II SA/Wa 917/05
2009-04-09
Orzeczenie prawomocne
WYROK
W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ
Dnia 1 grudnia 2005 r.
Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu na rozprawie w dniu 1 grudnia 2005 r. sprawy ze skargi P… S.A z siedzibą w W… na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 10 marca 2005 r. nr…w przedmiocie przetwarzania danych osobowych
- oddala skargę-
UZASADNIENIE
Generalny Inspektor Ochrony Danych Osobowych decyzją nr…… z dnia 29 grudnia 2004 r., na podstawie art. 104 § 1 i art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), oraz art. 12 pkt 2 i art. 22 oraz art. 26 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.) po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez „P……” S.A. z siedzibą w W…… I. nakazał „P…… „ S.A. z siedzibą w W…… usunięcie uchybień w procesie przetwarzania danych osobowych poprzez:
1. zaprzestanie zbierania danych osobowych w zakresie szerszym, niż jest to niezbędne dla realizacji celu przetwarzania danych (zawarcia i realizacji umowy leasingu) tj. w zakresie realizacji celu przetwarzania danych (zawarcie i realizacja umowy leasingu) i w zakresie informacji, czy wobec osoby występującej z wnioskiem o zawarcie umowy leasingu toczy się postępowanie karno-skarbowe, a także w zakresie wizerunku, rysopisu, imion rodziców, miejsca urodzenia, poprzednich adresów zameldowania, informacji o dzieciach oraz kategorii i dacie nadania uprawnienia do prowadzenia pojazdów.
2. zaprzestania zbierania danych osobowych w zakresie szerszym, niż jest to niezbędne dla realizacji celu przetwarzania danych (identyfikacji osób składających zlecenie, prowadzonej w celu wykonania obowiązku rejestracji transakcji) tj. w zakresie obejmującym wizerunek, rysopis, imiona rodziców, miejsce urodzenia, poprzednie adresy zameldowania.
W pozostałym zakresie postępowanie umorzył.
W uzasadnieniu decyzji organ podał, że inspektorzy Biura Generalnego Inspektora Ochrony Danych Osobowych przeprowadzili w „P……” S.A. z siedzibą w W…… kontrolę zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, tj. ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 z późn zm.), oraz rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024).
W toku kontroli odebrano od pracowników Spółki ustne wyjaśnienia, skontrolowano system informatyczny służący do przetwarzania danych, dokonano oględzin pomieszczeń, w których odbywa się przetwarzanie danych. Z kontroli został sporządzony protokół. Ustalono, że w procesie przetwarzania danych osobowych „P……” S.A. z siedzibą w W……, jako administrator danych osobowych, naruszyła przepisy o ochronie danych osobowych poprzez pozyskiwanie danych osobowych w następującym zakresie: wizerunek, rysopis, imiona rodziców, data i miejsce urodzenia, poprzednie adresy zameldowania, informacje o dzieciach oraz kategorie i daty nadania uprawnienia do prowadzenia pojazdów a także informacje, czy wobec wnioskodawcy jest prowadzone postępowanie karno-skarbowe.
W związku z powyższym w dniu 26 października 2004 r. GIODO wszczął z urzędu postępowanie administracyjne w celu wyjaśnienia okoliczności sprawy. Spółka złożyła następujące wyjaśnienia odnośnie postawionych zarzutów:
-wskazała, że jej działalność koncentruje się przede wszystkim na obsłudze czynnych umów,
- jej klientami są wyłącznie przedsiębiorcy, w związku z czym dotyczące ich informacje (w zakresie prowadzonej działalności gospodarczej) nie stanowią danych osobowych,
-oceniając adekwatność zbieranych danych osobowych należy uwzględniać obowiązki wynikające dla spółki, jako instytucji finansowej, z ustawy o przeciwdziałaniu wprowadzaniu do obrotu finansowego wartości majątkowych pochodzących z nielegalnych lub nieujawnionych źródeł oraz przeciwdziałaniu finansowaniu terroryzmu (Dz. U. z 2003 r. Nr 153, poz. 1505 z późn. zm) polegające na konieczności dokonywania identyfikacji klientów i rejestracji transakcji,
-specyfika działalności spółki polega na częstym podpisywaniu umów na odległość, a co za tym idzie dopuszczalną formą identyfikacji jest wypełnianie przez klienta oświadczenia i potwierdzenie danych w nim zawartych w formie odpowiednich stron dokumentu tożsamości,
-granice ochrony danych osobowych muszą być wyznaczone elastycznie ze względu na cel w jakim są przetwarzane.
Dalej GIODO przytoczył argumenty podane przez spółkę uzasadniające pozyskiwanie danych osobowych związku z zawieraniem umów leasingu. Informacja o imionach rodziców oraz miejsce urodzenia ułatwia ustalenie tożsamości klienta, rysopis oraz wizerunek osoby są niezbędne w toku procesu potwierdzania tożsamości klienta, informacja o dzieciach jest istotna dla oceny zdolności do spłaty zaciągniętego zobowiązania, informacja o poprzednich miejscach zameldowania klienta jest istotna przy sprawdzaniu wiarygodności płatniczej, informacja o dacie urodzenia klienta wynika z numeru PESEL, którego dopuszczalność przetwarzania nie budzi wątpliwości, informacja dotycząca kategorii i daty nadania uprawnienia do prowadzenia pojazdów pozwala na ustalenie tożsamości osoby bez nadmiernych kosztów, informacja dotycząca prowadzenia przez klienta postępowania karno-skarbowego, jest niezbędna dla oceny wiarygodności klienta.
Następnie organ wskazał, że zgodnie z art. 26 ust. 1 pkt 3 ustawy administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą a w szczególności jest obowiązany zapewnić, aby dane te były merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane. GIODO nie kwestionuje konieczności pozyskiwania przez „P……” S.A. danych osobowych wskazanych w ustawie z dnia 16 listopada 2000 r. o przeciwdziałaniu wprowadzaniu do obrotu finansowego wartości majątkowych pochodzących z nielegalnego źródła oraz o przeciwdziałaniu finansowaniu terroryzmu (Dz.U. z 2003 r. Nr 153, poz. 1505 z późn. zm.) w związku z wywiązywaniem się przez spółkę z obowiązków wynikających z przepisów ustawy. Nie budzi również zastrzeżeń sposób gromadzenia tych danych poprzez pozyskiwanie od kontrahentów kserokopii dokumentów potwierdzających tożsamość, w przypadku podpisywania umów na odległość przez osoby fizyczne i bez bezpośredniego kontaktu. Organ wskazał, że zakres danych pozyskanych poprzez dokonanie kserokopii ww. dokumentów wykracza natomiast poza katalog wskazany przez ustawodawcę w art. 9 ust 1 powołanej wyżej ustawy. Dane osobowe zbierane w opisany sposób – zbędne do realizacji celu ich gromadzenia – obejmują: wizerunek, rysopis, imiona rodziców, miejsce urodzenia i poprzednie adresy zameldowania.
Ponadto przechowywanie kserokopii strony pierwszej , drugiej i trzeciej tzw. „starych dowodów” prowadzi do przetwarzania danych osobowych w zakresie szerszym niż cel, dla którego są zbierane tj. zawarcie i realizacja umowy leasingu – tj. obejmujących informacje dotyczące wizerunku, rysopisu, imion rodziców, miejsca urodzenia, poprzednich adresów zameldowania, dzieci oraz kategorii i daty nadania uprawnienia do prowadzenia pojazdów.
Następnie organ podkreślił, że pozyskiwanie danych w omówionym wyżej zakresie narusza zasadę adekwatności danych w stosunku do celów, w jakich są przetwarzane, wyrażoną w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych.
GIODO wskazał również, że przepisy ustawy o ochronie danych osobowych stosuje się do osób fizycznych, nie normują one natomiast przetwarzania informacji o innych podmiotach, w szczególności osobach prawnych, jednostkach organizacyjnych nieposiadających osobowości prawnej oraz podmiotach prowadzących działalność gospodarczą w oparciu o przepisy ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz. U. Nr 173, poz. 1807),w takim zakresie, w jakim dane te identyfikują podmiot w obrocie gospodarczym i ściśle wiążą się z prowadzoną przez niego działalnością gospodarczą. Dane osobowe zawarte w ewidencji działalności gospodarczej nie podlegają przepisom ustawy o ochronie danych osobowych. Ustawodawca wprowadzając zamknięty katalog danych, które są umieszczane w ewidencji działalności gospodarczej, nie zaliczył do niego informacji dotyczących prowadzenia postępowania karno-skarbowego wobec przedsiębiorcy będącego osobą fizyczną. Informacje dotyczące prowadzenia postępowania karno-skarbowego wobec przedsiębiorcy wnioskującego zawarcie umowy leasingu stanowią dane osobowe w rozumieniu art. 6 ustawy o ochronie danych osobowych, jeżeli odnoszą się do osoby fizycznej prowadzącej działalność gospodarczą.
Wobec tego, że datę urodzenia można ustalić na podstawie numeru PESEL, którego zbieranie nie budzi wątpliwości, zasada adekwatności wyrażona w art. 26 ust 1 pkt 3 ustawy o ochronie danych osobowych nie jest naruszona, stosownie do art. 105 § 1 kodeksu postępowania administracyjnego, postępowanie w tym zakresie należało umorzyć.
Spółka „P……” S.A. złożyła wniosek o ponowne rozpatrzenie sprawy. W uzasadnieniu wniosku podkreśliła, że z woli ustawodawcy zgodnie z art. 2 pkt 1 ustawy z dnia 16 listopada 2000 r. nałożono na nią zadania związane z zapobieganiem patologii gospodarczej w przedsiębiorczości. Zgodnie z art. 9 ust. 2 pkt 1-3 ustawy spółka spełnia ten obowiązek w drodze przeprowadzania identyfikacji osób wskazanych w przepisie, poprzez gromadzenie ich danych. Wskazuje, że ustawa nakłada na instytucje szereg dodatkowych powinności, których GIODO nie uwzględnił wydając kwestionowaną decyzję. Zgodnie z art. 8 ust. 3 ustawy transakcje, których okoliczności wskazują, że `wartości majątkowe mogą pochodzić z nielegalnych lub nieujawnionych źródeł, bez względu na ich wartość i charakter, objęte są obligatoryjną rejestracją. Typowanie takich transakcji jest skomplikowane i wymaga pozyskiwania o kliencie szerszych informacji.
Następnie Spółka kwestionuje, że gromadzi dane w zakresie szerszym niż jest to niezbędne dla zawarcia umowy leasingu. Przede wszystkim dane są przetwarzane za zgodą osoby, której to przetwarzanie dotyczy. Podkreśla, że zakres danych osobowych przetwarzany w związku z koniecznością wywiązania się z umowy powinien być zróżnicowany w zależności od charakteru i znaczenia umowy, a zawieranie umów leasingu jest działalnością podobną do udzielania kredytów. Biorąc pod uwagę kredytową naturę umów leasingowych, należy adekwatność oceniać również w tym kontekście. Spółka podkreśliła również, że jej klientami są wyłącznie przedsiębiorcy, a ochrona danych osobowych nie dotyczy osób fizycznych w zakresie prowadzonej przez nie działalności gospodarczej.
W podsumowaniu wniosku podkreśliła, że dla oceny adekwatności rozmiaru i zakresu gromadzonych danych osobowych należy wziąć pod uwagę nie tylko elementy konieczne do zawarcia umowy leasingu, ale także niezakłócony przebieg umowy leasingu i jego późniejszy, zgodny z zamiarem wyrażonym przez strony w umowie, koniec.
Decyzją nr…… z dnia 10 marca 2005 r. Generalny Inspektor Ochrony Danych Osobowych na podstawie art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2000 r., Nr 98, poz. 1071 z późn. zm.), oraz art 12 pkt 2, art. 18 ust 1 pkt 1 i art. 22 w związku z art. 26 ust 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U z 2002 r. Nr 101, poz. 926 z późn zm.), po przeprowadzeniu postępowania administracyjnego w sprawie z wniosku „P……” S.A. z siedzibą w W……, o ponowne rozpatrzenie sprawy zakończonej decyzją Generalnego Inspektora Danych Osobowych z dnia 29 grudnia 2004 r. sygn. ….. utrzymał w mocy zaskarżoną decyzję.
W uzasadnieniu zaskarżonej decyzji GIODO wskazał, że stosownie do art. 23 ust 1 ustawy o ochronie danych osobowych, przetwarzanie danych osobowych jest dopuszczalne tylko wtedy gdy zostaje spełniona przynajmniej jedna przesłanka wymieniona w tym przepisie, w tym m.in. dopuszczająca przetwarzanie danych, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku. W przypadku „P……” S.A., przetwarzanie danych osobowych w związku z dokonywaniem transakcji oraz identyfikacji klientów jest niezbędne dla spełnienia obowiązków wynikających z przepisów ustawy z dnia 16 listopada 2000 r. o przeciwdziałaniu wprowadzaniu do obrotu finansowego wartości majątkowych pochodzących z nielegalnych lub nieujawnionych źródeł oraz przeciwdziałaniu finansowaniu terroryzmu (Dz.U. z 2003 r. Nr 153, poz. 1505 z późn. zm.). Stosownie do treści art. 8 ust 3 powołanej ustawy instytucja obowiązana przyjmująca dyspozycję lub zlecenie klienta do przeprowadzenia transakcji, której okoliczności wskazują, że wartości majątkowe mogą pochodzić z nielegalnych lub nieujawnionych źródeł, ma obowiązek zarejestrować taką transakcję, bez względu na jej wartość i charakter. Zgodnie z art. 9 ust 1 w/w ustawy w celu wykonania obowiązku rejestracji instytucje obowiązane dokonują identyfikacji swoich klientów, w każdym przypadku złożenia dyspozycji lub zlecenia do przeprowadzenia transakcji na podstawie dokumentów przedstawionych przy złożeniu dyspozycji lub zlecenia przeprowadzenia transakcji albo przy zawieraniu umowy z klientem. Nie można zgodzić się z argumentacją spółki, podkreślił organ, że nie jest możliwe, aby instytucja obowiązana, dopełniła powyższego obowiązku bez pozyskania informacji o kliencie w szerszym zakresie niż to przewiduje przepis art. 9 ww. ustawy.
Organ wskazał ponadto, że zgodnie z art. 26 ust. 1 pkt 3 ustawy administrator danych przetwarzający je powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były merytorycznie poprawne i adekwatne w stosunku do celów w jakich są przetwarzane, w związku z tym katalog niezbędnych informacji pozyskiwanych przez „P……” S.A. w szerszym zakresie narusza zasadę adekwatności wyrażoną w cytowanym przepisie ustawy o ochronie danych osobowych.
Równocześnie organ wskazał, że ustawodawca wyznaczając zamknięty katalog danych, które mieszczą się w ewidencji działalności gospodarczej, nie zaliczył do niego informacji dotyczących prowadzenia postępowania karno-skarbowego wobec przedsiębiorcy będącego osobą fizyczną.
Powyższa decyzja stała się przedmiotem skargi wniesionej do Wojewódzkiego Sądu Administracyjnego w Warszawie, w której skarżący wniósł o jej uchylenie. W uzasadnieniu skargi spółka zarzuciła:
- naruszenie art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych, które miało wpływ na wynik sprawy, przez niezastosowanie tego przepisu, podczas gdy w każdym przypadku osoba udostępniająca dane wyrażała na to zgodę,
- naruszenie prawa materialnego - art. 23 ust. 1 pkt 5 w związku z art. 23 ust 4 pkt 2 ustawy o ochronie danych osobowych, które miało wpływ na wynik sprawy przez wadliwe przyjęcie, że oceny adekwatności, rozmiaru i zakresu przetwarzania danych osobowych należy dokonywać tylko z punktu widzenia elementów koniecznych do zawarcia umowy, podczas gdy właściwie pojmowany prawnie usprawiedliwiony cel działalności gospodarczej to wykonywanie zawartej umowy, a więc sytuacja, w której strony spełniają świadczenia wzajemne, do których zobowiązywały się w chwili podpisywania umowy, co stanowi zdarzenie odległe w czasie i często bywa poprzedzone renegocjacją bądź restrukturyzacją obowiązków stron,
-naruszenie prawa materialnego art. 16 ust 1 i art. 17 ustawy z dnia 16 listopada 2000 r. o przeciwdziałaniu wprowadzania do obrotu finansowego wartości majątkowych pochodzących z nielegalnych lub nieujawnionych źródeł oraz o przeciwdziałaniu finansowania terroryzmu, które miał wpływ na wynik sprawy poprzez niezastosowanie tych przepisów przy konstruowaniu dyspozycji normy prawnej nakazującej i uprawniającej do typowania transakcji podejrzanych, a tym samym odmówienia takim działaniom typującym przymiotu spełnienia obowiązku wynikającego z przepisu prawa, o którym mówi art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych oraz prawnie usprawiedliwionego celu, o którym mowa w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o oddalenie skargi wywodząc jak w uzasadnieniu zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie zważył co następuje:
Stosownie do treści art. 13 § 2 - Prawa o postępowaniu przed sądami administracyjnymi do rozpoznania sprawy właściwy jest wojewódzki sąd administracyjny, na którego obszarze właściwości ma siedzibę organ administracji publicznej, którego działalność została zaskarżona. Natomiast zgodnie z treścią art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz.U. Nr 153, poz. 1269), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującymi w dacie jej wydania.
W ocenie Sądu rozpatrywana pod tym względem skarga nie zasługuje na uwzględnienie.
Podstawą materialnoprawną zaskarżonej decyzji jest art. 26 ust. 1 pkt 3 w zw. z art. 12 pkt 2 oraz art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm). W rozpatrywanej sprawie zasadniczym przedmiotem sporu jest:
-zbieranie danych osobowych w zakresie wizerunku, rysopisu, imion rodziców, miejsca urodzenia i poprzednich adresów zameldowania, informacji o dzieciach oraz kategorii i dacie nadania uprawnienia do prowadzenia pojazdów mechanicznych przy zawarciu i realizacji umowy leasingu oraz w zakresie informacji czy wobec osoby występującej z wnioskiem o zawarcie umowy leasingu toczy się postępowanie karno-skarbowe,
- zbieranie danych osobowych niezbędnych dla realizacji celu przetwarzania danych (identyfikacji osób składających zlecenie w celu wykonania obowiązku rejestracji transakcji), tj. w zakresie obejmującym wizerunek, rysopis, imiona rodziców, miejsce urodzenia, poprzednie adresy zameldowania.
Zgodnie z art. 12 ust 2, do zadań Generalnego Inspektora Ochrony Danych Osobowych w szczególności należy wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych, a więc w sprawie niniejszej organ działał w ramach swoich ustawowych kompetencji.
Następnie wskazać należy, że art. 23 ustawy ustanawia przesłanki przetwarzania danych osobowych, czyli inaczej mówiąc, uchylając zakaz przetwarzania danych osobowych określa ogólne materialne przesłanki legalizujące przetwarzania danych osobowych. Przesłanki te mają charakter generalny. Katalog przesłanek uchylających zakaz przetwarzania danych osobowych wymienionych w art. 23 ma charakter zamknięty. Dla swobody posługiwania się danymi osobowymi nie ma znaczenia okoliczność, czy w danym przypadku występuje jedna czy dwie lub więcej przesłanek legalizujących. Każda z wymienionych w art. 23 okoliczności usprawiedliwiających przetwarzanie danych ma charakter autonomiczny i niezależny. Oczywiście może zdarzyć się tak, że określone przetwarzanie jest legalizowane przez więcej niż jedną przesłankę.
Skarżący podnosi, że przetwarzał dane osobowe w oparciu o przesłankę legalizującą, zapisaną w art. 23 ust. 1pkt 1 tj. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie danych. Wywodzi dalej, że wyrażenie zgody wyłącza stosowanie zasady adekwatności zapisanej w art. 26 ust. 1 pkt 3 tj. merytorycznej poprawności i adekwatności w stosunku do celów w jakich są przetwarzane.
Nie można zgodzić się z argumentacją skarżącego, ponieważ należy zauważyć, że zgoda może obejmować przetwarzanie danych osobowych jedynie w zakresie wyznaczonym zasadą adekwatności. Udzielenie zgody na przetwarzanie danych osobowych w zakresie szerszym niż wyznaczony zasadą adekwatności danych do celu nie może być prawnie skuteczne. Ponadto należy podkreślić, że zgoda nie może być dorozumiana czy domniemana, ale musi mieć charakter oświadczenia woli.
Zgodnie z cytowanym wyżej art. 26 ust. 1 pkt 3 ustawy, administrator danych przetwarzający je powinien dołożyć należytej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były merytorycznie poprawne i adekwatne w stosunku do celów w jakich są przetwarzane. Wobec powyższego wykazanie przez administratora danych, że legitymuje się przynajmniej jedną z przesłanek przewidzianych w art. 23 ust. 1 ustawy, nie wyłącza oceny adekwatności danych osoby w stosunku do celów, w jakich są one przetwarzane. Zatem nawet jeżeli jedną z przesłanek legalizujących przetwarzanie danych stanowi zgoda podmiotu danych, to zbierane informacje nie mogą wykraczać poza niezbędny zakres do realizacji zamierzonego zgodnego z prawem celu. Podkreślić należy, że zasada adekwatności ma charakter bezwzględnie obowiązujący. Adekwatność danych w stosunku do celu ich przetwarzania powinna być rozumiana jako równowaga pomiędzy uprawnieniem osoby do dysponowania swoimi danymi a interesem administratora danych. Administrator danych nie może w żaden sposób stawiać swego interesu ponad dobro osoby, której dane przetwarza. Równowaga będzie zachowana, jeżeli administrator zażąda danych tylko w takim zakresie, w jakim to jest niezbędne do wypełniania celu w jakim dane są przez niego przetwarzane.
Należy zgodzić się z poglądem wyrażonym przez GIODO, że pozyskiwanie przez spółkę danych osobowych w zakresie szerszym niż jest to niezbędne dla osiągnięcia celów przetwarzania danych, nie może prowadzić do naruszania sfery prywatności klientów. Za oczywiste należy uznać brak adekwatności danych pozyskiwanych przy dokonywaniu kserokopii „starych” praw jazdy, ze względu na zawarcie i realizację umowy leasingu, w wyniku czego są pozyskiwane dane osobowe dotyczące kategorii i daty nadania uprawnienia do prowadzenia pojazdów mechanicznych. Zgodnie z treścią art. 88 ust. 1 ustawy z dnia 20 czerwca 1997 r. prawo o ruchu drogowym (Dz.U. z 2003 r. Nr 58, poz. 515 z późn. zm.) prawo jazdy jest dokumentem stwierdzającym uprawnienie do kierowania pojazdem silnikom, nie zaś jest dokumentem potwierdzającym tożsamość. Wobec treści wyżej przytoczonego przepisu, należy zgodzić się ze stanowiskiem GIODO, że informacje w zakresie kategorii i daty nadania uprawnienia do prowadzenia pojazdów są zbędne dla realizacji celu ich zbierania tj. identyfikacji osoby.
W toku prowadzonej kontroli ustalono, że wśród założycielskich dokumentów znajdowały się kserokopie „starych” i „nowych” dowodów osobistych. Z faktów tych GIODO w sposób uprawniony wywodzi, że kopiowanie różnego rodzaju dokumentów w ramach zawierania umów leasingu prowadzi do zbierania danych osobowych w innym zakresie w stosunku i w odniesieniu do każdego z leasigobiorców, a w konsekwencji słusznie poddaje w wątpliwość zasadności gromadzenia danych osobowych, które wykraczają poza katalog informacji zbieranych w stosunku do każdego z leasingobiorców.
Również należy się zgodzić się ze stanowiskiem organu, że wskazana przez spółkę konieczność zbierania danych w celu ewentualnego zapobieżenia przypadkom bezprawnego posługiwania się cudzymi dokumentami, a także w celu wykorzystania kopii dokumentów w toku postępowania karnego, oraz dochodzenia roszczeń w tym ustalenia składników majątku nieuczciwego dłużnika, jest zbieraniem danych w celu gromadzenia „na zapas”. Gromadzenie danych na wypadek gdyby doszło do popełnienia przestępstwa przez klienta lub niewywiązania się z umowy, a także przetwarzanie tych danych, nie może być uznane za zgodne z przepisami o ochronie danych osobowych. Zgodnie z utrwalonym orzecznictwem NSA zakres danych osobowych, przetwarzanych w związku z koniecznością wywiązania się z umowy oczywiście powinien być zróżnicowany w zależności od charakteru i znaczenia umowy. W przypadku umów o istotnym znaczeniu gospodarczym lub społecznym bezpieczeństwo obrotu prawnego wymaga dokładnej identyfikacji stron zawierających umowę i może uzasadniać gromadzenie przez nie danych osobowych w zakresie gwarantującym należyte wywiązanie się ze zobowiązania. Do takich umów nie należy jednak umowa leasingu.
Nie można zgodzić się z poglądem reprezentowanym przez Spółkę, że działalność leasingowa jest działalnością podobną do działalności kredytowej realizowanej przez banki, a ponieważ dla banków leasing jest pośrednią formą alokacji kapitału, powinno się stosować analogię do prawa bankowego. Zgodnie z treścią art. 709 § 1 KC przez umowę leasingu finansujący zobowiązuje się, w zakresie działalności swego przedsiębiorstwa, nabyć rzecz od oznaczonego zbywcy na warunkach określonych w tej umowie i oddać tę rzecz korzystającemu do używania albo używania i pobierania pożytków przez czas oznaczony, korzystający zobowiązuje się zapłacić finansującemu w uzgodnionych ratach wynagrodzenie pieniężne, równe co najmniej cenie lub wynagrodzeniu z tytułu nabycia rzeczy przez finansującego. Przytoczona definicja wskazuje, że umowa leasingu jest w swojej treści raczej zbliżona do umów dzierżawy.
Skarżący wskazuje również, że spółka „P……” S.A. prowadzi działalność gospodarczą nastawioną na zysk, wobec czego przy zawieraniu umów o bardzo dużej wartości dla finansującego niezwykle istotne są wszelkie informacje pozwalające na dokładne ustalenie tożsamości klienta, jego wiarygodności i sytuacji płatniczej, aby mogła w przyszłości dochodzić roszczeń wynikających z zawartej umowy co w konsekwencji umożliwi efektywne zaspokojenie swoich wierzytelności. Nie do końca można podzielić pogląd skarżącego, ponieważ podmiot prowadzący szeroką działalność gospodarczą nastawioną na zysk, musi wkalkulować w tę działalność również ryzyko związane z jej prowadzaniem.
Sąd podziela również pogląd GIODO, że informacje dotyczące prowadzenia postępowania karno-skarbowego wobec przedsiębiorcy wnioskującego zawarcie umowy leasingu stanowią dane osobowe, w rozumieniu art. 6 ustawy o ochronie danych osobowych, jeżeli odnoszą się do osoby fizycznej prowadzącej działalność gospodarczą. Powyższy pogląd znajduje uzasadnienie w przepisach ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz.U. Nr 173, poz. 1807), oraz ustawy z dnia 19 listopada 1999 r. Prawo działalności gospodarczej (Dz.U Nr 101, poz. 1178 z późn. zm.).
Przepisy ustawy o ochronie danych osobowych stosuje się do osób fizycznych, nie normują one natomiast przetwarzania informacji o innych podmiotach, w szczególności o osobach prawnych, jednostkach organizacyjnych nieposiadających osobowości prawnej oraz podmiotach prowadzących działalność gospodarczą w oparciu o przepisy ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej w takim zakresie, w jakim dane te identyfikują podmiot w obrocie gospodarczym i ściśle wiążą się z prowadzoną przez niego działalnością gospodarczą. Stosownie do przepisu art. 7a ust. 2 ustawy Prawo działalności gospodarczej, obowiązującym na mocy art. 66 pkt 2 ustawy z dnia 2 lipca 2004 r. przepisy wprowadzające ustawę o swobodzie działalności gospodarczej (Dz. U. Nr 173, poz. 1807) do dnia 31 grudnia 2006 r., dane osobowe zawarte w ewidencji działalności gospodarczej nie podlegają przepisom ustawy o ochronie danych osobowych. Z powyższego uregulowania wynika, że pozostałe informacje o przedsiębiorcy nieumieszczone w Ewidencji działalności gospodarczej stanowią dane osobowe podlegające ochronie. Wówczas mają do nich zastosowanie przepisy ustawy o ochronie danych osobowych, w tym art. 26 ust. 1 pkt 3 ustawy, w którym sformułowano zasadę adekwatności zbierania danych w stosunku do celu ich przetwarzania. Ustawodawca wyznaczając zamknięty katalog danych, które są umieszczone w ewidencji działalności gospodarczej, nie zaliczył do niego informacji dotyczących postępowania karno-skarbowego wobec przedsiębiorcy będącego osobą fizyczną, a także wizerunku, rysopisu, imion rodziców, miejsca urodzenia, poprzednich adresów zameldowania, informacji o dzieciach oraz kategorii i dacie uzyskania uprawnień do prowadzenia pojazdów.
Mimo, że postępowanie karno-skarbowe toczące się wobec przedsiębiorcy, może dotyczyć naruszenia przepisów prawa podatkowego w związku z prowadzoną przez niego działalnością gospodarczą, odpowiedzialność karna z tego tytułu spoczywa na nim jako osobie fizycznej. Informacje o występowaniu w roli strony postępowania karno-skarbowego podlegają ochronie przewidzianej w przepisach ustawy o ochronie danych osobowych niezależnie od obszaru działania jakiego dotyczy przestępstwo lub wykroczenie. Zatem pozyskiwanie przez spółkę kwestionowanych danych w omówionym zakresie narusza zasadę adekwatności danych w stosunku do celów, w jakich są przetwarzane (art. 26 ust 1 pkt 3 ustawy o ochronie danych osobowych).
W tym miejscu należy zauważyć, że fakt zawierania przez spółkę „P……” S.A. umów leasingu wyłącznie z przedsiębiorcami, nie wynika z jej statutu czy regulaminu, a tylko z jej oświadczenia. Spółka „P……” S.A. wskazała, że jako przedsiębiorca prowadzący działalność leasingową, o którym mowa w art. 2 pkt 1 ustawy z dnia 16 listopada 2000 r. o przeciwdziałaniu wprowadzaniu do obrotu finansowego wartości majątkowych pochodzących z nielegalnych lub nieujawnionych źródeł oraz o przeciwdziałaniu finansowaniu terroryzmu (Dz. U. z 2003 r. Nr 153, poz. 1505 z późn. zm.) jest obowiązana na podstawie art. 9 ust 1 powołanej ustawy, do dokonania identyfikacji swoich klientów w każdym z przypadków złożenia dyspozycji lub zlecenia do przeprowadzenia transakcji na podstawie dokumentów przedstawionych przy złożeniu dyspozycji lub zlecenia przeprowadzenia transakcji albo przy zawieraniu umowy z klientem. Identyfikacja obejmuje w przypadku osób fizycznych i ich przedstawicieli – ustalenie i zapisanie cech dokumentu stwierdzającego na podstawie odrębnych przepisów tożsamość lub paszportu, a także imienia, nazwiska, obywatelstwa oraz adresu osoby dokonującej transakcji, a ponadto numeru PESEL, w przypadku przedstawienia dowodu osobistego lub kodu kraju w przypadku przedstawienia paszportu, a w przypadku osoby w imieniu i na rzecz której jest dokonywana transakcja -ustalenie i zapisanie jej imienia, nazwiska, adresu, w przypadku osób prawnych –zapisanie aktualnych danych z wyciągu rejestru sądowego lub innego dokumentu, wskazującego nazwę (firmę) formę organizacyjną osoby prawnej, siedzibę, jej adres oraz aktualnego dokumentu potwierdzającego umocowanie osoby przeprowadzającej transakcję do reprezentowania tej osoby prawnej, a także ww. danych osobowych, dotyczących osoby reprezentującej w przypadku jednostek organizacyjnych niemających osobowości prawnej – zapisanie danych z dokumentu, wskazującego formę organizacyjną i adres jej siedziby oraz dokumentu potwierdzającego umocowanie osób przeprowadzających transakcję do reprezentowania tej jednostki, a także ww. danych osobowych dotyczących osoby reprezentującej.
Nie można zgodzić się ze stanowiskiem spółki, że nie jest możliwe, aby instytucja obowiązana dopełniła powyższego obowiązku bez pozyskania informacji o kliencie w szerszym zakresie niż to przewiduje przepis art. 9 w/w ustawy. Wskazać należy, że sposób prowadzenia rejestracji transakcji, a tym samym zakres danych pozyskiwanych w związku z realizacją tego obowiązku, został określony w art. 9 ustawy. Art 8 ust 3 cytowanej ustawy nie stanowi samoistnej podstawy przetwarzania danych osobowych. Nie można wyłącznie powoływać się na art. 8 ust 3 bez uwzględnienia przedstawionego w art. 9 ustawy katalogu i zasad dotyczących identyfikacji klientów. Ustawodawca wymienił wprost – w ramach zamkniętego katalogu - dane, które są niezbędne do identyfikacji klientów w celu wykonania obowiązku rejestracji.
Ponadto zgodnie z art. 12 ust 1 powołanej ustawy informacje o transakcjach zarejestrowane zgodnie z art. 8 ust. 1 i 3 ustawy przekazywane Generalnemu Inspektorowi Informacji Finansowej (GIIF), powinny zawierać w szczególności: imię, nazwisko, obywatelstwo, adres , numer PESEL lub kod kraju oraz cechy dokumentu, na podstawie którego dokonano identyfikacji osoby dokonującej transakcji, numer rachunku, który został wykorzystany do dokonania transakcji oraz dane dotyczące posiadacza lub dysponenta tego rachunku, dane osoby fizycznej, prawnej lub jednostki organizacyjnej, niemającej osobowości prawnej, w imieniu której została dokonana transakcja, imię nazwisko lub nazwę firmy i adres beneficjenta transakcji, a w przypadku braku możliwości ustalenia jego adresu – nazwę (firmę) jego banku. W odniesieniu do samych danych osobowych zakres niezbędnych informacji został wskazany w sposób zamknięty i są to dane wystarczające do realizacji celu, zaś poszerzeniu może ulec jedynie zakres kategorii informacji, o których mowa w art. 12 ust 1 ustawy. W art. 11 i 12 ustawy poddano regulacji zasady przekazywania informacji GIIF, których katalog – w zakresie danych osobowych - został wprost w sposób enumeratywny wymieniony w art. 9 ust. 2. Wobec tego że wymienione w art. 9 dane stanowią zamknięty katalog, zakres danych pozyskanych poprzez dokonanie kserokopii ww. dokumentów, wykracza poza katalog wskazany przez ustawodawcę w art. 9 ust. 1 ustawy o przeciwdziałaniu wprowadzaniu do obrotu finansowego wartości majątkowych pochodzących z nielegalnych lub nieujawnionych źródeł oraz przeciwdziałaniu finansowaniu terroryzmu, słusznie GIODO nakazało zaprzestania zbierania danych w zakresie nieadekwatnym do celu ich zbierania tj. wywiązania się z obowiązku identyfikacji, o którym mowa w ustawie tj. obejmujących wizerunek, rysopis, imiona rodziców, miejsce urodzenia, poprzednie adresy zameldowania.
Na marginesie należy zwrócić uwagę, że sama spółka „ P……” S.A. w § 4 ust 5 „Regulaminu przeciwdziałania wprowadzania do obrotu finansowego wartości majątkowych pochodzących z nielegalnych lub nieujawnionych źródeł oraz przeciwdziałania finansowaniu terroryzmu” określiła, że pozyskiwanie przez kopiowanie dokumentów potwierdzających tożsamość – danych osobowych - klientów powinno odbywać się w przypadku podpisywania umów na odległość przez osoby fizyczne i bez bezpośredniego kontaktu. Sama spółka zatem dopuściła możliwość dokonywania czynności kserowania dokumentów tylko w/w przypadkach.
Mając powyższe na uwadze Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi, orzekł jak w sentencji.
