(II SA/Wa 336/08)
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym:
| Przewodniczący, sprawozdawca |
sędzia WSA Ewa Grochowska - Jung |
| sędzia WSA Janusz Walawski |
|
| sędzia WSA Przemysław Szustakiewicz |
|
| Protokolant |
Łukasz Bazyluk |
po rozpoznaniu na rozprawie w dniu 13 maja 2008 r. sprawy ze skargi B. S.A. z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] grudnia 2007 r. nr [...] w przedmiocie przetwarzania danych osobowych
oddala skargę
Decyzją z dnia [...] grudnia 2007 r. nr [...] Generalny Inspektor Ochrony Danych Osobowych utrzymał w mocy swoją decyzję z [...] września 2007 r. nr [...].
Powyższa decyzja została podjęta w następującym stanie faktycznym i prawnym: R. M. Z. (zwany również wnioskodawcą) wniósł w dniu 24 stycznia 2007 r. do Generalnego Inspektora Ochrony Danych Osobowych skargę na stosowanie przez B. S.A. zwane dalej B. S.A., wadliwej procedury realizacji obowiązku informacyjnego wynikającego z art. 33 ust. 1 ustawy o ochronie danych osobowych. Skarżący zarzucił B. bezprawne: żądanie złożenia wniosku o informację w trybie pozaustawowym (czyli określonym w "Regulaminie udostępniania informacji dotyczących danych osobowych przetwarzanych w zbiorze B. S.A."), pobieranie opłaty za przesłanie informacji, żądanie podania dodatkowych danych osobowych oraz złożenia niewymaganego prawem oświadczenia.
W piśmie datowanym na 14 marca 2007 r. R. M. Z. uzupełnił swoją skargę poprzez wskazanie, iż zarzuca B. S.A. oraz I. S.A. niezgodne z prawem przetwarzanie danych osobowych. I. S.A. skarżący zarzucił również brak realizacji obowiązku informacyjnego wynikającego z art. 105a ust. 3 ustawy Prawo bankowe.
Po uzyskaniu wyjaśnień od B. S.A. oraz od I. S.A. Generalny Inspektor Ochrony Danych Osobowych wydał na podstawie art. 104 § 1 i 105 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.) zwanej dalej k.p.a., art. 12 pkt 2, art. 18 ust. 1 pkt 2 w zw. z art. 33 i art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), w zw. z art. 105 ust. 4 i art. 105a ust. 3, 4, 5 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2002 r. Nr 72, poz. 665 ze zm.), decyzję z dnia [...] września 2007 r. nr [...]. Decyzją tą organ:
1) nakazał B. S.A. z siedzibą w W. spełnienie wobec R. M. Z. obowiązku informacyjnego w zakresie wskazanym w art. 33 ust. 1 ustawy o ochronie danych osobowych,
2) umorzył postępowanie w zakresie dotyczącym niespełnienia wobec wnioskodawcy obowiązku z art. 33 ust. 1 ustawy o ochronie danych osobowych przez I. S.A. z siedzibą w W.,
3) w pozostałym zakresie odmówił uwzględnienia wniosku.
Organ uznał, iż obowiązek informacyjny, uregulowany w art. 33 ust. 1 ustawy o ochronie danych osobowych, dotyczył nie tylko I. S.A., ale również i B. S.A.
Generalny Inspektor Ochrony Danych Osobowych ocenił wskazanie R. M. Z. przez B. S.A. na możliwość wystąpienia przez niego z wnioskiem o raport konsumencki na odpowiednim formularzu jako brak wywiązania się przez B. S.A. z ustawowego obowiązku informacyjnego wynikającego z tej ustawy. Nadto organ uznał, iż spełnienie tego obowiązku nie mogło być uzależnione od uiszczenia przez wnioskodawcę jakiejkolwiek opłaty.
Ponadto organ potwierdził, iż pozyskanie danych w kwestionowanym przez R. M. Z. zakresie służyć miało precyzyjnemu ustaleniu osoby wnioskodawcy po to, by uniknąć błędnej identyfikacji osoby składającej wniosek i udzielenia informacji o sytuacji innej osoby.
W kwestii niespełnienia obowiązku informacyjnego przez I. S.A. organ rozstrzygnął, iż wprawdzie z uchybieniem terminu, ale bank ten udzielił R. M. Z. informacji w żądanym przez niego zakresie. Zatem nakazanie I. S.A. przez Generalnego Inspektora Ochrony Danych Osobowych wypełnienia obowiązku informacyjnego było, w chwili rozpatrywania wniosku, bezprzedmiotowe, stąd postępowanie administracyjne w tym zakresie organ umorzył.
Natomiast organ nie stwierdził przesłanek do podważenia legalności przetwarzania danych osobowych wnioskodawcy ani przez B. S.A. ani też przez I. S.A., uznając, iż obydwa kontrolowane podmioty wypełniły warunki uregulowane w treści art. 105a ust. 3 i 4 ustawy Prawo bankowe, a więc ustawy, która określa zasady postępowania z danymi dłużników bankowych.
Nie zgadzając się z powyższą decyzją B. S.A. wniósł wniosek o ponowne rozpatrzenie sprawy. B. S.A. wyjaśnił, iż żądanie wypełnienia ustandaryzowanego formularza, określonego w "Regulaminie udostępniania informacji dotyczących danych osobowych przetwarzanych w zbiorze B. S.A.", służy szybkości udzielania informacji oraz precyzji w identyfikacji wnioskodawcy. Natomiast samo udzielanie informacji jest bezpłatne w Biurze Obsługi Klienta, a żądanie opłaty ma na celu wyłącznie pokrycie kosztów przesyłki w przypadku wyboru przez wnioskodawcę tego sposobu uzyskania dostępu do jego danych osobowych.
Po ponownym rozpatrzeniu sprawy Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] grudnia 2007 r. utrzymał w mocy wcześniejszą decyzję z dnia [...] września 2007 r. Organ podtrzymał swoje stanowisko w zakresie uchybienia przez B. S.A. obowiązkowi informacyjnemu wynikającemu z art. 33 ust. 1 ustawy o ochronie danych osobowych. Zdaniem Generalnego Inspektora Ochrony Danych Osobowych spełnienie powyższego obowiązku nie może być uzależnione przez administratora od uiszczenia jakiejkolwiek opłaty. Organ dodał również, że ewentualne żądanie opłaty mogłoby dotyczyć wyłącznie pokrycia kosztów przesyłki, tymczasem ustalona przez B. S.A. suma 10 zł jest wyższa od opłaty pobieranej przez Pocztę Polską za dostarczenie korespondencji.
Organ stwierdził również, iż nie może się ostać zarzut B. S.A., iż jego działalność nie narusza obowiązku z art. 33 ust. 1 ustawy o ochronie danych osobowych. Bezpłatne udzielanie informacji tylko w Biurze Obsługi Klienta, mieszczącym się w W., w zasadzie ogranicza możliwość osobistego zgłoszenia się do tego biura osobom zamieszkującym poza tą miejscowością, ponieważ osoby te musiałyby ponosić dodatkowe koszty związane z dojazdem do W. Nadto, to od woli wnioskodawcy zależy tryb udostępnienia informacji, gdyż wnioskodawca może zażądać udzielenia informacji na piśmie, a organ jest zobowiązany spełnić to żądanie.
Generalny Inspektor wyjaśnił również, że wbrew zarzutowi B. S.A., nie kwestionował żądania podawania przez wnioskodawcę danych osobowych w zakresie określonym w "Regulaminie udostępniania informacji dotyczących danych osobowych przetwarzanych w zbiorze B. S.A.", lecz podkreślił w zaskarżonej decyzji, iż służy to precyzyjnemu oznaczeniu wnioskodawcy.
Ponadto organ zaprzeczył, by kwestionował konieczność podejmowania przez administratora danych, czyli B. S.A., dodatkowych działań mających na celu zabezpieczenie danych osobowych, ale pokreślił, że należy odróżnić realizację obowiązku informacyjnego od zabezpieczania zbioru danych.
Natomiast w związku z koniecznością powtórnego rozpatrzenia całości sprawy, Generalny Inspektor powtórzył w zasadzie rozważania dotyczące nieobjętej wnioskiem części sprawy.
Skargę na powyższą decyzję wniósł B. S.A, reprezentowany przez radcę prawnego. Obydwu decyzjom zarzucono wydanie bez podstawy prawnej i z przekroczeniem granic właściwości organu administracji, a także z rażącym naruszeniem art. 32 i 33 ustawy o ochronie danych osobowych, oraz z naruszeniem art. 77 § 1, art. 8 i 11 k.p.a. co miało wpływ na wynik postępowania. Ponadto strona skarżąca podniosła, że pomimo utrzymania poprzedniej decyzji w mocy, faktycznie zmianie uległo stanowisko organu, ale nie znalazło to odbicia w sentencji decyzji. Organ orzekł bowiem, że z ustawy o ochronie danych osobowych wynika obowiązek bezpłatnego udzielania informacji o danych osobowych, jednak możliwe jest pobieranie opłat koniecznych ze względu na pokrycie kosztów przesyłki pocztowej. Generalny Inspektor uznał bowiem, że pobierana przez B. S.A. opłata w kwocie 10 zł przewyższa koszty opłaty pobieranej za doręczanie korespondencji przez Pocztę Polską. Zdaniem strony skarżącej ustalenie w uzasadnieniu zaskarżonej decyzji dopuszczalnej wysokości opłat, w sytuacji, gdy we wcześniejszej decyzji organ określił pobieranie jakichkolwiek opłat za udostępnienie danych osobowych za sprzeczne z prawem, oznacza w rzeczywistości zmianę decyzji, bez zmiany sentencji.
Strona skarżąca podkreśliła również, iż ani przepis art. 32 ani też przepis art. 33 ustawy o ochronie danych osobowych nie nakładają na administratora danych osobowych obowiązku udostępniania tych danych na piśmie. Natomiast obowiązek informacyjny (również w formie pisemnej i bezpłatnie) wypełniany jest przez B. S.A w Biurze Obsługi Klienta. Nadto strona skarżąca wskazała, że pobieranie niewielkich opłat za wykonywanie obowiązków informacyjnych jest zgodne z przepisami dyrektywy 95/46/WE Parlamentu Europejskiego i Rady. Skoro zaś ustawa o ochronie danych osobowych nie nakłada wprost obowiązku nieodpłatnego udostępniania informacji, zaś dyrektywa 95/46/WE stanowi, że informacje powinny być udostępniane "bez nadmiernych kosztów", to należy wziąć pod uwagę również koszty wysyłki poniesione przez administratora danych osobowych oraz podatek od towarów i usług, jaki powinien uiścić, a nie tylko wartość samej opłaty pocztowej. Jako uzasadnienie powyższej tezy strona skarżąca powołała opinię prof. J. B. i prof. R. M. odnoszącą się do powyższej kwestii.
Ponadto, zdaniem strony skarżącej, rozbieżności w niniejszej sprawie dotyczyły nie tyle prawa do pobierania opłat za przesłanie informacji o danych osobowych, ale wysokości tej opłaty. W dalszej części uzasadnienia skargi pełnomocnik B. S.A. przedstawił rozliczenie kosztów ponoszonych przez skarżącą spółkę a związanych z obsługą wysyłki żądanych informacji.
Strona skarżąca pokreśliła również odpowiedzialność członków zarządu spółki handlowej (jaką jest niewątpliwie B. S.A.) za działanie na szkodę spółki, a przynajmniej za brak należytej dbałości o jej interesy, ponieważ ewentualna konieczność wysyłania informacji o danych osobowych do wszystkich dorosłych obywateli mogłaby doprowadzić do upadłości B. S.A.
Uzasadnieniem natomiast naruszenia przez Generalnego Inspektora Ochrony Danych Osobowych przepisów o właściwości organu jest brak w ustawie o ochronie danych osobowych nakazu bezpłatnego wysyłania informacji. Zatem działanie B. S.A. nie naruszyło przepisów tej ustawy i organ nie miał podstaw do wydania decyzji administracyjnej w zakresie przetwarzania danych osobowych. Ponadto nie istnieje przepis legitymujący Generalnego Inspektora do ustalania bądź kwestionowania wysokości opłat pobieranych przez administratorów danych.
Zdaniem strony skarżącej organ naruszył również zasady art. 77 § 1, art. 8 i 11 k.p.a., ponieważ nie wyjaśnił szeregu istotnych dla sprawy kwestii, nie uwzględnił ich również przy wydawaniu decyzji a także nie odniósł się do argumentów podniesionych przez B. S.A. Powyższe naruszenia mogły mieć istotny wpływ na wynik sprawy a ich rozpoznanie mogłoby zmienić treść decyzji.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, a powołując się na dotychczasowe ustalenia faktyczne i prawne dodał, że błędne jest założenie o zmianie stanowiska organu w kwestii opłaty za spełnienie przez administratora danych obowiązku informacyjnego. Natomiast rozważania dotyczące wysokości opłat były czysto hipotetyczne i ich celem miało być wykazanie, że kwoty ustalone przez B. S.A. są niejednokrotnie wyższe od pobieranych przez Pocztę Polską.
Za chybiony uznał organ również zarzut braku właściwości, ponieważ Generalny Inspektor orzekał w zakresie braku wypełnienia przez B. S.A. obowiązku informacyjnego nałożonego przez art. 33 ust. 1 ustawy o ochronie danych osobowych, a nie naruszenia zakazu nieodpłatnego wysyłania informacji.
Powyższe stanowisko zostało podtrzymane w całości przez organ w piśmie procesowym z dnia 5 maja 2008 r. W piśmie tym Generalny Inspektor dodatkowo powołał przykłady unormowań prawnych innych państw europejskich, w których to regulacjach o randze ustawy Republika Czeska, Finlandia, Grecja, Zjednoczone Królestwo Wielkiej Brytanii i Irlandii Północnej, Szwecja, Portugalia, Dania, Austria, Litwa i Bułgaria zawarły zapisy ustalające ogólne warunki ewentualnych odpłatności za dostęp do danych osobowych.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z brzmieniem art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującymi w dacie jej wydania.
Skarga analizowana pod tym kątem nie zasługuje na uwzględnienie. Podkreślić bowiem należy, iż zarzuty wniesionej do Wojewódzkiego Sądu Administracyjnego w Warszawie skargi B. S.A. dotyczyły w zasadzie wysokości opłaty, jakiej zażądał B. S.A. za przesłanie, w formie pisemnej, informacji o danych osobowych R. M. Z.
Przepis art. 33 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 ze zm.) zobowiązuje administratora danych osobowych, na wniosek osoby, której dane dotyczą, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie jej danych osobowych, informacji, o których mowa w art. 32 ust. 1 pkt 1-5a, a w szczególności podać w formie zrozumiałej:
1) jakie dane osobowe zawiera zbiór,
2) w jaki sposób zebrano dane,
3) w jakim celu i zakresie dane są przetwarzane,
4) w jakim zakresie oraz komu dane zostały udostępnione.
Ponadto, na wniosek osoby, której dane dotyczą, informacji, o których mowa w ust. 1, udziela się na piśmie (art. 33 ust. 2 powołanej ustawy o ochronie danych osobowych). Zatem cytowany przepis nie uzależnia uzyskania dostępu do swoich danych osobowych od ponoszenia jakichkolwiek opłat. Nałożenie bowiem obciążeń w tym zakresie musi wyraźnie wynikać z przepisów rangi ustawy. Tłumaczenia zaś skarżącej spółki, że bezpłatny dostęp do zbioru danych jest zapewniony każdemu w Biurze Obsługi Klienta, naraża osoby mieszkające poza miejscowością, w której ulokowane jest Biuro Obsługi Klienta, do dodatkowych i niewspółmiernych nakładów finansowych związanych z pokryciem kosztów podróży. Brak regulacji umożliwiającej żądanie przez administratora danych osobowych uiszczenia opłat na pokrycie kosztów związanych z dostępem do danych osobowych jest wyraźnym zabiegiem ustawodawcy zmierzającym do zapewnienia każdemu bezpłatnego dostępu i kontroli własnych danych osobowych. Ustawodawca mógł przecież dopuścić konieczność ponoszenia kosztów za udostępnienie danych na piśmie, a tego nie uczynił.
Celem regulacji art. 33 ustawy o ochronie danych osobowych jest umożliwienie sprawdzenia, uzupełnienia a także uaktualnienia danych osobowych, które zostały zebrane w konkretnym zbiorze. Nie ma przy tym znaczenia, czy osoba, której dane dotyczą, wyraziła wcześniej zgodę na ich umieszczenie w zbiorze, jeśli możliwość taką dopuszczają przepisy prawa (np. art. 105a ust. 3 i 4 ustawy z dnia 29 sierpnia 1997 r. prawo bankowe, Dz. U. z 2002 r. Nr 72, poz. 665 ze zm.). Dostęp do własnych danych osobowych nie może być ograniczony koniecznością ponoszenia dodatkowych kosztów, ponieważ prowadziłby w rzeczywistości do fikcyjnego kontrolowania danych, będących w posiadaniu różnych podmiotów, bez możliwości ich uaktualniania, uzupełniania i usuwania. Dbałość zaś o sytuację finansową spółki, na co zwrócił uwagę pełnomocnik B. S.A., nie może ograniczać praw osób fizycznych do kontroli i poprawiania ich danych osobowych.
Odnosząc się do zarzutu skargi w zakresie przekroczenia przez Generalnego Inspektora Ochrony Danych Osobowych właściwości przy wydawaniu zaskarżonej decyzji wyjaśnić należy, iż organ administracji publicznej rozpatrywał wniosek R. M. Z. w kwestii przetwarzania jego danych osobowych oraz uchybienia przez B. S.A. obowiązkowi informacyjnemu wynikającemu z art. 33 ust. 1 ustawy o ochronie danych osobowych. Zagadnienie opłaty za przesłanie żądanych informacji poruszone zostało w związku z wyjaśnieniem we wniosku o ponowne rozpatrzenie sprawy przez skarżącą spółkę wysokości opłaty i nie stanowiło bynajmniej meritum sprawy. Rozważania Generalnego Inspektora Ochrony Danych Osobowych co do kwoty opłaty nie miały zatem wpływu na sentencję decyzji, były jedynie polemiką z twierdzeniami B. S.A.
Pomimo stawianych w skardze przez pełnomocnika B. S.A. zarzutów Sąd nie dopatrzył się również naruszenia przez Generalnego Inspektora Ochrony Danych Osobowych zasad postępowania administracyjnego wyrażonych w art. 8, 11 i 77 § 1 k.p.a. przez brak wyjaśnienia wszystkich okoliczności faktycznych istotnych dla wydania zaskarżonej decyzji. Zdaniem Sądu organ dokładnie ustalił stan faktyczny sprawy oraz dokonał prawidłowej analizy całokształtu materiału dowodowego. Jeszcze raz podkreślić należy, że kwestia ustalenia odpowiedniej kwoty opłaty za przesłanie raportu zawierającego dane osobowe nie była istotą rozpatrywanej sprawy, zatem rozważania na ten temat nie mają wpływu na jej rozstrzygnięcie.
Ponadto, pełnomocnik B. S.A. powołał w skardze przepisy dyrektywy Wspólnoty Europejskiej, które, jego zdaniem, uzasadniają nakładanie opłat za realizację obowiązku informacyjnego z art. 33 ustawy o ochronie danych osobowych.
Faktem jest, iż od momentu wstąpienia do Unii Europejskiej w Rzeczypospolitej Polskiej obowiązuje również system prawny Wspólnoty. Interpretacja prawa zgodnie z wspólnotowym porządkiem prawnym nie oznacza jednak przekazania całej procedury ustawodawczej na rzecz Wspólnoty Europejskiej. Dyrektywy zobowiązują państwa członkowskie do wprowadzenia określonych regulacji prawnych, służących osiągnięciu wskazanego w dyrektywie, pożądanego stanu rzeczy, ale nie regulują szczegółowo postępowania w tym zakresie pozostawiają Państwom Członkowskim wybór sposobu osiągnięcia celu oznaczonego w dyrektywie.
Art. 12 dyrektywy nr 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych stanowi, że "Państwa Członkowskie zapewniają każdej osobie, której dane dotyczą, prawo do uzyskania od administratora danych: a) bez ograniczeń, w odpowiednich odstępach czasu oraz bez nadmiernego opóźnienia lub kosztów (...)" prawo wglądu, uaktualniania i uzupełniania danych osobowych. Powyższe uregulowanie wyraźnie określa, iż to Państwa Członkowskie, reprezentowane przez organy ustawodawcze, a nie podmioty gospodarcze działające w tych Państwach, wyznaczają możliwość nałożenia odpłatności, jakich administrator danych może żądać od osób ubiegających się o udostępnienie ich danych osobowych.
Należy uznać, iż ustawodawca polski świadomie nie skorzystał z możliwości ustalenia wysokości obciążeń właśnie w zakresie dostępu do danych osobowych, co mógł uczynić i co zrobił w innych aktach. Przykładem może być regulacja ustawy z dnia 14 lutego 2003 r. o udostępnianiu informacji gospodarczych (Dz. U. Nr 50, poz. 424 ze zm.), która w art. 18 ust. 3 stanowi, że każdy ma prawo wglądu do rejestru zapytań w zakresie dotyczącym ujawniania jego danych. Wgląd do rejestru jest bezpłatny, jeżeli nie następuje on w odstępach czasu mniejszych niż 6 miesięcy. Zatem wgląd do rejestru, co do zasady, jest bezpłatny, chyba że wglądu dokonuje się częściej niż co 6 miesięcy. W ustawie o ochronie danych osobowych nie wprowadzono podobnego uregulowania, co oznacza, że nie przewidziano odpłatności za wykonanie obowiązku informacyjnego z art. 33 tej ustawy niezależnie od trybu i częstotliwości jego wykonania.
Podkreślić za Generalnym Inspektorem Ochrony Danych Osobowych również należy, że odpłatność za dostęp do własnych danych osobowych w innych Państwach Członkowskich Wspólnoty Europejskiej została zapisana w ustawach dotyczących kwestii ochrony tych danych. Administratorom danych pozostawiono jedynie możliwość ustalenia wysokości opłat.
Mając powyższe na uwadze, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy Prawo o postępowaniu przed sądami administracyjnymi, orzekł jak w sentencji wyroku.
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
