Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Góraj, Sędziowie WSA Sławomir Antoniuk, Ewa Marcinkowska (spr.), Protokolant sekretarz sądowy Sylwia Mikuła, po rozpoznaniu na rozprawie w dniu 16 kwietnia 2012 r. sprawy ze skargi Prezydenta Miasta B. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2011 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę

Generalny Inspektor Ochrony Danych Osobowych decyzją nr [...] z dnia [...] listopada 2011 r., wydaną na podstawie art. 138 § 1 pkt 1 k.p.a. oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1, art. 22 w związku z art. 26 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), po ponownym rozpatrzeniu sprawy, utrzymał w mocy w zakresie punktu 1 wcześniejszą decyzję z dnia [...] września 2011 r. nr [...], nakazującą Prezydentowi Miasta B. z siedzibą w B. przy ul. [...], usunięcie uchybień w procesie przetwarzania danych osobowych poprzez zaprzestanie przetwarzania, tj. kodowania numeru PESEL na elektronicznym nośniku - [...] Karcie Miejskiej, jako danej nieadekwatnej do celu jej przetwarzania, w przypadku wydawania kolejnych kart, w terminie od dnia, w którym decyzja stanie się ostateczna.

Do wydania powyższej decyzji doszło w następującym stanie faktycznym i prawnym:

Inspektorzy upoważnieni przez Generalnego Inspektora Ochrony Danych Osobowych, przeprowadzili u Prezydenta Miasta B. - Urzędzie Miasta B. z siedzibą w B. przy ul. [...] kontrolę zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych (tj. ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) i rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).

W toku kontroli odebrano od pracowników Urzędu ustne wyjaśnienia oraz dokonano oględzin pomieszczeń, w których odbywa się przetwarzanie danych osobowych. Stan faktyczny został szczegółowo opisany w protokole kontroli, który został podpisany przez Zastępcę Prezydenta Miasta B.

Na podstawie zgromadzonego podczas kontroli materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych Prezydent Miasta B., jako administrator danych, naruszył przepisy o ochronie danych osobowych, polegające na:

1. kodowaniu numeru PESEL na [...] Karcie Miejskiej (art. 26 ust. 1 pkt 3 ustawy);

2. niezawarciu w polityce bezpieczeństwa:

a) w opisie struktury zbioru danych osobowych o nazwie "Bilet imienny" wskazującym zawartość poszczególnych pól informacyjnych i powiązania między nimi informacji dotyczących przetwarzania danych osobowych za pomocą systemu informatycznego o nazwie "Bilet imienny" (art. 36 ust. 2 ustawy w związku z § 4 pkt 3 rozporządzenia),

b) sposób przepływu pomiędzy poszczególnymi systemami danych osobowych osób korzystających z [...] Karty Miejskiej (art. 36 ust. 2 ustawy w związku z § 4 pkt 4 rozporządzenia;

3. niezawarciu w ewidencji osób upoważnionych do przetwarzania danych osobowych identyfikatorów osób upoważnionych do przetwarzania danych w systemie informatycznym o nazwie "Bilet Imienny" (art. 39 ust. 1 pkt 3 ustawy).

W związku z powyższym, w dniu [...] sierpnia 2011 r. Generalny Inspektor Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne w celu wyjaśnienia okoliczności sprawy.

Prezydent Miasta B., w odpowiedzi na zawiadomienie o wszczęciu postępowania, w piśmie z dnia 12 sierpnia 2011 r. wyjaśnił, że system [...] Karty Miejskiej ma na celu zapewnienie uniwersalnej platformy umożliwiającej dokonywanie różnego typu płatności m.in. za przejazdy [...] komunikacją miejską, usługi Miejskiego Ośrodka Sportu i Rekreacji, obsługę wybranych świadczeń realizowanych przez Miejski Ośrodek Pomocy Rodzinie. Kodowany na Karcie numer PESEL stanowi unikalny identyfikator, który będzie wykorzystywany do celów identyfikacji osoby w innych systemach korzystających z Karty wdrożonych w różnych jednostkach miasta oraz ewentualnie systemach innych podmiotów współpracujących.

Wykorzystanie numeru PESEL pozwoli uniknąć konieczności uruchamiania dodatkowych mechanizmów identyfikacji w innych systemach informatycznych (posiadających własne bazy osób) wykorzystujących Kartę. Numer PESEL jest istotnym elementem zakodowanym na Kracie, ponieważ każda osoba może posiadać w określonym czasie kolejno kilka kart miejskich, które mogą być w różnych sytuacjach wymieniane na nowe. Tak więc wykorzystanie unikalnego identyfikatora Karty do identyfikacji osób we współpracujących systemach jest niemożliwe, a pozostałe dane zgromadzone na Karcie nie identyfikują jednoznacznie poszczególnych osób fizycznych.

Decyzją z dnia [...] września 2011 r., wydaną na podstawie art. 104 § 1 k.p.a., art. 12 pkt 2, art. 18 ust. 1 pkt 1, art. 22 w związku z art. 26 ust. 1 pkt 3, art. 36 ust. 2 oraz art. 39 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz § 4 pkt 3 i pkt 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, Generalny Inspektor Ochrony Danych Osobowych nakazał Prezydentowi Miasta B. usunięcie uchybień w procesie przetwarzania danych osobowych poprzez:

1. Zaprzestanie przetwarzania, tj. kodowania numeru PESEL na [...] Karcie Miejskiej, jako danej nieadekwatnej do celu jej przetwarzania, w przypadku wydawania kolejnych kart, w terminie od dnia, w którym niniejsza decyzja stanie się ostateczna;

2. Uzupełnienie, w terminie 7 dni od dnia, w którym niniejsza decyzja stanie się ostateczna:

a) w opisie struktury zbioru danych osobowych o nazwie "Bilet imienny" wskazującym zawartość poszczególnych pól informacyjnych i powiązania między nimi o informacje dotyczące przetwarzania danych osobowych za pomocą systemu informatycznego o nazwie "Bilet imienny";

b) o sposób przepływu pomiędzy poszczególnymi systemami danych osobowych osób korzystających z [...] Karty Miejskiej.

3. Uzupełnienie ewidencji osób upoważnionych do przetwarzania danych osobowych o identyfikatory osób upoważnionych do przetwarzania danych osobowych w systemie informatycznym o nazwie "Bilet imienny", w terminie 7 dni od dnia, w którym niniejsza decyzja stanie się ostateczna.

W uzasadnieniu decyzji organ powołał się na art. 26 ust. 1 pkt 3 ustawy, zgodnie z którym administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane.

Organ wskazał, iż zgodnie z ustaleniami kontroli na Karcie nadrukowywane jest imię, nazwisko i wizerunek. Ponadto, do pamięci Karty wprowadzane są: numer Karty, data ważności Karty, imię i nazwisko, numer PESEL oraz informacja o przysługującej uldze przy zakupie biletu. Przy czym fakt kodowania numeru PESEL na Karcie uzasadniono koniecznością jednoznacznej identyfikacji pasażera. W ocenie organu dla celów identyfikacji pasażera wystarczające są dane nadrukowane na Karcie, tj. imię, nazwisko, wizerunek oraz numer Karty. Odnosząc się natomiast do argumentacji strony, że numeru PESEL zakodowany na Karcie w przyszłości będzie wykorzystywany przez inne podmioty jako dana jednoznacznie identyfikująca posiadacza Karty w systemach informatycznych tych podmiotów organ podniósł, iż w toku prowadzonego w niniejszej sprawie postępowania administracyjnego nie zostały przedstawione dowody na przykład w postaci umów zawartych przez Prezydenta Miasta B., potwierdzające, iż Karta ta będzie wykorzystywana przez inne podmioty oraz z których wynikałaby konieczność kodowania na Karcie numeru PESEL.

W związku z powyższym organ uznał, iż kodowanie numeru PESEL na Karcie jest nieuzasadnione, a zatem Prezydent Miasta B. powinien zaprzestać przetwarzania numeru PESEL na [...] Karcie Miejskiej, jako danej nieadekwatnej do celu jej przetwarzania, w przypadku wydawania kolejnych kart.

Ponadto organ wskazał, iż w toku kontroli ustalono, że w Urzędzie Miasta B. została opracowana i wdrożona "Polityka bezpieczeństwa", która jednak nie zawiera: w opisie struktury zbiorów danych, wskazującego zawartość poszczególnych pól informacyjnych i powiązania między nimi, informacji dotyczących przetwarzania danych osobowych za pomocą systemu informatycznego o nazwie "Bilet Imienny" oraz sposobu przepływu pomiędzy poszczególnymi systemami danych osobowych osób korzystających z [...] Karty Miejskiej. Prowadzona w Urzędzie Miasta B. ewidencja osób upoważnionych do przetwarzania danych osobowych nie zawiera zaś identyfikatorów osób upoważnionych do przetwarzania danych w systemie informatycznym o nazwie "Bilet Imienny".

W dniu 10 października 2011 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynął, złożony w terminie, wniosek Prezydenta Miasta B. o ponowne rozpatrzenie sprawy zakończonej decyzją Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] września 2011 r. w zakresie punktu 1 tej decyzji.

W uzasadnieniu wniosku podkreślono, że wykorzystanie karty miejskiej (nośnika) w innych systemach niż [...] Karta Miejska ma charakter dobrowolny i zależy tylko od woli posiadacza karty miejskiej. Ponadto, ze względu na bezpieczeństwo danych osobowych posiadaczy karty miejskiej przyjęte zostało założenie, że wszystkie systemy wykorzystujące kartę miejską (nośnik) powinny być od siebie niezależne tzn. nie powinna zachodzić pomiędzy nimi wymiana danych, a jedynym wspólnym elementem powinien być potwierdzony w punkcie personalizacji kart miejskich numer PESEL, który pozwoli uniknąć konieczności tworzenia centrów personalizacji kart do innych systemów współpracujących z systemem [...] Karty Miejskiej.

Podniesiono jednocześnie, że konsultacje związane z wykorzystaniem karty miejskiej trwają od momentu opracowania koncepcji projektu związanego z [...] Kartą Miejską, jednak dopiero od momentu rozpoczęcia wdrażania i uruchomienia tego bardzo złożonego systemu strona skarżąca nabiera rzeczywistej wiedzy o niuansach technicznych wdrożonego rozwiązania. Stąd też, dopiero teraz możliwe jest sukcesywne proponowanie współpracy w zakresie wykorzystania karty miejskiej kolejnym jednostkom Miasta B.

Do wniosku załączone zostało porozumienie o współpracy w zakresie świadczenia usług z wykorzystaniem [...] Karty Miejskiej zawarte w dniu [...] października 2011 r. pomiędzy Miastem B., a Miejskim Ośrodkiem Sportu i Rekreacji w B.

Generalny Inspektor Ochrony Danych Osobowych, po ponownym rozpatrzeniu sprawy, decyzją z dnia [...] listopada 2011 r., wydaną na podstawie art. 138 § 1 pkt 1 k.p.a. oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1, art. 22 w związku z art. 26 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, utrzymał w mocy zaskarżone rozstrzygnięcie zawarte w punkcie 1 decyzji z dnia [...] września 2011 r.

W uzasadnieniu decyzji organ podtrzymał swoje wcześniejsze stanowisko podkreślając, że administrator danych powinien zapewnić, aby zakres danych zapisanych na Karcie (danych nadrukowanych na Karcie oraz zakodowanych w pamięci Karty) był adekwatny do celów przetwarzania tych danych, tj. weryfikacji, czy daną Kartą posługuje się osoba upoważniona do jej używania oraz kontroli, czy na Karcie zakodowany został ważny bilet elektroniczny.

Powołując się na wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 1 grudnia 2005 r. sygn. akt II SA/Wa 917/2005 organ stwierdził, iż kodowanie na Karcie numeru PESEL ich posiadaczy jako danych niezbędnych do realizacji wskazanych powyżej celów nie znajduje uzasadnienia. W opisanym przypadku dane wystarczające do osiągnięcia ww. celów stanowią bowiem: wizerunek, imię i nazwisko posiadacza (dla celów identyfikacji), numer Karty, data ważności Karty, imię i nazwisko oraz numer PESEL posiadacza, a także informacja o przysługującej uldze przy zakupie biletu (dla celów kontroli). Należy tym samym uznać, iż kodowanie tego numeru na Karcie jest nieadekwatne przez co narusza art. 26 ust. 1 pkt 3 ustawy.

Odnosząc się natomiast do argumentacji strony, że Karty będą mogły w przyszłości być wykorzystywane przez ich posiadaczy również w innych celach podczas korzystania z usług oferowanych przez jednostki organizacyjne Miasta B. organ ponownie podniósł, iż są to w zasadzie niedoprecyzowane założenia, które są uzależnione od wprowadzenia w powyższych jednostkach odpowiednich systemów informatycznych i wypracowania zasad, na jakich będą wykorzystywane Karty w tych jednostkach. Ponadto, jak wynika chociażby z treści "Porozumienia o współpracy w zakresie świadczenia usług z wykorzystaniem [...] Karty Miejskiej" zawartego w dniu [...] października 2011 r., ewentualne wykorzystanie Karty przez jej posiadacza w innych celach niż była wystawiona (to jest jako nośnika imiennego biletu uprawniającego do przejazdu środkami [...] Komunikacji Miejskiej) będzie uzależnione od decyzji tego posiadacza. Z pewnością zaś nie każdy posiadacz Karty będzie z niej korzystał w celach innych niż jako nośnik ww. imiennego biletu.

Organ podkreślił jednocześnie, że w toku kontroli przeprowadzonej w dniach 4-8 lipca 2011 r. ustalono, iż zdaniem podmiotu kontrolowanego numer PESEL jest kodowany na Karcie w celu jednoznacznej identyfikacji jej posiadacza, co zostało zawarte w protokole kontroli, pod którym podpisał się, nie składając zastrzeżeń co do tego ustalenia, Zastępca Prezydenta Miasta B. Nie zostały natomiast podniesione przez podmiot kontrolowany inne okoliczności uzasadniające kodowanie numeru PESEL na Karcie. Dopiero w toku prowadzonego w niniejszej sprawie postępowania, wobec uznania przez Generalnego Inspektora Ochrony Danych Osobowych powyższej praktyki jako naruszającej art. 26 ust. 1 pkt 3 ustawy, Prezydent Miasta B. podał, iż numer PESEL kodowany na Karcie będzie wykorzystywany w przyszłości przez inne jednostki organizacyjne Miasta B. jako informacja jednoznacznie identyfikująca posiadacza Karty w systemach informatycznych tych jednostek.

Przedmiotem niniejszego postępowania objęto natomiast wyłącznie wyżej wskazane uchybienie w procesie przetwarzania danych osobowych posiadaczy [...] Karty Miejskiej przez Prezydenta Miasta B., jako administratora tych danych, stwierdzone na podstawie stanu faktycznego ustalonego w toku przedmiotowego postępowania administracyjnego. W związku z powyższym, argumentacja dotycząca ewentualnego przetwarzania numeru PESEL w przyszłości przez inne podmioty, w bliżej nieokreślonych systemach informatycznych, dla realizacji niesprecyzowanych celów przetwarzania tych danych, nie może zostać uwzględniona w toku ponownego rozpatrywania przedmiotowej sprawy.

W skardze na powyższą decyzję skierowanej do Wojewódzkiego Sądu Administracyjnego w Warszawie Prezydent Miasta B. wniósł o jej uchylenie i uznanie przetwarzania numeru PESEL na [...] Karcie Miejskiej jako uzasadnionego i dopuszczalnego jako dana merytorycznie poprawna i adekwatna w stosunku do celów, w jakich jest przetwarzana.

W uzasadnieniu skargi podkreślono, że imię i nazwisko nie są wystarczającymi danymi jednoznacznie identyfikującymi posiadacza karty. Identyfikacja posiadacza może być w wielu przypadkach niepełna lub obarczona niepewnością nawet w przypadku zastosowania wizerunku, który łatwo ulega zmianie w wyniku przyczyn naturalnych lub zabiegów danej osoby. Praktyka wskazuje ponadto, że w systemach informatycznych gromadzących dane osobowe, jedynym identyfikatorem osoby jest niewątpliwie numer PESEL. Przypadki ojca i syna, o tym samym imieniu i nazwisku, identycznym adresie, wskazują, iż ww. numer PESEL staje się niezbędnym składnikiem systemu informacji o użytkowniku. Powyższe założenie zostało więc zawarte w Specyfikacji Istotnych Warunków Zamówienia na "Zaprojektowanie, budowę, wykonanie i wdrożenie zintegrowanego systemu elektronicznej karty miejskiej do pobierania opłat za przejazdy komunikacją miejską, systemu dynamicznej informacji pasażerskiej w czasie rzeczywistym oraz systemu zliczania pasażerów w ramach projektu: "Poprawa jakości funkcjonowania systemu transportu publicznego miasta B. - Etap II".

Ponadto, powyższe rozwiązanie z zakodowaniem uprawnień od ulg i zwolnień, w oparciu o § 1 ust. 1 pkt 8 uchwały nr [...] Rady Miejskiej B. z dnia [...] marca 2011 r. w sprawie ustalenia cen urzędowych za usługi przewozowe transportu zbiorowego [...] komunikacji miejskiej skutecznie wyeliminowało z obrotu szereg dokumentów potwierdzających nabyte prawa, co też było do tej pory problematyczne z punktu widzenia ochrony danych osobowych. Np. eliminuje konieczność posługiwania się przez pasażerów dokumentami zawierającymi tzw. dane wrażliwe, czego przykładem są osoby uprawnione do ulg na podstawie przyznanego stopnia niepełnosprawności.

Podkreślono jednocześnie, że zakres danych uwidocznionych (nadrukowanych na imiennej [...] Karcie Miejskiej) jest zgodny z upoważnieniem, jakiego dostarcza art. 16 ustawy - Prawo przewozowe. Zwrócono uwagę, iż zapisy ust. 3 i 4 tego artykułu, upoważniają Prezydenta Miasta B. jako organizatora publicznego transportu zbiorowego do umieszczania danych osobowych zarówno na karcie imiennej, jak i w pamięci karty. Nasuwa się więc wniosek, że w przypadku świadczenia usług przewozowych istnieje upoważnienie do przetwarzania danych osobowych pasażera, a w tym zbiorze danych może znajdować się numer PESEL. Ponadto art. 33a ustawy - Prawo przewozowe określający warunki prowadzenia kontroli dokumentów przewozu osób lub bagażu w ust. 7 upoważnia organizatora publicznego transportu zbiorowego albo osobę przez niego upoważnioną, w razie odmowy zapłacenia należności za przewóz - aby żądać okazania dokumentu umożliwiającego stwierdzenie tożsamości podróżnego. W razie uzasadnionych wątpliwości, czy okazana karta imienna może być wykorzystywana przez okazującego np. niemożność zweryfikowania wizerunku, nieczytelny, zamazany lub zatarty nadruk na karcie itp., skutecznym rozwiązaniem byłoby porównanie danych zakodowanych w karcie z innym dokumentem tożsamości. Tym samym, w ocenie skarżącego, kodowanie numeru PESEL na karcie imiennej jest adekwatne do celów kontroli dokumentów przewozu, zwłaszcza gdy dotyczy to biletów imiennych.

Zaznaczono jednocześnie, iż w komunikacji miejskiej w B., podobnie jak w kilkudziesięciu innych miastach w Polsce, funkcję nośnika elektronicznego imiennego biletu okresowego oraz elektronicznej portmonetki pełnią elektroniczne legitymacje studenckie, na których uwidoczniono wizerunek, imię i nazwisko studenta, pełny adres zamieszkania oraz numer PESEL. Analogiczną funkcję spełnia w B. karta kibica [...], na której uwidoczniono nadrukowany wizerunek, imię i nazwisko oraz numer PESEL. Skarżący przyznał przy tym, iż ma świadomość tego, że możliwość umieszczania tych danych wynika z delegacji ustawowych, a w szczególności z rozporządzenia Ministra Nauki i Szkolnictwa Wyższego z dnia 14 września 2011 r. w sprawie dokumentacji przebiegu studiów oraz z ustawy z dnia 20 marca 2009 r. o bezpieczeństwie imprez masowych.

Skarżący podkreślił też, że zakodowany na Karcie numer PESEL może być istotny podczas czynności kontrolnych, jeżeli powstaną uzasadnione wątpliwości czy okazana karta imienna może być wykorzystywana przez okazującego, np. niemożność zweryfikowania wizerunku, nieczytelny, zamazany lub zatarty nadruk na karcie itp. - skutecznym rozwiązaniem byłoby porównanie danych zakodowanych w karcie z innym dokumentem tożsamości, a wówczas PESEL elektronicznie odczytany z karty jest najlepszym sposobem przeprowadzenia weryfikacji. Poza tym istnieje teoretyczna możliwość wykorzystania karty imiennej do wystawienia wezwania do zapłaty opłaty dodatkowej przy potraktowaniu karty jako swoistego dokumentu tożsamości.

Skarżący powołał się przy tym na swoje wyjaśnienia złożone w trakcie prowadzonego przez organ postępowania, iż numer PESEL kodowany na karcie będzie wykorzystywany w przyszłości przez jednostki organizacyjne Miasta B., jako informacja jednoznacznie identyfikująca posiadacza Karty w systemach informatycznych tych jednostek.

W ocenie skarżącego, w kontekście powyższych wyjaśnień, niezrozumiałym jest stanowisko Generalnego Inspektora Ochrony Danych Osobowych, iż ponowne rozpatrzenie sprawy uchybienia w przetwarzaniu danych osobowych posiadaczy [...] Karty Miejskiej rozpatrywane jest wyłącznie na podstawie stanu faktycznego ustalonego w toku przedmiotowego postępowania administracyjnego.

Skarżący podkreślił, iż postępowanie przetargowe w powyższej sprawie zostało uruchomione [...] lipca 2009 r., odbiór projektu nastąpił w maju 2011 r., a realizacja funkcjonalności [...] Karty Miejskiej na rzecz usług świadczonych przez komunikację miejską nastąpi na koniec grudnia 2011 r. Proces budowy infrastruktury, systemów komputerowych i wdrożenia tego niezwykle złożonego projektu zajął więc prawie 20 miesięcy - licząc od daty podpisania umowy w kwietniu 2010 r. Generalny Inspektor Ochrony Danych Osobowych obserwując etap wdrożenia z przełomu lipca i sierpnia 2011 r., gdy dopiero rozpoczęto wydawanie kart i kodowanie biletów na Karcie, nie powinien zatem kwestionować planów dalszego wykorzystania Karty formułując ocenę na podstawie zaobserwowanego etapu wdrożenia.

Zapisy zawarte w Specyfikacji Istotnych Warunków Zamówienia, na podstawie której realizowano projekt wskazują natomiast jednoznacznie na założenie, iż [...] Karta Miejska ma przede wszystkim umożliwić pobór opłat w komunikacji miejskiej w B., ale jest również przygotowana do wykorzystania przez inne jednostki miejskie jako uniwersalne narzędzie wnoszenia opłat za usługi miejskie.

Organ nie ma zatem podstaw do kwestionowania planów i założeń Miasta B., których realizacji nie sposób przeprowadzić w okresie kilku tygodni lub miesięcy, zwłaszcza w sytuacji, gdy kluczowa część wdrożenia jest jeszcze w fazie uruchamiania i ostatecznej implementacji

Kodowany na karcie miejskiej numer PESEL stanowi unikalny identyfikator każdej osoby, który będzie wykorzystany do celów identyfikacji osób w innych systemach korzystających z karty miejskiej wdrożonych w różnych jednostkach miasta oraz ewentualnie systemach innych podmiotów współpracujących. Przyjęto przy tym założenie, że wszystkie systemy wykorzystujące kartę miejską (nośnik) powinny być od siebie niezależne tzn. nie powinna zachodzić pomiędzy nimi wymiana danych, w szczególności realizacja funkcji lokalnego systemu informatycznego nie powinna wiązać się z odczytem danych z innych systemów. Jedynym wspólnym elementem łączącym współistniejące systemy powinien być potwierdzony w punkcie personalizacji kart miejskich numer PESEL, który pozwoli uniknąć konieczności tworzenia centrów personalizacji kart do innych systemów współpracujących z systemem [...] Karty Miejskiej.

Wykorzystanie numeru PESEL pozwoli zatem uniknąć konieczności dodatkowych mechanizmów identyfikacji osób w innych systemach (posiadających własne bazy osób) wykorzystujących kartę miejską.

Generalny Inspektor Ochrony Danych Osobowych w odpowiedzi na skargę wniósł o jej oddalenie w pełni podtrzymując stanowisko wyrażone w uzasadnieniu zaskarżonej decyzji.

Odnosząc się do argumentów skargi organ podkreślił, iż nie kwestionuje (i nigdy nie kwestionował) zakresu danych, jakie są nadrukowywane na imiennej [...] Karcie Miejskiej, na który składają się: wizerunek oraz imię i nazwisko posiadacza Karty. Nie kwestionuje też pozyskiwania numeru PESEL pasażerów dla realizacji celu, jakim jest zawarcie i realizacja umowy przewozu i przetwarzania go w zbiorze danych (art. 23 ust. 1 pkt 3 ustawy). Generalny Inspektor kwestionuje jedynie umieszczanie (kodowanie) numeru PESEL na Karcie w celu, któremu ma ono służyć, tj. umożliwieniu dokonania weryfikacji czy daną Kartą posługuje się osoba upoważniona do jej używania, jako danej nieadekwatnej do powyższego celu.

Ponadto odnosząc się do argumentu, iż zapisy art. 16 ust. 3 i 4 ustawy - Prawo przewozowe upoważniają Prezydenta Miasta B. jako organizatora publicznego transportu zbiorowego do umieszczania danych osobowych zarówno na karcie imiennej, jak i w pamięci karty, organ wskazał, iż w ww. przepisach ustawodawca nie wskazał katalogu danych, jakie mogą być umieszczane na bilecie uprawniającym do przejazdów. W związku z powyższym, zastosowanie znajduje tu zasada adekwatności danych określona w art. 26 ust. 1 pkt 3 ustawy.

Organ podkreślił jednocześnie, iż dobór materiałów zapewniających trwałość Kart i zapisanych na nich danych leży w gestii administratora danych, a problemy wiążące się z nietrwałością nadruków wykonanych na Kartach nie uzasadniają zapisywania na Karcie dodatkowych danych, ponad te, które są niezbędne do osiągnięcia celu, dla którego dane są na Karcie zapisywane. Zatem problemy związane z trwałością Kart (zapisanych na nich danych) nie uzasadniają kodowania na Kartach numeru PESEL ich posiadaczy.

Ponadto odnosząc się do podniesionego w skardze argumentu, że istnieje teoretyczna możliwość wykorzystania Karty do wystawienia wezwania do zapłaty opłaty dodatkowej przy potraktowaniu Karty jako swoistego dokumentu tożsamości, organ wskazał, iż Karta nie może być traktowana jako dokument tożsamości, ponieważ taki charakter posiadają wyłącznie dokumenty określone w odrębnych przepisach (np. ustawie z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych).

Generalny Inspektor zaznaczył jednocześnie, iż nie kwestionuje dalszych planów wykorzystywania Karty, jednakże podkreśla, iż powyższe plany nie mogą prowadzić do przetwarzania danych osobowych posiadaczy Karty niezgodnie z przepisami prawa, w tym, plany te nie uzasadniają zapisywania na Kartach szerszego zakresu danych niż jest niezbędny do osiągnięcia celu, dla którego dane te zostały na nich zapisane, tj. dokonania weryfikacji czy daną Kartą posługuje się osoba upoważniona do jej używania oraz weryfikacji uprawnień pasażera i ważności posiadanych biletów.

Nadto, mając na uwadze powyższe plany Miasta B. odnośnie wykorzystania Karty, organ zasygnalizował, iż przetwarzanie danych osobowych posiadaczy Kart, w jakimkolwiek innym celu niż cel, dla którego dane te zostały pozyskane, tj. zawarcia i realizacji umowy przewozu (art. 23 ust. 1 pkt 3 ustawy), będzie wymagało od administratora danych legitymowania się odrębną przesłanką/przesłankami legalności przetwarzania danych osobowych, o których mowa w art. 23 ust. 1 ustawy, jak również dokonania oceny, czy zakres przetwarzanych danych jest adekwatny do danego celu ich przetwarzania.

Organ podkreślił też, że możliwość umieszczania danych osobowych, w tym numeru PESEL na elektronicznych nośnikach takich jak elektroniczna legitymacja studencka oraz karta kibica [...], wynika z rozporządzenia Ministra Nauki i Szkolnictwa Wyższego z dnia 14 września 2011 r. w sprawie dokumentacji przebiegu studiów oraz ustawy o bezpieczeństwie imprez masowych z dnia 20 marca 2009 r. Powyższe nie ma zatem wpływu na ocenę adekwatności (celowości) umieszczania kodowania numeru PESEL na Karcie w celu, któremu ma ono służyć, tj. umożliwieniu dokonania weryfikacji czy daną Kartą posługuje się osoba upoważniona do jej używania.

Organ podniósł też, że decyzje wydane przez Generalnego Inspektora Ochrony Danych Osobowych w przedmiotowej sprawie uwzględniały całokształt materiału dowodowego zgromadzonego w toku prowadzonego postępowania administracyjnego. Natomiast wskazana w skardze okoliczność, iż od 12 grudnia 2011 r. na Karcie funkcjonuje elektroniczna portmonetka, nie wnosi do przedmiotowej sprawy żadnych nowych argumentów, które miałyby wpływ na ocenę dopuszczalności kodowania na Karcie numeru PESEL jej posiadacza, bowiem kwestia funkcjonowania elektronicznej portmonetki na [...] Karcie Miejskiej została uwzględniona w toku prowadzonego przez organ postępowania.

W piśmie procesowym z dnia 16 kwietnia 2012 r. strona skarżąca podtrzymała zarzuty skargi, ponownie podnosząc, że celem kodowania numeru PESEL na karcie miejskiej jest posiadanie przez osoby fizyczne spersonalizowanej elektronicznej karty miejskiej, która umożliwi wykorzystanie jej do realizacji wielu usług. Do personalizacji elektronicznej karty miejskiej Miasto B. wykorzystuje unikalny dla każdego obywatela Polski identyfikator w postaci numeru PESEL. Nie można uznać, że do personalizacji elektronicznej karty miejskiej wystarczy nadruk zawierający imię, nazwisko, wizerunek osoby, adres zamieszkania, czy nawet PESEL, gdyż systemy informatyczne nie "widzą" informacji zawartych w postaci nadruku na karcie. Przy wykorzystaniu obecnie dostępnych technologii, personalizacja elektronicznych kart musi opierać się na zakodowaniu unikalnych cech identyfikujących konkretne osoby. Podkreślono przy tym, że Miasto B. wydaje również karty na okaziciela, niezawierające zakodowanych danych osobowych. Wybór pomiędzy kartą spersonalizowaną, a kartą na okaziciela należy do osoby występującej o wydanie karty, jednocześnie zapisy art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych są spełnione, gdyż personalizacja karty miejskiej z założenia narzuca konieczność kodowania danych osobowych jednoznacznie identyfikujących osoby, a kodowanie na karcie numeru PESEL zostaje poddane legitymizacji poprzez wyrażenie zgody przez osobę składającą wniosek o wydanie spersonalizowanej karty miejskiej (art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych). Co więcej, art. 23 ust. 2 ustawy o ochronie danych osobowych dopuszcza sytuacje, w których zgoda na przetwarzanie danych obejmuje również okres przyszły, jeżeli nie zmienia się cel przetwarzania danych osobowych, tak więc dopuszcza sytuacje, gdy cel przetwarzania zostanie osiągnięty w przyszłości.

Strona skarżąca zarzuciła, że Generalny Inspektor Ochrony Danych Osobowych potraktował [...] Kartę Miejską jak bilet komunikacyjny i nie uwzględnił tego, że mieszkańcy przy pomocy [...] Karty Miejskiej będą mogli załatwiać wiele innych spraw osobistych. [...] Karta Miejska opracowana została zaś w interesie mieszkańców, dla ich wygody, a bez zakodowanego numeru PESEL właściciel karty nie będzie mógł korzystać ze świadczonych przez Miasto B. innych usług np. socjalnych, sportowo-rekreacyjnych, przedszkoli (ewidencja czasu pobytu dzieci w przedszkolach i odpłatności z tym związanej), szkołach.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Zgodnie z art. 1 § 1 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym w świetle paragrafu drugiego powołanego wyżej artykułu kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. Innymi słowy, wchodzi tutaj w grę kontrola aktów lub czynności z zakresu administracji publicznej dokonywana pod względem ich zgodności z prawem materialnym i przepisami procesowymi, nie zaś według kryteriów odnoszących się do słuszności rozstrzygnięcia.

Ponadto, co wymaga podkreślenia, Sąd rozstrzyga w granicach danej sprawy nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną (art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi – t.j. Dz. U. z 2012 r., poz. 270).

Oceniając zaskarżoną decyzję w świetle wskazanych wyżej kryteriów Sąd stwierdził, iż skarga Prezydenta Miasta B. nie zasługuje na uwzględnienie, gdyż zaskarżona decyzja Generalnego Inspektora Ochrony Danych Osobowych oraz utrzymana nią w mocy, w zakresie pkt 1, decyzja tego organu z dnia [...] września 2011 r. nie naruszają prawa.

Na wstępie należy zaznaczyć, co zostało wyraźnie podkreślone w odpowiedzi na skargę, że organ w zaskarżonej decyzji nie zakwestionował pozyskiwania przez stronę skarżącą numeru PESEL pasażerów dla realizacji celu, jakim jest zawarcie i realizacja umowy przewozu i przetwarzania go w zbiorze danych (art. 23 ust. 1 pkt 3 ustawy). Organ zakwestionował jedynie umieszczanie (kodowanie) numeru PESEL na [...] Karcie Miejskiej w celu, któremu ma ono służyć, tj. umożliwieniu dokonania weryfikacji czy daną Kartą posługuje się osoba upoważniona do jej używania, jako danej nieadekwatnej do powyższego celu.

Przepis art. 26 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych stanowi, że administrator danych przetwarzając dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane.

Oznacza to po pierwsze związanie celem przetwarzania, stąd cel ten winien być wyraźnie zakomunikowany. Po drugie wymagana jest adekwatność przetwarzanych danych. Zasada adekwatności oznacza, iż dane nie mogą swym rodzajem i treścią wykraczać poza potrzeby wynikające z celu ich zbierania (por. J. Barta, R. Markiewicz, Ochrona danych osobowych, Komentarz, Zakamycze 2001 r., s. 351, 382, 415-416).

Zasadę adekwatności przyjmuje się za naczelną zasadę związaną z przetwarzaniem danych. Wynika już z art. 8 ust. 1 Konwencji o ochronie praw człowieka i podstawowych wolności (Dz. U. z 1993 r. Nr 61, poz. 284), która stanowi, że każda osoba ma prawo do poszanowania swojego życia prywatnego i rodzinnego. Regułę tę przyjmuje art. 8 Karty Praw Podstawowych Unii Europejskiej: każdy ma prawo do ochrony danych osobowych, które go dotyczą. Dane te muszą być przetwarzane rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej ustawą. Wartość ta została wprowadzona do najważniejszych europejskich regulacji, w tym do Konwencji nr 108 Rady Europy z dnia 28 stycznia 1981 r. o ochronie danych osobowych w związku z automatycznym przetwarzaniu danych. Zgodnie z art. 5 pkt 3 tej Konwencji dane osobowe będące przedmiotem automatycznego przetwarzania powinny być adekwatne, rzeczowe, niewykraczające poza cele, dla których są rejestrowane. Taką regulację przyjmuje Dyrektywa nr 95/46 Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych w art. 6 regulującym zasady dotyczące jakości danych: dane powinny być przetwarzane rzetelnie i legalnie, prawidłowo, stosownie oraz nienadmierne ilościowo w stosunku do celów, dla których zostały zgromadzone i/lub dalej przetwarzane.

W polskim orzecznictwie podkreśla się, iż zasada adekwatności nie odnosi się do techniki zbierania danych lecz przede wszystkim do ich zakresu. Stąd posługiwanie się taką czy inną techniką utrwalania danych nie przesądza jeszcze o ich legalności lub nielegalności (por. wyrok NSA z dnia 19 grudnia 2001 r. sygn. akt II SA 2869/00, ONSA 2003 r. Nr 1, poz. 29).

Prezydent Miasta B. podnosił w niniejszej sprawie, iż przetwarza dane osobowe użytkowników [...] Karty Miejskiej w oparciu o przesłankę legalizującą, zapisaną w art. 23 ust. 1 pkt 1 ustawy, tj. osoby te wyrażają zgodę na przetwarzanie ich danych.

Należy jednak w tym miejscu wyraźnie zaznaczyć, że wykazanie przez administratora danych, iż legitymuje się przynajmniej jedną z przesłanek przewidzianych w art. 23 ust. 1 ustawy, nie wyłącza oceny adekwatności danych w stosunku do celów, w jakich są one przetwarzane. Zatem nawet jeżeli jedną z przesłanek legalizujących przetwarzanie danych stanowi zgoda podmiotu danych, to przetwarzane informacje nie mogą wykraczać poza niezbędny zakres do realizacji zamierzonego zgodnego z prawem celu. Zgoda może bowiem obejmować przetwarzanie danych osobowych jedynie w zakresie wyznaczonym zasadą adekwatności.

Jak wyjaśniła natomiast strona skarżąca w skardze, [...] Karta Miejska ma przede wszystkim umożliwić pobór opłat w komunikacji miejskiej w B., ale ponadto jest przygotowana do wykorzystania przez inne jednostki miejskie jako uniwersalne narzędzie wnoszenia opłat za usługi miejskie. Kodowany na Karcie numer PESEL stanowić ma zaś unikalny identyfikator, który będzie wykorzystywany do celów identyfikacji osoby w innych systemach korzystających z Karty wdrożonych w różnych jednostkach miasta oraz ewentualnie systemach innych podmiotów współpracujących.

Obecnie na każdej wydawanej imiennej [...] Karcie Miejskiej kodowany jest automatycznie numeru PESEL jej użytkownika niezależnie od tego, czy osoba ta jest, czy też będzie w przyszłości w ogóle zainteresowana korzystaniem z innych, poza przewozami komunikacją miejską, świadczonych przez jednostki organizacyjne Miasta B. lub podmioty współpracujące, usług np. socjalnych, czy też sportowo-rekreacyjnych.

Z pewnością zaś wielu posiadaczy Karty jest i będzie w przyszłości zainteresowanych jej wykorzystaniem jedynie jako nośnika imiennego biletu uprawniającego do przejazdu środkami komunikacji miejskiej.

Do wykorzystania Karty w tym celu, wbrew temu co twierdzi strona skarżąca, nie jest natomiast konieczne, kodowanie na niej numeru PESEL. Umieszczenie na Karcie imienia i nazwiska oraz wizerunku jej posiadacza jest bowiem wystarczające w celu umożliwienia dokonania weryfikacji, czy daną Kartą, jako nośnikiem imiennego biletu komunikacji miejskiej, posługuje się osoba upoważniona do jej używania.

Odnosząc się do argumentacji strony skarżącej, że upoważnienie do umieszczania danych osobowych zarówno na karcie imiennej, jak i w pamięci karty, w tym także numeru PESEL, dają przepisy art. 16 ust. 3 i 4 ustawy z dnia 15 listopada 1984 r. - Prawo przewozowe (Dz. U. z 2000 r. Nr 50, poz. 601 z późn. zm.) należy podkreślić, iż w przepisach tych ustawodawca nie wymienił enumeratywnie, jakie dane osobowe pasażera mogą być umieszczane na bilecie lub kodowane w pamięci biletu elektronicznego, lecz posłużył się jedynie ogólnym określeniem, że chodzi o dane, które są niezbędne dla przewoźnika lub organizatora w regularnym przewozie osób. Ma zatem rację organ wskazując, iż skoro w przepisach tych ustawodawca nie wskazał katalogu danych, jakie mogą być umieszczane na bilecie uprawniającym do przejazdów to tym samym, zastosowanie znajduje tu zasada adekwatności danych określona w art. 26 ust. 1 pkt 3 ustawy.

Nie znajduje też oparcia w obowiązujących przepisach prawa argument, że zakodowany na Karcie numer PESEL pozwali na jej wykorzystanie jako swoistego dokumentu tożsamości. Karta nie może być bowiem traktowana jako dokument tożsamości. Możliwość umieszczania numeru PESEL na elektronicznych nośnikach, takich jak elektroniczna legitymacja studencka oraz karta kibica [...], wynika natomiast z odrębnych regulacji prawnych.

Odnośnie natomiast wskazywanych przez stronę skarżącą planów wykorzystania w przyszłości [...] Karty Miejskiej jako uniwersalnego narzędzia wnoszenia opłat za inne usługi miejskie np. socjalne lub sportowo-rekreacyjne, to należy podkreślić, iż te dalsze plany nie uzasadniają zapisywania na Karcie nie jako "na zapas", szerszego zakresu danych niż jest obecnie niezbędny do jej wykorzystania jako imiennego biletu komunikacji miejskiej.

Ponadto, jak słusznie zauważył organ, przetwarzanie danych osobowych posiadaczy Kart, w jakimkolwiek innym celu niż cel, dla którego dane te zostały pozyskane, tj. zawarcia i realizacji umowy przewozu, będzie wymagało od administratora danych legitymowania się odrębną przesłanką legalności przetwarzania tych danych osobowych, o których mowa w art. 23 ust. 1 ustawy.

To posiadacz Karty będzie natomiast decydował o tym, czy jest w ogóle zainteresowany jej wykorzystaniem w innych celach niż była pierwotnie wystawiona (to jest jako nośnika imiennego biletu uprawniającego do przejazdu środkami [...] Komunikacji Miejskiej).

Kodowanie numeru PESEL na [...] Karcie Miejskiej, jako nośniku imiennego biletu komunikacji miejskiej, w celu jej ewentualnego wykorzystania w przyszłości jako uniwersalnego narzędzia wnoszenia opłat za inne usługi miejskie, słusznie zatem zostało uznane przez organ jako naruszające zasadę adekwatności wyrażoną w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych.

Mając powyższe na uwadze, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy – Prawo o postępowaniu przed sądami administracyjnymi orzekł, jak w sentencji wyroku.