drukuj    zapisz    Powrót do listy

647 Sprawy związane z ochroną danych osobowych, Ochrona danych osobowych, Generalny Inspektor Ochrony Danych Osobowych, Oddalono skargę, II SA/Wa 47/15 - Wyrok WSA w Warszawie z 2015-10-23, Centralna Baza Orzeczeń Naczelnego (NSA) i Wojewódzkich (WSA) Sądów Administracyjnych, Orzecznictwo NSA i WSA

II SA/Wa 47/15 - Wyrok WSA w Warszawie

Data orzeczenia
2015-10-23 orzeczenie prawomocne
Data wpływu
2015-01-13
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Ewa Grochowska-Jung
Iwona Dąbrowska /sprawozdawca/
Joanna Kube /przewodniczący/
Symbol z opisem
647 Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
I OSK 390/16 - Wyrok NSA z 2018-01-24
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 1980 nr 9 poz 26 art. 138 par. 2
Ustawa z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego - t.j.
Dz.U. 2014 poz 1182 art. 18 ust. 1 pkt 1 i pkt 6, art. 22 w zw. z art. 26 ust. 1 pkt 1 i pkt 3 i art. 36 ust. 1
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - tekst jednolity
Dz.U. 2006 nr 139 poz 993 art. 31a
Ustawa z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych - tekst jedn.
Sentencja

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Joanna Kube, Sędziowie WSA Iwona Dąbrowska (spr.), Ewa Grochowska – Jung, Protokolant specjalista Aleksandra Weiher, po rozpoznaniu na rozprawie w dniu 23 października 2015 r. sprawy ze skargi C. z siedzibą w L. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] października 2014 r. nr [...] w przedmiocie przetwarzania danych osobowych – oddala skargę –

Uzasadnienie

Decyzją nr [...] z dnia [...] października 2014 r. wydaną na podstawie art. 138 § 1 k.p.a. oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1 i pkt 6, art. 22 w związku z art. 26 ust. 1 pkt 1 i pkt 3 i art. 36 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r., poz. 1182 dalej powołanej jako: "u.o.d.o."), Generalny Inspektor Ochrony Danych Osobowych:

1) uchylił pkt 1 wcześniejszej decyzji z dnia [...] lipca 2014 r. nr [...], w części dotyczącej nakazu zaprzestania przetwarzania, tj. pozyskiwania numeru PESEL, od osób, które dokonują rezerwacji w celu zakupu biletu na przejazd i

w tym zakresie umorzył postępowanie,

2) uchylił pkt 3 zaskarżonej decyzji, w części dotyczącej nakazu zastosowania odpowiednich środków technicznych i organizacyjnych, zapewniających ochronę danych osobowych przetwarzanych w związku z logowaniem się do systemu informatycznego o nazwie "[...]" (system służący do przetwarzania danych osobowych w związku z rezerwacją biletu przez Internet) i w tym zakresie umorzył postępowanie,

3) w pozostałym zakresie utrzymał w mocy zaskarżoną decyzję.

Do wydania powyższej decyzji doszło w następującym stanie faktycznym

i prawnym:

Inspektorzy upoważnieni przez Generalnego Inspektora Ochrony Danych Osobowych (dalej powołany jako GIODO) przeprowadzili w [...] Sp. j. z siedzibą w L. przy ul. [...], zwaną dalej również "Spółką", kontrolę zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych (sygn. akt [...]), tj. ustawą o ochronie danych osobowych oraz rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), zwanym dalej "rozporządzeniem". Zakresem kontroli objęto przetwarzanie przez Spółkę danych osób korzystających z rezerwacji i zakupu biletu przez stronę internetową o adresie: [...].

W toku kontroli odebrano od wspólnika Spółki ustne wyjaśnienia oraz skontrolowano system informatyczny. Stan faktyczny szczegółowo opisany został

w protokole kontroli (sygn. [...]), który pismem z dnia [...] listopada 2013 r. nr [...] przesłany został do Spółki, w celu jego podpisania.

Na podstawie całokształtu materiału dowodowego zgromadzonego w sprawie ustalono, że w procesie przetwarzania danych osobowych Spółka, jako administrator danych osób, korzystających z rezerwacji i zakupu biletu przez stronę internetową

o adresie: [...] naruszyła przepisy o ochronie danych osobowych poprzez:

1) przetwarzanie numeru PESEL osoby dokonującej rezerwacji w celu zakupu biletu na przejazd za pomocą strony internetowej o adresie www.[...] z naruszeniem art. 26 ust. 1 pkt 1 i pkt 3 u.o.d.o.

2) niezastosowanie odpowiednich środków technicznych i organizacyjnych w celu zabezpieczenia danych osobowych przetwarzanych w związku z procesem logowania się do systemu informatycznego o nazwie "[...]" (system służący do przetwarzania danych osobowych w związku z rezerwacją biletu przez Internet) - art. 36 ust. 1 u.o.d.o.

W związku z powyższym GIODO, wszczął z urzędu postępowanie administracyjne w celu wyjaśnienia okoliczności sprawy. Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego organ ustalił, że przetwarzanie przez Spółkę numeru PESEL, który zgodnie z art. 31 a ustawy z 10 kwietnia 1974 r.

o ewidencji ludności i dowodach osobistych (Dz.U. z 2006 r. nr 139, poz. 993, ze zm.), jest 11-cyfrowym, stałym symbolem numerycznym, jednoznacznie identyfikującym osobę fizyczną (pierwsze dwie cyfry z uwzględnieniem trzeciej cyfry określają - rok urodzenia; trzecia i czwarta cyfra, po odliczeniu części związanej

z rokiem określa - miesiąc urodzenia; piąta i szósta cyfra określa - dzień urodzenia; dziesiąta cyfra określa - płeć), wykracza poza potrzeby wynikające z celu przetwarzania danych, jakim jest rezerwacja biletu, w celu jego zakupu przez Internet, co stanowi naruszenie zasady adekwatności, o której mowa w art. 26 ust. 1 pkt

3 ustawy o ochronie danych osobowych. Ponadto organ wskazał, że Spółka pozyskując numer PESEL od osoby dokonującej rezerwacji, w celu zakupu biletu na przejazd, przetwarza ww. dane niezgodnie z prawem przewozowym i tym samym narusza art. 26 ust. 1 pkt 1 ustawy.

W odniesieniu do niezastosowania przez stronę odpowiednich środków technicznych i organizacyjnych w celu zabezpieczenia danych osobowych przetwarzanych w związku z procesem logowania się do systemu informatycznego

o nazwie "[...]", organ stwierdził, że wykorzystywanie numeru PESEL

w charakterze nazwy (loginu) osoby korzystającej z systemu informatycznego o nazwie "[...]" narusza podstawowe zasady bezpieczeństwa tego systemu, albowiem login jest "narzędziem" mającym utrudnić osobie nieuprawnionej uzyskanie dostępu do systemu informatycznego i dlatego powinien być informacją znaną tylko osobie uprawnionej, która korzysta z systemu informatycznego. W związku z tym wykorzystywanie w charakterze loginu - numeru PESEL, który dostępny może być również dla innych osób (jak wiadomo numery PESEL znajdują się w Krajowym Rejestrze Sądowym (KRS), dostęp do numerów PESEL pracowników posiadają również ich pracodawcy), stwarza bezpośrednie niebezpieczeństwo dla danych przetwarzanych w systemie informatycznym o nazwie "[...]".

W związku z powyższym organ stwierdził, że Spółka jako administrator danych nie zastosowała odpowiednich środków technicznych, o których mowa w art. 36 ust.

1 u.o.d.o. w celu zabezpieczenia przetwarzanych danych osobowych przed ich udostępnieniem osobom nieupoważnionym.

Na podstawie powyższych okoliczności, GIODO decyzją z dnia [...] lipca 2014 r. nr [...] nakazał Spółce jako administratorowi danych osobowych usunięcie uchybień w procesie przetwarzania danych poprzez:

1) zaprzestanie przetwarzania, tj. pozyskiwania numeru PESEL od osób, które dokonują rezerwacji w celu zakupu biletu na przejazd - w terminie od dnia, w którym wskazana decyzja stanie się ostateczna,

2) usunięcie danych osobowych w zakresie numeru PESEL osób, które dokonały rezerwacji w celu zakupu biletu na przejazd – w terminie 30 dni od dnia, w którym wskazana decyzja stanie się ostateczna,

3) zastosowanie odpowiednich środków technicznych i organizacyjnych zapewniających ochronę danych osobowych przetwarzanych w związku z logowaniem się do systemu informatycznego o nazwie "[...]" – w terminie 30 dni od dnia,

w którym wskazana decyzja stanie się ostateczna.

Strona pismem z dnia 2 września 2014 r. wniosła do GIODO o ponowne rozpatrzenie sprawy. W złożonym wniosku Spółka wskazała iż "po wszczęciu postępowania przez Generalnego Inspektora Spółka zaprzestała całkowicie pozyskiwania numerów PESEL od swoich klientów". We wniosku tym jednakże Spółka nie złożyła wyjaśnień, ani też nie przedstawiła innych dowodów potwierdzających usunięcie dotychczas pozyskanych danych osobowych dotyczących numerów PESEL. Wobec powyższego organ uznał, iż dane osobowe dotyczące numerów PESEL osób dokonujących rezerwacji w celu zakupu biletu na przejazd, są nadal przetwarzane z naruszeniem przepisów o ochronie danych osobowych i dlatego w tym zakresie Spółka jest zobowiązana przywrócić stan zgodny z prawem poprzez usunięcie przedmiotowych danych.

W wyniku powyższego GIODO wydał w dniu [...] października 2014 r., decyzję opisaną na wstępie, w której częściowo zmienił swoją decyzję z dnia [...] lipca 2014 r., tj. uchylił jej punkt 1 i 3 oraz umorzył postępowanie w tym zakresie zaś

w pozostałym zakresie utrzymał decyzję w mocy.

Organ zwrócił uwagę, iż Spółka pozyskując numer PESEL od osoby dokonującej rezerwacji w celu zakupu biletu na przejazd, przetwarza ww. dane niezgodnie

z prawem przewozowym i tym samym narusza art. 26 ust. 1 pkt 1 u.o.d.o. Organ podkreślił, że ustawodawca w art. 16 ust. 2 prawa przewozowego wskazuje, iż na bilecie na przejazd, umieszcza się: nazwę przewoźnika, relację lub strefę przejazdu, wysokość należności za przejazd, zakres uprawnień pasażera do ulgowego przejazdu. Ponadto, na bilecie mogą być umieszczane inne informacje, w tym dane osobowe pasażera, jeżeli jest to niezbędne dla przewoźnika lub organizatora w regularnym przewozie osób (art. 16 ust. 3 ustawy Prawo przewozowe). Natomiast z treści obowiązującego w Spółce "Regulaminu przewozu osób i bagażu w komunikacji regularnej [...] Sp. j. ul. [...], [...] L." wynika, m.in., iż biletem stanowiącym dowód zawarcia umowy przewozu pomiędzy przewoźnikiem a podróżnym jest plik wygenerowany przez system, zawierający następujące dane: dane przewoźnika, imię i nazwisko podróżnego, data i godzina wyjazdu, cena, liczba zakupionych biletów oraz specjalny numer unikatowy (numer transakcji zakupu biletu)". Analizując treść zapisu przedmiotowego regulaminu organ stwierdził, że w celu jakim jest sprzedaż przez Spółkę biletu na przejazd, nie jest wymagane pozyskiwanie numeru PESEL. W związku z powyższym GIODO uznał, iż Spółka nie stosuje się do unormowań zawartych w przedmiotowym regulaminie.

Jednocześnie organ na podstawie przedstawionych we wniosku o ponowne rozpatrzenie sprawy wyjaśnień Spółki oraz pozyskanych (w wyniku przeprowadzonych w dniu [...] września 2014 r. oględzin strony internetowej [...]) wydruków zrzutów ekranu strony internetowej z procesu zakładania konta do systemu rezerwacji biletów i logowania do tego konta, uznał iż Spółka usunęła pozostałe uchybienia, stanowiące przedmiot postępowania administracyjnego, zakończonego decyzją GIODO z dnia [...] lipca 2014 r., tj. zaprzestała pozyskiwać numer PESEL od osób dokonujących rezerwacji w celu zakupu biletu na przejazd za pomocą strony internetowej [...]. Obecnie w celu założenia konta na ww. stronie, osoba zainteresowana wprowadza takie dane jak: imię, nazwisko, adres e-mail, telefon komórkowy oraz hasło). Organ podał też, że Spółka zastosowała odpowiednie środki techniczne i organizacyjne zapewniające ochronę danych osobowych przetwarzanych w związku z logowaniem się do systemu o nazwie [...]. Z powyższych względów, organ podał, że uchylił decyzję z dnia [...] lipca 2014 r. w zakresie nakazu określonego w pkt 1 i pkt 3 i w tym zakresie umorzył postępowanie.

Na powyższą decyzję Spółka wniosła skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie, domagając się uchylenia zaskarżonej decyzji

w części, w której organ utrzymał w mocy decyzję z dnia [...] lipca 2014 r oraz uchylenie decyzji z dnia [...] lipca 2014 r. w części utrzymanej w mocy a także o wstrzymanie wykonalności zaskarżonej decyzji w całości ze względu na zachodzące niebezpieczeństwo wyrządzenia znacznej szkody skarżącej oraz o zasądzenie na rzecz strony zwrotu kosztów postępowania według norm przepisanych.

Strona zarzuciła zaskarżonej decyzji naruszenie przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy oraz naruszenie przepisów prawa materialnego, tj. naruszenie przepisów:

art. 7, art. 8, art. 77, art. 80 k.p.a. poprzez brak wyczerpującego rozpatrzenia całego zgromadzonego materiału dowodowego w niniejszej sprawie, błędną ocenę zgromadzonego materiału dowodowego, w szczególności zaś błędne przyjęcie, iż [...] Spółka jawna z siedzibą w L. przetwarza dane osobowe w zakresie numeru PESEL osób, które dokonały rezerwacji w celu zakupu biletu za przejazd w sposób naruszający przepisy o ochronie danych osobowych;

art. 26 ust. 1 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), poprzez jego błędną wykładnię i przyjęcie, że pozyskując numery PESEL od osoby dokonującej rezerwacji

w celu zakupu biletu na przejazd [...] Spółka jawna z siedzibą w L. przetwarza dane osobowe niezgodnie z przepisami ustawy - Prawo przewozowe;

art. 26 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), poprzez jego błędną wykładnię i przyjęcie, że wykorzystanie przez skarżącego numeru PESEL klientów, jako jednego z możliwych loginów do systemu komputerowego "[...]", służącego do przetwarzania danych osobowych, w związku z rezerwacją biletów przez Internet, narusza zasadę adekwatności przetwarzanych danych osobowych, podczas, gdy

w rzeczywistości dane osobowe w postaci numeru PESEL klienta logującego się do systemu są w pełni adekwatne w stosunku do celu ich przetwarzania;

art. 36 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), poprzez jego błędną wykładnię

i przyjęcie, że wykorzystanie przez skarżącego numeru PESEL klientów, jako jednego

z możliwych loginów do systemu komputerowego "[...]" służącego do przetwarzania danych osobowych, w związku z rezerwacją biletów przez Internet narusza obowiązek zastosowania odpowiednich środków technicznych i organizacyjnych zapewniających ochronę danych osobowych przetwarzanych przez administratora danych osobowych.

art. 23 ust. 1 pkt 2 ustawy z dnia o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) w zw. z § 2 ust. 1 Rozporządzenia Ministra Finansów z dnia 29 listopada 2012 r. w sprawie zwolnień z obowiązku prowadzenia ewidencji przy zastosowania kas rejestrujących (Dz.U. z 2012 r. poz. 1382) oraz pkt 43 załącznika do rozporządzenia, poprzez jego błędną wykładnię i nakazanie skarżącemu usunięcia danych osobowych w zakresie numeru PESEL osób, które dokonały rezerwacji w celu zakupu biletu za przejazd, w sytuacji, gdy przepis prawa nakłada na skarżącego obowiązek przechowywania danych umożliwiających jednoznaczną identyfikację dokonanych czynności (obowiązek przechowywania takiej dokumentacji przez czas wskazany w przepisach podatkowych), podczas gdy aktualnie nie jest możliwa zmiana danych klientów na inne dane, mogących służyć takiej identyfikacji.

Skarżąca dodała ponadto, że organ nie uwzględnił jej stanowiska w zakresie

w jakim przetwarza ona dane osobowe – numer PESEL osób, które dokonały rezerwacji w celu zakupu biletu za przejazd. Skarżąca wskazała, że te dane osobowe przetwarzane są tylko w jeden sposób – są one przechowywane na potrzeby ewentualnej kontroli skarbowej.

Strona wskazała też, że zgodnie z treścią § 2 ust. 1 rozporządzenia Ministra Finansów z dnia 29 listopada 2012 r. w sprawie zwolnień z obowiązku prowadzenia ewidencji przy zastosowaniu kas rejestrujących, zwalnia się z obowiązku ewidencjonowania w danym roku podatkowym, nie później jednak niż do dnia 31 grudnia 2014 r., czynności wymienione w załączniku do rozporządzenia.

Wśród czynności wymienionych w załączniku, pod numerem 43 znajduje się sprzedaż biletów i rezerwacja miejsc przy przewozach rozkładowych pasażerskich, pod warunkiem że zapłaty za wykonaną czynność dokonano w całości za pośrednictwem poczty, banku lub spółdzielczej kasy oszczędnościowo-kredytowej (odpowiednio na rachunek bankowy podatnika lub na rachunek podatnika w spółdzielczej kasie oszczędnościowo-kredytowej, której jest członkiem) a z ewidencji i dowodów dokumentujących zapłatę jednoznacznie wynika, jakiej konkretnie czynności dotyczyła.

W związku z powyższym skarżąca nie rejestrowała zwolnionych transakcji na kasach fiskalnych jednakże jest zobowiązana do prowadzenia i przechowywania odpowiedniej ewidencji i dowodów jednoznacznie identyfikujących transakcję (czynność). Jeżeli więc określony kontrahent, dokonując transakcji podał swój numer pesel jako login, skarżąca nie ma możliwości zamiany tych danych klienta na inne, dzięki którym transakcja mogła by być jednoznacznie identyfikowana. Gdyby skarżąca usunęła, jak nakazuje organ, dane, o których mowa powyżej (nr PESEL) w razie ewentualnej kontroli skarbowej dokumentacja nie spełniałaby wymagań określonych

w rozporządzeniu, a skarżąca poniosłaby negatywne konsekwencje podatkowe swoich działań.

W odpowiedzi na skargę Generalny Inspektor wniósł o jej oddalenie. Organ podtrzymał dotychczas prezentowane stanowisko. Ponadto GIODO nie zgodził się

z twierdzeniem skarżącej zawartym w skardze, że w zaskarżonej decyzji nie uwzględnił, iż Spółka przetwarza dane osobowe w zakresie numeru PESEL osób, które dokonały rezerwacji w celu zakupu biletu przez Internet, na potrzeby ewentualnej kontroli skarbowej.

Zdaniem organu, Spółka dokonuje odpłatnego przewozu osób na podstawie umowy przewozu. Zawarcie wskazanej umowy następuje poprzez sprzedaż biletów dokonywaną za pomocą kas fiskalnych. Zakupione bilety zawierają następujące informacje: dane przewoźnika, imię i nazwisko podróżnego, datę i godzinę wyjazdu, cenę, liczbę oraz rodzaj zakupionych biletów a także specjalny unikatowy numer transakcji zakupu. Organ wskazał, że w jego ocenie ww. dane w dostateczny sposób potwierdzają, iż doszło do transakcji zakupu biletu. W związku z powyższym przetwarzanie przez Spółkę pozyskanych numerów PESEL jako loginu, w celu prowadzenia rozliczeń finansowych nie znajduje w ocenie organu żadnego uzasadnienia.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Zgodnie z treścią przepisu art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 z późn. zm.), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem skarżonej decyzji administracyjnej. Jest więc to kontrola legalności rozstrzygnięcia zapadłego w postępowaniu administracyjnym z punktu widzenia jego zgodności z prawem materialnym i procesowym. Stosownie natomiast do art. 134 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. 2012 r., poz. 270 ze zm., dalej jako p.p.s.a.), sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną.

Skarga badana pod tym kątem podlega oddaleniu.

Wskazać należy, że w rozpoznawanej sprawie przedmiotem skargi była decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] października 2014 r., którą organ:

1) uchylił pkt 1 wcześniejszej decyzji z dnia [...] lipca 2014 r. nr [...], w części dotyczącej nakazu zaprzestania przetwarzania, tj. pozyskiwania numeru PESEL, od osób, które dokonują rezerwacji w celu zakupu biletu na przejazd i

w tym zakresie umorzył postępowanie,

2) uchylił pkt 3 zaskarżonej decyzji, w części dotyczącej nakazu zastosowania odpowiednich środków technicznych i organizacyjnych, zapewniających ochronę danych osobowych przetwarzanych w związku z logowaniem się do systemu informatycznego o nazwie "[...]" (system służący do przetwarzania danych osobowych w związku z rezerwacją biletu przez Internet) i w tym zakresie umorzył postępowanie,

3) w pozostałym zakresie utrzymał w mocy zaskarżoną decyzję.

Przypomnieć należy, że zgodnie z pkt 2powołanej decyzji GIODO z dnia [...] lipca 2014 r., organ nakazał Spółce jawnej [...] z siedzibą w L. przy ulicy [...], jako administratorowi danych osobowych, usunięcie danych osobowych w zakresie numeru PESEL od osób, które dokonały rezerwacji w celu zakupu biletu na przejazd, w terminie 30 dni od dnia, w którym niniejsza decyzja stanie się ostateczna.

Stwierdzić należy, że ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). Powołana ustawa o ochronie danych osobowych określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). Przetwarzanie może być uznane za zgodne z prawem jedynie wówczas, gdy administrator danych wykaże się spełnieniem co najmniej jednej z materialnych przesłanek przetwarzania danych osobowych. Przesłanki te co do zasady równoprawne, zostały enumeratywnie wymienione w art. 23 ustawy, w przypadku danych zwykłych oraz w art. 27 ustawy w przypadku danych wrażliwych.

Podstawą materialnoprawną zaskarżonej decyzji jest art. 26 ust. 1 pkt 1 i pkt 3 oraz art. 36 ust. 1 pow. ustawy o ochronie danych osobowych. Zgodnie z treścią art. 26 ust. 1 pkt 1 ustawy, administrator danych, przetwarzający dane, powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem, a także merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane (pkt. 3).

Rozpoznając niniejszą sprawę wskazać należy, że organ zarzucił skarżącej, że pozyskując numer PESEL od osoby dokonującej rezerwacji w celu zakupu biletu na przejazd na stronie internetowej o adresie [...], przetwarzała te dane niezgodnie z prawem, tj. naruszając zasadę adekwatności, o której mowa w art. 26 ust. 1 pkt 3 pow. ustawy o ochronie danych osobowych. Wskazać należy, że art. 26 ust. 1 pkt 3 ustawy wyraża zasadę adekwatności. Zasada ta została implementowana do ustawy o ochronie danych osobowych z postanowień Dyrektywy Parlamentu Europejskiego i Rady nr 95/46/WE z dnia 24 października 1995 r. w sprawie ochrony danych osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. UEL z dnia 23 listopada 1995 r.). Dyrektywa ta, jako implementowana do polskiego systemu prawnego, wiąże podmioty pobierające i przetwarzające dane osobowe, jak również orzekające w sprawach związanych z ochroną danych osobowych sądy i organy administracji. Zasada proporcjonalności wyraża się w obowiązku przetwarzania prawidłowych danych przez administratorów w sposób odpowiedni do celów dla jakich zostały zgromadzone. Na podstawie art. 29 Dyrektywy powołano organ konsultacyjny nazwany Grupą Roboczą. Organ ten składa się z przedstawicieli organów ochrony danych osobowych obywateli państw członkowskich. Rolą Grupy Roboczej jest czuwanie nad jednolitym stosowaniem przez państwa członkowskie, środków zmierzających do ochrony danych osobowych, przyjętych na podstawie wspomnianej Dyrektywy przez państwa członkowskie. W przyjętym przez Grupę w dniu 1 sierpnia 2003 r. dokumencie roboczym w sprawie biometrii przyjęto, jako niezbędną, zasadę proporcjonalności i legalności. Oznacza to, że ryzyko naruszenia swobód i fundamentalnych praw obywatelskich musi być proporcjonalne do celu, któremu służy.

W celu założenia konta wystarczającym jest bowiem pozyskanie takich danych osobowych jak: imię, nazwisko, adres e-mail, numer telefonu komórkowego i hasło.

Ponadto zgodzić się należy z organem, że przetwarzanie numeru PESEL niezgodne było również z prawem przewozowym. Stosownie bowiem do art. 16 ust. 2 Prawa przewozowego, na bilecie na przejazd, umieszcza się: nazwę przewoźnika, relację lub strefę przejazdu, wysokość należności za przejazd, zakres uprawnień pasażera do ulgowego przejazdu. Ponadto, na bilecie mogą być umieszczane inne informacje, w tym dane osobowe pasażera, jeżeli jest to niezbędne dla przewoźnika lub organizatora w regularnym przewozie osób art. 16 ust. 3 ustawy Prawo przewozowe). Również z treści obowiązującego w Spółce "Regulaminu przewozu osób i bagażu w komunikacji regularnej [...] Sp. j. ul. [...], [...] L." wynika, m.in., iż biletem stanowiącym dowód zawarcia umowy przewozu pomiędzy przewoźnikiem a podróżnym jest plik wygenerowany przez system, zawierający następujące dane: dane przewoźnika, imię i nazwisko podróżnego, data i godzina wyjazdu, cena, liczba zakupionych biletów oraz specjalny numer unikatowy (numer transakcji zakupu biletu)". A zatem z treści tego regulaminu również wynika, że w celu jakim jest sprzedaż przez Spółkę biletu na przejazd, nie jest wymagane pozyskiwanie numeru PESEL, a to oznacza, że Spółka nie stosuje się do unormowań zawartych w przedmiotowym regulaminie. Tak więc oznacza to, że Spółkę naruszała tym samym art. 26 ust. 1 pkt 1 ustawy.

Stwierdzić należy, że niezrozumiałe jest stanowisko skarżącej wskazujące na konieczność dalszego przetwarzania, tych numerów PESEL, które pozyskała wcześniej, jako administrator danych, przed wydaniem przez Generalnego Inspektora Ochrony Danych Osobowych, decyzji z dnia [...] lipca 2014 r., skoro Spółka we wniosku o ponowne rozpatrzenie sprawy złożyła wyjaśnienia, z których wynika, że obecnie "po wszczęciu postępowania przez Generalnego Inspektora zaprzestała całkowicie pozyskiwania numerów PESEL od swoich klientów".

Sąd nie podziela argumentów Spółki, zawartych w skardze, że organ w zaskarżonej decyzji nie uwzględnił, iż przetwarza ona pozyskane wcześniej dane osobowe w zakresie numeru PESEL osób, które dokonały rezerwacji w celu zakupu biletu przez Internet, na potrzeby ewentualnej kontroli skarbowej.

Stwierdzić należy, że po pierwsze, w trakcie całego postępowania administracyjnego tego argumentu Spółka w ogóle nie podnosiła a ponadto, jak wynika z akt sprawy obecnie w celu założenia konta na ww. stronie, osoba zainteresowana nie wprowadza numeru PESEL a jedynie takie dane jak: imię, nazwisko, adres e-mail, telefon komórkowy oraz hasło).

Wskazać należy ponadto, że Spółka jako podatnik korzysta ze zwolnienia z obowiązku ewidencjonowania czynności wynikających z pkt II pozycji 43 załącznika do rozporządzenia Ministra Finansów z dnia 29 listopada 2012 r. w sprawie zwolnień z obowiązku prowadzenia ewidencji przy zastosowaniu kas rejestrujących, z którego wynika, ze zwolnieniu z obowiązku ewidencjonowania za pomocą kas rejestrujących podlega "sprzedaż biletów i rezerwacja miejsc przy przewozach rozkładowych pasażerskich, pod warunkiem że zapłaty za wykonaną czynność dokonano w całości za pośrednictwem poczty, banku lub spółdzielczej kasy oszczędnościowo-kredytowej (odpowiednio na rachunek bankowy podatnika lub na rachunek podatnika w spółdzielczej kasie oszczędnościowo-kredytowej, której jest członkiem), a z ewidencji i dowodów dokumentujących zapłatę jednoznacznie wynika, jakiej konkretnie czynności dotyczyła".

Bezsporne jest, że Spółka dokonuje odpłatnego przewozu osób na podstawie umowy przewozu. Zawarcie wskazanej umowy następuje poprzez sprzedaż biletów, dokonywaną za pomocą kas fiskalnych lub za pośrednictwem systemu rezerwacji internetowej, tj. za pośrednictwem strony internetowej o adresie [...] Biletem zakupionym za pośrednictwem tej strony internetowej jest plik wygenerowany z systemu informatycznego o nazwie "[...]", który zawiera następujące informacje: dane przewoźnika, imię i nazwisko podróżnego, datę i godzinę wyjazdu, cenę, liczbę oraz rodzaj zakupionych biletów a także specjalny unikatowy numer transakcji zakupu. Niewątpliwie zatem takie dane, w dostateczny sposób potwierdzają, iż doszło do transakcji zakupu biletu, o czym świadczy nadany w systemie informatycznym o nazwie "[...]" unikatowy numer transakcji zakupu, który nadawany jest przez ww. system automatycznie po dokonaniu zapłaty drogą elektroniczną za dany bilet. Tak więc przetwarzanie przez Spółkę pozyskanych numerów PESEL, jako loginu, w celu prowadzenia rozliczeń finansowych nie znajduje żadnego uzasadnienia.

Reasumując wskazać należy, że Generalny Inspektor Ochrony Danych Osobowych w swoich decyzjach, wyjaśnił stan faktyczny i prawny sprawy. W sposób wystarczający dokonał oceny materiału dowodowego sprawy, wskazał fakty uznane za udowodnione, dowody, na których się oparto, zaś w uzasadnieniu prawnym wskazano i przeanalizowano podstawę prawną decyzji. Decyzja zawiera wszystkie elementy wymagane w oparciu o art. 107 § 1 k.p.a. Organ nie naruszył zasady prowadzenia postępowania w sposób budzący zaufanie jego uczestników do władzy publicznej (art. 8 k.p.a.), wyjaśnił zasadność przesłanek, którymi kierował się przy załatwieniu sprawy, wyczerpująco zebrał i rozpatrzył materiał dowodowy (art. 77) i ocenił go na podstawie całokształtu materiału dowodowego.

Organ nie naruszył także art. 7 k.p.a., zgodnie z którym w toku postępowania organy stoją na straży praworządności, z urzędu lub na wniosek stron podejmują wszelkie czynności niezbędne do dokładnego wyjaśnienia stanu faktycznego oraz do załatwienia sprawy, mając na względzie interes społeczny i słuszny interes obywateli.

W sprawie niniejszej zgromadzone dowody były bowiem wystarczające do poczynienia ustaleń faktycznych niezbędnych do zastosowania powołanych w podstawie prawnej przepisów prawa, a w uzasadnieniu zaskarżonej decyzji organ w sposób wyczerpujący uzasadnił swoje stanowisko.

W tym stanie rzeczy, na mocy art. 151 p.p.s.a., należało orzec jak w sentencji.



Powered by SoftProdukt