II SA/Wa 643/11
2011-06-20
II SA/Wa 643/11
orzeczenie nieprawomocne
WYROK
W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ
dnia 16 maja 2011 r.
Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu na rozprawie w dniu 16 maja 2011 r. sprawy ze skargi P.S.A. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] stycznia 2011 r. nr [...] w przedmiocie usunięcia uchybień w przetwarzaniu danych osobowych
oddala skargę
Uzasadnienie:
Inspektorzy uprawnieni przez Generalnego Inspektora Ochrony Danych Osobowych przeprowadzili w P. S.A. z siedzibą w W. w dniach [...] czerwca 2010 r. kontrolę zgodności przetwarzania danych osobowych z przepisami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.). Na podstawie zgromadzonego w toku materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych P. S.A., jako administrator danych, naruszył przepisy o ochronie danych osobowych. Uchybienia te polegały na: 1) nieuprawnionym przetwarzaniu danych w zakresie szerszym, niż to wynika z przepisów prawa, a pozyskiwanych z kserokopii dokumentów np. wizerunek, wzrost (art. 23 ust. 1 w zw. z art. 7 pkt 5 powołanej ustawy), 2) braku możliwości swobodnego wyrażenia zgody na przetwarzanie danych w różnych celach wskazanych w regulaminie świadczeń usług telekomunikacyjnych przez P. S.A. dla Abonentów, w Załączniku nr 1 do Umowy dotyczącej udziału w promocji [...] oraz formularzu rejestracyjnym na stronie internetowej (art. 23 ust. 1 w zw. z art. 7 pkt 5 tej ustawy), 3) braku możliwości swobodnego wyboru na jakie cele przetwarzania danych osobowych wyrażana jest zgoda w oświadczeniu klienta przystępującego do programu lojalnościowego [...] wypełniającego wniosek umieszczony na stronie internetowej o adresie [...] (art. 23 ust. 1 w zw. z art. 7 pkt 5 ww. ustawy), 4) braku możliwości swobodnego wyrażenia zgody na przetwarzanie danych w różnych celach wskazanych w treści formularza rejestracyjnego przy zakładaniu konta w systemie informatycznym o nazwie [...] (art. 23 ust. 1 w zw. z art. 7 pkt 5 powołanej ustawy).
W dniu [...] listopada 2010 r. Generalny Inspektor Ochrony Danych Osobowych wydał na podstawie art. 104 § 1 i art. 105 § 1 k.p.a., art. 12 pkt 2, art. 18 ust. 1 pkt 1 i art. 22 zw. z art. 23 ust. 1 i art. 7 pkt 5 ustawy o ochronie danych osobowych decyzję nr [...] w pkt I nakazującą P. S.A. z siedzibą w W. usunięcie uchybień w procesie przetwarzania danych osobowych, poprzez: ppkt 1) zapewnienie opcjonalności w kwestii wyrażenia zgody na przetwarzanie przez klientów składających oświadczenie o wyrażeniu zgody na przetwarzanie dodatkowych danych osobowych odrębnie dla celów "statutowych, w celu świadczenia usług, w celu archiwizacji, a także sprzedaży produktów i usług oraz dla potrzeb działań marketingowych podejmowanych przez P. samodzielnie" i odrębnie dla potrzeb działań marketingowych "podejmowanych we współpracy z innymi podmiotami, w szczególności takich jak: sprzedaż produktów i usług, przesyłanie informacji o nowych produktach i usługach, udział w konkursach, promocjach, akcjach promocyjnych z udziałem partnerów P. w terminie jednego miesiąca od dnia, w którym niniejsza decyzja stanie się ostateczna; ppkt 2) zapewnienie opcjonalności w kwestii wyrażenia zgody na przetwarzanie przez klientów składających oświadczenie o wyrażeniu zgody na przetwarzanie danych osobowych w związku z udziałem w programie lojalnościowym [...], odrębnie od oświadczenia o akceptacji warunków Regulaminu Programu [...], odrębnie na cele realizacji Programu oraz archiwizacji, odrębnie na przekazanie danych innym administratorom danych w przypadku, gdy wymaga tego rodzaj zamówionej nagrody lub udział w organizowanej wspólnie z partnerem akcji marketingowej lub akcji promocyjnej, odrębnie na otrzymywanie informacji handlowych w terminie jednego miesiąca od dnia, w którym niniejsza decyzja stanie się ostateczna, w pkt II umarzającą postępowanie w pozostałym zakresie (w zakresie obejmującym usunięcie nieprawidłowości do dnia zakończenia postępowania).
Pełnomocnik Spółki P. wniósł o ponowne rozpatrzenie sprawy zakończonej powyższą decyzją domagając się uchylenia pkt I decyzji oraz: 1) umorzenia postępowania administracyjnego w zakresie objętym pkt I ppkt 1 sentencji decyzji, 2) zmianę rozstrzygnięcia w zakresie objętym pkt I ppkt 2 sentencji decyzji w ten sposób, że Spółka zostanie zobowiązana do zapewnienia opcjonalności oświadczeń składanych przez klientów Spółki odrębnie dla akceptacji warunków Regulaminu Programu [...] oraz odrębnie dla zgody na przetwarzanie danych osobowych uczestników Programu [...] dla celów marketingowych w zakresie otrzymywania przez nich drogą elektroniczną informacji o nowych ofertach promocyjnych, produktach i usługach, informacji o konkursach, promocjach i akcjach promocyjnych prowadzonych przez Spółkę z partnerami oraz innych informacji handlowych, przy czym powyższy obowiązek powinien zostać zrealizowany przez P. S.A. w terminie do dnia [...] stycznia 2011 r.
Na skutek rozpatrzenia wniesionego przez P. S.A. środka zaskarżenia, Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] stycznia 2011 r. nr [...], wydaną na podstawie art. 138 § 1 pkt 2 k.p.a. oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1 i art. 22 w związku z art. 23 ust. 1 i art. 7 pkt 5 ustawy o ochronie danych osobowych, w pkt 1) uchylił pkt I ppkt 1 zaskarżonej decyzji z dnia [...] listopada 2010 r. w części dotyczącej terminu jego wykonania i określił nowy termin wykonania decyzji na 6 miesięcy od dnia, w którym niniejsza decyzja stanie się ostateczna, w pkt 2) uchylił pkt I ppkt 2 zaskarżonej decyzji z dnia [...] listopada 2010 r. w części dotyczącej terminu jego wykonania i określił nowy termin wykonania decyzji na 1 miesiąc od dnia, w którym niniejsza decyzja stanie się ostateczna, w pkt 3) W pozostałym zakresie utrzymuję w mocy zaskarżoną decyzję.
W uzasadnieniu powyższej decyzji organ Ochrony Danych Osobowych przywołał treść art. 7 pkt 5, art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych oraz art. 161 ust. 2 pkt 1-7 i ust. 3, art. 174 pkt 1 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. Nr 171, poz. 1800 ze zm.).
Generalny Inspektor podniósł, iż z definicji zgody na przetwarzanie danych osobowych, o której mowa w art. 7 pkt 5 ustawy o ochronie danych osobowych nie wynikają szczegółowe zasady formułowania zgody, jednak w doktrynie i orzecznictwie sądów administracyjnych podkreśla się, że z treści zgody na przetwarzanie danych osobowych powinno w sposób nie budzący wątpliwości wynikać, w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane. Klauzula zgody musi być czytelna i jasna. Wyrażający zgodę musi mieć pełną świadomość tego, na co się godzi. Musi też posiadać swobodę w doborze celu, dla którego realizacji posłużą jego dane. Zgoda na przetwarzanie danych osobowych powinna być wyrażona jasno i powinna być skonkretyzowana. Udzielający zgody musi być zorientowany o jakie dane chodzi i o jakie ich przetwarzanie. Ponadto zgoda nie może odnosić się do bliżej nieokreślonych danych osobowych, które miałyby być przetwarzane w bliżej nieokreślonym celu, czy do bliżej nieokreślonych czynności. Nakazy zawarte w kwestionowanej przez Spółkę decyzji Generalnego Inspektora Ochrony Danych Osobowych odnoszą się do kwestii zgody na przetwarzanie danych osobowych. Zarówno ustawa o ochronie danych osobowych (art. 7 pkt 5) jak i ustawa Prawo telekomunikacyjne w sposób jednoznaczny, a zarazem jednakowy określają jak powinna wyglądać zgoda na przetwarzanie danych osobowych (art. 174 pkt 1 ustawy Prawo telekomunikacyjne).
W toku kontroli ustalono, że klient Spółki składa oświadczenie o wyrażeniu zgody "na przetwarzanie dodatkowych danych w celach określonych w § 2 Regulaminu świadczenia usług telekomunikacyjnych przez P. S.A. dla Abonentów. Oświadczenie jest niezależne od czasu obowiązywania umowy o świadczenie usług telekomunikacyjnych." (Załącznik nr 3 do umowy o świadczenie usług telekomunikacyjnych). Analogiczny zapis znajduje się w Załączniku nr 1 do Umowy dotyczącej udziału w promocji [...] Oświadczenie Klienta zawierającego Umowę dotyczącą udziału w promocji [...] oraz w formularzu zawartym na stronie internetowej sklep on-line [...]. Natomiast z treści ww. Regulaminów wynika m.in. że: "Dane osobowe Klientów/Abonentów są przetwarzane przez P. w celach statutowych, w celu świadczenia usług, w celu archiwizacji, a także sprzedaży produktów i usług oraz dla potrzeb działań marketingowych podejmowanych przez P. samodzielnie lub we współpracy z innymi podmiotami, w szczególności takich jak: sprzedaż produktów i usług, przesyłanie informacji o nowych produktach i usługach, udział w konkursach, promocjach, akcjach promocyjnych z udziałem partnerów P. Dane osobowe Klientów/Abonentów mogą zostać przekazane innym administratorom danych w przypadku, gdy jest to niezbędne dla udziału w organizowanej wspólnie z partnerem akcji marketingowej".
Opisany powyżej sposób pozyskiwania zgody na przetwarzanie danych osobowych nie umożliwia osobom, których dane dotyczą dokonania wyboru oraz swobodnego wyrażenia zgody na przetwarzanie danych osobowych, bowiem osoby te nie mają możliwości podjęcia decyzji, w jakim celu udzielają zgody na przetwarzanie dotyczących ich danych. Administrator danych (w tym wypadku Spółka) jest zobowiązany do prawidłowego formułowania klauzuli zgody na przetwarzanie danych dodatkowych nie tylko pod kątem jej generalnego brzmienia (jasne określenie celu, zakresu i podmiotu, który będzie przetwarzał dane) a i pod kątem umożliwienia osobie, której dane dotyczą dokonania swobodnego wyboru celu, w jakim dane te mają lub mogą być przetwarzane.
Niezasadny jest zatem zarzut Spółki, że zarówno ustawa o ochronie danych osobowych, jak i ustawa Prawo telekomunikacyjne nie nakładają na przedsiębiorcę będącego administratorem danych obowiązku zbierania odrębnych zgód (na różne cele) na przetwarzanie danych dodatkowych użytkownika usług telekomunikacyjnych. Zawarte we wniosku o ponowne rozpatrzenie sprawy twierdzenia podniesione przez pełnomocnika Spółki, a dotyczące możliwości wykorzystywania przez dostawcę publicznie dostępnych usług danych osobowych użytkownika w różnych/odmiennych celach w zależności od tego, czy są to dane określone w art. 161 ust. 2 czy też w art. 161 ust. 3 ustawy Prawo telekomunikacyjne, także nie zasługują na uwzględnienie. Przepis art. 161 ust. 2 ustawy Prawo telekomunikacyjne określa zakres danych osobowych użytkownika, których przetwarzanie przez dostawcę publicznie dostępnych usług telekomunikacyjnych jest niezbędne dla zrealizowania takiej usługi/wywiązania się z umowy. Sformułowania jakich użył ustawodawca w art. 161 ust. 3 ustawy Prawo telekomunikacyjne, takie jak "oprócz danych, o których mowa w art. 161 ust. 2 (....) dostawca publicznie dostępnych usług telekomunikacyjnych może, za zgodą użytkownika /.../, przetwarzać inne dane /.../, w związku ze świadczoną usługą" w sposób jednoznaczny wykazują: łączność, spójność, powiązanie i zależność tych danych z danymi wymienionymi w art. 161 ust. 2 ustawy Prawo telekomunikacyjne.
Dane dodatkowe, które są przedmiotem nakazu zawartego w pkt I ppkt 1 kwestionowanej przez Spółkę decyzji Generalnego Inspektora należy traktować jako uzupełnienie/dopełnienie danych, o których mowa w art. 161 ust. 2 ustawy Prawo telekomunikacyjne. Z powyższego wynika, że wszystkie dane osobowe dotyczące użytkownika powinny być przetwarzane łącznie dla jednego celu/celów, których swobodny wybór powinien użytkownikowi zagwarantować dostawca publicznie dostępnych usług telekomunikacyjnych. Żaden z przepisów ustawy Prawo telekomunikacyjne nie przewiduje bowiem możliwości rozdzielenia tego zakresu i wykorzystywania jego części w rożnych celach, lecz wręcz przeciwnie, zgodnie z treścią art. 161 ust. 1 ustawy Prawo telekomunikacyjne, z zastrzeżeniem ust. 2, treści lub dane objęte tajemnicą telekomunikacyjną mogą być zbierane, utrwalane, przechowywane, opracowywane, zmieniane, usuwane lub udostępniane tylko wówczas, gdy czynności te, zwane dalej "przetwarzaniem" dotyczą usługi świadczonej użytkownikowi albo są niezbędne do jej wykonania. Ponadto art. 161 ust. 2 i 3 ustawy Prawo telekomunikacyjne określa, nie tylko zakres danych o użytkowniku jaki może przetwarzać dostawca usług telekomunikacyjnych, ale przede wszystkim wskazuje na dwie podstawy prawne przetwarzania przez takiego dostawcę danych, tj. na przesłankę ustawową niewymagającą zgody i przesłankę ustawową uzależnioną od zgody użytkownika, będącego osobą fizyczną.
Organ zwrócił uwagę, iż posłużenie się przez Spółkę bardzo ogólnym i niejasnym dla wyrażającego zgodę na przetwarzanie danych osobowych zwrotem "dla potrzeb działań marketingowych podejmowanych przez P., (....) we współpracy z innymi podmiotami, w szczególności takich jak: sprzedaż produktów i usług, przesyłanie informacji o nowych produktach i usługach, udział w konkursach, promocjach, akcjach promocyjnych z udziałem partnerów P." stoi w sprzeczności z poprawnością formułowania klauzul zgody na przetwarzanie danych osobowych. Działania marketingowe, a więc prowadzone we współpracy z innymi podmiotami, mogą być związane (ale nie muszą) z przekazywaniem innemu podmiotowi danych osobowych. Tymczasem sposób, w jaki Spółka sformułowała zgodę na przetwarzanie danych osobowych, nie daje możliwości wyboru. Osoba zainteresowana ofertą Spółki musi bowiem zgodzić się na przetwarzanie jej danych osobowych dla celów akcji marketingowych prowadzonych z innymi podmiotami.
Generalny Inspektor wskazał także, iż art. 164 Prawo telekomunikacyjnego stanowi, iż dane użytkowników końcowych mogą być przetwarzane w okresie obowiązywania umowy, a po jej zakończeniu w okresie dochodzenia roszczeń lub wykonywania innych zadań przewidzianych w ustawie lub przepisach odrębnych. W przedstawionej przez Spółkę klauzuli zgody znajduje się zaś zapis, iż "Oświadczenie jest niezależne od czasu obowiązywania umowy o świadczenie usług telekomunikacyjnych". Istotą zakończenia czy rozwiązania umowy jest brak zainteresowania ofertą przedsiębiorcy, a nie tylko ofertą, która była przedmiotem tej umowy. Odwoływanie się przez Spółkę do § 2 powołanych powyżej Regulaminów w ramach kwestionowanych oświadczeń o wyrażeniu zgody na przetwarzanie danych osobowych pełniących jednocześnie rolę informacyjną, o której mowa w art. 24 ust. 1 pkt 2 ustawy o ochronie danych osobowych, nie znalazło w ocenie Generalnego Inspektora akceptacji. Zdaniem organu, ustawodawca chciał i zagwarantował w art. 32 ustawy o ochronie danych osobowych osobie, której dane mają być przetwarzane, szereg praw, w tym prawo wniesienia sprzeciwu, gdy administrator danych zamierza przetwarzać jej dane osobowe w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych (ust. 1 pkt 8). Ponadto ustawodawca w art. 32 ust. 1 pkt 7 ustawy, zagwarantował osobie, której dane mają być przetwarzane, wniesienie żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację. Jednakże przepisy te nie mogą być traktowane przez Spółkę jako swego rodzaju zabezpieczenie dla jej nieczytelnych wobec osoby, której dane dotyczą działań. Administrator danych jest zobowiązany przetwarzać dane w zgodzie z przepisami o ochronie danych osobowych. Art. 32 ust. 1 pkt 7 i 8 ustawy o ochronie danych osobowych nie służy do weryfikacji tego procesu przez osobę, której dane dotyczą, ale stanowi osobne/niezależne od obowiązków administratora danych uprawnienie tej osoby, z którego może, ale nie musi ona skorzystać.
Organ wskazał także, iż pełnomocnik Spółki wniósł o zmianę rozstrzygnięcia w zakresie objętym pkt I ppkt 2 sentencji przedmiotowej decyzji. Generalny Inspektor uwzględniając wyjaśnienia pełnomocnika Spółki dotyczące podjęcia działań w tym zakresie utrzymał w mocy ww. nakaz decyzji, gdyż stan zgodny z prawem nie został przywrócony. Jednocześnie Generalny Inspektor przychylił się do prośby pełnomocnika Spółki zawartej we wniosku o ponowne rozpatrzenie sprawy i zmienił terminy wykonania nakazów wskazanych w punkcie I jej sentencji.
Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] stycznia 2011 r. stała się przedmiotem skargi wniesionej przez P. S.A. z siedzibą w W. do Wojewódzkiego Sądu Administracyjnego w Warszawie. Wnosząc o uchylenie zaskarżonej decyzji w całości oraz uchylenie decyzji ją poprzedzającej z dnia [...] listopada 2010 r. w zakresie jej pkt I, wstrzymanie wykonania zaskarżonej decyzji, a także zasądzenie kosztów postępowania według norm przepisanych, pełnomocnik strony skarżącej podniósł zarzuty naruszenia:
1) art. 138 1 pkt 2 w. zw. z art. 104 § 1 i 3 k.p.a. - poprzez błędne ustalenie treści pkt 2 sentencji decyzji z dnia [...] stycznia 2011 r., wskazującej na uchylenie i zmianę pkt I ppkt 2 sentencji decyzji z dnia [...] listopada 2010 r., w sytuacji, gdy brzmienie i sens powyższych części zaskarżonych rozstrzygnięć są identyczne;
2) art. 161 ust. 1, 2 i 3 ustawy Prawo telekomunikacyjne - poprzez błędne przyjęcie, że w świetle powyższych przepisów cel przetwarzania danych objętych ust. 2 i danych objętych ust. 3 art. 161 tej ustawy, powinien być tożsamy;
3) art. 23 ust 1 i art 7 pkt 5 ustawy o ochronie danych osobowych - poprzez błędne przyjęcie, iż z przepisów tych wynikać ma obowiązek uzyskiwania przez administratora danych odrębnych zgód (oświadczeń) klientów na przetwarzanie tzw. danych dodatkowych (o których mowa w art. 161 ust. 3 Prawa telekomunikacyjnego odrębnie "dla celów statutowych, w celu świadczenia usług, w celu archiwizacji, a także sprzedaży produktów i usług oraz dla potrzeb działań marketingowych podejmowanych przez P. samodzielnie" i odrębnie "dla potrzeb działań marketingowych podejmowanych we współpracy z innymi podmiotami, w szczególności takich jak: sprzedaż produktów i usług, przesyłanie informacji o nowych produktach i usługach, udział w konkursach i promocjach, akcjach promocyjnych z udziałem partnerów P.,
4) art. 7 pkt 5 ustawy o ochronie danych osobowych - poprzez błędne przyjęcie, że stosowany przez P. S.A. wzór oświadczenia o zgodzie abonenta jest niezgodny z przepisami prawa, z powodu odesłania do innego dokumentu, tj. Regulaminu świadczenia usług telekomunikacyjnych,
5) art. 138 1 pkt 2 k.p.a. w zw. art. 127 § 3 k.p.a., poprzez wyłącznie pozorne ponowne rozpatrzenie sprawy, poprzez brak odniesienia się do niektórych zarzutów strony.
W uzasadnieniu skargi pełnomocnik Spółki P. podniósł m.in., iż porównanie pkt 2 decyzji z dnia [...] stycznia 2011 r. z nakazem w pkt I ppkt 2 sentencji decyzji z dnia [...] listopada 2010 r. prowadzi do wniosku, że choć organ orzekał w sprawie uchylenia i zmiany części decyzji, to w istocie niczego w rozstrzygnięciu nie zmienił. Nie doszło bowiem do skutecznej, deklarowanej przez organ w sentencji i uzasadnieniu decyzji z dnia [...] stycznia 2011 r., modyfikacji terminu wykonania obowiązku przez P. S.A., co prowadzi do naruszenia art. 138 § 1 pkt 2 k.p.a.
Odnośnie drugiego zarzutu strona skarżąca podniosła, iż w sprawie sporne jest to, czy istnieją podstawy aby P. S.A. miał obowiązek zbierać odrębnie zgody na przetwarzanie takich danych dodatkowych dla celów statutowych, w celu świadczenia usług, w celu archiwizacji (...), a odrębnie dla potrzeb działań marketingowych podejmowanych we współpracy z innymi podmiotami (...). Zdaniem strony, o istnieniu takiego obowiązku prawnego nie rozstrzyga zarówno ust. 2 i 3 art. 161 Prawa telekomunikacyjnego, ani też porównanie tych przepisów. Zatem stanowisko Generalnego Inspektora odnośnie interpretacji art. 161 ust. 1-3 ww. ustawy jest błędne.
Uzasadniając trzeci zarzut skargi pełnomocnik strony podniósł, że zarówno w decyzji z dnia [...] listopada 2010 r., jak i z dnia [...] stycznia 2011 r. organ wskazał, iż podstawą prawną rozstrzygnięć jest m. in. art. 23 ust. 1 oraz art. 7 pkt 5 ustawy o ochronie danych osobowych, lecz nie wskazał, który z 5 punktów tego artykułu został w sprawie zastosowany. Ponadto organ nie określił, z jakiego przepisu prawa wywodzi wymóg (obowiązek) zbierania zgód odrębnie "dla celów statutowych, w celu świadczenia usług, w celu archiwizacji (...)" i odrębnie "dla potrzeb działań marketingowych podejmowanych we współpracy z innymi podmiotami (...)". Nie obowiązuje bowiem żaden przepis ustawowy, tak na gruncie ustawy o ochronie danych osobowych jak i ustawy Prawo telekomunikacyjne (ani w odrębnym akcie prawnym), który ustanawiałby taki wymóg. W zaskarżonych decyzjach mowa jest o tym, aby P. S.A. odbierał od klientów odrębnie zgody na łącznie kilka celów ich przetwarzania, tj. "dla celów statutowych, w celu świadczenia usług, w celu archiwizacji (...)" a odrębnie dla jednego celu, tj. ‚"dla potrzeb działań marketingowych podejmowanych we współpracy z innymi podmiotami (...)". W świetle obowiązujących przepisów prawa organ nie widzi przeszkód by jedno oświadczenie o zgodzie klienta na przetwarzanie danych dodatkowych dotyczyło łącznie kilku wymienionych powyżej celów - co jest prawidłowym podejściem. Dziwi zatem, że bez jakiegokolwiek normatywnego uzasadnienia Generalny Inspektor Ochrony Danych Osobowych jednocześnie dostrzega przeszkody, by to samo oświadczenie dotyczyło również zgody na kolejny cel przetwarzania danych. Organ nie popiera powyższego stanowiska żadnym przepisem prawa. Obowiązek prawny podmiotu musi wynikać wyłącznie z obowiązującego przepisu prawa w randze ustawowej, a podstawa prawna żądania określonego zachowania się nie może być domniemana z innej normy prawnej.
Argumentując czwarty zarzut skargi strona podniosła, iż wbrew stanowisku organu, nie istnieje żadna przeszkoda, by wzór oświadczenia klienta o zgodzie na przetwarzanie określonych danych osobowych odwoływał się do treści innego dokumentu, w szczególności do Regulaminu. Zakazu takiego nie zawiera żaden przepis prawa, a dla oświadczeń tego rodzaju adekwatny pozostaje ogólny wymóg, by zgoda ta była wyraźna (nie domniemana) i jednoznaczna. Regulamin, do którego odwołuje się wzór zgody, drukowany jest zawsze jako załącznik do umowy o świadczenie usług telekomunikacyjnych i jest akceptowany przez klienta zawierającego umowę przy jej podpisaniu, co klient potwierdza osobnym oświadczeniem (podopisem) składanym pod treścią Regulaminu. Regulamin jest wręczany i znany klientowi w chwili zawarcia umowy. Ponadto opracowany przez P. wzór nie ma cech zgody domniemanej z innego oświadczenia - osoba udzielająca zgody odnosi się do wyraźnie sformułowanego oświadczenia, które dotyczy wprost dodatkowych danych osobowych i konkretnych celów ich przetwarzania. Sam organ nie dopatruje się w stosowanych przez P. S.A. wzorach zgód, dotyczących wykorzystywania danych dodatkowych dla potrzeb marketingu, błędów odnośnie samej ich treści. W szczególności organ nie nakazuje zmiany treści wzoru poprzez inny opis przedmiotu i zakresu tej zgody niż stosowany dotychczas, lecz nakazuje jedynie podział jednego oświadczenia na dwa odrębne. Oznacza to, że nie może być mowy o wadzie stosowanego oświadczenia, polegającej na jego niejasności, braku precyzji, dwuznaczności, niezgodności z przepisami prawa. Generalny Inspektor nie nakazuje w skarżonych decyzjach, by P. S.A. zmienił treść oświadczenia o zgodzie klienta na przetwarzanie danych dodatkowych dla celów związanych z marketingiem realizowanym wspólnym z innymi podmiotami, lecz nakazuje jedynie rozdzielenie tego sformułowania - jako odrębnego oświadczenia - od pozostałej części oświadczenia dotyczącego innych celów przetwarzania danych dodatkowych.
Końcowo strona skarżąca stwierdziła, iż treść decyzji dnia [...] stycznia 2011 r. nie zawiera pełnej polemiki i analizy argumentacji oraz twierdzeń P. S.A., które w odniesieniu do istoty sporu zostały podniesione we wniosku Spółki o ponowne rozpatrzenie sprawy. Organ w szczególności nie odniósł się do argumentacji P. S.A. wskazującej na brak podstawy prawnej dla żądania odrębnego zbierania przez Spółkę zgód klientów dla celów statutowych, i celu świadczenia usług i w celu archiwizacji, a odrębnie dla potrzeb działań marketingowych podejmowanych we współpracy z innymi podmiotami. Także przemilczane zostały przez organ informacje udzielone przez P. S.A. we wniosku o ponowne rozpatrzenie sprawy odnośnie wprowadzonej zmiany treści Regulaminu Programu [...] oraz wyjaśnienia Spółki co do stosowanej formuły wyboru nagrody w tym Programie, dla której uzyskania konieczne jest przekazanie danych osobowych klienta podmiotowi trzeciemu, z którym P. S.A. prowadzi akcję.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie oraz podtrzymał stanowisko przedstawione w uzasadnieniu zaskarżonej decyzji, jak też przedstawił argumentację świadczącą, zadaniem organu o niezasadności zarzutów skargi.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonego aktu administracyjnego i to z przepisami obowiązującymi w dacie jego wydania. W konsekwencji, sąd administracyjny nie orzeka co do istoty rzeczy w zakresie danego przypadku, lecz jedynie kontroluje zgodność rozstrzygnięcia z prawem materialnym i obowiązującymi przepisami prawa procesowego.
W świetle powyżej określonych kryteriów skarga podlega oddaleniu, gdyż zaskarżona decyzja Generalnego Inspektora Ochrony Danych Osobowych, choć nie jest wolna od wad procesowych, to jednak nie narusza prawa w stopniu na tyle istotnym, aby należało ją wyeliminować z obrotu prawnego.
Na wstępie należy wyjaśnić, iż Sąd nie rozpatrywał wniosku skarżącej Spółki o wstrzymanie wykonania zaskarżonej decyzji, lecz niezwłocznie skierował sprawę na termin rozprawy kierując się słusznym interesem strony zmierzającym do szybkiego rozstrzygnięcia sporu zawisłego przed Sądem.
W pierwszej kolejności należy wskazać, iż zgodnie z art. 12 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), do zadań Generalnego Inspektora w szczególności należy: 1) kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych, 2) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych, 3) prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach, 4) opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych, 5) inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych, 6) uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.
Powołany art. 12 ustawy statuuje główne zadania i kompetencje Generalnego Inspektora Ochrony Danych Osobowych, który pełni zarówno funkcję organu kontrolującego poprawność przetwarzania danych osobowych zgodnie z obowiązującymi przepisami oraz rzecznika interesów poszczególnych osób i interesów publicznych, jak i organu, który w tym zakresie został wyposażony we władcze kompetencje wydawania decyzji administracyjnych i rozpatrywania skarg w sprawach wykonania przepisów o ochronie danych osobowych.
Zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych, określa ustawa o ochronie danych osobowych (art. 2 ust. 1 tej ustawy.). Zatem Generalny Inspektor Ochrony Danych Osobowych był nie tylko uprawniony, ale przede wszystkim zobowiązany przepisami prawa do kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i wydawania decyzji w przypadku stwierdzenia naruszenia przepisów o ochronie danych osobowych (art. 12 pkt 1 i 2 oraz art. 18 ust. 1 ww. ustawy).
Kwestię świadczenia usług telekomunikacyjnych i sposób wykorzystywania danych abonentów tych usług (w tym warunki ochrony użytkowników usług – art. 1 pkt 7) reguluje ustawa z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz. U. Nr 171, poz. 1800 ze zm.). W świetle art. 159 pkt 1) tej ustawy, dane dotyczące użytkownika stanowią tajemnicę telekomunikacyjną. Przepis art. 160 ww. ustawy nakazuje podmiotom uczestniczącym w wykonywaniu działalności telekomunikacyjnej w sieciach publicznych oraz podmiotom z nim współpracującym zachowanie tajemnicy telekomunikacyjnej.
Zgodnie z art. 161 ust. 1 powołanej ustawy, z zastrzeżeniem ust. 2, treści lub dane objęte tajemnicą telekomunikacyjną mogą być zbierane, utrwalane, przechowywane, opracowywane, zmieniane, usuwane lub udostępniane tylko wówczas, gdy czynności te, zwane dalej "przetwarzaniem", dotyczą usługi świadczonej użytkownikowi albo są niezbędne do jej wykonania. Przetwarzanie w innych celach jest dopuszczalne jedynie na podstawie przepisów ustawowych. ustęp 2 ww. artykułu stanowi, iż dostawca publicznie dostępnych usług telekomunikacyjnych jest uprawniony do przetwarzania następujących danych dotyczących użytkownika będącego osobą fizyczną: 1) nazwisk i imion; 2) imion rodziców; 3) miejsca i daty urodzenia; 4) adresu miejsca zameldowania na pobyt stały; 5) numeru ewidencyjnego PESEL - w przypadku obywatela Rzeczypospolitej Polskiej; 6) nazwy, serii i numeru dokumentów potwierdzających tożsamość, a w przypadku cudzoziemca, który nie jest obywatelem państwa członkowskiego albo Konfederacji Szwajcarskiej - numeru paszportu lub karty pobytu; 7) zawartych w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych wynikającego z umowy o świadczenie usług telekomunikacyjnych. W świetle postanowień ustępu 3 powołanego artykułu, oprócz danych, o których mowa w ust. 2, dostawca publicznie dostępnych usług telekomunikacyjnych może, za zgodą użytkownika będącego osobą fizyczną, przetwarzać inne dane tego użytkownika w związku ze świadczoną usługą, w szczególności numer identyfikacji podatkowej NIP, numer konta bankowego lub karty płatniczej, adres korespondencyjny użytkownika, jeżeli jest on inny niż adres miejsca zameldowania na pobyt stały tego użytkownika, a także adres poczty elektronicznej oraz numery telefonów kontaktowych.
Analiza powyższych przepisów prowadzi do wniosku, iż treści i dane użytkownika (abonenta), o których mowa w art. 161 ust. 2 Prawa telekomunikacyjnego powinny dotyczyć usługi świadczonej abonamentowi lub być niezbędne do jej wykonania i w takiej sytuacji mogą być dokonane bez zgody użytkownika. Katalog tych danych stanowi katalog zamknięty i jest przedmiotem ochrony prawnej – tajemnicy telekomunikacyjnej. NSA w wyroku z dnia 26 stycznia 2009 r. sygn. akt I OSK 174/08 (publik. LEX nr 478301) stwierdził, że w Prawie telekomunikacyjnym zawarte są uregulowania chroniące procesy przetwarzania danych osobowych objętych tajemnicą telekomunikacyjną (art. 159 ust. 2 i art. 161 ust. 2), nie oznacza, że ustawa o ochronie danych osobowych nie znajduje zastosowania w całości. Wymienione przepisy ustawy Prawa telekomunikacyjnego wyłączają stosowanie ustawy o ochronie danych osobowych tylko w zakresie, w jakim przewidują dalej idącą ochronę danych osobowych od tej, jaka została zagwarantowana tą ostatnią ustawą. Nie może być zatem wątpliwość, iż dostawca publicznie dostępnych usług telekomunikacyjnych (w rozumieniu art. 2 pkt 27 Prawa telekomunikacyjnego) jest uprawniony do przetwarzania danych osobowych usługobiorcy, jeżeli jego dane przetwarza w celu świadczenia i wykonania usługi telekomunikacyjnej. W każdym innym przypadku podejmowania działań, w szczególności realizujących cel komercyjny, marketingowy, a nie związany wprost wykonaniem usługi telekomunikacyjnej, usługodawca będzie stosować przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) i poszukiwać przesłanki legalizującej przetwarzania danych osobowych dla swych działań.
W świetle art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych przetwarzanie danych osobowych jest dopuszczalne wtedy gdy osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych. Wyrażenie zgody osoby, której dane dotyczą, oznacza złożenie oświadczenia woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie - art. 7 pkt 5 powołanej ustawy.
Powołane przez Generalnego Inspektora Ochrony Danych Osobowych w uzasadnieniu zaskarżonej decyzji poglądy doktryny i orzecznictwa w przedmiocie wyrażenia zgody na przetwarzanie danych osobowych uznać należy za trafne i nie zachodzi potrzeba ich ponownego przytaczania. Podkreślenia jedynie wymaga, iż podmiot zwracający się do osoby fizycznej o wyrażenie takiej zgody musi to uczynić w sposób wyraźny, jednoznaczny, wyróżniający się spośród innych pochodzących od tego podmiotu informacji i oświadczeń. Osoba wyrażająca zgodę musi zrozumieć istotę zgody, jej cel i skutki, a zatem musi posiadać pełne rozeznanie, konkretnie przez kogo i w jakim celu ściśle określonym celu jej dane będą przetwarzane.
W przedmiotowej sprawie istota sporu sprowadza się do tego, czy na gruncie obowiązujących przepisów jest dopuszczalne wrażenie jednej zgody na dokonywanie przetwarzania danych osobowych w różnych celach i przez inne podmioty współpracujące z podmiotem ubiegającym się o zgodę, czy też owa zgoda powinna być wyrażana każdorazowo w zależności od celu przetwarzania tych danych i przez kogo te dane będą przetwarzane. To zagadnie wywołuje dyskusje w piśmiennictwie. W komentarzu do art. 23 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, [w:] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, LEX, 2007, wyd. IV., czytamy: "W kontekście sytuacji, gdy "przetwarzanie" danych obejmuje rozmaite operacje, jakie na tych danych są dokonywane, pojawia się pytanie, czy możliwe i skuteczne jest udzielenie zgody na tylko niektóre działania (np. wyłącznie na zbieranie, utrwalanie i przechowywanie, lecz już nie na udostępnianie). Wprawdzie przepisy wyraźnie takiej możliwości nie przewidują i stanowią ogólnie o "zgodzie na przetwarzanie danych" (co należy rozumieć jako zgodę na wszelkie operacje), niemniej brak jest podstaw, aby taką częściową zgodę wykluczyć i pozbawić ją prawnego znaczenia. Należy ją zatem dopuścić w ramach generalnej zasady swobody dysponowania własnymi danymi osobowymi".
Zaprezentowany powyżej pogląd Sąd w pełni podziela, należy bowiem dokonywać takiej wykładni art. 7 pkt 5 ustawy o ochronie danych osobowych, co resztą zaskarżonej decyzji Generalny Inspektor Ochrony Danych Osobowych czyni, która zapewni osobie, której dane osobowe będą wykorzystywane, maksimum ochrony prawnej, zwłaszcza gdy dane te będą wykorzystywane w celach marketingowych. Należy takiej osobie umożliwić wyrażenie zgody nie tylko w układzie tak bądź nie, lecz "zgody rozbudowanej", odnoszącej się do poszczególnych sfer wykorzystania oznaczonych danych. Takiego wyboru nie zapewnia ujawniona w postępowaniu przez organem Ochrony Danych Osobowych praktyka stosowana przez P. S.A., albowiem udzielający zgody nie może udzielić jej tylko w części. Oznacza to, że np. godząc się na ofertę marketingową P., usługobiorca nie może uchronić się przed ofertami innych podmiotów prowadzących agresywną, a więc niejednokrotnie uciążliwą kampanię marketingową. Z punktu widzenia usługobiorcy jest istotne, aby jego dane osobowe były przetwarzane przez tego usługodawcę, z którym klient zawiera umowę o wykonywanie usług, w tym wypadku telekomunikacyjnych, albowiem godzi się na warunki zaproponowane przez operatora sieci i obdarza go "zaufaniem". Tego "zaufania" niejednokrotnie usługobiorca nie będzie miał do podmiotów mu nieznanych, a współpracujących z operatorem sieci w ramach wspólnych akcji marketingowych. Odbiorca usług telekomunikacyjnych nie może mieć gwarancji, że jego dane osobowe nie będą przekazywane trzecim podmiotom w ramach prowadzenia kolejnych kampanii marketingowych. Z tego względu zasadnym jest zapewnienie klientowi opcjonalności w zakresie wyrażania zgody na przetwarzanie danych osobowych przez P. S.A. współpracującego bezpośrednio z usługobiorcą, a innymi podmiotami w ramach wspólnych kampanii marketingowych (pkt I ppkt 1 decyzji z dnia [...] listopada 2010 r.), jak też w zakresie konkretnych celów wykorzystania danych osobowych w programie lojalnościowym [...], z uwagi na rozbudowany charakter tego programu, jak i wielość podmiotów realizujących ten program (pkt I ppkt 2 decyzji z dnia [...] listopada 2010 r.). Nie chodzi przy tym, aby skarżącą Spółkę ograniczać w jakikolwiek sposób w działaniach marketingowych na trudnym, z wagi na konkurencję, rynku usług telekomunikacyjnych. Działanie Generalnego Inspektora Ochrony Danych Osobowych zmierza do zagwarantowania ustawowej ochrony prawnej osobom, których dane osobowe są przetwarzana, co sprowadza się w tym przypadku do zagwarantowania swobodnej, w pełni świadomej, a nie iluzorycznej, możliwości decydowania o własnych danych. Tej gwarancji nie spełniają instrumenty prawne określone w art. 32 ust. 1 pkt 6 - 9 ustawy o ochronie danych osobowych, albowiem służą już usuwaniu nieścisłości lub prawidłowości w procesie przetwarzania danych osobowych.
Odnosząc się do zarzutów skargi należy przyznać stronie skarżącej rację, iż Generalny Inspektora Ochrony Danych stosując art. 138 § 1 pkt 2 k.p.a. i uchylając decyzję z dnia [...] listopada 2010 r. w części dotyczącej terminu (jednomiesięcznego od dnia, w którym ta decyzja staje się ostateczna) i określając ponownie na jeden miesiąc termin jej wykonania licząc od dnia, w którym decyzja stanie się ostateczna, w istocie niczego nie zmienił. Biorąc pod uwagę art. 130 § 2 k.p.a. (wniesienie odwołania wstrzymuje wykonanie decyzji), w istocie uchylenie w tej części decyzji z dnia [...] listopada 2010 r. i nie było konieczne, jednak wada ta nie ma większego wpływu na końcowy wynik sprawy. Ponadto organ w obu wydanych przez siebie decyzjach w podstawie prawnej nie wskazał, który z punktów ust. 1 art. 23 ustawy o ochronie danych osobowych stanowi podstawę rozstrzygnięcia. Jednakże wskazanie w podstawie prawej decyzji art. 7 pkt 5, jak też w uzasadnieniu decyzji powołanie art. 23 ust. 1 pkt 1 tej ustawy, nie pozostawia wątpliwość, iż to właśnie ten przepis w zw. z art. 7 pkt 5 stanowi materialnoprawną podstawę zaskarżonej decyzji. Wada tego typu nie jest uchybieniem istotnym. Pozostałe zaś zarzuty sprowadzające się do dokonania przez organ błędnej interpretacji prawa materialnego nie zasługują na uwzględnienie, z powodów powyżej podanych, albowiem w ocenie Sądu, Generalny Inspektor dokonał prawidłowej wykładni art. 23 ust. 1 pkt 1 w zw. z art. 7 pkt 5 ustawy o ochronie danych osobowych, a to właśnie te przepisy stanowiły podstawę do wydania decyzji nakazowej.
Mając powyższe na uwadze Sąd, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), orzekł jak w sentencji
