II SA/Wa 417/05

WyrokWSA w Warszawie2005-06-23

Skład orzekający: Stanisław Marek Pietras, Anna Mierzejewska, Jacek Fronczyk

Analiza orzeczenia

Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.

Zagadnienie prawne
Czy Generalny Inspektor Ochrony Danych Osobowych prawidłowo odmówił rejestracji zbioru danych osobowych "Dane abonentów [...] E." oraz nakazał zaprzestanie przetwarzania danych w zakresie wizerunku i rysopisu abonentów, uznając, że przetwarzanie tych danych narusza przepisy ustawy o ochronie danych osobowych i prawa telekomunikacyjnego?
Ratio decidendi
Sąd uznał, że Generalny Inspektor Ochrony Danych Osobowych nieprawidłowo ocenił przesłanki legalności przetwarzania danych osobowych w zakresie wizerunku i rysopisu abonentów. Zgodnie z art. 161 ust. 3 Prawa telekomunikacyjnego, przetwarzanie takich danych jest dopuszczalne, jeśli istnieje zgoda abonenta i przetwarzanie następuje w związku ze świadczoną usługą. Sąd stwierdził, że organ nie zbadał prawidłowo tych przesłanek, a także naruszył zasady postępowania administracyjnego, w tym obowiązek wyczerpującego zebrania i rozpatrzenia materiału dowodowego. W związku z tym, zaskarżona decyzja została uchylona.
Stan faktyczny
Spółka P. z o.o. zgłosiła do rejestracji zbiór danych "Dane abonentów [...] E.". Generalny Inspektor Ochrony Danych Osobowych (GIODO) odmówił rejestracji i nakazał zaprzestanie przetwarzania danych w zakresie wizerunku, rysopisu, poprzedniego adresu zameldowania oraz danych dzieci, uznając, że wykraczają one poza zakres dozwolony przez Prawo telekomunikacyjne. Po rozpatrzeniu wniosku o ponowne rozpatrzenie sprawy, GIODO utrzymał w mocy odmowę rejestracji i częściowo uchylił nakaz, precyzując zakres danych objętych zakazem przetwarzania. Spółka zaskarżyła decyzję GIODO do Wojewódzkiego Sądu Administracyjnego, zarzucając błędną wykładnię przepisów, naruszenie KPA oraz przewlekłość postępowania.
Rozstrzygnięcie
Wojewódzki Sąd Administracyjny w Warszawie uchylił zaskarżoną decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2004 r. oraz poprzedzającą ją decyzję z dnia [...] września 2004 r. Sąd stwierdził, że zaskarżona decyzja nie podlega wykonaniu w całości i zasądził od Generalnego Inspektora Ochrony Danych Osobowych na rzecz P. spółka z ograniczoną odpowiedzialnością zwrot kosztów procesu.

Pełny tekst orzeczenia

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący: Sędzia WSA - Stanisław Marek Pietras Sędzia WSA - Anna Mierzejewska (spr.) Asesor WSA - Jacek Fronczyk Protokolant: - Wojciech Wiktorowski po rozpoznaniu na rozprawie w dniu 16 czerwca 2005 r. sprawy ze skargi P. spółka z ograniczoną odpowiedzialnością na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2004 r. nr [...] w przedmiocie przetwarzania danych osobowych 1) uchyla zaskarżoną decyzję, oraz poprzedzającą ją decyzję z dnia [...] września 2004 r. nr [...]stwierdza, że zaskarżona decyzja nie podlega wykonaniu w całości 2) zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz P. spółka z ograniczoną odpowiedzialnością z siedzibą w W. kwotę 710 zł (siedemset dziesięć złotych) tytułem zwrotu kosztów procesu w tym kwotę 480 zł (czterysta osiemdziesiąt złotych) tytułem zwrotu kosztów zastępstwa prawnego. -Sygn. akt II SA/Wa 417/05 U Z A S A D N I E N I E Generalny Inspektor Ochrony Danych Osobowych decyzją nr [...] z dnia [...] września 2004 r. , wydaną na podstawie art. 44 ust 1 pkt 2 w związku z art. 26 ust 1 pkt 1 i 3, art. 44 ust. 2 pkt 2 w związku z art. 18 ust. 1 pkt 1 oraz art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych /Dz.U. z 2002 r Nr 101, poz. 926 z późn. zm./ i art. 104§l ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego /Dz.U. z 2000 r Nr 98, poz 1071 z późn. zm./, po przeprowadzeniu postępowania w sprawie rejestracji zbioru danych o nazwie "Dane abonentów [...] E.", zgłoszonego do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, przez P. Sp. z o. o.: 1. odmówił P. Sp. z o.o. z siedzibą w W. przy [...] rejestracji zbioru danych osobowych o nazwie "Dane abonentów [...] E." 2. nakazał usunięcie uchybień w procesie przetwarzania danych osobowych zaprzestanie przetwarzania w zbiorze danych o nazwie "Dane abonentów [...] E." danych osobowych w zakresie: wizerunek, rysopis, poprzedni adres zameldowania oraz dane dzieci lub innych osób znajdujących się pod opieką posiadacza dowodu osobistego /imię nazwisko, data urodzenia, stopień pokrewieństwa, numer ewidencyjny PESEL/wykraczających poza zakres wyznaczony przepisami art. 161 ust 2 w związku z art. 57 ust 1 pkt 3 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne / Dz.U. Nr 171 , poz. 1800/, a pozyskanych do zbioru po 1 stycznia 2001 r tj. po dniu wejścia w życie ustawy z dnia 21 lipca 2000 r. - Prawo telekomunikacyjne /Dz.U.Nr 73 , poz. 852 z późn. zm./ W uzasadnieniu decyzji organ podał, że w dniu [...] października 1999 r. P. Sp. z o. o. z siedzibą w W, przy [...], w wykonaniu obowiązku przewidzianego w art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych /Dz.U. z 2002 r., Nr 101 , poz. 926 z późn. zm./, zgłosiła Generalnemu Inspektorowi Danych Osobowych do rejestracji zbiór danych o nazwie "Dane abonentów [...] E.". Na podstawie art. 44 ust 1 ustawy Generalny Inspektor Ochrony Danych Osobowych odmawia w drodze decyzji administracyjnej, rejestracji zgłoszonego zbioru danych jeżeli: -nie zostały spełnione wymogi określone w art. 41 ust 1 ustawy -przetwarzanie naruszałoby zasady określone w art. 23-30 ustawy -urządzenia i systemy informatyczne służące do przetwarzania zbioru danych zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych i organizacyjnych określonych w przepisach o których mowa w art. 39a ustawy. Zgodnie natomiast z treścią art. 44 ust 2, odmawiając rejestracji zbioru danych Generalny Inspektor, w drodze decyzji administracyjnej, jest zobligowany do zastosowania co najmniej jednego z nakazów, określonych w pkt 1 i 2 ww. przepisu. W szczególności może nakazać przywrócenie stanu zgodnego z prawem, poprzez usunięcie uchybień w procesie przetwarzania danych osobowych, stosownie do treści art. 44 ust. 2 pkt 2 w zw. z art. 18 ust 1 pkt 1 ustawy. Zgromadzony w sprawie materiał dowodowy wskazuje, że spółka w zbiorze o nazwie "Dane abonentów [...] E." przetwarza dane osobowe abonentów tj. podmiotów będących stronami umowy zawartej w formie pisemnej o świadczenie usług z dostawcą publicznie dostępnych usług telekomunikacyjnych /art. 2 pkt 1 Prawa telekomunikacyjnego/, pozyskiwane poprzez kopiowanie dokumentów tożsamości, a więc w zakresie szerszym niż wynikałoby to z aktualnie obowiązujących przepisów prawa. Generalny Inspektor Danych Osobowych uznał zatem, iż została spełniona przesłanka odmowy rejestracji określona w art. 44 ust. 1 pkt 2 tj. przetwarzanie danych narusza art. 26 ust. 1 pkt 1 i 3 ustawy. Art. 161 ust 2 Prawa telekomutacyjnego stanowi, że dostawca publicznie dostępnych usług telekomunikacyjnych jest uprawniony do przetwarzania następujących danych dotyczących użytkownika będącego osobą fizyczną: 1. nazwisk i imion 2. imion rodziców 3. miejsca i daty urodzenia 4. adresu zameldowania na pobyt stały 5. numeru ewidencyjnego PESEL –w przypadku obywatela Rzeczpospolitej Polskiej 6. nazwy, serii i numeru dokumentu potwierdzającego tożsamość, a w przypadku cudzoziemca, który jest obywatelem państwa nie będącego członkiem Unii Europejskiej lub Europejskiego Obszaru Gospodarczego- numeru paszportu lub karty pobytu 7. zawartych w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych wynikających z umowy o świadczenie usług telekomunikacyjnych . Ponadto zgodnie z art. 57 ust. 1 pkt 3 Prawa telekomunikacyjnego dostawca usług nie może uzależniać zawarcia umowy o świadczenie publicznie dostępnych usług telekomunikacyjnych, w tym o zapewnienie przyłączenia do publicznej sieci telekomunikacyjnej, od udzielenia informacji lub danych, innych niż określone w art. 161 ust 2, w przypadku użytkownika końcowego będącego osobą fizyczną tj. podmiotu korzystającego z publicznie dostępnej usługi telekomunikacyjnej lub żądającego świadczenia takiej usługi, dla zaspokojenia własnych potrzeb. W ocenie organu nie znajduje uzasadnienia twierdzenie, że przetwarzanie danych osobowych abonentów w celu windykacji należności, czy też w celu marketingu usług telekomunikacyjnych, należy traktować odrębnie, przyznając tym samym operatorom całkowitą swobodę w ustalaniu zakresu danych osobowych, niezbędnego do realizacji przywołanych celów. W przypadku przetwarzania danych osobowych abonenta w celach innych niż zawarcie i wykonanie umowy o świadczenie usług telekomunikacyjnych pozyskiwanych z tytułu innych umów niż umowy o świadczenie usług telekomunikacyjnych, czy też w wyniku czynności podejmowanych przez administratora na życzenie zainteresowanej osoby, a nie związanych z realizacją ww. umów, uprawniona będzie ocena adekwatności zgromadzonych w ten sposób danych do celu ich pozyskania ,zgodnie z art. 26 ust. 1 pkt 3. Ponadto organ podkreślił, że nie kwestionuje prawa spółki do przetwarzania danych abonenta w celach innych niż świadczenie usług telekomunikacyjnych, oraz na podstawie przesłanki innej niż wskazana w art. 23 ust. 1 pkt 2 ustawy , w szczególności zaś - na podstawie art. 23 ust. 1 pkt 1 ustawy, co znajduje również uzasadnienie w treści art. 161 ust 3 Prawa telekomunikacyjnego zgodnie z którym, oprócz danych o których mowa w ust 2 tego artykułu, dostawca publicznie dostępnych usług telekomunikacyjnych może, za zgodą użytkownika będącego osobą fizyczną, przetwarzać inne dane tego użytkownika w związku ze świadczoną usługą, w szczególności numer identyfikacji podatkowej NIP, numer konta bankowego lub karty płatniczej, adres korespondencyjny użytkownika, jeżeli jest on inny niż adres zameldowania na pobyt stały tego użytkownika, a także adres poczty elektronicznej oraz numery telefonów kontaktowych. W ocenie Generalnego Inspektora realizacja celów innych niż świadczenie usług telekomunikacyjnych nie wymaga przetwarzania danych osobowych abonenta w zakresie: wizerunek, rysopis, poprzedni adres zameldowania oraz dane dzieci lub innych osób znajdujących się pod opieką posiadacza dowodu osobistego /imię, nazwisko, data urodzenia, stopień pokrewieństwa, numer ewidencyjny PESEL/. Z akt sprawy jednoznacznie wynika, że kserokopie dowodu osobistego, paszportu, prawa jazdy lub legitymacji ubezpieczeniowej, za pomocą których administrator pozyskuje do zbioru ww. dane abonentów, wykonywane są w związku z zawarciem umowy o świadczenie usług telekomunikacyjnych. Pismem z dnia 6 października 2004 r. P.Sp. z o.o., złożyła wniosek o ponowne rozpatrzenie sprawy zakończonej decyzją z dnia [...] września 2004 r., wniosła o uchylenie w/w decyzji i zarejestrowanie zbioru danych pod nazwą "Dane abonentów [...] E." zgodnie z wnioskiem. W uzasadnieniu wniosku zarzuciła błędną wykładnię art. 161 ust. 2 i ust. 3 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne, która doprowadziła do bezprzedmiotowej oceny adekwatności zakresu danych osobowych abonentów pozyskiwanych przez operatora w celu zawarcia i wykonania umowy o świadczenie usług telekomunikacyjnych, z uwagi na fakt, że ustawodawca w sposób jednoznaczny określił w bezwzględnie obowiązujących przepisach wykaz danych osobowych do pozyskiwania których uprawnieni są operatorzy publiczni. Wnioskujący podkreślił, że ta błędna wykładnia miała wpływ na wynik rozstrzygnięcia. Kierując się tą wykładnią GIODO zaniechał dokonania ustaleń dowodowych i ocen do których przeprowadzenia był zobowiązany. Ponadto zarzucił naruszenie art. 7 , 77 , 80 kpa. GIODO był zobowiązany na podstawie art. 161 ust. 3 Prawa telekomunikacyjnego wykazać, że dane w zakresie wizerunku i rysopisu nie pozostają w związku ze świadczoną usługą, zaniechał dokonania jakichkolwiek ustaleń w tym zakresie i nie uzasadnił swego stanowiska. Decyzją z dnia [...] listopada 2004 r. Nr [...] Generalny Inspektor Ochrony Danych Osobowych, na podstawie art. 138 § 1 pkt 1 i 2 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego /Dz.U. z 2000 r., Nr 98 , poz. 1071 z późn. zm./oraz art. 44 ust. 1 pkt 2 w związku z art. 26 ust 1 pkt 1 i 3, art. 44 ust. 2 pkt 2 w związku z art. 18 ust. 1 pkt 1 i art. 12 pkt 2 w związku z art: 22 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych/Dz.U. z 2002 r. , Nr 101, poz. 926 z późn. zm./, po przeprowadzeniu postępowania administracyjnego sprawie z wniosku P. Sp. z. o . o z siedzibą w W. przy [...] o ponowne rozpatrzenie sprawy zakończonej decyzją Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] września 2004 r , odmawiającej P. Sp z o. o. rejestracji zbioru danych osobowych o nazwie "Dane abonentów [...] E." i nakazującą usunięcie uchybień w procesie przetwarzania danych osobowych poprzez zaprzestanie przetwarzania w niniejszym zbiorze danych osobowych w zakresie: wizerunek, rysopis, poprzedni adres zameldowania oraz dane dzieci lub innych osób znajdujących się pod opieką posiadacza dowodu osobistego/imię , nazwisko, data urodzenia , stopień pokrewieństwa, numer ewidencyjny PESEL/ wykraczających poza zakres wyznaczony przepisami art. 161 ust. 2 w związku z art. 57 ust 1 pkt 3 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne /Dz.U. Nr 171 , poz. 1800/, a pozyskanych do zbioru po 1 stycznia 2001 r. tj. po dniu wejścia w życie ustawy z dnia 21 lipca 2000 r. Prawo telekomunikacyjne /Dz.U. Nr 73 , poz. 852 z późn. zm./: 1. utrzymał w mocy pkt 1 decyzji 2. uchylił pkt 2 decyzji i w tym zakresie orzekł co następuje: nakazał usunięcie uchybień w procesie przetwarzania danych osobowych poprzez zaprzestanie przetwarzania w zbiorze danych o nazwie "Dane abonentów[...] E." danych osobowych w zakresie; wizerunek, rysopis, poprzedni adres zameldowania oraz dane dzieci lub innych osób znajdujących się pod opieką posiadacza dowodu osobistego /imię nazwisko, data urodzenia, stopień pokrewieństwa, numer ewidencyjny PESEL/ przetwarzanych niezgodnie z art. 161 ust. 2 i 3 w związku z art. 57 ust 1 pkt 3 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne/Dz.U. Nr 171, poz. 1800, a pozyskanych do zbioru po dniu 1 stycznia 2001 r. tj. po dniu wejścia w życie ustawy z dnia 21 lipca 2000 r. Prawo telekomunikacyjne /Dz.U. Nr73, poz. 852 z późn. zm./. W uzasadnieniu zaskarżonej decyzji Główny Inspektor Ochrony Danych Osobowych podał, że zgromadzony w sprawie materiał dowodowy wskazuje, że spółka w zbiorze o nazwie "Dane abonentów [...] E." przetwarza dane osób korzystających z publicznie dostępnej usługi telekomunikacyjnej w zakresie jaki zdaniem organu, sprzeciwia się treści art. 161 ust. 2 i 3 oraz art. 57 ust. 1 pkt 3 Prawa telekomunikacyjnego. Podał, że skonfrontował przepisy regulujące zakres danych osobowych do którego przetwarzania uprawniony jest dostawca publicznie dostępnych usług telekomunikacyjnych, z przepisami ustawy o ochronie danych osobowych, próbując wyważyć niewątpliwie istotne z punktu widzenia gospodarczego interesy administratora danych a z drugiej strony słuszny interes obywateli i ich prawo do dysponowania swoją prywatnością. Przepis art. 161 ust 2 Prawa telekomunikacyjnego wymienia dane osobowe, które dla celu świadczenia usługi telekomunikacyjnej dostawca tej usługi może przetwarzać bez zgody użytkownika. O ile w tym wypadku ocena adekwatności tych danych w stosunku do celu w jakim są przetwarzane, jest bezprzedmiotowa z uwagi na fakt , iż tę okoliczność rozstrzygnął ustawodawca, o tyle regulacja zawarta w ust. 3 tego artykułu, nie przesądzając ostatecznie o dopuszczalnym zakresie przetwarzania danych osobowych wprost wskazuje na konieczność powiązania danych osobowych pozyskiwanych od użytkowników z usługą świadczoną przez dostawcę publiczne dostępnych usług. Zasada adekwatności wyrażona w art. 26 ustawy o ochronie danych osobowych zdaniem organu znajduje swój odpowiednik w treści art. 161 ust. 3 Prawa telekomunikacyjnego, który to przepis uzależnia dopuszczalność przetwarzania przez dostawcę publicznie dostępnych usług innych danych użytkownika niż wymienione w art. 161 ust. 2, od zgody użytkownika oraz od istnienia związku pomiędzy pozyskanymi w ten sposób danymi a świadczoną usługą. GIODO wskazuje dalej, że przetwarzanie danych osobowych w postaci wizerunku i rysopisu użytkownika nie jest potrzebne, a tym bardziej niezbędne ze względu na świadczenie usługi telekomunikacyjnej, ale ma służyć zabezpieczeniu administratora danych na wypadek nieuczciwości klienta i prowadzenia ewentualnego postępowania karnego. Wskazuje również, że postają wątpliwości czy decyzja klienta w sprawie wyrażenia zgody jest rzeczywiście podjęta swobodnie, czy też wynika z uznania iż wszelkie próby przeciwstawieniu się żądaniom silniejszego partnera są z góry skazane na niepowodzenie. Wobec powyższych ustaleń uznał, że została spełniona przesłanka odmowy rejestracji określona w art. 44 ust. 1 pkt 2 tj. przetwarzanie danych narusza art. 26 ust 1 pkt 1 i 3 ustawy. Powyższa decyzja stała się przedmiotem skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w której skarżący wniósł o uchylenie decyzji z dnia [...] listopada 2004 r. w części odmawiającej rejestracji zbioru, oraz w części nakazującej spółce zaprzestania przetwarzania w zbiorze danych osobowych w zakresie wizerunków i rysopisów abonentów. W uzasadnieniu skargi P. Sp. z o. o. zarzuciła błędną wykładnię art. 161 ust 3 Prawa telekomunikacyjnego, a ponadto naruszenie przepisu art. 7 kpa poprzez niepodjęcie przez organ wszelkich niezbędnych kroków do dokładnego wyjaśnienia stanu faktycznego i załatwienia sprawy, art. 77 § 1 kpa poprzez nie wykonanie podstawowego obowiązku wyczerpującego zebrania i rozpatrzenia materiału dowodowego, art. 80 kpa oraz art. 107 § 3 kpa przez sporządzenie nieprawidłowego uzasadnienia. P.. z o. o. zakwestionowała również umocowanie Zastępcy Głównego Inspektora Ochrony Danych Osobowych do wydania zaskarżonej decyzji, co powinno skutkować stwierdzeniem jej nieważności, a również przewlekłość postępowania w zakresie rejestracji zbioru danych, co również zdaniem organu powinno skutkować stwierdzeniem nieważności decyzji. W odpowiedzi na skargę organ wniósł o jej oddalenie i przywołał argumenty jak w uzasadnieniu zaskarżonej decyzji. Wojewódzki Sąd Administracyjny w Warszawie zważył co następuje: Stosownie do treści art. 13 § 2 Prawa o postępowaniu przed sądami administracyjnymi do rozpoznania sprawy właściwy jest wojewódzki sąd administracyjny, na którego obszarze właściwości ma siedzibę organ administracji publicznej, którego działalność została zaskarżona. Natomiast zgodnie z treścią art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. –Prawo o ustroju sądów administracyjnych /Dz.U. Nr 153, poz. 1269/, sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującymi w dacie jej wydania. Dokonując kontroli zgodności z prawem zaskarżonej decyzji, stwierdzić należy, że skarga jest zasadna, aczkolwiek nie wszystkie podniesione w niej zarzuty zasługują na uwzględnienie. Zgodnie z treścią art. 40 ustawy z dnia 29 sierpnia 1997 r. – o ochronie danych osobowych /Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm./ administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Głównemu Inspektorowi Ochrony Danych Osobowych. Zgodnie z ustawowym obowiązkiem P.Sp z o. o. złożyła wniosek o dokonanie rejestracji zbioru danych pod nazwą "Dane abonentów [...] E.". Na podstawie art. 14 w zw. z art. 12 ust 1 cytowanej ustawy dla kontroli zgodności przetwarzania danych z przepisami o ochronie danych GIODO może wszcząć postępowanie wyjaśniające. Art 14 wymienia jakie czynności mogą być podjęte w tym celu. Zgodnie z treścią art. 18 ustawy, w przypadku naruszenia przepisów o ochronie danych osobowych GIODO, w drodze decyzji administracyjnej nakazuje przywrócenie stanu zgodnego z prawem, a na podstawie art. 44 ust. 1 pkt 2 wydaje decyzję o odmowie rejestracji zbioru danych , jeżeli przetwarzanie danych naruszałoby zasady określone w art.23-30. Rozdział 3 ustawy zawiera zasady przetwarzania danych osobowych. Art. 23 ust 1 ustawy określa ogólne materialne przesłanki przetwarzania danych osobowych. Przesłanki te mają charakter generalny. Dla swobody posługiwania się danymi osobowymi nie ma znaczenia okoliczność, czy w danym przypadku występuje jedna czy dwie lub więcej przesłanek legalizujących. Każda z wymienionych w art. 23 okoliczności usprawiedliwiających przetwarzanie danych ma charakter autonomiczny i niezależny. Oczywiście może zdarzyć się tak, że określone przetwarzanie danych będzie legalizowane przez więcej niż jedną przesłankę wymienioną w art. 23 ust. 1. Zgodnie z jedną z zasad zawartą w art. 23 ust. 1 pkt 2, przetwarzanie danych jest dopuszczalne wtedy gdy, jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Jeżeli okoliczności przetwarzania są regulowane bezpośrednio przepisami prawa , przesłankę "zgodność z przepisami prawa" należy stosować przed innymi przesłankami. Jeżeli podstawą jest art. 23 ust. 1 pkt 2, to znaczy, że wskazuje on na przepis prawa, który przyznaje uprawnienia lub nakłada obowiązek przetwarzania danych. W przedmiotowej sprawie przesłanki materialnoprawne będące podstawą zaskarżonej decyzji są zawarte w ustawie z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne /Dz.U. Nr 171, poz. 1800/, obowiązujące w dacie wydania zaskarżonej decyzji. Po przeprowadzeniu postępowania wyjaśniającego w przedmiocie rejestracji zbioru danych pod nazwą "Dane abonentów [...]E.", w wydanych decyzjach GIODO jednoznacznie stwierdza, że chodzi o zakres przetwarzania danych osobowych abonentów w zakresie wizerunek i rysopis, a więc w rozumieniu art. 2 pkt 1 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne /Dz.U. Nr 73 , poz. 1800/, a ten abonent jest stroną umowy o świadczenie usług telekomunikacyjnych zawartej na piśmie z operatorem lub podmiotem udostępniającym usługi telekomunikacyjne. Wobec przytoczonych wyżej argumentów, niewątpliwie art. 23 ust 1 pkt 2 odsyła do przepisów prawa w tym przypadku do ustawy Prawo telekomunikacyjne, w której przepisy nie ograniczają się do sformułowania ogólnego zezwolenia na przetwarzanie danych, lecz również podają na jakich warunkach przetwarzanie to ma następować jak i jakie dane mają być zbierane, jak gromadzone i jak udostępniane. Zagadnienia związane ze zbieraniem, utrwalaniem, przechowywaniem, opracowywaniem, zmianą, usuwaniem danych osobowych regulują przepisy umieszczone w rozdziale "Tajemnica telekomunikacyjna". Zgodnie z treścią art. 161 ust 1 Prawa telekomunikacyjnego z zastrzeżeniem ust. 2, treści lub dane objęte tajemnicą telekomunikacyjną mogą być zbierane, utrwalane, przechowywane, opracowywane, zmieniane, usuwane lub udostępniane tylko wówczas, gdy czynności te, zwane dalej przetwarzaniem dotyczą usługi świadczonej użytkownikowi albo są zbierane do jej wykonania. Przetwarzanie w innych celach jest dopuszczalne jedynie na podstawie przepisów ustawowych. Nie budzi wątpliwości interpretacja ust. 2 cytowanego przepisu, który zawiera zamknięty katalog danych osobowych, do przetwarzania których uprawniony jest dostawca publicznie dostępnych usług telekomunikacyjnych: "dostawca publicznie dostępnych usług telekomunikacyjnych jest uprawniony do przetwarzania następujących danych dotyczących użytkownika będącego osobą fizyczną: 1. nazwisk i imion 2. imion rodziców 3. miejsca i daty urodzenia 4. adresu miejsca zameldowania na pobyt stały 5. numeru ewidencyjnego PESEL- w przypadku obywatela Rzeczypospolitej Polskiej 6. nazwy , serii i numeru dokumentów potwierdzających tożsamość , a w przypadku cudzoziemca , który jest obywatelem państwa nie będącego członkiem Unii Europejskiej lub Europejskiego Obszaru Gospodarczego – numeru paszportu lub karty pobytu. 7. zawartych w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych wynikającego z umowy o świadczenie usług telekomunikacyjnych. Tego rodzaju unormowanie prawne eliminuje zajmowanie się adekwatnością danych dla celów w jakich są przetwarzane. Spór natomiast dotyczy interpretacji art. 161 ust. 3, który stanowi: "oprócz danych o których mowa w ust 2, dostawca publicznie dostępnych usług telekomunikacyjnych może za zgodą użytkownika będącego osobą fizyczną, przetwarzać inne dane tego użytkownika w związku ze świadczoną usługą, w szczególności numer identyfikacji podatkowej NIP, numer konta bankowego lub karty płatniczej, adres korespondencyjny użytkownika, jeżeli jest on inny niż adres zameldowania na pobyt stały tego użytkownika, a także adres poczty elektronicznej oraz numery telefonów kontaktowych. W ocenie Sądu przepis ten jest lex specjalis w stosunku do przepisu art. 26 ustawy o ochronie danych osobowych i wyłącza jego stosowanie. Artykuł 26 ustawy o ochronie danych osobowych wyznacza główne zasady postępowania przy przetwarzaniu danych osobowych. Z treści art. 161 ust 3 Prawa telekomunikacyjnego wynika, że dla oceny legalności przetwarzania danych wymienionych w tym przepisie muszą wystąpić dwie przesłanki: 1. musi być zgoda abonenta 2. przetwarzanie danych następuje w związku ze świadczoną usługą Dane osobowe wymienione w tym przepisie nie stanowią zamkniętego katalogu, o czym świadczy treść przepisu i umieszczony zapis "w szczególności" wskazujący, że przepis nie zawiera enumeratywnego wyliczenia danych osobowych. Organ badając czy administrator nie naruszył prawa ma zbadać tylko i wyłącznie czy zostały spełnione dwie przesłanki legalności przetwarzania danych wymienione w art. 161 ust 3. Po pierwsze czy jest zgoda abonenta, po drugie czy przetwarzanie danych następuje w związku ze świadczoną usługą Na marginesie należy wskazać, że intencją ustawodawcy jest rozszerzenie katalogu danych jakie mogą być przetwarzane, oczywiście przy spełnieniu dwóch przesłanek legalności opisanych w art. 161 ust 3. Wniosek taki można wyprowadzić z treści art. 69 ust. 2a poprzednio obowiązującego Prawa telekomunikacyjnego /Dz.U. z 2000r, Nr 73, poz. 853/, odpowiednikiem tego przepisu jest obecnie obowiązujący art. 161 ust 3. Artykuł 69 ust 2a, zawiera rozszerzony katalog danych, w stosunku do wymienionych w ust. 2 powołanego wyżej przepisu. Dane te można było przetwarzać przy spełnieniu przesłanki legalności w postaci zgody abonenta, jednak był to katalog zamknięty, poprzez enumeratywne wyliczenie danych jakie mogą być przetwarzane. Zgoda o jakiej mówi przepis art. 161 ust. 3, nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Wyrażenie takie zgody ma charakter oświadczenia woli. Może być wyrażona nie tylko w formie jednostronnego oświadczenia woli, ale może np. stanowić element umowy. Świadczenie usług telekomunikacyjnych, jest poprzedzone zawarciem umowy pomiędzy abonentem i usługodawcą. Zgodnie z zasadą swobody zawierania umów , abonent może zawrzeć umowę o określonej treści na wskazanych w niej warunkach. Według skarżącego abonenci mogą zawierać umowy tej samej treści na różnych warunkach. W przypadku zawierania umów "w promocji" umowy są kredytowane przez usługodawcę i wówczas wymagany jest szerszy zakres danych /rysopis i wizerunek/. W ocenie Sądu, nie można pozbawić w granicach prawa, udzielającego kredytu wyboru sposobu jego zabezpieczenia. Częścią umowy jest również jej realizacja, wobec tego, że umowa o świadczenie usług jest umową wzajemną, za dostarczoną usługę należy się świadczenie pieniężne /zapłata/. Z treści art. 23 ust. 4 pkt 2 ustawy o ochronie danych osobowych można wywieść, że z woli ustawodawcy, za usprawiedliwiony cel o którym mowa w tym przepisie, uważa się między innymi dochodzenie roszczeń z tytułu prowadzonej działalności. Jedną z przesłanek legalności przetwarzania danych wymienioną w art. 161 ust 3 Prawa telekomunikacyjnego jest wymieniana wcześniej zgoda abonenta na przetwarzanie danych. Organ w toku postępowania poprzedzającego rejestrację danych ma tylko badać czy taka zgoda istnieje. Jeżeli twierdzi, że jest obarczona jakąś wadą, to musi tę okoliczność wykazać, stosując odpowiednio przepisy kodeksu cywilnego regulujące problematykę wad oświadczenia woli /art. 82-88 kc/. Postępowanie w zakresie rejestracji zbioru danych, nie jest typowym postępowaniem administracyjnym. Rejestracja zbioru danych stanowi czynność materialno-techniczną, a pozytywnie zakończone postępowanie, zakończone jest wpisaniem danych. Decyzja wydawana jest w przypadku nakazania przywrócenia stanu zgodnego z prawem , lub odmowy wpisania danych do rejestru. Jednak do postępowania tego stosuje się przepisy kpa. Zgodnie z treścią art. 7 kpa organ powinien podejmować wszelkie kroki niezbędne dla wyjaśnienia stanu faktycznego. Zgodnie z art. 77 § 1 powinien zebrać wystarczający materiał dowodowy i go rozpatrzyć. To organ w toku prowadzonego postępowania powinien udowodnić, że zostało naruszone prawo - czyli w przedmiotowej sprawie - że nie zostały spełnione wymienione w ustawie przesłanki niezbędne dla legalności przetwarzania danych, przykładowo wymienionych w art. 161 ust 3 Prawa telekomunikacyjnego tj.: * zgoda abonenta * związek przetwarzanych danych ze świadczoną usługą telekomunikacyjną. Po prawidłowo przeprowadzonym postępowaniu, fakty które organ uznał za udowodnione, dowody na których się oparł, przyczyny z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej, oraz wyjaśnienie podstawy prawnej, powinny znaleźć się w uzasadnieniu zgodnie z treścią art. 107 §3 kpa. Bezzasadny jest natomiast zarzut, że zaskarżona decyzja nie została podpisana przez osobę upoważnioną, co z mocy art. 156 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r –Kodeks postępowania administracyjnego, zmuszałoby Sąd do stwierdzenia jej nieważności. Należy zgodzić się ze skarżącym, że określenie kompetencji zastępcy inspektora w ramach zakresu czynności, nie jest tożsame z udzieleniem pełnomocnictwa do działania w imieniu organu. Ustalenie zakresu obowiązków oznacza jedynie powierzenie i koordynację zadań w ramach struktury urzędu. Osoba ministra /inspektora ochrony danych osobowych/ personifikuje organ i tylko wyraźne upoważnienie ministra pozwala na działanie w jego imieniu. Wbrew twierdzeniom skarżącego, w [...] września 2004 r. Generalny Inspektor Ochrony Danych Osobowych, na podstawie art. 268a ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego /Dz.U. z 2000 r., Nr 98 , poz. 1071 z późn. zm./ upoważnił Panią E.O. –Zastępcę Generalnego Inspektora Ochrony Danych Osobowych, do wydawania w imieniu Generalnego Inspektora Ochrony Danych Osobowych decyzji administracyjnych, postanowień i zaświadczeń. Zgodnie z utrwalonym orzecznictwem Naczelnego Sądu Administracyjnego, decyzja powinna powoływać się na upoważnienie o którym mowa w art. 268a kpa. Jednakże brak tego powołania się nie uzasadnia uchylenia decyzji, gdyż naruszenie przepisów postępowania w tym zakresie nie może mieć istotnego wpływu na wynik sprawy. Należy zgodzić się ze skarżącym, że postępowanie poprzedzające wydanie zaskarżonej decyzji było prowadzone z rażącą, niczym nie usprawiedliwioną przewlekłością. Jak wskazano wyżej, do postępowania w zakresie rejestracji danych osobowych stosuje się przepisy Kodeksu postępowania administracyjnego. W przedmiotowej sytuacji miały zastosowanie przepisy zawarte w art. 35-38 kpa. Terminy zawarte w tych przepisach mają charakter procesowy, a nie materialny, dlatego nie wiąże się z nimi przedawnienie a ich upływ, ani nie pozbawia organu możliwości orzekania w sprawie, ani nie powoduje wadliwości wydanej w tym postępowaniu decyzji. W ocenie Sądu organ Generalny Inspektor Ochrony Danych Osobowych, w toku prowadzonego postępowania w zakresie rejestracji zbioru danych "Dane abonentów [...] E.", powinien zbadać czy zostały spełnione przesłanki legalności określone w art. 161 ust. 3 Prawa telekomunikacyjnego, w prawidłowo prowadzonym postępowaniu zgodnie z zasadami zawartymi w kodeksie postępowania administracyjnego. Z tych też względów Wojewódzki Sąd Administracyjny w Warszawie uznał skargę za zasadną i na podstawie art. 145 § 1 pkt 1 a i c powołanej ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi /Dz.U. Nr 153 , poz. 1270/, orzekł jak w sentencji. O wykonalności wyroku orzeczono na podstawie art. 152 powołanej ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi.

Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 16.07.2026. · Źródło