Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Maria Werpachowska, Sędziowie WSA Iwona Maciejuk, Janusz Walawski (spr.), Protokolant sekretarz sądowy Agnieszka Wiechowicz, po rozpoznaniu na rozprawie w dniu 15 lutego 2018 r. sprawy ze skargi [...] Sp. z o.o. z/s w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] kwietnia 2017 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę.

W dniu [...] maja 2017 r. [...] Sp. z o.o. z siedzibą w W. (zwana dalej spółką lub stroną skarżącą) wniosła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] kwietnia 2017 r. nr [...], utrzymującą w mocy decyzję tego organu z dnia [...] lutego 2017 r. nr [...] w przedmiocie przetwarzania danych osobowych, wydaną na podstawie art. 104 § 1 i art. 105 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2016 r. poz. 23, z późn. zm.) – zwanej dalej K.p.a., art. 12 pkt 2, art. 18 ust. 1 pkt 1, art. 22 w zw. z art. 23 ust. 1 pkt 1, art. 26 ust. 1 pkt 3 i art. 36 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922) – zwanej dalej ustawą.

Zaskarżona decyzja została wydana w następującym stanie faktycznym i prawnym:

Inspektorzy upoważnieni przez Generalnego Inspektora, przeprowadzili w spółce w dniach od [...] do [...] września 2015 r. kontrolę zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych ([...]), tj. ustawą i rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia [...] kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). Zakresem kontroli objęto przetwarzanie przez spółkę danych osobowych w zbiorze danych osobowych o nazwie "[...]" (zgłoszenie do rejestracji nr [...]).

W trakcie ww. kontroli stwierdzono uchybienia w procesie przetwarzania danych osobowych, które polegały na przetwarzaniu danych osobowych klientów spółki w zakresie: nazwisko rodowe, imiona rodziców, data wydania dowodu osobistego oraz nazwa organu, który go wydał, wizerunek, wzrost, kolor oczu, miejsce urodzenia, nazwisko panieńskie matki i znak zodiaku, jako nieadekwatnych do celu, w jakim te dane są przetwarzane, tj. identyfikacji tożsamości klienta przed zawarciem umowy pożyczki (art. 26 ust. 1 pkt 3 ustawy).

W związku z powyższym w dniu [...] lutego 2016 r. Generalny Inspektor wszczął z urzędu postępowanie administracyjne w sprawie przetwarzania danych osobowych przez spółkę.

Natomiast w toku przeprowadzonej w dniach od [...] do [...] maja 2016 r. w spółce kontroli, której zakresem objęto przetwarzanie przez spółkę danych osobowych potencjalnych klientów i klientów w celach marketingowych oraz w celach windykacyjnych, stwierdzono następujące uchybienia w procesie przetwarzania danych osobowych:

1. Uniemożliwienie potencjalnym klientom oraz klientom spółki podjęcia swobodnej decyzji co do wyrażenia: zgody na przetwarzanie danych osobowych w celach marketingowych produktów spółki, zgody na przetwarzanie danych osobowych w celach marketingu produktów lub usług innych podmiotów, poprzez zastosowanie przez spółkę jednej klauzuli, zamieszczonej we wnioskach o udzielenie pożyczki, obejmującej łącznie ww. zgody oraz zgodę, o której mowa w art. 172 ust. 1 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2014 r. poz. 243, z późn. zm.), zgodnie z którym zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę (art. 23 ust. 1 pkt 1 w związku z art. 7 pkt 5 ustawy).

2. Przetwarzanie danych osobowych osób wnioskujących o udzielenie pożyczki (potencjalnych klientów) w zakresie: nazwisko rodowe, imiona rodziców, data wydania dowodu osobistego oraz nazwa organu, który go wydał, wizerunek, wzrost, kolor oczu, miejsce urodzenia, nazwisko panieńskie matki, jako nieadekwatnych do celu, w jakim te dane są przetwarzane, tj. identyfikacji tożsamości klienta przed zawarciem umowy pożyczki (art. 26 ust. 1 pkt 3 ustawy).

3. Niezawarcie w dokumentacji opisującej sposób przetwarzania danych oraz środki, o których mowa w art. 36 ust. 1 ustawy, informacji dotyczących systemu informatycznego o nazwie "[...]", wykorzystywanego do wysyłania wiadomości pocztowych do klientów, wobec których prowadzona jest windykacja (art. 36 ust. 1 pkt 2 ustawy).

Wobec stwierdzenia w wyniku kontroli powyższych uchybień w procesie przetwarzania danych osobowych, organ uznał, że należy rozszerzyć przedmiot postępowania, o którego wszczęciu spółka została poinformowana pismem z dnia [...] lutego 2016 r. (sygn. [...]).

W dniu [...] lutego 2017 r. Generalny Inspektor wydał decyzję, którą:

I. nakazał spółce przywrócenie stanu zgodnego z prawem poprzez:

1. zapewnienie swobody w przedmiocie złożenia przez potencjalnych klientów i klientów spółki zgody na przetwarzanie danych osobowych w celach marketingu produktów i usług innych podmiotów, w terminie 30 dni od dnia, w którym decyzja stanie się ostateczna;

2. zaprzestanie przetwarzania danych osobowych osób wnioskujących o udzielenie pożyczki za pośrednictwem: [...] z siedzibą w W. przy ul. [...],[...] Sp. z o.o. z siedzibą w G. przy ul. [...], [...] S.A. z siedzibą w S. przy ul. [...],[...] z siedzibą w W. przy ul. [...] oraz [...] Sp. z o.o. z siedzibą w M. przy ul. [...], w zakresie: nazwisko rodowe, imiona rodziców, data wydania dowodu osobistego oraz nazwa organu, który go wydał, wizerunek, wzrost, kolor oczu, miejsce urodzenia, nazwisko panieńskie matki, jako nieadekwatnych do celu, w jakim dane te są przetwarzane, tj. identyfikacji tożsamości ww. osób przed zawarciem pożyczki, w terminie 30 dni od dnia, w którym decyzja stanie się ostateczna.

II. w pozostałym zakresie postępowanie administracyjne umorzył w związku z usunięciem uchybień w procesie przetwarzania danych.

W dniu [...] marca 2017 r. do Biura Generalnego Inspektora wpłynął wniosek spółki, reprezentowanej przez pełnomocnika, o ponowne rozpatrzenie sprawy zakończonej ww. decyzją Generalnego Inspektora w części nakazującej usunięcie uchybień w procesie przetwarzania danych.

Po dokonaniu ponownej analizy całokształtu materiału dowodowego zebranego w sprawie, Generalny Inspektor, decyzją z dnia [...] kwietnia 2017 r. nr [...], utrzymał w mocy decyzję z dnia [...] lutego 2017 r., stwierdzając, że zawarcie kilku zgód w treści jednego oświadczenia, skutkuje brakiem możliwości wyboru zgody, którą zamierza się wyrazić i oznacza, że osoba, której dane dotyczą, nie ma swobody w dysponowaniu swoimi danymi osobowymi. Tymczasem zgoda taka musi być sformułowana w sposób wyraźny i jednoznaczny, musi też wyróżniać się spośród innych, pochodzących od tej osoby, informacji i oświadczeń woli.

Generalny Inspektor wyjaśnił też, że na podstawie art. 23 ust. 5 ustawy, za prawnie usprawiedliwiony cel administratora danych należy uznać marketing własnych produktów lub usług, natomiast za taki cel nie można uznać marketingu produktów i usług innych podmiotów.

Nadto zgoda na przetwarzanie danych osobowych w celach marketingowych jest niezależna od sposobu, w jaki jest kierowany marketing (pocztą tradycyjną, pocztą elektroniczną, telefonicznie), zatem zgoda ta powinna być odrębna od innych klauzul, tym bardziej, że zgodę na używanie telekomunikacyjnych urządzeń końcowych w celu prowadzenia marketingu bezpośredniego regulują przepisy ustawy Prawo telekomunikacyjne, a więc odrębne od przepisów ustawy.

Kwestionując przetwarzanie, w tym zbieranie oznaczonych w pkt 2 decyzji z dnia [...] lutego 2017 r. danych w celu identyfikacji potencjalnych klientów, Generalny Inspektor ocenił je za zbędne, ponieważ uznał, że spółka jest w posiadaniu wystarczającej ilości danych (zawartych m.in. we wniosku o udzielenie pożyczki czy otrzymanych z BIK S.A. i z biur informacji gospodarczej) pozwalających na potwierdzenie tożsamości danej osoby.

W skardze na decyzję Generalnego Inspektora z dnia [...] kwietnia 2017 r., spółka reprezentowana przez r. pr. M. T., wniosła o uchylenie w całości zaskarżonej decyzji oraz poprzedzającej ją decyzji w części zaskarżonej wnioskiem o ponowne rozpatrzenie sprawy. Spółka wniosła również o umorzenie postępowania administracyjnego jako bezprzedmiotowego na podstawie art. 145 § 3 P.p.s.a. i o wtrzymanie wykonania zaskarżonej decyzji oraz o zasądzenie zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego.

Zaskarżonej decyzji strona skarżąca zarzuciła naruszenie następujących przepisów prawa materialnego:

1. art. 23 ust. 1 pkt 1 w zw. z art. 7 pkt 5 ustawy, poprzez uznanie, że stosowana przez spółkę treść zgody na przetwarzanie danych w celach marketingowych nie pozwala na świadome wyrażenie woli osobie, której dane dotyczą,

2. art. 23 ust. 1 pkt 2 ustawy poprzez uznanie, że przesłanka dopuszczalności przetwarzania danych określona w tym przepisie uprawnia spółkę do przetwarzania danych osobowych tylko w sytuacji, w której stosowne przepisy nakładają na stronę skarżącą jedynie obowiązek ich przetwarzania,

3. art. 172 ust. 1 ustawy Prawo telekomunikacyjne, poprzez uznanie, iż przepis ten nie ma związku ze sposobem, w jaki dochodzi do przetwarzania danych osobowych,

4. art. 26 ust. 1 pkt 3 ustawy, poprzez uznanie, iż spółka przetwarza dane osobowe osób wnioskujących o udzielenie pożyczki w zakresie nieadekwatnym do celu, w jakim te dane są przetwarzane.

5. art. 26 ust. 1 pkt 3 w zw. z art. 23 ust. 1 pkt 2 ustawy i § 1 rozporządzenia Ministra Finansów z dnia 23 czerwca 2016 r. w sprawie szczegółowego zakresu danych podlegających wymianie pomiędzy instytucjami utworzonymi na podstawie przepisów prawa bankowego a instytucjami pożyczkowymi i innymi podmiotami (Dz. U. z 2016 r. poz. 971), przez uznanie, iż przepis ten nie nadaje spółce uprawnienia do przetwarzania danych osobowych osób wnioskujących o udzielenie pożyczki, jak również, iż przepis ww. rozporządzenia nie uprawnia do przetwarzania danych osobowych we wskazanym w nim zakresie, w związku z czym nie stanowi on dla spółki przesłanki dopuszczalności przetwarzania danych osobowych w postaci: nazwisko rodowe, imiona rodziców, miejsca urodzenia, nazwisko panieńskie matki,

6. art. 26 ust. 1 pkt 3 w zw. z art. 23 ust. 1 pkt 2 i art. 9 ust. 1-3 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim (Dz. U. z 2016 r. poz. 1528) poprzez uznanie, iż przepis ten nie nadaje spółce uprawnienia do przetwarzania danych osobowych zawartych w dowodzie osobistym,

7. art. 26 ust. 1 pkt 3 w zw. z art. 23 ust. 1 pkt 2 i art. 9 i 9k ustawy z dnia 16 listopada 2000 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. z 2016 r. poz. 299) poprzez ich niezastosowanie i pominięcie wynikającego z ww. przepisów obowiązku spółki stosowania środków bezpieczeństwa finansowego wobec osób wnioskujących o udzielenie pożyczki, w którym to procesie spółka musi przetwarzać dane osobowe zawarte w dowodach osobistych w takim zakresie, jaki wynika z treści tego dokumentu, jak również ma obowiązek przechowywać informacje zawarte w dowodach przez wskazany w przepisach okres.

8. art. 26 ust. 1 pkt 3 w zw. z art. 23 ust. 1 pkt 2 i 5 ustawy i art. 2 ust. 1, art. 24 ust. 1, art. 48 ust. 1 i art. 50 ustawy z dnia z dnia 9 kwietnia 2010 r. o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych (Dz. U. z 2014 r. poz. 1015), poprzez uznanie, iż zbędne jest przetwarzanie kwestionowanych danych z racji posiadania przez stronę skarżącą wystarczającej ilości danych pochodzących z wniosków o udzielenie pożyczki oraz z biur informacji gospodarczej,

9. art. 26 ust. 1 pkt 3 w zw. z art. 23 ust. 1 pkt 5 ustawy poprzez uznanie, iż spółka nie posiada prawnie usprawiedliwionego celu w zakresie konieczności jednoznacznej identyfikacji wnioskodawcy (strony umowy) i zapobiegania wyłudzeniom finansowym,

10. art. 36 ust. 1 ustawy, poprzez uznanie, że przepis ten nie uprawnia spółki do podejmowana środków niezbędnych do zabezpieczenia danych przed przetwarzaniem z naruszeniem ustawy.

Ponadto spółka zarzuciła naruszenie następujących przepisów postępowania mających istotny wpływ na wynik sprawy:

1. art. 138 § 1 pkt 1 K.p.a. poprzez utrzymanie w mocy przez organ drugiej instancji decyzji organu pierwszej instancji nieodpowiadającej prawu,

2. art. 6 i 8 K.p.a. w zw. z art. 22 ustawy, poprzez prowadzenie postępowania w sposób niebudzący zaufania strony skarżącej do organu, w szczególności z uwagi na nienależyte wyjaśnienie okoliczności sprawy i pominięcie szeregu argumentów przedstawionych przez spółkę.

3. art. 11 i art. 107 § 3 K.p.a. w zw. z art. 22 ustawy, poprzez nienależyte wyjaśnienie przesłanek, którymi kierował się organ przy załatwieniu przedmiotowej sprawy, jak również niewyjaśnienie podstaw prawnych przyjętych w zaskarżonej decyzji.

Generalny Inspektor, działając na podstawie art. 61 § 2 pkt 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2016 r. poz. 718, z późn. zm.), w dniu [...] czerwca 2017 r. wydał postanowienie nr [...], którym wstrzymał na wniosek strony skarżącej wykonanie decyzji Generalnego Inspektora z dnia [...] kwietnia 2017 r.

W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując argumenty przedstawione w zaskarżonej oraz poprzedzającej ją decyzji.

Z uwagi na wydanie przez Generalnego Inspektora ww. postanowienia z dnia [...] czerwca 2017 r. Sąd postanowieniem z dnia [...] września 2017 r. odmówił wstrzymania wykonania zaskarżonej decyzji.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Zgodnie z brzmieniem art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. z 2016 r. poz. 1066, z późn. zm.), sąd administracyjny sprawuje wymiar sprawiedliwości m. in. poprzez kontrolę działalności administracji publicznej pod względem zgodności z prawem. Innymi słowy, wojewódzki sąd administracyjny nie orzeka co do istoty sprawy w zakresie danego przypadku, lecz jedynie kontroluje legalność rozstrzygnięcia zapadłego w tym postępowaniu, z punktu widzenia jego zgodności z prawem materialnym i obowiązującymi przepisami prawa procesowego.

Skarga analizowana pod tym kątem podlega oddaleniu, bowiem zaskarżona decyzja została wydana zgodnie z prawem.

Podstawę materialnoprawną zaskarżonej decyzji stanowił art. 23 ust. 1 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922), który stanowi, że przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczącej jej danych oraz art. 26 ust. 1 pkt 3 twej ustawy, który stanowi, że administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane.

Z kolei zgodnie z art. 7 pkt 5 ustawy o ochronie danych osobowych, ilekroć w ustawie jest mowa o zgodzie osoby, której dane dotyczą - rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie.

Powołane przez Generalnego Inspektora Ochrony Danych Osobowych w uzasadnieniu zaskarżonej decyzji poglądy doktryny i orzecznictwa w przedmiocie wyrażenia zgody na przetwarzanie danych osobowych uznać należy za trafne. Podkreślenia jedynie wymaga, iż podmiot zwracający się do osoby fizycznej o wyrażenie takiej zgody musi to uczynić w sposób wyraźny, jednoznaczny, wyróżniający się spośród innych pochodzących od tego podmiotu informacji i oświadczeń. Osoba wyrażająca zgodę musi zrozumieć istotę zgody, jej cel i skutki, a zatem musi posiadać pełne rozeznanie, konkretnie przez kogo i w jakim ściśle określonym celu jej dane będą przetwarzane.

W rozpoznawanej sprawie istota sporu sprowadza się do tego, czy na gruncie obowiązujących przepisów jest dopuszczalne wrażenie jednej zgody na dokonywanie przetwarzania danych osobowych w celu marketingu bezpośredniego produktów [...] Sp. z o. o oraz używanie telekomunikacyjnych urządzeń końcowych w celu prowadzenia tego marketingu, o której mowa w art. 172 ustawy Prawo telekomunikacyjne.

Na wstępie podkreślić należy, że zgoda może obejmować różne cele przetwarzania danych osobowy

Przy przetwarzaniu danych osobowych należy zapewnić osobie, której dane osobowe będą wykorzystywane, maksimum ochrony prawnej, zwłaszcza gdy dane te będą wykorzystywane w celach marketingowych. Należy takiej osobie umożliwić wyrażenie zgody nie tylko w układzie tak bądź nie, lecz "zgody rozbudowanej", odnoszącej się do poszczególnych sfer wykorzystania oznaczonych danych. Takiego wyboru nie zapewnia jednak ujawniona w postępowaniu przed Generalnym Inspektorem Ochrony Danych Osobowych praktyka stosowana przez spółkę, albowiem udzielający zgody nie może udzielić jej tylko w części. Z tego względu zasadnym jest zapewnienie klientowi opcjonalności w zakresie wyrażania zgody na przetwarzanie danych osobowych przez spółkę współpracującą z innymi podmiotami.

Zawarcie kilku zgód w treści jednego oświadczenia skutkuje brakiem możliwości wyboru zgody, którą zamierza się wyrazić. Oznacza to, że osoba, której dane dotyczą nie ma pełnej swobody w dysponowaniu swoimi danymi osobowymi. Wyrażenie zgody na przetwarzanie danych w celach marketingowych, zgodnie z art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych stanowi przesłankę legalności przetwarzania danych osobowych przez administratora, a zgoda ta jest niezależna od środków w jaki sposób jest kierowany ten marketing i powinna być wyodrębniona od sposobu realizacji marketingu bezpośredniego.

Z art. 172 ust. 1 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2016 r. poz. 1489, z późn. zm.), wynika z kolei zakaz używania telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik wyrazi na to zgodę.

Wyrażenie jednej zgody odnośnie dwóch niezależnych podstaw prawnych i celów przetwarzania danych niewątpliwie może wprowadzać w błąd osobę, która taką zgodę wyraziła.

Jeżeli, jak w niniejszej sprawie, zgoda ma dotyczyć istotnie różniących się celów przetwarzania, wynikających z rożnych podstaw prawnych, to zgoda powinna być wyrażona odrębnie dla każdego z nich.

Zgodnie z art. 26 ust. 1 ustawy o ochronie danych osobowych, administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były:

1) przetwarzane zgodnie z prawem;

2) zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2;

3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane;

4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

Prawo do ochrony danych osobowych, ujęte w art. 51 Konstytucji Rzeczypospolitej Polskiej, wiąże się ściśle ze sferą poszanowania prywatności, swobody i integralności człowieka. Łączy w sobie prawo do rzetelnej informacji o ich gromadzeniu i przetwarzaniu z prawem do żądania sprostowania oraz usunięcia danych nieprawdziwych. Jego realizację zapewniać powinno wykonywanie nałożonego na podmioty przetwarzające dane osobowe obowiązku wynikającego z powyżej przytoczonego przepisu. Zbierane dane mogą być gromadzone i przetwarzane jedynie zgodnie z prawem, wyłącznie w oznaczonych i legalnych celach, z dbałością o ich merytoryczną poprawność, rozumianą jako prawdziwość i aktualność informacji oraz dostosowanie jej zakresu do celu przetwarzania, a także przechowywane nie dłużej niż jest to niezbędne ze względu na cel przetwarzania.

W ocenie Sądu, Generalny Inspektor Ochrony Danych Osobowych zasadnie uznał, że spółka sformułowaną w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych zasadę przetwarzania danych osobowych naruszyła w zakresie przetwarzania danych osobowych określonych w pkt 2 decyzji z dnia [...] lutego 2017 r., gdyż spółka dysponuje wystarczającym danymi, które pozwalają na identyfikację osoby ubiegającej się o udzielenie pożyczki.

Zgodnie z art. 36 ust. 1 ustawy o ochronie danych osobowych, administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Sąd podziela stanowisko organu, że Spółka może realizować obowiązek wynikający z powyżej przytoczonego przepisu w różny sposób, jednakże z całą pewnością przetwarzanie w tym celu wszystkich danych osobowych zawartych w skanach lub kserokopiach dowodów osobisty nie stanowi realizacji obowiązku wynikającego z art. 36 ust. 1 ustawy o ochronie danych osobowych.

Podkreślić należy, że działanie Generalnego Inspektora Ochrony Danych Osobowych zmierza do zagwarantowania ustawowej ochrony prawnej osobom, których dane osobowe są przetwarzane, co sprowadza się w tym przypadku do zagwarantowania swobodnej, w pełni świadomej, a nie iluzorycznej, możliwości decydowania o własnych danych.

Odnosząc się do zarzutów podniesionych w skardze Sąd ocenił je jako niezasadne, gdyż organ nie naruszył wskazanych w skardze przepisów prawa materialnego i procesowego. Wbrew twierdzeniom zawartym w skardze, Generalny Inspektor Ochrony Danych Osobowych wydał decyzję na podstawie właściwych przepisów i dokonał ich prawidłowej interpretacji w związku zebranym w sprawie bardzo obszernym materiałem dowodowym.

Biorąc powyższe pod uwagę, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2016 r. poz. 718, z późn. zm.), skargę oddalił