Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Karolina Kisielewicz (spr.), Sędzia WSA Andrzej Góraj, Sędzia WSA Sławomir Antoniuk, po rozpoznaniu na posiedzeniu niejawnym w dniu 5 maja 2021 r. sprawy ze skargi [...] Sp. z o.o. z siedzibą w [...] na pkt 1 i skargi W.A. na pkt 2 decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] sierpnia 2020 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla pkt 2 zaskarżonej decyzji, 2. oddala skargę [...] Sp. z o.o. z siedzibą w [...], 3. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz skarżącej W.A. kwotę 697 (sześćset dziewięćdziesiąt siedem) złotych, tytułem zwrotu kosztów postępowania.

W.A. oraz [...] Sp. z o.o. z siedzibą w [...]zaskarżyły dwiema skargami do Wojewódzkiego Sądu Administracyjnego w Warszawie decyzję Prezesa Urzędu Ochrony Danych Osobowych z [...] sierpnia 2020 r. (nr [...]).

Z okoliczności faktycznych sprawy ustalonych przez organy administracji i przyjętych za podstawę rozstrzygnięcia wynika, że W.A. w piśmie z 13 grudnia 2017 r. zwróciła się do [...] Sp. z o.o. z siedzibą w [...], o udzielenie informacji, czy Spółka udostępniła komukolwiek jej dane osobowe, bilingi połączeń, treść wiadomości sms.

Spółka w piśmie z 15 grudnia 2017 r. poinformowała W.A., że udostępnia dane stanowiące tajemnicę telekomunikacyjną, na podstawie otrzymanego postanowienia, zgodnie z art. 218 § 1 k.p.k., zawierającego zwolnienie pracowników [...] Spółka z o.o. z tajemnicy telekomunikacyjnej w trybie art. 180 § 1 k.p.k. lub na żądanie uprawnionego podmiotu, na podstawie i w trybie przewidzianym np. w art. 20c ustawy o Policji.

Spółka dodała, że stosownie do art. 33 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r., poz. 922), na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany udzielić jej informacji o których mowa w art. 32 ust. 1 pkt 1-5a, ponadto zgodnie z art. 7 pkt 6 lit e) tej ustawy, przez odbiorców danych rozumie się każdego, komu udostępnia się dane osobowe, z wyłączeniem podmiotów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem. To zaś prowadzi do wniosku, że Spółka nie może udzielić informacji, których domaga się W.A.

W.A. w pismach z 17 stycznia 2018 r., 9 lutego i 20 sierpnia 2018 r. ponownie zwróciła się do Spółki z wnioskiem o udzielenie informacji o sposobie udostępniania jej danych oraz oświadczyła, że podejrzewa, że Spółka udostępniła jej dane osobowe Oddziałowi Żandarmerii Wojskowej w [...], Komendzie Głównej Żandarmerii Wojskowej w [...] oraz Służbie Kontrwywiadu Wojskowego. [...] Spółka z.o.o. z siedzibą w [...] w pismach z 31 stycznia, 19 lutego i 13 września 2018 r., podtrzymała stanowisko wyrażone w piśmie z 15 grudnia 2017 r. Spółka dodała, że wniosek skarżącej z 13 grudnia 2017 r. dotyczył procedury udostępnienia przez Spółkę informacji wskazanych we wniosku (dotyczących w szczególności bilingów rozmów, treści wiadomości sms), a nie udzielenia informacji dotyczących danych osobowych klientki.

W tych okolicznościach faktycznych W.A. w piśmie z 20 sierpnia 2018 r. zwróciła się do Prezesa Urzędu Ochrony Danych Osobowych ze skargą na niezgodne z prawem przetwarzanie jej danych osobowych, polegające na udostępnieniu tych danych na rzecz podmiotów nieuprawnionych, przetwarzaniu danych osobowych zawartych w kopii dowodu osobistego bez podstawy prawnej oraz niewypełnieniu obowiązku informacyjnego, o którym mowa w art. 33 ust. 1 i art. 32 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. W.A. wniosła o przeprowadzenie kontroli przetwarzania jej danych osobowych i ustalenie, czy [...] Spółka z o.o. z siedzibą w [...] udostępniła jej dane osobowe, w tym bilingi rozmów, a jeżeli tak to kiedy i komu i zobowiązanie Spółki do zaniechania naruszania przepisów dotyczących ochrony danych osobowych, zobligowanie do usunięcia ze swoich zbiorów kserokopii jej dowodu osobistego, wykonanej w celu zawarcia umowy o świadczenie usług telekomunikacyjnych oraz "spowodowania usunięcia skutków dokonanych naruszeń poprzez zobligowanie Spółki do pozyskania zwrotnego ewentualnie udostępnionych danych osobowych (...) i ich zniszczenia w celu zapobieżenia rozpowszechnianiu tych danych" oraz o nałożenie kary pieniężnej na Spółkę.

[...] Sp. z o.o. z siedzibą w [...] w pismach z 31 października 2018 r. i 15 stycznia 2019 r. złożonych na wezwanie organu, wyjaśniła, że W.A. w dniu [...] kwietnia 2013 r. zawarła ze Spółką dwie umowy o świadczenie usług telekomunikacyjnych oraz złożyła dwa wnioski o przeniesienie przydzielonych jej u innego operatora dwóch numerów telefonu do sieci [...], w dniu 6 czerwca 2013 r. złożyła kolejny wniosek o przeniesienie numeru telefonu do sieci [...], zawarła umowę o świadczenie usług telekomunikacyjnych, ponadto dokonała cesji umowy o świadczenie usług telekomunikacyjnych. W dniu [...] marca 2017 r. zawarła umowę o świadczenie usług telekomunikacyjnych na warunkach promocyjnych oraz podpisała aneks do umowy z [...] kwietnia 2013 r. o świadczenie usług telekomunikacyjnych. W dniu [...] stycznia 2018 r. W.A. zarejestrowała u operatora dwa numery telefonów, natomiast w dniu [...] lutego 2018 r. zawarła kolejną umowę o świadczenie usług telekomunikacyjnych. Skarżąca wraz z umowami z [...] marca 2017 r. i [...] lutego 2018r. o świadczenie usług telekomunikacyjnych w ramach oferty promocyjnej, podpisała oświadczenia, w których wyraziła zgodę m. in. na utrwalanie przez [...] sp. z o.o. obrazu jej dokumentu tożsamości oraz przetwarzanie danych w nim zawartych (łącznie z wizerunkiem i opisem), na udostępnienie przez Spółkę jej danych osobowych dla Krajowego Rejestru Długów, Biura Informacji Gospodarczej S.A., Krajowego Biura Informacji Gospodarczej S.A. oraz Biura Informacji Kredytowej S.A., udostępnianie jej danych osobowych innym operatorom telekomunikacyjnym w celu uzyskania informacji o fakcie ewentualnego zaprzestania regulowania płatności z tytułu świadczonych usług telekomunikacyjnych oraz prowadzenia przez [...] sp. z o.o. lub na jej zlecenie marketingu bezpośredniego.

[...] sp. z o.o. wyjaśniła ponadto, że wykonała kserokopie dowodu osobistego skarżącej jako dokumentu potwierdzającego możliwość wykonania zobowiązania, na podstawie art. 161 ust. 2 pkt 7 ustawy z 16 lipca 2004 r. - Prawo telekomunikacyjne (dla umów o świadczenie usług telekomunikacyjnych zawartych przed 25 stycznia 2016 r.), natomiast dla umów późniejszych, zawartych na warunkach promocyjnych, za zgodą skarżącej. [...] Sp. z o.o. dodała, że przechowuje kserokopie dowodu osobistego skarżącej jedynie w celach dowodowych i archiwizacyjnych związanych z potwierdzeniem faktu zawarcia umów o świadczenie usług telekomunikacyjnych.

Spółka oświadczyła, że aktualnie przetwarza dane osobowe skarżącej (imię, nazwisko, numer PESEL, seria i numer dokumentu tożsamości, nazwa i adres firmy, NIP, REGON, adres korespondencyjny, numery telefonów, adres e-mail oraz dane zawarte w kserokopii dokumentu tożsamości) w oparciu o:

a) art. 6 ust. 1 lit. b) rozporządzenia RODO, który stanowi, że przetwarzanie jest zgodne z prawem, jeżeli jest niezbędne do wykonania umowy,

b) art. 6 ust. 1 lit. c) rozporządzenia RODO, tj. w celu wypełnienia obowiązku prawnego ciążącego na administratorze, o którym mowa w szczególności w art. 180a (retencja danych telekomunikacyjnych), art. 105-108 (potencjalne reklamacje lub roszczenia dotyczące świadczeń telekomunikacyjnych) ustawy z 16 lipca 2004 r - Prawo telekomunikacyjne oraz art. 86 w zw. z art. 70 ustawy z 29 sierpnia 1997 r. Ordynacja podatkowa,

c) art. 6 ust. 1 lit. a) rozporządzenia RODO (zgoda skarżącej na komunikację marketingową).

d) art. 6 ust. 1lit f) rozporządzenia RODO (w celu archiwizacji danych, dochodzenia roszczeń)

e) art. 6 ust. 1 pkt 1 lit. d) rozporządzenia RODO (w celu ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej) .

Spółka wskazała, że udostępniła dane osobowe W.A. na rzecz [...] S.A., [...] S.A., [...] Sp. z o.o., a ponadto biurom informacji gospodarczej, informacji kredytowej i Związkowi Banków Polskich, zgodnie z udzielonymi przez nią zgodami.

W.A. w piśmie z 7 grudnia 2018 r. skierowanym do Spółki oświadczyła, że nie wyraża zgody na dalsze przetwarzanie jej danych osobowych polegające na udostępnianiu tych danych jakimkolwiek podmiotom trzecim, także w celach marketingowych oraz stwierdziła, że jej dane osobowe mogą być przetwarzane jedynie w celu realizacji umowy o świadczenie usług telekomunikacyjnych. W.A. wniosła o bezzwłoczne usunięcie kserokopii jej dowodu osobistego ze zbiorów dokumentów Spółki i wyjaśniła, że została zmuszona do wyrażenia zgody na wykonanie kopii jej dowodu osobistego oraz że pracownik Spółki poinformował ją, że w przypadku nieudostępnienia dowodu osobistego do wykonania kserokopii nie będzie mogła zawrzeć umowy ze Spółką.

W tych okolicznościach faktycznych i prawnych, Prezes Urzędu Ochrony Danych Osobowych decyzją z [...] sierpnia 2020 r. (nr [...]), wydaną na podstawie art. 104 § 1 i art. 105 § 1 k.p.a. oraz art. 58 ust. 2 pkt g Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej, L 119, 4 maja 2016), 1) nakazał [...] Sp. z o.o. z siedzibą w [...] usunięcie danych osobowych zawartych w kopii dowodu osobistego W.A., w zakresie: obywatelstwa, nazwiska rodowego, imion rodziców, daty i miejsca urodzenia, płci, wzrostu w centymetrach, koloru oczu, nazwy organu wydającego dowód osobisty, daty wydania i terminu ważności, serii i numeru dowodu osobistego oraz wizerunku twarzy i wzoru podpisu; 2) w pozostałym zakresie umorzył postępowanie.

W uzasadnieniu decyzji organ odnosząc się do przetwarzania przez Spółkę danych osobowych W.A., zawartych w kopii dowodu osobistego podał, że na podstawie art. 161 ust. 2 ustawy z dnia 16 lipca 2004.r. - Prawo telekomunikacyjne (Dz. U. nr 171, poz. 1800 ze zm.) w brzmieniu obowiązującym w 2013 r., tj. gdy doszło do zawarcia pierwszych umów pomiędzy W.A. i Spółką, dostawca publicznie dostępnych usług telekomunikacyjnych był uprawniony do przetwarzania nazwisk i imion użytkownika będącego osobą fizyczną, imion jego rodziców, miejsca i daty urodzenia; adresu miejsca zamieszkania i adresu korespondencyjnego, numeru ewidencyjnego PESEL, nazwy, serii i numeru dokumentów potwierdzających tożsamość oraz zawartych w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych wynikającego z umowy o świadczenie usług telekomunikacyjnych Powołany przepis w brzmieniu obecnie obowiązującym (art. 161 ust. 2 zmieniony z dniem 4 maja 2019 r.) stanowi, że przetwarzanie danych osobowych użytkownika - będącego osobą fizyczną - innych niż wskazane w art. 159 ust. 1 pkt 2-5 (treść indywidualnych komunikatów; dane transmisyjne, dane o lokalizacji, dane o próbach uzyskania połączenia między zakończeniami sieci, w tym dane o nieudanych próbach połączeń), odbywa się na podstawie przepisów o ochronie danych osobowych. Niezbędne są zatem rozważania, czy Spółka legitymuje się podstawą przetwarzania danych osobowych skarżącej zawartą w przepisach o ochronie danych osobowych.

Prezes Urzędu Ochrony Danych Osobowych podał, że przepisem zawierającym przesłanki przetwarzania danych osób fizycznych jest art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie, a więc m. in. wówczas, gdy osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych (pkt 1) gdy przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (pkt 2) oraz gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (pkt 3);

Zdaniem organu, w rozpatrywanej sprawie nie zachodzi, określona w art. 6 ust. 1 lit. a) rozporządzenia RODO, przesłanka uchylająca zakaz przetwarzania danych osobowych. Jak wynika z akt sprawy, W.A. wyraziła zgodę na utrwalenie obrazu dokumentu tożsamości oraz na przetwarzanie danych w nim zawartych łącznie z wizerunkiem i rysopisem w związku z zawarciem umowy o świadczenie usług telekomunikacyjnych, niemniej zgoda powyższa została wycofana. W odniesieniu do przesłanki wyłączającej zakaz przetwarzania danych osobowych, o której mowa w art. 6 ust. 1 lit. b) rozporządzenia RODO (przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy) organ stwierdził, że wbrew zapatrywaniu Spółki do wykonania umów zawartych przez skarżącą niezbędne jest wyłącznie jej imię, nazwisko, adres zameldowania oraz numer PESEL, natomiast pozostałe dane zawarte w dowodzie osobistym (wizerunek i rysopis) nie są danymi, które mogą być przetwarzane w celu wykonania umowy o świadczenie usług telekomunikacyjnych. Tym samym przetwarzanie danych osobowych skarżącej przez Spółkę stoi w sprzeczności z zasadą minimalizacji, o której mowa w art. 5 ust. 1 pkt c) rozporządzenia RODO, pozwalającą administratorowi na przetwarzanie danych adekwatnych, stosownych oraz ograniczonych do tego, co niezbędne do celów, w których są przetwarzane.

Mając na uwadze powyższe dostrzeżone nieprawidłowości, Prezes Urzędu Ochrony Danych Osobowych, działając na podstawie art. 58 ust. 2 pkt g RODO, nakazał Spółce usunięcie danych osobowych zawartych w kopii dowodu osobistego W.A. w zakresie: obywatelstwa, nazwiska rodowego, imion rodziców, daty i miejsca urodzenia, płci, wzrostu w centymetrach, koloru oczu, nazwy organu wydającego dowód osobisty, daty wydania i terminu ważności, serii i numeru dowodu osobistego oraz wizerunku twarzy i wzoru podpisu, które to dane były zamieszczane w dowodach osobistych zgodnie z art. 37 ust. 1 i ust. 2 ustawy z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych (Dz.U. z 2006 r., poz. 993), obowiązującego do 28 lutego 2015 r.

Prezes Urzędu Ochrony Danych Osobowych odnosząc się do pozostałych żądań W.A. podał, że przetwarzanie przez Spółkę danych osobowych skarżącej poprzez udostępnienie ich podmiotom nieuprawnionym i niewykonanie obowiązku informacyjnego wobec skarżącej miało miejsce (rozpoczęło się i zakończyło) przed dniem 25 maja 2018 r., a więc pod rządami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), a postępowanie administracyjne w tej sprawie zostało zainicjowane po dniu 25 maja 2018 r., a więc pod rządami rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2 ze zm.) i ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.

Organ podał, że powołane rozporządzenie ma zastosowanie wyłącznie w sprawach, w których skargę na niezgodne z prawem przetwarzanie danych osobowych wniesiono od dnia 25 maja 2018 r. (data wejścia w życie RODO- art. 99 ust. 1) i w tej dacie kwestionowany proces przetwarzania danych osobowych trwał.

Skoro zarzucane przetwarzanie danych ma charakter zakończony i nie było kontynuowane po 25 maja 2018 r., to organ nie może dokonać oceny zgodności z prawem (rozporządzeniem 2016/679) działań administratora danych i zastosować uprawnienia naprawcze o których mowa w art. 58 rozporządzenia. W konsekwencji postępowanie w tym zakresie jest bezprzedmiotowe w rozumieniu art. 105 § 1 k.p.a. (nie można załatwić sprawy co do istoty).

Zdaniem organu, w tym stanie faktycznym i prawnym, nie jest dopuszczalne również zastosowanie przepisów ustawy o ochronie danych osobwych z dnia 29 sierpnia 1997 r., ponieważ ustawa ta ma zastosowanie do postępowań wszczętych i niezakończonych przed dniem wejścia w życie niniejszej ustawy z dnia 10 maja 2018r. ochronie danych osobowych (art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018r. o ochronie danych osobowych). W rozpatrywanym przypadku postępowanie zostało wszczęte po dniu wejścia w życie ustawy z 10 maja 2018 r.

Prezes Urzędu Ochrony Danych Osobowych odnosząc się do wniosku W.A. o nałożenie na Spółkę kary, podał, że nakładanie kar, o którym mowa w art. 58 ust. 2 pkt i RODO, należy do zadań organu, a nie uprawnień naprawczych i nie następuje na wniosek strony postępowania prowadzonego w indywidualnej sprawie.

[...] Sp. z o.o. z siedzibą w [...] zaskarżyła tę decyzję w zakresie pkt 1, a więc rozstrzygnięcie o zobowiązaniu skarżącej do usunięcia danych osobowych zawartych w kopii dowodu osobistego W.A., w zakresie: obywatelstwa, nazwiska rodowego, imion rodziców, daty i miejsca urodzenia, płci, wzrostu w centymetrach, koloru oczu, nazwy organu wydającego dowód osobisty, daty wydania i terminu ważności, serii i numeru dowodu osobistego oraz wizerunku twarzy i wzoru podpisu, natomiast W.A. wniosła skargę na tę decyzję w części dotyczącej umorzenia postępowania (pkt 2 zaskarżonej decyzji).

[...] Sp. z o.o. z siedzibą w [...] zarzuciła Prezesowi Urzędu Ochrony Danych Osobowych naruszenie art. 7 w zw. z art. 77 § 1 i art. 107 § 3 k.p.a. oraz 161 ust. 2 pkt 7 ustawy z 16 lipca 2004 r. - Prawo telekomunikacyjne przez błędną jego wykładnię i wniosła o jej uchylenie oraz uchylenie na podstawie art. 145 § 1 pkt 1 lit. a) i c) p.p.s.a. oraz o zasądzanie kosztów postępowania.

Zdaniem Spółki, organ nie podjął wszelkich czynności niezbędnych do dokładnego wyjaśnienia okoliczności faktycznych sprawy, w szczególności świadczących o tym, że nie może usunąć spornych danych osobowych W.A., ponieważ godziłoby to w uzasadnione interesy dostawcy usług telekomunikacyjnych jak i samego klienta, przez całkowitą eliminację możliwości weryfikacji potencjalnych nadużyć, a w uzasadnieniu decyzji nie wyjaśnił na jakiej podstawie prawnej domaga się usunięcia przez Spółkę spornych danych osobowych, zaś jego stwierdzenie, że dane osobowe zawarte w dowodzie osobistym "nie są danymi, które mogą być przetwarzane w celu wykonania umowy o świadczenie usług telekomunikacyjnych" jest "bardzo ocenne, raczej nie mieszczące się w dyspozycji art. 107 § 3 k.p.a.".

Spółka podniosła, że w piśmie z 31 października 2018 r. podała, że do stycznia 2016 r. przy zawieraniu umów o świadczenie usług telekomunikacyjnych wykonywała kserokopie dowodu osobistego drugiej strony umowy (skarżącej), co było podyktowane w szczególności dążeniem do zmniejszenia liczby nadużyć (nieuczciwy klient, wiedząc, że dostawca usług telekomunikacyjnych nie będzie kopiował i archiwizował kopii dokumentów tożsamości, "będzie miał większą tendencję do posłużenia się fałszywym dokumentem, gdyż nie będzie dowodu na jego przestępczy proceder"), trudnościami windykacyjnymi (dostawca usług telekomunikacyjnych nie będzie miał dowodu dla sądu czy prokuratora, potwierdzającego fakt, że posłużono się fałszywym dokumentem tożsamości) oraz ograniczeniami istniejącej wówczas ścisłej kontroli nad nieuczciwymi pracownikami, którzy zawierali fałszywe umowy w celu wyłudzenia sprzętu. Spółka wyjaśniła, że "zmieniła praktykę" w tym zakresie w styczniu 2016 r., wprowadzając zgodę na utrwalanie obrazu dokumentu tożsamości oraz na przetwarzanie danych w nim zawartych (łącznie z wizerunkiem i rysopisem). [...] Sp. z o.o. podkreśliła, że W.A. w dniu [...] marca 2017 r. podpisała taką zgodę (Oświadczenie Klienta zawierającego Umowę o świadczenie Usług Telekomunikacyjnych, w celu zawarcia umowy o świadczenie usług telekomunikacyjnych, na warunkach promocyjnych) oraz że jeżeli nie chciałaby podpisać takiej zgody, to mogłaby zawrzeć umowę w ramach oferty "podstawowej", a nie na warunkach promocyjnych. Skarżąca oświadczyła, że wszystkie kserokopie dowodu osobistego W.A. zostały przekreślone w celu wyeliminowania możliwości ich wtórnego wykorzystania.

Aktualnie Spółka przechowuje kserokopie dowodu osobistego W.A. na podstawie art. 6 ust. 1 lit. f) rozporządzenia RODO, a więc w celach dowodowych i archiwizacyjnych, związanych z potwierdzeniem faktu zawarcia umów o świadczenie usług telekomunikacyjnych oraz ustalenia, obrony i dochodzenia roszczeń.

Skarżąca dodała, że wykonując kserokopię dowodu osobistego pozyskiwała i pozyskuje jedynie dane zawarte w warstwie graficznej dokumentu (art. 12 ustawy z 6 sierpnia 2010 r. o dowodach osobistych, Dz.U. z 2010 r., poz. 332). Od dnia 8 listopada 2018 r. Spółka wdrożyła w Punktach Obsługi Sprzedaży oraz u partnerów biznesowych, procedurę utrwalania obrazu dokumentów tożsamości przy użyciu tzw. nakładek anonimizacyjnych, które umożliwiają utrwalanie obrazu dokumentu bez danych takich jak wizerunek, rysopis, podpis. Obraz dokumentu tożsamości przy okazji jego utrwalania nie jest zapisywany w pamięci urządzenia, na którym jest wykonywana kserokopia dokumentu. Skarżąca dodała, że w celu zabezpieczenia przed dostępem przez osoby nieuprawnione do danych osobowych zawartych w kserokopiach dokumentów, wprowadziła regulacje wewnętrzne określające zasady przetwarzania i ochrony danych osobowych, szkolenia z bezpieczeństwa informacji i ochrony danych osobowych, wydzieliła pomieszczenia, w których przechowywane są dane osobowe, które odpowiednio zabezpieczyła itd.

Skarżąca Spółka w uzasadnieniu skargi podniosła, że jako dostawca usług telekomunikacyjnych i uczestnik rynku telekomunikacyjnego, zobowiązany jest do dołożenia szczególnej staranności przy weryfikacji tożsamości zarówno abonentów, przede wszystkim w ich interesie, z uwagi na dużą liczbę nadużyć związanych z wykorzystywaniem danych osobowych osób trzecich do zaciągania zobowiązań w imieniu klientów. Spółka zawierając umowę o świadczenie usług telekomunikacyjnych (aneks do takiej umowy) "musi być pewna", że dana osoba, jest osobą za którą się podaje.

[...] Sp. z o.o. z siedzibą w [...] podniosła, że aktualnie przetwarza dane osobowe znajdujące się na kserokopii dowodu osobistego pozyskane przy zawieraniu umowy (aneksu do umowy) na podstawie art. 6 ust. 1 lit. f) RODO, który stanowi, że przetwarzanie jest zgodne z prawem gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora, tj. w celu weryfikacji i potwierdzenia tożsamości osoby oraz weryfikacji ważności dokumentu tożsamości i w celach dowodowych i archiwizacyjnych związanych z ustaleniem, obroną i dochodzeniem roszczeń. To przetwarzanie jest dokonywane zgodnie z zasadą minimalizacji danych (art. 5 ust. 1 lit. c) RODO), a więc w zakresie niezbędnym do realizacji wymienionych celów (wizerunek, rysopis, podpis są zamazywane lub zakrywane przy użyciu nakładek aonimizacyjnych).

Przetwarzanie spornych danych z dokumentu tożsamości jest niezbędne do realizacji celu administratora w rozumieniu RODO, jakim jest skuteczne zawarcie i prawidłowa realizacja umowy o świadczenie usług telekomunikacyjnych. Tym samym przetwarzanie danych jest niezbędne dla celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora danych.

Zdaniem skarżącej Spółki, art. 161 ust. 2 Prawa telekomunikacyjnego, w brzmieniu obecnie obowiązującym, wcale nie odbiera legitymacji prawnej do przetwarzania przez operatora telekomunikacyjnego danych osobowych klienta, ponieważ podstawą przetwarzania tych danych jest art. 6 ust. 1 lit. f) RODO. Dane osobowe zawarte w dowodzie osobistym (również takie jak obywatelstwo, nazwisko rodowe, imiona rodziców, data i miejsce urodzenia, płeć, wzrost w centymetrach, kolor oczu, nazwa organu wydającego dowód osobisty, data wydania i termin ważności, seria i numer dowodu osobistego oraz wizerunek twarzy i wzór podpisu) mogą być przetwarzane w celach wykonania umowy o świadczenie usług telekomunikacyjnych. Dane te zamieszczane były w dowodach osobistych zgodnie z art. 37 ust. 1 i 2 ustawy z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych (Dz.U. z 2006 r. nr 139, poz. 993) obowiązującej do dnia 28 lutego 2015 r. i Spółka "nie znajduje racjonalnego uzasadnienia ani podstawy prawnej" do usuwania danych, którego żąda organ w zaskarżonej decyzji.

W.A. w skardze do Sądu (sprawa o sygn. akt II SA/Wa 2034/20) zarzuciła organowi naruszenie art. 105 § 1 k.p.a. przez jego nieprawidłowe zastosowanie, art. 7, art. 75 i art. 77, art. 78 § 1, art. 80 k.p.a. poprzez m. in. niepodjęcie przez organ wszelkich czynności niezbędnych do dokładnego, wnikliwego i szczegółowego wyjaśnienia stanu faktycznego (zaniechanie zobowiązania Spółki do udzielenia wyjaśnień w zakresie udostępnionych jej danych osobowych oraz bilingów rozmów) i w konsekwencji nierozpoznanie istoty sprawy oraz art. 107 § 3 k.p.a. poprzez niewskazanie w uzasadnieniu decyzji faktów, które organ uznał za udowodnione, dowodów, na których się oparł oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej, a także art. 8 § 1 k.p.a. przez naruszenie zasady prowadzenia postępowania w sposób budzący zaufanie jego uczestników do władzy publicznej. W.A. zarzuciła ponadto organowi nieuzasadnione niezastosowanie art. 159 ust. 1 i 2 i art. 161 ust. 1 i 2 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne w zw. z art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. oraz art. 5 ust. 1 lit. a, b, c i ust. 2, art. 6 ust. 1 lit. a, b, f i ust. 2 i art. 9 ust. 1 rozporządzenia RODO i w konsekwencji "niezbadanie podstaw prawnych i faktycznych udostępniania przez Spółkę jej danych osobowych.

W.A. wniosła o uchylenie zaskarżonej decyzji w zaskarżonej części na podstawie art. 145 § 1 pkt 1 c p.p.s.a. oraz o zasądzenie kosztów postępowania, w tym kosztów zastępstwa procesowego, według norm prawem przepisanych.

W uzasadnieniu skargi skarżąca podniosła m. in., że w doktrynie (por. Knysiak-Sudyka Hanna (red.), Kodeks postępowania administracyjnego. Komentarz, wyd. II). przyjmuje się, że co do zasady pierwotna bezprzedmiotowość postępowania administracyjnego powinna być stwierdzona jeszcze przed jego wszczęciem. Organ administracji publicznej nie powinien bowiem z urzędu wszczynać postępowania, które jest bezprzedmiotowe, ani też dopuścić do jego wszczęcia na wniosek. Bezprzedmiotowość postępowania "powinna zostać wykryta i zasygnalizowana" już na wcześniejszym etapie postępowania, a nie dopiero w treści ostatecznej decyzji. Organ w ten sposób naraził stronę skarżącą na uciążliwości związane z długim okresem oczekiwania na rozstrzygnięcie. W ocenie W.A. postępowanie w rozpatrywanej sprawie nie było bezprzedmiotowe, ponieważ "istnieje przedmiot faktyczny do rozpatrzenia sprawy, jak również istnieje podstawa prawna do wydania decyzji w zakresie żądania skarżącej".

W niniejszej sprawie nie może być również mowy o bezprzedmiotowości następczej, gdyż organ nie przeprowadził czynności mających na celu wyjaśnienie sprawy co do istoty i nie ustalił w jakim czasokresie Spółka udostępniała jej dane osobowe. Nie wyjaśnił również, dlaczego przyjął, że przetwarzanie tych danych zostało zakończone w okresie obowiązywania ustawy o ochronie danych osobowych z 1997 r. , mimo że skarżąca w pismach z 28 lutego 2019 r, z 28 lutego i 25 marca 2020 r. kierowanych do organu wielokrotnie domagała się zobowiązania operatora sieci komórkowej do złożenia wyjaśnień, czy udostępniła bilingi jej rozmów Oddziałowi Żandarmerii Wojskowej w [...], Komendzie Głównej Żandarmerii Wojskowej w [...], Służbie Kontrwywiadu Wojskowego oraz innym podmiotom, a jeżeli tak, to kiedy i w jakim zakresie oraz na jakiej podstawie oraz wskazywała, że "podmioty wojskowe" nie były uprawnione do uzyskania tych danych. Organ nie przeprowadził postępowania wyjaśniającego w tej sprawie i uznał za wiarygodne wyjaśnienia operatora sieci komórkowej (Spółki [...]) odnośnie kręgu podmiotów, którym udostępniano jej dane.

Skarżąca dodała, że Spółka ujawniając nie tylko jej dane teleadresowe ale również jej bilingi rozmów i treść wiadomości SMS począwszy co najmniej od 18 marca 2016 r., naruszyła tajemnicę telekomunikacyjną o której mowa w art. 159 i art. 161 prawa telekomunikacyjnego oraz ustawę o ochronie danych osobowych.

Skarżąca stwierdziła, że osoba będąca w takiej sytuacji jak ona, zostaje pozbawiona możliwości ochrony swoich praw z uwagi na brak odpowiedniej normy, "co jest "skrajnie niesprawiedliwe". Jej zdaniem, jeżeli sam ustawodawca wyraźnie nie rozstrzyga w ustawie problemów intertemporalnych, nie ma jednoznacznej reguły, mającej uniwersalne zastosowanie we wszystkich przypadkach. W sytuacjach, kiedy ustawodawca nie wypowiada się wyraźnie w kwestii przepisów przejściowych, należy przyjąć, że nowa ustawa ma z pewnością zastosowanie do zdarzeń prawnych powstałych po jej wejściu w życie, jak i do tych, które miały miejsce wcześniej, które jednak trwają dalej po wejściu w życie nowej ustawy (wyrok Wojewódzkiego Sądu Administracyjnego w Krakowie z dnia 18 listopada 2014 r., sygn. akt III SA/Kr 1197/14).

W.A. podkreśliła, że czas trwania zaistniałych naruszeń w istocie nie jest do końca znany i stwierdziła, że wydaje się, że "tego typu wątpliwość" organ powinien rozstrzygnąć na jej korzyść. Tymczasem Prezes UODO w zaskarżonym orzeczeniu ograniczył się jedynie do wskazania podstawy prawnej i wyjaśnienia treści przepisów, nie odniósł się jednak do zgromadzonego materiału dowodowego, nie rozpatrzył wniosków dowodowych skarżącej dotyczących zobowiązania spółki do udzielenia wyjaśnień w zakresie udostępnionych przez spółkę danych teleadresowych i bilingów rozmów. Prezes UODO pismem z dnia 4 stycznia 2019 r. zwrócił się do spółki o wskazanie na jakiej podstawie prawnej, jakim konkretnie podmiotom i w jakim celu Spółka udostępniła dane osobowe skarżącej, w tym informacje dotyczące bilingów jej rozmów, jednakże wedle wiedzy Skarżącej, nie otrzymał na to wezwanie odpowiedzi, a po kolejnych wnioskach dowodowych i wyjaśnieniach z dnia 25 marca 2020 r., zaniechał jakichkolwiek działań

Prezes Urzędu Ochrony Danych Osobowych w odpowiedziach na skargi (pisma z 13 października 2020 r.) wniósł o ich oddalenie.

Organ odnosząc się do skargi Spółki [...] stwierdził, że nie podziela zawartych w niej zarzutów naruszenia prawa procesowego i wyjaśnił, że w toku postępowania w tej sprawie, na podstawie art. 58 ust. 1 lit. a) i e) zwrócił się do skarżącej o złożenie wyjaśnień, podjął wszelkie czynności celem wnikliwego i rzetelnego rozpoznania sprawy.

Prezes Urzędu Ochrony Danych Osobowych podniósł, że W.A. "wstępnie" wyraziła zgodę na utrwalanie obrazu dokumentu tożsamości oraz na przetwarzania danych w nim zawartych, łącznie z wizerunkiem i rysopisem w związku z zawarciem umów o świadczenie usług telekomunikacyjnych, następnie zgodę tę wycofała. Mimo to, Spółka nie usunęła danych osobowych skarżącej zawartych w kopii dokumentu, zaś uzasadniając proces przetwarzania danych osobowych W.A. zawartych w kopii dowodu osobistego celami dowodowymi i archiwizacyjnymi, związanymi z potwierdzeniem faktu zawarcia umów o świadczenie usług telekomunikacyjnych, nie wykazała, aby proces ten czynił zadość zasadzie minimalizacji, o której mowa w art. 5 ust. 1 pkt c RODO, a jedocześnie znajdował uzasadnienie w przesłankach z art. 6 ust. 1 RODO. W szczególności Spółka w wyjaśnieniach z 31 października 2018 r. nie wykazała, że zachowanie skarżącej w chwili wykonania kopii dowodu osobistego, wskazywało, że istnieje obawa niewykonania przez nią zobowiązania wynikającego z podpisanej ze spółką umowy. Podnoszona zaś w skardze kwestia kontroli nad nieuczciwymi pracownikami salonów firmowych, nie może prowadzić do pozyskiwania zakresu danych wykraczającego ponad to, co jest oczywiście niezbędne do wykonania umowy. Kopiowania dokumentu tożsamości nie uzasadniało ponadto zawarcie umowy na warunkach promocyjnych. W ocenie organu, przetwarzanie takich danych jak wizerunek i rysopis nie służy w żaden sposób wykonaniu umowy o świadczenie usług telekomunikacyjnych przez skarżącą, bez względu na charakter tej umowy. Nie stanowi ku temu uzasadnienia jedynie potencjalna możliwość nieuczciwego zachowania się przez skarżącą w przyszłości. Weryfikacja tożsamości klienta możliwa jest poprzez okazanie przez klienta dokumentu ją potwierdzającego.

Organ odwołał się do zasady minimalizacji przetwarzania danych osobowych i stwierdził, ze przechowywanie danych przez okres przedawnienia roszczeń (art. 118 k.c.), również w przypadku gdy ani administrator ani osoba, której dane dotyczą, nie zgłosiła roszczenia, nie stanowi prawnie uzasadnionego interesu administratora danych. Przepis art. 6 ust.1 pkt 1 lit f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów administratora danych jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem już istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem, niejako "na zapas". Organ dodał, że postępowanie administracyjne nie wykazało, aby W.A. skierowała wobec skarżącej Spółki jakiekolwiek roszczenia.

Prezes Urzędu Ochrony Danych Osobowych podniósł, że wbrew twierdzeniom Spółki, obowiązujący obecnie art. 161 ust. 2 Prawa telekomunikacyjnego, nie pozwala na przetwarzanie danych osobowych użytkownika takich jak obywatelstwo, nazwiska rodowe, imiona rodziców, data i miejsca urodzenia, płeć, wzrost w centymetrach, koloru oczu, nazwa organu wydającego dowód osobisty, data wydania i termin ważności, seria i numeru dowodu osobistego oraz wizerunek twarzy i wzór podpisu. Powołany przepis wskazuje na zakres danych użytkowników, do których przetwarzania uprawniony jest dostawca usług telekomunikacyjnych, zastrzegając, że przetwarzanie innych danych (niż wskazane z w art. 159 ust. 1 pkt 2-5) odbywa się na podstawie przepisów o ochronie danych osobowych. Przetwarzanie spornych danych wykracza poza to, co faktycznie jest niezbędne do tego, aby prawidłowo wykonać umowę o świadczenie usług telekomunikacyjnych. W ocenie organu Spółka nie wykazała, aby proces przetwarzania kwestionowanych danych skarżącej znajdował oparcie w uzasadnionym interesie, o którym mowa w art. 6 ust.1 lit. f) RODO.

Nie jest prawidłowe zapatrywanie skarżącej Spółki, zgodnie z którym kserokopia dowodu osobistego stanowi dokument potwierdzający możliwość wykonania zobowiązania przez klienta wobec dostawcy usług telekomunikacyjnych, wynikającego z umowy o świadczenie usług telekomunikacyjnych. NSA w wyroku z 18 kwietnia 2018 r. I OSK 1354/16 stwierdził, że dowód osobisty nie jest dokumentem potwierdzającym możliwość wykonania umowy o świadczenie usług telekomunikacyjnych. Art. 161 ust. 2 pkt 7 Prawa telekomunikacyjnego uprawniał dostawców usług telekomunikacyjnych do przetwarzania wyłącznie takich danych osobowych osoby fizycznej, które potwierdzały jej możliwości płatnicze, podczas gdy dane zawarte w dowodzie osobistym służyły przede wszystkim do identyfikacji osoby.

Odnośnie skargi W.A. organ podał, że postępowanie administracyjne w niniejszej sprawie zostało zainicjowane pod rządami ustawy z 10 maja 2018 r. o ochronie danych osobowych, która w art. 160 ust. 1 i 2 stanowi, że jedynie postępowania wszczęte i niezakończone przed dniem wejścia w życie tej ustawy (...) są prowadzone przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie poprzednio obowiązującej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Nie ma również podstaw do oceny zachowania administratora danych w oparciu o tę uchyloną ustawę, gdy proces przetwarzania nie był kontynuowany po 25 maja 2018 r. Organ nie może również dokonać oceny zgodności kwestionowanych w skardze działań administratora z rozporządzeniem RODO, ponieważ "kwestionowane udostępnienia miały charakter zakończony i nie były kontynuowane po 25 maja 2018r.". Sama skarżąca w treści skargi wskazała, że w związku ze swoimi przypuszczeniami dotyczącymi tego, że jej dane osobowe zostały bez jej zgody i wiedzy udostępnione, wystąpiła do Spółki z wnioskiem o udostępnienie jej informacji w powyższym zakresie. Wnioski te pochodzą z grudnia 2017 r. i stycznia 2018 r., a więc organ nie miał wątpliwości co do tego, że kwestionowane udostępnienia nastąpić mogły wyłącznie, gdy obowiązywała ustawa z 1997 r.

Wojewódzki Sąd Administracyjny w Warszawie postanowieniem z 4 maja 2021 r. sygn. akt II SA/Wa 2034/20 połączył do wspólnego rozpoznania i rozstrzygnięcia sprawy ze skarg W.A. oraz [...] Sp. z o.o. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z [...] sierpnia 2020 r. (nr [...]).

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Kontrolowana w niniejszym postępowaniu sądowym decyzja Prezesa Urzędu Ochrony Danych Osobowych w zakresie, w którym orzeka o umorzeniu postępowania (pkt 2) narusza prawo i dlatego skarga W.A. jest uzasadniona. Rozstrzygnięcie zawarte w pkt 1 tej decyzji, którym organ nakazał [...] Sp. z o.o. z siedzibą w [...] usunięcie danych osobowych zawartych w kopii dowodu osobistego W.A., w zakresie: obywatelstwa, nazwiska rodowego, imion rodziców, daty i miejsca urodzenia, płci, wzrostu w centymetrach, koloru oczu, nazwy organu wydającego dowód osobisty, daty wydania i terminu ważności, serii i numeru dowodu osobistego oraz wizerunku twarzy i wzoru podpisu odpowiada prawu i dlatego skarga [...] Sp. z o.o. z siedzibą w [...] nie zasługuje na uwzględnienie.

Należy przypomnieć, że W.A. w piśmie z 20 sierpnia 2018 r. zwróciła się do Prezesa Urzędu Ochrony Danych Osobowych ze skargą na niezgodne z prawem przetwarzanie jej danych osobowych przez [...] Sp. z o.o. z siedzibą w [...]. Skarżąca podniosła m. in., że Spółka udostępnienia te dane (w tym bilingi rozmów) na rzecz podmiotów nieuprawnionych.

Spółka w toku postępowania w tej sprawie wyjaśniła (pismo z 31 października 2018 r.), że udostępniła dane osobowe W.A. na rzecz [...] S.A., [...] S.A., [...] Sp. z o.o., a ponadto biurom informacji gospodarczej, informacji kredytowej i Związkowi Banków Polskich, na podstawie zgód skarżącej. Ponadto [...] Sp. z o.o. w pismach z 15 grudnia 2017 r., 31 stycznia, 19 lutego, 13 września 2018 r. poinformowała W.A., że udostępnia dane osobowe stanowiące tajemnicę telekomunikacyjną na podstawie art. 218 § 1 k.p.k.

Prezes Urzędu Ochrony Danych Osobowych w zaskarżonej decyzji stwierdził, że postępowanie w tym zakresie jest bezprzedmiotowe, ponieważ zostało ono wszczęte po dniu wejścia w życie ustawy z 10 maja 2018 r. o ochronie danych osobowych, a Spółka [...] "nie kontynuowała" zarzucanego przetwarzania danych skarżącej po dniu 25 maja 2018 r. W odpowiedzi na skargę dodał, że skoro pisma skarżącej "pochodzą z grudnia 2017 r. i stycznia 2018 r., (...) (to) organ nie miał wątpliwości co do tego, że kwestionowane udostępnienia nastąpić mogły wyłącznie, gdy obowiązywała ustawa z 1997 r.".

Zdaniem Sądu, kontrolowana decyzja w części, w której orzeka o umorzeniu postępowania została wydana z naruszeniem art. 7, art. 77 § 1 oraz 107 § 3, a w konsekwencji art. 105 § 1 k.p.a. Sąd podziela stanowisko skarżącej W.A., że Prezes Urzędu Ochrony Danych Osobowych nie ustalił i nie wyjaśnił, w jakim okresie Spółka udostępniała jej dane osobowe. Nie wyjaśnił również, dlaczego przyjął, że przetwarzanie tych danych zostało zakończone pod rządem ustawy o ochronie danych osobowych z 1997 r. Te okoliczności faktyczne mają istotne znaczenie dla wyniku postępowania, ponieważ obecnie obowiązująca ustawa o ochronie danych osobowych oraz rozporządzenie RODO, mają zastosowanie do zdarzeń powstałych po jej wejściu w życie, ale także do tych, które miały miejsce wcześniej i trwają dalej po 25 maja 2018 r. Uzasadnienie decyzji w tym zakresie jest lakoniczne i jak już powiedziano, ogranicza się do stwierdzenia, że kwestionowane przetwarzanie danych osobowych zostało zakończone i nie było kontynuowane po dniu 25 maja 2018 r.

Mając powyższe na uwadze Wojewódzki Sąd Administracyjny w Warszawie uwzględnił skargę W.A..

Sąd kontrolując zaskarżoną decyzję w części objętej skargą [...] Sp. z o.o. z siedzibą w [...], stwierdził, że Prezes Urzędu Ochrony Danych Osobowych działając na podstawie art. 58 ust. 2 pkt g rozporządzenia RODO prawidłowo nakazał [...] Sp. z o.o. z siedzibą w [...]usunięcie danych osobowych zawartych w kopii dowodu osobistego W.A., w zakresie: obywatelstwa, nazwiska rodowego, imion rodziców, daty i miejsca urodzenia, płci, wzrostu w centymetrach, koloru oczu, nazwy organu wydającego dowód osobisty, daty wydania i terminu ważności, serii i numeru dowodu osobistego oraz wizerunku twarzy i wzoru podpisu.

Według art. 161 ust. 2 ustawy Prawo telekomunikacyjne (w brzmieniu obowiązującym od dnia 4 maja 2019 r.) przetwarzanie danych osobowych użytkownika - będącego osobą fizyczną - innych niż wskazane w art. 159 ust. 1 pkt 2-5 (treść indywidualnych komunikatów; dane transmisyjne, dane o lokalizacji, dane o próbach uzyskania połączenia między zakończeniami sieci, w tym dane o nieudanych próbach połączeń), odbywa się na podstawie przepisów o ochronie danych osobowych.

Zgodnie z art. 6 ust 1 rozporządzenia RODO, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków:

a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Dane osobowe zawarte w dowodzie osobistym należą ponadto do szczególnej kategorii danych w rozumieniu art. 9 ust. 1 RODO. obejmującej dane biometryczne, służące jednoznacznemu zidentyfikowaniu osoby fizycznej. Ich przetwarzanie jest generalnie zakazane, poza wyjątkami określonymi w ust. 2 tego artykułu.

Wojewódzki Sąd Administracyjny w Warszawie podziela zapatrywanie organu, wyrażone w zaskarżonej decyzji, że w rozpatrywanej sprawie nie zachodzą, określone w rozporządzeniu RODO ( art. 6 ust. 1 i art. 9 ust. 2) przesłanki uchylające zakaz przetwarzania danych osobowych zawartych w dowodzie osobistym skarżącej, których usunięcia nakazano zaskarżoną decyzją.

Nie budzi wątpliwości, że skarżąca W.A., której dane osobowe zawarte w kopii dowodu osobistego były przetwarzane przez Spółkę za jej zgodą (w związku w zawarciem w 2017 i 2018 r. umów o świadczenie usług telekomunikacyjnych w ramach oferty promocyjnej, a wcześniej na podstawie art. 161 ust. 2 ustawy Prawo telekomunikacyjne w brzmieniu sprzed nowelizacji), w piśmie z 7 grudnia 2018 r. oświadczyła, że nie wyraża zgody na dalsze przetwarzanie jej danych osobowych polegające na udostępnianiu tych danych jakimkolwiek podmiotom trzecim, także w celach marketingowych oraz stwierdziła, że jej dane osobowe mogą być przetwarzane jedynie w celu realizacji umowy o świadczenie usług telekomunikacyjnych oraz wniosła o usunięcie kserokopii jej dowodu osobistego ze zbiorów dokumentów Spółki. To cofniecie jest skuteczne w świetle art. 7 ust. 3 RODO.

Przechodząc do dalszych rozważań, należy przede wszystkim podkreślić, że proces przetwarzania danych osobowych musi być zgodny z zasadą minimalizacji danych ustanowioną w art. 5 ust. 1 lit. c RODO. Zgodnie z powołanym przepisem dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane ("minimalizacja danych"). Ograniczenie do danych niezbędnych oznacza takie ukształtowanie zakresu przetwarzania danych, aby przetwarzać tylko takie dane, bez których nie da się osiągnąć celu.

Kierując się tymi wskazaniami Sąd uznaje za uzasadnione stwierdzenie organu, że do realizacji umów o świadczenie usług telekomunikacyjnych zawartych ze skarżącą (art. 6 ust. 1 lit. b rozporządzenia RODO), niezbędne jest wyłącznie jej imię, nazwisko, adres zameldowania oraz numer PESEL, natomiast pozostałe dane zawarte w dowodzie osobistym (wizerunek i rysopis) nie służą w żaden sposób wykonaniu umowy o świadczenie usług telekomunikacyjnych przez skarżącą, niezależnie od charakteru tej umowy oraz że przetwarzanie tych spornych danych nie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c) rozporządzenia).

Zdaniem Sądu, [...] Sp. z o.o. z siedzibą w [...] nie wykazała, aby proces przetwarzania kwestionowanych danych skarżącej znajdował oparcie w jej uzasadnionym interesie, co prowadzi do wniosku, że w rozpatrywanej sprawie nie zachodzi również przesłanka uchylająca zakaz przetwarzania spornych danych osobowych, o której mowa w art. 6 ust. 1 lit. f) rozporządzenia RODO.

Według tego przepisu, przetwarzanie jest zgodne z prawem wówczas, gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora (z wyjątkami w nim wymienionymi).

Podnoszona przez Spółkę w skardze do Sądu wymóg szczególnej staranności przy weryfikacji tożsamości osoby zawierającej umowę o świadczenie usług telekomunikacyjnych, w związku z przypadkami nadużyć związanych z wykorzystywaniem danych osobowych osób trzecich do zaciągania zobowiązań w imieniu klientów oraz potrzebą kontroli nieuczciwych pracowników salonów firmowych operatora nie świadczy jednak o istnieniu prawnie uzasadnionego interesu administratora w przetwarzaniu danych osobowych strony umowy o świadczenie usług telekomunikacyjnych (skarżącej W.A.) takich jak: obywatelstwo, nazwisko rodowe, imiona rodziców, data i miejsce urodzenia, płeć, wzrost, koloru oczu, nazwa organu wydającego dowód osobisty, data wydania i terminu ważności, seria i numer dowodu osobistego oraz wizerunek twarzy i wzór podpisu. Dyscyplinowanie własnych pracowników to kwestia wewnętrzna pracodawcy. Nie ma żadnych podstaw, aby czynić to kosztem uprawnień klientów korzystających z usług skarżącej Spółki.

Weryfikacja tożsamości klienta możliwa jest poprzez okazanie przez klienta dokumentu ją potwierdzającego Dla celów dowodowych i archiwizacyjnych związanych z potwierdzeniem faktu zawarcia umów oraz ustalenia, obrony i dochodzenia roszczeń (windykacji), wystarczające są imię, nazwisko, adres zameldowania oraz numer PESEL strony umowy. Te wszystkie cele mogą być osiągnięte bez potrzeby przetwarzania innych danych zawartych w dowodzie osobistym. Nie zmienia tego faktu wyjaśnienie Spółki, że od końca 2018 r. wykonując kserokopie dowodu osobistego używa, tzw. nakładek anonimizacyjnych, a obraz dokumentu tożsamości nie jest zapisywany w pamięci urządzenia, na którym jest wykonywana kserokopia dokumentu.

Należy dodać, że przepis art. 6 ust.1pkt 1 lit f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów administratora danych jest konieczność udowodnienia potrzeby dochodzenia lub obrony przed roszczeniem już istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym przyszłym roszczeniem. Innymi słowy, przetwarzania danych osobowych nie uzasadnia jedynie potencjalna możliwość nieuczciwego zachowania się przez skarżącą w przyszłości.

Spółka w toku postępowania w tej sprawie nie wykazała, że zachowanie skarżącej w chwili wykonania kopii dowodu osobistego, wskazywało, że istnieje obawa niewykonania przez nią zobowiązania wynikającego z podpisanej ze spółką umowy oraz aby W.A. skierowała wobec skarżącej Spółki jakiekolwiek roszczenia.

Sąd nie podziela zarzutu skarżącej, że Prezes Urzędu Ochrony Danych Osobowych w postępowaniu w tej sprawie nie ustalił okoliczności świadczących o tym, że usuniecie spornych danych osobowych W.A. godziłoby w uzasadnione interesy dostawcy usług telekomunikacyjnych i samej W.A. oraz, że uzasadnienie zaskarżonej decyzji nie spełnia wymogów o których mowa w art. 107 § 3 k.p.a. tj. nie wskazuje faktów, które organ uznał za udowodnione, dowodów, na których się oparł, oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej, nie wyjaśnia podstawy prawnej decyzji z przytoczeniem przepisów prawa. Strona skarżąca w istocie nie zarzuca, by uzasadnienie zaskarżonej decyzji nie zawierało któregoś z niezbędnych elementów lub ze sporządzono je w sposób uniemożliwiający kontrolę sądową. Zarzut ten zmierza natomiast do podjęcia polemiki z rozstrzygnięciami organów. W istocie treść tego zarzutu i jego uzasadnienie nie koresponduje z treścią powołanego przepisu.

Z tych wszystkich względów Sąd stwierdza, że skarga [...] Sp. z o.o. z siedzibą w [...] jest nieuzasadniona. Przetwarzanie przez skarżącą Spółkę spornych danych zawartych w kopii dowodu osobistego W.A. wykracza poza to, co faktycznie jest niezbędne do tego, aby prawidłowo wykonać umowę o świadczenie usług telekomunikacyjnych i nie znajduje uzasadnienia w art. 6 ust. 1 rozporządzenia RODO, przy uwzględnieniu zasady minimalizacji przetwarzania danych.

Mając powyższe na uwadze, Wojewódzki Sąd Administracyjny w Warszawie na podstawie art. 145 § 1 pkt 1 lit. c) ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2019 r., poz. 2325 ze zm.), orzekł jak w pkt 1 wyroku. Orzeczenie zawarte w pkt 2 wyroku zostało wydane na podstawie art. 151 powołanej ustawy, natomiast orzeczenie o kosztach (pkt 3 wyroku), na podstawie art.. 200 i art. 205 § 2 ustawy procesowej.