II SA/Wa 1242/08
2010-01-06
II SA/Wa 1242/08 → I OSK 227/09
Orzeczenie prawomocne
WYROK
W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ
dnia 5 grudnia 2008 r.
Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu na rozprawie w dniu 5 grudnia 2008 r. sprawy ze skargi B. w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] lipca 2008 r. nr [...] w przedmiocie ochrony danych osobowych
oddala skargę
Uzasadnienie
W dniu [...] maja 2008 r. Generalny Inspektor Ochrony Danych Osobowych wydał decyzję sygn. [...], nakazującą B. w W., usunięcie uchybień w procesie przetwarzania danych osobowych poprzez:
1) przetwarzanie danych osobowych użytkowników imiennych przedpłaconych kart płatniczych na podstawie zgody wyrażonej przez użytkowników ww. kart, w terminie trzech miesięcy od dnia, w którym decyzja stanie się ostateczna,
2) realizację obowiązku informacyjnego, o którym mowa w art. 25 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), wobec użytkowników imiennych przedpłaconych kart płatniczych, w terminie trzech miesięcy od dnia, w którym decyzja stanie się ostateczna.
W dniu [...] czerwca 2008 r. od tej decyzji B. w W. złożył wniosek o ponowne rozpatrzenie sprawy.
Generalny Inspektor Ochrony Danych Osobowych, po rozpatrzeniu wniosku o ponowne rozpatrzenie sprawy, wydał decyzję w dniu [...] lipca 2008 r. sygn. [...], którą utrzymał w mocy zaskarżoną decyzję na podstawie art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) zwanej dalej kpa oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1 oraz art. 22 w związku z art. 23 ust. 1 pkt 1 i art. 25 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Generalny Inspektor Ochrony Danych Osobowych uzasadniając rozstrzygnięcie wskazał, że decyzja z dnia [...] maja 2008 r. wydana została w oparciu o obowiązujące przepisy prawa, ponieważ B. jako administrator danych osobowych użytkowników imiennych przedpłaconych kart płatniczych winien uzyskać ich zgodę na przetwarzanie danych osobowych oraz dopełnić wobec tych osób obowiązku informacyjnego wynikającego z art. 25 ust. 1 ustawy o ochronie danych osobowych.
Generalny Inspektor Ochrony Danych Osobowych ustalił, że B. w W. oferuje dwa rodzaje przedpłaconych kart płatniczych: imienne i bezimienne. Produkty są skierowane do podmiotów z sektora prywatnego oraz publicznego, natomiast nie są przeznaczone dla osób indywidualnych. Umowa o wydanie przedpłaconych kart płatniczych oraz obsługa operacji dokonywanych przy ich użyciu zawierana jest z podmiotem, który staje się posiadaczem karty i może ją przekazać do użytkowania wybranym przez siebie osobom fizycznym. Wyłącznie posiadacz karty decyduje o przyznaniu bądź o odebraniu karty użytkownikowi. Celem zbierania przez B. danych użytkowników imiennych i bezimiennych przedpłaconych kart płatniczych jest obsługa tych kart, tzn. możliwość zastrzeżenia karty w chwili jej utraty, przyjęcia reklamacji od użytkownika, sprawdzenia przez użytkownika stanu transakcji na karcie, możliwość weryfikacji z danymi podanymi przez posiadacza w przypadku aktywacji kart imiennych. W przypadku wydawania kart imiennych posiadacz wskazuje użytkowników kart przekazując B. ich dane osobowe obejmujące: imię i nazwisko, nr PESEL, datę urodzenia, adres. Dane przekazywane są elektronicznie za pośrednictwem udostępnionego przez B. systemu lub na nośniku CD. Z treści umowy o wydanie przedpłaconej imiennej karty płatniczej wynika, że "posiadacz, jako administrator danych zbioru danych osobowych użytkowników kart, zobowiązuje się do uzyskania zgody każdego użytkownika karty na przetwarzanie jego danych osobowych objętych ochroną danych osobowych oraz tajemnicą bankową, w tym na ich udostępnianie przez B. stronom trzecim w kraju i za granicą w zakresie niezbędnym do wydawania i należytej obsługi kart. Ryzyko związane z uzyskaniem zgody leży po stronie posiadacza. Posiadacz uzyska od użytkowników oświadczenie następującej treści: potwierdzam, iż zostałem poinformowany o tym, że moje dane osobowe zostaną udostępnione B. w W. w celu wykonywania przez niego czynności bankowych niezbędnych do obsługi Karty Płatniczej [...]".
Organ stwierdził, że w zakresie realizacji umowy o wydanie przedpłaconych kart płatniczych oraz obsługę operacji dokonywanych przy ich użyciu to B. decyduje o celach i środkach przetwarzania danych osobowych użytkowników przedpłaconych imiennych kart płatniczych. W gestii B. pozostają bowiem wszelkie aspekty przetwarzania danych osobowych użytkowników ww. kart, poczynając od określenia celu ich zbierania, zakresu przetwarzania danych, wykorzystywanych środków technicznych oraz organizacyjnych. Określenie zasad funkcjonowania produktu, jakim jest karta przedpłacona, w tym dotyczących przetwarzania danych osobowych jej użytkowników, leży po stronie B. jako profesjonalisty specjalizującego się w dostarczaniu tego rodzaju usług. Natomiast posiadacz wydanych kart przedpłaconych, jest zleceniodawcą usługi, w ramach, której dochodzi do przetwarzania danych osób przez niego wskazanych i przetwarzanie to odbywa się na zasadach określonych przez B. Podmiot ten decyduje komu B. powinien wydać do użytkowania wskazane karty i jaka ilość środków ma być zdeponowana w B. Może mu oczywiście również przysługiwać przymiot administratora przekazanych danych, ale z innego tytułu, np. pozostawania pracodawcą osób, którym przekazał karty do użytkowania. W takiej sytuacji decydowanie przez niego o celach i środkach przetwarzania danych dotyczy tych innych aspektów działalności, natomiast pozostaje bez wpływu na okoliczność, iż w zakresie obsługi kart to B. decyduje zarówno o celach, jak i środkach przetwarzania danych.
Generalny Inspektor Ochrony Danych Osobowych uznał, że mimo iż w umowie o wydanie przedpłaconych kart płatniczych oraz obsługę operacji dokonywanych przy ich użyciu zawarto postanowienia mające charakter powierzenia przetwarzania danych osobowych, to w istocie B. nie przetwarza danych osobowych na zasadzie powierzenia określonego w art. 31 ust. 1 ustawy o ochronie danych osobowych, lecz jako ich administrator.
Zgodnie z art. 31 ust. 1 ustawy o ochronie danych osobowych, administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Zasadniczą kwestią decydującą o uznaniu, czy podmiot przetwarzający dane osobowe jest ich administratorem jest stwierdzenie, czy decyduje on o celach i środkach przetwarzania tych danych. Organ nie zgodził się ze stanowiskiem B., iż nie decyduje on o celach i środkach przetwarzania danych, lecz jedynie dokonuje operacji na danych w wykonaniu umowy powierzenia.
Stwierdził, że przepisy ustawy o ochronie danych osobowych nie sprzeciwiają się możliwości przyznania przymiotu administratora danych obu stronom umowy, jeżeli każda z nich w swoim zakresie decyduje o ww. okolicznościach.
Zdaniem organu, B. jest administratorem danych osobowych użytkowników imiennych przedpłaconych kart płatniczych, a zarazem powinien legitymować się przynajmniej jedną przesłanką wskazaną w art. 23 ust. 1 ustawy o ochronie danych osobowych. W przedmiotowej sytuacji podstawę prawną przetwarzania danych ww. osób powinna stanowić zgoda na przetwarzanie danych osobowych, czyli przesłanka, o której mowa w art. 23 ust. 1 pkt 1 tej ustawy.
Konsekwencją uznania B. za administratora danych osobowych użytkowników imiennych przedpłaconych kart płatniczych jest konieczność stwierdzenia, iż B. powinien spełniać ustawowe obowiązki nałożone na administratorów danych, w tym jest zobligowany do informowania osób, których dane dotyczą, o okolicznościach wskazanych w art. 25 ust. 1 ustawy o ochronie danych osobowych. Zgodnie z art. 25 ust. 1 ustawy, w przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę bezpośrednio po utrwaleniu zebranych danych, o : 1) adresie swojej siedziby i pełnej nazwie (...); 2) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych; 3) źródle danych; 4) prawie dostępu do treści swoich danych oraz ich poprawiania; 5) uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8 ustawy.
Organ stwierdził, że B. wyżej wskazanych obowiązków nie realizuje.
W skardze do Sądu B. w W. wniósł o uchylenie w całości decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] lipca 2008 r. oraz poprzedzającej ją decyzji z dnia [...] maja 2008 r.
Zarzucił wskazanym decyzjom naruszenie przepisów prawa materialnego, mające wpływ na wynik sprawy w szczególności:
art. 7 pkt 4 ustawy o ochronie danych osobowych przez błędną wykładnię, polegającą na przyjęciu, iż B. w zakresie wykonywania umowy o wydanie przedpłaconych kart płatniczych oraz obsługę operacji dokonywanych przy ich użyciu, odnoszących się do kart imiennych jest administratorem danych w rozumieniu tej ustawy,
art. 23 ust. 1 ustawy o ochronie danych osobowych przez uznanie zgody za jedyną przesłankę legalności przetwarzania danych,
art. 25 ust. 1 ustawy o ochronie danych osobowych przez błędne uznanie, że na skarżącym spoczywa obowiązek poinformowania użytkowników kart o okolicznościach przetwarzania ich danych osobowych,
art. 31 ust. 1 ustawy o ochronie danych osobowych poprzez niewłaściwe zastosowanie polegające na przyjęciu, iż wskazana umowa nie może być uznana za umowę powierzenia przetwarzania danych osobowych w rozumieniu tego przepisu.
Wnoszący skargę ponadto zarzucił organowi wydającemu zaskarżoną decyzję naruszenie przepisów postępowania, które mogło mieć wpływ na wynik sprawy:
art. 11 kpa przez niewyjaśnienie stronie motywów nakazu uzyskiwania zgody użytkowników kart,
art. 7 i 77 § 1 kpa polegające na nierozważeniu całego materiału dowodowego w niniejszej sprawie. W szczególności nie uwzględniono dokumentu "[...]".
W uzasadnieniu skargi wskazano, że B. jest jedynie oferentem produktu przedpłaconej karty imiennej. Jednak to posiadacz karty, będący podmiotem korzystającym z tego produktu decyduje o szczegółach tego korzystania, w tym o użytkownikach kart i celach ich użytkowania. Posiadacz decyduje komu kartę przyznać lub odebrać, a więc decyduje o realizacji konkretnych zleceń, które B. realizuje na podstawie umowy z posiadaczem.
Zdaniem skarżącego karta przedpłacona jest ekwiwalentem zwykłego polecenia przelewu.
Wnoszący skargę stwierdził, że skoro nie jest administratorem danych osobowych użytkowników przedpłaconych kart imiennych, to nie jest on tym samym zobowiązany do spełnienia warunków dopuszczalności przetwarzania danych z art. 23 ust. 1 ustawy o ochronie danych osobowych. Konsekwencją zaś tego, że skarżący B. nie jest administratorem danych imiennych kart przedpłaconych to tym samym nie ma obowiązku informacyjnego wynikającego z art. 25 ust. 1 tej ustawy. Wadliwe uznanie B. za administratora danych spowodowało również błędne przyjęcie, że B. nie może być podmiotem przetwarzającym dane na zlecenie w rozumieniu art. 31 ustawy.
Zwrócono uwagę, że nawet gdyby hipotetycznie przyjąć, że B. jest administratorem danych osobowych przedpłaconych kart płatniczych, to przesłankami legalności przetwarzania przez niego danych mogłyby być także inne przesłanki określone w przepisie art. 23 ust. 1 ustawy o ochronie danych osobowych. Przesłankami, które mogłyby być przy takim założeniu brane pod uwagę, to według skarżącego, konieczność realizacji umowy (pkt 3) i prawnie usprawiedliwiony cel (pkt 5).
W odpowiedzi na skargę organ wniósł o jej oddalenie. Odnosząc się do zarzutów skargi podtrzymał stanowisko wyrażone w zaskarżonej decyzji.
Zdaniem organu, B. określa cel zbierania danych użytkowników imiennych kart płatniczych przedpłaconych, ich zakres oraz środki techniczne i organizacyjne dla realizacji tego celu wykorzystywane. Celem zbierania tych danych jest obsługa kart. Posiadacz karty to zleceniodawca usługi, w ramach której dochodzi do przetwarzania danych osobowych przez niego wskazanych i to przetwarzanie odbywa się na zasadach określonych przez B. Posiadaczowi karty może również przysługiwać przymiot administratora danych, ale z innego tytułu przy pozostawaniu pracodawcom użytkownika karty. Posiadacz wówczas jako administrator danych decyduje o celach i środkach przetwarzania danych w innym aspekcie działalności i pozostaje bez wpływu, na to, że w zakresie obsługi kart to B. decyduje o celach i środkach przetwarzania danych.
Odnosząc się do zarzutu naruszenia art. 23 ust. 1 ustawy o ochronie danych osobowych zwrócono uwagę, że skoro użytkownik karty nie jest stroną umowy z B. to podstawy do przetwarzania danych przez B. bez zgody zainteresowanego nie może stanowić przesłanka z art. 23 ust. 1 pkt 3. Również podstawy do przetwarzania przez B. danych użytkowników imiennych kart płatniczych przedpłaconych nie stanowi przesłanka z art. 23 ust. 1 pkt 5, gdyż nie można przyjąć, że użytkownik karty odnosi z tego przetwarzania korzyści skoro, jak twierdzi skarżący, o jej przyznaniu i odebraniu decyduje wyłącznie posiadacz. Zwrócono uwagę, odwołując się do piśmiennictwa (por. G. Szpor, Publiczno-prawna ochrona danych osobowych" PUG z 1999 r. nr 12, s. 5, S. Grynhoff i P. Woźny, "Ochrona danych osobowych w praktyce" Poznań 2000 r. s. 18), że przetwarzanie danych osobowych na podstawie art. 23 ust. 1 pkt 5 ustawy jest legalne, o ile osoba, której dane dotyczą, będzie odnosić korzyści z tego przetwarzania.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z brzmieniem art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującymi w dacie jej wydania.
Skarga analizowana pod tym kątem podlega oddaleniu, ponieważ zaskarżona decyzja jest zgodna z prawem.
Istota sprawy sprowadza się do ustalenia, czy B. w W. jest administratorem danych przekazywanych mu przez posiadacza przedpłaconych imiennych kart płatniczych w ramach umowy o wydanie tych kart.
Administratorem danych, stosownie do definicji zawartej w art. 7 pkt 4 ustawy o ochronie danych osobowych, jest podmiot zajmujący się przetwarzaniem danych, o ile tylko podejmuje samodzielnie decyzje dotyczące celów i środków przetwarzania.
Na gruncie rozpoznawanej sprawy ze zbiorem danych osobowych użytkowników imiennych przedpłaconych kart płatniczych związanych jest dwóch administratorów, ponieważ zbiór ten pozostaje w dyspozycji dwóch podmiotów, którzy samodzielnie podejmują decyzje dotyczące celów i środków przetwarzania tych danych.
B. realizując umowę o wydanie przedpłaconych kart płatniczych oraz obsługę transakcji dokonywanych przy ich użyciu poprzez faktyczne decydowanie o celach i środkach przetwarzania przez siebie danych użytkowników kart przekazywanych w ramach umowy przez posiadacza karty (administratora danych), staje się w tym zakresie także administratorem tych danych.
Wobec tego, nie można uznać, że umowa zawierana przez B. z jednostką organizacyjną zwaną posiadaczem o wydanie imiennej przedpłaconej karty płatniczej oraz obsługę operacji dokonywanych przy ich użyciu stanowi przypadek zlecenia na zewnątrz przetwarzania danych w rozumieniu art. 31 ustawy o ochronie danych osobowych.
B. wykonując umowę gromadzi bowiem dane użytkowników kart na swoje własne potrzeby, a nie na potrzeby strony będącej posiadaczem przedmiotowych kart. To B. jest właścicielem wydanych kart, co wynika z § 5 pkt 1 regulaminu użytkowania przedpłaconych kart płatniczych. Kartę taką oraz numer PIN B. przyznaje wyłącznie użytkownikowi (§ 9 pkt 3 Regulaminu). B. zbiera dane osobowe o użytkowniku: jego imię, nazwisko, PESEL, datę urodzenia i adres w celu obsługi produktu sprzedanego przez niego posiadaczowi. Realizuje się to przez możliwość zastrzeżenia karty przez użytkownika, przyjęcia od niego reklamacji oraz sprawdzenia stanu transakcji na karcie, weryfikacji danych podanych przez posiadacza karty w przypadku aktywacji karty przez użytkownika. B. przetwarzając dane osobowe użytkowników kart działa z pozycji władczej jako podmiot oferujący produkt w postaci przedpłaconej karty imiennej. Posiadacz natomiast jako zleceniodawca zarządza jedynie środkami zgromadzonymi na karcie, nie mając wpływu na zakres i sposób przetwarzanych danych przez sprzedającego kartę. Zatem to B. realizując zawartą umowę z posiadaczem decyduje o celach i środkach przetwarzania danych osobowych, a to oznacza, że jest administratorem tych danych.
Skoro B. w W. przetwarza dane jako ich administrator bez zgody osoby, której dane dotyczą, to zgodna z prawem jest decyzja Generalnego Inspektora Ochrony Danych Osobowych nakazująca usunięcie uchybień w procesie przetwarzania danych poprzez przetwarzanie danych osobowych użytkowników imiennych przedpłaconych kart płatniczych na podstawie zgody wyrażonej przez tychże użytkowników.
W konsekwencji powyższego należało zobowiązać również kontrolowanego do udzielenia użytkownikom tych kart informacji przewidzianych w art. 25 ust. 1 ustawy o ochronie danych osobowych.
Nieuzasadnione okazały się zarzuty skargi co do naruszenia przez organ przepisu art. 23 ust. 1 ustawy o ochronie danych osobowych gdyż, jak prawidłowo wyjaśniono w uzasadnieniu decyzji i odpowiedzi na skargę, w warunkach tej sprawy nie ma podstaw do przyjęcia, że dopuszczalne jest przetwarzanie danych osobowych przez B. jako administratora z uwagi na konieczność realizacji umowy, ponieważ osoba, której dane dotyczą, nie jest jej stroną ani też ze stanu faktycznego sprawy nie wynika, że jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą.
Należy także zgodzić się z argumentacją organu, że w sprawie nie można przyjąć, że przetwarzanie przez B. danych osobowych jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez niego jako administratora danych.
W ocenie Sądu, nie zasługiwał również na uwzględnienie zarzut naruszenia przez organ przepisów procesowych, ponieważ zgromadzony materiał dowodowy dawał podstawy do wydania zaskarżonej decyzji.
Mając powyższe na uwadze Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), orzekł jak w sentencji.
