Warszawie po ponownym rozpoznaniu sprawy wyrokiem z dnia 15 listopada 2006 r. skargę [...] Towarzystwa Ubezpieczeń S.A. z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...], nr [...] w przedmiocie usunięcia uchybień w procesie przetwarzania danych osobowych oddalił.
W uzasadnieniu wyroku Sąd stwierdził, iż nie budzi wątpliwości stan faktyczny ustalony w sprawie. Procedura zbierania danych osobowych od klientów skarżącej polegała na tym, że dzwoniący pod numer telefonu 0 (prefiks 22) [...] uzyskiwał informację, że rozmowa jest nagrywana. Operator informował potencjalnego klienta, że w przypadku wyrażenia zgody na przetwarzanie danych osobowych przez Spółkę (w tym także w celach marketingowych) powinien zaczekać na zgłoszenie się konsultanta, a w przypadku niewyrażenia zgody powinien się rozłączyć. Po połączeniu z centrum sprzedaży, konsultant przypomina dzwoniącemu, że rozmowa jest nagrywana, a jego dane zostaną zarejestrowane w bazie danych, następnie pyta o wyrażenie zgody na przetwarzanie danych osobowych przez Spółkę. W przypadku, gdy rozmówca udzieli odpowiedzi odmownej konsultant rozłącza się. Po uzyskaniu zgody na przetwarzanie danych osobowych, konsultant zwraca się do rozmówcy, aby ten podał dane: imię i nazwisko głównego użytkownika pojazdu, datę urodzenia, adres zameldowania lub zamieszkania i numer telefonu, nadto klient musi podać informacje dotyczące historii pojazdu. Podanie tych danych jest obowiązkowe na etapie tworzenia oferty. Potencjalny klient może także podać dane dodatkowe takie jak: numer PESEL, stan cywilny, wykształcenie i zawód. [...] Towarzystwo Ubezpieczeń S.A. przedstawia swoją ofertę ubezpieczeniową jedynie osobom, które podadzą dane. Bezspornym jest również, że skarżąca Spółka nie udziela informacji o produktach bez podania danych osobowych, ponieważ jak twierdzi nie posiada globalnych produktów ubezpieczeniowych, a w jej ofercie są jedynie produkty zindywidualizowane. Dane te są od razu wprowadzane do systemu informatycznego Spółki (dowód protokół kontroli k. 240-264 akt administracyjnych). Jednocześnie, zgodnie z procedurą 05-12, dotyczącą postępowania w sytuacji zgłoszenia przez klienta żądania usunięcia jego danych osobowych, Spółka przewiduje usuniecie tych danych w przypadku, gdy klient nie zaakceptuje oferty ubezpieczeniowej, nie odebrał przesyłki lub nie opłacił składki. W sytuacji, gdy klient po przeprowadzonej rozmowie zażąda usunięcia danych osobowych, wówczas konsultant zaznacza status klienta "GIODO-usunąć dane". Taka sama procedura dotyczy również przypadków, gdy klient twierdzi, że jest w bazie danych i żąda ich usunięcia, bądź nie odebrał polisy lub nie opłacił składki.
Sąd pierwszej instancji wskazał, że w myśl przepisu art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych. Podkreślił, że zgoda ta powinna być wyraźna oraz powinna być uzyskana zgodnie z zasadami współżycia społecznego, co zdaniem Sądu oznacza, że osoba, od której uzyskano zgodę, powinna wiedzieć jaki jest zakres udzielanej zgody, a zatem jakie jej dane będą przetwarzane, przez kogo i w jakim celu. Ponadto zgodnie z treścią art. 23 ust. 2 cyt. ustawy zgoda taka powinna obejmować zgodę na przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetworzenia.
Natomiast w przedmiotowej sprawie osoba dzwoniąca pod podany przez Spółkę numer telefonu, już na etapie wstępnym połączenia miała obowiązek wyrażenia zgody na przetwarzanie danych osobowych. Brak takiej zgody powodował bowiem rozłączenie rozmowy, a tym samym uniemożliwiał zapoznanie się z ofertą [...] Towarzystwa Ubezpieczeń S.A. Zgoda na podanie danych osobowych była więc warunkiem sine qua non otrzymania oferty umowy ubezpieczenia, przy czym sformułowanie pytania ze strony skarżącej nie wskazywało, jaki ma być zakres tych danych, w jakim celu i jak długo będą one przetwarzane. W ocenie Sądu pierwszej instancji powyższa praktyka jest niezgodna z art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych, bowiem procedura uzyskiwania oświadczenia woli (zgody) od osoby dzwoniącej jest tak skonstruowana, że jeszcze przed zawarciem umowy daje ona faktycznie zgodę na przetwarzania swoich danych osobowych w nieokreślonym zakresie i celu. Brak było zatem podstaw do uznania, iż Spółka posiadała zgodę klientów na przetwarzanie ich danych osobowych.
Przechodząc do kolejnej przesłanki legalizującej przetwarzanie danych osobowych określonej w art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych Sąd pierwszej instancji wskazał, iż przepis ten stanowi, że przetwarzanie danych osobowych jest dopuszczalne wówczas, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Zgodnie z art. 18 ust. 1 ustawy z dnia 22 maja 2003 r. o działalności ubezpieczeniowej (Dz.U. Nr 124, poz. 1151 ze zm.) zakład ubezpieczeń ma obowiązek wyliczenia wysokości składki ubezpieczeniowej po dokonaniu oceny ryzyka ubezpieczeniowego.
Zdaniem Sądu pierwszej instancji przepis ten potwierdza jedynie prawo Spółki obliczenia ryzyka ubezpieczeniowego i żądania w tym celu niezbędnych danych, jednakże w żaden sposób nie wskazuje on na konieczność zbierania na tym etapie tworzenia oferty takich danych jak imię i nazwisko, data urodzenia, adres zameldowania oraz numer telefonu. Również pozostała cześć art. 18 ustawy o działalności ubezpieczeniowej nie statuuje takiego obowiązku, bowiem art. 18 ust. 2 dotyczy wskazania wysokości składki, zaś art. 18 ust. 3 wskazuje na obowiązek zbierania danych statystycznych przez zakład ubezpieczeń, a art. 18 ust. 4 i art. 18 ust. 5 dotyczą kwestii związanych z ustalaniem wysokości składki ubezpieczeniowej. Obowiązek zbierania danych osobowych przez ubezpieczyciela na etapie tworzenia oferty nie wynika także z innych przepisów prawa, w tym przede wszystkim mających podstawowe znaczenie dla funkcjonowania rynku ubezpieczeń majątkowych przepisów art. 805-814 Kodeksu cywilnego. Podstawy takiej nie stanowi również art. 3 ust. 2 ustawy o działalności ubezpieczeniowej, zgodnie z którym przez działalność ubezpieczeniową rozumie się wykonywanie czynności ubezpieczeniowych związanych z oferowaniem i udzielaniem ochrony na wypadek ryzyka wystąpienia skutków losowych. Oferowanie produktów ubezpieczeniowych polega zaś na ich reklamowaniu, przedstawianiu wariantów ubezpieczenia, a zatem do złożenia przez ubezpieczyciela oferty nie są niezbędne dane osobowe. Dopiero przy zawarciu przyszłej umowy ubezpieczenia niezbędna jest jedynie część danych osobowych. W tej sytuacji, Sąd pierwszej instancji uznał, iż brak jest podstawy prawnej do pobierania przez Spółkę na etapie tworzenia oferty danych osobowych takich jak: imię, nazwisko, data urodzenia, adres zamieszkania i numer telefonu. Podkreślił, iż nawet przy uzyskaniu zgody osoby dzwoniącej pobieranie takich danych nie spełnia kryterium adekwatności określonego w art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych.
Odnosząc się do kolejnej przesłanki legalizującej przetwarzanie danych osobowych określonej w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, Sąd pierwszej instancji wskazał, że wykładnia tego przepisu prowadzi do stwierdzenia, iż zezwala on na przetwarzanie danych osobowych bez zgody zainteresowanego, jeżeli jest to niezbędne dla wypełniania prawnie usprawiedliwionych celów, realizowanych przez danych odbiorców, a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą. Zgodnie z art. 23 ust. 4 cyt. ustawy za prawnie usprawiedliwiony cel, o którym mowa w art. 23 ust. 1 pkt 2 uważa się w szczególności: marketing bezpośredni własnych produktów lub dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. Treść omawianego przepisu wskazuje na bardziej ostre wymogi ustawowe, gdy chodzi o przetwarzanie danych osobowych bez zgody osoby zainteresowanej niż wtedy, gdy administrator danych taką zgodę posiada. Tak więc, jeśli dane przetwarzane są po wyrażeniu zgody, ale nie są adekwatne, nie mogą być legalizowane przesłanką z art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Przepis ten statuuje, zatem dwie przesłanki przetwarzania danych: pozytywną polegającą na niezbędności danych osobowych dla realizacji prawnie określonych celów i negatywną, tj. nienaruszalność przy tym praw i wolności obywatelskich. Obie te przesłanki muszą być spełnione łącznie.
Natomiast nie można dopatrywać się usprawiedliwionego celu w przetwarzaniu przez Spółkę danych osobowych osób, które chcą jedynie zapoznać się z jej ofertą (art. 3 ust. 1 i art. 18 ustawy o działalności ubezpieczeniowej).
Sąd pierwszej instancji stwierdził, że dane osobowe osób, z którymi nie podpisano umowy zawierały takie same informacje, jak dane osób, z którymi zawarto umowę. W tej sytuacji trudno jest mówić, aby te dane były adekwatne do prowadzonej akcji marketingowej, dla której wystarczałby adres oraz imię i nazwisko osoby, której chce się przedstawić ofertę. Dodatkowo Sąd zaznaczył, że konsultant w trakcie rozmowy telefonicznej nie pytał osoby dzwoniącej o zgodę na przetwarzanie jej danych osobowych w celach marketingowych, a zatem osoba ta nie miała świadomości, iż podane przez nią dane będą wykorzystywane w celach marketingowych. Tym samym, posiadane przez skarżącą dane osobowe nie były pozyskane w sposób zgodny z prawem.
W ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie w sytuacji, gdy podmiot prowadzący daną działalność gospodarczą, uzyskuje w sposób nieprawidłowy dane osobowe określonej osoby, przetwarza te dane dla celów marketingowych, a posiadane dane są nieadekwatne do prowadzonej działalności, naruszone jest prawo do prywatności osoby, której dane osobowe są przetwarzane. Przeciętnie zainteresowany konsument, który dzwoniąc do Spółki chce się jedynie zapoznać z ofertą Spółki, liczy na to, że usunięto jego dane osobowe, a więc nie będzie adresatem działalności marketingowej Spółki. Z tych względów w rozpatrywanej sprawie brak jest podstaw do uznania, że skarżąca w zakresie przetwarzania danych osobowych osób, z którymi nie podpisała umowy działała na podstawie art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.
W konsekwencji Sąd pierwszej instancji stwierdził, że po stronie Spółki nie wystąpiły przesłanki legalizujące przetwarzanie przez nią danych osobowych zarówno w stosunku do osób, z którymi zawarła umowy ubezpieczenia, jak i w stosunku do osób, z którymi zaprzestała kontaktu na etapie rokowania lub po nieprzyjęciu przez nich oferty.
Z tych względów Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 Ppsa skargę oddalił.
Skargę kasacyjną od powyższego wyroku do Naczelnego Sądu Administracyjnego wniosła [...] Towarzystwo Ubezpieczeń S.A. z siedzibą w W. i zaskarżając go w całości zarzuciła naruszenie:
1) prawa materialnego:
art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych w zw. z art. 190 P.p.s.a. poprzez nieuwzględnienie podstawy prawnej przetwarzania danych osobowych,
art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych związku z art. 18 ust. 1 ustawy z dnia 22 maja 2003 r. o działalności ubezpieczeniowej (Dz.U. z 2003 r. Nr 124, poz. 1151) w zw. z art. 190 P.p.s.a., poprzez nieuwzględnienie podstawy prawnej przetwarzania danych osobowych,
art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych w zw. z art. 190 P.p.s.a. poprzez nieuwzględnienie podstawy prawnej przetwarzania danych osobowych,
art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych w zw. z art. 190 P.p.s.a. poprzez jego błędną wykładnię i niewłaściwe zastosowanie;
2) przepisów postępowania, tj. obrazę art. 145 § 1 pkt 1 lit. c/ P.p.s.a. polegającą na przyjęciu za podstawę wyroku błędnych ustaleń faktycznych, które mogło mieć wpływ na wynik sprawy.
Wskazując na powyższe naruszenie prawa Spółka wniosła o uchylenie zaskarżonego wyroku i przekazanie sprawy Wojewódzkiemu Sądowi Administracyjnemu w Warszawie do ponownego rozpoznania oraz zasądzenie kosztów postępowania według norm przepisanych.
W uzasadnieniu skargi kasacyjnej podniosła, że Sąd pierwszej instancji błędnie przyjął, że osoba dzwoniąca, wyrażając zgodę na przetwarzanie jej danych osobowych nie wie jaki jest cel i zakres ich przetwarzania. Podkreśliła, że informacje ogólne na temat działalności Spółki były dostępne na jej stronie internetowej oraz wynikały z licznych kampanii reklamowych. Wskazała ponadto, że "sporządzenie oferty ubezpieczeniowej" oraz marketing bezpośredni produktów ubezpieczeniowych to jeden i ten sam - związany z prowadzoną działalnością ubezpieczeniową - cel zbierania danych przez Spółkę. Natomiast uzyskiwanie zgód osób dzwoniących, pomimo braku takiego obowiązku po stronie spółki, w związku ze spełnieniem innych autonomicznych przesłanek legalności przetwarzania danych (w szczególności art. 18 ust. 1 oraz usprawiedliwiony cel administratora danych, którym jest marketing bezpośredni produktów własnych), należy uznać za przejaw szczególnej staranności skarżącego.
Ponadto, zdaniem autora skargi kasacyjnej, przy analizie przesłanki przetwarzania danych określonej w art. 23 ust. 1 pkt 2 ustawy, Sąd pierwszej instancji powinien skoncentrować się na wykładni przepisów ustawy o działalności ubezpieczeniowej, w szczególności jej art. 18 ust. 1 w zw. z art. 3 ust. 1 i właściwie uzasadnić, czy te przepisy dają podstawę do przetwarzania danych osobowych w określonym zakresie. Zdaniem skarżącej, w myśl tych przepisów już samo oferowanie ochrony ubezpieczeniowej powinno być traktowane jako czynność podlegająca szczególnej regulacji. Oferta ubezpieczeniowa polega bowiem na ustaleniu warunków zawarcia umowy ubezpieczenia, w tym w szczególności na określeniu wysokości składek ubezpieczeniowych. Zgodnie zaś z art. 18 ust. 1 ustawy o działalności ubezpieczeniowej wysokość składek ubezpieczeniowych ustala zakład ubezpieczeń po dokonaniu oceny ryzyka ubezpieczeniowego przede wszystkim na podstawie uzyskanych od klienta danych we wniosku ubezpieczeniowym. Jak wynika z powyższego, oferta ubezpieczeniowa nie jest zwykłą ofertą sprzedaży towaru lub usługi. Z czynnością "oferowania" ochrony ubezpieczeniowej ustawa wiąże określone uprawnienia (lub nawet obowiązki) zakładu ubezpieczeń. To realizacja tych uprawnień i obowiązków ustawowych stanowi, zgodnie z powołanym art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych podstawę do pozyskiwania danych osobowych. Sposób i zakres pozyskiwania danych jest ściśle związany ze sposobem działania zakładu ubezpieczeń na rynku. Skarżąca podniosła, iż ocena dokonana przez Sąd pierwszej instancji jest nieuprawniona w kontekście wytycznych Naczelnego Sądu Administracyjnego, który nakazał zbadanie zakresu danych niezbędnych do stworzenia oferty ubezpieczeniowej.
Uzasadniając zarzut naruszenia art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych skarżąca wskazała, że każdy podmiot ma prawo przetwarzać dane osobowe dla celów marketingowych, nawet bez zgody osoby zainteresowanej, o ile są one do tego niezbędne i nie naruszają praw i wolności osoby, której dane dotyczą. Tak więc wykorzystanie danych osobowych klientów w celu marketingu bezpośredniego produktów ubezpieczeniowych przez Spółkę nawet bez zgody klientów jest całkowicie zgodne z ustawą o ochronie danych osobowych. Skarżąca wskazała, że uwzględniając wytyczne Naczelnego Sądu Administracyjnego zawarte w wyroku z dnia 13 lipca 2006 r., który stwierdził, że wynik oceny zaistnienia tej przesłanki "uzależniony będzie od tego, czy w sprawie przeważać będzie usprawiedliwiony interes administratora danych (odbiorcy), czy osoby której dane dotyczą. Interesy te mogą być ważone według różnych kryteriów (...) można przetwarzać dane w oparciu o tę podstawę jedynie wówczas, gdy dopuszczenie do ich przetwarzania jest dla zainteresowanego korzystne w takim stopniu, iż nie zarzuci on administratorowi naruszenia swych praw i wolności", zleciła firmie badawczej zbadanie opinii osób, które zdecydowały się na uzyskanie oferty ubezpieczenia z wykorzystaniem telefonu i internetu. Badania te wykazały, że z punktu widzenia przeciętnego konsumenta, przechowywanie danych w celu przedstawiania kolejnych ofert, bez potrzeby przekazywania ich ponownie przy następnych kontaktach, jak również samych danych kontaktowych, nie może być traktowane jako naruszenie praw i wolności. Większość respondentów uważa wręcz taką praktykę za wygodną dla nich i pożądaną. Zdaniem Spółki, podejmowane przez nią działania jakkolwiek leżą w interesie ekonomicznym firmy to jednak nie naruszają praw jednostki i nie godzą w jej prywatność. Spółka podniosła zarzut, że Sąd pierwszej instancji w żaden sposób nie ustosunkował się do ww. argumentów, co mając na względzie wytyczne Naczelnego Sądu Administracyjnego, powinien był uczynić analizując ewentualne naruszenie praw i wolności przeciętnego posiadacza danych.
Kolejny zarzut naruszenia przez Sąd pierwszej instancji art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych, Spółka uzasadniła tym, że w zaskarżonym wyroku przyjęto, iż zakres danych zbieranych przez Spółkę jest nieadekwatny do celu ich przetwarzania. Dokonując takiej oceny Sąd nie wziął pod uwagę takich elementów, jak m.in. różnorodności produktów ubezpieczeniowych, ryzyka ubezpieczeniowego i konieczności jego rzetelnej oceny, obowiązkowy, lub nieobowiązkowy charakter ubezpieczenia itd. W ocenie Spółki, Sąd błędnie zakwestionował prawo do przetwarzania danych osobowych w zakresie imienia, nazwiska, adresu, numeru telefonu powołując się na brak wymienienia tych danych w przepisie art. 18 ustawy o działalności ubezpieczeniowej. Ocena ryzyka ubezpieczeniowego, o której mowa w tym przepisie jest bowiem dokonywana na podstawie wiarygodności potencjalnego klienta. Zakład ubezpieczeń ma prawo do weryfikacji danych zawartych przez klienta we wniosku ubezpieczeniowym. Wypełnienie wniosku jest warunkiem koniecznym do przedstawienia oferty, ale nie jest równoznaczne z zawarciem umowy ubezpieczenia, gdyż właśnie na podstawie weryfikacji danych zawartych we wniosku zakład ubezpieczeń może w sposób istotny zmodyfikować warunki oferty lub w ogóle odstąpić od zawarcia umowy ubezpieczenia.
Ponadto, Sąd pierwszej instancji nie wziął pod uwagę, że Spółka analizując ryzyko ubezpieczeniowe ma przy tym prawo, w myśl art. 19 ust. 2 pkt. 22 ustawy o działalności ubezpieczeniowej, oceniać je na podstawie informacji pochodzących z innych Zakładów lub Towarzystw Ubezpieczeniowych, a także biur informacji gospodarczych. Spółka nie może przy tym zweryfikować tych informacji jeśli nie posiada imienia i nazwiska klienta, zaś data urodzenia jest dodatkową informacją indywidualizującą klienta.
Zdaniem autora skargi kasacyjnej, Sąd pierwszej instancji za podstawę rozstrzygnięcia przyjął również błędne ustalenia faktyczne, przez co naruszył art. 145 § 1 pkt 1 lit. c/ ustawy - Prawo o postępowaniu przed sądami administracyjnymi. Sąd uznał bowiem, że Spółka nie udziela informacji o produktach bez podania danych osobowych, podczas gdy informacje na temat ogólnej działalności ubezpieczeniowej [...] są podawane przez telefon oraz znajdują się na oficjalnej stronie internetowej ubezpieczyciela i aby je otrzymać nie trzeba podawać swoich danych osobowych. Dopiero stworzenie konkretnej oferty - poprzedzonej dokonaniem oceny ryzyka - adresowanej do indywidualnego klienta wymaga podania niezbędnych danych do wniosku ubezpieczeniowego, tj. imię, nazwisko, data urodzenia, adres zamieszkania.
Ponadto niezgodne ze stanem faktycznym jest ustalenie Sądu, że nie zbierano zgód na przetwarzanie danych osobowych w celach marketingowych, gdyż osobie dzwoniącej była udzielana informacja, że jej dane będą przetwarzane m.in. w celach marketingowych, a jeśli nie wyraża zgody na powyższe powinna się rozłączyć.
Generalny Inspektor Ochrony Danych Osobowych w odpowiedzi na skargę wniósł o jej oddalenie.
W piśmie procesowym z dnia 21 lutego 2008 r. [...] Towarzystwo Ubezpieczeń S.A. z siedzibą w W. cofnęło skargę kasacyjną wskazując, że z uwagi na upływ czasu stała się ona bezprzedmiotowa.
Naczelny Sąd Administracyjny zważył, co następuje:
Ustawa z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi nie zawiera przepisu przewidującego rozstrzygnięcie w sytuacji cofnięcia skargi kasacyjnej, lecz w art. 193 P.p.s.a. odsyła do odpowiedniego stosowania przepisów postępowania przed wojewódzkim sądem administracyjnym.
Z treści art. 161 § 1 pkt 1 P.p.s.a. wynika, że Sąd wydaje postanowienie o umorzeniu postępowania jeżeli skarżący skutecznie cofnął skargę. Zgodnie z art. 60 P.p.s.a. skarżący może cofnąć skargę. Cofnięcie skargi wiąże Sąd. Jednakże Sąd uzna cofnięcie skargi za niedopuszczalne, jeżeli zmierza ono do obejścia prawa lub spowodowałoby utrzymanie w mocy aktu lub czynności dotkniętych wadą nieważności. Wprawdzie przepis ten nie przewiduje cofnięcia środka odwoławczego, lecz art. 193 P.p.s.a. odsyłając do innych przepisów stanowi o ich odpowiednim stosowaniu. Należy zatem uznać, że odpowiednie zastosowanie przepisów o postępowaniu przed sądem pierwszej instancji do cofnięcia skargi kasacyjnej oznacza, że warunki wymienione w art. 60 P.p.s.a. odnoszą się także do skargi kasacyjnej. W niniejszej sprawie Sąd uznał cofnięcie skargi kasacyjnej za dopuszczalne.
Z tych względów, Naczelny Sąd Administracyjny na podstawie art. 60, art. 161 § 1 pkt 1 i art. 193 P.p.s.a. orzekł, jak w postanowieniu.
Sygnatura powiązana
