Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Małgorzata Jaśkowska (spr.) Sędziowie: Sędzia NSA Zbigniew Ślusarczyk Sędzia del. WSA Mirosław Wincenciak Protokolant: sekretarz sądowy Adrian Wawer po rozpoznaniu w dniu 18 kwietnia 2018 roku na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej [... ] S.A. z siedzibą w W. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 18 lutego 2016 r., sygn. akt II SA/Wa 1655/15 w sprawie ze skargi [...] S.A. z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] lipca 2015 r., nr [...] w przedmiocie przetwarzania danych osobowych 1. oddala skargę kasacyjną; 2. zasądza od [...] S.A. z siedzibą w W. na rzecz Generalnego Inspektora Ochrony Danych Osobowych kwotę 360 (trzysta sześćdziesiąt) zł tytułem zwrotu kosztów postępowania kasacyjnego.

Zaskarżonym wyrokiem z dnia 18 lutego 2016 r. Wojewódzki Sąd Administracyjny w Warszawie (sygn. akt II SA/Wa 1655/15) oddalił skargę [...] S.A. z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] lipca 2015 r. nr [...] w przedmiocie przetwarzania danych osobowych.

Sąd I instancji orzekał w następującym stanie sprawy.

Na skutek wszczętego z urzędu postępowania administracyjnego Generalny Inspektor Ochrony Danych Osobowych (dalej: GIODO) decyzją z dnia [...] kwietnia 2015 r. nakazał [...] S.A. z siedzibą w W., jako administratorowi danych, usunięcie uchybień w procesie przetwarzania danych osobowych, poprzez:

1. Sformułowanie klauzuli zgody na przetwarzanie przez Spółkę danych transmisyjnych dla celów marketingu usług Spółki, zamieszczonej w stosowanym przez Spółkę formularzu umowy o świadczenie usług telekomunikacyjnych, w sposób odrębny od klauzuli zgody na przetwarzanie danych transmisyjnych dla celów marketingu usług podmiotów, z którymi Spółka współpracuje w zakresie rozpowszechniania informacji handlowej tych podmiotów przy jednoczesnym zapewnieniu osobom, których dane dotyczą, możliwości odmowy wyrażenia zgody na przetwarzanie danych transmisyjnych dla każdego z wymienionych celów, a ponadto zapewnieniu, aby wyrażenie tych zgód było niezależne od wyrażenia zgody na otrzymywanie drogą elektroniczną (np. SMS, MMS, e-mail) informacji handlowych Spółki oraz informacji handlowych partnerów Spółki oraz zgody na używanie automatycznych systemów wywołujących dla celów marketingu bezpośredniego, w terminie 2 miesięcy od dnia, w którym niniejsza decyzja stanie się ostateczna.

2. Zapewnienie osobom fizycznym zawierającym ze Spółką umowę o świadczenie usług telekomunikacyjnych - za pośrednictwem internetowego oraz telefonicznego kanału sprzedaży - swobody (opcjonalności) w kwestii wyrażenia zgody na przetwarzanie przez Spółkę danych osobowych widniejących w dowodzie osobistym, a wykraczających poza zakres określony w art. 161 ust. 2 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (obecnie Dz. U. z 2017 r. poz. 1907 ze zm.), w terminie 30 dni od dnia, w którym niniejsza decyzja stanie się ostateczna.

Od powyższej decyzji w zakresie określonym w punkcie 2 [...] S.A. złożyła wniosek o ponowne rozpatrzenie sprawy.

GIODO decyzją z dnia [...] lipca 2015 r., utrzymał w mocy swoją wcześniejszą decyzję. W uzasadnieniu wskazał, że Spółka udostępnia klientom trzy "kanały sprzedaży", za pośrednictwem których można zawrzeć umowę o świadczenie usług telekomunikacyjnych, tj. tzw. kanał sklepowy (sklepy stacjonarne), kanał internetowy oraz kanał telefoniczny. W przypadku zawierania ze Spółką umowy o świadczenie usług telekomunikacyjnych za pośrednictwem kanału internetowego lub kanału telefonicznego, warunkiem zawarcia tej umowy jest przekazanie Spółce kopii dowodu osobistego oraz wyrażenie zgody na przetwarzanie danych osobowych w nim zawartych (wizerunek, wzrost, kolor oczu oraz adres zameldowania - pkt 15.4 formularza umowy). Przekazanie Spółce danych, o których mowa powyżej oraz wyrażenie zgody na ich przetwarzanie, jest dobrowolne (opcjonalne) wyłącznie w sytuacji, gdy klient zawiera umowę o świadczenie usług telekomunikacyjnych ze Spółką w sklepie stacjonarnym. Natomiast w przypadku kanału internetowego oraz kanału telefonicznego, przekazanie wszystkich danych widniejących w dowodzie osobistym oraz wyrażenie zgody na ich przetwarzanie jest obligatoryjne. W trakcie postępowania kontrolnego Spółka wyjaśniła, że wprowadzenie powyższych zasad wynika z konieczności zabezpieczenia się przed nadużyciami, jakie w przeszłości masowo występowały w sprzedaży telefonicznej i internetowej.

W ocenie GIODO praktyka sprzedaży usług za pośrednictwem Internetu albo telefonu, z obligatoryjnym warunkiem podania przez klienta jego danych osobowych widniejących w dowodzie osobistym, a wykraczających poza zakres określony w art. 161 ust. 2 ustawy Prawo telekomunikacyjne była nieprawidłowa.

Organ wskazał, że zgodnie z art. 26 ust. 1 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.) administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem. Stosownie zaś do art. 57 ust. 1 pkt 3 ustawy Prawo telekomunikacyjne, dostawca publicznie dostępnych usług telekomunikacyjnych nie może uzależniać zawarcia umowy o świadczenie publicznie dostępnych usług telekomunikacyjnych, w tym o zapewnienie przyłączenia do publicznej sieci telekomunikacyjnej od udzielenia informacji lub danych, innych niż określone wart. 161 ust. 2, w przypadku użytkownika końcowego będącego osobą fizyczną. Natomiast w myśl art. 161 ust. 2 ustawy Prawo telekomunikacyjne, dostawca publicznie dostępnych usług telekomunikacyjnych jest uprawniony do przetwarzania następujących danych dotyczących użytkownika będącego osobą fizyczną: 1) nazwisk i imion; 2) imion rodziców; 3) miejsca i daty urodzenia; 4) adresu miejsca zamieszkania i adresu korespondencyjnego jeżeli jest on inny niż adres miejsca zamieszkania; 5) numeru ewidencyjnego PESEL - w przypadku obywatela Rzeczypospolitej Polskiej; 6) nazwy, serii i numeru dokumentów potwierdzających tożsamość, a w przypadku cudzoziemca, który nie jest obywatelem państwa członkowskiego albo Konfederacji Szwajcarskiej - numeru paszportu lub karty pobytu; 7) zawartych w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych wynikającego z umowy o świadczenie usług telekomunikacyjnych. Oprócz danych, o których mowa w ust. 2, dostawca publicznie dostępnych usług telekomunikacyjnych może, za zgodą użytkownika będącego osobą fizyczną, przetwarzać inne dane tego użytkownika w związku ze świadczoną usługą, w szczególności numer konta bankowego lub karty płatniczej, a także adres poczty elektronicznej oraz numery telefonów kontaktowych (art. 161 ust. 3 ustawy Prawo telekomunikacyjne). Zgodnie z art. 174 pkt 1 ustawy Prawo telekomunikacyjne, jeżeli przepisy ustawy wymagają wyrażenia zgody przez abonenta lub użytkownika końcowego, zgoda ta nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Organ wskazał również na przepisy ustawy z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych (Dz. U. z 2006 r. Nr 139, poz. 993 ze zm.) określających treść dowodu osobistego.

Zdaniem GIODO z powołanych przepisów wynika, że zakres danych przetwarzanych przez Spółkę przekraczał dozwolone w ustawie granice, co z kolei uzasadniało wydanie nakazu określonego w punkcie 2 decyzji.

Organ nie zgodził się z poglądem że art. 161 ust. 2 pkt 7 ustawy Prawo telekomunikacyjne uprawnia dostawcę publicznie dostępnych usług telekomunikacyjnych do przetwarzania danych dotyczących użytkownika będącego osobą fizyczną zawartych w dokumencie tożsamości, a wykraczających poza zakres określony wart. 161 ust. 2 ustawy Prawo telekomunikacyjne, ponieważ dokumenty tożsamości nie są dokumentami, które potwierdzałyby zdolność do wykonania zobowiązania pieniężnego. Zatem dane takie można przetwarzać jedynie za zgodą klienta.

Za chybione organ uznał także twierdzenie Spółki, że z powołanych przepisów nie wynika obowiązek zapewnienia przez Spółkę swobody wyrażenia zgody na przetwarzanie danych osobowych. W tym zakresie GIODO powołał się na w art. 2 lit. f dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz. Urz. WE L 201 z 31.07.2002, s. 37), która w sprawie zgody udzielanej przez użytkownika lub abonenta odsyła do zgody podmiotu danych w rozumieniu dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. WE L 281 z 23.11.1995, s. 31) stanowiąc, iż zgoda użytkownika lub abonenta odpowiada zgodzie podmiotu danych określonej w dyrektywie 95/46/WE. Zatem w świetle wyżej powołanych przepisów, niezapewnienie przez Spółkę swobody (opcjonalności) w kwestii wyrażenia zgody na przetwarzanie ww. danych powoduje, że dane te są przetwarzane niezgodnie z prawem.

[...] S.A. złożyła od powyższej decyzji skargę wnosząc o jej uchylenie.

Wspomnianym na wstępie wyrokiem Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę.

W uzasadnianiu Sąd I instancji podał, że zakres uprawnionego przetwarzania danych osobowych został określony w art. 23 ustawy o ochronie danych osobowych. W rozpoznawanej sprawie przepis ten musi być stosowany łącznie z przepisami ustawy Prawo telekomunikacyjne, regulującymi przetwarzanie danych osobowych na użytek obrotu usługami telekomunikacyjnymi – to jest art. 161 oraz art. 174 tej ustawy.

Zdaniem WSA w Warszawie GIODO dokonał prawidłowej wykładni powołanych przepisów zasadnie odwołując się przy tym do właściwych przepisów unijnych oraz do opinii Grupy Roboczej ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych powołanej na mocy art. 29 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych - nr 15/2011.

Wykładnia powyższych przepisów, zdaniem Sądu I instancji nie pozostawia wątpliwości, iż do zawarcia umowy o świadczenie usług telekomunikacyjych, przedsiębiorca telekomunikacyjny może bez zgody klienta przetwarzać jedynie takie dane osobowe, które zostały wskazane w art. 161 ust. 2 ustawy Prawo telekomunikacyjne. W przepisie tym nie zawarto zezwolenia na przetwarzanie danych takich jak: wzrost, kolor oczu oraz adres zameldowania, a zatem przetwarzać je można jedynie za zgodą osoby, której dane te dotyczą. Ponadto, zgodnie z art. 161 ust. 3 ustawy Prawo telekomunikacyjne, oprócz danych, o których mowa w art. 161 ust. 2 ustawy, dostawca publicznie dostępnych usług telekomunikacyjnych może, za zgodą użytkownika będącego osobą fizyczną, przetwarzać inne dane tego użytkownika w związku ze świadczoną usługą, w szczególności numer konta bankowego lub karty płatniczej, a także adres poczty elektronicznej oraz numery telefonów kontaktowych. Taka zgoda klienta powinna spełniać wymogi określone w art. 174 ustawy Prawo telekomunikacyjne. Jednym z tych wymogów jest właśnie zakaz domniemywania zgody bądź jej dorozumienia z oświadczenia woli o innej treści. Warunek ten został nadto wzmocniony treścią art. 57 powyższej ustawy.

Sąd I instancji uznał, że z materiału dowodowego w niniejszej sprawie wynika, że w procesie zawierania umowy o świadczenie usług telekomunikacyjnych - za pośrednictwem internetowego oraz telefonicznego kanału sprzedaży - nie zapewniono swobody w zakresie wyrażenia zgody na przetwarzanie przez Spółkę danych wykraczających poza zakres określony w art. 161 ust. 2 pkt 1-6 ustawy Prawo telekomunikacyjne. Nadto niewyrażenie zgody na przetwarzanie przez Spółkę danych, o których mowa powyżej, miało skutkować odmową zawarcia umowy za pośrednictwem wymienionych kanałów sprzedaży. Stąd też opisana praktyka, jako praktyka naruszająca wyżej wskazane przepisy, musiała zostać zakwestionowania przez GIODO i w konsekwencji organ musiał na podstawie art. 18 ust. 1 pk1 i art. 26 ust. 1 pkt 1 ustawy o ochronie danych osobowych, wydać objęty niniejszym sporem nakaz.

Odnosząc się do zarzutów Spółki Sąd I instancji uznał, że każdy przypadek pozyskiwania zgody na przetwarzanie danych osobowych podlega odrębnej ocenie w świetle obowiązujących przepisów. Z tego też względu okoliczność, iż w jednym spośród udostępnionych przez Spółkę kanałów sprzedaży, w procesie zawierania ze Spółką umowy o świadczenie usług telekomunikacyjnych, zapewniona jest swoboda wyrażenia zgody na przetwarzanie danych osobowych, nie ma wpływu na ocenę braku możliwości wyrażenia zgody (albo odmowy takiej zgody) na przetwarzanie danych osobowych podczas zawierania umów o świadczenie usług telekomunikacyjnych w zdalnych kanałach sprzedaży. Taka różnica, co do możliwości wyrażania zgody na przetwarzanie niektórych danych osobowych, w zależności od sposobu zawierania umowy, nie usprawiedliwia Spółki w naruszeniu prawa w zakresie stosowania wyżej opisanej procedury przy zawieraniu umów drogą telefoniczną albo przez Internet.

Kwestia zakresu danych służących identyfikacji użytkownika końcowego, będącego osobą fizyczną, do przetwarzania których uprawniony jest dostawca publicznie dostępnych usług telekomunikacyjnych, została rozstrzygnięta w sposób wyczerpujący w art. 161 ust. 2 pkt 1 - 6 ustawy Prawo telekomunikacyjne. Natomiast treść art. 161 ust. 2 pkt 7 ww. ustawy musi być rozumiana w sposób ścisły i zgodny z celem tego przepisu, którym jest stworzenie podstawy prawnej umożliwiającej dostawcy publicznie dostępnych usług telekomunikacyjnych, przetwarzanie, obok danych identyfikujących użytkownika końcowego, również danych zawartych w dokumentach służących ustaleniu, czy użytkownik końcowy będzie w stanie regulować rachunki za udostępnione mu usługi telekomunikacyjne. Dowód osobisty, jest dokumentem stwierdzającym tożsamość i obywatelstwo polskie. Dane w nim zawarte służą identyfikacji osoby. Nie służą natomiast ustaleniu czy użytkownik będzie w stanie wykonać zobowiązanie pieniężne względem dostawcy usług telekomunikacyjnych.

Przyjęcie interpretacji zawartej w skardze, pozbawiłoby w istocie znaczenia warunków określonych w art. 161 ust. 2 pkt 1 - 6, który ogranicza katalog danych osobowych, będących niezbędnymi do zawarcia umowy o usługi telekomunikacyjne. Zatem taka wykładnia, zdaniem Sądu I instancji jest błędna, a nadto niezgodna z istotą art. 23 ustawy o ochronie danych osobowych, która odwołuje się do możliwości przetwarzania jedynie danych osobowych, które są niezbędne do zawarcia danej umowy, albo na których przetwarzanie zezwala ustawa.

Sąd I instancji stanął ponadto na stanowisku, że w niniejszej sprawie nie ma żadnego znaczenia opinia Prezesa Urzędu Komunikacji Elektronicznej, albowiem, na co trafnie zwrócił uwagę organ, opinia ta dotyczy nieaktualnego obecnie stanu prawnego i innego stanu faktycznego i dlatego z tych przyczyn nie można dopatrywać się jej sprzeczności z ustaleniami faktycznymi i prawnymi poczynionymi przez organ w niniejszej sprawie. Nadto w Polsce organem właściwym w sprawie ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych a nie Prezes Urzędu Komunikacji Elektronicznej.

Skargę kasacyjną od powyższego wyroku złożyła [...] S.A. wnosząc o jego uchylenie w całości i przekazanie sprawy do ponownego rozpoznania Sądowi I instancji, ewentualnie o uchylenie zaskarżonego wyroku i rozpoznanie sprawy przez Naczelny Sąd Administracyjny na podstawie art. 188 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2017 r., poz. 1369 ze zm., dalej także jako: p.p.s.a.) oraz o zasądzenie kosztów postępowania.

Zaskarżonemu orzeczeniu zarzucono naruszenie prawa materialnego tj.:

1. art. 26 ust. 1 pkt 1 ustawy o ochronie danych osobowych w związku z art. 57 ust. 1 pkt 3, art. 161 ust. 2 oraz art. 174 pkt 1 ustawy Prawo telekomunikacyjne poprzez błędne przyjęcie, że [...] nie dochowała należytej staranności przy przetwarzaniu danych i przetwarza je niezgodnie z prawem, bowiem nie zapewnia swobody (opcjonalności) w kwestii wyrażenia zgody na przetwarzanie danych przez [...] widniejących w dowodzie osobistym, a wykraczających poza zakres określony w art. 161 ust. 2 ustawy Prawo telekomunikacyjne, podczas gdy prawidłowa interpretacja tych przepisów prowadzi do wniosku, że [...] zapewnia swobodę w kwestii wyrażenia ww. zgody i przetwarza przedmiotowe dane zgodnie z prawem,

2. art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych w zw. z art. 161 ust. 2 pkt 7 ustawy Prawo telekomunikacyjne poprzez błędne uznanie, że z przepisu tego nie wynika uprawnienie [...] do przetwarzania danych dotyczących użytkownika będącego osobą fizyczną zawartych w dokumencie tożsamości, podczas gdy prawidłowa interpretacja tych przepisów prowadzi do wniosku, że dokument tożsamości jest również dokumentem, o jakim mowa w art. 161 ust. 2 pkt 7 ustawy Prawo telekomunikacyjne, tj. dokumentem potwierdzającym możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych wynikającego z umowy o świadczenie usług telekomunikacyjnych.

W uzasadnieniu skargi kasacyjnej jej autor wskazał, że przyjęty przez skarżącą oraz innych operatorów telekomunikacyjnych sposób weryfikacji tożsamości oraz zdolności wykonania zobowiązania osoby składającej zamówienie poprzez zdalne kanały sprzedaży wynika z faktu, że kanały te są szczególnie narażone na występowanie w nich nadużyć finansowych na szkodę [...], jak również na szkodę osób, których dane osobowe wykorzystywane są do złożenia zamówienia bez ich wiedzy. Poza tym w przypadku sprzedaży usług za pomocą zdalnych kanałów brak jest możliwości identyfikacji klientów analogicznych do stosowanych w stacjonarnych punktach sprzedaży. Wobec braku możliwości kontaktu osobistego przed zawarciem umowy, pozostaje tylko jeden sposób uwiarygodniania jego tożsamości, tj. pozyskiwanie kserokopii dokumentu tożsamości przed przyjęciem zamówienia. Skarżąca Spółka podkreśliła, że nie nakłada obowiązku wyrażenia zgody w celu zawarcia umowy o świadczenie usług telekomunikacyjnych z [...]. Jeżeli klient nie wyrazi zgody i nie chce przekazywać [...] kserokopii dokumentu tożsamości, może zawrzeć umowę w sklepie stacjonarnym, po bezpośredniej weryfikacji przez konsultanta dokumentu oraz tego, czy posługuje się nim właściwa osoba. Z przyczyn oczywistych nie jest możliwe zastosowanie takiej procedury weryfikacji przy braku kontaktu bezpośredniego. Spółka nie uzależnia zawarcia umowy od wyrażenia zgody na przetwarzanie danych osobowych w dodatkowym zakresie, gdyż osoba, która takiej zgody nie wyrazi może skorzystać ze sprzedaży stacjonarnej. Skoro więc zakres przetwarzania danych osobowych zawartych w dokumencie tożsamości następuje według wyboru abonenta i za jego zgodą oraz jest adekwatny do realizowanych celów, to działanie takie nie narusza art. 23 ust. 1 pkt 1 i art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych. Dodatkowo strona skarżąca kasacyjnie powołała się na definicję "zgody" wynikającą z opinii Grupy Roboczej ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych - nr 15/2011 w sprawie definicji zgody, zgodnie z którą tylko zgoda wyrażona pod wpływem groźby odmowy lub obniżenia jakości świadczonych usług mogłaby być uznana za zgodę, która nie jest wyrażona dobrowolnie. Taka sytuacja nie ma miejsca w rozpoznawanej sprawie. W procesie zawierania umowy w zdalnych kanałach sprzedaży swoboda udzielenia zgody jest zachowana, gdyż istnieje możliwość zawarcia umowy bez podawania dodatkowych danych oraz bez wyrażania zgody na ich przetwarzanie - w sklepie stacjonarnym.

Odnosząc się do zarzutu sformułowanego w punkcie 2 skargi kasacyjnej jej autor wskazał, że dowód osobisty jest dokumentem stwierdzającym tożsamość i obywatelstwo polskie, a ponadto dane w nim zawarte służą identyfikacji osoby. Prawidłowa identyfikacja osoby fizycznej, zawierającej umowę o świadczenie usług telekomunikacyjnych poprzez zdalne kanały jest niezwykle istotna i ze względu na specyfikę tego typu kanałów sprzedaży utrudniona. Przy sprzedaży za pośrednictwem Internetu i drogą telefoniczną gwarantującym pozyskanie kopii dokumentu potwierdzającego tożsamość pozwala zmniejszyć ryzyko zawarcia umowy na rzecz innej osoby, jak również stanowić potwierdzenie, że pozostałe dostarczane dokumenty, potwierdzające zdolność spełnienia zobowiązania dotyczą właśnie tej osoby, która się nimi posługuje. Zdaniem strony wnoszącej skargę kasacyjną Sąd I instancji niezasadnie uznał, że dowód osobisty służy wyłącznie stwierdzeniu tożsamości i identyfikacji osoby, a nie jej możliwości płatniczych. Opisany wyżej sposób weryfikacji osoby składającej zamówienie za pośrednictwem zdalnych kanałów sprzedaży, a następnie zawierającej umowę o świadczenie usług telekomunikacyjnych w obecności kuriera, polegający na pozyskaniu kserokopii dowodu osobistego, w powiązaniu z pozostałymi danymi zawartymi w innych dokumentach dostarczanych przez tę osobę pozwala na ocenę możliwości wykonania zobowiązania wobec dostawcy usług telekomunikacyjnych wynikającego z umowy o świadczenie usług telekomunikacyjnych i przesądza o tym, że dowód tożsamości winien być uznany za dokument, o jakim mowa w art. 161 ust. 2 pkt 7 ustawy Prawo telekomunikacyjne. Z powyższego wynika uprawnienie [...] do przetwarzania danych zawartych w dokumencie tożsamości, podstawą czego jest art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych w zw. z art. 162 ust. 2 pkt 7 ustawy Prawo telekomunikacyjne.

Skarżąca kasacyjnie Spółka zwróciła ponadto uwagę, że kwestionowana praktyka w zakresie wymagania udostępnienia przez klientów kopii dowodu osobistego jest stosowana przez wszystkich dostawców usług telekomunikacyjnych i nigdy nie była kwestionowana przez Prezesa Urzędu Komunikacji Elektronicznej.

Generalny Inspektor Ochrony Danych Osobowych w odpowiedzi na skargę kasacyjną wniósł o jej oddalenie oraz o zasądzenie zwrotu kosztów postępowania według norm przepisanych. Jednocześnie podtrzymał dotychczas prezentowane stanowisko.

Naczelny Sąd Administracyjny zważył, co następuje.

Skarga kasacyjna nie zasługuje na uwzględnienie.

Stosownie do art. 183 § 1 p.p.s.a. Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc z urzędu pod rozwagę jedynie nieważność postępowania, której przesłanki określone zostały w § 2 wymienionego przepisu. Wobec niestwierdzenia przyczyn nieważności, skarga kasacyjna w niniejszej sprawie podlegała rozpoznaniu w granicach przytoczonej w niej podstawy.

Zaskarżonemu orzeczeniu zarzucono wyłącznie naruszenie przepisów prawa materialnego. Brak zarzutów naruszenia przepisów procesowych oznacza, że podstawą rozpoznania skargi kasacyjnej jest stan faktyczny przyjęty przez Sąd I instancji.

W ramach pierwszego zarzutu skarżąca kasacyjnie zarzuciła Sądowi I instancji naruszenie art. 26 ust. 1 pkt 1 ustawy o ochronie danych osobowych w związku z art. 57 ust. 1 pkt 3, art. 161 ust. 2 oraz art. 174 pkt 1 ustawy Prawo telekomunikacyjne poprzez ich błędną wykładnię polegającą na przyjęciu stanowiska, zgodnie z którym żądanie od klientów Spółki, zawierających zdalnie umowę o świadczenie usług telekomunikacyjnych, takich danych z dowodu osobistego, które nie zostały ujęte w katalogu określonym w art. 161 ust. 2 ustawy Prawo telekomunikacyjne, stanowi niezgodne z prawem przetwarzanie danych osobowych.

Zdaniem Naczelnego Sądu Administracyjnego w składzie rozpoznającym niniejszą sprawę zarzut ten nie jest uzasadniony.

Artykuł 26 ust. 1 pkt 1 ustawy o ochronie danych osobowych określa jedną z podstawowych zasad postępowania związanego z przetwarzaniem danych osobowych (zasadę legalności). Zgodnie z tym przepisem administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem. Obowiązkiem administratora danych jest zatem takie postępowanie w zakresie przetwarzania danych, które jest zgodne z przepisami nie tylko ustawy o ochronie danych, ale również z przepisami innych ustaw i aktów wykonawczych. Zasady przetwarzania danych osobowych przez przedsiębiorców telekomunikacyjnych zostały szczegółowo określone w ustawie Prawo telekomunikacyjne. Stosownie do art. 161 ust. 2 tej ustawy dostawca publicznie dostępnych usług telekomunikacyjnych jest uprawniony do przetwarzania następujących danych dotyczących użytkownika będącego osobą fizyczną: nazwisk i imion, imion rodziców, miejsca i daty urodzenia, adresu miejsca zamieszkania i adresu korespondencyjnego jeżeli jest on inny niż adres miejsca zamieszkania, numeru ewidencyjnego PESEL - w przypadku obywatela Rzeczypospolitej Polskiej, nazwy, serii i numeru dokumentów potwierdzających tożsamość, a w przypadku cudzoziemca, który nie jest obywatelem państwa członkowskiego albo Konfederacji Szwajcarskiej - numeru paszportu lub karty pobytu, zawartych w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych wynikającego z umowy o świadczenie usług telekomunikacyjnych. Dodatkowe dane, które w sposób uprawniony mogą być przetwarzane przez dostawcę usług telekomunikacyjnych oraz warunki ich przetwarzania zostały określone w art. 161 ust 3 ustawy.

Z przepisów ustawy Prawo telekomunikacyjne wynika, że operator telekomunikacyjny może przetwarzać również inne dane dotyczące osób, na rzecz których świadczone są usługi telekomunikacyjne. Jednakże, stosownie do art. 57 ust. 1 pkt 3 ustawy, nie może uzależniać zawarcia umowy od udzielenia informacji lub danych, innych niż określone w art. 161 ust. 2, w przypadku użytkownika końcowego będącego osobą fizyczną. Na przetwarzanie danych innych niż wymienione w art. 161 ust. 2 ustawy Prawo telekomunikacyjne, przed podpisaniem umowy wymagana jest zgoda zainteresowanego, która w świetle art. 174 pkt 1 tej ustawy nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści.

Z ustaleń stanowiących podstawę zaskarżonego wyroku i nienegowanych przez stronę wnoszącą skargę kasacyjną wynika, że możliwość zawarcia umowy o świadczenie usług telekomunikacyjnych ze Spółką [...] za pośrednictwem internetowego oraz telefonicznego kanału sprzedaży uzależniona była od przedstawienia kopii dowodu osobistego. Nie ulega ponadto wątpliwości, że w dowodzie osobistym, poza danymi, których przetwarzanie jest uprawnione w świetle powołanego art. 161 ust. 2 ustawy Prawo telekomunikacyjne, uwidocznione mogą być również inne informacje takie jak np. wizerunek, wzrost, kolor oczu oraz adres zameldowania. Wobec tego stanowisko GIODO zaaprobowane przez Sąd I instancji o braku podstaw legalizujących żądanie przez Spółkę od przyszłych kontrahentów ich danych w zakresie przekraczającym uprawnienie wynikające z art. 161 ust. 2 ustawy Prawo telekomunikacyjne, jest zgodne z prawem. Naczelny Sąd Administracyjny podziela również pogląd Sądu I instancji, że dla rozstrzygnięcia sprawy nie miało znaczenia, że opisany warunek zawarcia umowy (przedstawienie kopii dowodu osobistego) dotyczy wyłącznie sprzedaży internetowej i telefonicznej, a swoboda udzielenia stosownej zgody jest zachowana, gdyż usługodawca zapewnił możliwość zawarcia umowy w punktach stacjonarnych, w przypadku których zgoda na przetwarzanie wspomnianych informacji jest opcjonalna. Jak słusznie przyjął Sąd I instancji legalność przetwarzania danych osobowych klientów przedsiębiorcy telekomunikacyjnego należy oceniać indywidualnie w odniesieniu do każdego z kanałów sprzedaży. Nie są one bowiem ze sobą w żaden sposób powiązane, stanowią natomiast odrębne i niezależne sposoby dystrybucji usług. Brak jest jednocześnie podstaw do różnicowania zakresu obowiązkowo wymaganych danych o kliencie w zależności od kanału sprzedaży, zaś wskazywane przez Spółkę argumenty dotyczące zagrożeń właściwego zabezpieczenia wykonania umowy przez osobę zawierającą ją za pośrednictwem zdalnych kanałów sprzedaży mają charakter pozaprawny i nie mogą mieć wpływu na rozstrzygnięcie sprawy w sytuacji, gdy przyjęta praktyka jest niezgodna z prawem. Na marginesie można zauważyć, że żądanie kserokopii dowodu osobistego od osoby zawierającej umowę telefonicznie lub za pośrednictwem internetu również nie prowadzi do całkowitego wyeliminowania możliwości wskazywanych przez Spółkę nadużyć polegających na podawaniu przez osoby korzystające z takich kanałów sprzedaży fałszywych danych o sobie.

Stąd też zarzut naruszenia przez Sąd I instancji art. 26 ust. 1 pkt 1 ustawy o ochronie danych osobowych w związku z art. 57 ust. 1 pkt 3, art. 161 ust. 2 oraz art. 174 pkt 1 ustawy Prawo telekomunikacyjne poprzez ich błędną wykładnię należało uznać za niezasadny.

Nie jest uzasadniony również zarzut naruszenia art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych w zw. z art. 161 ust. 2 pkt 7 ustawy Prawo telekomunikacyjne. Zdaniem skarżącej kasacyjnie Spółki wskazane przepisy uprawniają przedsiębiorcę telekomunikacyjnego do przetwarzania także tych informacji zamieszczonych w dowodzie osobistym, które nie zostały wprost wymienione w art. 161 ust. 2 ustawy Prawo telekomunikacyjne. Stanowisko to nie znajduje oparcia w przepisach prawa.

Zgodnie z art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Materialnoprawną podstawę uprawnienia lub obowiązku w rozpoznawanej sprawie stanowi art. 161 ust. 2 pkt 7 ustawy Prawo telekomunikacyjne. Zgodnie z tym przepisem dostawca publicznie dostępnych usług telekomunikacyjnych jest uprawniony do przetwarzania danych dotyczących użytkownika będącego osobą fizyczną zawartych w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych wynikającego z umowy o świadczenie usług telekomunikacyjnych. Oznacza to, że uprawnione jest przetwarzanie przez taki podmiot danych osób fizycznych, które potwierdzają możliwości płatnicze kontrahenta. Informacje muszą mieć faktyczny, a nie jedynie potencjalny związek z możliwością weryfikacji osoby pod kątem jej zdolności do wykonania zawartej umowy. Za słuszne należy uznać stanowisko Sądu I instancji, że dowód osobisty nie jest dokumentem potwierdzającym możliwość wykonania umowy o świadczenie usług telekomunikacyjnych. Dane zawarte w dowodzie służą przede wszystkim identyfikacji osoby. Należy zwrócić uwagę, że większą ich część operator może przetwarzać na podstawie art. 162 ust. 2 pkt 1-6 ustawy Prawo telekomunikacyjne. Gromadzenie danych, wykraczających poza ramy określone w art. 161 ust. 2 pkt 1 - 6 (np. wizerunek, wzrost, kolor oczu oraz adres zameldowania) może mieć na celu dodatkowe potwierdzenie tożsamości klientów oraz autentyczności dokumentów w związku z zawieraniem umów o świadczenie usług telekomunikacyjnych, nie służy zaś bezpośrednio potwierdzeniu, czy użytkownik będzie w stanie regulować rachunki za udostępnione mu usługi telekomunikacyjne. Stąd też nie jest uprawnione stanowisko strony skarżącej kasacyjnie, że art. 161 ust. 2 pkt 7 ustawy Prawo telekomunikacyjne stanowi podstawę do przetwarzania danych osobowych zawartych w dowodzie osobistym, innych niż wymienione w art. 161 ust. 2 pkt 1 - 6 dla celów weryfikacji zdolności wywiązania się z umowy przez osoby na rzecz, których Spółka miałaby świadczyć usługi telekomunikacyjne.

Biorąc pod uwagę powyższe Naczelny Sąd Administracyjny działając na podstawie art. 184 p.p.s.a. oddalił skargę kasacyjną. O kosztach postępowania orzeczono na podstawie art. 204 pkt 1 p.p.s.a. w związku z § 14 ust. 1 pkt 2 lit. c rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 r. w sprawie opłat za czynności radców prawnych (Dz. U. z 2015 r., poz. 1804).