Projekt Unijnego Rozporządzenia dot. ochrony danych osobowych
Na stronie internetowej KE możemy zapoznać się z projektem nowego aktu prawnego, który ma obowiązywać również w Polsce....

  
Wyszukiwarka orzeczeń i decyzji

Jeśli są Państwo zainteresowani otrzymaniem darmowego newslettera z informacjami dotyczącymi prawnej ochrony danych prosimy o podanie adresu e-mail:


Dodaj Usuń

Administratorem Twoich danych osobowych, udostępnionych dobrowolnie, jest Omni Modo z siedzibą w Warszawie (03-937), przy ul. Zwycięzców 45/29. Dane osobowe będą przetwarzane w celu przesyłania newslettera oraz będą udostępniane innym podmiotom współpracującym z Administratorem. Przysługuje Ci prawo dostępu do treści swoich danych oraz ich poprawiania.

Wyrażam zgodę na przesyłanie na udostępniony przeze mnie adres poczty elektronicznej newslettera zawierającego informację handlową w rozumieniu ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. 2002 nr 144 poz. 1204 z późn. zm.).

Więcej informacji dotyczących ochrony danych osobowych Użytkowników i Regulamin świadczenia usług drogą elektroniczną tutaj


  

>Orzecznictwo>NSA>2009 >



I OSK 227/09
2009-12-07

 

 II SA/Wa 1242/08 → I OSK 227/09

 

WYROK

W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

 


dnia 12 grudnia 2009 r.

 


Naczelny Sąd Administracyjny po rozpoznaniu w dniu 1 grudnia 2009 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Banku [...] w W. S.A. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 5 grudnia 2008 r. sygn. akt II SA/Wa 1242/08 w sprawie ze skargi Banku [...] w W. S.A. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] lipca 2008 r. nr [...] w przedmiocie ochrony danych osobowych:

 
oddala skargę kasacyjną

 

Generalny Inspektor Ochrony Danych Osobowych decyzją z [...] maja 2008 r. nr [...] nakazał Bankowi [...] w W. S.A. usunięcie uchybień w procesie przetwarzania danych osobowych przez:
1) przetwarzanie danych osobowych użytkowników imiennych przedpłaconych kart płatniczych na podstawie zgody wyrażonej przez użytkowników ww. kart, w terminie trzech miesięcy od dnia, w którym decyzja stanie się ostateczna,
2) realizację obowiązku informacyjnego, o którym mowa w art. 25 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.), wobec użytkowników imiennych przedpłaconych kart płatniczych, w terminie trzech miesięcy od dnia, w którym decyzja stanie się ostateczna.
Generalny Inspektor Ochrony Danych Osobowych, po rozpatrzeniu wniosku o ponowne rozpatrzenie sprawy, decyzją z dnia [...] lipca 2008 r. sygn. [...], utrzymał w mocy zaskarżoną decyzję na podstawie art. 138 § 1 pkt 1 Kodeksu postępowania administracyjnego oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1 oraz art. 22 w związku z art. 23 ust. 1 pkt 1 i art. 25 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.). W uzasadnieniu rozstrzygnięcia wskazał, że decyzja z dnia [...] maja 2008 r. wydana została w oparciu o obowiązujące przepisy prawa, ponieważ Bank jako administrator danych osobowych użytkowników imiennych przedpłaconych kart płatniczych winien uzyskać ich zgodę na przetwarzanie danych osobowych oraz dopełnić wobec tych osób obowiązku informacyjnego wynikającego z art. 25 ust. 1 ustawy o ochronie danych osobowych.
Generalny Inspektor Ochrony Danych Osobowych ustalił, że Bank [...] w W. S.A. oferuje dwa rodzaje przedpłaconych kart płatniczych: imienne i bezimienne. Produkty są skierowane do podmiotów z sektora prywatnego oraz publicznego, natomiast nie są przeznaczone dla osób indywidualnych. Umowa o wydanie przedpłaconych kart płatniczych oraz obsługa operacji dokonywanych przy ich użyciu zawierana jest z podmiotem, który staje się posiadaczem karty i może ją przekazać do użytkowania wybranym przez siebie osobom fizycznym. Wyłącznie posiadacz karty decyduje o przyznaniu bądź o odebraniu karty użytkownikowi. Celem zbierania przez Bank danych użytkowników imiennych i bezimiennych przedpłaconych kart płatniczych jest obsługa tych kart, tzn. możliwość zastrzeżenia karty w chwili jej utraty, przyjęcia reklamacji od użytkownika, sprawdzenia przez użytkownika stanu transakcji na karcie, możliwość weryfikacji z danymi podanymi przez posiadacza w przypadku aktywacji kart imiennych. W przypadku wydawania kart imiennych posiadacz wskazuje użytkowników kart przekazując Bankowi ich dane osobowe obejmujące: imię i nazwisko, nr PESEL, datę urodzenia, adres. Dane przekazywane są elektronicznie za pośrednictwem udostępnionego przez Bank systemu lub na nośniku CD. Z treści umowy o wydanie przedpłaconej imiennej karty płatniczej wynika, że "posiadacz, jako administrator danych zbioru danych osobowych użytkowników kart, zobowiązuje się do uzyskania zgody każdego użytkownika karty na przetwarzanie jego danych osobowych objętych ochroną danych osobowych oraz tajemnicą bankową, w tym na ich udostępnianie przez Bank stronom trzecim w kraju i za granicą w zakresie niezbędnym do wydawania i należytej obsługi kart. Ryzyko związane z uzyskaniem zgody leży po stronie posiadacza. Posiadacz uzyska od użytkowników oświadczenie następującej treści: potwierdzam, iż zostałem poinformowany o tym, że moje dane osobowe zostaną udostępnione Bankowi [...] w W. S.A. w celu wykonywania przez niego czynności bankowych niezbędnych do obsługi Karty Płatniczej VISA ELECTRON."
Organ stwierdził, że w zakresie realizacji umowy o wydanie przedpłaconych kart płatniczych oraz obsługę operacji dokonywanych przy ich użyciu to Bank decyduje o celach i środkach przetwarzania danych osobowych użytkowników przedpłaconych imiennych kart płatniczych. W gestii Banku pozostają bowiem wszelkie aspekty przetwarzania danych osobowych użytkowników ww. kart, poczynając od określenia celu ich zbierania, zakresu przetwarzania danych, wykorzystywanych środków technicznych oraz organizacyjnych. Określenie zasad funkcjonowania produktu, jakim jest karta przedpłacona, w tym dotyczących przetwarzania danych osobowych jej użytkowników, leży po stronie Banku jako profesjonalisty specjalizującego się w dostarczaniu tego rodzaju usług. Natomiast posiadacz wydanych kart przedpłaconych, jest zleceniodawcą usługi, w ramach, której dochodzi do przetwarzania danych osób przez niego wskazanych i przetwarzanie to odbywa się na zasadach określonych przez Bank. Podmiot ten decyduje komu Bank powinien wydać do użytkowania wskazane karty i jaka ilość środków ma być zdeponowana w Banku. Może mu oczywiście również przysługiwać przymiot administratora przekazanych danych, ale z innego tytułu, np. pozostawania pracodawcą osób, którym przekazał karty do użytkowania. W takiej sytuacji decydowanie przez niego o celach i środkach przetwarzania danych dotyczy tych innych aspektów działalności, natomiast pozostaje bez wpływu na okoliczność, w zakresie obsługi kart to Bank decyduje zarówno o celach, jak i środkach przetwarzania danych.
Generalny Inspektor Ochrony Danych Osobowych uznał, że mimo iż w umowie o wydanie przedpłaconych kart płatniczych oraz obsługę operacji dokonywanych przy ich użyciu zawarto postanowienia mające charakter powierzenia przetwarzania danych osobowych, to w istocie Bank nie przetwarza danych osobowych na zasadzie powierzenia określonego w art. 31 ust. 1 ustawy o ochronie danych osobowych, lecz jako ich administrator. Zgodnie z art. 31 ust. 1 ustawy o ochronie danych osobowych, administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Zasadniczą kwestią decydującą o uznaniu, czy podmiot przetwarzający dane osobowe jest ich administratorem jest stwierdzenie, czy decyduje on o celach i środkach przetwarzania tych danych. Organ nie zgodził się ze stanowiskiem Banku, że nie decyduje on o celach i środkach przetwarzania danych, lecz jedynie dokonuje operacji na danych w wykonaniu umowy powierzenia. Stwierdził, że przepisy ustawy o ochronie danych osobowych nie sprzeciwiają się możliwości przyznania przymiotu administratora danych obu stronom umowy, jeżeli każda z nich w swoim zakresie decyduje o ww. okolicznościach.
Zdaniem organu, Bank jest administratorem danych osobowych użytkowników imiennych przedpłaconych kart płatniczych, a zarazem powinien legitymować się przynajmniej jedną przesłanką wskazaną w art. 23 ust. 1 ustawy o ochronie danych osobowych. W przedmiotowej sytuacji podstawę prawną przetwarzania danych ww. osób powinna stanowić zgoda na przetwarzanie danych osobowych, czyli przesłanka, o której mowa w art. 23 ust. 1 pkt 1 tej ustawy.
Konsekwencją uznania Banku za administratora danych osobowych użytkowników imiennych przedpłaconych kart płatniczych jest konieczność stwierdzenia, że Bank powinien spełniać ustawowe obowiązki nałożone na administratorów danych, w tym jest zobligowany do informowania osób, których dane dotyczą, o okolicznościach wskazanych w art. 25 ust. 1 ustawy o ochronie danych osobowych. Zgodnie z art. 25 ust. 1 ustawy, w przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę bezpośrednio po utrwaleniu zebranych danych, o: 1) adresie swojej siedziby i pełnej nazwie (...); 2) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych; 3) źródle danych; 4) prawie dostępu do treści swoich danych oraz ich poprawianie; 5) uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8 ustawy. Organ stwierdził, że Bank wskazanych obowiązków nie realizuje.
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z 5 grudnia 2008 r. sygn. akt II SA/Wa 1242/08 po rozpoznaniu sprawy ze skargi Banku [...] w W. S.A. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z [...] lipca 2008 r. nr [...] w przedmiocie ochrony danych osobowych, oddalił skargę. W uzasadnieniu Sąd wywodził, że istota sprawy sprowadza się do ustalenia, czy Bank [...] w W. S.A. jest administratorem danych przekazanych mu przez posiadacza przepłaconych imiennych kart płatniczych w ramach umowy o wydanie tych kart.
Zgodnie z art. 7 pkt 4 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.), który definiuje pojęcie administratora danych, administratorem danych jest podmiot zajmujący się przetwarzaniem danych, o ile tylko podejmuje samodzielnie decyzje dotyczące celów i środków przetwarzania.
Sąd wywodził, że na gruncie rozpoznawanej sprawy ze zbiorem danych osobowych użytkowników imiennych przepłaconych kart płatniczych związanych jest dwóch administratorów, ponieważ zbiór ten pozostaje w dyspozycji dwóch podmiotów, którzy samodzielnie podejmują decyzje dotyczące celów i środków przetwarzania tych danych. Bank realizuje umowę o wydanie przepłaconych kart płatniczych oraz obsługę transakcji dokonywanych przy ich użyciu poprzez faktyczne decydowanie o celach i środkach przetwarzania przez siebie danych użytkowników kart przekazywanych w ramach umowy przez posiadacza karty (administratora danych), staje się w tym zakresie także administratorem tych danych. Wobec tego nie można uznać, że umowa zawierana przez Bank z jednostką organizacyjną zwaną posiadaczem o wydanie imiennej przedpłaconej karty płatniczej oraz obsługę operacji dokonywanych przy ich użyciu stanowi przypadek zlecenia na zewnątrz przetwarzania danych w rozumieniu art. 31 ustawy o ochronie danych osobowych.
Bank wykonując umowę gromadzi bowiem dane użytkowników kart na swoje własne potrzeby, a nie na potrzeby strony będącej posiadaczem przedmiotowych kart. To Bank jest właścicielem wydanych kart, co wynika z § 5 pkt 1 regulaminu użytkowania przedpłaconych kart płatniczych. Kartę taką oraz numer PIN Bank przyznaje wyłącznie użytkownikowi (§ 9 pkt 3 Regulaminu). Bank zbiera dane osobowe o użytkowniku: jego imię, nazwisko, PESEL, datę urodzenia i adres w celu obsługi produktu sprzedanego przez niego posiadaczowi. Realizuje się to przez możliwość zastrzeżenia karty przez użytkownika, przyjęcia od niego reklamacji oraz sprawdzenia stanu transakcji na karcie, weryfikacji danych podanych przez posiadacza karty w przypadku aktywacji karty przez użytkownika. Bank przetwarzając dane osobowe użytkowników kart działa z pozycji władczej jako podmiot oferujący produkt w postaci przedpłaconej karty imiennej. Posiadacz natomiast jako zleceniodawca zarządza jedynie środkami zgromadzonymi na karcie, nie mając wpływu na zakres i sposób przetwarzanych danych przez sprzedającego kartę. Zatem to Bank realizując zawartą umowę z posiadaczem decyduje o celach i środkach przetwarzania danych osobowych, a to oznacza, że jest administratorem tych danych.
Skoro Bank [...] w W. S.A. przetwarza dane jako ich administrator bez zgody osoby, której dane dotyczą, to zgodna z prawem jest decyzja Generalnego Inspektora Ochrony Danych Osobowych nakazująca usunięcie uchybień w procesie przetwarzania danych poprzez przetwarzanie danych osobowych użytkowników imiennych przedpłaconych kart płatniczych na podstawie zgody wyrażonej przez tychże użytkowników.
W konsekwencji powyższego należało zobowiązać również kontrolowanego do udzielenia użytkownikom tych kart informacji przewidzianych w art. 25 ust. 1 ustawy o ochronie danych osobowych.
Sąd uznał za niezasadne zarzuty skargi co do naruszenia przez organ przepisu art. 23 ust. 1 ustawy o ochronie danych osobowych gdyż, jak prawidłowo wyjaśniono w uzasadnieniu decyzji i odpowiedzi na skargę, w warunkach tej sprawy nie ma podstaw do przyjęcia, że dopuszczalne jest przetwarzanie danych osobowych przez Bank jako administratora z uwagi na konieczność realizacji umowy, ponieważ osoba, której dane dotyczą, nie jest jej stroną ani też ze stanu faktycznego sprawy nie wynika, że jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą.
Sąd podzielił argumentację organu, że w sprawie nie można przyjąć, że przetwarzanie przez Bank danych osobowych jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez niego jako administratora danych.
W ocenie Sądu, nie zasługiwał również na uwzględnienie zarzut naruszenia przez organ przepisów procesowych, ponieważ zgromadzony materiał dowodowy dawał podstawy do wydania zaskarżonej decyzji.
Mając powyższe na uwadze Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. Nr 153, poz. 1270 ze zm.), orzekł o oddaleniu skargi.
Bank [...] w W. S.A. wniósł od wyroku skargę kasacyjną, zaskarżając wyrok w całości. Zaskarżonemu wyrokowi zarzucał:
1) naruszenie przepisów prawa materialnego, a mianowicie:
a) art. 7 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.) (dalej "u.o.d.o.") przez błędną wykładnię, polegającą na przyjęciu, iż Bank w zakresie wykonywania umowy o wydanie przedpłaconych kart płatniczych oraz obsługę operacji dokonywanych przy ich użyciu, odnoszących się do kart imiennych (dalej: "Umowa") jest administratorem danych w rozumieniu u.o.d.o. Naruszenie miało wpływ na wynik sprawy;
b) art. 23 ust. 1 u.o.d.o. przez uznanie zgody za jedyną przesłankę legalności przetwarzania danych. Naruszenie miało wpływ na wynik sprawy;
c) art. 25 ust. 1 u.o.d.o. przez błędne uznanie, że na nim spoczywa obowiązek poinformowania użytkowników kart o okolicznościach przetwarzania ich danych osobowych. Naruszenie miało wpływ na wynik sprawy;
d) art. 31 ust. 1 u.o.d.o. poprzez niewłaściwe zastosowanie polegające na przyjęciu, iż Umowa nie może być uznana za umowę powierzenia przetwarzania danych osobowych w rozumieniu ww. przepisu. Naruszenie miało wpływ na wynik sprawy;
2) naruszenie przepisów postępowania, a mianowicie art. 141 § 4 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. Nr 153, poz. 1270 ze zm.) poprzez brak wyjaśnienia stanowiska Sądu dotyczącego zarzutów naruszenia przez Organ art. 7, 11 i 77 § 1 k.p.a. Naruszenie mogło mieć wpływ na wynik sprawy.
Na tych podstawach wnosił o:
1) uchylenie w całości zaskarżonego wyroku i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie,
2) zasądzenie kosztów postępowania według norm przepisanych.
W uzasadnieniu skargi kasacyjnej wywodzono, że definicja administratora danych powinna być rozumiana w ten sposób, że administratorem jest ten kto decyduje, że konkretne dane będą wykorzystane w określonym (często w ustawie) celu. W sprawie jedynym decydentem co do określonego celu wykorzystania konkretnych danych jest posiadacz karty, ponieważ to on wskazuje użytkownika karty, a zatem to on decyduje o tym, że dane konkretnej osoby zostaną wykorzystane w danym celu. Bank nie ma najmniejszego wpływu na określenie tego celu. Bank określa jedynie funkcję karty, jako narzędzia oferowanego posiadaczowi. W ramach tej funkcji, mającej jedynie walory techniczne, posiadacz precyzuje swoje cele, które Bankowi są obojętne. Podobnie należy rozumieć kwestię decydowania o środkach wykorzystywania danych, przez które należy rozumieć cały zespół okoliczności towarzyszących przetwarzaniu danych. W tym zakresie jedynym dysponentem jest posiadacz karty. To on decyduje o sposobie przetwarzania danych, czyli o tym, że dane konkretnej osoby będą przetwarzane przez Bank. Gdyby posiadacz wybrał inny bank, wówczas podjąłby decyzję o zastosowaniu odmiennych środków przetwarzania przekazanych przez siebie danych osobowych. Wybierając Bank [...] posiadacz podjął świadomie decyzję o zastosowaniu takich a nie innych środków przetwarzania danych osobowych. O tym, kto jest administratorem danych decyduje władztwo nad konkretnymi danymi, a nie władztwo nad samym procesem przetwarzania. Przyjęta w wyroku wykładnia zaciera różnice pomiędzy administratorem a zleceniobiorcą w rozumieniu art. 31 u.o.d.o.
Z powyższych względów należy uznać, ze jedynym kryterium odróżniającym jest nie to, kto określił cel i sposób przetwarzania danych, ale kto "przeznaczył" konkretne dane dla przetwarzania w tym celu i w ten sposób. Sąd ingeruje w ustawową definicję administratora danych osobowych poprzez rozszerzenie warunków decydujących o statusie administratora danych. Sąd odmawiając uznania umowy zawartej przez Bank z posiadaczem za umowę zlecenia, wprowadza pojęcie "własnych potrzeb" Banku, które to "własne potrzeby" mają decydować, że jest on administratorem danych osobowych.
W skardze kasacyjnej wywodzono o naruszeniu art. 23 ust. 1 u.o.d.o., przez przyjęcie, ze Bank nie może przetwarzać danych ze względu na realizację umowy, ponieważ użytkownik nie jest stroną umowy. Art. 23 ust. 1 u.o.d.o. wskazuje pięć równorzędnych przesłanek legalności przetwarzania danych przez administratora danych. Każdy administrator powinien spełnić co najmniej jedną z nich, przy czym przesłanki są równoprawne. Nie można przyjąć wyłącznie przesłanki zgody z pominięciem przesłanki usprawiedliwionego celu, czy podpisaniem umowy z użytkownikiem kart.
Zarzucono naruszenie art. 25 ust. 1 u.o.d.o., podmiot przetwarzający dane na zlecenie nie musi realizować tego obowiązku. Wywodzono o naruszeniu art. 31 u.o.d.o. przez odmowę uznania banku za podmiot przetwarzający dane na zlecenie. Zarzucono naruszenie art. 141 § 1 ustawy - Prawo o postępowaniu przed sądami administracyjnymi przez nieodniesienie się do niektórych zarzutów skargi - zarzutu naruszenia art. 31 u.o.d.o., a co do naruszenia art. 23 ust. 1 u.o.d.o., art. 25 u.o.d.o., art. 7, 11,77 k.p.a. do przyznania racji organowi.
W odpowiedzi na skargę kasacyjną Główny Inspektor Ochrony Danych Osobowych wnosił o jej oddalenie.
Naczelny Sąd Administracyjny zważył, co następuje:
Zgodnie z art. 183 § 1 ustawy z 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. Nr 153, poz. 1270 ze zm.), Naczelny Sąd Administracyjny jest właściwy do rozpoznania sprawy w granicach skargi kasacyjnej, bierze jednak z urzędu pod rozwagę nieważność postępowania. W sprawie nie występują, enumeratywnie wyliczone w art. 183 § 2 powołanej ustawy - Prawo o postępowaniu przed sądami administracyjnymi, przesłanki nieważności postępowania sądowoadministracyjnego. Z tego względu przy rozpoznaniu sprawy, Naczelny Sąd Administracyjny związany był granicami skargi kasacyjnej.
Według art. 7 pkt 4 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.), administratorem danych jest organ, jednostka organizacyjna, podmiot lub osoba, o których mowa, decydujące o celach i środkach przetwarzania danych osobowych. Administratorem danych osobowych jest więc jedynie taki dysponent danych, który decyduje o celach i środkach ich przetwarzania. Powołany przepis w swej treści posługuje się pojęciem "przetwarzania danych osobowych", a zatem konieczne jest także odwołanie się do ustawowej definicji tego pojęcia, gdyż "cele" i "środki" należy odnosić do procesu przetwarzania danych osobowych. Zgodnie z art. 7 pkt 2 ustawy o ochronie danych osobowych przez przetwarzanie danych - rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
W zaskarżonym wyroku Sąd przeprowadził prawidłową wykładnię art. 7 ust. 4 powołanej ustawy o ochronie danych osobowych. Przyjęta definicja ustawowa administratora danych opiera się na dwóch przesłankach: - po pierwsze, przesłance podmiotowej, stanowiącej, że administratorem danych jest organ, jednostka organizacyjna, podmiot lub osoba, o których mowa art. 3 tej ustawy, - po drugie, przesłance przedmiotowej opartej o kryterium decydowania o celach i środkach przetwarzania danych osobowych. Bank [...] w W. S.A. spełnia łącznie te dwie przesłanki. Spełnienie tej drugiej przesłanki wynika z uzasadnienia skargi kasacyjnej, w której wskazano, że "posiadacz wybierając Bank [...], jako jeden z wielu banków oferujących karty przepłacone, podjął świadomie decyzję o zastosowaniu takich, a nie innych środków przetwarzania danych dotyczących jego pracowników lub współpracowników". Cele i środki przetwarzania danych osobowych objęte są decyzją Banku, a nie posiadacza karty imiennej przedpłaconej. Podporządkowanie się decyzji Banku co do celów i środków przetwarzania danych przez posiadacza karty nie powoduje, że to posiadacz karty podejmując decyzję o celach i środkach przetwarzania danych. Przy czym należy podkreślić, że zgodnie z art. 7 pkt 2 powołanej ustawy o ochronie danych osobowych, przetwarzanie danych osobowych to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie. Zakresem pojęcia przetwarzania danych objęte są jakiekolwiek operacje wykonywane na danych osobowych, co oznacza, ze ograniczenie przetwarzania danych to utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie jest też przetwarzaniem danych. Przekazanie przez posiadacza kart przepłaconych danych osobowych pracowników nie zamyka procesu przetwarzania danych osobowych. W zakresie celów i środków pozostałych operacji wykonywanych na danych osobowych jest objęte czynnościami Banku [...] S.A. w W. Tym samym nie jest zasadny zarzut niewłaściwego zastosowania art. 31 ust. 1 powołanej ustawy o ochronie danych osobowych. Jeżeli cele i środki przetwarzania danych określa Bank [...] S.A., to nie można wyprowadzić niewłaściwego zastosowania art. 31 ust. 1 powołanej ustawy o ochronie danych osobowych, który należy interpretować w związku z art. 31 ust. 2 tej ustawy, a ten stanowi, że przetwarzanie danych może nastąpić wyłącznie w zakresie i celu przewidzianym w umowie. Art. 31 ust. 1 i ust. 2 powołanej ustawy o ochronie danych osobowych nie miał zastosowania w sprawie.
Nie jest uzasadniony zarzut naruszenia art. 23 ust. 1 powołanej ustawy o ochronie danych osobowych. Przeprowadzona wykładnia jest w pełni zgodna ze standardami prawa europejskiego, które jako regułę przyjmuje, że zgodnie z prawem proces przetwarzania danych osobowych wymaga ponadto, aby dokonane było ono za zgodą osoby (art. 7 lit. a/ dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.Urz. UE L 95.281.31). Taką regułę należy wyprowadzić z art. 23 ust. 1 pkt 1 powołanej ustawy o ochronie danych osobowych w związku z art. 47 Konstytucji Rzeczypospolitej Polskiej, który stanowi, że "Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym". Odstąpienie od tej reguły jest dopuszczalne ale tylko gdy w sprawie ma miejsce inna przesłanka wyliczona enumeratywnie w art. 23 ust. 1 pkt 2-5 powołanej ustawy o ochronie danych osobowych. Kwestionując niewłaściwe zastosowanie art. 23 ust. 1 pkt 1 powołanej ustawy nie wywiedziono, która z przesłanek powinna być podstawą do przetwarzania danych. Należy podkreślić, że przesłanka dopuszczalności przetwarzania danych wyliczona w art. 23 ust. 1 pkt 5 jest wyznaczona granicami: "jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą". Według art. 23 ust. 4 "Za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności: 1) marketing bezpośredni własnych produktów lub usług administratora danych, 2) dochodzenie roszczeń z tytułu prowadzonej działalności". Wyliczenie prawnie usprawiedliwionego celu jest otwarte, a zatem inne okoliczności mogą być uznane za prawnie usprawiedliwiony cel, o ile przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. W wyroku z 14 września 2000 r. The Queen przeciwko Ministrowi Rolnictwa Wielkiej Brytanii (Zb. Orz. 2000, s. I-6751, załącznik A.1), dotyczącym wykładni art. 7 lit. f/ dyrektywy Europejski Trybunał Sprawiedliwości podkreślił, że przepisy prawa krajowego powinny być interpretowane tak dalece, jak to możliwe, na podstawie brzmienia i celu dyrektywy, aby zapewnić realizację tego celu. Celem tym jest ochrona prywatności, która powinna być rozpatrywana także w świetle art. 8 Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności. W ocenie Europejskiego Trybunału Sprawiedliwości przetwarzanie danych osobowych bez zgody osoby, której dane dotyczą jest dopuszczalne, jeżeli ma podstawę w przepisie prawa, która wyraźnie na takie przetwarzanie zezwala, przetwarzanie (udostępnianie) danych jest niezbędne do zrealizowania uprawnienia lub obowiązku określonego ustawowo, dane są przetwarzane tylko w takim zakresie, w jakim jest to niezbędne do osiągnięcia tych celów. Rozstrzygając o legalności przetwarzania danych trzeba każdorazowo, ważąc interesy stron, znaleźć równowagę między prawami i wolnościami jednostki z jednej strony a prawnie usprawiedliwionym interesem osoby trzeciej z drugiej strony. Oznacza to obowiązek zapewnienia właściwej równowagi praw i interesów stron, w tym praw podstawowych". W skardze kasacyjnej poza ogólnym zarzutem oparcia się na art. 23 ust. 1 pkt 1 powołanej ustawy o ochronie danych osobowych nie wyprowadzono wadliwości, która pozwalałaby na przyjęcie, że oparcie się na prawnych podstawach (zgody osoby, której dane dotyczą) jest naruszeniem art. 23 ust. 1 pkt 2-5 tej ustawy. Oparcie się na regule nie może stanowić podstawy do wyprowadzenia naruszenia przepisów prawa.
Nie jest usprawiedliwiony zarzut naruszenia art. 25 ust. 1 powołanej ustawy o ochronie danych osobowych. Prawidłowe zastosowanie art. 7 ust. 4 powołanej ustawy o ochronie danych osobowych ma konsekwencje oceny prawidłowości zastosowania art. 25 ust. 1 powołanej ustawy, który nakłada na administratora danych w wyznaczonym zakresie obowiązek poinformowania osób, których dane dotyczą.
Nie jest usprawiedliwiony zarzut naruszenia art. 141 § 4 powołanej ustawy - Prawo o postępowaniu przed sądami administracyjnymi w związku z naruszeniem przez organ art. 7, art. 11 i art. 77 Kodeksu postępowania administracyjnego. Uzasadnienie wyroku w pełni odpowiada wymogom uzasadnienia stanu faktycznego i uzasadnienia prawnego.
W tym stanie rzeczy, skoro skarga nie została oparta na usprawiedliwionych podstawach, na mocy art. 184 powołanej ustawy - Prawo o postępowaniu przed sądami administracyjnymi, Naczelny Sąd Administracyjny orzekł jak w sentencji.
 

Copyright (c) 2007 by E-Ochronadanych.pl - Wszelkie prawa zastrzeżone Polityka prywatności | Regulamin | Nota prawna
Kopiowanie materiałów - zabronione Ustawa o ochronie danych osobowych | GIODO | Administrator bezpieczeństwa informacji