I OSK 2677/16
WyrokNaczelny Sąd Administracyjny2019-03-06
Skład orzekający: Elżbieta Kremer, Monika Nowicka, Ewa Kręcichwost-Durchowska
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy straż gminna (miejska) prowadząca postępowanie w sprawie wykroczenia ma prawo żądać od operatora telekomunikacyjnego danych osobowych abonenta (imię, nazwisko, adres) w celu ustalenia tożsamości sprawcy?Ratio decidendi
Naczelny Sąd Administracyjny uznał, że straż gminna (miejska) posiada uprawnienie do żądania od operatora telekomunikacyjnego podstawowych danych osobowych abonenta (imię, nazwisko, adres zamieszkania/zameldowania) w celu ustalenia tożsamości sprawcy wykroczenia. Sąd uzasadnił to koniecznością zapewnienia skuteczności działań organów ścigania wykroczeń oraz wyższością dobra publicznego nad prawami jednostki w określonych sytuacjach, powołując się na przepisy ustawy o strażach gminnych oraz Kodeksu postępowania w sprawach o wykroczenia.Stan faktyczny
Straż Miejska w R. ujawniła wykroczenie polegające na rozklejaniu ogłoszeń reklamowych bez zgody administratora. W celu ustalenia sprawcy, Straż zwróciła się do operatora telekomunikacyjnego o dane abonenta telefonu. Operator odmówił, powołując się na tajemnicę telekomunikacyjną. Generalny Inspektor Ochrony Danych Osobowych (GIODO) nakazał udostępnienie danych. Wojewódzki Sąd Administracyjny (WSA) uchylił decyzję GIODO, uznając, że przepisy Prawa telekomunikacyjnego zapewniają wyższą ochronę danych niż ustawa o ochronie danych osobowych i nie pozwalają na udostępnienie danych na żądanie straży. Naczelny Sąd Administracyjny (NSA) uchylił wyrok WSA, uznając, że straż gminna ma prawo żądać tych danych.Rozstrzygnięcie
Uchylił zaskarżony wyrok (WSA) i oddalił skargę (skarżącej spółki).Pełny tekst orzeczenia
Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Elżbieta Kremer sędzia NSA Monika Nowicka (spr.) sędzia del. WSA Ewa Kręcichwost-Durchowska Protokolant starszy asystent sędziego Maciej Kozłowski po rozpoznaniu w dniu 6 marca 2019 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Generalnego Inspektora Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 21 lipca 2016 r. sygn. akt II SA/Wa 113/16 w sprawie ze skargi [...] Polska S.A. z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2015 r. nr [...] w przedmiocie przetwarzania danych osobowych 1) uchyla zaskarżony wyrok i oddala skargę; 2) zasądza od [...] Polska S.A. z siedzibą w W. na rzecz Prezesa Urzędu Ochrony Danych Osobowych kwotę 580 (pięćset osiemdziesiąt) złotych tytułem zwrotu kosztów postępowania kasacyjnego.
Wojewódzki Sąd Administracyjny w Warszawie, wyrokiem z dnia 21 lipca 2016 r. (sygn. akt II SA/Wa 113/16), po rozpoznaniu skargi [...] S. A. z siedzibą w W., uchylił decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2015 r. nr [...] wraz z utrzymaną przez nią w mocy decyzją tego samego organu z dnia [...] sierpnia 2015 r. nr [...] w przedmiocie przetwarzania danych osobowych.
Wyrok został wydany w następujących okolicznościach faktycznych i prawnych sprawy:
W dniu 13 lutego 2014 r. funkcjonariusz Straży Miejskiej w R. ujawnił wykroczenie z art. 63a § 1 kw., polegające na rozklejaniu ogłoszeń reklamowych o treści: »Kupię Prawa do Akcji [...] S.A., tel. [...] « na słupach oświetlenia ulicznego (...) bez zgody administratora. Wobec okoliczności, iż podjęte przez Straż Miejską czynności nie doprowadziły do ustalenia osoby odpowiedzialnej za powyższe działanie, Straż Miejska - na podstawie art. 10a, 11 i 12 ustawy z dnia 29 sierpnia 1997 r. o strażach gminnych oraz art. 23 ust 1 pkt 2, 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, wskazując jednocześnie, iż toczy się postępowanie wyjaśniające w sprawie o wykroczenie z art. 63a Kodeksu wykroczeń, zwróciła się pismem z dnia 10 marca 2014 r. do [...] S. A. z siedzibą w W., o (cyt.): "udzielenie informacji o danych osobowych (imię, nazwisko, adres zamieszkania) abonenta telefonu nr [...]." Pismem z dnia 25 marca 2014 r., w/w Spółka odmówiła udzielenia żądanej informacji, powołując się na nowelizację art. 159 ust. 4 Prawa telekomunikacyjnego, która wyłączyła możliwość udostępnienia danych i komunikatów objętych tajemnicą telekomunikacyjną dla celów postępowania innego, niż karne. Powyższą argumentację podtrzymaną także w piśmie z dnia 24 kwietnia 2014 r.
W związku z powyższym, z uwagi na brak możliwości ustalenia sprawcy wykroczenia, Straż Miejska wystąpiła ze skargą do Generalnego Inspektora Ochrony Danych Osobowych (GIODO) a w wyniku jej rozpatrzenia, GIODO, decyzją z dnia [...] sierpnia 2015 r. nakazał udostępnienie Komendantowi Straży Miejskiej w R. przez [...] S.A., danych osobowych abonenta telefonu komórkowego, użytkowanego w sieci [...]S.A., o numerze telefonu [...] - w zakresie: jego imienia, nazwiska oraz adresu zameldowania. Rozpatrując zaś wniosek o ponowne rozpatrzenie sprawy, wniesiony przez w/w Spółkę, organ, decyzją z dnia [...] listopada 2015 r. – wydaną na podstawie 138 § 1 pkt 1 k.p.a., art. 12 pkt 2, art. 18 ust. 1 pkt 2, art. 22, art. 23 ust. 1 pkt 2 i 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r., poz. 1182 ze zm.), art. 56 § 2 w zw. z art. 54 § 1 ustawy z dnia 24 sierpnia 2001 r. Kodeks postępowania w sprawach o wykroczenia (Dz. U. z 2014 r., poz. 486 ze zm.), art. 10a ustawy z dnia 29 sierpnia 1997 r. o strażach gminnych (Dz. U. z 2013 r., poz. 1383 ze zm.) oraz art. 161 ust. 1 w zw. z art. 159 ust. 2 pkt 4 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2014 r., poz. 243 ze zm.) – utrzymał w mocy swoją pierwotną decyzję.
W uzasadnieniu stanowiska GIODO wyjaśnił, że Spółka przetwarzała adres zameldowania (nie zamieszkania) abonenta numeru telefonu [...], analiza jednak obowiązku, określonego w przepisie art. 24 ustawy z dnia 24 września 2010 r. o ewidencji ludności ( Dz.U. 2015 r. poz. 388), nakazywała uznać, iż abonent wskazując swój adres zameldowania podał adres stałego, lub czasowego pobytu, a więc swojego miejsca zamieszkania. Z uwagi na powyższe, posiadane przez Spółkę dane osobowe abonenta numeru telefonu: [...] - w zakresie adresu zameldowania - zawierały się zatem w żądaniu Straży Miejskiej.
Organ, odwołując się do orzecznictwa Naczelnego Sądu Administracyjnego (wyroki z dnia: 5 lutego 2008 r. sygn. akt I OSK 37/07, 27 lutego 2014 r., sygn. akt I OSK 2324/12 i 28 stycznia 2003 r. sygn. akt: II SA 2210/01), podkreślił także, iż - zgodnie z brzmieniem art. 1 ust. 1 ustawy o dostępie do informacji niejawnych (u.o.d.o.) - każdy ma prawo do ochrony dotyczących go danych osobowych. Zgodnie zaś z ust. 2 tegoż artykułu, przetwarzanie danych osobowych może mieć miejsce ze względu na: dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonym ustawą. Przepis ten – jak wywodził GIODO - wskazuje więc, iż od generalnej zasady prawa do ochrony danych osobowych istnieją wyjątki. Oznaczało to zatem, iż w przypadku zaistnienia uzasadnionej okoliczności (przesłanki) racjonalny ustawodawca dopuszcza przetwarzanie danych osobowych. Przetwarzaniem danych osobowych - w myśl zaś art. 7 pkt 2 u.o.d.o. – jest zaś m.in. ich zbieranie.
Organ wskazał w tym miejscu, że w doktrynie podkreśla się, iż cyt.: "(...) wytyczając reguły ochrony danych osobowych, należy uważać, aby nie przekroczyć granicy, za którą trafne i szlachetne zamiary oraz założenia zaczynają już wywoływać negatywne skutki. Ma to miejsce na przykład wówczas, gdy zbyt rygorystyczne ograniczenia w pozyskiwaniu i gromadzeniu informacji (danych osobowych) przeszkadzają w należytym zapewnieniu porządku i bezpieczeństwa (...)" (tak: J. Barta, P. Fajgielski, R. Markiewicz, Ochrona Danych Osobowych Komentarz, 4 wydanie, Kraków 2007, str. 303-304). Nie jest więc dopuszczalne działanie, które zmierza do utrudniania realizowania przez właściwe organy obowiązków wynikających z przepisów prawa, zwłaszcza, gdy organy te strzegą porządku publicznego i egzekwują postanowienia przepisów prawa w granicach przyznanych im kompetencji. Celem egzekwowania prawa jest natomiast nałożenie sankcji karnej na osobę, która łamie przepisy, poprzez efektywne zebranie niezbędnych informacji zmierzających do ukarania sprawcy.
Ponadto GIODO przytoczył dodatkowo wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 12 maja 2008 r. (sygn. II SA/Wa 229/08), w którym Sąd ten orzekł, że (cyt.): " Z art. 1 ust. 2 ustawy o ochronie danych osobowych wynika, iż przysługujące każdemu prawo do ochrony dotyczących go danych osobowych nie ma charakteru absolutnego, bowiem przetwarzanie danych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą lub dobro osób trzecich w zakresie i trybie określonym ustawą (...)".
W rezultacie organ wyraził pogląd, że prawo do ochrony danych osobowych nie może pozostawać w oderwaniu od innych przepisów prawa i czynników, które należy mieć na względzie bez zakładania a priori, iż prawo do ochrony danych osobowych, będzie zawsze prawem nadrzędnym.
Poza tym GIODO wskazał również, że organ powołany do strzeżenia porządku publicznego (jakim była w niniejszym postępowaniu Straż Miejska) legitymował się przesłanką dla przetwarzania danych osobowych. Podstawę do zgodnego z prawem przetwarzania danych osobowych daje zaś spełnienie jednej z przesłanek, określonych w art. 23 ust. 1 pkt 1-5 u.o.d.o. Udostępnienie danych osobowych przez administratora tych danych jest bowiem dopuszczalne m.in., gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku, wynikającego z przepisu prawa (art. 23 ust. 1 pkt 2 u.o.d.o.), bądź gdy jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (art. 23 ust. 1 pkt 4 u.o.d.o.).
Jednocześnie GIOGO wyjaśnił, że - zgodnie z art. 159 ust. 2 pkt 4 Prawa Telekomunikacyjnego (dalej: PTE) - zakazane jest: zapoznawanie się, utrwalanie, przechowywanie, przekazywanie lub inne wykorzystywanie treści lub danych objętych tajemnicą telekomunikacyjną przez osoby inne niż nadawca i odbiorca komunikatu, chyba że będzie to konieczne z innych powodów przewidzianych ustawą lub przepisami odrębnymi. Art. 159 ust. 4 PTE stanowi jednak, iż przepisów ust. 2 i 3 nie stosuje się do komunikatów i danych ze swojej istoty jawnych, z przeznaczenia publicznych lub ujawnionych postanowieniem sądu, postanowieniem prokuratora lub na podstawie odrębnych przepisów. W myśl też art. 161 ust. 2 PTE, zastrzeżeniem ust. 2, treści lub dane objęte tajemnicą telekomunikacyjną mogą być zbierane, utrwalane, przechowywane, opracowywane, zmieniane, usuwane lub udostępniane tylko wówczas, gdy czynności te, zwane dalej "przetwarzaniem", dotyczą usługi świadczonej użytkownikowi albo są niezbędne do jej wykonania. Przetwarzanie w innych celach jest dopuszczalne jedynie na podstawie przepisów ustawowych.
Dokonując zatem analizy powyższych przepisów, GIODO uznał, że wskazują one na możliwość udostępnienia danych, objętych tajemnicą telekomunikacyjną, gdy stanowią tak przepisy odrębne, bądź jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, o czym stanowi art. 23 ust. 1 pkt 4 u.o.d.o.
Odnosząc powyższe do stanu faktycznego sprawy, GIODO wskazał zatem, że zgodnie z art. 10 ust. 1 ustawy o strażach gminnych, straż wykonuje zadania w zakresie ochrony porządku publicznego, wynikające z ustaw i aktów prawa miejscowego. W celu realizacji tych zadań straż może przetwarzać dane osobowe, z wyłączeniem danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, bez wiedzy i zgody osoby, której dane te dotyczą uzyskane w wyniku wykonywania czynności podejmowanych w postępowaniu w sprawach o wykroczenia (art. 10a pkt 1 ustawy o strażach gminnych). Stosownie zaś do brzmienia art. 12 ust. 1 pkt 5 ustawy o strażach gminnych, strażnik wykonując zadania, o których mowa w art. 10 i 11, ma prawo do dokonywania czynności wyjaśniających, kierowania wniosków o ukaranie do sądu, oskarżania przed sądem i wnoszenia środków odwoławczych - w trybie i zakresie określonych w Kodeksie postępowania w sprawach o wykroczenia. Po myśli zaś art. 17 Kodeksu postępowania w sprawach o wykroczenia, Straż Miejska jest jednym z oskarżycieli publicznych, któremu przysługuje prawo do przeprowadzenia czynności wyjaśniających w celu ustalenia, czy istnieją podstawy do wystąpienia z wnioskiem o ukaranie oraz zebrania danych niezbędnych do sporządzenia wniosku o ukaranie (art. 54 - 56 Kodeksu postępowania w sprawach o wykroczenia). Czynności te w miarę możności należy przy tym podjąć w miejscu popełnienia czynu bezpośrednio po jego ujawnieniu i zakończyć w ciągu miesiąca (art. 54 ust. 1 in fine Kodeksu postępowania w sprawach o wykroczenia).
W związku z tym – zdaniem organu - realizacja przez Straż Miejską zadań nałożonych na nią ustawowo wymaga wykorzystywania informacji o osobach, których działania te dotyczą. Przepisy ustawy o strażach gminnych wprost stanowią o prawie Straży Miejskiej do przetwarzania danych w związku z realizacją określonych prawem zadań, bez konieczności uzyskania na to zgody osoby, której dane dotyczą. Powyższe oznaczało zatem, iż Straż Miejska - na mocy art. 161 ust. 1 i art. 159 ust. 2 pkt 4 PTE, art. 23 ust. 1 pkt 2 i 4 u.o.d.o. w zw. z art. 54 § 1 i art. 56 § 2 Kodeksu postępowania w sprawach o wykroczenia - miała prawo zwrócić się do operatora telekomunikacyjnego o udostępnienie niezbędnych jej danych osobowych, zaś operator ten winien - mając na względzie fakt realizacji obowiązku czuwania przez Straż Miejską nad przestrzeganiem prawa przez obywateli - udostępnić informacje w zakresie wnioskowanym przez Straż Miejską.
Przedstawiona wyżej decyzja GIODO z dnia [...] listopada 2015 r. stała się przedmiotem skargi wniesionej do Wojewódzkiego Sądu Administracyjnego w Warszawie przez [...] S.A. z siedzibą w W., w której skarżąca zarzuciła organowi naruszenie: art. 5 i art. 23 ust. 1 pkt 2 i 4 u.o.d.o w związku z art. 159 ust. 1-4 i art.161 ust. 1 PTE oraz art. 54 § 1 w zw. art. 56 § 2 kodeksu postępowania w sprawach o wykroczenia (k.p.w.) i art. 10 ust. 1 ustawy o strażach gminnych.
W odpowiedzi na skargę GIODO wnosił o jej oddalenie, podtrzymując argumentację zawartą w uzasadnieniu zaskarżonej decyzji.
Uchylając – na zasadzie art. 145 § 1 pkt 1 lit. a) ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (dalej: "p.p.s.a") – zaskarżoną decyzję oraz decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] sierpnia 2015 r. nr [...]) - Wojewódzki Sąd Administracyjny w Warszawie uznał, że skarga zasługiwała na uwzględnienie.
W uzasadnieniu wyroku Sąd przytoczył przepisy art. 159 ust. 1 pkt 1, ust. 2, i 4 oraz art. 161 ust. 1 PTE, art. 23 ust. 1 u.o.d.o. i stwierdził, że ten ostatni przepis określa jedynie ogólne materialne przesłanki przetwarzania danych osobowych (w rozumieniu art. 7 pkt 2) o charakterze generalnym. W związku z tym upoważnia to do stwierdzenia, że przepisy ustawy Prawo telekomunikacyjne przewidują dalej idącą ochronę danych osobowych objętych tajemnicą telekomunikacyjną, niż przepisy ustawy o ochronie danych osobowych. Znajduje więc zastosowanie w tej sytuacji przepis art. 5 u.o.d.o., który stanowi, że jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw. Sąd Wojewódzki zauważył wprawdzie w tym miejscu, że jakkolwiek w piśmiennictwie i orzecznictwie (wyrok Naczelnego Sądu Administracyjnego w Warszawie z dnia 5 lutego 2008 r. sygn. akt I OSK 37/2007) pojawia się stanowisko, wedle którego przepisami odrębnymi - w rozumieniu art. 5 u.o.d.o. - są przepisy ustawy o ochronie danych osobowych, to jednak stanowiska tego nie podzielił. Pogląd ten dla Sądu Wojewódzkiego nie był przekonywujący, zważywszy na charakter norm sektorowych (odnoszących się do przetwarzania danych osobowych w związku z wykonywaniem określonego rodzaju działalności gospodarczej), które kształtować miały podwyższone standardy ochrony ze względu na szczególne zagrożenia prywatności. W rezultacie zatem Sąd Wojewódzki przyjął, że, wbrew stanowisku organu, w rozpoznawanej sprawie przepisy art. 23 ust. 1 pkt 2 i pkt 4 u.o.d.o.nie mogły ą stanowić podstawy prawnej do pozyskania przez Straż Miejską w R. danych osobowych użytkownika przedmiotowego telefonu komórkowego.
Taka podstawa prawna nie wynikała również – w ocenie Sądu Wojewódzkiego - z innych przepisów prawa, w tym z ustawy o strażach gminnych oraz z Kodeksu postępowania w sprawach o wykroczenia.
Interpretując te przepisy, Sąd Wojewódzki podkreślił, że art. 10 ust. 1 ustawy o strażach gminnych w ogóle nie dotyczy problematyki przetwarzania danych osobowych, natomiast treść art. 10a ww. ustawy, dowodzi tylko, że straż może legalnie przetwarzać dane osobowe, które uzyskała już (a nie dopiero chce uzyskać), zgodnie z prawem w związku z prowadzonym postępowaniem w sprawach o wykroczenia bądź z rejestrów, ewidencji lub zbiorów.
Podobnie, zdaniem Sądu, art. 12 ust. 1 pkt 5 cyt. ustawy, również nie uprawniał Straży do żądania udostępnienia przez operatora telekomunikacyjnego danych osobowych abonenta. Sytuacja prawna straży gminnej (miejskiej) w tym zakresie została bowiem – jak wywodził Sąd - ukształtowana odmiennie niż w odniesieniu do innych służb. Sąd zwrócił w tym miejscu uwagę na przepisy innych ustaw, to jest na: art. 20c ustawy z dnia 6 kwietnia 1990 r. o Policji (t.j. Dz. U. z 2002 r. Nr 7, poz. 58 ze zm.), art. 10b ust. 1 ustawy z dnia 12 października 1990 r. o Straży Granicznej (t.j. Dz. U Nr 78, poz. 462 ze zm.), art. 36 ust. 1 ustawy z dnia 28 września 1991 r. o kontroli skarbowej (t.j. Dz. U. z 2004 r. Nr 8, poz. 65 ze zm.), art. 30 ust. 1 ustawy z dnia 24 sierpnia 2001 r. o Żandarmerii Wojskowej i wojskowych organach porządkowych (Dz. U. Nr 123, poz. 1353 ze zm.), art. 28 ust. 1 pkt 1 ustawy z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu (Dz. U. Nr 74, poz. 676 ze zm.), podnosząc, że przepisy te dopuszczają przetwarzanie przez w/w organy danych objętych tajemnicą telekomunikacyjną, a w szczególności danych identyfikacyjnych abonenta. Powyższa przy tym kwestia znajdowała zaś – zdaniem Sądu - odzwierciedlenie w ustawie Prawo telekomunikacyjne (art. 179 ust. 3 i art. 180d PTE).
Odnosząc się z kolei do art. 17 § 3 k.p.w., Sąd przyjął, że w sprawach o wykroczenia, strażom gminnym (miejskim) uprawnienia oskarżyciela publicznego przysługują tylko wówczas, gdy w zakresie swego działania, w tym w trakcie prowadzonych czynności wyjaśniających, ujawniły wykroczenie i wystąpiły z wnioskiem o ukaranie.
Ponadto Sąd Wojewódzki podkreślił, że tajemnica komunikowania się posiada gwarancję w art. 49 Konstytucji RP i w związku z tym wszelkie ograniczenia praw i wolności chronionych konstytucyjnie muszą spełniać kryteria należytej określoności. Tymczasem powołane przez Generalnego Inspektora przepisy, będące podstawą do nakazania udostępnienia żądanych danych osobowych, charakteryzowały się niskim poziomem określoności i przez to miały wręcz charakter przepisów blankietowych bądź w ogóle przedmiotowych kwestii nie regulowały, zaś nadanie im takiego waloru wynikało wyłącznie z dowolnej ich interpretacji. Poza tym, dopuszczenie naruszenia tajemnicy komunikowania się celem ścigania wykroczeń budziło - w ocenie Sądu – wątpliwości bo nie spełniało warunku zgodności takiej ingerencji z wymogiem niezbędności oraz proporcjonalności.
Końcowo Sąd przywołał także art. 15 ust. 1 Dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz. Urz. WEL 201 z 31.07.2002 r., s. 37, Dz. Urz. UE Polskie wydanie specjalne, rozdz. 13, t. 29, s. 1514 z późn. zm.), z którego wynikało, iż państwa członkowskie mogą uchwalić środki ustawodawcze w celu ograniczenia między innymi poufności komunikacji (art. 5 Dyrektywy), gdy takie ograniczenia stanowią środki niezbędne, właściwe i proporcjonalne w ramach społeczeństwa demokratycznego do zapewnienia bezpieczeństwa narodowego, obronności, bezpieczeństwa publicznego oraz zapobiegania, dochodzenia, wykrywania i karania przestępstw kryminalnych lub niedozwolonego używania systemów łączności elektronicznej. Jednakże ogólnie sformułowany w tym przepisie wyjątek od zasady poufności komunikowania się, nie powinien być interpretowany rozszerzająco. W związku z tym, zdaniem Sądu, nie sposób było uznać, by popełnienie wykroczenia mogło być uznać za spełniające ww. przesłanki zagrożenia podstawowego interesu.
Również - w ocenie Sądu Wojewódzkiego - Europejski Trybunał Praw Człowieka w swoim orzecznictwie dotyczącym art. 8 Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności sporządzonej w Rzymie dnia 4 listopada 1950 r. stanął na stanowisku, że zasada poszanowania praworządności obliguje strony konwencji do ograniczenia działań organów państwa tylko do sytuacji dozwolonych i dostatecznie uzasadnionych przez prawo krajowe. Wypełnienie tego obowiązku powinno zaś polegać w szczególności na tym, że stosowne przepisy powinny być dostępne dla obywateli oraz jasne w swoim zakresie, tak, aby obywatel wiedział, w jakich okolicznościach i na jakich warunkach, władze publiczne są uprawnione do uciekania się do działań tajnych, ingerujących w jego życie prywatne.
W konsekwencji Sąd Wojewódzki, podkreślając, że nie podziela stanowiska zawartego w cytowanych przez organ wyrokach Naczelnego Sądu Administracyjnego, przyjął, że wykładnia przepisów powołanych przez GIODO w zaskarżonej decyzji była błędna a zarzuty skargi, dotyczące naruszenia przepisów prawa materialnego, uzasadnione. W związku z tym, Sąd polecił by rozpatrując sprawę ponownie, Generalny Inspektor Ochrony Danych Osobowych wziął pod uwagę powyższe rozważania.
W skardze kasacyjnej, zaskarżając powyższy wyrok w całości, Generalny Inspektor Ochrony Danych Osobowych zarzucił Wojewódzkiemu Sądowi Administracyjnemu w Warszawie naruszenie prawa materialnego w postaci:
1) art. 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 201 poz. 922) w związku z art. 159 ust. 1 pkt 1, ust. 2 i ust. 3 oraz art. 161 ust. 1 ustawy z 16 lipca 2004 r. - Prawo telekomunikacyjne (t.j. Dz. U z 2014 r. poz. 243 ze zm.) - poprzez błędną wykładnię a w konsekwencji niewłaściwe zastosowanie polegające na przyjęciu, iż przepisy te wyłączają zastosowanie w przedmiotowej sprawie przepisów ustawy o ochronie danych osobowych, w tym art. 23 ust. 1 pkt 2 i 4 tej ustawy, a tym samym statuują zakaz udostępniania danych osobowych abonenta usługi telekomunikacyjnej przez operatora telekomunikacyjnego na rzecz straży gminnej w związku z wykonywaniem przez nią ustawowych zadań,
2) art. 23 ust. 1 pkt 2 i 4 ustawy o ochronie danych osobowych w zw. z art. 54 § 1 i art. 56 ustawy z dnia 24 sierpnia 2001 r. Kodeksu postępowania w sprawach o wykroczenia (t.j. Dz. U. z 2013 r. poz. 395 ze zm.) i art. 10a ustawy z dnia 29 sierpnia 1997 r. o strażach gminnych (t.j. Dz.U. z 2016 r. poz. 706) oraz art. 161 ust. 1 i art. 159 ust. 2 pkt 4 Prawa telekomunikacyjnego - poprzez ich błędną wykładnię a w konsekwencji niewłaściwe zastosowanie polegające na przyjęciu, iż nie stanowią podstawy prawnej do udostępnienia danych osobowych abonenta usługi telekomunikacyjnej przez operatora telekomunikacyjnego na rzecz straży gminnej w związku z wykonywaniem przez nią ustawowych zadań.
Wskazując na powyższe podstawy kasacyjne, skarżący organ wnosił o uchylenie zaskarżonego wyroku i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie wraz z zasądzeniem zwrotu kosztów postępowania kasacyjnego.
W odpowiedzi na skargę kasacyjną, [...] S.A. w W. wnosiła o jej oddalenie.
Naczelny Sąd Administracyjny zważył, co następuje:
Zgodnie z art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (tekst jedn. Dz. U. z 2018 r. poz. 1302), Naczelny Sąd Administracyjny związany jest podstawami skargi kasacyjnej, z urzędu zaś bierze pod uwagę jedynie nieważność postępowania. W niniejszej sprawie żadna z wymienionych w art. 183 § 2 p.p.s.a. przesłanek nieważności postępowania nie zaistniała, wobec czego kontrola Naczelnego Sądu Administracyjnego ograniczyła się wyłącznie do zbadania zawartych w skardze kasacyjnej zarzutów.
Zostały one oparte na podstawie kasacyjnej, określonej w art. 174 pkt 1 p.p.s.a. to jest na obrazie prawa materialnego, w postaci błędnej wykładni i w konsekwencji niewłaściwym zastosowaniu: art. 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 201 poz. 922) w związku z art. 159 ust. 1 pkt 1, ust. 2 i ust. 3 oraz art. 161 ust. 1 ustawy z 16 lipca 2004 r. - Prawo telekomunikacyjne (t.j. Dz. U z 2014 r. poz. 243 ze zm.) oraz art. 23 ust. 1 pkt 2 i 4 ustawy o ochronie danych osobowych w zw. z art. 54 § 1 i art. 56 ustawy z dnia 24 sierpnia 2001 r. Kodeksu postępowania w sprawach o wykroczenia (t.j. Dz. U. z 2013 r. poz. 395 ze zm.) i art. 10a ustawy z dnia 29 sierpnia 1997 r. o strażach gminnych (t.j. Dz.U. z 2016 r. poz. 706) a także art. 161 ust. 1 i art. 159 ust. 2 pkt 4 Prawa telekomunikacyjnego i tak sformułowaną skargę kasacyjną skład orzekający uznał za uzasadnioną.
Kluczowym zagadnieniem, które wystąpiło w analizowanej sprawie było udzielenie odpowiedzi na pytanie, czy w sytuacji, w której straż gminna (miejska) prowadzi postępowanie w sprawie popełnienia wykroczenia i dla potrzeb tego postępowania (w celu ustalenia tożsamości sprawcy czynu) konieczne jest uzyskanie od jego operatora telekomunikacyjnego podstawowych danych osobowych abonenta (imienia, nazwiska, miejsca zamieszkania/zameldowania), operator ten ma obowiązek udzielenia informacji zawierającej powyższe dane na żądanie straży gminnej.
Jak wynikało ze szczegółowo przedstawionych wyżej wywodów, zdaniem Generalnego Inspektora Ochrony Danych Osobowych taki obowiązek istniał. Poglądu tego nie podzielił natomiast Sąd Wojewódzki, twierdząc, wykładnia przepisów powołanych przez organ - jako podstawa prawna do nakazania udostępnienia przez [...] S.A. w W. żądanych danych osobowych Komendantowi Straży Miejskiej w R. - była błędna.
W związku z powyższym należy wyjaśnić, że wprawdzie przepisy ustawy o ochronie danych osobowych, Prawa telekomunikacyjnego, ustawy o strażach gminnych czy Kodeksu postępowania w sprawach o wykroczenia nie stanowią wprost o uprawnieniu straży gminnej do żądania, w przypadku prowadzenia postępowania w sprawie popełnienia wykroczenia, od operatora sieci danych osobowych jej abonenta, takich jak: imię, nazwisko i adres zamieszkania, który jest potencjalnym sprawcą czynu, tym niemniej – w ocenie składu orzekającego - nie ulega wątpliwości, iż takie uprawnienie straż gminna/miejska jednak posiada. Wykładnia przepisów, regulujących omawianą materię, nie może bowiem prowadzić do paraliżu organu, mającego ustawowe kompetencje do m. in. ścigania sprawców wykroczeń.
Podkreślenia w tym miejscu wymaga, że wykroczenie jest czynem zabronionym, zawinionym i społecznie szkodliwym. Staż gminna (miejska) jest zaś powoływana przez samorząd gminny (miejski) w celach takich jak m. in.: ochrona spokoju i porządku w miejscach publicznych a także ochrona obiektów komunalnych i urządzeń użyteczności publicznej (art. 11 ustawy o strażach gminnych). By zadania te zaś realizować straż posiada szereg uprawnień, do których należy m .in.: prawo do legitymowania osób w uzasadnionych przypadkach w celu ustalenia tożsamości, prawo dokonania w niektórych sytuacjach kontroli osobistej, przeglądania zawartości bagażu podręcznego osób w stosunku co do których zachodzi podejrzenie popełnienia przez nie czynu zabronionego oraz prawo ujęcia osób stwarzających w sposób oczywisty bezpośrednie zagrożenie dla życia lub zdrowia ludzkiego a także dla mienia i niezwłocznego doprowadzenia ich do najbliższej jednostki Policji (art. 12 cyt. ustawy). Oczywiście powyższe uprawnienia nie odnoszą się wprost do prawa żądania ujawnienia przez operatora sieci danych osobowych abonenta, który jest potencjalnym sprawcą wykroczenia, ale zakres owych uprawnień straży gminnej/miejskiej ewidentnie dowodzi, że jest to podmiot mający – z mocy ustawy – prawo do naruszania w określonych sytuacjach wolności i prywatności osób a więc praw chronionych konstytucyjnie. Wyższość dobra publicznego w określonych sytuacjach wymaga bowiem podporządkowania praw przysługujących jednostce.
Słusznie też skarżący kasacyjnie organ zwraca uwagę w uzasadnieniu skargi kasacyjnej na treść art. 17 k.p.w. Zgodnie bowiem z tym przepisem, Straż Miejska jest jednym z oskarżycieli publicznych w sprawach o wykroczenia, któremu przysługuje prawo do przeprowadzenia czynności wyjaśniających w celu ustalenia, czy istnieją podstawy do wystąpienia z wnioskiem o ukaranie oraz zebrania danych niezbędnych do sporządzenia wniosku o ukaranie (art. 54 - 56 k.p.w.). Przy czym - w myśl art. 54 ust. 1 in fine k.p.w. - owe czynności wyjaśniające winny być w miarę możności podejmowane w miejscu popełnienia czynu bezpośrednio po jego ujawnieniu i zakończone w ciągu miesiąca. Przy tego rodzaju czynnościach istotny jest zatem czynnik czasu, jako wpływający na skuteczność działania.
W związku z tym, niewątpliwie realizacja przez Straż Miejską zadań, nałożonych na nią ustawowo obowiązków, wymaga wykorzystywania informacji o osobach, których działania te dotyczą. To zaś oznacza, że zgodzić się trzeba ze skarżącym organem, iż to przepisy ustawy o strażach gminnych stanowią o prawie Straży do przetwarzania danych w związku z realizacją określonych prawem zadań, bez konieczności uzyskiwania na to zgody osoby, której dane te dotyczą.
Podkreślenia w szczególności w tym miejscu także wymaga, że - zgodnie z art. 10a ustawy o strażach gminnych - straż w celu realizacji ustawowych zadań może przetwarzać dane osobowe, z wyłączeniem danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, bez wiedzy i zgody osoby, której dane te dotyczą, uzyskane:
1. w wyniku wykonywania czynności podejmowanych w postępowaniu w sprawach o wykroczenie,
2. z rejestrów, ewidencji i zbiorów, do których straż posiada dostęp na podstawie odrębnych przepisów.
Powyższe, nie oznacza przy tym jedynie, jak twierdził Sąd Wojewódzki, że (cyt.): "straż może legalnie, na podstawie tego przepisu, przetwarzać dane osobowe, które uzyskała już (a nie dopiero chce uzyskać), zgodnie z prawem w związku z prowadzonym postępowaniem w sprawach o wykroczenia bądź z rejestrów, ewidencji lub zbiorów". Jak przyjął bowiem Naczelny Sąd Administracyjny w wyroku z dnia 5 lutego 2008 r. (sygn. akt I OSK 37/07), przepisy ustawy o strażach gminnych o nie tylko uprawniają, ale wręcz zobowiązują Straż Miejską do pozyskiwania wszelkich niezbędnych danych w celu ustalenia sprawcy wykroczenia, a następnie skierowania do sądu stosownego wniosku o ukaranie podmiotu w pełni zidentyfikowanego. Zagwarantowana bowiem w art. 49 Konstytucji RP wolność i ochrona tajemnicy komunikowania się nie ma charakteru bezwzględnego.
Pogląd ten skład orzekający w pełni podziela i uznaje za nadal aktualny. Wskazać też trzeba, że pogląd ten jest zbieżny ze stanowiskiem zajętym przez Naczelny Sąd Administracyjny w wyroku z dnia 21 lutego 2014 r. (sygn. akt I OSK 2324/12), w którym stwierdzono, że (cyt.): "tajemnica komunikowania się w sieciach telekomunikacyjnych sięga tylko do granic kolizji zobowiązującym porządkiem prawnym. Gdy zaś zachodzi podejrzenie sprzeczności z nim, reguła ta musi ulec przed wyższym dobrem. (...)." Zatem istotnie, jak słusznie podkreślał organ, udostępnienie żądanych danych wydaje się możliwe, o ile są one adekwatne do celów i nie naruszają innych gwarancji ochronnych.
Ponadto zauważyć też należy, że nie było uzasadnione przeciwstawienie przez Sąd Wojewódzki – na gruncie art. 179 ust. 3 PTE – regulacji, zawartych w ustawach dotyczących innych służb (art. 20c ustawy z dnia 6 kwietnia 1990 r. o Policji, art. 10b ust. 1 ustawy z dnia 12 października 1990 r. o Straży Granicznej, art. 36 ust. 1 ustawy z dnia 28 września 1991 r. o kontroli skarbowej, art. 30 ust. 1 ustawy z dnia 24 sierpnia 2001 r. o Żandarmerii Wojskowej i wojskowych organach porządkowych art. 28 ust. 1 pkt 1 ustawy z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu) regulacjom, dotyczącym Straży Miejskiej. Artykuł 179 ust. 3 stanowi bowiem, że przedsiębiorca telekomunikacyjny, z zastrzeżeniem ust. 12 pkt 2 jest obowiązany do:
1. zapewnienia warunków technicznych i organizacyjnych dostępu i utrwalania, zwanych dalej "warunkami dostępu i utrwalania", umożliwiających jednoczesne i wzajemnie niezależne:
a) uzyskiwanie przez Policję, Straż Graniczną, Agencję Bezpieczeństwa Wewnętrznego, Służby Kontrwywiadu Wojskowego, Żandarmerię Wojskową, Centralne Biuro Antykorupcyjne i wywiad skarbowy, zwane dalej "uprawnionymi podmiotami", w sposób określony w ust. 4b, dostępu do:
– przekazów telekomunikacyjnych, nadawanych i odbieranych przez użytkownika końcowego lub telekomunikacyjne urządzenie końcowe,
– posiadanych przez przedsiębiorcę danych związanych z przekazami telekomunikacyjnymi, o których mowa w ust. 9, art. 159 ust. 1 pkt 1 i pkt 3-5,
b) uzyskiwanie przez uprawnione podmioty danych związanych ze świadczoną usługą telekomunikacyjną i danych, o których mowa w art. 161,
c) utrwalanie przez uprawnione podmioty przekazów telekomunikacyjnych, o których mowa w li. a i b,
2. utrwalania na rzecz sądu i prokuratora przekazów telekomunikacyjnych i danych, o których mowa w pkt 1 lit. a i b.
W związku z tym należy stwierdzić, że powyższe przepisy nie dotyczą pozyskiwania takich (podstawowych) danych osobowych jak: imię, nazwisko i adres zamieszkania, ale szczegółowo normują zasady uzyskiwania przez w/w służby: przekazów telekomunikacyjnych oraz danych związanych z tymi przekazami, o których mowa w ust. 9, art. 159 ust. 1 pkt 1 i pkt 3-5, nie zaś art. 161 § 2 PTE. Ich zakres jest więc znacznie szerszy i z tego powodu ta kwestia musiała być szczegółowo unormowana.
Odnosząc się zaś do przywołanej w zaskarżonym wyroku Dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r., dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej, skład orzekający podziela w tym zakresie stanowisko Naczelnego Sądu Administracyjnego, wyrażone w wyroku z dnia 5 lutego 2008 r. ( sygn. I OSK 37/07) a sprowadzające się do poglądu, iż nie można zgodzić się z twierdzeniem, jakoby dyrektywa ta dopuszczała uchwalanie przez państwa członkowskie środków ustawodawczych jedynie w celu ograniczenia poufności komunikacji w związku z zapobieganiem, dochodzeniem i karaniem przestępstw, gdyż między innymi ochronie porządku publicznego i bezpieczeństwa publicznego służy też penalizacja i ściganie wykroczeń.
W konsekwencji zatem powyższe rozważania prowadzą do wniosku, iż należy zgodzić się z organem, że art. 23 ust. 1 pkt 2 i 4 u.o.d.o. w zw. z art. 54 § 1 i art. 56 § 2 k.p.w. oraz art. 10a o strażach gminnych dają możliwość udostępnienia Straży Miejskiej przez operatora sieci podstawowych danych abonenta podejrzanego o popełnienie wykroczenia i nie stoją temu na przeszkodzie art. 5 u.o.d.o. w związku z art. 159 ust. 1 pkt 1, ust. 2 i ust. 3 oraz art. 161 ust. 1 PTE.
Zgodnie bowiem z art. 23 ust. 1 pkt 2 i 4 u.o.d.o., przetwarzanie danych (w rozumieniu art. 7 pkt 2) jest dopuszczalne, gdy jest to niezbędne dla realizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa lub jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego. Skoro zaś przetwarzanie danych jest niezbędne dla zrealizowania powyższych celów, to jest ono usprawiedliwione koniecznością wykonywania przez podmiot ustawowy zadań dla dobra publicznego. Dobro to zasługuje bowiem na wyższą pozycję niż dobra przysługujące jednostce.
Stosownie zaś do treści art. 159 ust. 1 pkt 1 PTE, tajemnica komunikowania się w sieciach telekomunikacyjnych, zwana dalej "tajemnicą telekomunikacyjną", obejmuje wprawdzie m. in. dane dotyczące użytkownika, ale po myśli art. 159 ust. 2 pkt 4 PTE, zakazane jest zapoznawanie się, utrwalanie, przechowywanie, przekazywanie lub inne wykorzystywanie treści lub danych objętych tajemnicą telekomunikacyjną przez osoby inne niż nadawca i odbiorca komunikatu, chyba że będzie to konieczne z innych powodów przewidzianych ustawą lub przepisami odrębnymi.
Wskazać też trzeba, że również art. 159 ust. 3 i art. 161 ust. 1 PTE dopuszczają ujawnianie lub przetwarzanie treści albo danych objętych tajemnicą telekomunikacyjną w przypadkach określonych ustawą.
W konsekwencji w tych warunkach należało więc przyjąć, że na mocy wyżej omówionych przepisów ustawowych Straż Miejska, realizując nałożone na nią ustawowo zadanie, w postaci (ogólnie mówiąc) ochrony dobra publicznego, miała w tej sprawie - na podstawie art. 161 ust. 1 zd. 2 PTE- prawo do żądania od operatora sieci udostępnienia podstawowych danych osobowych jej abonenta.
Biorąc więc powyższe pod uwagę, Naczelny Sąd Administracyjny – z mocy art. 188 w zw. z art. 151 i art. 193 p.p.s.a. – orzekł jak w sentencji.
Rozstrzygnięcie o kosztach postępowania kasacyjnego oparto na art. 203 pkt 2 p.p.s.a.
Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 14.07.2026. · Źródło