>Decyzje Giodo>2008 >

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH
Michał Serzycki

Warszawa, dnia stycznia 2008 r.

D E C Y Z J A

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania
administracyjnego (Dz. U. 2000 r. Nr 98 poz. 1071 ze zm.), art. 12 pkt 2, art. 22, art. 23 ust. 1 pkt 2 i 3
ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2002 r. Nr 101 poz. 926 ze
zm.) oraz art. 161 ust. 3 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. Nr 171,
poz. 1800 ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana X,
dotyczącej pozyskania przez Operatora Telekomunikacyjnego, jego danych osobowych zawartych
w jego dowodzie osobistym poprzez skopiowanie ww. dokumentu,

odmawiam uwzględnienia wniosku.

Uzasadnienie

Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pana X,
zwanego dalej Skarżącym, dotycząca pozyskania przez Operatora telekomunikacyjnego, zwanego
dalej Spółką, jego danych osobowych zawartych w jego dowodzie osobistym poprzez skopiowanie
ww. dokumentu. W przedmiotowej skardze Pan X podniósł, iż w dniu 6 grudnia 2006 r. kiedy
zawierał umowę o świadczenie usług telekomunikacyjnych ze Spółką, cyt.: „(...) podczas załatwiania
formalności sprzedawca wykonał kserokopię mojego dowodu osobistego bez mojej zgody, a nawet
wbrew moim protestom, aby tego nie robił. Uzależnił zawarcie umowy od wykonania kopii moich
dokumentów (...)”. W ocenie Skarżącego takie działanie Spółki narusza przepisy prawa. Wskazując na
powyższe Skarżący domagał się od Generalnego Inspektora nakazania Spółce zwrotu wykonanych
kopii jego dowodu osobistego, jak również złożenia wyjaśnień
w jakim celu Spółka gromadzi takie dokumenty, a także wydania przez Generalnego Inspektora opinii,
czy w związku z przedstawioną w skardze sytuacją może domagać się od Spółki odszkodowania.
W celu ustalenia okoliczności przedmiotowej sprawy Generalny Inspektor Ochrony
Danych Osobowych wszczął postępowanie administracyjne. Na podstawie zebranego w sprawie
materiału dowodowego dokonano następujących ustaleń:
1. Pan X w dniu 6 grudnia 2006 r. zawarł ze Spółką umowę o świadczenie usług
telekomunikacyjnych. Przy zawarciu ww. umowy doszło do skopiowania dowodu osobistego
Skarżącego, w wyniku czego Spółka pozyskała dane osobowe Skarżącego w zakresie imienia
i nazwiska, imion rodziców, adresu zamieszkania, nr PESEL, serii i nr dowodu osobistego, daty
urodzenia, wzrostu, koloru oczu oraz zdjęcia przedstawiającego wizerunek Skarżącego.
2. Jak wynika z oświadczenia podpisanego przez Skarżącego w dniu 6 grudnia 2006 r. (w aktach
sprawy) Skarżący wyraził zgodę na przetwarzanie przez Spółkę jego danych osobowych
zawartych w przedstawionych dokumentach potwierdzających jego tożsamość.
3. W piśmie z dnia 14 listopada 2007 r. (znak: NR 2060/1/…/DOD/2007) Spółka poinformowała,
iż zaprzestała przetwarzania danych Skarżącego w zakresie wzrostu, koloru oczu oraz zdjęcia
przedstawiającego wizerunek Skarżącego (pozyskanych poprzez skopiowanie jego dowodu
osobistego) poprzez komisyjnego zniszczenie archiwizowanej kserokopii dowodu osobistego
Pana X.
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego,
Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:
Stosownie do brzmienia art. 7 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych (Dz. U. 2002 r. Nr 101 poz. 926 ze zm.), zwanej dalej ustawą, pod pojęciem przetwarzania
danych rozumieć należy jakiekolwiek operacje wykonywane na danych osobowych, takie jak
zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie udostępnianie i usuwanie,
a zwłaszcza te, które wykonuje się w systemach informatycznych. Każda ze wskazanych w art. 7
pkt 2 ustawy form przetwarzania danych osobowych powinna znaleźć oparcie w jednej z przesłanek
warunkujących legalność procesu przetwarzania danych osobowych, enumeratywnie wymienionych
w art. 23 ust. 1 ustawy. Obok i niezależnie od zgody osoby, której dane dotyczą (art. 23 ust. 1 pkt 1
ustawy), przetwarzanie danych osobowych jest dopuszczalne między innymi gdy jest to niezbędne
dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (art. 23
ust. 1 pkt 2 ustawy), a także gdy jest to konieczne do realizacji umowy, gdy osoba, której dane
dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na
żądanie osoby, której dane dotyczą prawa (art. 23 ust. 1 pkt 3 ustawy). Zgoda osoby, której dane
dotyczą, na przetwarzanie tych danych nie tylko nie jest więc jedyną i wyłączną okolicznością
czyniącą proces przetwarzania danych legalnym, lecz ustawa nie daje również żadnych podstaw,
aby traktować ją w sposób uprzywilejowany - jako przesłankę główną, podstawową (por. J. Barta,
P. Fajgielski, R. Markiewicz „Ochrona danych osobowych. Komentarz” wydanie III Zakamycze
2004 r., str. 472).
Odnosząc powyższe rozważania do okoliczności niniejszej sprawy, wskazać należy,
iż Spółka przetwarza dane osobowe Skarżącego w związku ze świadczoną na jego rzecz usługą
telekomunikacyjną na podstawie zawartej ze Skarżącym umowy o świadczenie usług
telekomunikacyjnych.
Mając jednak na względzie to, że Skarżący domagał się od Generalnego Inspektora
nakazania Spółce zwrotu wykonanych kopii jego dowodu osobistego, w pierwszej kolejności wskazać
należy, iż zgodnie z art. 12 ustawy o ochronie danych osobowych, Generalny Inspektor Ochrony
Danych Osobowych jest organem do spraw ochrony danych osobowych. Zatem w świetle kompetencji
przyznanych mu ustawą o ochronie danych osobowych Generalny Inspektor może badać wyłącznie
legalność przetwarzania danych osobowych pod kątem ich zgodności z przepisami tej ustawy.
Generalny Inspektor nie może jednak ingerować w zawartość dokumentów, czy innych nośników, na
których dane osobowe zostały utrwalone. Przepisy ustawy o ochronie danych osobowych wyznaczające
zakres kompetencji Generalnego Inspektora odnoszą się bowiem wyłącznie do danych osobowych,
a nie do zawierających je nośników. Powyższe stanowisko znajduje swe oparcie w orzecznictwie
sądowoadministracyjnym, a w szczególności w wyroku Wojewódzkiego Sądu Administracyjnego
w Warszawie z dnia 6 września 2005 r. (sygn. akt II SA/Wa 825/05), w którym ww. Sąd dokonał
rozróżnienia pomiędzy „danymi osobowymi”, a „nośnikami zawierającymi dane osobowe”
wskazując, iż cyt.: „(...) ustawodawca posługuje się pojęciem „udostępnienia” odnosząc je zawsze
do danych osobowych, a nie do zawierających je dokumentów (...)”. Tym samym, ewentualne
nakazy formułowane przez Generalnego Inspektora na podstawie art. 18 ust. 1 ustawy, mogą
odnosić się wyłącznie do danych osobowych, a nie do zawierających je dokumentów. Ponadto
wskazać należy, iż w zakresie kognicji Generalnego Inspektora nie leży udzielanie porad prawnych
ani wydawanie opinii prawnych.
Wobec powyższego, w niniejszej sprawie Generalny Inspektor mógł oceniać wyłącznie
legalność i adekwatność pozyskania przez Spółkę danych osobowych Skarżącego zawartych w jego
dowodzie osobistym poprzez skopiowanie ww. dokumentu.
W tym miejscu wskazania wymaga, iż aktem prawnym zawierającym szczególne regulacje
prawne dotyczące przetwarzania danych osobowych w związku ze świadczoną przez operatora
telekomunikacyjnego usługą telekomunikacyjną jest ustawa z dnia 16 lipca 2004 r. Prawo
telekomunikacyjne (Dz. U. Nr 171, poz. 1800 ze zm.). Zgodnie z art. 161 ust. 1 Prawa
telekomunikacyjnego, z zastrzeżeniem ust. 2, treści lub dane objęte tajemnicą telekomunikacyjną
mogą być zbierane, utrwalane, przechowywane, opracowywane, zmieniane, usuwane lub
udostępniane tylko wówczas, gdy czynności te, zwane dalej „przetwarzaniem”, dotyczą usługi
świadczonej użytkownikowi albo są niezbędne do jej wykonania. Przetwarzanie w innych celach
jest dopuszczalne jedynie na podstawie przepisów ustawowych. Z kolei ust. 2 tego przepisu
stanowi, iż dostawca publicznie dostępnych usług telekomunikacyjnych jest uprawniony do
przetwarzania następujących danych dotyczących użytkownika będącego osobą fizyczną:
1) nazwisk i imion; 2) imion rodziców; 3) miejsca i daty urodzenia; 4) adresu miejsca
zameldowania na pobyt stały; 5) numeru ewidencyjnego PESEL - w przypadku obywatela
Rzeczypospolitej Polskiej; 6) nazwy, serii i numeru dokumentów potwierdzających tożsamość,
a w przypadku cudzoziemca, który jest obywatelem państwa niebędącego członkiem Unii
Europejskiej lub Europejskiego Obszaru Gospodarczego - numeru paszportu lub karty pobytu; 7)
zawartych w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy
publicznie dostępnych usług telekomunikacyjnych wynikającego z umowy o świadczenie usług
telekomunikacyjnych. Zgodnie natomiast z art. 161 ust. 3 Prawa telekomunikacyjnego, oprócz
danych, o których mowa w ust. 2, dostawca publicznie dostępnych usług telekomunikacyjnych
może, za zgodą użytkownika będącego osobą fizyczną, przetwarzać inne dane tego użytkownika
w związku ze świadczoną usługą, w szczególności numer identyfikacji podatkowej NIP, numer
konta bankowego lub karty płatniczej, adres korespondencyjny użytkownika, jeżeli jest on inny niż
adres miejsca zameldowania na pobyt stały tego użytkownika, a także adres poczty elektronicznej
oraz numery telefonów kontaktowych.
Z powołanego przepisu art. 161 ust. 3 Prawa telekomunikacyjnego wynika, iż za zgodą
użytkownika, mogą być przetwarzane również inne dane osobowe niż wymienione w ust. 2 tego
przepisu, o ile oczywiście przetwarzane są one w związku ze świadczoną usługą
telekomunikacyjną. Innymi słowy pozyskanie takich danych i dalsze ich przetwarzanie musi być
niezbędne dla prawidłowego świadczenia tej usługi. Przepis art. 161 ust. 3 Prawa
telekomunikacyjnego zawiera zatem jedną z podstawowych zasad przetwarzania danych
osobowych – zasadę adekwatności. Pozyskane dane muszą być adekwatne w stosunku do celu, dla
którego zostały pozyskane. Zaznaczenia przy tym wymaga, iż ta szczegółowa regulacja jest
wyczerpująca, a zatem nie ma podstaw do stosowania regulacji ogólnej przyjętej w art. 26 ust. 1
pkt 3 ustawy o ochronie danych osobowych. Zasada adekwatności wyrażona w ustawie o ochronie
danych osobowych znajduje tym samym swój odpowiednik w treści art. 161 ust. 3 Prawa
telekomunikacyjnego (por. wyrok Naczelnego Sądu Administracyjnego z dnia 10 października
2006 r., sygn. akt I OSK 1353/05).
W niniejszej sprawie Spółka pozyskała za zgodą Skarżącego inne dane niż wymienione
w art. 161 ust. 2 Prawa telekomunikacyjnego, a mianowicie poprzez skopiowanie jego dowodu
osobistego pozyskała dane w zakresie wzrostu, koloru oczu oraz zdjęcia przedstawiającego
wizerunek Skarżącego.
W tej sytuacji, Generalny Inspektor był zobligowany w niniejszej sprawie do badania
adekwatności w rozumieniu art. 161 ust. 3 Prawa telekomunikacyjnego, pomiędzy pozyskiwanymi
przez Spółkę danymi osobowymi w zakresie wzrostu, koloru oczu oraz zdjęcia przedstawiającego
wizerunek Skarżącego, a świadczoną na jego rzecz usługą telekomunikacyjną, a także celowości
(niezbędności) pozyskania ww. danych w związku ze świadczoną usługą.
W toku postępowania administrator danych – Spółka – uznał za zbędne przetwarzanie
danych Skarżącego w zakresie wzrostu, koloru oczu oraz zdjęcia przedstawiającego wizerunek
Skarżącego i w związku z tym przedmiotowe dane zostały przez Spółkę usunięte. Ocena
pozostałych danych przetwarzanych przez Spółkę prowadzi natomiast do wniosku, iż pozostają one
adekwatne dla potrzeb realizacji umowy z operatorem i takie przetwarzanie nie narusza zasad
ochrony danych osobowych.
Mając powyższe na uwadze, w tym stanie prawnym i faktycznym, Generalny Inspektor
Ochrony Danych Osobowych rozstrzygnął, jak na wstępie.
Decyzja jest ostateczna. Stronom, na podstawie art. 21 ust. 1 ustawy o ochronie danych
osobowych oraz art. 129 § 2 w zw. z art. 127 § 3 Kodeksu postępowania administracyjnego przysługuje,
w terminie 14 dni od dnia doręczenia niniejszej decyzji, prawo złożenia do Generalnego Inspektora
Ochrony Danych Osobowych wniosku o ponowne rozpatrzenie sprawy (adres: Biuro Generalnego
Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa).