(II SA 209/03)
po rozpoznaniu w dniu 27 listopada 2003 r. sprawy ze skargi Operatora na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 18 grudnia 2002 r. Nr DIDEC-DP-224/02/762 w przedmiocie przetwarzania danych osobowych
skargę oddala
Wymienioną decyzją Generalny Dyrektor Ochrony Danych Osobowych utrzymał w mocy swoją decyzję z 31 października 2002 r. nakazującą skarżącemu Operatorowi przywrócenie w procesie przetwarzania danych osobowych stanu zgodnego z prawem, poprzez zbieranie danych osobowych abonentów jedynie w zakresie określonym w art 69 ust. 2 i art, 34 ust. 3 ustawy z 21 lipca 2000 r. - Prawo telekomunikacyjne (Dz. U- Nr 73, póz. 852 ze zm.). W jej uzasadnieniu m.in- podkreślił, że uwzględnia ono wyrażone w wyroku II SA 2684/00 NSA źli grudnia 2001 r. oceny prawnej obejmujące stan sprawy jaki istniał przed wejściem w życie Prawa telekomunikacyjnego, a także odpowiada normatywnie określonemu zakresowi przetwarzania danych osobowych abonentów.
Skarżąca wniosła do Sądu o uchylenie decyzji z powodu naruszenia art. 69 ust. l i 2 oraz art. 34 pkt l, 3 i 5 oraz art. 26 ust. l pkt 3 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, póz. 926), a także art. 47 Konstytucji RP i art. 7, 9, 10 i 77 kpa. Jej zdaniem Generalny Inspektor nietrafnie pominął możliwość przetwarzania danych osobowych za zgodą strony, niezbędnych do realizacji umowy i usprawiedliwionego celu administratora danych, które wykraczają poza wskazane przez niego unormowania w Prawie telekomunikacyjnym. Chodzi o obszary przetwarzania danych osobowych do innych celów niż świadczenie usług telekomunikacyjnych, jak np. bezpośredniego marketingu usług operatora, dochodzenie roszczeń z tytułu gromadzonej dokumentacji gospodarczej, świadczenie usług na bazie znajomości lokalizacji stacji abonenckich, czy sprzedaż aparatu telefonicznego połączona zwykle z zawarciem umowy o świadczenie usługi telekomunikacyjnej.
W decyzji nie uwzględniono również możliwości pozyskiwania danych osobowych w sposób określony art. 34 ust. 3 Prawa Telekomunikacyjnego, a także prawa dysponowania przez obywatela m.in. informacjami o jego osobie w nawiązaniu do art. 47 Konstytucji RP. Zdaniem skarżącej w decyzji Generalny Inspektor nie uwzględnił ocen prawnych wyrażonych w powyższym wyroku NSA i nie zapewnił ochrony jej interesów, jako strony postępowania wskutek naruszenia wymienionych przepisów kpa. Do skargi załączyła m.in. dwie opinie prawne, które miały potwierdzić te zarzuty.
Wnosząc o oddalenie skargi Generalny Inspektor posłużył się motywami decyzji w szczególności podkreślając, że powołane przepisy Prawa telekomunikacyjnego uwzględniają interesy obu stron o świadczenie usług telekomunikacyjnych i mają w tym zakresie bezwzględnie obowiązujący charakter. Ponadto dopuszczone w jego art. 34 ust. 3 urzędowe potwierdzenie danych użytkownika nie obejmuje kserokopii wybranych stron dowodu osobistego i innych dokumentów potwierdzających tożsamość osoby, a zarzucane mu pominięcie ocen prawnych Sądu i naruszenie przepisów kpa nie miały miejsca.
Skarżąca w tzw. piśmie przygotowawczym z 19 listopada 2003 r. ponownie nie zgodziła się z argumentacją Generalnego Inspektora i dodatkowo powołała się na jego pismo z 3 lipca 2003 r., w którym potwierdził dopuszczalność przekazywania przez innych operatorów informacji o ewentualnym zadłużeniu abonenta za jego zgodą, co jest przykładem odmiennej niż w tej sprawie interpretacji art. 69 ust. 2 Prawa telekomunikacyjnego dokonywanej przez Generalnego Inspektora.
Pozyskiwanie od abonentów - za ich zgodą - adekwatnego do charakteru umowy ich danych osobowych ogranicza prawie dziesięciokrotnie skalę nadużyć i sześciokrotnie procentowy wskaźnik wartości strat do przychodów, beż sprzeciwu z ich strony (na kilka milionów zawartych umów przy umowach promocyjnych zaistniała konieczność pobrania kaucji tylko w 211 i 157 wypadkach, odpowiednio w 2002 r. i dziesięciu miesiącach 2003 r.). Powołała się także na założenia do nowelizacji Prawa telekomunikacyjnego, odpowiadające dyrektywom unijnym, w których przewiduje się określenie zakresu danych osobowych przetwarzanych bez obowiązku uzyskiwania zgody użytkownika końcowego i stosowanie w zakresie nieuregulowanym przepisów ustawy o ochronie danych osobowych.
Naczelny Sąd Administracyjny zważył, co następuje:
Decyzje uchylone wyrokiem II SA 2684/00 z 11 grudnia 2001 r. dotyczyły przetwarzania danych osobowych wg obowiązującego wówczas stanu prawnego, diametralnie różniącego się od unormowań późniejszych. Należy więc przypomnieć, że ustawa o ochronie danych osobowych rozwinęła art. 47 i 51 Konstytucji RP, wg których prywatność obywatela zaliczono do praw i wolności osobistych, a zakres i tryb ochrony danych osobowych zastrzeżono do wyłącznej regulacji ustawowej z jednoczesnym sformułowaniem zakazu pozyskiwania, gromadzenia i udostępniania innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.
Do czasu wejścia w życie tej ustawy zakres pozyskiwania danych osobowych zależał w głównej mierze od woli stron dokonującej określonej czynności prawnej, a podstawowym środkiem możliwym do wykorzystania przez obywatela było powództwo o ochronę jego dóbr osobistych z art. 23 Kodeksu cywilnego.
W tym okresie, podobnie zresztą jak po wejściu w życie tej ustawy, liczne są wypadki określone w szeregu ustaw dopuszczalnych wykazów danych osobowych, jakie gromadzi się, przechowuje i wykorzystuje do celów ściśle wyodrębnionych, powtarzalnych czynności lub potrzeb określonych podmiotów. Tego rodzaju unormowania eliminują możliwość zajmowania się oceną np. adekwatności danych osobowych do celów w jakich są one przetwarzane. Przykładowo w art. 11 ust. l, art. 15 ust la, art. 44a ust. 2 i art. 44a ust. 7 ustawy z 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych (Dz. U. z 2001 r. Nr 87, póz. 960 ze zm.) określono liczące po kilkanaście pozycji wykazy danych osobowych, jakie bezwzględnie muszą być przetwarzane do celów: zameldowania, wymeldowania, zbioru danych stałych mieszkańców i zbioru PESEL. W art. 92 § l pkt 4 ustawy z 14 lutego 1991 r. - Prawo o notariacie (Dz. U. z 2002 r. Nr 42, póz. 369 ( podano także obowiązujący bezwzględnie zakres danych osobowych, jakie zamieszcza się w sporządzanym akcie notarialnym. W art. 20 ust. 2 ustawy z 6 kwietnia 1990 r. o Policji (Dz. U. z 2002 r. Nr 7, póz. 58 ze zm.) zamieszczono natomiast upoważnienia do pobierania, przetwarzania i wykorzystywania przez Policję w zasadzie wszelkich danych osobowych, jeżeli to jest potrzebne do prowadzonego postępowania przygotowawczego.
Przed wejściem w życie Prawa telekomunikacyjnego Generalny Inspektor nie mógł więc określać jednolitego dla wszystkich operatorów, dopuszczalnego zakresu danych osobowych, jakie można było przetwarzać na potrzeby umów o świadczenie usług telekomunikacyjnych, ponieważ jest to sfera wyłącznych uprawnień ustawodawcy, z tego głównie powodu powyższym wyrokiem zostały uchylone decyzje, z hasłowym jedynie nawiązaniem do Prawa telekomunikacyjnego, które wprawdzie już było ogłoszone, ale jeszcze nie obowiązywało.
W ocenianych teraz decyzjach Generalny Inspektor uwzględnił zawarte w wyroku oceny prawne i trafnie odstąpił od nakazania skarżącej uporządkowanie zbiorów danych osobowych tworzonych w okresie obowiązywania innego stanu prawnego - co musiałoby przy wątpliwych efektach spowodować znaczne nakłady organizacyjne i finansowe - koncentrując się na aktualnych jej obowiązkach jako operatora, wynikających z powołanych przepisów Prawa telekomunikacyjnego.
W jego art. 69 ust. 2 w związku z art. 34 ust. 2 pkt 3 określono zakres przetwarzania danych osobowych przez operatora, którego przy zawieraniu umowy o świadczenie usług telekomunikacyjnych nie wolno rozszerzać. Taki sposób rozumienia tych przepisów nie jest również kwestionowany w obu załączonych do akt sprawy przez skarżącą opiniach prawnych. W decyzjach Generalnego Inspektora jednoznacznie stwierdza się, że chodzi o zakres przetwarzania danych osobowych abonenta, a więc - w rozumieniu art. 2 pkt l Prawa telekomunikacyjnego, który jest stroną umowy o świadczenie usug telekomunikacyjnych zawartej na piśmie z operatorem lub z podmiotem udostępniającym usługi telekomunikacyjne.
W innych stosunkach prawnych pomiędzy stronami będą miały zastosowanie przepisy ustawy o ochronie danych osobowych, lub przeniesienia na ich stan faktyczny uproszczeń selektywnie dokonanych przez ustawodawcę, podobnie jak w szeregu ukazanych przykładach rozwiązań normatywnych, W takich stosunkach trzeba będzie każdorazowo oceniać, czy przetwarzanie danych osobowych następuje np. z uwzględnieniem jej art. 26 ust. l pkt 3, a więc w sposób merytorycznie poprawny i adekwatny do realizowanego celu.
Z powyższych względów Naczelny Sąd Administracyjny na podstawie art. 27 ust. l ustawy o NSA orzekł jak w sentencji.
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
