II SA/Wa 678/07
2009-04-09
Orzeczenie prawomocne
W Y R O K
W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ
Dnia 19 lipca 2007 r.
Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu na rozprawie w dniu 19 lipca 2007 r. sprawy ze skargi S. B. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia […] r. nr […] w przedmiocie ochrony danych osobowych
oddala skargę
U Z A S A D N I E N I E
Decyzją z dnia […] r. nr […] Generalny Inspektor Ochrony Danych Osobowych, działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) oraz art. 12 pkt 2, art. 22, art. 23 ust. 1 pkt 2 i 5 i art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), odmówił uwzględnienia wniosku S. B. w sprawie udostępnienia przez P. S.A. z siedzibą w W. jego danych osobowych K. S.A. z siedzibą w W..
W uzasadnieniu decyzji organ podał, że w toku postępowania administracyjnego ustalono, iż S. B. pozostawał stroną dwóch umów o świadczenie usług telekomunikacyjnych, zawartych z P. S.A. We wrześniu 2004 r. obydwie umowy, po propozycji zmiany postanowień umów i cenników, skierowanej przez P. S.A., zostały wypowiedziane przez S. B..
W dniu 31 stycznia 2005 r. P. S.A. oraz K. S.A. zawarły umowę o obsługę wierzytelności, mocą której P. S.A. zleciła K. S.A. podjęcie działań zmierzających do odzyskania wymagalnych wierzytelności pieniężnych zleceniodawcy wraz z należnymi odsetkami ustawowymi, zaś K. S.A. zlecenie przyjęła.
W celu realizacji umowy Spółka P. S.A. powierzyła Spółce K. S.A. dane osobowe do przetwarzania wyłącznie w celu odzyskania wymagalnych wierzytelności, przy czym K. S.A. zobowiązała się do przetwarzania danych wyłącznie w celu i zakresie wskazanym w umowie (§ 6 pkt 4).
W związku z faktem, iż Spółka P. S.A. uznała S. B. za swojego dłużnika, działając w oparciu o wskazaną powyżej umowę z dnia 31 stycznia 2005 r., udostępniła Spółce K. S.A. jego dane osobowe w celu odzyskania wymagalnych wierzytelności pieniężnych wraz z należnymi odsetkami. Udostępnione dane obejmowały: nazwisko i imię, adres zameldowania na pobyt stały oraz adres do korespondencji, dane kontaktowe: telefon kontaktowy, telefon do pracy oraz nazwę pracodawcy, numer PESEL, numer konta w systemie billingowym, numer MSISDN telefonu użytkowanego, datę utworzenia konta w systemie billingowym oraz datę deaktywacji usług na koncie, spis wystawionych dla konta faktur, spis płatności dokonanych przez S. B., kwotę zadłużenia na koncie na dzień przekazania konta do windykacji.
GIODO ustalił także, że w chwili obecnej nie są dokonywane przez K. S.A. żadne działania windykacyjne wobec wnioskodawcy, a jego dane osobowe nie są przetwarzane z powodu zakończenia obsługi wierzytelności. Zgodnie z § 5 ust. 13 umowy, w terminie 14 dni od zakończenia okresu obsługi wierzytelności Spółka K. S.A. miała bowiem obowiązek zwrócić Spółce P. S.A. płyty CD wraz z wykazem wierzytelności oraz wszelkie otrzymane od niej i sporządzone przez siebie dokumenty, a także zniszczyć wszelkie notatki dotyczące wierzytelności, których obsługa została zakończona.
Generalny Inspektor Ochrony Danych Osobowych, dokonując oceny stanu faktycznego, powołał się na ustawę z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz. U. Nr 171, poz. 1800 z późn. zm.), wskazując, że zgodnie z jej art. 161 ust. 1, treści lub dane objęte tajemnicą telekomunikacyjną (zgodnie z art. 159 ust. 1 pkt 1 Prawa telekomunikacyjnego, tajemnica telekomunikacyjna obejmuje dane dotyczące użytkownika) mogą być zbierane, utrwalane, przechowywane, opracowywane, zmieniane, usuwane lub udostępniane tylko wówczas, gdy czynności te, zwane dalej „przetwarzaniem”, dotyczą usługi świadczonej użytkownikowi albo są niezbędne do jej wykonania (zdanie 1). Przetwarzanie w innych celach jest dopuszczalne jedynie na podstawie przepisów ustawowych (zdanie 2).
Prawo telekomunikacyjne w art. 164 daje operatorowi telekomunikacyjnemu prawo przetwarzania danych osobowych w innych celach. Przepis ten stanowi bowiem, iż dane użytkowników końcowych mogą być przetwarzane w okresie obowiązywania umowy, a po jej zakończeniu w okresie dochodzenia roszczeń lub wykonywania innych zadań przewidzianych w ustawie lub przepisach odrębnych. Zatem, w ocenie organu, ustawa – Prawo telekomunikacyjne daje podstawę do przyjęcia, iż przetwarzanie danych osobowych w celu realizacji umowy o świadczenie usług telekomunikacyjnych, a po jej wygaśnięciu w celu dochodzenia roszczeń, jest przetwarzaniem zgodnym z art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych.
Jednocześnie GIODO wskazał, że zgodnie z art. 31 ust. 1 ustawy o ochronie danych osobowych, administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Stosownie zaś do ust. 2 tego przepisu, podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.
Z punktu widzenia ochrony danych osobowych umowa zawarta przez P. S.A. z K. S.A. wypełnia przesłanki z art. 31 ust. 1 ustawy o ochronie danych osobowych, gdyż została zawarta w formie pisemnej oraz wskazuje na cel (dochodzenie roszczeń) oraz zakres powierzonych do przetwarzania danych. Poprzez udostępnienie przez P. S.A. danych osobowych S. B. Spółce K. S.A. na podstawie umowy nie doszło do zmiany statusu administratora danych, którym nadal pozostawała Spółka P. S.A., natomiast K. S.A. przetwarzała dane osobowe wnioskodawcy wyłącznie w zakresie i celu przewidzianym we wspomnianej umowie z dnia 31 stycznia 2005 r.
Odnosząc powyższe do niniejszej sprawy, organ zaznaczył, że według stanowiska Spółki P. S.A. S. B. pozostaje jej dłużnikiem. Spółka ta jest zatem uprawniona do przetwarzania jego danych osobowych w celu dochodzenia swoich roszczeń także na podstawie art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych w związku z art. 23 ust. 4 pkt 2 tej ustawy. Również wskazany powyżej przepis art. 164 w związku z art. 161 ust. 1 ustawy – Prawo telekomunikacyjne zezwala operatorom na przetwarzanie danych użytkowników końcowych (abonentów) nawet po rozwiązaniu umowy o świadczenie usług telekomunikacyjnych, o ile są przetwarzane w celu dochodzenia roszczeń.
W ocenie GIODO, udostępnienie danych osobowych S. B. znajduje oparcie w przepisach ustawy o ochronie danych osobowych, co sprawia, że brak jest podstaw do nakazania P. S.A. usunięcia jego danych osobowych z bazy K. S.A., tym bardziej, iż w chwili obecnej K. S.A. przedmiotowych danych nie przetwarza.
W dniu 10 lipca 2006 r. S. B., będąc niezadowolonym z powyższej decyzji, skierował do Generalnego Inspektora Ochrony Danych Osobowych wniosek o ponowne rozpatrzenie sprawy. Zarzucił organowi, że – jako pewnik – przyjął, iż jest on dłużnikiem P. S.A., bez posiadanego w tym zakresie prawomocnego tytułu prawnego, wykraczając przez to poza granice swoich ustawowych kompetencji. Nadto wskazał, że w jego sprawie nie mają zastosowania przepisy ustawy – Prawo telekomunikacyjne, gdyż przepisy te weszły w życie nie tylko, że po zawarciu przez niego umów z P. S.A., ale także już po ich zakończeniu.
Zaznaczył przy tym, że GIODO powinien dokładnie zbadać działania i metody windykacyjne stosowane przez obie firmy, zwłaszcza że on, jako obywatel, nie ma obowiązku udowadniania, że dług istnieje. Zdaniem wnioskodawcy, sprawa została potraktowana ogólnikowo, w nieprofesjonalny sposób. Konkludując, stwierdził, że większą ochronę zapewnia się bogatym przedsiębiorstwom, które wyłudzają pieniądze od klientów, a obywateli, których dane powinny być chronione przez Inspektora, pozostawia się bez właściwej ochrony.
Decyzją z dnia […]r. nr […] Generalny Inspektor Ochrony Danych Osobowych utrzymał w mocy swoje poprzednie rozstrzygnięcie, nie podzielając zarzutów strony i nie znajdując podstaw do uwzględnienia wniosku.
W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie na powyższą decyzję S. B. powtórzył zarzuty zawarte we wniosku o ponowne rozpatrzenie sprawy. Oprócz tego, wskazał również, że przy wydaniu decyzji doszło do rażącego naruszenia prawa w rozumieniu art. 156 § 1 pkt 2 Kodeksu postępowania administracyjnego, poprzez naruszenie art. 2 Konstytucji Rzeczypospolitej Polskiej, art. 6, art. 7 i art. 8 Kodeksu postępowania administracyjnego. Wniósł o uchylenie zaskarżonej decyzji oraz o zasądzenie kosztów postępowania, w tym także kosztów wcześniejszego postępowania kasacyjnego, prowadzonego przed Naczelnym Sądem Administracyjnym.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, podtrzymując w uzasadnieniu swego stanowiska procesowego argumenty zawarte w wydanych w sprawie decyzjach.
Biorący udział w sprawie P. S.A. i K. S.A., jako uczestnicy postępowania nie przedstawili swoich stanowisk procesowych.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Stosownie do treści art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 z późn. zm.), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującymi w dacie jej wydania. Innymi słowy, sąd administracyjny kontroluje legalność rozstrzygnięcia zapadłego w postępowaniu z punktu widzenia jego zgodności z prawem materialnym i obowiązującymi przepisami prawa procesowego.
Skarga analizowana pod tym kątem nie zasługuje na uwzględnienie, albowiem zaskarżona decyzja jest zgodna z prawem.
Faktem bezspornym jest, że S. B. był podwójnym abonentem Spółki P. S.A. z siedzibą w W. Ze Spółką wiązały go bowiem dwie umowy o świadczenie usług telekomunikacyjnych. Poza sporem również pozostaje, że w dniu 31 stycznia 2005 r. P. S.A. oraz K. S.A. z siedzibą we W. zawarły umowę o obsługę wierzytelności, mocą której P. S.A. zleciła K. S.A. podjęcie działań zmierzających do odzyskania wymagalnych wierzytelności pieniężnych zleceniodawcy wraz z należnymi odsetkami ustawowymi, zaś K. S.A. zlecenie przyjęła. Bezsporne także jest, że w celu realizacji tej umowy, uznając S. B. za swego dłużnika, P. S.A. przekazała jego dane osobowe Spółce K. S.A.
S. B. wywodzi, że na skutek ww. umowy doszło do niezgodnego z prawem przekazania jego danych osobowych przez Spółkę P. S.A. Spółce K. S.A., która w sposób nieuprawniony przetwarzała je z naruszeniem przepisów ustawy o ochronie danych osobowych.
W ocenie skarżącego, przetwarzanie jego danych osobowych było nielegalne, zwłaszcza jeśli zważy się, że umowy, które zawarł z P. S.A., zostały przez niego wypowiedziane, w następstwie czego doszło do ich rozwiązania, przy czym ich rozwiązanie nastąpiło przed zawarciem przez P. S.A. umowy z K. S.A. Kwestionując prawidłowość, zasadność i cel przekazania danych osobowych, skarżący podniósł, że Generalny Inspektor Ochrony Danych Osobowych bezpodstawnie uznał, że jest on dłużnikiem P. S.A., opierając się w tym zakresie jedynie na twierdzeniach operatora, który nie dysponuje żadnym tytułem wykonawczym wobec niego.
Ocena legalności wydanych w sprawie decyzji wymaga wyraźnego rozgraniczenia dwóch aspektów sprawy, wynikających z różnych regulacji prawnych.
Generalny Inspektor Ochrony Danych Osobowych nie dokonuje oceny umów cywilnoprawnych, nie bada także zasadności roszczeń, ani wymagalności wierzytelności. Nie może także oceniać prawidłowości wykonywania umów, wprowadzania do nich zmian, nie ma prawa kontrolować podstaw ich wypowiadania czy rozwiązywania. Dotyczy to wszelkich umów cywilnoprawnych, w tym także umów o świadczenie usług telekomunikacyjnych. Problematyka ta podlega bowiem kognicji sądów powszechnych i jest to aspekt cywilnoprawny tej sprawy, który nie może być przedmiotem zainteresowań organu administracji publicznej ani tego Sądu. Tym samym wszelkie zarzuty natury cywilistycznej zawarte zarówno w skardze, jak i piśmie procesowym z dnia 20 listopada 2006 r., należy uznać za bezzasadne, niemające związku z meritum sprawy administracyjnej.
Przedmiotem kontroli Generalnego Inspektora Ochrony Danych Osobowych, w świetle art. 12 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j.: Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), jest zgodność przetwarzania danych z przepisami o ochronie danych osobowych. W tym konkretnym zaś przypadku kontrola ta powinna polegać na zbadaniu, czy w wyniku zawartej umowy cywilnoprawnej, Spółka K. S.A. mogła przetwarzać dane osobowe S. B., przekazane przez P. S.A., i czy przekazanie danych odbyło się zgodnie z przepisami ustawy o ochronie danych osobowych, biorąc pod uwagę to, że do przekazania danych doszło po zakończeniu umów o świadczenie usług telekomunikacyjnych. GIODO nie jest natomiast uprawniony do badania zgodności umów cywilnoprawnych z przepisami Kodeksu cywilnego. Nie może badać, czy umowa jest ważna i prawnie skuteczna, gdyż w tym przypadku organ administracji publicznej, jakim niewątpliwie jest GIODO, wykraczałby poza swoje ustawowo określone kompetencje. Tym bardziej więc organ nie mógł się wypowiadać w kwestii istnienia, bądź nieistnienia długu, jak i obowiązku jego zwrotu. Dla Generalnego Inspektora Ochrony Danych Osobowych zawarta umowa powinna być czynnością prawną niepodlegającą jego ocenie, wywołującą skutki prawne do czasu, dopóki nie zostanie zakwestionowana w formie i trybie przewidzianym przez prawo.
Uznanie skarżącego przez Spółkę P. S.A. za jej dłużnika nie mogło podlegać i nie podlegało jakiejkolwiek kontroli ze strony organu. GIODO nie mógł badać zasadności roszczeń P. S.A., zobowiązany był natomiast uwzględnić okoliczność istnienia roszczeń, jako jeden z elementów stanu faktycznego.
Generalny Inspektor Ochrony Danych Osobowych miał więc ocenić legalność przetwarzania danych osobowych S. B. w zaistniałym stanie faktycznym, co zresztą uczynił. W tym celu organ sprawdził, czy Spółka P. S.A. była uprawniona do przekazania jego danych osobowych Spółce K. S.A., i czy ta z kolei mogła legalnie je przetwarzać w świetle ustawy o ochronie danych osobowych.
Z art. 1 ust. 2 ustawy o ochronie danych osobowych wynika, iż przysługujące każdemu prawo do ochrony dotyczących go danych osobowych nie ma charakteru absolutnego, bowiem przetwarzanie danych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą lub dobro osób trzecich w zakresie i trybie określonym ustawą.
W myśl art. 7 pkt 2 ustawy o ochronie danych osobowych, przez przetwarzanie danych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
Przesłanki dopuszczalności przetwarzania danych osobowych zostały określone w art. 23 ust. 1 ustawy o ochronie danych osobowych. Przetwarzanie danych osobowych jest więc dopuszczalne tylko wtedy, gdy:
1) osoba, której dane dotyczą, wyrazi na to zgodę;
2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;
3) jest to konieczne dla realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
5) jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Powyższe przesłanki mają charakter autonomiczny i niezależny. Wystarczy zatem wystąpienie jednej z nich, by przetwarzanie danych mogło być uznane za usprawiedliwione. Oznacza to także, że zgoda osoby, której dane dotyczą, nie jest wyłączną przesłanką przetwarzania danych osobowych.
W okresie obowiązywania umów o świadczenie usług telekomunikacyjnych P. S.A. mogła legalnie przetwarzać dane skarżącego w oparciu o przesłankę z art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych.
Jak wynika ze sprawy, obie umowy zostały wypowiedziane we wrześniu 2004 r., zaś skarżący twierdzi, że zastosowane przez GIODO przepisy prawa telekomunikacyjnego nie mogły świadczyć o legalnym przetwarzaniu jego danych osobowych po tej dacie, gdyż ustawa z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz. U. Nr 171, poz. 1800 z późn. zm.) weszła w życie po zakończeniu umów. Z tym stanowiskiem nie sposób jednak się zgodzić. Ustawa ta nie zawiera bowiem uregulowań przejściowych, które pozwalałyby wykluczyć stosowanie jej przepisów w sprawach takich, jak niniejsza. W twierdzeniach skarżącego zaś znamiennym jest, że nie podaje on konkretnego dnia zakończenia umów, wskazując jedynie, że nastąpiło to we wrześniu 2004 r., gdy tymczasem ustawa – Prawo telekomunikacyjne weszła w życie w dniu 4 września 2004 r.
Zawarta przez P. S.A. i K. S.A. umowa o obsługę wierzytelności, ze skutkiem również wobec S. B., świadczy przede wszystkim o istnieniu (także przed datą jej zawarcia) roszczeń operatora związanych z długiem po stronie skarżącego, który korzystał z jego usług telekomunikacyjnych. Z kolei to, czy roszczenia te są zasadne, czy też nie, nie może być przedmiotem oceny organu administracji i Sądu, o czym była mowa wcześniej.
Art. 164 ustawy – Prawo telekomunikacyjne stanowił i nadal stanowi, że dane użytkowników końcowych mogą być przetwarzane w okresie obowiązywania umowy, a po jej zakończeniu w okresie dochodzenia roszczeń lub wykonywania innych zadań przewidzianych w ustawie lub przepisach odrębnych. Nie ulega wątpliwości, że przepis ten stwarzał podstawę kwestionowanego przetwarzania danych skarżącego, biorąc pod uwagę istniejące wobec niego roszczenia Spółki P. S.A. Istnienie roszczeń pozwalało więc P. S.A. na przetwarzanie danych osobowych skarżącego w takim zakresie, w jakim Spółka czyniła to w trakcie trwania umów, będąc administratorem jego danych przy uwzględnieniu art. 161 ustawy – Prawo telekomunikacyjne i art. 7 pkt 4 ustawy o ochronie danych osobowych.
Oceniając zatem legalność przetwarzania danych osobowych skarżącego przez P. S.A. w świetle przesłanek z art. 23 ust. 1 ustawy o ochronie danych osobowych, wskazać należy, że wyczerpuje ono podstawę z punktu 2 tego przepisu, według którego przetwarzanie danych jest dopuszczalne, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. P. S.A. przetwarzał zatem dane osobowe skarżącego legalnie, realizując swoje uprawnienie do dochodzenia roszczeń, na co po zakończeniu umów zezwalał cytowany art. 164 ustawy – Prawo telekomunikacyjne.
Administrator danych, którym stosownie do art. 7 pkt 4 ustawy o ochronie danych osobowych jest podmiot decydujący o celach i środkach przetwarzania danych osobowych, może przetwarzać przedmiotowe dane sam albo powierzyć to innemu podmiotowi.
Zgodnie bowiem z treścią przepisu art. 31 ust. 1 ustawy, administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. W myśl natomiast art. 31 ust. 2 ustawy, podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie. Należy przy tym zwrócić uwagę, że powierzenie przetwarzania danych dokonane przez administratora na podstawie umowy powierzenia, o której mowa w art. 31 ustawy, nie wymaga uzyskania zgody osoby, której dane dotyczą.
Spółka P. S.A., przetwarzając w sposób legalny dane S. B., mając przy tym status administratora jego danych, mogła więc w świetle art. 31 ustawy o ochronie danych osobowych powierzyć Spółce K. S.A. przetwarzanie danych osobowych skarżącego w celu dochodzenia swych roszczeń. Zatem na podstawie pisemnej umowy doszło do przekazania danych osobowych skarżącego podmiotowi trzeciemu, który w ten sposób nabył uprawnienie do przetwarzania jego danych osobowych wyłącznie w zakresie i celu przewidzianym w umowie.
Nabywając takie uprawnienie, podmiot trzeci przetwarza dane osobowe jak administrator danych, czyli realizując powierzone czynności, przetwarza dane osobowe w ramach tych samych podstaw legalnego przetwarzania danych, z jakich korzysta w tym zakresie sam administrator danych. Oznacza to, że Spółka K. S.A., realizując powierzone przez P. S.A. czynności, przetwarzała dane osobowe skarżącego także na podstawie art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych w związku z art. 164 ustawy – Prawo telekomunikacyjne.
Przy takiej kwalifikacji prawnej stanu faktycznego sprawy za zbędną należy uznać tę część oceny prawnej organu, która wskazuje, jako drugą z podstaw legalnego przetwarzania danych osobowych S. B., przepis art. 23 ust. 1 pkt 5 w związku z art. 23 ust. 4 pkt 2 ustawy o ochronie danych osobowych.
Jak już zostało wspomniane wcześniej, przesłanki z art. 23 ust. 1 przedmiotowej ustawy mają charakter autonomiczny i niezależny. Stanowią przy tym swoistą gradację podstaw legalnego przetwarzania danych osobowych, poczynając od zgody osoby, której dane dotyczą, kończąc zaś na usprawiedliwionych celach administratorów danych lub odbiorców danych. Wystarczy zatem wystąpienie jednej z nich, by przetwarzanie danych mogło być uznane za usprawiedliwione i w sytuacji istnienia którejś z podstaw nie ma potrzeby „poszukiwania” kolejnej (innej) przesłanki legalnego przetwarzania danych.
GIODO zupełnie niepotrzebnie dokonywał więc oceny prawnej sprawy w świetle art. 23 ust. 1 pkt 5 w związku z art. 23 ust. 4 pkt 2 ustawy o ochronie danych osobowych. Jednak uchybienie to pozostaje bez wpływu na trafność rozstrzygnięcia, co do zasady opartego o przepis art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych.
W takim stanie sprawy nie można podzielić zarzutów postawionych w skardze, w szczególności za nietrafny należy uznać zarzut rażącego naruszenia prawa, o którym mowa w art. 156 § 1 pkt 2 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (t. j.: Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), poprzez naruszenie art. 2 Konstytucji Rzeczypospolitej Polskiej, art. 6, art. 7 i art. 8 Kodeksu postępowania administracyjnego.
Z samego faktu, że decyzja jest niekorzystna dla strony nie można wyprowadzać wniosku o łamaniu konstytucyjnej zasady praworządności i podstawowych zasad procesowych przez organ, czy wręcz jego złej woli, bądź też negatywnym nastawieniu do strony. Niezadowolenie skarżącego z wydanej decyzji wyraża jedynie jego subiektywne odczucia, natomiast poddanie decyzji kontroli instancyjnej oraz sądowej umożliwia weryfikację rozstrzygnięcia nie tylko w aspekcie zastosowanych norm prawa materialnego, ale także przepisów proceduralnych, w tym w szczególności zasad procesowych, których naruszenia Sąd nie stwierdził. Zarówno argumentacja skargi, jak i analiza akt sprawy, nie ujawniły wad, które mogłyby mieć istotny wpływ na rozstrzygnięcie.
Reasumując, przeprowadzona przez Sąd kontrola legalności wydanych w sprawie decyzji wykazuje, że przetwarzanie danych osobowych S. B. przez P. S.A. i K. S.A. było zgodne z przepisami ustawy o ochronie danych osobowych, zatem wydane w sprawie decyzje należy uznać za prawidłowe.
Z uwagi na powyższe, nie mając podstaw do uwzględnienia skargi, Wojewódzki Sąd Administracyjny w Warszawie w oparciu o art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 z późn. zm.) orzekł, jak w sentencji wyroku.
Warto również wyjaśnić skarżącemu, że zasądzenie kosztów postępowania sądowego możliwe jest tylko w przypadku uwzględnienia skargi (art. 200 i art. 209 ww. ustawy – Prawo o postępowaniu przed sądami administracyjnymi). Jeśli zaś chodzi o koszty postępowania kasacyjnego, w postępowaniu tym jednak nie został złożony wymagany prawem wniosek o ich zwrot, dlatego też Naczelny Sąd Administracyjny nie mógł orzekać w tym zakresie (art. 193 w związku z art. 210 ustawy – Prawo o postępowaniu przed sądami administracyjnymi). Tym bardziej więc WSA w Warszawie nie ma ku temu podstaw.
