Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Małgorzata Pocztarek (spr.) Sędzia NSA Joanna Banasiewicz Sędzia NSA del. Ewa Dzbeńska Protokolant Barbara Dąbrowska po rozpoznaniu w dniu 26 stycznia 2009 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej [...] S.A. z siedzibą w W. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 12 listopada 2007 r. sygn. akt II SA/Wa 1252/07 w sprawie ze skargi [...] S.A. z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] maja 2007 r. nr [...] w przedmiocie ochrony danych osobowych oddala skargę kasacyjną

Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 12 listopada 2007 r., sygn. akt II SA/Wa 1252/07 oddalił skargę [...] S.A. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] maja 2007 r., nr [...] w przedmiocie ochrony danych osobowych.

Z uzasadnienia wyroku wynika, że Generalny Inspektor Ochrony Danych Osobowych zaskarżoną decyzją na podstawie art. 138 § 1 pkt 2 w zw. z art. 12 pkt 2, art. 22 i art. 18 ust. 1 pkt 2 w zw. z art. 23 ust. 1 pkt 2 oraz art. 26 ust. 1 pkt 1 i 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 ze zm., zwanej dalej "u.o.d.o."), w zw. z art. 159 ust. 2 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz.U. z 2004 r. Nr 171, poz. 1800 ze zm.), po rozpoznaniu wniosku [...] S.A. z siedzibą w W. o ponowne rozpatrzenie sprawy zakończonej decyzją z dnia [...] listopada 2006 r., nr [...], mocą której Generalny Inspektor Ochrony Danych Osobowych nakazał [...] S.A. nieudostępnianie w przyszłości podmiotom trzecim danych osobowych jej abonentów – konsumentów w rozumieniu art. 221 ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny (Dz.U. Nr 16, poz. 93 ze zm.) w zakresie ich numerów telefonów bez spełnienia jednej z przesłanek z art. 23 ust. 1 ustawy o ochronie danych osobowych – 1) uchylił w całości zaskarżoną decyzję z dnia [...] listopada 2006 r. oraz 2) nakazał [...] S.A. zaprzestanie udostępniania osobom trzecim numerów telefonów użytkowników osób fizycznych bez spełnienia jednego z warunków określonych w art. 159 ust. 2 ustawy – Prawo telekomunikacyjne.

W uzasadnieniu organ wskazał, że ustalono, iż w sierpniu 2004 r. [...] S.A. wprowadziła usługę baz danych zawierających numery osób prywatnych – abonentów indywidualnych [...] S.A., na stronie internetowej www.tp.pl/biznes/sprzedaz_baz spółka zamieściła ofertę sprzedaży "baz danych tp", skierowaną do "firm badawczych i telemarketingowych, agencji reklamowych BTL, firm ubezpieczeniowych oraz banków. W ramach tej usługi proponowała "udostępnianie numerów telefonów abonentów prywatnych tp". Poprzez tę usługę spółka przygotowuje bazę numerów telefonów zgodną ze złożonym zamówieniem i następnie na nośniku CD przekazywaną klientowi za protokołem odbioru. Numery telefonów mogą zostać wybrane lub posortowane według kryteriów geograficznych. Spółka oferuje również usługę "uzupełnienia baz danych" posiadanych przez podmioty zewnętrzne o numery telefonów abonentów [...] S.A.

Jako podstawę powyższego przekazania numerów telefonów abonentów spółka wskazała art. 66 i 67 ustawy Prawo telekomunikacyjne oraz zgodę osoby, której dane dotyczą na publikacje danych w powszechnie dostępnych spisach abonentów bądź brak sprzeciwu takiej osoby na takie udostępnienie. Na podstawie zebranego materiału Generalny Inspektor Ochrony Danych Osobowych, w dniu [...] listopada 2006 r. wydał decyzję [...] i nakazał [...] S.A. nieudostępnianie w przyszłości podmiotom trzecim danych osobowych jej abonentów – konsumentów w rozumieniu art. 221 K.c. w zakresie ich numerów telefonów bez spełnienia jednej z przesłanek z art. 23 ust. 1 u.o.d.o.

Ponownie rozpoznając sprawę organ wskazał, że zgodnie z treścią art. 159 ust. 1 Prawa telekomunikacyjnego dane osobowe abonentów [...] S.A. w postaci ich numerów telefonów objęte są tajemnicą telekomunikacyjną, w stosunku do których ustawodawca wprowadził zakaz przetwarzania, bez spełnienia jednego z warunków, o których mowa w art. 159 ust. 2 powołanej ustawy. Następnie organ podkreślił, że zakwestionował nie usługę określoną w zacytowanych przepisach, ale działanie spółki, które polegało na opracowaniu specjalnych zbiorów danych użytkowników, tj. sporządzaniu baz danych abonentów prywatnych tp, przeznaczonych do sprzedaży, które mają ułatwić potencjalnym nabywcom przedmiotowych baz pozyskiwanie nowych klientów, prowadzenie badań marketingowych, promocje, czy też reklamę. Jest to zupełnie odmienna usługa niż wskazana w art. 66 Prawa telekomunikacyjnego.

Zgodnie z art. 169 ust. 1 pkt 1 Prawa telekomunikacyjnego numer telefonu abonenta to jego dane osobowe. Dalej GIODO powołał art. 12 dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady Unii Europejskiej z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i prywatności w sektorze łączności elektronicznej (Dz.Urz. WE L 201 z 31 lipca 2002 r.). Przepis ten stanowi, że państwa członkowskie powinny zapewnić, aby abonenci zostali bezpłatnie poinformowani, zanim ich dane zostaną umieszczone w spisie abonentów, o celach sporządzonego w formie drukowanej lub elektronicznej powszechnie udostępnianego spisu. Ponadto przed umieszczeniem danych abonenta w spisie powinien on zostać poinformowany o wszelkich dalszych możliwościach wykorzystania ich danych osobowych w oparciu o funkcje wyszukiwania znajdującej się w wersji elektronicznej spisu.

Wskazał również na treść pkt 38 i 39 preambuły omawianej dyrektywy. W ocenie GIODO w świetle cytowanych przepisów, prawo [...] S.A. do przetwarzania danych osobowych swoich abonentów, nie jest prawem nieograniczonym. Wskazał również, że zgoda jakiej w przedmiotowej sprawie udzielają abonenci na umieszczenie ich danych w "ogólnokrajowym spisie abonentów" nie może być utożsamiana ze zgodą na udostępnienie ich danych osobowych w ramach kwestionowanej usługi "sprzedaży baz danych". W orzecznictwie Naczelnego Sądu Administracyjnego utrwalił się pogląd, że zgoda na udostępnienie danych osobom trzecim musi być odrębnym od postanowień umownych oświadczeniem woli abonenta, nie musi on bowiem godzić się na udostępnienie swych danych osobom trzecim. Zgoda na przekazywanie danych musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażenia.

Zdaniem organu, nieuprawnionym jest utożsamianie zgody abonenta, na umieszczenie jego danych osobowych w spisach, o których mowa w art. 169 Prawa telekomunikacyjnego, wydawanych w formie książkowej lub elektronicznej, ze zgodą na bezpośrednie udostępnianie przez administratora danych, jego danych podmiotom trzecim. GIODO podkreślił, że to dwie różne usługi świadczone w dwóch różnych od siebie celach. Tylko pierwsza usługa znajduje swoje podstawy w przepisach Prawa telekomunikacyjnego. Natomiast zgodnie z art. 26 ust. 1 pkt 2 ustawy o ochronie danych osobowych, zakazane jest przetwarzanie danych osobowych w celach niezgodnych z celem, dla którego dane zostały zebrane.

Powyższa decyzja stała się przedmiotem skargi [...] S.A. do Wojewódzkiego Sądu Administracyjnego w Warszawie.

W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, podtrzymując dotychczasowe stanowisko w sprawie.

W powołanym na wstępie wyroku Wojewódzki Sąd Administracyjny w Warszawie uznał, że skarga nie zasługuje na uwzględnienie. W ocenie Sądu przede wszystkim nieuprawniony jest pogląd prezentowany przez skarżącą, że Generalny Inspektor Ochrony Danych Osobowych nie był właściwym organem do wydania decyzji w sprawie. Zgodnie z art. 5 u.o.d.o. jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw. W powołanym wyżej przepisie została zawarta reguła, postępowania w przypadku kolizji ustaw we wskazanym zakresie – czyli ustawodawca przewiduje zasadę rozstrzygania zbiegu norm na korzyść tych norm, które przewidują wyższy poziom ochrony prawnej. W sprawie dalej idącą ochronę niż ustawa o ochronie danych osobowych, przewiduje art. 161 Prawa telekomunikacyjnego, odnoszący się do przetwarzania danych abonentów przez operatora sieci telefonicznej, to jednak nie można z regulacji tej wyprowadzić wniosku, że przepisami przewidującymi dalej idącą ochronę niż ustawa o ochronie danych osobowych jest art. 192 ust. 1 pkt 1 w zw. z art. 209 ust. 1 pkt 24 i 210 ust. 1 Prawa telekomunikacyjnego. Powołane przepisy mają charakter kompetencyjny – określają kompetencje Prezesa UKE, natomiast nie odnoszą się do przetwarzania danych osobowych.

Zgodnie z art. 12 u.o.d.o., do zadań Generalnego Inspektora w szczególności należy: 1) kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych, 2) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonywania przepisów o ochronie danych osobowych, 3) prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach, 4) opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych, 5) inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych, 6) uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych. Z cytowanego przepisu wynika, że GIODO jest w polskim prawie jedynym organem ochrony danych osobowych, który jest upoważniony z urzędu lub na wniosek osoby zainteresowanej do nakazania administratorowi danych – w drodze decyzji – przywrócenie stanu zgodnego z prawem przez uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych.

Sąd podkreślił, że w wydanej decyzji zakwestionowane zostało działanie spółki, które polegało na opracowaniu specjalnych zbiorów danych użytkowników, tj. sporządzenie baz danych abonentów prywatnych, przeznaczonych do sprzedaży, która ma ułatwić potencjalnym nabywcom przedmiotowych baz danych pozyskiwanie nowych klientów, prowadzenie badań marketingowych, promocję czy reklamę. Jest to w sposób oczywisty odmienna usługa niż określona w art. 66 Prawa telekomunikacyjnego, zgodnie z którym – dostawca publicznie dostępnych usług telefonicznych w sieci stacjonarnej udostępnia swoim abonentom, po cenie uwzględniającej koszty, aktualny spis swoich abonentów z obszaru strefy numeracyjnej, w której znajduje się zakończenie sieci abonenta, nie rzadziej niż raz na dwa lata. Zgodnie art. 169 ust. 1 pkt 1 Prawa telekomunikacyjnego, numer telefonu abonenta to jego dane osobowe.

W ocenie Sądu zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych określa ustawa o ochronie danych osobowych (art. 2 ust. 1 u.o.d.o.). Zatem GIODO był nie tylko uprawniony, ale przede wszystkim zobowiązany przepisami prawa do kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i wydawania decyzji w przypadku stwierdzenia naruszenia przepisów o ochronie danych osobowych (art. 12 pkt 1 i 2 oraz art. 18 ust. 1 u.o.d.o.).

W zaskarżonej decyzji GIODO słusznie zatem zakwestionował przetwarzanie przez [...] S.A. danych osobowych swoich abonentów w celach marketingowych, a nie w celach związanych ze świadczoną usługą "spisu abonentów". Organ prawidłowo wskazał, że spółka świadczy dwie usługi: 1) usługę związaną z realizacją ogólnokrajowego spisu abonentów, 2) usługę związaną z pozyskiwaniem danych abonentów w celu komercyjnej sprzedaży baz danych. Usługi tej nie obejmują przepisy ustawy Prawo telekomunikacyjne i dlatego słusznie została zakwestionowana przez GIODO.

W ocenie Sądu nie zasługiwał na uwzględnienie podniesiony w skardze zarzut naruszenia art. 18 ust. 1 pkt 2 u.o.d.o., ponieważ decyzja formułuje jednoznaczny nakaz przez skarżącą zaprzestania udostępniania osobom trzecim numerów telefonów użytkowników, bez spełnienia jednego z warunków określonych w art. 159 ust. 2 Prawa telekomunikacyjnego. Postępowanie administracyjne prowadzone przez GIODO nie wykazało, aby [...] S.A. świadcząc usługę sprzedaży, legitymowała się którąkolwiek z przesłanek określonych we wskazanym artykule. Sąd podzielił stanowisko, że po spełnieniu co najmniej jednej z przesłanek z art. 159 ust. 2 Prawa telekomunikacyjnego, można uznać, że działanie spółki jest zgodne z ustawą o ochronie danych osobowych. Podkreślił ponadto, że użytkownicy nie wyrazili zgody i nie byli informowani o usłudze komercyjnej sprzedaży baz danych.

Sąd nie zgodził się z zarzutem naruszenia art. 103 Prawa telekomunikacyjnego, zgodnie z którym [...] S.A. jest przedsiębiorcą wyznaczonym przez UKE, zobowiązanym do świadczenia wszystkim użytkownikom publicznym usługi ogólnokrajowego spisu abonentów i usługi ogólnokrajowej informacji o numerach telefonicznych i ta usługa nie została zakwestionowana przez organ.

Sąd podkreślił, że art. 159 Prawa telekomunikacyjnego, określa co obejmuje tajemnicę telekomunikacyjną. Z treści cytowanego artykułu wynika, że dane osobowe abonentów [...] S.A. w postaci ich numerów telefonów objęte są tajemnicą komunikacyjną, w stosunku do której ustawodawca wprowadził zakaz przetwarzania, w tym ich opracowywania, bez spełnienia jednego z warunków, o którym mowa w art. 159 ust. 2 Prawa telekomunikacyjnego. Czyli zakazane jest zapoznawanie się, utrwalanie, przechowywanie, przekazywanie lub inne wykorzystywanie treści lub danych objętych tajemnicą telekomunikacyjną przez inne osoby niż nadawca i odbiorca komunikatu chyba że: 1) będzie to przedmiotem usługi lub będzie to niezbędne do jej wykonania, 2) nastąpi za zgodą nadawcy lub odbiorcy których dane dotyczą, 3) wykonywanie tych czynności jest niezbędne w celu zarejestrowania komunikatów i związanych z nimi danych transmisyjnych stosowanego w zgodnej z prawem praktyce handlowej dla celów zapewnienia dowodów transakcji handlowej, 4) będzie to konieczne z innych powodów przewidzianych ustawą lub przepisami odrębnymi.

Zgodnie z art. 23 ust. 1 pkt 2 u.o.d.o., sprzedaż baz danych jest dopuszczalna, gdy spółka spełni co najmniej jedną z przesłanek określonych w art. 159 ust. 2 Prawa telekomunikacyjnego. Zasadniczym warunkiem legalności każdej czynności mieszczącej się w przetwarzaniu danych osobowych jest zaistnienie którejkolwiek z materialnych przesłanek legalności przetwarzania danych osobistych wymienionych w art. 23 ust. 1 pkt 1-5. Czyli przetwarzanie danych jest dopuszczalne tylko wtedy, gdy np. jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z Prawa telekomunikacyjnego. Natomiast zasady postępowania przy przetwarzaniu danych osobowych, które to dane osobowe są lub mogą być przetwarzane reguluje art. 2 ust. 1 u.o.d.o.

Sąd podzielił stanowisko GIODO, że działanie spółki pozostaje w sprzeczności z art. 12 dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady Unii Europejskiej z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i prywatności w sektorze łączności elektronicznej. Przepis ten stanowi m.in., że państwa członkowskie powinny zapewnić, aby abonenci zostali bezpłatnie poinformowani, zanim ich dane zostaną umieszczone w spisie abonentów, o celach sporządzonego w formie drukowanej lub elektronicznej powszechnie udostępnianego spisu. Ponadto przed umieszczeniem danych abonenta w spisie powinien on zostać poinformowany o wszelkich dalszych możliwościach wykorzystania ich danych osobowych w oparciu wyszukiwania znajdującej się w wersji elektronicznej spisu. Ponadto powinny żądać, żeby dla każdego celu publicznego spisu abonentów innego niż poszukiwanie danych kontaktowych osób na podstawie ich nazwiska, a jeżeli jest to niezbędne, również na podstawie ich danych identyfikacyjnych, wymagać dodatkowej odrębnej zgody. Z powyższego wynika, że prawo [...] S.A. do przetwarzania danych osobowych swoich abonentów nie jest nieograniczone i przy jego realizacji spółka musi się stosować nie tylko do uregulowań zawartych w Prawie telekomunikacyjnym, ale i przepisów o ochronie danych osobowych oraz dyrektyw. Słusznie zatem organ podkreślił, że przedmiotowa usługa wymagała dodatkowej zgody.

Zgodnie z ugruntowanym orzecznictwem Naczelnego Sądu Administracyjnego zgoda na przetwarzanie danych osobowych musi mieć charakter wyraźny, a jej aspekty muszą być jasne dla podpisującego w momencie wyrażania zgody. W sprawie zupełnie odmienny jest cel sporządzania ogólnokrajowego spisu abonentów oraz komercyjnej sprzedaży baz danych. Zgodnie z art. 26 ust. 1 pkt 2 u.o.d.o. zakazane jest przetwarzanie danych osobowych w celach niezgodnych z celem, dla którego dane osobowe zostały zebrane.

Od powyższego wyroku skargę kasacyjną do Naczelnego Sądu Administracyjnego wniosła [...] S.A., zaskarżając go w całości. Skarżąca zarzuciła naruszenie prawa materialnego, tj.

1) art. 192 ust. 1 pkt 1 w zw. z art. 209 ust. 1 pkt 24 i art. 210 ust. 1 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne, art. 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych w zw. z art. 156 § 1 pkt 1 K.p.a. poprzez niewłaściwe ich zastosowanie;

2) art. 18 ust. 1 pkt 2 u.o.d.o. w zw. z art. 156 § 1 pkt 5 K.p.a. poprzez błędną jego wykładnię.

Ponadto skarżąca zarzuciła naruszenie prawa procesowego, tj. art. 141 § 4 P.p.s.a. w zw. z art. 103 § 1, 3 i 4 w zw. z art. 161 § 1 i art. 169 ustawy – Prawo telekomunikacyjne w zw. z art. 23 ust. 1 u.o.d.o. poprzez błędną jego wykładnię.

W uzasadnieniu skargi kasacyjnej skarżąca wskazała, że rozpatrywana sprawa dotyczy kwestii ochrony danych osobowych, ale w kontekście zachowania tajemnicy telekomunikacyjnej. Sąd błędnie przyjął, iż kompetencje do wydania decyzji w sprawie przysługują GIODO. Zdaniem skarżącej organem właściwym do decydowania w sprawie był wyłącznie Prezes Urzędu Komunikacji Elektronicznej. Zgodnie z treścią art. 5 u.o.d.o., jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z u.o.d.o., stosuje się przepisy tych ustaw. Nie ulega wątpliwości, że przepisy Prawa telekomunikacyjnego przewidują dalej idącą gwarancję ochrony danych osobowych. Skarżąca stoi na stanowisku, że z art. 161 ustawy – Prawo telekomunikacyjne dotyczącego przetwarzania danych osobowych objętych tajemnicą telekomunikacyjną, można wyprowadzić wniosek, że także art. 192 ust. 1 pkt 1 w zw. z art. 209 ust. 1 pkt 24 i art. 210 ust. 1 powołanej ustawy taką dalej idącą ochronę przetwarzania danych osobowych przewidują.

Zdaniem skarżącej art. 161 Prawa telekomunikacyjnego przewidujący daleko idące gwarancje ochrony danych osobowych objętych tajemnicą telekomunikacyjną wskazuje organ właściwy w sprawie. Skoro bowiem w kwestiach dotyczących tajemnicy telekomunikacyjnej organem decydującym i nadzorującym ochronę tej tajemnicy jest Prezes UKE, to właśnie Prezes UKE czuwa nad przestrzeganiem przetwarzania danych osobowych objętych tajemnicą telekomunikacyjną, a więc realizacją przez przedsiębiorcę telekomunikacyjnego art. 161 powołanej ustawy. Tylko ten organ może bowiem – w drodze decyzji – nałożyć na osobę naruszającą obowiązek zachowania tajemnicy telekomunikacyjnej karę pieniężną, o czym stanowią m.in. art. 209 ust. 1 pkt 24 oraz art. 210 ust. 1 Prawa telekomunikacyjnego.

W opinii skarżącej nie jest także trafny pogląd Sądu stwierdzający, że "postępowanie administracyjne prowadzone przez GIODO nie wykazało, aby [...] S.A., świadcząc usługę sprzedaży, legitymowała się którąkolwiek z przesłanek określonych w art. 159 ust. 2 Prawa telekomunikacyjnego". Skarżąca podtrzymała stanowisko wyrażone w skardze do Sądu, że spełnia przesłanki przetwarzania danych użytkowników, o których mowa we wspomnianym przepisie. De facto sprzedaż baz danych jest formą udostępniania spisu abonentów.

Ponadto skarżąca zarzuciła, że Sąd nie podzielając zarzutu naruszenia przez GIODO art. 103 Prawa telekomunikacyjnego w uzasadnieniu wyroku nie wyjaśnił motywów, jakimi kierował się wyrażając ten pogląd. Wyraził jedynie brak poparcia dla argumentów skarżącej w tym zakresie, nie objaśniając dokładnie, dlaczego przyjmuje takie stanowisko. Takie działanie Sądu, stanowi naruszenie art. 141 § 4 P.p.s.a.

Art. 161 ust. 1 Prawa telekomunikacyjnego zawiera ogólną zasadę, zgodnie z którą przetwarzanie danych objętych tajemnicą telekomunikacyjną jest dopuszczalne, jeżeli dotyczy świadczonej usługi albo jest niezbędne do jej wykonania. Przetwarzanie tych danych w innych celach dopuszczalne jest wyłącznie wtedy, gdy znajduje podstawę w przepisach innych ustaw lub gdy osoba, której dane dotyczą, wyraziła na to zgodę. Przepis art. 161 ust. 2 powołanej ustawy zawiera natomiast zamknięty katalog danych osobowych, które mogą być przetwarzane przez dostawcę publicznie dostępnych usług telekomunikacyjnych. Pozostałe dane użytkowników końcowych będących osobami fizycznymi mogą być przetwarzane wyłącznie za jego zgodą.

Zgodnie z treścią art. 169 ust. 3 ustawy Prawo telekomunikacyjne zamieszczenie w spisie danych identyfikujących abonenta będącego osobą fizyczną może nastąpić wyłącznie po uprzednim wyrażeniu przez niego zgody na dokonanie tych czynności. Skarżąca stoi na stanowisku, że wyrażając zgodę na umieszczenia danych w spisie, abonent ma świadomość, iż dane te będą udostępniane każdemu, kto tego zażąda, bez względu na sposób późniejszego wykorzystania danych przez odbiorcę. W ocenie skarżącej, komercyjne opracowywanie i sprzedaż przez [...] baz danych zawierających numery telefonów klientów spółki jest udostępnianiem publicznie dostępnego spisu abonentów. Na to zaś abonent nie musi wyrażać oddzielnej zgody. Celem przetwarzania danych, na który wyraża zgodę abonent, jest bowiem samo umieszczenia danych w spisie tak, aby było możliwe ustalenie jego numeru telefonu. Zdaniem skarżącej zgodnie z ogólną zasadą wyrażoną w art. 161 ust. 1 powołanej ustawy, opracowywanie komercyjnych baz danych zawierających informacje objęte ogólnokrajowym spisem abonentów, stanowi dopuszczalne tym przepisem przetwarzanie danych osobowych objętych tajemnicą telekomunikacyjną, gdyż dotyczy świadczonej usługi, a więc tego samego spisu abonentów (bądź jego części), jest zatem przetwarzaniem w tym samym celu. Takie działanie nie wymaga więc uzyskiwania przez [...] odrębnej zgody od abonentów, w związku z powyższym spełniona zostaje przesłanka z art. 159 ust. 2 powołanej ustawy. W związku z powyższym podzielany przez Sąd zarzut GIODO, że [...] nie wykazała podstaw prawnych przetwarzania danych jest błędny.

Skarżąca nie podzieliła także stanowiska Sądu, że działanie [...] pozostaje w sprzeczności z art. 12 dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady Unii Europejskiej z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i prywatności w sektorze łączności elektronicznej. Powołując się na ten przepis Sąd stwierdził m.in., że państwa członkowskie "powinny żądać, żeby dla każdego celu publicznego spisu abonentów innego niż poszukiwanie danych kontaktowych osób na podstawie ich nazwiska, a jeżeli jest to niezbędne, również na podstawie ich danych identyfikacyjnych, wymagać dodatkowej odrębnej zgody". W ocenie skarżącej, podmioty, którym [...] oferuje komercyjną sprzedaż baz danych, będą z nich korzystać przede wszystkim w celach kontaktowych, zatem nie dochodzi do naruszenia art. 12 ww. dyrektywy.

W konkluzji skargi kasacyjnej skarżąca wniosła o uchylenie zaskarżonego wyroku w całości i przekazanie sprawy Wojewódzkiemu Sądowi Administracyjnemu w Warszawie do ponownego rozpoznania oraz zasądzenie kosztów postępowania według norm przepisanych.

W odpowiedzi na skargę kasacyjną Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie.

Naczelny Sąd Administracyjny zważył, co następuje:

Stosownie do art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. Nr 153, poz. 1270 ze zm.) zwanej dalej P.p.s.a., Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, z urzędu biorąc pod uwagę jedynie nieważność postępowania.

Skarga kasacyjna złożona w niniejszej sprawie w swej podstawie oparta została na zarzutach naruszenia przepisów postępowania oraz zarzutach naruszenia prawa materialnego, co obligowało Naczelny Sąd Administracyjny do odniesienia się w pierwszej kolejności do zarzutów natury procesowej, albowiem ocena naruszenia prawa materialnego możliwa jest wyłącznie na gruncie prawidłowo ustalonego stanu faktycznego (por. m.in. wyrok NSA z dnia 7 lutego 2006 r. II FSK 1328/05, Lex nr 193314). W ramach podstawy kasacyjnej przewidzianej w art. 174 pkt 2 P.p.s.a. skarżąca zarzuciła Sądowi pierwszej instancji naruszenie art. 141 § 4 P.p.s.a. w zw. z art. 103 § 1,3 i 4, art. 161 § 1, art. 169 Prawa telekomunikacyjnego w zw. z art. 23 ust. 1 ustawy o ochronie danych osobowych – przez ich błędną wykładnię. Tak sprecyzowany zarzut nie stanowi jednak podstawy kasacji, o jakiej mowa w art. 174 pkt 2 P.p.s.a.

Trzeba wyjaśnić, iż zgodnie z ugruntowanym już orzecznictwem Naczelnego Sadu Administracyjnego art. 174 pkt 2 P.p.s.a. dotyczy wyłącznie naruszenia przepisów postępowania sądowego (por. wyrok NSA z 14 grudnia 2005 r. II FSK 53/05, Lex nr 187692; z dnia 11 stycznia 2006 r. II FSK 104/05, OSP 2007, z. 1, nr 7 z glosą aprobującą A. Kubiak-Kozłowskiej).

Nadto art. 141 § 4 P.p.s.a., bez powiązania go z innymi przepisami ustawy – Prawo o postępowaniu przed sądami administracyjnymi, nie stanowi samodzielnej podstawy kasacyjnej.

W wyroku z dnia 30 sierpnia 2006 r. II OSK 1109/05, Lex nr 266425, Naczelny Sąd Administracyjny stwierdził, że zarzut naruszenia art. 141 § 4 P.p.s.a. będzie skuteczny tylko wtedy, gdy połączony zostanie z innymi uchybieniami Sądu zaistniałymi na etapie rozpoznania skargi lub gdy wadliwość uzasadnienia zaskarżonego orzeczenia jest tego rodzaju, że nie pozwala na kontrolę kasacyjną tego orzeczenia.

Z kolei w wyroku z dnia 9 marca 2006 r. I OSK 569/05, Lex nr 198165, Naczelny Sąd Administracyjny wyraził pogląd, zgodnie z którym jeśli autor skargi kasacyjnej zamierza wykazać, że Sąd pierwszej instancji przyjął stan faktyczny ustalony przez organy administracyjne niezgodnie z obowiązującą je procedurą zawartą w K.p.a., to powinien postawić zarzut naruszenia art. 141 § 4 P.p.s.a., polegającego na przedstawieniu sprawy niezgodnie ze stanem rzeczywistym, a także zarzuty naruszenia art. 145 § 1 pkt 1 lit. c/ P.p.s.a. przez oddalenie skargi, mimo naruszenia przez organy administracji art. 7, 77 § 1 i art. 80 K.p.a. w stopniu mogącym mieć istotny wpływ na wynik sprawy.

Naczelny Sad Administracyjny zwracał także wielokrotnie uwagę na to, że zarzut naruszenia art. 141 § 4 P.p.s.a. nie może służyć do zwalczania przyjętych przez Sąd pierwszej instancji ustaleń faktycznych (por. wyrok NSA z 16 listopada 2006 r. FSK 1375/05, Lex nr 291825).

Jak wynika z uzasadnienia skargi kasacyjnej, jej autor nie tylko że nie wiąże zarzutu naruszenia art. 141 § 4 P.p.s.a. z zarzutem naruszenia przez Wojewódzki Sąd Administracyjny w Warszawie innego przepisu P.p.s.a. (wiąże natomiast ten zarzut z przepisami ustawy – Prawo telekomunikacyjne, które nie stanowią przepisów przewidzianych w art. 174 pkt 2 P.p.s.a.), to jeszcze w ten sposób usiłuje zakwestionować ustalenia przyjęte za podstawę zaskarżonego wyroku, że sprzedaż przez [...] S.A. bez danych jej abonentów jest usługą innego rodzaju niż świadczona przez Spółkę usługa ogólnokrajowego spisu abonentów oraz usługa ogólnokrajowej informacji o numerach telefonicznych – art. 103 ust. 1 ustawy – Prawo telekomunikacyjne.

Nietrafne jest także powiązanie zarzutu naruszenia prawa procesowego z art. 23 ust. 1 ustawy o ochronie danych osobowych poprzez błędną jego wykładnię. Nie dość, że skarga kasacyjna nie przywołuje konkretnej jednostki redakcyjnej ww. przepisu, to zarzut błędnej wykładni prawa materialnego, jakim jest art. 23 ust. 1 ustawy o ochronie danych osobowych nie stanowi podstawy z art. 174 pkt 2 P.p.s.a., lecz podstawę kasacyjną z art. 174 pkt 1 P.p.s.a.

Mając na uwadze powyższe rozważania, zarzuty przedstawione w pkt 3 skargi kasacyjnej nie mogły odnieść zamierzonego skutku.

Za nieuzasadnione Naczelny Sąd Administracyjny uznał także zarzuty naruszenia prawa materialnego, tj. art. 192 ust. 1 pkt 1 w zw. z art. 209 ust. 1 pkt 24 i art. 210 ust. 1 ustawy – Prawo telekomunikacyjne w zw. z art. 5 ustawy o ochronie danych osobowych – poprzez niewłaściwe ich zastosowanie oraz zarzut naruszenia art. 18 ust. 1 pkt 2 ustawy o ochronie danych osobowych w zw. z art. 156 § 1 pkt 5 K.p.a. – poprzez błędną jego wykładnię.

Wojewódzki Sąd Administracyjny w Warszawie ocenił prawidłowo, że wskazywane przez [...] S.A. przepisy ustawy – Prawo telekomunikacyjne – art. 192 ust. 1 pkt 1 w zw. z art. 209 ust. 1 pkt 24 i art. 210 ust. 1, nie są przepisami o jakich mowa w art. 5 ustawy o ochronie danych osobowych.

Zgodnie z wymienionym przepisem jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw.

To, że w ustawie – Prawo telekomunikacyjne zawarte są uregulowania dalej chroniące procesy przetwarzania danych osobowych objętych tajemnicą telekomunikacyjną – art. 159 ust. 2 i art. 161 ust. 2 nie oznacza, że ustawa o ochronie danych osobowych nie znajduje zastosowania w całości. Wymienione przepisy ustawy – Prawo telekomunikacyjne wyłączają stosowanie ustawy o ochronie danych osobowych tylko w zakresie, w jakim przewidują dalej idącą ochronę danych osobowych od tej jaka została zagwarantowana tą ostatnią ustawą.

Przepis art. 159 ust. 2 ustawy – Prawo telekomunikacyjne, w myśl którego zakazane jest zapoznawanie się, utrwalanie, przechowywanie, przekazywanie lub inne wykorzystanie treści lub danych objętych tajemnicą telekomunikacyjną przez osoby inne niż nadawca i odbiorca komunikatu, chyba że wystąpią okoliczności wymienione w pkt 1-4 art. 159 ust. 2 ustawy, jest przepisem przewidującym silniejszą ochronę danych niż przepis art. 23 ust. 1 ustawy o ochronie danych osobowych i dlatego to on znajdzie zastosowanie jako podstawa legalizująca przetwarzanie danych objętych tajemnicą telekomunikacyjną.

W takiej sytuacji dojdzie więc do częściowego wyłączenia przepisów ustawy o ochronie danych osobowych. Wyłączenie to dotyczyć będzie przewidzianych w tej ustawie przesłanek legalizujących przetwarzanie danych osobowych – art. 23 ust. 1 ustawy.

Ocena legalności przetwarzania danych objętych tajemnicą telekomunikacyjną odbywać się będzie z uwzględnieniem zasad określonych w art. 159 ust. 2 ustawy – Prawo telekomunikacyjne, jako przepisu przewidującego wyższy poziom ochrony.

Powyższe nie oznacza jednak, że przetwarzanie danych objętych tajemnicą telekomunikacji pozostaje poza kognicją Generalnego Inspektora Ochrony Danych Osobowych.

Przepisy ustawy – Prawo telekomunikacyjne nie przewidują możliwości żądania przez osobę zainteresowaną na drodze postępowania administracyjnego, przywrócenia stanu zgodnego z prawem.

Powołane w skardze kasacyjnej art. 192 ust. 1 pkt 1, art. 209 ust. 1 pkt 24 i art. 210 ust. 1 ustawy – Prawo telekomunikacyjne, odnoszą się do kompetencji Prezesa Urzędu, polegającej na możliwości nałożenia kary pieniężnej na podmiot naruszający obowiązek zachowania tajemnicy telekomunikacyjnej, o jakiej mowa w art. 159 ustawy i nie wyłączają uprawnień GIODO kreślonych w art. 12 pkt 1 w zw. z art. 18 ust. 1 ustawy o ochronie danych osobowych.

Jak trafnie zauważył to Sąd pierwszej instancji GIODO jest jedynym organem upoważnionym z urzędu lub na wniosek zainteresowanego m.in. do nakazania administratorowi danych w drodze decyzji, przywrócenie stanu zgodnego z prawem. W ustalonym stanie faktycznym GIODO jako organ ochrony danych osobowych był więc zobowiązany do wydania zaskarżonej decyzji.

Naczelny Sąd Administracyjny w całości podziela pogląd zawarty w uzasadnieniu zaskarżonego wyroku, że sprzedaż baz danych abonentów prywatnych firmom badawczym i telemarketingowym, agencjom reklamowym, firmom ubezpieczeniowym oraz bankom, pozostaje bez związku z usługą ogólnokrajowego spisu abonentów i usługą ogólnokrajową informacji o numerach telefonicznych.

Ponieważ jednak w skardze kasacyjnej w ramach podstawy określonej w art. 174 pkt 1 P.p.s.a. nie został postawiony zarzut błędnej wykładni art. 103 Prawa telekomunikacyjnego, Naczelny Sąd Administracyjny stosownie do zasady wyrażonej w art. 183 § 1 P.p.s.a. zwolniony jest od szczegółowych rozważań w tym zakresie.

Z tych wszystkich względów Naczelny Sąd Administracyjny na podstawie art. 184 ustawy – Prawo o postępowaniu przed sądami administracyjnymi orzekł jak w sentencji.