Projekt Unijnego Rozporządzenia dot. ochrony danych osobowych
Na stronie internetowej KE możemy zapoznać się z projektem nowego aktu prawnego, który ma obowiązywać również w Polsce....

  
Wyszukiwarka orzeczeń i decyzji

Jeśli są Państwo zainteresowani otrzymaniem darmowego newslettera z informacjami dotyczącymi prawnej ochrony danych prosimy o podanie adresu e-mail:


Dodaj Usuń

Administratorem Twoich danych osobowych, udostępnionych dobrowolnie, jest Omni Modo z siedzibą w Warszawie (03-937), przy ul. Zwycięzców 45/29. Dane osobowe będą przetwarzane w celu przesyłania newslettera oraz będą udostępniane innym podmiotom współpracującym z Administratorem. Przysługuje Ci prawo dostępu do treści swoich danych oraz ich poprawiania.

Wyrażam zgodę na przesyłanie na udostępniony przeze mnie adres poczty elektronicznej newslettera zawierającego informację handlową w rozumieniu ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. 2002 nr 144 poz. 1204 z późn. zm.).

Więcej informacji dotyczących ochrony danych osobowych Użytkowników i Regulamin świadczenia usług drogą elektroniczną tutaj


  

>Orzecznictwo>WSA>2009 >



II SA/Wa 1685/08
2009-08-26

Orzeczenie prawomocne


WYROK


W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ


dnia 26 luty 2009 r.

 

 

Wojewódzki Sąd Administracyjny w Warszawie  po rozpoznaniu na rozprawie w dniu 26 lutego 2009 r. sprawy ze skargi P. S.A. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] września 2008 r. nr [...] w przedmiocie przetwarzania danych osobowych:

 

oddala skargę

 

 


Uzasadnienie:

Generalny Inspektor Ochrony Danych Osobowych, po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych I. K. przez P. S.A., decyzją z dnia [...] marca 2008 r., wydaną na podstawie art. 104 § 1 Kpa oraz art. 12 pkt 2 w zw. z art. 18 ust. 1 pkt 1 i 2, art. 23 ust. 1 pkt 1 i art. 26 ust. 1 pkt 3, oraz art. 32 ust. 1 pkt 3 i 4 i art. 33 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, póz. 926 ze zm.): 1) nakazał P. S.A. spełnienie wobec I. K. obowiązku informacyjnego, wynikającego z art. 32 ust 1 pkt 2,3 i 4 w zw. z art. 33 ustawy o ochronie danych osobowych, dotyczącego zakresu, treści oraz czasu pozyskania przez P. S.A. od C. Sp. z o.o. oraz T. Sp. z o.o. danych osobowych dotyczących I. K.; 2) nakazał P. S.A. zaprzestanie udostępniania danych osobowych I. K. innym operatorom telekomunikacyjnym dla potrzeb ustalania jego zdolności do regulowania płatności z tytułu świadczonych przez te podmioty usług telekomunikacyjnych, bez zgody I. K.; 3) w pozostałym zakresie odmówił uwzględnienia wniosku I. K..
Od powyższej decyzji P. S.A. złożył wniosek o ponowne rozpatrzenie sprawy w zakresie pkt. 1 i 2 decyzji.
W uzasadnieniu wniosku Spółka wskazała miedzy innymi, iż uzyskane od innych operatorów informacje o ewentualnym kontrahencie wynikają z wzajemnych umów pomiędzy przedsiębiorcami telekomunikacyjnymi i służą wyłącznie weryfikacji zdolności płatniczych potencjalnych klientów do regulowania zobowiązań z tytułu usług telekomunikacyjnych. Nadto odpowiedź udzielana jest jedynie w formie szyfru zawierającego albo "0" albo "1" - oznaczający, że dana osoba nie figuruje lub figuruje u danego operatora jako nierzetelny dłużnik, przy czym "0" może także oznaczać, że osoba ta nie była klientem tego operatora. Informacji tej P. S.A. nie przetwarza dalej, ani jej nie archiwizuje. Jest ona potrzebna jedynie w celu weryfikacji klienta przed zawarciem umowy. Zatem Spółka nie mogła uzyskanych w taki sposób informacji przedstawić I. K., w związku z jego żądaniami i dlatego, zdaniem Spółki, wykonała ona w całości obowiązek informacyjny wobec zainteresowanego. Nadto pkt. 1 sentencji decyzji nie wskazuje o jakie dane powinna być poszerzona informacja. Spółka kwestionowała również pkt. 2 decyzji, gdyż nie jest w posiadaniu danych osobowych I. K., albowiem w związku z nie zawarciem umowy o usługach telekomunikacyjnych, posiadane dane zniszczyła. Spółka zarzuciła także niezasadne przyjęcie przez organ, iż Spółka nie dysponowała w dniu 1 czerwca 2006 r. zgodą I. K. na przetwarzanie jego danych osobowych. Organ niezasadnie odmówił wiary przedstawionym przez Spółkę na tę okoliczność dowodom.
Generalny Inspektor Ochrony Danych Osobowych, po ponownym rozpatrzeniu sprawy, decyzją z dnia [...] września 2008 r. , na podstawie art. 138 § 1 pkt 1 Kpa i art. 12 pkt 2 w zw. z art. 18 ust. 1 pkt 1 i 2, art. 23 ust. 1 pkt 1 i art. 26 ust. 1 pkt 3, oraz art. 32 ust. 1 pkt 3 i 4 i art. 33 ust. 1 ustawy o ochronie danych osobowych, utrzymał w mocy zaskarżoną decyzję.
W uzasadnieniu decyzji organ wskazał co następuje:
Niniejsze postępowanie zainicjowane zostało pismem I. K., skierowanym do Generalnego Inspektora Ochrony Danych Osobowych, w którym wskazywał na uchybienia P. S.A. w zakresie przetwarzania jego danych osobowych. W szczególności domagał się wykonania przez Spółkę obowiązku informacyjnego w pełnym zakresie wynikającym z treści art. 33 ustawy, zaprzestania przez Spółkę przetwarzania jego danych osobowych i udostępniania ich innym podmiotom oraz wskazywał na bezpodstawne żądanie przez Spółkę podania nr PESEL, jako warunku udzielenia informacji w zakresie przetwarzania jego danych osobowych.
W toku postępowania administracyjnego organ ustalił następujący stan faktyczny:
W dniu 1 czerwca 2006 r. oraz w dniu 20 czerwca 2006 r. I. K. zainicjował procedurę zawarcia umowy o świadczenie usług telekomunikacyjnych z P. S.A. W trakcie tej procedury P. S.A. zwrócił się do T. Sp. z o.o. oraz C. Sp. z o.o. o sprawdzenie wiarygodności płatniczej I. K. i w tym celu przesłał do tych podmiotów drogą elektroniczną informację o numerze dowodu osobistego I. K. oraz jego numerze PESEL. W odpowiedzi na powyższe zapytania P. S.A. otrzymał od ww. operatorów informacje dotyczące ewentualnego posiadania przez I. K. zaległości płatniczych u tych operatorów. Ponieważ do zawarcia umowy o świadczenie usług telekomunikacyjnych nie doszło, I. K. pozwał P. S.A. do sądu powszechnego o odszkodowanie. Jak wynika z uzasadnienia sprzeciwu od nakazu zapłaty złożonego przez P. S.A., w wyniku powyższych zapytań P. S.A. pozyskał od ww. operatorów informacje dotyczące posiadania przez I. K. "zaległości u innych operatorów".
W dniu 2 czerwca 2006 r. I. K. wezwał P. S.A. do spełnienia wobec niego obowiązku informacyjnego, wynikającego z art. 33 ustawy o ochronie danych. W piśmie z dnia 8 czerwca 2006 r., będącym odpowiedzią na ten wniosek, P. S.A. odmówił spełnienia powyższego obowiązku albowiem zainteresowany nie przedstawił Spółce swojego nr PESEL. W dniu 20 lipca 2006 r. I. K. ponownie przesłał do P. S.A. swoje pismo z dnia 2 czerwca 2006 r. W odpowiedzi, P. S.A. zażądał numeru PESEL. Zainteresowany nie odpowiedział.
Pismem z dnia 16 stycznia 2007 r. I. K. ponownie zwrócił się do Spółki z wnioskiem o spełnienie obowiązku informacyjnego wynikającego z art. 32 ust. 1 - 5a i art. 33 ustawy o ochronie danych osobowych. Wnioskował m.in. o poinformowanie go o tym, w jaki sposób i kiedy zebrano jego dane osobowe oraz o treści przetwarzanych danych. W piśmie tym wskazał swój numer PESEL. W odpowiedzi na ten wniosek P. S.A. pismem z dnia 14 lutego 2007 r. poinformował o tym komu, w jakim zakresie i kiedy udostępnił jego dane osobowe (tj. T. Sp. z o.o. oraz C. Sp. z o.o. w dniach 1 czerwca 2006 r. i 20 czerwca 2006 r. - w zakresie nr PESEL i nr dowodu osobistego zainteresowanego), tłumacząc jednocześnie, iż udostępnienie to dokonane miało być "w celu uzyskania informacji o fakcie ewentualnego zaprzestania regulowania płatności z tytułu świadczonych usług telekomunikacyjnych wobec wspomnianych operatorów lub o fakcie zgłoszenia utraty dokumentów potwierdzających tożsamość". P. S.A. nie poinformował jednak w tym piśmie zainteresowanego o pozyskaniu dotyczących go danych osobowych z T. Sp. z o.o. oraz C. Sp. z o.o. ich zakresie, treści oraz czasu pozyskania.
Po otrzymaniu wspomnianych informacji I. K. pismem z dnia 20 lutego 2007 r. skierowanym do P. S.A. wskazał, że odpowiedź z dnia 14 lutego 2007 r. nie zawiera informacji "o źródle pochodzenia i treści komunikatów zawierających dane dotyczące mojej osoby uzyskanych z T. lub C.". P. S.A. nie udzielił żądanych informacji powołując się na art. 32 ust. 5 ustawy. Z kolei pismem z dnia 16 lipca 2007 r. I. K. zwrócił się do P. S.A. z kolejnym wnioskiem z art. 33 ustawy, żądając udzielenia informacji m.in. o tym jakie dane osobowe jego dotyczące P. S.A. "zebrał", od kogo oraz w jakim zakresie i kiedy je uzyskano. W odpowiedzi na ten wniosek, pismem z dnia 17 sierpnia 2007 r. Spółka poinformowała I. K. m.in., że jego dane zostały udostępnione T. Sp. z o.o. oraz C. Sp. z o.o. w dniach 1 czerwca 2006 r. i 20 czerwca 2006 r. "w celu uzyskania informacji o fakcie ewentualnego zaprzestania regulowania płatności z tytułu świadczonych usług telekomunikacyjnych wobec wspomnianych operatorów lub o fakcie zgłoszenia utraty dokumentów potwierdzających tożsamość".
Organ ustalił, że P. S.A. nie dysponował pisemną zgodą I. K. na przekazywanie dotyczących go informacji pomiędzy operatorami w celu sprawdzenia jego wiarygodności płatniczej.
Generalny Inspektor Ochrony Danych Osobowych nie dopatrzył się naruszenia ustawy o ochronie danych osobowych w działaniu P. S.A., polegającym na każdorazowym żądaniu od I. K. podania numeru PESEL, przed spełnieniem obowiązku informacyjnego wynikającego z art. 33 ustawy. Dlatego w tym zakresie organ odmówił uwzględnienia wniosku I. K. (pkt. 3 sentencji decyzji).
Organ wytknął P. S.A. nieterminowe (dopiero w dniu 9 sierpnia 2006 r.) udzielenie informacji na wniosek I. K. z dnia 2 czerwca 2006 r. Niemniej wobec tego, że Spółka ostatecznie udzieliła Panu I. K. informacji na podstawie art. 33 ustawy, brak jest, w ocenie organu, podstaw do wydania nakazu spełnienia ponownie obowiązku informacyjnego. Problem, iż udzielona informacja nie była pełna, stanowi odrębne zagadnienie.
Rozpatrując zarzut nie poinformowania I. K. przez P. S.A. o pozyskaniu danych od C. Sp. z o.o. oraz T. Sp. z o.o., organ stwierdził, że Spółka, kierując do zainteresowanego pisma z dnia 14 lutego 2007 r. oraz z dnia 17 sierpnia 2007 r. będące odpowiedziami na jego wnioski z art. 33 ustawy, poinformowała go o udostępnieniu jego danych osobowych C. Sp. z o.o. oraz T. Sp. z o.o., w celu uzyskania od tych operatorów informacji o fakcie ewentualnego "zaprzestania regulowania płatności z tytułu świadczonych usług telekomunikacyjnych". Nie poinformowała jednak zainteresowanego o zakresie, treści oraz czasie pozyskania od ww. operatorów dotyczących go danych. Dowody zgromadzone w niniejszej sprawie świadczą natomiast o tak szerokim zakresie pozyskania informacji. W uzasadnieniu wskazanego wyżej sprzeciwu od nakazu zapłaty Spółka wskazała, że w wyniku powyższych zapytań w dniach 1 i 20 czerwca 2006 r. P. S.A. pozyskał od ww. operatorów informacje dotyczące kwestii posiadania przez Pana I. K.a" zaległości u innych operatorów". W świetle przepisów ustawy o ochronie danych osobowych taka informacja jest daną osobową. Zgodnie z art. 6 ust. 1 ustawy o ochronie danych osobowych za dane osobowe uważa się bowiem wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Na podstawie tej definicji należy stwierdzić, że pozyskując od T. Sp. z o.o. i C. Sp. z o.o. takie informacje doszło do pozyskania przez P. S.A. danych, osobowych zainteresowanego. W konsekwencji powyższego, realizując obowiązek z art. 33 ustawy, Spółka o tym fakcie powinna I. K. poinformować. Ustalenia powyższe uzasadniają, w ocenie organu, wydanie nakazu opisanego w pkt. 1 sentencji decyzji.
Uzasadniając nakaz zaprzestania przez P. S.A. udostępniania danych osobowych I. K. bez jego zgody innym operatorom telekomunikacyjnym, organ wskazał, że z materiału dowodowego wynika, iż Spółka w dniu 1 oraz w dniu 20 czerwca 2006 r., w trakcie procedury zawierania ze Skarżącym umowy o świadczeniu usług telekomunikacyjnych, zwróciła się do T. Sp. z o.o. oraz C. Sp. z o.o. o sprawdzenie jego wiarygodności płatniczej, przekazując do tych podmiotów drogą elektroniczną informację o numerze dowodu osobistego I. K. oraz jego numerze PESEL. W świetle cytowanej już definicji danych osobowych te informacje są danymi osobowymi. A zatem ich udostępnienie powinno mieć podstawy w jednej z przesłanek z art. 23 ust. 1 ustawy, a konkretnie w przesłance zgody z pkt 1 art. 23 ust. 1 ustawy. Zgodnie z tą regulacją przetwarzanie danych jest dopuszczalne, gdy osoba, której dane dotyczą, wyrazi na to zgodę. Na podstawie okoliczności faktycznych i prawnych wykluczyć należy natomiast możliwość zaistnienia w sprawie innych przesłanek z tego przepisu, w tym przesłanki z pkt 2 art. 23 ust. 1, tj. istnienia uprawnienia lub obowiązku wynikającego z przepisu prawa, dla realizacji którego niezbędnym jest takie udostępnienie, w szczególności w związku z postanowieniami ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. Nr 171, póz. 1800 ze zm.). Prawo telekomunikacyjne nie przewiduje bowiem możliwości dokonania takiego udostępnienia.
W ocenie Generalnego Inspektora Ochrony Danych Osobowych materiał dowodowy nie pozwala na przyjęcie, że w chwili przekazywania powyższych danych osobowych P. S.A. dysponował w tym zakresie zgodą I. K. W toku postępowania Spółka nie była w stanie wykazać się posiadaniem tej zgody na piśmie. Co prawda ustawa o ochronie danych osobowych nie wymaga pozyskania pisemnej zgody na przetwarzanie danych (art. 7 pkt 5 i art. 23 ust. 1 pkt 1), jednakże w przypadku sporu co do istnienia takiej zgody Spółka powinna przedstawić na to stosowny dowód. To na niej spoczywa bowiem ciężar udowodnienia okoliczności, na którą się powołuje. W przedmiotowej sprawie P. S.A. takiego dowodu nie przedstawił. Nie można uznać za taki dowód żadnej z przedstawionych przez P. S.A. cytowanych wyżej notatek służbowych pracowników operatora. Co prawda w obydwu notatkach pracownicy powołują się na udzieloną przez zainteresowanego zgodę, jednakże ich wyjaśnienia pozostają w sprzeczności z twierdzeniami I. K. W takim przypadku, wobec niedysponowania przez P. S.A. materialnym dowodem w postaci pisemnego oświadczenia I. K. o wyrażeniu takiej zgody, brak jest wystarczających przesłanek do przyjęcia, iż zgodę tę w rzeczywistości wyraził. Przy uwzględnieniu faktu, że w tej sprawie nie znajdowały zastosowania także inne przesłanki z art. 23 ust. 1 ustawy, należy stwierdzić, że dane osobowe I. K. były udostępnione niezgodnie z ustawą o ochronie danych osobowych. W związku z tym, uwzględniając wniosek zainteresowanego w tym zakresie Generalny Inspektor Ochrony Danych Osobowych zdecydował jak w pkt 2 sentencji niniejszej decyzji.
Organ dogłębnie przeanalizował ten aspekt sprawy podczas ponownego jej rozpatrywania, czemu dał wyraz w uzasadnieniu decyzji z dnia [...] września 2008 r. Stwierdzono tam co następuje: Skarżący konsekwentnie podnosił w postępowaniu przed Generalnym Inspektorem Ochrony Danych Osobowych, że takiej zgody nie wyrażał. W wyjaśnieniach z dnia 20 czerwca 2008 r. wskazał on np., że zgody ani w formie ustnej, ani w formie pisemnej nie wyrażał i nie żądał zniszczenia przez pracownika P. S.A. dokumentów zawierających taką zgodę. Ponadto P. S.A. nie dysponuje taką zgodą, choć obowiązek jej odebrania podmiot ten nałożył na siebie w "Porozumieniu w sprawie określenia zasad współpracy w zakresie wzajemnego udostępniania informacji dotyczących niesolidnych klientów, wykazów skradzionych, zagubionych i sfałszowanych dokumentów lub ich blankietów oraz wprowadzenia jednakowych zasad dostępu do sieci umożliwiających wzajemne udostępniania wyżej wymienionych informacji zgodnie z obowiązującym prawem" z dnia 2 października 2001 r. Akt ten przewiduje, iż udostępnienie informacji, w takich jak analizowany przypadek, będzie dokonywane po uzyskaniu pisemnej zgody klienta, poprzez złożenie przez klienta oświadczenia, w którym wyraża zgodę na wzajemne udostępnienie przez operatorów dotyczących go informacji. Zauważyć przy tym należy, iż z notatek służbowych pracowników Spółki a także z analizy całości akt niniejszej sprawy nie wynika spójny obraz zdarzeń świadczących, iż I. K. wyraził zgodę na przetwarzanie jego danych osobowych przez P. S.A. w celu weryfikacji jego wiarygodności płatniczej. Z notatki A. P. wynika, iż Skarżący takiej zgody nie wyraził a wszelką dokumentację związaną z obsługą I. K. (pomimo żądania jej zniszczenia) ,,wysłała do działu archiwum". Z notatki tej wynika jednocześnie, że najpierw doszło do rozpoczęcia aktywacji usługi na rzecz I. K. (która wymagała uprzedniej weryfikacji wiarygodności płatniczej klienta za jego zgodą) a dopiero po weryfikacji dokumentów złożonych przez Pana I. K. (i ustaleniu, że nie wyrażą on owej zgody) pracownica Spółki zwróciła się do "Działu DWS" o wstrzymanie procesu aktywacyjnego. Z notatki T. W. wynika natomiast, że w przeciwieństwie do A. P., dokumenty, które miałyby dowodzić wyrażenia takiej zgody pracownik P. S.A. zniszczył na żądanie samego zainteresowanego kilka dni po ich złożeniu przez I. K. Ustawa nie wymaga, aby owa zgoda była wyrażona w formie pisemnej, jednakże w tej sprawie nie istnieją dowody na wyrażenie ani w formie pisemnej, ani choćby w formie ustnej. Na administratorze danych, a więc w tej sprawie na P. S.A., spoczywał obowiązek wykazania, że I. K. wyraził zgodę na udostępnienie swoich danych osobowych przez P. S.A. innym podmiotom. Spółka takiego dowodu nie przedstawiła. Z powyższej przedstawionych powodów nie mogą być przekonywującymi dowodami przedstawione przez P. S.A. i cytowane wcześniej, notatki służbowe pracowników P. S.A. Przedstawione wszystkie okoliczności sprawy świadczą, że nie doszło do spełnienia przesłanki z art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych.
W odniesieniu do zarzutu zawartego we wniosku o ponowne rozpatrzenie sprawy, iż przy pozyskiwaniu przez P. S.A. informacji od innych operatorów telekomunikacyjnych nie doszło do przetwarzania danych osobowych, ponieważ takiego charakteru nie ma informacja ujęta w formie komunikatu "0" lub "1", organ stwierdził, że z art. 6 ust. 1 ustawy o ochronie danych osobowych za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Zgodnie z ust. 2 tego przepisu osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. W świetle tego unormowania Spółka zwracając się do innych operatorów telekomunikacyjnych o sprawdzenie wiarygodności płatniczej I. K. i udostępniając w tym celu ww. podmiotom numer dowodu osobistego oraz numer PESEL zainteresowanego, udostępniła jego dane osobowe ww. podmiotom. Po drugie należy stwierdzić, że do udostępnienia danych osobowych doszło również, gdy w odpowiedzi na powyższe zapytania T. Sp. z o.o. oraz C. Sp. z o.o. udostępniły P. S.A. informację "0" albo "1". Zarówno komunikat "1" (w przypadku T. Sp. z o.o.) oznaczający że I. K. znajduje się na liście dłużników tego podmiotu, jak i komunikat o treści "0" (w przypadku C. Sp. z o.o. - oznaczający brak I. K. na liście dłużników, czy też, że nie jest abonentem tego operatora, stanowią w niniejszej sprawie dane osobowe. Obie informacje zostały w ten sam sposób wykorzystane (przetworzone) przez P. S.A. i posłużyły do ustalenia wiarygodności płatniczej zainteresowanego. W obu przypadkach, mamy do czynienia ze wskazanym art. 6 ust. 2 ustawy, specyficznymi czynnikami określającymi cechy ekonomiczne osoby, której dane dotyczą.
Bezzasadny, w ocenie organu, jest argument, że pozyskane od T. Sp. z o.o. i C. Sp. z o.o. dane dotyczące I. K. nie są przetwarzane przez Spółkę w zbiorze danych, co wyklucza możliwość zastosowania nakazu, określonego w pkt 1 decyzji z dnia [...] marca 2008 r. i opartego na treści art. 32 ust 1 pkt 2, 3 i 4 ustawy. Zgodnie z art. 2 ust. 2 pkt 2 ustawy o ochronie danych osobowych ustawę tę stosuje się również do przetwarzania danych osobowych w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych. Zdaniem Generalnego Inspektora Ochrony Danych Osobowych właśnie ten przepis nakazuje stosować w całości ustawę o ochronie danych osobowych w omawianej sprawie, w tym również odpowiednio przepisy określające katalog praw kontrolnych, przysługujących osobie, której dane dotyczą. Odmienne stanowisko w tym zakresie powodowałoby, iż podstawowych praw, wynikających z ustawy o ochronie danych osobowych pozbawione byłyby osoby, których dane w czasach szybkiego rozwoju technologicznego oraz ekspansji sieci Internet są w coraz szerszym zakresie przetwarzane w systemach informatycznych poza zbiorem danych. Wyłączenie stosowania art. 32 ust. 1 ustawy w tym przypadku byłoby sprzeczne z ratio legis tego aktu.
W odniesieni do zarzutu, iż I. K. posiada już informacje, których dotyczy nakaz sformułowany w zaskarżonej decyzji, oraz że ustawa o ochronie danych osobowych nie nakłada na administratora danych obowiązku sporządzenia pisma specjalnie w celu realizacji obowiązku informacyjnego z art. 33 ustawy, wymaga stwierdzenia, że art. 33 ust. 2 przewiduje możliwość żądania od administratora danych spełnienia obowiązku informacyjnego z art. 33 ust. 1 w formie pisemnej. Wbrew twierdzeniu Spółki zatem istnieje obowiązek sporządzenia w tym celu odpowiedniego pisma na wniosek osoby, która tego żąda. W niniejszej sprawie Pan I. K. taki wniosek sformułował. Ponadto brak jest dowodów, aby przyjąć, że obowiązek ten został spełniony w innej formie, tj. np. poprzez ustne przekazanie żądanych przez Skarżącego informacji przez przedstawiciela Spółki.
W odniesieniu do zarzutu, iż w pkt 2 decyzji z dnia [...] marca 2008 r. w sposób niejasny sformułowany został nakaz zaprzestania udostępniania danych osobowych I. K. innym operatorom telekomunikacyjnym, bez jego zgody bowiem powtarza obowiązek wynikający z przepisów prawa i nie precyzuje, na czym ma on tak naprawdę polegać, Generalny Inspektor Ochrony Danych Osobowych stwierdził, że nakaz ten jest konsekwencją nie respektowania przez Spółkę zasady legitymowania się zgodą zainteresowanego (art. 23 ust. 1 pkt 1 ustawy) na udostępnianie jego danych osobowych. W takim wypadku interwencja organu polegać musiała na sformułowaniu w decyzji administracyjnej - nakazu przestrzegania konkretnych zasad z ustawy o ochronie danych osobowych i nakazanie określonego działania zgodnego z ustawą o ochronie danych osobowych.
Generalny Inspektor Ochrony Danych Osobowych w uzasadnieniu zaskarżonej decyzji ustosunkował się także do zarzutu błędnego ustalenia stanu faktycznego przez przyjęcie, że były tylko dwie próby zawarcia umowy przez I. K. z P. S.A. (w dniach 1 i 20 czerwca 2006 r.) gdy w rzeczywistości, jak twierdzi Spółka, takich prób było trzy (jedna w dniu 1 czerwca 2006 r. oraz dwie w dniu 20 czerwca 2006 r.). Generalny Inspektor Ochrony Danych Osobowych wskazał, iż nigdy nie twierdził, że I. K. dokonał tylko dwóch prób zawarcia umowy z P. S.A. Wskazywał jedynie, że takie próby miały miejsce w dniach l i 20 czerwca 2006 r. Poza tym liczba owych prób nie ma znaczenia dla oceny, czy dokonując weryfikacji wiarygodności płatniczej zainteresowanego u innych operatorów w dniach 1 i 20 czerwca 2006 r. P. S.A. działał w zgodzie z unormowaniami ustawy o ochronie danych osobowych.
W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie P. S.A wniósł o uchylenie zaskarżonej decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] września 2008 r. w całości, jak również - z ostrożności procesowej - o uchylenie decyzji poprzedzającej z dnia [...] marca 2008 r. w zakresie pkt 2 i 3 sentencji tej decyzji (tu nastąpiła omyłka pisarska, jak wynika z treści uzasadnienia skargi powinno być pkt 1 i 2 sentencji tej decyzji - przypis Sądu).
Zaskarżonej decyzji zarzucał naruszenie:
1) art. 63 w zw. z art. 128 w zw. z art. 140 Kpa - poprzez orzekanie w zaskarżonej decyzji z dnia [...] września 2008 r. ponad zakres zaskarżenia, określony przez skarżącego we wniosku o ponowne rozpatrzenie sprawy;
2) art. 6 ust. 1 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych - poprzez błędne przyjęcie, że komunikaty, jakie P. S.A. uzyskał od C. Sp. z o.o. i T. Sp. z o.o., stanowiły dane osobowe Pana I. K.;
3) art. 32 ust. 1 pkt 2, 3 i 4 powyższej ustawy- poprzez błędne przyjęcie, że przepis ten ma zastosowanie także do informacji, które nie są przetwarzane w zbiorze danych osobowych;
4) art. 63 w zw. z art. 128 w zw. z art. 140 Kpa oraz art. 18 ustawy- poprzez utrzymanie w mocy, na podstawie zaskarżonej decyzji, nakazu nałożonego w pkt 2 sentencji decyzji z dnia [...] marca 2008 r., wykraczającego poza zakres postępowania prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych, a polegającego na uniemożliwieniu skarżącemu przekazania innym operatorom telekomunikacyjnym informacji o hipotetycznym (ewentualnym) zadłużeniu I. K. wobec Spółki z tytułu korzystania z usług telekomunikacyjnych świadczonych przez P. S.A.;
5) art. 18 ustawy oraz art. 104 Kpa - poprzez utrzymanie w mocy, na podstawie zaskarżonej decyzji, nakazu wyrażonego w pkt 2 sentencji decyzji z dnia [...] marca 2008 r., który jest bezprzedmiotowy, albowiem stanowi powtórzenie (potwierdzenie) ustawowych wymogów (w postaci uzyskania zgody) dotyczących przetwarzania (tu: przekazywania) danych osobowych I. K.;
6) art. 32 ust. 1 pkt 4 w zw. z art. 18 ust. 1 pkt 1 ustawy - poprzez błędne określenie w pkt 1) sentencji decyzji z dnia [...] marca 2008 roku zakresu obowiązku informacyjnego, jaki ma zostać spełniony wobec I. K.;
7) art. 7, art. 77 § 1 w zw. z art. 104 § 1 Kpa - poprzez dokonanie błędnych ustaleń stanu faktycznego w oparciu o niedostateczny materiał dowodowy, uwzględniając wyłącznie wyjaśnienia I. K.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie i w uzasadnieniu swojego stanowiska przytoczył argumentację zawartą w uzasadnieniu zaskarżonej decyzji. Organ ustosunkował się także do poszczególnych zarzutów skargi, wskazując na ich niezasadność.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Stosownie do treści art. 13 § 2 Prawa o postępowaniu przed sądami administracyjnymi do rozpoznania sprawy właściwy jest wojewódzki sąd administracyjny, na którego obszarze właściwości ma siedzibę organ administracji publicznej, którego działalność została zaskarżona.
Natomiast zgodnie z treścią art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, póz. 1269 ze zm.), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującymi w dacie jej wydania.
Dokonując kontroli zgodności z prawem zaskarżonej decyzji stwierdzić należy, że nie narusza ona prawa w stopniu uzasadniający jej uchyleniem, ani stwierdzeniem jej nieważności, zaś skarga nie jest uzasadniona.
Na wstępie należało rozważyć zarzut natury proceduralnej - nieprawidłowego zakresu przedmiotowego rozstrzygnięcia sprawy przez organ decyzją z dnia [...] września 2008 r.
Rozważając ten zarzut należy mieć na względzie trzy istotne aspekty procesowe niniejszego rozstrzygnięcia. Po pierwsze zaskarżona decyzja nie została wydana w zwykłym (klasycznym) trybie odwołania, jaki przewiduje Kodeks postępowania administracyjnego, gdy odwołanie od decyzji organu I instancji rozpatruje organ wyższej instancji (art. 127 § 1 Kpa), ale w drodze wniosku o ponowne rozpatrzenie sprawy, a więc szczególnego trybu kontroli prawidłowości decyzji (art. 127 § 3 Kpa). Zatem w niniejszej sprawie organ nie tylko powinien zbadać prawidłowość i zasadność żądania strony, ale, co należy przede wszystkim tu podkreślić, powinien dokonać ponownego rozpatrzenia sprawy w dosłownym rozumieniu tego wyrażenia. Po drugie w trybie ponownego rozpatrzenia sprawy nie wszystkie zasady określone w treści art. 138 Kpa znajdują swoje bezpośrednie zastosowanie. Daje temu wyraz samo brzmienie uregulowania art. 127 § 3 Kpa - stanowiące, że przepisy art. 138 Kpa stosuje się odpowiednio, a wiec nie stosuje się wprost, ale stosuje się odpowiednio do potrzeb sposobu rozstrzygania sprawy wynikającego z odmienności wniosku o ponowne rozpatrzenie sprawy od klasycznego odwołania. Po trzecie, podkreślić tu należy, iż sformułowanie, zastosowane przez Generalnego Inspektora Ochrony Danych Osobowych w sentencji zaskarżonej decyzji z dnia [...] września 2008 r., mieści się generalnie w kategorii dopuszczalnych przez ustawodawcę rozstrzygnięć, określonych w art. 138 Kpa.
Nadto, co trafnie zauważa organ w odpowiedzi na skargę, takie szerokie rozpoznanie sprawy, w zakresie całości decyzji z dnia [...] marca 2008 r. wynikało z treści uzasadnienia wniosku o ponowne rozpatrzenie sprawy. W sentencji wniosku o ponowne rozpatrzenie sprawy Spółka wskazała, że zaskarżeniu podlega tylko pkt 1 i 2 decyzji z dnia [...] marca 2008 r., jednakże dalej, w uzasadnieniu tego wniosku (str. 9) P. S.A. odniósł się wprost do punktu 3 ww. decyzji. Ponieważ o treści pisma (tu: zakresie zaskarżenia) nie świadczy tylko jego sentencja ale jego całość, także treść uzasadnienia, zasadne było potraktowanie przez organ wniosku o ponowne rozpatrzenie sprawy jako dotyczącego całości decyzji (wszystkich trzech jej punktów). W przeciwnym razie organ mógłby spotkać się z zarzutem rozstrzygnięcia sprawy w zbyt wąskim zakresie, niezgodnym z wszystkimi zarzutami wniosku o ponowne rozpatrzenie sprawy.
Z tych też wszystkich, powyższy względów zarzut natury proceduralnej - naruszenia art. 63 w zw. z art. 128 i w zw. z art. 140 Kpa poprzez orzekanie w zaskarżonej decyzji z dnia [...] września 2008 r. ponad zakres zaskarżenia, określony przez skarżącego we wniosku o ponowne rozpatrzenie sprawy, stanowiący pierwszy zarzut skargi, nie jest trafny i nie może stanowić przyczyny uchylenia zaskarżonej decyzji, ani stwierdzenia jej nieważności.
Pozostałe zarzuty skargi jak i cała sprawa, co trafnie zauważa skarżąca Spółka w uzasadnieniu skargi, sprowadzają się w zasadzie do rozstrzygnięcia dwóch kluczowych zagadnień:
Po pierwsze, czy I. K. wyraził wobec P. S.A., przy choćby jednej z podejmowanych kilkakrotnie prób zawarcia umowy o świadczenie usług telekomunikacyjnych, zgodę na udostępnienie swoich danych osobowych (tu: PESEL i dane dowodu osobistego) innym podmiotom telekomunikacyjnym (tu: T. Sp. z o.o. i C. Sp. z o.o.), celem uzyskania przez skarżąca Spółkę informacji w zakresie czy I. K. jest dłużnikiem tych podmiotów, a także czy jego dokument tożsamości został zaliczony do utraconych (skradzionych itp.), które to informacje potrzebne były Spółce w celu zweryfikowania klienta.
Po drugie czy P. S.A., uzyskawszy od T. Sp. z o.o. lub C. Sp. z o.o. komunikaty, stanowiące odpowiedź na powyższe zapytanie, był zobowiązany, w myśl art. 32 ust. 1 pkt 2, 3 i 4 ustawy o ochronie danych osobowych, do udzielenia I. K., na jego żądanie, informacji o "zakresie, treści i czasie pozyskania" tych danych.
Wbrew twierdzeniom i wywodom skargi, pierwsze z wyżej prezentowanych zagadnień zostało prawidłowo i wszechstronnie wyjaśnione przez Generalnego Inspektora Ochrony Danych Osobowych w uzasadnieniu decyzji z dnia [...] września 2008 r.
Ponownie rozpoznając przedmiotową sprawę, organ dokładnie rozpytał I. K. na okoliczność udzielenia przez niego zgody na przetwarzanie przez P. S.A. jego danych osobowych. Następnie organ dokonał oceny zebranego w tym aspekcie materiału dowodowego w postaci wyjaśnień I. K. oraz wyjaśnień pracowników Spółki i pisma procesowego Spółki w postępowaniu cywilnym, wskazał na rozbieżności w tych wyjaśnieniach i skonfrontował je z faktem nie legitymowania się obecnie przez Spółkę żadnym dokumentem potwierdzającym zgodę I. K. oraz organ zbadał czy zgoda ta nie została wyrażona w inny pisemny sposób. W rezultacie tych działań i ustaleń Generalny Inspektor Ochrony Danych Osobowych uznał, że materiał dowodowy nie pozwala na przyjęcie za udowodnioną tezy Spółki, iż w chwili przekazywania powyższych danych osobowych, innym operatorom telekomunikacyjnym, P. S.A. dysponował zgodą I. K. na przetwarzanie jego danych osobowych. Materiał dowodowy wbrew twierdzeniom skargi wskazywał, iż doszło do przetwarzania danych osobowych I. K. bez spełnienia którejkolwiek z przesłanek z art. 23 ust. 1 ustawy o ochronie danych osobowych, w tym przesłanki wymienionej w pkt 1 tego przepisu, stanowiącej, że przetwarzanie danych jest dopuszczalne za zgodą osoby, której dane dotyczą. I. K. twierdził, że takiej zgody nigdy nie wyrażał, a P. S.A. nie dysponuje taką zgodą, choć obowiązek jej uprzedniego uzyskania sam na siebie nałożył w "Porozumieniu w sprawie określenia zasad współpracy w zakresie wzajemnego udostępniania informacji dotyczących niesolidnych klientów, wykazów skradzionych, zagubionych i sfałszowanych dokumentów lub ich blankietów oraz wprowadzenia jednakowych zasad dostępu do sieci umożliwiających wzajemne udostępniania wyżej wymienionych informacji zgodnie z obowiązującym prawem"
z dnia 2 października 2001 r. Akt ten przewiduje, iż udostępnianie informacji w takich jak analizowany przypadek, będzie dokonywane po uzyskaniu pisemnej zgody klienta, poprzez złożenie przez klienta oświadczenia, w którym wyraża zgodę na wzajemne udostępnienie przez operatorów dotyczących go informacji. Z przedstawionych przez P. S.A. dowodów, tj. notatek służbowych pracowników Spółki nie wynika spójny obraz zdarzeń świadczących, iż I. K. wyraził zgodę na przetwarzanie jego danych osobowych przez P. S.A. w celu weryfikacji jego wiarygodności płatniczej (na udostępnienie jego danych T. Sp. z o.o. i C. Sp. z o.o.). Podkreślić przy tym należy, że to na administratorze danych, a więc na P. S.A., spoczywa obowiązek wykazania (udowodnienia), iż działa zgodnie z przepisami prawa, a konkretnie, że I. K. wyraził zgodę na udostępnienie jego danych przez P. S.A. ww. podmiotom. Spółka takiego dowodu nie przedstawiła. Uznanie to, w ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie, nie wykracza poza granice swobodnej oceny dowodów. Świadczy o tym niezwykła rzetelność i skrupulatność w zgromadzeniu wszystkich dowodów oraz ich wszechstronna analiza, a także, co przy tak postawionym zarzucie jest szczególnie istotne, dokładne i wyczerpujące uzasadnienie dlaczego organ nie dał wiary dowodom przedstawionym przez skarżącą Spółkę i dlaczego dał wiarę twierdzeniom I. K. Przedstawiona w tym zakresie przez Generalnego Inspektora Ochrony Danych Osobowych argumentacja jest prawidłowa pod względem proceduralnym i co najważniejsze przekonywująca.
Z tych też względów nie jest zasadny siódmy zarzut skargi, podnoszący naruszenie w powyższym zakresie przez organ art. 7, art. 77 § 1 w zw. z art. 104 § 1 Kpa. Nadto ustalenie braku legitymowania się przez P. S.A. zgodą I. K. na przetwarzanie jego danych osobowych bezpośrednio rzutuje na dalsze rozstrzygnięcia, będące niejako konsekwencją niezgodnego z prawem działania Spółki.
Przechodząc z kolei do drugiego kluczowego zagadnienia - czy P. S.A. był zobowiązany, w myśl art. 32 ust. 1 pkt 2, 3 i 4 ustawy o ochronie danych osobowych, do udzielenia I. K., na jego żądanie, informacji o "zakresie, treści i czasie pozyskania" danych od T. Sp. z o.o. i C. Sp. z o.o. w wyniku tzw. postępowania weryfikacyjnego klienta - potwierdzić należy istnienie w niniejszej sprawie po stronie skarżącej Spółki powyższego obowiązku. Szersze uzasadnienie tego poglądu łączy się ściśle z pozostałymi zarzutami skargi, o czym niżej. Tu wypada jedynie nadmienić, iż nakładane na operatora danych osobowych terminy określone a art. 32, a także czasowe ograniczenie osobie zainteresowanej prawa do informacji, wynikające z uregulowania zawartego w ust. 5 tego przepisu, uzasadniają aby udzielona przez informatora informacja była pełna, a wiec zawierająca także informacje o zakresie, treści i czasie pozyskania przez operatora od innych podmiotów danych osobowych zainteresowanego. Brak takiej całościowej odpowiedzi, czy też udzielanie jej wybiórczo, lub etapami (jak to czynił P. S.A. w swoich późniejszych pismach kierowanych do zainteresowanego), zaciemnia obraz sprawy i utrudnia osobie zainteresowanej podjecie właściwej oceny co do rzetelności przetwarzania jej danych osobowych jak i utrudnia oceną zgodności tego przetwarzania z udzieloną zgodą.
Zgodnie z art. 6 ust. 1 ustawy o ochronie danych osobowych za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Zgodnie zaś z ust. 2 tego przepisu osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określając jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Zatem do przetwarzania danych doszło zarówno wtedy gdy Spółka zwróciła się do T. Sp. z o.o. i C. Sp. z o.o. w dniach 1 i 20 czerwca 2006 r. o sprawdzenie wiarygodności płatniczej I. K., udostępniając im jego dane osobowe (numer dowodu osobistego oraz numer PESEL), jak również wtedy, gdy w odpowiedzi na powyższe zapytania ww. podmioty udostępniły P. S.A. zakodowaną informację "0" i "1" - gdzie "1" oznaczało, że I. K. znajduje się na liście dłużników T. Sp. z o. o., natomiast "0" (w przypadku C. Sp. z o.o.) oznaczało, że I. K. na liście dłużników się nie znajduje, czy też nie jest abonentem tego operatora - gdyż na gruncie niniejszej sprawy uzyskane w wyniku odpowiedzi informacje stanowią dane osobowe. Obie te informacje zostały nadto w ten sam sposób wykorzystane (przetworzone) przez P. S.A., służąc do ustalenia wiarygodności płatniczej I. K.
Nie jest zatem zasadny zarzut drugi skargi, naruszenia art. 6 ust. 1 ustawy.
Nie zasługuje na uwzględnienie zarzut trzeci skargi, naruszenia art. 32 ust. 1 pkt 2, 3 i 4 ustawy, poprzez błędne przyjęcie, iż ma on zastosowanie również do informacji, które nie są przetwarzane w zbiorze danych. Trafnie podnosi organ w odpowiedzi na skargę, iż całokształt materiału dowodowego nie wskazuje, aby dane, których ma dotyczyć sporny obowiązek informacyjny, nie były przetwarzane przez P. S.A w zbiorze danych. Świadczy o tym choćby to, że dla pozyskania tych danych P. S.A. działa co do zasady, na podstawie zgody osoby, której dane dotyczą (w niniejszej sprawie Spółka utrzymuje, że zgodę taką I. K. wyraził), a więc przetwarza dane na podstawie art. 23 ust. 1 pkt 1 ustawy. Warto jednak zauważyć, że gdyby jednak Spółka chciała pozyskać dane w celu innym niż włączenie do zbioru (jak podnosi w tym zarzucie), to w analizowanym przypadku skorzystałaby z art. 29 ust. 2 ustawy, który przewiduje możliwość pozyskania ich na wniosek, "w celach innych niż włączenie do zbioru" od innych administratorów danych (tu: T. Sp. z o.o. i C. Sp. z o.o.) i nie musiałaby na takie pozyskanie danych uzyskiwać zgody osoby, której dane dotyczą. Co więcej, z analizy akt sprawy wynika iż, pozyskane dane - informacje, służące ocenie wiarygodności płatniczej I. K., były pozyskane i analizowane w ścisłym powiązaniu z danymi osobowymi I. K., które Spółka już przetwarzała w zbiorze danych o nazwie "baza abonencka", "archiwum dokumentów papierowych", "archiwum elektroniczne 2". Powyższe ustalenia prowadzą do wniosku, że dane pozyskane przez P. S.A. od T. Sp. z o.o. i C. Sp. z o.o. były przetwarzane w zbiorze danych. Niezależnie od powyższego warto zauważyć, że co prawda w art. 32 ust. l mowa jest o prawie do kontroli przetwarzania danych w zbiorach danych, jednakże w niniejszej sprawie nie ma to żadnego znaczenia. Przepis ten należy bowiem stosować tu jedynie pomocniczo i w ograniczonym zakresie, i tylko w uzupełnieniu art. 33 ustawy, który nakłada na administratora danych obowiązek udzielenia określonych informacji w zakresie wskazanym art. 32 ust. 1 pkt 1-5a. Odniesienie się w art. 33 ust. 1 do pkt 1-5a art. 32 ust. 1 służy temu, aby precyzyjnie wskazać podmiotowi zobowiązanemu zakres obowiązku informacyjnego jaki ma być spełniony, a nie - jak podnosi Spółka - wyłączać ten obowiązek w przypadku, gdy dane nie są przetwarzane w zbiorze danych. Zwrócić trzeba uwagę, że ustawodawca nie wskazuje, że w przypadku spełniania obowiązku z art. 33 ust. 1 należy stosować odpowiednio art. 32 ust. 1, ale jedynie - powtórzyć należy - wskazuje, że administrator danych ma udzielić informacji "o których mowa w art. 32 ust. 1 pkt 1-5a". Należy podkreślić ponadto, iż zgodnie z art. 2 ust. 2 pkt 2 ustawy o ochronie danych osobowych, ustawę stosuje się do przetwarzania danych osobowych w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych. Ten przepis nakazuje stosować w całości ustawę o ochronie danych osobowych w omawianej sprawie, w tym również odpowiednio przepisy określające katalog praw kontrolnych przysługujących osobie, której dane dotyczą. Odmienne stanowisko w tym zakresie powodowałoby, iż podstawowych praw wynikających z ustawy o ochronie danych osobowych pozbawione byłyby osoby, których dane w czasach szybkiego rozwoju technologicznego oraz ekspansji sieci Internet są w coraz szerszym zakresie przetwarzane w systemach informatycznych zbiorem danych. Wyłączenie stosowania art. 32 ust. 1 ustawy w tym przypadku byłoby sprzeczne z ratio legis tego aktu.
Bezzasadny jest także czwarty i piaty zarzut skargi, dotyczący treści pkt 2 decyzji z dnia [...] marca 2008 r. Wbrew twierdzeniom Spółki, nakaz zawarty w tym punkcie jest sformułowany w sposób jasny i precyzyjny. Wydany został w konsekwencji nie respektowania przez P. S.A. ustawowego obowiązku legitymowania się zgodą I. K. (art. 23 ust. 1 pkt 1 ustawy) na udostępnianie jego danych osobowych innym operatorom telekomunikacyjnym na potrzeby ustalenia jego zdolności do regulowania płatności z tytułu świadczonych przez te podmioty usług. W takim wypadku interwencja organu polegać musiała na sformułowaniu w decyzji administracyjnej nakazu przestrzegania konkretnych zasad z ustawy o ochronie danych osobowych. Skoro Spółka w swojej działalności uchybia ustawowym obowiązkom, zadaniem organu ochrony danych osobowych jest interwencja w formie decyzji administracyjnej i nakazanie określonego działania zgodnego z ustawą o ochronie danych osobowych. Organ musiał zatem niejako powtórzyć określony zapis ustawy, tylko tak bowiem mógł wskazać i zapobiec dalszego naruszania prawa wobec I. K. przez Spółkę. Podkreślić tu należy, iż wzajemny obowiązek informacyjny o swoich klientach wynika także ze wskazywanej w postępowaniu administracyjnym, wielostronnej umowy pomiędzy operatorami telekomunikacyjnymi. Dzięki tak sformułowanemu zakazowi P. S.A. zwolniony jest z tego umownego obowiązku wobec innych operatorów w zakresie danych osobowych I. K., zarówno jako podmiot żądający informacji jak i jej udzielający. Z treści owego nakazu bezspornie i wyraźnie wynika, iż dotyczy on udostępniania danych osobowych I. K. innym operatorom telekomunikacyjnym w celu ustalenia zdolności I. K. do regulowania płatności z tytułu świadczonych przez inne podmioty usług telekomunikacyjnych. W ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie nakaz ten jest czytelny i uzasadniony, wobec wyżej stwierdzonego braku zgody I. K. na przetwarzanie jego danych osobowych przez P. S.A., a zatem także i braku zgody na ich udostępnianie przez Spółkę innym podmiotom. Trafnie zatem Generalny Inspektor Ochrony Danych Osobowych w decyzji z dnia [...] września 2008 r. potwierdził zasadność rozstrzygnięcia zapadłego w tym zakresie w decyzji poprzedzającej z dnia [...] marca 2008 r.
Wojewódzki Sąd Administracyjny w Warszawie nie potwierdził prawidłowości szóstego zarzutu skargi, iż w pkt l decyzji z dnia [...] marca 2008 r. organ błędnie określił nakaz dotyczący spełnienia wobec I. K. obowiązku informacyjnego i nakaz ten nie odpowiada treści art. 32 ust. 1 pkt 4 w zw. z art. 18 ust. 1 ustawy. Jak już zasygnalizowano wyżej ten aspekt sprawy, I. K. nie otrzymał od P. S.A. pełnych informacji w zakresie swojego żądania opartego na treści art. 32 i 33 ustawy. W informacjach tych zabrakło zakresu, treści oraz czasu pozyskania przez P. S.A. od C. Sp. z o.o. oraz T. Sp. z o.o. danych osobowych dotyczących I. K., o co tenże prosił skarżąca Spółkę. Żądania I. K. opierało się w tym zakresie na treści art. 32 ust. 1 pkt. 2, 3 i 4 ustawy ochronie danych osobowych. Zatem P. S.A. powinien wykonać do końca (w pełnym zakresie) obowiązek informacyjny wobec I. K. o brakujące, wyżej wymienione dane. Słusznie zatem Generalny Inspektor Ochrony Danych Osobowych spełnienie tego obowiązku nałożył na Spółkę w pkt. 1 decyzji z dnia [...] marca 2008 r. i słusznie istnienie tego obowiązku podtrzymał, utrzymując w mocy swoją poprzedzająca decyzję, decyzja z dnia [...] września 2008 r. Ponieważ, co już wyjaśniono, I. K. nie wyrażał zgody na przetwarzanie jego danych osobowych, zwłaszcza na udostępnianie ich innym podmiotom telekomunikacyjnym, jak i z uwagi na to, że uzyskanie przez niego pozostałych informacji (nieobjętych nakazem pkt. 1 decyzji) już nastąpiło - stosowne pisma Spółki kierowane do I. K., organ słusznie uznał konieczność wydania decyzji w tym przedmiocie jedynie do określonych ściśle w decyzji treści. Takie rozstrzygniecie jest tu, w ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie, wystarczające.
 

Copyright (c) 2007 by E-Ochronadanych.pl - Wszelkie prawa zastrzeżone Polityka prywatności | Regulamin | Nota prawna
Kopiowanie materiałów - zabronione Ustawa o ochronie danych osobowych | GIODO | Administrator bezpieczeństwa informacji