Centralna Baza Orzeczeń Sądów Administracyjnych

Jeżeli przedsiębiorca objął zakresem danych indywidualnych dotyczących firmy swoje dane osobowe, w sytuacji gdy dane te pokrywają się, nie może on jako osoba fizyczna domagać się ochrony swoich danych osobowych, które są wykorzystywane nie jako dane osobowe, lecz jako dane firmy. Decydując się na utożsamianie tych danych godzi się tym samym na szersze ich ujawnianie i słabszą ochronę.

Naczelny Sąd Administracyjny po rozpoznaniu sprawy ze skargi Tomasza G. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 15 października 2001 r. (...) w przedmiocie ochrony danych osobowych - oddala skargę.

Stan sprawy przedstawiał się następująco. W dniu 11 kwietnia 2001 r. Tomasz G. złożył do Generalnego Inspektora Ochrony Danych Osobowych skargę na Polską Telefonię Cyfrową Sp. z o.o., operatora sieci Era GSM, wnosząc o wszczęcie postępowania i wydanie decyzji zakazującej zaprzestania przetwarzanie jego danych dla celów marketingowych.

Wskazał, że spółka wysyła na jego telefon komórkowy wiadomości tekstowe, reklamujące program Big Brother. Zgłosił sprzeciw wobec tego typu działań. W odpowiedzi Telefonia Cyfrowa przyznała fakt przetwarzania danych i przesłała formularz, po którego odesłaniu, miała zaprzestać przetwarzania ich dla celów marketingowych. Skarżący stwierdził zaś, że nigdy nie wyrażał zgody na takie działania.

W toku postępowania GIODO ustalił, że abonentem wskazanego numeru nie jest Tomasz G., lecz firma - Kancelaria Adwokacka - Tomasz G. Telefonia Cyfrowa potwierdziła zaś wyłącznie przetwarzanie danych udostępnionych w publicznych rejestrach firmy. GIODO ustalił też, że wnioskodawca korzystał z przedmiotowego telefonu zarówno w pracy zawodowej jak i prowadząc rozmowy prywatne. Jego adres zamieszkania był tożsamy z siedzibą kancelarii. Umowa o świadczenie usług telekomunikacyjnych została natomiast zawarta z Kancelarią Adwokacką - Tomasz G.

W dniu 1 sierpnia 2001 r. Generalny Inspektor Ochrony Danych Osobowych postanowieniem (...) odmówił uwzględnienia wniosku o sporządzenie kserokopii dokumentów i ich doręczenia, powołując się na art. 73 par. 1 Kpa. Wskazał, że strona ma prawo do sporządzania notatek i odpisów, ich uwierzytelniania, a nie wydania kserokopii.

W dniu 10 sierpnia 2001 r. Generalny Inspektor Ochrony Danych Osobowych decyzją (...) odmówił Tomaszowi G. uwzględnienia jego wniosku o zaprzestanie przetwarzania danych osobowych. Wskazał, że stroną umowy jest kancelaria i jej dane były przetwarzane. Zgodnie zaś z art. 1 ust. 1 ustawy o ochronie danych osobowych, każdy ma prawo do ochrony jego danych osobowych, ale nie dotyczy to szeroko rozumianej działalności gospodarczej. Tutaj nie następuje bowiem ingerencja w prywatność takich osób. Chociaż adwokat nie jest przedsiębiorcą, to prowadzona przez niego działalność ma charakter gospodarczy, podlega jedynie ustawie Prawo o adwokaturze. Przemawia za tym wyrok SN z dnia 14 lipca 1999 r. II CKN 351/98 - OSNC 2000 nr 2 poz. 36. Ochrona wynikająca z ustawy wyłączona została zaś wobec każdego podmiotu, którego aktywność ma cechę działalności gospodarczej.

W dniu 22 sierpnia 2001 r. Tomasz G. złożył do GIODO wniosek o ponowne rozpatrzenie sprawy, uchylenie decyzji w całości i wydanie nowej nakazującej Telefonii Cyfrowej Sp. z o.o. zaprzestania przetwarzania jego danych osobowych dla celów marketingowych. Decyzji tej zarzucił naruszenie art. 1 ust. 1, art. 18 ust. 1 pkt 1 w związku z art. 23 i art. 26 ust. 1 pkt 1 i 2 ustawy o ochronie danych osobowych. Wskazał, że ustawa nie wyłącza spod ochrony osoby fizyczne będące przedsiębiorcami. Jawne są tylko ich dane zawarte w rejestrach, pozostałe zaś podlegają ochronie jako dane osobowe. Ponadto za błędne uważa uznanie go za osobę prowadzącą działalność gospodarczą, a wyrok SN odnosi się, jego zdaniem, do postępowania cywilnego.

Generalny Inspektor Ochrony Danych Osobowych w dniu 15 października 2001 r. decyzją (...) utrzymał w mocy swoje poprzednie orzeczenie.

W odniesieniu do wniosku Tomasza G. o zawarcie ugody wskazał, że jest ona możliwa, gdy obie strony chcą ją zawrzeć, a Telefonia Komórkowa nie wyraziła na to zgody.

Następnie podkreślił, że prawo do prywatności, jako gwarancja autonomii informacyjnej jednostki, chronione jest m.in. przez przepisy ustawy o ochronie danych osobowych. Zgodnie z art. 1 ust. 1 każdy ma prawo do ochrony danych osobowych. Ochrona ta ma jednak różną intensywność. Wykładnia tego przepisu wskazuje, że nie obejmuje on danych o podmiotach, które prowadzą działalność gospodarczą. Takie rozwiązanie służy pewności obrotu gospodarczego. Nie oznacza to wyłączenia ochrony wobec tych osób, ale jej ograniczenie w zakresie bezpośrednio związanym z działalnością gospodarczą. GIODO podtrzymał swoje stanowisko, że działalność adwokata ma cechy działalności gospodarczej, tylko nie jest on przedsiębiorcą. Wskazał, że adwokat wykonuje zawód w kancelarii, gdzie może zatrudniać pracowników, jak również sam wykonywać działalność. W kancelarii skarżącego, jak wynika z akt, zatrudniane jest grono pracowników /Monitor Prawniczy 2001 nr 6 str. 338 - Ranking Firm Prawniczych/.

Odwołując się do prawa wspólnotowego w konkluzji GIODO stwierdził, że w przedmiotowej sprawie nie doszło do ingerencji w sferę prywatności skarżącego, gdyż przetwarzane informacje są ściśle związane z prowadzeniem kancelarii adwokackiej. Nie pozbawia to jego ochrony prawnej, gdyż sprawa może być rozpatrywana w kontekście naruszenia dóbr osobistych w rozumieniu art. 23 kodeksu cywilnego.

W dniu 23 października 2001 r. Tomasz G. wniósł do Naczelnego Sądu Administracyjnego skargę na tę decyzję żądając jej uchylenia. Zarzucił jej naruszenie art. 2 w związku z art. 21 ust. 1 ustawy o ochronie danych osobowych, art. 127 par. 3 Kpa w związku z art. 138 par. 1 pkt 1, art. 140, art. 107 par. 3 i art. 7-9 i art. 11 Kpa przez niedostateczne uzasadnienie decyzji a także art. 138 par. 1 pkt 2 Kpa w związku z art. 18 ust. 1 pkt 1, art. 23, art. 26 ust. 1 pkt 1 i 2 ustawy o ochronie danych osobowych przez utrzymanie w mocy wadliwej decyzji, naruszenie art. 51 Konstytucji i art. 1 ust. 1 w zw. z art. 6 ustawy o ochronie danych osobowych w zw. z art. 8 Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności, poprzez przyjęcie, iż jego dane przetworzone przez Polską Telefonię Cyfrową Sp. z o.o. nie podlegają ochronie na podstawie przepisów ustawy o ochronie danych osobowych.

Wskazał, iż została zawarta umowa o świadczenie usług telekomunikacyjnych z Polską Telefonią Cyfrową. Przekazał wówczas szereg danych osobowych. Przetwarzano jego dane przez wysyłanie na wskazany numer krótkich wiadomości tekstowych SMS, prezentujących m.in. akcje promocyjne i konkursy. Podkreślił, iż we wniosku o ponowne rozpatrzenie sprawy zarzucił decyzji GIODO naruszenie art. 1 ust. 1 ustawy przez przyjęcie, że dane dotyczące przedsiębiorców nie są chronione, skoro nie ma takich wyłączeń. Ponadto zarzucił, że dane te nie są przetwarzane zgodnie z celem. GIODO nie odniósł się do tych zarzutów, czym naruszył Kpa. Przyjmując, że przeważający interes publiczny przemawia za niestosowaniem do jego przypadku ustawy o ochronie danych osobowych, GIODO nie udowodnił tej tezy. Artykuł 23 ustawy wskazuje zaś kiedy przetwarzanie danych jest dopuszczalne. Żadna z tych przesłanek nie została spełniona dla przetwarzania danych przez Polską Telefonię Cyfrową w celach marketingowych, nigdy nie wyraził też zgody na takie przetwarzanie. Naruszono w ten sposób art. 1 pkt 1 i 26 ust. 1 pkt 2 ustawy. Powinna być więc wydana decyzja nakazująca zaprzestanie wykorzystania jego danych.

Jego zdaniem na tle art. 51 ust. 1 Konstytucji i art. 51 ust. 4 ochrona danych osobowych nie jest zróżnicowana w stosunku do osób prowadzących działalność gospodarczą i jej nie prowadzących /tak J. Barta, R. Markiewicz, Ochrona danych osobowych, Zakamycze 2001 r. str. 253 i A. Mednis, Ustawa o ochronie danych osobowych, W-wa 1999 r. str. 13/. Brak jest też w ustawie przepisu, który wyłączałby spod ochrony osoby prowadzące działalność gospodarczą. Jawność wobec przedsiębiorców zapewnia zaś art. 8 ustawy o Krajowym Rejestrze Sądowym i art. 88a prawa o działalności gospodarczej. Ponadto na mocy art. 87 tej ostatniej osoba świadcząca pomoc prawną nie jest przedsiębiorcą. Zarówno TK jak i Europejski Trybunał Praw Człowieka uznają, że ochrona danych osobowych jest elementem prawa do ochrony życia prywatnego.

W odpowiedzi na skargę GIODO wniósł o jej oddalenie. Wskazał, że ochrona życia prywatnego zagwarantowana została w polskim systemie prawnym na gruncie szeregu aktów prawnych, w tym Konstytucji. Realizują tę ochronę także przepisy ustawy o ochronie danych osobowych. Przy tym prawo do prywatności jak i prawo do ochrony danych osobowych nie ma charakteru absolutnego. Stąd zakres ochrony może być zróżnicowany. W świetle art. 47 Konstytucji pojęcie życia prywatnego jest rozumiane jako okoliczności, zachowania i wydarzenia, które nie są bezpośrednio związane z wykonywaniem przez daną osobę zadań i kompetencji organów władzy publicznej, ani innej działalności o publicznym zasięgu /np. dziennikarskiej, nauczycielskiej, leczniczej - P. Winczorek, Komentarz do Konstytucji RP, W-wa 2000 r. str. 66/. Dane osobowe odnoszą się do osób fizycznych. Informacje identyfikujące przedsiębiorcę, nawet jeśli są tożsame z danymi osobowymi, nie mają takiego charakteru. Za tym przemawia dyrektywa 95/46/EC Parlamentu Europejskiego i Rady Europy z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych, która nie znajduje zastosowania do podmiotów gospodarczych. Dane osobowe osób fizycznych prowadzących działalność podlegają ochronie, nie podlegają jej jednak informacje ściśle związane z prowadzoną działalnością.

W piśmie procesowym Tomasz G. podtrzymał skargę i uzupełnił zarzuty, iż organ nie uzasadnił dlaczego pewność obrotu gospodarczego w jego sprawie przeważa nad interesem indywidualnym. Tymczasem zgodnie z orzecznictwem SN w państwie prawa nie ma miejsca dla mechanicznie pojmowanej zasady nadrzędności interesu ogólnego nad indywidualnym. Organ nie ustosunkował się do tych zarzutów, ani zapisów Konstytucji, Konwencji, orzecznictwa Trybunału i piśmiennictwa prawniczego. Artykuł 1 ust. 1 ustawy, do której organ się odwołuje, nie ma natomiast samoistnej treści materialnej i nie może stanowić podstawy decyzji. Artykuł 6 ustawy o ochronie danych osobowych uległ zaś zmianie w wyniku nowelizacji. Przy wykładni należy przede wszystkim stosować wykładnię językową. Danymi osobowymi są więc wszystkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Brak jest tu wyłączenia osoby fizycznej będącej przedsiębiorcą lub prowadzącej inną działalność indywidualną. Danymi osobowymi są więc także informacje dotyczące jego jako prowadzącego kancelarię. Przy wykładni funkcjonalnej powinien zaś być przedmiotem rozważań art. 51 a nie art. 47 Konstytucji. Prawo to uregulowane jest też w art. 8 Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności. W świetle orzecznictwa Trybunału nie ma podstaw, aby z pojęcia "życie prywatne" wyłączać działalność zawodową i prowadzenie interesów. Powoływana zaś przez GIODO dyrektywa zawiera w art. 2 podobną dość szeroką definicję danych osobowych. Pkt 24 podkreśla, że ustawodawstwo przewidujące ochronę prawną osób prawnych w związku z przetwarzaniem danych ich dotyczących nie podlega dyrektywie. Nie wyłącza więc działalności gospodarczej prowadzonej przez osoby fizyczne. Za objęciem ochroną ustawy danych osobowych przedsiębiorców wypowiedziało się też piśmiennictwo. Wymogi obrotu gospodarczego zostały zaś wystarczająco zagwarantowane przez przepisy przewidujące jawność rejestrów.

Naczelny Sąd Administracyjny zważył, że:

Skarga nie jest zasadna. Zgodnie z art. 2 ust. 1 ustawy z dnia 29 sierpnia 1997 r. w stanie prawnym na dzień wydania decyzji przez Generalnego Inspektora Ochrony Danych Osobowych /Dz.U. nr 133 poz. 883 ze zm./, ustawa ta określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetworzone w zbiorach danych.

Według art. 6 tej ustawy za dane osobowe uważa się zaś wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Uwzględniając te artykuły należy więc podkreślić, że ochrona danych osobowych, czyli informacji zarówno identyfikujących, jak i osobopoznawczych, dotyczących osoby fizycznej, zidentyfikowanej lub możliwej do zidentyfikowania, odnosi się zgodnie z art. 2 ustawy jedynie do praw osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych. Uważa się bowiem, że prawo do ochrony danych osobowych jest emanacją praw osobistych człowieka /prawa osobowości, prawa do informacyjnego samookreślenia/, których głównym celem jest zapewnienie poszanowania prywatności, godności czy osobowości człowieka /J. Barta, R. Markiewicz, Ochrona danych osobowych, Komentarz, Zakamycze 2001 r. str. 163/.

Nie odnosi się ona natomiast do danych indywidualnych, tj. dających się powiązać z podmiotem gospodarczym albo inną osobą prawną lub jednostką organizacyjną nie mającą osobowości prawnej, mimo, że dane te tworzą wspólnie z danymi osobowymi jedną kategorię danych jednostkowych. Przemawia za tym rozróżnienie zawarte w ustawie z dnia 29 czerwca 1995 r. o statystyce publicznej /Dz.U. nr 88 poz. 439/; /por. G. Szpor, Publicznoprawna ochrona danych osobowych, PUG 1999 r., nr 12, str. 6/.

W krajach Unii Europejskiej dominuje również takie stanowisko, które ogranicza ochronę danych osobowych do informacji dotyczących osób fizycznych /np. Belgia, Finlandia, Francja, Grecja, Irlandia, Holandia, Portugalia, Hiszpania, RFN, Szwecja, Wielka Brytania/ za J. Barta, R. Markiewicz, Ochrona jw. str. 164/.

W niektórych krajach wprowadza się dodatkową ochronę osób prawnych przy czym ma ona charakter słabszy i zróżnicowany. Stąd też dyrektywa 95/46/EC Parlamentu Europejskiego i Rady Unii Europejskiej z dnia 24 października 1995 r. w sprawie ochrony osób w związku z przetwarzaniem danych osobowych oraz swobodnego przepływu takich danych zawiera w pkt 24, sformułowanie, że ustawodawstwo przewidujące ochronę osób prawnych w związku z przetwarzaniem danych ich dotyczących nie podlega niniejszej dyrektywie. Nie oznacza to jednak, że wyłączenia dotyczą tylko osób prawnych, tylko że jeżeli zostanie wprowadzona ochrona osób prawnych to nie będzie się do niej stosować wspomniana dyrektywa. Prawodawca Europejski nie wypowiada się tutaj natomiast do ochrony jednostek organizacyjnych nie mających osobowości prawnej, ani w sposób pozytywny ani negatywny.

Stąd treść wspomnianej dyrektywy podobnie jak i Konwencji 108 Rady Europy z dnia 28 stycznia 1981 r. dotyczącej ochrony osób w związku z automatycznym przetwarzaniem danych osobowych, jako odnoszących się do ochrony osób fizycznych /por. art. 1 Dyrektywy i art. 1 Konwencji/ nie dotyczy ochrony jednostek organizacyjnych.

Zdaniem skarżącego, prowadzącego kancelarię adwokacką pod własnym nazwiskiem, odnosi się do niego również ustawa o ochronie danych osobowych, w jego przypadku bowiem dane indywidualne /nazwisko, adres kancelarii/ i dane osobowe /nazwisko i adres osoby fizycznej pokrywają się/.

Wymagało w związku z tym wyjaśnienia, jakimi danymi posłużono się w celach marketingowych. W toku postępowania wyjaśniającego GIODO ustalił, że przedmiotowy telefon został zakupiony na kancelarię a nie na osobę fizyczną. Potwierdza to umowa o świadczenie usług, jak i przyjęta taryfa biznesowa. W kancelarii skarżącego zatrudnione jest kilkanaście osób z tego 6 prawników. Reklamy w formie SMS nadawane były na telefon kancelarii. Rejestracja telefonu na kancelarię a nie osobę fizyczną najprawdopodobniej wiązała się z odpowiednimi rozliczeniami finansowymi. Stąd argumentacja skarżącego, że telefon ten używany był również w celach prywatnych, nie może zasługiwać ani na aprobatę, ani nie może stanowić argumentu na rzecz potraktowania numeru telefonu jako danych osobowych a nie indywidualnych.

Nazwa kancelarii ani jej numer telefonu nie należy do danych osobowych, nie służy bowiem do identyfikacji osoby fizycznej, ale jednostki organizacyjnej, podobnie jak nie należy do danych osobowych nazwa spółki cywilnej /M. Zielińska, nazwa spółki cywilnej jako dobro osobiste, Prawo Spółek 1998 nr 11 str. 7 t. 3/.

Dane te nie są wyłączone spod ochrony dóbr osobistych, ochrona ta nie jest jednak dokonywana na gruncie ustawy o ochronie danych osobowych. Art. 51 ust. 4 Konstytucji dotyczy zaś, jak podkreślił Sąd Najwyższy w postanowieniu z dnia 14 czerwca 2000 r. CKN 1119/00 - OSNC 2002 nr 4 poz. 49, tylko informacji obejmujących dane osobowe. Stąd też nie jest przekonywujące powoływanie się skarżącego na art. 8 ust. 1 Konwencji o ochronie Praw Człowieka i Podstawowych Wolności /Dz.U. 1993 nr 61 poz. 284 ze zm./. Przewiduje on bowiem prawo każdego do poszanowania swojego życia prywatnego i rodzinnego, swojego mieszkania i swojej korespondencji. Nie wskazuje jednak w jakiej formie ta ochrona jest realizowana.

W zamierzeniu ustawodawcy ochrona prawa prywatności zmierza do tego, aby większą ochronę zapewnić osobom fizycznym. Jednostki organizacyjne i osoby prawne, w szczególności prowadzące działalność gospodarczą podlegają tej ochronie w mniejszym stopniu. Odnosi się ona bowiem do niektórych aspektów ich działalności, np. tajemnicy przedsiębiorcy. Stąd osoba decydująca się na taką działalność gospodarczą godzi się na ograniczenie swojego prawa do prywatności w większym zakresie. Jeżeli udzielane przez nią kontrahentom umów cywilnoprawnych informacje są nadużywane w innych celach, niż zawarta umowa, służy jej prawo zerwania takiej umowy, może też zgłosić zastrzeżenia. Jest to jednak kwestią zaufania do kontrahenta i związanych z tym skutków, a nie zagadnienie administracyjnoprawnej ochrony danych osobowych.

Na marginesie wymaga wyjaśnienia podnoszona kwestia charakteru działalności prowadzonej przez adwokata. Jest ona niewątpliwie działalnością gospodarczą w rozumieniu art. 2 ust. 1 ustawy z dnia 19 listopada 1999 r. Prawo działalności gospodarczej /Dz.U. nr 101 poz. 1178 ze zm./. Jedynie świadczący pomoc prawną nie jest przedsiębiorcą w rozumieniu tej ustawy, a podlega ustawie Prawo o adwokaturze /art. 87 ust. 1/. Nie oznacza to jednak, iż pozbawia to jego działalność charakteru działalności gospodarczej. W wyroku z dnia 14 lipca 1999 r. II CKN 451/98 - OSN 2000 nr 2 poz. 36 Sąd Najwyższy stwierdził bowiem wyraźnie w tezie, że sprawa o zapłatę wynagrodzenia za usługi prawne świadczone na rzecz przedsiębiorcy przez adwokata prowadzącego indywidualną kancelarię adwokacką jest sprawą gospodarczą w rozumieniu art. 479[1] par. 1 Kpc. W uzasadnieniu Sąd nie wypowiedział się jednak tylko w stosunku do skutków cywilnych, lecz podkreślił, iż "Nie ulega wątpliwości, że świadczona przez adwokata pomoc prawna należy do szeroko pojętej sfery obejmującej działalność usługową. Spełnia też wszystkie wymagania dla uznania jej za działalność gospodarczą" /tamże str. 77/. Podobne stanowisko zajął J. P. Naworski, Glosa do wyroku SN z dnia 14 lipca 1999 r. II CKN 451/98 /Palestra 2000 nr 5-6 str. 234 t. 4/.

W konsekwencji, jeżeli przedsiębiorca objął zakresem danych indywidualnych dotyczących firmy swoje dane osobowe, np. adres, tzn., gdy dane te pokrywają się, nie może on domagać się jako osoba fizyczna ochrony swoich danych osobowych, które są wykorzystywane nie jako dane osobowe, lecz jako dane firmy. Decydując się na utożsamianie tych danych, godzi się bowiem na szersze ich ujawnianie i słabszą ochronę.

Stąd Naczelny Sąd Administracyjny nie dopatrzył się w działaniu GIODO naruszenia prawa. Stwierdził bowiem, iż zastosowana przez niego wykładnia przepisów odpowiada ich celowi. GIODO przeprowadził też pełne postępowanie wyjaśniające z zapewnieniem udziału stron w tym postępowaniu. Ustalił cel przetwarzania danych indywidualnych, charakter i strony umowy o świadczenie usług, a jego uzasadnienie miało charakter obszerny i przekonywujący.

Dlatego Naczelny Sąd Administracyjny orzekł na podstawie art. 27 ust. 1 i art. 53 ust. 2 ustawy z dnia 11 maja 1995 r. o Naczelnym Sądzie Administracyjnym /Dz.U. nr 74 poz. 368 ze zm./ w związku z art. 2 ust. 1 i 6 powoływanej ustawy o ochronie danych, jak w sentencji.