Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Małgorzata Pocztarek (spr.) Sędziowie NSA Elżbieta Kremer del. WSA Ewa Kręcichwost- Durchowska Protokolant starszy asystent sędziego Marcin Rączka po rozpoznaniu w dniu 13 czerwca 2019 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej [...] sp. z o.o. z siedzibą w [...] od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 28 marca 2017 r. sygn. akt II SA/Wa 779/16 w sprawie ze skargi [...] sp. z o.o. z siedzibą w [...] na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] marca 2016 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. oddala skargę kasacyjną; 2. zasądza od [...] sp. z o.o. z siedzibą w [...] na rzecz Prezesa Urzędu Ochrony Danych Osobowych kwotę 360 (trzysta sześćdziesiąt) złotych tytułem zwrotu kosztów postępowania kasacyjnego.

Wyrokiem z dnia 28 marca 2017 r., sygn. akt II SA/Wa 779/16, Wojewódzki Sąd Administracyjny w Warszawie, oddalił skargę [...] Sp. z o.o. z siedzibą w [...] na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] marca 2016 r. nr [...] w przedmiocie przetwarzania danych osobowych.

Z uzasadnienia zaskarżonego wyroku wynika, że w dniu [...] grudnia 2015 r. Generalny Inspektor Ochrony Danych Osobowych wydał decyzję, nakazującą [...] Sp. z o.o. z siedzibą w [...] usunięcie uchybienia w procesie przetwarzania danych osobowych poprzez zaprzestanie przetwarzania bez podstawy prawnej, tj. zgody, o której mowa w 161 ust. 3 ustawy z 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2014 r., poz. 243 ze zm.), danych osobowych użytkowników końcowych wykraczających poza zakres określony w art. 161 ust. 2 tej ustawy, w następującym zakresie: kolor oczu, wzrost, wizerunek twarzy, płeć, adres zameldowania, nazwa organu wydającego dowód osobisty, data wydania i termin ważności dowodu osobistego, podpis, nazwa organu wydającego prawo jazdy, numer prawa jazdy, kategorie prawa jazdy, data wydania i data ważności prawa jazdy, numer świadczenia rentowego, emerytalnego, nazwa organu wydającego legitymację ubezpieczeniową, rencisty, emeryta, data wydania tych legitymacji, nazwa organu wydającego książeczkę wojskową, kartę stałego lub czasowego pobytu oraz nazwa uczelni wydającej legitymację studencką - w terminie 30 dni od dnia. w którym decyzja stanie się ostateczna.

W podstawie prawnej decyzji organ wskazał art. 104 § 1 Kodeksu postępowania administracyjnego oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1, art. 22 w związku z art. 26 ust. 1 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r., poz. 2135 ze zm.)

Po rozpatrzeniu wniosku [...] o ponowne rozpatrzenie spawy, Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] marca 2016 r., działając na podstawie art. 138 § 1 pkt 1 Kpa oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1, art. 22 w związku z art. 26 ust. 1 pkt 1 ustawy o ochronie danych osobowych, utrzymał w mocy swoją decyzję z dnia [...] grudnia 2015 r.

W uzasadnieniu rozstrzygnięcia organ omówił treść art. 26 ust. 1 i art. 6 ust. 1 ustawy o ochronie danych osobowych oraz art. 57 ust. 1 pkt 3, art. 161 ust. 2 i ust. 3 oraz art. 174 pkt 1 ustawy – Prawo telekomunikacyjne (Dz. U. z 2014 r., poz. 243 ze zm.) i wskazał na ustalenia dokonane w toku kontroli.

Generalny Inspektor ustalił, iż Spółka [...] udostępnia klientom dwa kanały sprzedaży, za pośrednictwem których można zawrzeć ze Spółką umowę o świadczenie usług telekomunikacyjnych, tj.: tzw. kanał stacjonarny oraz kanał internetowy. W celu potwierdzenia tożsamości klientów, którzy zdecydowali się na zawarcie umowy o świadczenie usług telekomunikacyjnych bez uiszczenia kaucji, Spółka przyjmuje kserokopie następujących dokumentów: dowodu osobistego, legitymacji rencisty, legitymacji emeryta, legitymacji służbowej posła/senatora/nauczyciela, prawa jazdy, paszportu, legitymacji ubezpieczeniowej, książeczki wojskowej, legitymacji studenckiej, karty stałego i czasowego pobytu na terenie RP.

Z analizy treści kopii dokumentów przedstawionych w toku kontroli wynika, iż Spółka pozyskując ww. kopie, zbiera dane osobowe swoich klientów w szerszym zakresie niż zakres określony w art. 161 ust. 2 Prawa telekomunikacyjnego, tj. pozyskuje takie dane jak: kolor oczu, wzrost, wizerunek twarzy, płeć, adres zameldowania, nazwę organu wydającego dowód osobisty, datę wydania i termin ważności dowodu osobistego, podpis, nazwę organu wydającego prawo jazdy, numer prawa jazdy, kategorie prawa jazdy, datę wydania i datę ważności prawa jazdy, numer świadczenia rentowego, emerytalnego, nazwę organu wydającego legitymację ubezpieczeniową, rencisty, emeryta, datę wydania tych legitymacji, nazwę organu wydającego książeczkę wojskową, kartę stałego lub czasowego pobytu oraz nazwę uczelni wydającej legitymację studencką.

Z dokonanych w toku kontroli ustaleń wynika iż przy zawieraniu umowy o świadczenie usług telekomunikacyjnych, które odbywa się w punkcie obsługi klienta, wypełniany jest m.in. dokument o nazwie "Informacja [...] Sp. z o.o. o przetwarzaniu danych osobowych oraz oświadczenia klienta/abonenta" (dokument ten stanowi załącznik nr 3 do umowy). W pkt 6 tego dokumentu zawarto zapis: "wyrażam zgodę na podstawie art. 161 ust. 3 ustawy Prawo telekomunikacyjne na przetwarzanie danych wskazanych na pierwszej stronie umowy w polach oznaczonych indeksem 1 - pole wypełnione za zgodą abonenta, a także danych zawartych w kopiach dokumentów przedstawionych przy zawieraniu umowy, danych karty kredytowej, adres e-mail, kontaktowego numeru telefonu".

W przypadku zawierania umowy o świadczenie usług telekomunikacyjnych za pośrednictwem internetowego kanału sprzedaży, klient w formularzu o nazwie "Oświadczenia" obowiązkowo musi zaznaczyć jedno z pól oznaczonych gwiazdką. W polu tym wśród innych oświadczeń zawarta jest klauzula następującej treści: "wyrażam zgodę (na podstawie art. 161 ust 3 ustawy z dnia 16 lipca 2004 r. Prawa telekomunikacyjnego ...) na przetwarzanie danych wskazanych na pierwszej stronie umowy w polach oznaczonych indeksem 1 - pole wypełnione za zgodą abonenta - a także danych zawartych w kopiach dokumentów przedstawionych przy zawieraniu umowy, danych karty kredytowej, adres e-mail, kontaktowego numeru telefonu podanych w trakcie trwania umowy: a) w celu podjęcia działań przed zawarciem umowy, b) w celu realizacji umowy, do wypełnienia prawnie usprawiedliwionych celów Polkomtel Sp. z o. o. w tym sprzedaży i marketingu bezpośredniego, własnych produktów i usług, c) dochodzenia roszczeń z tytułu prowadzonej działalności gospodarczej oraz pozostałych celach statutowych, d) gdy jest niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego przepisu prawa lub do wykonania określonych prawem zadań realizowanych dla dobra publicznego. Zgoda na przetwarzanie ww. danych w celach marketingowych jest niezależna od czasu obowiązywania umowy".

W ocenie organu, jak wynika z ww. formularza, pole zawierające przedmiotową klauzulę opatrzone jest gwiazdką (jako oświadczenie wymagane). W związku z tym uznać należy, iż osoba wypełniająca przedmiotowy formularz, chcąc zawrzeć umowę, nie może odmówić wyrażenia zgody na przetwarzanie danych osobowych zawartych w kopiowanych dokumentach tożsamości;

W zawartych już umowach o świadczenie usług telekomunikacyjnych, na ostatniej stronie (nad miejscem przeznaczonym na złożenie podpisu przez strony zawartej umowy), zamieszczone są oświadczenia o treści: "1) oświadczam, iż otrzymałam/em i akceptuję regulamin wybranej promocji określonej na stronie 1 umowy (nie dotyczy umów zawieranych poza promocją); 2) oświadczam, że zapoznałam/em się z zakresem usług, postanowieniami i warunkami umowy, a także że otrzymałam/em i akceptuję Regulamin świadczenia usług telekomunikacyjnych przez [...] Sp. z o.o.- abonament, cennik stanowiący integralną część umowy, w szczególności postanowienia o odpowiedzialności [...] Sp. z o. o. za niewykonanie i nienależyte wykonanie umowy, postanowienia dotyczące zasad rozwiązywania umowy oraz postanowienia dotyczące zasad naliczania kar umownych i ich wysokości; 3) oświadczam, że wyrażam zgodę na wykonanie kopii dokumentów przedstawionych przy zawarciu umowy, a tym samym na przetwarzanie danych w nich zawartych w celach zawarcia umowy i archiwizacji; 4) abonent prowadzący działalność gospodarczą oświadcza, że w dniu zawierania urnowy prowadzi działalność gospodarczą i potwierdza, że dane podane na 1 stronie umowy są aktualne".

W związku z tymi ustaleniami, w ocenie organu, uznać należy, iż osoba podpisująca umowę o świadczenie usług telekomunikacyjnych nie może odmówić również wyrażenia zgody na przetwarzanie danych osobowych, zawartych w kopiowanych dokumentach tożsamości, a tym samym na przetwarzanie tych danych w celu zawarcia umowy.

Dalej organ podał, że art. 161 ust. 3 w zw. z art. 174 ustawy Prawo telekomunikacyjne stanowi przesłankę legalizująca przetwarzanie danych osobowych zawartych m.in. w kserokopii dokumentów potwierdzających tożsamość osoby, z która zawierana jest umowa o świadczenie usług telekomunikacyjnych. Zgodnie z art. 161 ust. 3, oprócz danych, o których mowa w art. 161 ust. 2, dostawca publicznie dostępnych usług telekomunikacyjnych może, za zgodą użytkownika będącego osobą fizyczną, przetwarzać inne dane tego użytkownika w związku ze świadczoną usługą, w szczególności numer konta bankowego lub karty płatniczej, a także adres poczty elektronicznej oraz numery telefonów kontaktowych. Przy czym zgoda wymagana przez przepisy ustawy Prawo telekomunikacyjne powinna spełniać wymogi określone w art. 174. Jednym z tych wymogów jest zakaz domniemywania zgody bądź jej dorozumienia z oświadczenia woli o innej treści.

Decyzja w sprawie wyrażenia zgody na przetwarzanie danych osobowych powinna być zatem podjęta swobodnie i mieć charakter samodzielny. Brak swobody w zakresie wyrażenia zgody na przetwarzanie danych osobowych jest zatem sprzeczny z istotą tej przesłanki i prowadzi do ograniczenia praw osób fizycznych przejawiających się m.in. w prawie do dysponowania swoimi danymi osobowymi.

Natomiast analiza postanowień zapisów umieszczonych przez Spółkę w umowach oświadczeniu usług telekomunikacyjnych, jak również informacji zawartych w formularzu o nazwie "Oświadczenie" (wypełnianym przy zawieraniu umowy przez Internet) wykazała, iż Spółka [...], jako administrator danych, wśród innych oświadczeń woli zamieściła klauzulę zgody na dokonanie kserokopii dokumentów przedstawionych przy zawarciu umowy o świadczenie usług telekomunikacyjnych, a tym samym na przetwarzanie danych w nich zawartych. Nie pozostawiła tym samym swobody w podjęciu decyzji o wyrażeniu bądź niewyrażeniu takiej zgody.

Na podstawie analizy wydruku zawierającego treść oświadczeń przejmowanych obecnie przez Spółkę od potencjalnych klientów sklepu internetowego, na etapie składania zamówienia (powołany wydruk przesłany został do Biura GIODO w dniu 15 lutego 2016 r.), wskazać należy, iż zamieszczenie przy klauzuli o następującym brzmieniu:

- wyrażam zgodę na podstawie art. 161 ust 3 ustawy z dnia 16 lipca 2004 r. Prawa telekomunikacyjnego (...) na przetwarzanie danych wskazanych na pierwszej stronie umowy w polach oznaczonych indeksem 1 w brzmieniu "pole wypełnione za zgodą abonenta" a także danych zawartych w kopiach dokumentów przedstawionych przy zawieraniu umowy, danych karty kredytowej, adres e-mail, kontaktowego numeru telefonu podanych w trakcie trwania umowy: a) w celu podjęcia działań przed zawarciem umowy b) w celu realizacji umowy, c) do wypełnienia prawnie usprawiedliwionych celów [...] Sp. z o.o., w tym sprzedaży i marketingu bezpośredniego. własnych produktów i usług, dochodzenia roszczeń z tytułu prowadzonej działalności gospodarczej oraz pozostałych celach statutowych, d) gdy jest niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa lub do wykonania określonych prawem zadań realizowanych dla dobra publicznego. Zgoda na przetwarzanie ww. danych w celach marketingowych jest niezależna od czasu obowiązywania umowy";

- informacji o następującej treści: "jeśli nie zaznaczysz tej zgody, nie będziemy mogli zrealizować tego zamówienia w sklepie internetowym,

w ocenie GIODO w dalszym ciągu nie zapewnia swobody w wyrażeniu zgody na przetwarzanie danych osobowych potencjalnego klienta, zainteresowanego zawarciem umowy za pośrednictwem kanału internetowego i tym samym uznać należy, iż Spółka nadal narusza reguły związane z prawidłowym przetwarzaniem danych osobowych.

Z tych też względów zarzut braku swobody w kwestii wyrażenia zgody przez osoby wypełniające formularz zamówienia, zamieszczony na stronie internetowej jest zasadny. Przekazania ww. osobom informacji, o treści zacytowanej powyżej, nie można uznać za przywrócenie stanu zgodnego z prawem. Takie działanie Spółki pozbawia możliwości skorzystania ze zdalnego kanału sprzedaży w przypadku m.in. niewyrażenia zgody na przetwarzanie danych osobowych zawartych w kopiach dokumentów przedstawionych przy zawieraniu umowy, a tym samym wymusza konieczność osobistego zgłoszenia się do punktu obsługi klienta w celu przekazania kopii dokumentu służącego do potwierdzenia tożsamości, co w konsekwencji w dalszym ciągu prowadzi do przetwarzania danych osobowych wykraczających poza zakres wskazany w art. 161 ust. 2 ustawy Prawo telekomunikacyjne, do przetwarzania których Spółka nie jest uprawniona.

Spółka nie spełnia w sposób prawidłowy warunków zastosowania przesłanki legalności przetwarzania kwestionowanych w niniejszej sprawie danych osobowych, o której mowa w art. 161 ust. 3 w zw. z art. 174 ustawy Prawo telekomunikacyjne (co zostało wskazane wprost w treści decyzji z dnia 15 grudnia 2015 r.), tym samym narusza przepis art. 26 ust. 1 pkt 1 ustawy o ochronie danych osobowych.

Organ podkreślił, że decyzja w sprawie wyrażenia zgody na przetwarzanie danych osobowych powinna być podjęta swobodnie i mieć charakter samodzielny. Istotą przesłanki zgody jest oparcie jej na dobrowolnym oświadczeniu osoby, której dane dotyczą, wyrażającym przyzwolenie na przetwarzanie dotyczących jej danych osobowych, a brak swobody w zakresie wyrażenia zgody na przetwarzanie danych osobowych prowadzi do ograniczenia praw osób fizycznych, przejawiających się m.in. w prawie do dysponowania swoimi danymi osobowymi.

Wytyczne odnoszące się do sposobu pozyskiwania zgody abonenta lub użytkownika końcowego zawarte w ustawie Prawo telekomunikacyjne są wynikiem definicji zawartej w art. 2 lit. f dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz. Urz. WE L 201 z 31.07.2002, s. 37), która w sprawie zgody udzielanej przez użytkownika lub abonenta odsyła do zgody podmiotu danych w rozumieniu dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. WE L 281 z 23.1 1.1995, s. 31) stanowiąc, iż: "zgoda użytkownika lub abonenta odpowiada zgodzie podmiotu danych określonej w dyrektywie 95/46/WE".

W każdym przypadku, gdy na mocy dyrektywy o prywatności i łączności elektronicznej wymagana jest zgoda, kryteria służące ustaleniu, czy zgoda jest ważna, są takie same, jak określone w dyrektywie 95/46/WE, tj. zgodne z definicją zawartą w art. 2 lit. h oraz warunkami określonymi w art. 7 lit a. Zgodnie zaś z art. 2 lit. h dyrektywy 95/46/WE " zgoda osoby, której dane dotyczą oznacza konkretne i świadome, dobrowolne wskazanie przez osobę, której dane dotyczą na to, że wyraża przyzwolenie na przetwarzanie odnoszących się do niej danych osobowych". Szczególny charakter przesłanki zgody z punktu widzenia autonomii informacyjnej osoby, której dane dotyczą, został podkreślony w opinii Grupy Roboczej ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych powołanej na mocy art. 29 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych - nr 15/2011; w sprawne definicji zgody (strona 9 - pkt 11.3. Pojęcia powiązane), w której wskazano iż: "Kontrola sprawowana poprzez zgodę jest ważnym pojęciem z punktu widzenia praw podstawowych. Jednocześnie - i z tego samego punktu widzenia - decyzja osoby fizycznej o zgodzie na czynność przetwarzania danych powinna podlegać rygorystycznym wymogom, zwłaszcza biorąc pod uwagę fakt, że podejmując taką decyzję, osoba ta może zrzekać się prawa podstawowego (...) Zgoda wiąże się z koncepcją informacyjnego samostanowienia. Autonomia osoby, której dane dotyczą, jest zarówno warunkiem wstępnym, jak i konsekwencją zgody: umożliwia ona tej osobie wywieranie wpływu na przetwarzanie danych osobowych".

Polemizując z zarzutami wniosku o ponowne rozpatrzenie sprawy, Generalny Inspektor wskazał, iż Spółka [...] nie legitymuje się zgodą na przetwarzanie danych osobowych innych niż wskazane w art. 161 ust. 2 ustawy Prawo telekomunikacyjne (tj. takich jak: kolor oczu, wzrost, wizerunek twarzy, płeć, adres zameldowania, nazwę organu wydającego dowód osobisty, datę wydania termin ważności dowodu osobistego, podpis, nazwę organu wydającego prawo jazdy, numer prawa jazdy, kategorie prawa jazdy, datę wydania i datę ważności prawa jazdy, numer świadczenia rentowego, emerytalnego, nazwę organu wydającego legitymację ubezpieczeniową, rencisty, emeryta datę wydania tych legitymacji, nazwę organu wydającego książeczkę wojskową, kartę stałego lub czasowego pobytu oraz nazwę uczelni wydającej legitymację studencką).

Powoływanie się przez Spółkę na kolejne przesłanki legalizujące przetwarzanie kwestionowanych danych osobowych (zawartych w kserokopiach dokumentów tożsamości), wskazane w art. 23 ust. 1 pkt 2 w związku z art. 26 ust. 1 pkt 3 oraz w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, nie zasługuje na uwzględnienie, z uwagi na to, że przepisy prawa telekomunikacyjnego jednoznacznie wskazują podstawy prawne przetwarzania danych w związku z zawarciem umowy o świadczenie usług telekomunikacyjnych. Przyjęcie takiego stanowiska prowadziłoby do obchodzenia prawa regulującego przedmiotowe kwestie.

W uzasadnieniu wniosku o ponowne rozpatrzenie sprawy Spółka zarzuciła, iż organ ograniczył swoje rozważania wyłącznie do czynności potwierdzania tożsamości klienta, gdy w procesie zawierania umów o świadczenie usług telekomunikacyjnych dostawca usług przetwarza zarówno dane służące identyfikacji abonenta, jak i jego zdolności do wywiązania się ze zobowiązań wynikających z takiej umowy. W toku kontroli pozyskane zostały dokumenty stanowiące wewnętrzne procedury Spółki, które zawierają również uregulowania dotyczące dokumentów poświadczających wiarygodność płatniczą, co w ocenie Spółki, sugeruje, iż w toku kontroli pozyskane zostały informacje wykraczające poza jej zakres.

W ocenie organu, zakres przeprowadzonej kontroli wskazany w upoważnieniu imiennym (nr 442/103/15) z dnia 1 kwietnia 2015 r. do przeprowadzenia kontroli (sygn. akt D1S-K-421/48/15) w Spółce, jak i w protokole tejże kontroli obejmował "przetwarzanie przez Spółkę danych osobowych klientów Spółki poprzez ustalenie, czy w związku z zawieraniem umów o świadczenie usług telekomunikacyjnych Spółka pozyskuje kopie dokumentem' tożsamości lub innych dokumentów w celu potwierdzenia tożsamości klientem Spółki, w tym dowodów osobistych i czy przetwarza dane osobowe zawarte w tych dokumentach". W toku czynności kontrolnych pozyskana została m. in. kopia dokumentu o nazwie "Sprzedaż usług w punkcie sprzedaży", gdyż dokument ten został wskazany podczas kontroli przez pełnomocnika Spółki, jako procedura, która określa zasady dotyczące zawierania umów o świadczenie usług telekomunikacyjnych z osobami fizycznymi. Z uwagi na okoliczność, iż ww. dokument (w zakresie potwierdzenia tożsamości osób fizycznych, z którymi zawierane są umowy o świadczenie usług telekomunikacyjnych) odwoływał się do procedury Spółki nr QPI-320, to zasadne było pozyskanie w toku kontroli również kopii tej procedury, tj. dokumentu o nazwie "załącznik 1 w4.4 do QPI-320 Dokumenty wymagane do aktywacji oraz do oferty lojalnościowej PWA/ANZ". W/w procedura odnosi się zarówno do dokumentów potwierdzających tożsamość osób fizycznych, jak i do dokumentów potwierdzających wiarygodność płatniczą klienta. Dlatego powyższe zarzuty nie znajdują uzasadnienia.

Ponadto organ nie zgodził się z zarzutem podniesionym przez pełnomocnika Spółki, iż w decyzji z dnia [...] grudnia 2015 r. dokonano błędnej interpretacji ust. 2 art. 161 ustawy Prawo telekomunikacyjne, poprzez przyjęcie, że przepisy zawarte w punktach 1-6 tego ustępu dotyczą danych zbieranych przez dostawcę usług wyłącznie w celu identyfikacji klienta (potwierdzenia jego tożsamości), a pkt 7 dotyczy danych zbieranych wyłącznie w celu potwierdzenia zdolności klienta do wykonania zobowiązań wynikających z umowy o świadczenie usług telekomunikacyjnych.

Ustawodawca w art. 161 ust. 2 ustawy Prawo telekomunikacyjne uregulował kwestię dopuszczalnego zakresu danych użytkownika końcowego będącego osobą fizyczną, do przetwarzania których uprawniony jest dostawca publicznie dostępnych usług telekomunikacyjnych. Przepis ten w sposób enumeratywny określa zamknięty katalog danych, na który składają się: wymienione w art. 161 ust. 2 pkt 1-6 dane służące identyfikacji użytkownika końcowego. W art. 161 ust. 2 pkt 7 ustawy Prawo telekomunikacyjne ustawodawca upoważnia zaś dostawcę publicznie dostępnych usług telekomunikacyjnych do przetwarzania danych dotyczących użytkownika końcowego będącego osobą fizyczną zawartych w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych wynikającego z umowy o świadczenie usług telekomunikacyjnych. Dlatego treść tego przepisu powinna być rozumiana w sposób ścisły i zgodny z jego celem, którym jest stworzenie podstawy prawnej umożliwiającej dostawcy publicznie dostępnych usług telekomunikacyjnych przetwarzanie, obok danych identyfikujących użytkownika końcowego, również danych zawartych w dokumentach służących ustaleniu, czy użytkownik końcowy będzie w stanie wykonać zobowiązanie względem dostawcy publicznie dostępnych usług telekomunikacyjnych.

Dlatego, argumentacja podniesiona przez Spółkę, że art. 161 ust. 2 pkt 7 ustawy Prawo telekomunikacyjne uprawnia dostawcę publicznie dostępnych usług telekomunikacyjnych do przetwarzania danych dotyczących użytkownika będącego osobą fizyczną, zawartych w dokumencie tożsamości, a wykraczających poza zakres wskazany w art. 161 ust. 2 ustawy Prawo telekomunikacyjne, nie zasługuje na uwzględnienie.

Spółka [...] wniosła skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie.

W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, argumentując jak w uzasadnieniu zaskarżonej decyzji.

Sąd I instancji uznał, iż skarga nie zasługuje na uwzględnienie.

W pierwszej kolejności Sąd I instancji wskazał, że zawarte w skardze wnioski dowodowe nie mogły zostać uwzględnione, albowiem: po pierwsze, przedmiotem sprawy jest konkretna decyzja administracyjna, nie zaś ocena przez sąd administracyjny poglądów Generalnego Inspektora Ochrony Danych Osobowych zawartych na stronach internetowych tego organu. Po drugie, dowody wskazane w skardze, jak pismo strony skarżącej do Komendy Wojewódzkiej Policji w Łodzi oraz wyroki Sądów powszechnych, znajdują się w aktach administracyjnych sprawy (co potwierdza strona skarżąca), a zatem w ramach dokonywania oceny zaskarżonej decyzji, dokumenty te (jak i akta postępowania administracyjnego) są przedmiotem analizy sądów administracyjnych z urzędu.

Wojewódzki Sąd Administracyjny w Warszawie nie znalazł również podstaw do stwierdzenia nieważności wydanych w sprawie decyzji. Zdaniem Sądu, nie można bowiem uznać, aby były one dotknięte którąkolwiek z kwalifikowanych wadliwości, wymienionych w art. 156 § 1 Kpa. Nadto w skardze, poza żądaniem stwierdzenia nieważności decyzji, nie wskazano żadnego konkretnego zarzutu wymienionego w art. 156 Kpa.

Następnie Sąd I instancji wskazał, że Generalny Inspektor w trakcie przeprowadzonej w [...] Sp. z o.o. kontroli zgromadził znaczny materiał dowodowy i prawidłowo dokonał jego analizy oraz oceny pod kątem prawidłowości przetwarzania danych osobowych.

W uzasadnieniu decyzji trafnie wskazano, iż analiza postanowień i zapisów umieszczonych przez Spółkę w umowach oświadczeniu usług telekomunikacyjnych, jak również informacji zawartych w formularzu o nazwie "Oświadczenie" (wypełnianym przy zawieraniu umowy przez Internet) wykazała, iż Spółka [...], jako administrator danych, wśród innych oświadczeń woli zamieściła klauzulę zgody na dokonanie kserokopii dokumentów przedstawionych przy zawarciu umowy o świadczenie usług telekomunikacyjnych, a tym samym na przetwarzanie danych w nich zawartych. Nie pozostawiła tym samym swobody w podjęciu decyzji o wyrażeniu bądź niewyrażeniu takiej zgody.

Zastrzeżenie to organ zawarł odnośnie całości działań Spółki w zakresie przetwarzania danych osobowych jej klientów, niezależnie od sposobu zawierania umowy (tradycyjnie – w placówce [...], czy za pośrednictwem internetu). W obu przypadkach Spółka w celu potwierdzenia tożsamości klientów, którzy zdecydowali się na zawarcie umowy o świadczenie usług telekomunikacyjnych bez uiszczenia kaucji, przyjmuje kserokopie następujących dokumentów: dowodu osobistego, legitymacji rencisty, legitymacji emeryta, legitymacji służbowej posła/senatora/nauczyciela, prawa jazdy, paszportu, legitymacji ubezpieczeniowej, książeczki wojskowej, legitymacji studenckiej, karty stałego i czasowego pobytu na terenie RP.

Z analizy treści kopii dokumentów przedstawionych w toku kontroli wynika, iż Spółka pozyskując ww. kopie zbiera dane osobowe swoich klientów w szerszym zakresie niż zakres określony wart. 161 ust. 2 Prawo telekomunikacyjne, tj. pozyskuje takie dane jak: kolor oczu, wzrost, wizerunek twarzy, płeć, adres zameldowania, nazwę organu wydającego dowód osobisty, datę wydania i termin ważności dowodu osobistego, podpis, nazwę organu wydającego prawo jazdy, numer prawa jazdy, kategorie prawa jazdy, datę wydania i datę ważności prawa jazdy, numer świadczenia rentowego, emerytalnego, nazwę organu wydającego legitymację ubezpieczeniową, rencisty, emeryta, datę wydania tych legitymacji, nazwę organu wydającego książeczkę wojskową, kartę stałego lub czasowego pobytu oraz nazwę uczelni wydającej legitymację studencką.

Z ustaleń dokonanych w toku kontroli wynika, iż: 1) przy zawieraniu umowy o świadczenie usług telekomunikacyjnych, które odbywa się w punkcie obsługi klienta wypełniany jest m.in. dokument o nazwie "Informacja [...] Sp. z o.o. o przetwarzaniu danych osobowych oraz oświadczenia klienta/abonenta" (dokument ten stanowi załącznik nr 3 do umowy). W pkt 6 przedmiotowego dokumentu zawarta jest m.in. następująca informacja: "wyrażam zgodę na podstawie art. 161 ust. 3 ustawy prawo telekomunikacyjne na przetwarzanie danych wskazanych na pierwszej stronie umowy w polach oznaczonych indeksem 1 w brzmieniu "pole wypełnione Za zgodą abonenta", a także danych zawartych w kopiach dokumentów przedstawionych przy zawieraniu umowy, danych karty kredytowej, adres e-meiil, kontaktowego numeru telefonu"-, 2) w przypadku zawierania umowy o świadczenie usług telekomunikacyjnych za pośrednictwem internetowego kanału sprzedaży, klient w formularzu o nazwie "Oświadczenia" obowiązkowo musi zaznaczyć jedno z pól oznaczonych gwiazdką. W polu tym wśród innych oświadczeń zawarta jest klauzula następującej treści: "wyrażam zgodę (na podstawie art. 161 ust 3 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjnego (...) na przetwarzanie danych wskazanych na pierwszej stronie umowy w polach oznaczonych indeksem 1 w brzmieniu "pole wypełnione za zgodą abonenta" a także danych zawartych w kopiach dokumentów przedstawionych przy zawieraniu umowy, danych karty kredytowej, adres e-mail, kontaktowego numeru telefonu podanych w trakcie trwania umowy a) w celu podjęcia działań przed zawarciem umowy, b) w celu realizacji umowy, do wypełnienia prawnie usprawiedliwionych celów [...] Sp. z o. o. w tym sprzedaży i marketingu bezpośredniego, własnych produktów i usług, c) dochodzenia roszczeń z tytułu prowadzonej działalności gospodarczej oraz pozostałych celach statutowych, d) gdy jest niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego przepisu prawa lub do wykonania określonych prawem zadań realizowanych dla dobra publicznego. Zgoda na przetwarzanie ww. danych w celach marketingowych jest niezależna od czasu obowiązywania umowy".

Jak wynika z ww. formularza, pole zawierające przedmiotową klauzulę opatrzone jest gwiazdką (jako oświadczenie wymagane). W związku z tym uznać należy, iż osoba wypełniająca przedmiotowy formularz, chcąc zawrzeć umowę, nie może odmówić wyrażenia zgody na przetwarzanie danych osobowych zawartych w kopiowanych dokumentach tożsamości; 3) w zawartych już umowach o świadczenie usług telekomunikacyjnych na ostatniej stronie (nad miejscem przeznaczonym na złożenie podpisu przez strony zawartej umowy), zamieszczone są oświadczenia o następującej treści: "1) oświadczam, iż otrzymałam/em i akceptuję regulamin wybranej promocji określonej na stronie 1 umowy (nie dotyczy umów zawieranych poza promocją); 2) oświadczam, że zapoznałam/em się z zakresem usług, postanowieniami i warunkami umowy, a także że otrzymałam/em i akceptuję Regulamin świadczenia usług telekomunikacyjnych przez [...] Sp. z o.o.- abonament, cennik stanowiący integralną część umowy, w szczególności postanowienia o odpowiedzialności [...] Sp. z o. o. za niewykonanie i nienależyte wykonanie umowy, postanowienia dotyczące zasad rozwiązywania umowy oraz postanowienia dotyczące zasad naliczania kar umownych i ich wysokości; 3) oświadczam, że wyrażam zgodę na wykonanie kopii dokumentów przedstawionych przy zawarciu umowy, a tym samym na przetwarzanie danych w nich zawartych w celach zawarcia umowy i archiwizacji; 4) abonent prowadzący działalność gospodarczą oświadcza, że w dniu zawierania umowy prowadzi działalność gospodarczą i potwierdza, że dane podane na 1 stronie umowy są aktualne."

Powyższe ustalenia, zdaniem Sądu I instancji, zostały przez organ prawidłowo ocenione. Organ prawidłowo stwierdził, iż wobec treści wyżej wskazanych dokumentów Spółki, osoba podpisująca umowę o świadczenie usług telekomunikacyjnych nie może odmówić wyrażenia zgody na przetwarzanie danych osobowych zawartych w kopiowanych dokumentach tożsamości, a tym samym na przetwarzanie tych danych w celu zawarcia umowy.

Analiza postanowień zapisów umieszczonych przez Spółkę w umowach o świadczeniu usług telekomunikacyjnych, jak również analiza informacji zawartych w formularzu o nazwie "Oświadczenie" (wypełnianym przy zawieraniu umowy przez Internet) wykazała, iż Spółka jako administrator danych zamieściła wśród innych oświadczeń woli klauzulę zgody na dokonanie kserokopii dokumentów przedstawionych przy zawarciu umowy o świadczenie usług telekomunikacyjnych, a tym samym na przetwarzanie danych w nich zawartych. Nie pozostawiła tym samym swobody w podjęciu decyzji o wyrażeniu bądź niewyrażeniu takiej zgody. Analizując również wydruk zawierający treść oświadczeń przejmowanych obecnie przez Spółkę od potencjalnych klientów sklepu internetowego na etapie składania zamówienia (powołany wydruk Spółka przesłała do Biura Generalnego Inspektora Ochrony Danych pismem z dnia 15 lutego 2016 r., stanowiącym uzupełnienie wniosku o ponowne rozpatrzenie sprawy) wskazać należy, iż zamieszczenie przy klauzuli o dotychczasowym brzmieniu tj.: "wyrażam zgodę na podstawie art. 161 ust 3 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjnego (...) na przetwarzanie danych wskazanych na pierwszej stronie umowy w polach oznaczonych indeksem 1 w brzmieniu "pole wypełnione za zgodą abonenta" a także danych zawartych w kopiach dokumentów przedstawionych przy zawieraniu umowy, danych karty kredytowej, adres e-mail, kontaktowego numeru telefonu podanych w trakcie trwania umowy: a) w celu podjęcia działań przed zawarciem umowy, b) w celu realizacji umowy. c) do wypełnienia prawnie usprawiedliwionych celów [...] Sp. z o.o., w tym sprzedaży i marketingu bezpośredniego, własnych produktów i usług, dochodzenia roszczeń z tytułu prowadzonej działalności gospodarczej oraz pozostałych celach statutowych, d) gdy jest niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa lub do wykonania określonych prawem zadań realizowanych dla dobra publicznego. Zgoda na przetwarzanie ww. danych w celach marketingowych jest niezależna od czasu obowiązywania umowy", informacji o następującej treści "jeśli nie zaznaczysz tej zgody, nie będziemy mogli zrealizować tego zamówienia w sklepie internetowym – świadczy, iż Spółka narusza przepisy dotyczące przetwarzania danych osobowych.

W ocenie Sądu I instancji, Generalny Inspektor prawidłowo opisał ustalony wyżej stan faktyczny i prawidłowo zarzucił naruszenie, w tym zakresie, przez skarżącą Spółkę art. 161 ust. 2 i 3 w zw. z art. 174 Prawa telekomunikacyjnego.

Wskazane przez organ zapisy i postanowienia, zawarte w wyżej opisanych dokumentach Spółki, zaprzeczają aby osoba zawierająca ze Spółką umowę o świadczenie usług telekomunikacyjnych, mogła w sposób swobodny, w rozumieniu art. 174 Prawa telekomunikacyjnego, wyrażać zgodę na przetwarzanie przez Spółkę jej danych osobowych, które wykraczają poza zakres określony art. 161 ust. 2 Prawa telekomunikacyjnego.

Dalej Sąd podkreślił, że Prawo telekomunikacyjne, obok kwestii świadczenia usług telekomunikacyjnych, reguluje również sposób wykorzystywania danych abonentów tych usług, w tym warunki ochrony użytkowników usług w szczególności w zakresie prawa do prywatności i poufności (art. 1 pkt 7). W świetle art. 159 pkt 1 tej ustawy, dane dotyczące użytkownika stanowią tajemnicę telekomunikacyjną. Z kolei przepis art. 160 ust. 1 ustawy nakazuje podmiotom uczestniczącym w wykonywaniu działalności telekomunikacyjnej w sieciach publicznych oraz podmiotom z nim współpracującym zachowanie tajemnicy telekomunikacyjnej. Zgodnie z art. 161 ust. 1 ww. ustawy, z zastrzeżeniem ust. 2, treści lub dane objęte tajemnicą telekomunikacyjną mogą być zbierane, utrwalane, przechowywane, opracowywane, zmieniane, usuwane lub udostępniane tylko wówczas, gdy czynności te, zwane dalej przetwarzaniem, dotyczą usługi świadczonej użytkownikowi albo są niezbędne do jej wykonania. Przetwarzanie w innych celach jest dopuszczalne jedynie na podstawie przepisów ustawowych. Ustęp 2 ww. artykułu stanowi, iż dostawca publicznie dostępnych usług telekomunikacyjnych jest uprawniony do przetwarzania następujących danych dotyczących użytkownika będącego osobą fizyczną: (1) nazwisk i imion, (2) imion rodziców, (3) miejsca i daty urodzenia, (4) adresu miejsca zamieszkania i adresu korespondencyjnego jeżeli jest on inny niż adres miejsca zamieszkania, (5) numeru ewidencyjnego PESEL - w przypadku obywatela Rzeczypospolitej Polskiej, (6) nazwy, serii i numeru dokumentów potwierdzających tożsamość, a w przypadku cudzoziemca, który nie jest obywatelem państwa członkowskiego albo Konfederacji Szwajcarskiej - numeru paszportu lub karty pobytu, (7) zawartych w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych wynikającego z umowy o świadczenie usług telekomunikacyjnych. W świetle postanowień ustępu 3 powołanego artykułu, oprócz danych, o których mowa w ust. 2, dostawca publicznie dostępnych usług telekomunikacyjnych może, za zgodą użytkownika będącego osobą fizyczną, przetwarzać inne dane tego użytkownika w związku ze świadczoną usługą, w szczególności numer identyfikacji podatkowej NIP, numer konta bankowego lub karty płatniczej, adres korespondencyjny użytkownika, jeżeli jest on inny niż adres miejsca zameldowania na pobyt stały tego użytkownika, a także adres poczty elektronicznej oraz numery telefonów kontaktowych.

Zakres danych służących identyfikacji tożsamości użytkownika końcowego, będącego osobą fizyczną, do przetwarzania których uprawniony jest dostawca publicznie dostępnych usług telekomunikacyjnych, został rozstrzygnięty w sposób wyczerpujący w art. 161 ust. 2 pkt 1-6 ustawy Prawo telekomunikacyjne.

Treść art. 161 ust. 2 pkt 7 ww. ustawy musi być rozumiana w sposób ścisły i zgodny z celem tego przepisu, którym jest stworzenie podstawy prawnej umożliwiającej dostawcy publicznie dostępnych usług telekomunikacyjnych, przetwarzanie - obok danych identyfikujących użytkownika końcowego - również danych zawartych w dokumentach służących ustaleniu, czy użytkownik końcowy będzie w stanie regulować rachunki za udostępnione mu usługi telekomunikacyjne. Przepis ten nie stanowi zatem podstawy prawnej przetwarzania danych osobowych w celu prawidłowej identyfikacji użytkownika końcowego. Stanowisko przeciwne pozbawiłoby w istocie znaczenia wszystkich zapisów art. 161 ust. 2 pkt 1 - 6 ustawy, który ogranicza katalog danych osobowych klienta, niezbędnych do zawarcia umowy o świadczenie usług telekomunikacyjnych.

Nie może być zatem wątpliwości, iż dostawca publicznie dostępnych usług telekomunikacyjnych (w rozumieniu art. 2 pkt 27 Prawa telekomunikacyjnego) jest uprawniony do przetwarzania danych osobowych usługobiorcy, jeżeli dane te przetwarza w celu świadczenia i wykonania usługi telekomunikacyjnej. W każdym innym przypadku podejmowania działań realizujących np. cel komercyjny czy marketingowy, a nie związany wprost z wykonaniem usługi telekomunikacyjnej, usługodawca będzie stosować przepisy ustawy o ochronie danych osobowych i w ich treści poszukiwać przesłanki legalizującej przetwarzanie danych osobowych dla swych działań.

Chybione jest zatem stanowisko, iż podstawę prawną przetwarzania danych użytkownika będącego osobą fizyczną - w sytuacji, gdy dotyczą one świadczonej mu usługi telekomunikacyjnej, albo są niezbędne do jej wykonania – powinien stanowić art. 23 ust. 1 pkt 2 w związku z art. 26 ust. 1 pkt 3 oraz art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.

Przepisy art. 161 ust. 2 i 3 Prawa telekomunikacyjnego regulują w sposób wyczerpujący podstawę prawną przetwarzania danych we wskazanych w nich przypadkach. Brak jest zatem przesłanek do stosowania w niniejszej spawie ww. przepisów ustawy o ochronie danych osobowych.

Istotne dla oceny zaskarżonej decyzji są również normy art. 57 ust. 1 pkt 3 i art. 174 pkt 1 ustawy Prawo telekomunikacyjne. Pierwsza zakazuje dostawcy publicznie dostępnych usług telekomunikacyjnych uzależnienie zawarcie umowy o świadczenie publicznie dostępnych usług telekomunikacyjnych, w tym o zapewnienie przyłączenia do publicznej sieci telekomunikacyjnej, od udzielenia informacji lub danych innych niż określone w art. 161 ust. 2, w przypadku użytkownika końcowego będącego osobą fizyczną. Druga, stanowi, iż jeżeli przepisy ustawy wymagają wyrażenia zgody przez abonenta lub użytkownika końcowego, zgoda ta nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści.

Zatem wyrażenie zgody na przetwarzanie danych osobowych powinno być podjęte swobodnie i mieć charakter samodzielny. Istotą przesłanki zgody jest oparcie jej na dobrowolnym oświadczeniu osoby, której dane dotyczą, wyrażającym przyzwolenie na przetwarzanie dotyczących jej danych osobowych, a brak swobody w zakresie wyrażenia zgody na przetwarzanie danych osobowych prowadzi do ograniczenia praw osób fizycznych, przejawiających się m.in. w prawie do dysponowania swoimi danymi osobowymi (porównaj wyrok WSA w Warszawie z 18 lutego 2016 r., sygn. akt II SA/Wa 1655/15).

Normy art. 57 ust. 1 pkt 3 i art. 174 pkt 1 Prawa telekomunikacyjnego sformułowane zostały w sposób kategoryczny. Wprost potwierdzają zasadę bezwzględnego stosowania zawartych w Prawie telekomunikacyjnym przepisów regulujących przetwarzanie danych osobowych w relacjach pomiędzy abonentem przedsiębiorstwa telekomunikacyjnego (ewentualnie przyszłym abonentem), będącym osobą fizyczną a przedsiębiorcą świadczącym publicznie dostępne usługi telekomunikacyjne.

Zgoda na przetwarzanie danych osobowych przez podmiot świadczący powszechnie dostępne usługi telekomunikacyjne nie może być dorozumiana, ale wyrażona wprost. Zasada ta wynika z dyrektywy 95/46/WE z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. WE L 281 z 23.11.1995, s. 31). Do tak rozumianej definicji odwołuje się również art. 2 lit. f dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (Dz. Urz. WE L 201 z 31.07.2002, s. 37) – tzw. dyrektywa o prywatności i łączności elektronicznej.

Wyżej przywołane przepisy prawa unijnego korespondują w tym zakresie z normami art. 161 i art. 174 Prawa telekomunikacyjnego.

Dlatego, zdaniem Sądu I instancji, nie są zasadne zarzuty wskazane zarówno w skardze jak i w piśmie ją uzupełniającym z dnia 3 marca 2016 r., wskazujące na naruszenie przez organ powyższych przepisów Prawa telekomunikacyjnego.

W piśmie uzupełniającym skargę [...] odniósł się do wyroku WSA w Warszawie z dnia 16 grudnia 2016 r. sygn. akt II SA/Wa 517/16, zarzucając Generalnemu Inspektorowi brak wyjaśnienia na podstawie jakich powodów uznał, że takie informacje jak: nazwa organu wydającego dowód osobisty, data wydania i data ważności dowodu osobistego, nazwa organu wydającego prawo jazdy, data wydania i data ważności prawa jazdy, nazwa organu wydającego paszport - stanowią dane osobowe w rozumieniu art. 6 ust. 1 ustawy o ochronie danych osobowych oraz dlaczego nakazem zaprzestania przetwarzania danych osobowych organ objął także podpis, nie wyjaśniając przy tym, czy chodzi o podpis użytkownika końcowego (klienta Spółki), czy podpis innej osoby.

W ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie, zarzut ten nie jest słuszny.

Sąd I instancji podkreślił, iż stosowane w systemie ochrony danych osobowych pojęcie "dane osobowe" występuje jedynie w liczbie mnogiej i oznacza zespół informacji o danej osobie, pozwalające na jej zidentyfikowanie. Pojęcie to należy interpretować szeroko.

W art. 6 ust. 1 ustawy o ochronie danych osobowych za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (ust. 2). Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (ust. 3).

Informacja "dotyczy osoby fizycznej" gdy przekazuje (komunikuje) coś na jej temat. Chodzi zatem o informację, która daje się powiązać z osobą, która powoduje, że możliwe jest jej odniesienie do konkretnej osoby fizycznej - zidentyfikowanej lub możliwej do zidentyfikowania, przy czym identyfikacja odbywa się na podstawie całokształtu posiadanych informacji (J. Barta, P. Fajgielski, R. Markiewicz, Komentarz do art. 6 ustawy o ochronie danych osobowych, System informacji Prawnej LEX 2016). Powyższe stanowisko aprobuje również orzecznictwo, gdzie wskazuje się, że jeżeli komunikat można powiązać z konkretną osobą fizyczną, wówczas jego treść należy uznać za dane osobowe (por. wyrok WSA w Warszawie z dnia 8 marca 2016 r., sygn. akt II SA/Wa 1487/15). Z kolei NSA w wyroku z dnia 18 listopada 2009 r. sygn. akt I OSK 667/09 wskazuje, że "dane osobowe" na gruncie prawa polskiego obejmuje wszelkie informacje dotyczące osoby fizycznej, jeśli możliwe jest określenie jej tożsamości i zidentyfikowanie. Dane osobowe to zespół wiadomości (komunikatów) o konkretnym człowieku na tyle zintegrowany, że pozwala na jego zindywidualizowanie. Obejmuje co najmniej informacje niezbędne do identyfikacji (imię, nazwisko, miejsce zamieszkania), jednakże do tego się nie ogranicza, bowiem mieszczą się w nim również dalsze informacje, wzmacniające stopień identyfikacji. Do informacji takich z pewnością należą zdjęcia osoby fizycznej, chociażby wykonane w przeszłości, umożliwiające jej identyfikację.

Charakter danych osobowych mają informacje z różnych dziedzin życia, o ile tylko istnieje możliwość powiązania ich z oznaczoną osobą. Mogą to być informacje o charakterze obiektywnym i subiektywnym, wymiernym lub ocennym, o okolicznościach dawnych, obecnych lub przyszłych, trwałych lub przemijających.

O tym, czy określona informacja ma charakter danych osobowych, czy też nie, decyduje jej przydatność do ustalenia tożsamości osoby, której ta informacja dotyczy (A. Szewc, Z problematyki (...), cz. III, s. 24 [w:] P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz, 4 wydanie C.H. Beck, 2016).

Takie szerokie rozumienia pojęcia "dane osobowe", prezentowane w polskim prawie jest zgodne z rozumieniem tego pojęcia w dyrektywie 95/46/WE Parlamentu Europejskiego i Rady dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Prawo unijne podkreśla znaczny wpływ nowoczesnych technologii w procesie identyfikacji danej osoby i dlatego zasady ochrony danych osobowych odnosi do wszelkich informacji służących zidentyfikowaniu lub umożliwiających zidentyfikowanie osób fizycznych.

Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny.

Dlatego przy tak szeroko rozumianym pojęciu "dane osobowe", eksponującym funkcjonalność tego pojęcia dla procesu identyfikacji danej osoby fizycznej, niezasadne jest ograniczanie "danych osobowych" jedynie do informacje niezbędnych do identyfikacji (imię i nazwisko, pesel itp.). W pojęciu tym mieszczą się także inne derywaty, jeżeli tylko jest możliwe jakiekolwiek połączenie ich z konkretną osobą i uzyskanie w ten sposób informacji o tej osobie albo jej zidentyfikowanie.

Nie sposób nie zauważyć, iż dane, którym skarżąca Spółka odmawia przymiotu danych osobowych i które wskazuje w piśmie z dnia 3 marca 2016 r., są ściśle związane z konkretną i znana Spółce osobą, albowiem zostały pozyskane przez Spółkę w wyniku wykonania kserokopii dokumentów tej właśnie osoby i to dokumentów o charakterze osobistym.

Z kolei podpis to graficzny identyfikator konkretnej osoby. Jest oczywiste, iż będzie się on znajdował na umowie o świadczeniu usług telekomunikacyjnych, jako element potwierdzający jej zawarcie. Brak jest natomiast podstaw prawnych do dalszego przetwarzania tego podpisu przez skarżąca Spółkę, jak i przetwarzania jakichkolwiek innych podpisów uzyskanych w różny sposób w trakcie zawierania umowy o świadczeniu usług telekomunikacyjnych (przynajmniej skarżąca Spółkę podstawy prawnej w tym zakresie nie przedstawiła).

Natomiast takie dane jak: nazwa organu wydającego dowód osobisty, data wydania i termin ważności dowodu osobistego zostały pozyskane z dowodu osobistego. Mogą wskazywać np. na odbiór dowodu osobistego w innym miejscu niż zamieszkanie. Analogicznie: nazwa organu wydającego prawo jazdy, numer prawa jazdy, kategorie prawa jazdy, data wydania i data ważności prawa jazdy – to dane pochodzące z prawa jazdy klienta Spółki i dające informację o posiadaniu przez tą osobę prawa jazdy oraz informujące o innych faktach z uprawnieniem tym związanych. Numer świadczenia rentowego, emerytalnego, nazwa organu wydającego legitymację ubezpieczeniową, rencisty, emeryta, data wydania tych legitymacji – to dane pozyskane z kserokopii określonej legitymacji klienta Spółki. Dane te informują o uprawnieniach emerytalnych i rentowych klienta Spółki. Nazwa organu wydającego książeczkę wojskową – wskazuje podleganie klienta Spółki pod konkretną jednostkę wojskową. Nazwa uczelni wydającej legitymację studencką – wskazuje kształcenie się klienta Spółki w danej uczelni.

Powyższe dane mogą dostarczyć wielu informacji o konkretnej osobie, które nie należą do danych wskazanych w art. 161 ust. 2 Prawa telekomunikacyjnego. Zatem poprzez powyższe dane [...] uzyskuje wiedzę na temat danej osoby, znacznie wykraczającą poza zakres niezbędnych danych (art. 161 ust. 2 Prawa telekomunikacyjnego) do zawarcia umowy o świadczenie powszechnych usług telekomunikacyjnych.

Dlatego, w ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie, bacząc na definicję danych osobowych zawartą w prawie polskim i unijnym, Generalny Inspektor nie musi wcale uzasadniać, iż powyższe pojęcia, zawarte w komparycji decyzji, są danymi osobowymi, jak tego domaga się strona skarżąca, albowiem wskazane wyżej dane umożliwiają zidentyfikowanie, znanego z imienia i nazwiska abonenta, jako na przykład studenta, emeryta czy rencistę itp.

Skargę kasacyjną od powyższego wyroku wniosła Spółka, zaskarżając go w całości, zarzuciła Sądowi I instancji naruszenie przepisów prawa procesowego tj.

1) art. 6 ust. 1 w zw. z art. 18 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r.; dalej jako "u.o.d.o") w zw. z art. 2 lit. a) i art. 3 ust. 1 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U.UE.L. z 1995 r., nr 281, poz. 31; dalej jako "dyrektywa o ochronie danych osobowych"), poprzez ich błędną wykładnię, polegającą na wadliwym przyjęciu, że informacje takie jak: nazwa organu wydającego dowód osobisty, data wydania i termin ważności dowodu osobistego, nazwa organu wydającego prawo jazdy, numer prawa jazdy, kategorie prawa jazdy, data wydania i data ważności prawa jazdy, numer świadczenia rentowego, emerytalnego, nazwa organu wydającego legitymację ubezpieczeniową, rencisty, emeryta, data wydania tych legitymacji, nazwa organu wydającego książeczkę wojskową, kartę stałego lub czasowego pobytu oraz nazwę uczelni wydającej legitymację studencką, stanowią dane osobowe w rozumieniu powyższych przepisów i wobec tego, że GIODO był uprawniony do nakazania [...], aby zaprzestał przetwarzania tych informacji na mocy decyzji, co stanowiło o wydaniu przez Organ Decyzji wykraczających poza jego ustawowe kompetencje;

2) art. 161 ust. 3 w zw. z ust. 1 ustawy Prawo telekomunkacyjne, poprzez niewłaściwe zastosowanie, polegające na bezzasadnym przyjęciu, iż dla przetwarzania przez [...] podpisu klienta wymagane jest uzyskanie zgody tego klienta;

3) art. 161 ust. 2 w zw. z art. 57 ust. 2 pkt 1 ustawy Prawo telekomunkacyjne, przez błędną wykładnię polegającą na wadliwym uznaniu, że przepis ten stanowi o istnieniu dwóch odrębnych ("niekrzyżujących się") katalogów danych, które mogą być przetwarzane wyłącznie: albo w celu identyfikacji tożsamości użytkownika albo w celu weryfikacji zdolności użytkownika do wykonywania zobowiązań względem dostawcy usług wynikających z umowy o świadczenie usług telekomunikacyjnych, skutkującą niewłaściwym zastosowaniem tego przepisu, przez nietrafne przyjęcie, iż następujące dane: kolor oczu, wzrost, wizerunek twarzy, płeć, adres zameldowania, nazwa organu wydającego dowód osobisty, data wydania i termin ważności dowodu osobistego, podpis, nazwa organu wydającego prawo jazdy, numer prawa jazdy, kategorie prawa jazdy, data wydania i data ważności prawa jazdy, numer świadczenia rentowego, emerytalnego, nazwa organu wydającego legitymację ubezpieczeniową, rencisty, emeryta, data wydania tych legitymacji, nazwa organu wydającego książeczkę wojskową, kartę stałego lub czasowego pobytu oraz nazwa uczelni wydającej legitymację studencką, nie mogą być przetwarzane na podstawie art. 161 ust. 2 pkt 7) Pt i ich przetwarzanie wymaga zgody użytkownika końcowego w rozumieniu art. 161 ust. 3 Pt, podczas gdy właściwa językowa, funkcjonalna i systemowa wykładnia art. 161 ust. 2 Pt prowadzi do wniosku, iż przepis ten nie statuuje "rozłącznych" katalogów danych przetwarzane albo - tylko - w celu identyfikacji tożsamości użytkownika albo - tylko - w celu weryfikacji jego wiarygodności płatniczej i nie uzasadnia wyłączenia przetwarzania wskazanych danych przez dostawcę usług na podstawie art. 161 ust. 2 pkt 7) Pt, bez zgody użytkownika końcowego, a w szczególności art. 57 ust. 2 pkt 1 Pt potwierdza, iż wymóg uzyskania takiej zgody jest bezzasadny (a nawet sprzeczny z tym ostatnim przepisem);

4) art. 161 ust. 2 i 3 w zw. z art. 174 ustawy Prawo telekomunikacyjne w zw. z art. 104 § 1 i 2 k.p.a., poprzez błędne zastosowanie, polegające na utrzymaniu przez Sąd w mocy zaskarżonych decyzji, które zawierają ogólny (uniwersalny) nakaz przetwarzania określonych w sentencji decyzji danych, bez wyraźnego określenia celu tego przetwarzania, jakim jest identyfikacja (stwierdzenie tożsamości) użytkownika końcowego będącego osobą fizyczną, podczas gdy z decyzji, a także przebiegu postępowania w sprawie wyraźnie wynika, iż GIODO dokonał oceny faktycznej i prawnej wyłącznie w zakresie art. 161 ust. 2 pkt 1-6 Pt, tj. z pominięciem pkt 7 tego przepisu, który to stanowi odrębną przesłankę legalizującą przetwarzanie danych zawartych w dokumentach służących weryfikacji zdolności klienta do realizacji zobowiązań wobec dostawcy usług telekomunikacyjnych;

5) art. 161 ust. 2 i 3 w zw. z art. 174 ustawy Prawo telekomunikacyjne, poprzez błędne zastosowanie, polegające na wadliwej ocenie, iż zgoda wyrażana przez użytkownika będącego osobą fizyczną przy zawarciu z [...] umowy o świadczenie usług telekomunikacyjnych w zakresie przetwarzania przez skarżącą danych zawartych w dokumentach przedstawianych przez tę osobę przy zawarciu wspomnianej umowy, nie ma charakteru dobrowolnego.

Ponadto skarżąca Spółka zarzuciła Sądowi I instancji naruszenie przepisów prawa procesowego, które miało istotny wpływ na wynik sprawy tj.

1) art. 133 § 1 zd. 1 w zw. z art. 134 § 1 P.p.s.a., poprzez dokonanie błędnych ustaleń faktycznych, polegających na pominięciu przez Sąd istotnego elementu stanu faktycznego sprawy, tj. możliwości dobrowolnego złożenia przez klienta w stacjonarnym kanale sprzedaży [...] (punktach obsługi klienta) oświadczenia z punkt 6 w załączniku nr 3 do umowy o świadczenie usług telekomunikacyjnych, zawierającego zgodę na przetwarzanie danych zawartych w dokumentach przedstawianych przez klienta przy zawarciu z [...] umowy o świadczenie usług telekomunikacyjnych;

2) art. 133 § 1 w zw. z art. 134 § 1 w zw. z art. 3 § 1 i § 2 pkt 1, art. 13 § 1 P.p.s.a. w zw. z art. 151 i art. 145 § 1 pkt 2 oraz pkt 1 P.p.s.a., a także art. 106 § 3 i § 5 P.p.s.a. w zw. z art. 217 § 1 i 227 k.p.c. oraz art. 141 § 4 P.p.s.a., przez błędne oddalenie skargi [...], w związku z wadliwym pominięciem przez Sąd: doniosłych okoliczności wynikających z akt sprawy oraz powołanych na te okoliczności dowodów, a także szeregu istotnych argumentów i twierdzeń Spółki, skutkującym także nieprawidłowym uzasadnieniem wyroku.

W konkluzji skargi kasacyjnej wniesiono o uchylenie zaskarżonego wyroku i uchylenie zaskarżonych decyzji, ewentualnie o uchylenie zaskarżonego wyroku i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie oraz zasądzenie kosztów postępowania według norm przepisanych.

Naczelny Sąd Administracyjny zważył, co następuje:

Stosownie do art. 183 § 1 P.p.s.a. Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc z urzędu pod rozwagę jedynie nieważność postępowania, której przesłanki określone zostały w § 2 wymienionego przepisu. Wobec niestwierdzenia przyczyn nieważności, skarga kasacyjna w niniejszej sprawie podlegała rozpoznaniu w granicach przytoczonej w niej podstawy.

Skarga kasacyjna nie zasługiwała na uwzględnienie.

Ponieważ skarga kasacyjna oparta została na obu podstawach przewidzianych w art. 174 P.p.s.a., Naczelny Sąd Administracyjny zobowiązany był w pierwszej kolejności odnieść się do wymienionych w skardze kasacyjnej zarzutów naruszenia przepisów postępowania.

Zarzut naruszenia przez Sąd I instancji art. 133 § 1 P.p.s.a. okazał się nieuzasadniony.

Zgodnie z art. 133 § 1 P.p.s.a. Sąd wydaje wyrok po zamknięciu rozprawy na podstawie akt sprawy, chyba że organ nie wykonał obowiązku, o którym mowa w art. 54 § 2. Wyrok może być wydany na posiedzeniu niejawnym w postępowaniu uproszczonym albo jeżeli ustawa tak stanowi. Obowiązek wydania wyroku na podstawie akt sprawy oznacza jedynie zakaz wyjścia przez Sąd poza materiał znajdujący się w tych aktach, a przykładem naruszenia tego przepisu mogłoby być przyjęcie jakiegoś faktu nieznajdującego żadnego odzwierciedlenia w aktach sprawy, bądź też dowodu niedopuszczonego w trybie art. 106 § 3 i 5 Prawa o postępowaniu przed sądami administracyjnymi (wyrok NSA z dnia 6 czerwca 2012 r., I OSK 2398/11, LEX nr 1216553). Okoliczności takie nie miały miejsca w niniejszej sprawie. Sąd I instancji nie wyprowadził oceny prawnej na podstawie materiału, którego nie ma w aktach sprawy, nie ustalał też samodzielnie stanu faktycznego sprawy w oparciu o dowody i fakty, które zaistniały po dniu wydania zaskarżonej decyzji i nie mogły być znane organowi, który wydał decyzję administracyjną, co mogłoby stanowić naruszenie art.133 § 1 P.p.s.a. Naczelny Sąd Administracyjny w wyrokach z dnia 2 grudnia 2010 r., I GSK 806/10, LEX nr 744881 i z dnia 17 listopada 2011 r., II OSK 1609/10, LEX nr 1132105 wyraził jednoznaczny pogląd, że "orzekanie na podstawie akt sprawy oznacza, że Sąd przy ocenie legalności zaskarżonej decyzji bierze pod uwagę okoliczności, które z akt tych wynikają i które legły u podstaw jej wydania. Art. 133 § 1 P.p.s.a. nie może służyć kwestionowaniu ustaleń i oceny ustalonego w sprawie stanu faktycznego, a tym samym zaakceptowanie przez Sąd, jako zgodnej z przepisami postępowania, oceny materiału dowodowego, dokonanej przez organ, oraz przyjęcie za prawidłowe ustaleń będących konsekwencją tej oceny, nie może stanowić jego naruszenia, nawet gdyby stanowisko Sądu było w tym zakresie błędne".

Podnosząc zarzut naruszenia art. 133 § 1 P.p.s.a. skarżąca kasacyjnie zarzuciła Sądowi I instancji pominięcie faktu, że w przypadku zawierania umowy o świadczenie usług w punkcie obsługi klienta, ma on możliwość dobrowolnego złożenia oświadczenia zawierającego zgodę na przetwarzanie danych zawartych w dokumentach przedstawianych przez klienta przy zawieraniu umowy.

Dokonana przez Naczelny Sąd Administracyjny analiza kopii załącznika do umowy zawartej w punkcie sprzedaży wykazała, że wprawdzie w pkt. 6 załącznika nr. 3 do umowy o świadczenie usług telekomunikacyjnych klient ma możliwość zaznaczenia jednej z dwóch opcji ( tak lub nie ) w przedmiocie wyrażenia zgody na przetwarzanie jego danych na podstawie art. 161 ust. 3 Prawa telekomunikacyjnego, to fakt ten pozostaje jednak bez większego znaczenia albowiem podpisując umowę klient nie ma już swobody co do tego, czy wyraża zgodę na kserowanie dokumentów przedstawionych przez niego przy zawarciu umowy. W umowie zawarte jest standardowe oświadczenie o wyrażeniu przez niego zgody. Oznacza to, że zgoda jest warunkiem zawarcia umowy. W takiej sytuacji, gdy klient podpisując umowę pozbawiony jest możliwości innej, jak wyrażenie zgody na kserowanie dokumentów, nie można uznać że zapis pkt. 6 załącznika nr. 3 do umowy ma jakiekolwiek praktyczne znaczenie. Nadto z uwagi na to, że pkt. 6 załącznika nr.3 do umowy pozostaje w sprzeczności z zapisem zawartym w pkt. 3 końcowej części umowy o treści ‘ oświadczam, że wyrażam zgodę na dokonanie kserokopii dokumentów przedstawionych przy zawarciu umowy ...", należy uznać, że w istocie pozostawienie klientowi swobody wyrażenia lub nie zgody na przetwarzanie danych, o którym mowa w pkt. 6 załącznika umowy jest pozorne i wywołuje skutki tylko w przypadku gdy klient wyrazi zgodę na przetwarzanie jego danych poprzez kserowanie dokumentów.

Prawidłowe jest zatem twierdzenie Sądu I instancji, co do tego że także zawierając umowę w punktach obsługi klient ostatecznie musi wyrazić zgodę na kserowanie ich dokumentów. Powyższy wniosek znajduje uzasadnienie również w postanowieniach regulaminu Spółki - § 2 pkt. 2 a, zgodnie z którym Spółka ma prawo odmówić zawarcia umowy gdy klient uniemożliwia dokonanie kopii dokumentów.

Zdaniem Naczelnego Sądu Administracyjnego kopiowanie przez Spółkę dokumentów składanych przy zawieraniu umowy prowadzi do uzyskiwania wzoru podpisu klienta, jego wizerunku i innych informacji, nie jest adekwatne do celów w jakich są przetwarzane – art. 26 ust. 1 pkt. 3 u.o.d.o.

Nietrafny jest także zarzut naruszenia art. 134 § 1 1 P.p.s.a.

Zgodnie z art. 134 § 1 P.p.s.a. Sąd rozstrzyga w granicach danej sprawy nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną. Przepis ten można naruszyć wtedy, gdy strona w postępowaniu sądowym wskazywała na istotne dla sprawy uchybienia popełnione na etapie postępowania administracyjnego bądź powołała w postępowaniu sądowym dowody, które zostały przez Sąd pominięte, względnie, gdy w postępowaniu administracyjnym popełniono uchybienia na tyle istotne, a przy tym oczywiste, iż bez względu na treść zarzutów Sąd nie powinien był przechodzić nad nimi do porządku (por.: wyrok NSA z dnia 17 kwietnia 2013 r., I GSK 1151/11, LEX nr 1336157; wyrok NSA z dnia 11 września 2012 r., I OSK 1234/12, LEX nr 1260068; wyrok NSA z dnia 28 lutego 2012 r., II OSK 2395/10, LEX nr 1138160), a także wtedy gdy Sąd I instancji rozpoznając skargę dokonał oceny pod względem zgodności z prawem innej sprawy (w znaczeniu przedmiotowym i podmiotowym) lub z przekroczeniem granic danej sprawy (por. wyrok NSA z dnia 20 grudnia 2012 r., II OSK 1580/11, LEX nr 1367333).

Sytuacje wyżej wskazane nie miały miejsca w niniejszej sprawie.

Nieuzasadnione są również pozostałe zarzuty procesowe.

Zarzut naruszenia art. 141 § 4 Prawa o postępowaniu przed sądami administracyjnymi jako samodzielnej podstawy kasacyjnej może być skutecznie postawiony w dwóch przypadkach: gdy uzasadnienie wyroku nie zawiera wszystkich elementów, wymienionych w tym przepisie i gdy w ramach przedstawienia stanu sprawy, wojewódzki sąd administracyjny nie wskaże, jaki i dlaczego stan faktyczny przyjął za podstawę orzekania (por. uchwałę NSA z dnia 15 lutego 2010 r., sygn. akt: II FPS 8/09, LEX nr 552012, wyrok NSA z dnia 20 sierpnia 2009 r., sygn. akt: II FSK 568/08, LEX nr 513044). Naruszenie to musi być przy tym na tyle istotne, aby mogło mieć wpływ na wynik sprawy (art. 174 pkt 2 Prawa o postępowaniu przed sądami administracyjnymi). Za jego pomocą nie można jednak skutecznie zwalczać prawidłowości przyjętego przez Sąd stanu faktycznego, czy też stanowiska Sądu co do wykładni bądź zastosowania prawa materialnego. Podnieść też trzeba, że przepis art. 141 § 4 P.p.s.a. regulującym wymogi uzasadnienia. W ramach rozpatrywania zarzutu naruszenia tego przepisu Naczelny Sąd Administracyjny zobowiązany jest jedynie do kontroli zgodności uzasadnienia zaskarżonego wyroku z wymogami wynikającymi z powyższej normy prawnej. Uzasadnienie zaskarżonego wyroku zawiera przedstawienie stanu sprawy, zarzutów podniesionych w skardze, stanowiska strony przeciwnej, podstawę prawną rozstrzygnięcia oraz jej wyjaśnienie.

W uzasadnieniu wyroku Sąd I instancji odniósł się także do wniosków dowodowych skarżącej.

W tym miejscu należy wyjaśnić, że w świetle art. 106 § 3 P.p.s.a. Sąd może z urzędu lub na wniosek stron przeprowadzić dowód uzupełniający z dokumentu, jeżeli uzna to za niezbędne dla wyjaśnienia istotnych wątpliwości. W niniejszej sprawie Sąd I instancji wypowiedział się dlaczego nie uwzględnił wniosków dowodowych skarżącej, a z oceną tą Naczelny Sąd Administracyjny w całości się zgadza. Fakt iż w uzasadnieniu wyroku Sąd nie ocenił znaczenia dla rozstrzygnięcia sprawy określonych dokumentów, nie uzasadnia zarzutu naruszenia art. 106 § 3 i § 5, art. 133 § 1 P.p.s.a., art. 134 § 1 P.p.s.a., ani zarzutu naruszenia art. 141 § 4 P.p.s.a.

Niewątpliwie ma rację Spółka, twierdząc że w jej interesie leży posiadanie jak największej ilości danych o kliencie w celu skutecznego zapobiegania i wykrywania nadużyć. Gromadzenie tych danych musi jednak mieć miejsce w granicach obowiązującego prawa. Sam słuszny interes skarżącej nie jest wystarczającą przesłanką legalizującą przetwarzanie danych osobowych w zakresie wykraczającym poza zakreślony stosownymi uregulowaniami.

W końcu Sąd I instancji nie naruszył art. 13 § 1 P.p.s.a., ani też art. 145 § 1pkt. 1 i 2 P.p.s.a. i art. 151 P.p.s.a.

Gdy chodzi o pierwszy z wymienionych przepisów, to określa on właściwość sądów wojewódzkich do rozpatrzenia określonych spraw administracyjnych. Niniejsza sprawa podlegała właściwości Sądu I instancji i została przez ten Sąd rozpoznana. Okoliczność iż strona skarżąca nie jest zadowolona z treści rozstrzygnięcia Sądu nie ma znaczenia w kontekście brzmienia art. 13 § 1 P.p.s.a.

Zaskarżony wyrok nie narusza art. 145 § 1 pkt. 1 i pkt. 2 P.p.s.a. oraz art. 151 P.p.s.a. Sąd I instancji prawidłowo oddalił skargę, nie dopatrując się po stronie organu naruszenia prawa procesowego i prawa materialnego.

Jak wyżej wykazano zarzuty naruszenia przepisów postępowania okazały się chybione. Nietrafne są także zarzuty materialne, których ocenę Naczelny Sąd Administracyjny zaprezentuje w dalszej części uzasadnienia.

Zdaniem Naczelnego Sądu Administracyjnego nie może budzić wątpliwości że informacje takie jak: nazwa organu wydającego dowód osobisty, data wydania i termin ważności dowodu osobistego, nazwa organu wydającego prawo jazdy, numer prawa jazdy, kategorie prawa jazdy, data wydania i data ważności prawa jazdy, numer świadczenia rentowego, emerytalnego, nazwa organu wydającego legitymację ubezpieczeniową, rencisty, emeryta, data wydania tych legitymacji, nazwa organu wydającego książeczkę wojskową, kartę stałego lub czasowego pobytu oraz nazwę uczelni wydającej legitymację studencką, stanowią dane osobowe.

Według art. 6 ustawy 1 ustawy o ochronie danych osobowych ( u.o.d.o.) za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

W świetle art. 6 u.o.d.o. nie budzi wątpliwości, że pojęcie "dane osobowe" na gruncie prawa polskiego obejmuje wszelkie informacje dotyczące osoby fizycznej, o ile możliwe jest zidentyfikowanie tej osoby. Za osobę możliwą do zidentyfikowania uważana jest osoba, której tożsamość można określić w sposób bezpośredni lub pośredni. Z kolei informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań, czyli a contrario informacje, które bez nadzwyczajnego wysiłku, bez nieproporcjonalnie dużych nakładów dają się "powiązać" z określoną osobą, zwłaszcza przy wykorzystaniu łatwo osiągalnych źródeł powszechnie dostępnych, również zasługują na zaliczenie ich do kategorii danych osobowych.

Dane osobowe to zespół wiadomości (komunikatów) o konkretnym człowieku na tyle zintegrowany, że pozwala na jego zindywidualizowanie. Obejmuje co najmniej informacje niezbędne do identyfikacji (imię, nazwisko, miejsce zamieszkania), jednakże do tego się nie ogranicza, bowiem mieszczą się w nim również dalsze informacje, wzmacniające stopień identyfikacji. Do informacji takich z pewnością należą zdjęcia osoby fizycznej, chociażby wykonane w przeszłości, umożliwiające jej identyfikację. O zakwalifikowaniu danej informacji do kategorii danych osobowych decydują przede wszystkim obiektywne kryteria oceny, przy czym uwzględnić należy wszystkie informacje, w tym także pozajęzykowe (kontekst) do jakich dostęp mają osoby trzecie.

W ocenie Naczelnego Sądu Administracyjnego każda z informacji, które zdaniem skarżącej kasacyjnie nie są danymi osobowymi, pozwala na ustalenie tożsamości osoby której dotyczą. Zawiera ona bowiem w swej treści wiadomości, przy wykorzystaniu których i to bez większego wysiłku możliwe jest zidentyfikowanie określonej osoby.

Naczelny Sąd Administracyjny w wyroku z dnia 27 października 2017r. I OSK 3135/15 Lex nr. 2440757 uznał, że data złożenia wniosku o odszkodowanie pozwala na identyfikację wnioskodawcy. Analogicznie należy do kategorii danych osobowych zaliczyć datę wydania dokumentu tożsamości, prawa jazdy, legitymacji ubezpieczeniowej. Tym bardziej numer świadczenia ubezpieczeniowego, który zawsze przypisany jest do określonej osoby stanowi dane osobowe w rozumieniu art. 6 ust. 1 ustawy o ochronie danych osobowych.

Niezasadny jest zarzut naruszenia art. 161 ust. 3 w zw. z ust. 1 ustawy Prawo telekomunikacyjne, poprzez niewłaściwe zastosowanie, polegające na bezzasadnym przyjęciu, iż dla przetwarzania podpisu klienta wymagane jest uzyskanie jego zgody.

Analiza uzasadnienia zaskarżonego wyroku pozwala stwierdzić, że Sąd I instancji chociaż wprost nie wyraził takiego poglądu, to uznał że brak jest podstaw prawnych do przetwarzania przez Spółkę podpisu znajdującego się w umowie o świadczenie usług telekomunikacyjnych. Oznacza to, iż stanął na stanowisku, że do przetwarzania podpisu wymagana jest zgoda klienta.

Z poglądem tym należy się zgodzić. Podpis klienta nie jest objęty dyspozycją art. 161 ust. 2 ustawy Prawo telekomunikacyjne, a zgoda jako warunek legalizujący przetwarzanie podpisu - art. 161 ust. 3 ustawy, w niniejszej sprawie ( co wynika z ustaleń faktycznych ) nie była swobodna i dobrowolna .

Nieuzasadniony jest zarzut dokonania przez Sąd I instancji błędnej wykładni art. 161 ust. 2 w zw. z art. 57 ust. 2 pkt. 1 ustawy Prawo telekomunikacyjne. Z uzasadnienia zaskarżonego wyroku nie wynika aby Sąd I instancji dokonywał wykładni art. 57 ust. 2 pkt. 1 ustawy. Sąd I instancji powołał art. 57 ust. 1 pkt. 3 ustawy, zgodnie z którym dostawca usług nie może uzależniać zawarcia umowy o świadczenie publicznie dostępnych usług telekomunikacyjnych, w tym o zapewnienie przyłączenia do publicznej sieci telekomunikacyjnej od udzielenia informacji lub danych, innych niż określone w art. 161 ust. 2, w przypadku użytkownika końcowego będącego osobą fizyczną. Jak wynika z uzasadnienia wyroku zdaniem Sądu i instancji przepis ten należy uwzględniać w toku kontroli zaskarżonej decyzji. Powoływanie się przez skarżąca Spółkę w uzasadnieniu zarzutu z pkt. 3 na wadliwe uznanie przez Sąd I instancji w oparciu o art. 161 ust. 2 w zw. z a art. 57 ust. 2 pkt. 1 ustawy, że istnieją dwa odrębne ( rozłączne ) katalogi danych ( przetwarzane wyłącznie w celu identyfikacji osoby lub w celu weryfikacji zdolności użytkownika do wykonania zobowiązania ), nie koresponduje z treścią uzasadnienia wyroku. Tym samym ocena tego zarzutu okazała się niemożliwa.

Nieprawidłowo postawiony został zarzut naruszenia zaskarżonym wyrokiem art. 161 ust. 2 i 3 w zw. z art. 174 ustawy Prawo telekomunikacyjne, poprzez błędne zastosowanie, polegające na utrzymaniu przez Sąd w mocy zaskarżonej decyzji. Niewłaściwe zastosowanie przepisu prawa materialnego nie jest tożsame z niewłaściwym zastosowaniem przepisu postępowania. Oddalenie skargi przez Sąd i instancji, skutkujące utrzymaniem zaskarżonej decyzji w mocy, nastąpiło na podstawie art. 151 P.p.s.a. i nie uzasadnia zarzutu niewłaściwego zastosowania art. 161 ust. 2 i 3 ustawy. Nadto nakaz wynikający z decyzji GIODO dotyczy przywrócenia stanu zgodnego z prawem, a nie jak podano w skardze kasacyjnej przetwarzania określonych danych.

Wbrew twierdzeniom skarżącej kasacyjnie GIODO i Sąd I instancji prawidłowo przyjęły, że art. 161 ust. 2 pkt. 7 ustawy Prawo telekomunikacyjne nie stanowi podstawy prawnej do przetwarzania danych osobowych w celu identyfikacji użytkownika. Kwestia zakresu danych służących identyfikacji użytkownika końcowego, będącego osobą fizyczną, do przetwarzania których uprawniony jest dostawca publicznie dostępnych usług telekomunikacyjnych, została rozstrzygnięta w sposób wyczerpujący w art. 161 ust. 2 pkt 1 - 6 ustawy Prawo telekomunikacyjne. Natomiast treść art. 161 ust. 2 pkt 7 ww. ustawy musi być rozumiana w sposób ścisły i zgodny z celem tego przepisu, którym jest stworzenie podstawy prawnej umożliwiającej dostawcy publicznie dostępnych usług telekomunikacyjnych, przetwarzanie, obok danych identyfikujących użytkownika końcowego, również danych zawartych w dokumentach służących ustaleniu, czy użytkownik końcowy będzie w stanie regulować rachunki za udostępnione mu usługi telekomunikacyjne. Dowód osobisty, jest dokumentem stwierdzającym tożsamość i obywatelstwo polskie. Dane w nim zawarte służą identyfikacji osoby. Nie służą natomiast ustaleniu czy użytkownik będzie w stanie wykonać zobowiązanie pieniężne względem dostawcy usług telekomunikacyjnych. Podobnie rzecz się ma w odniesieniu do legitymacji ubezpieczeniowych, prawa jazdy, legitymacji studenckiej.

Z ustaleń poczynionych w sprawie i nie zakwestionowanych przez skarżącą kasacyjnie wynika, że dane osobowe nie są zbierane przez Spółkę w celu potwierdzenia zdolności do wykonania zobowiązania pieniężnego przez użytkownika końcowego, ale wyłącznie w celu identyfikacji tożsamości. Powoływanie się zatem przez Spółkę na art. 161 ust. 2 pkt. 7 ustawy jako przesłankę legalizującą przetwarzanie danych nie może być skuteczne.

W końcu nieuzasadniony jest zarzut naruszenia przez Sąd I instancji art. 161 ust. 2 i 3 w zw. z art. 174 ustawy Prawo telekomunikacyjne. Ustosunkowując się do tego zarzutu należy odwołać się do rozważań poczynionych przez Naczelny Sąd Administracyjny w ramach oceny zarzutów kasacyjnych dotyczących naruszenia przepisów postępowania. Wynika z nich iż w okolicznościach rozpoznawanej sprawy przepis art. 174 w/wym. ustawy został naruszony. Niecelowe jest powtarzanie argumentów, które legły u podstaw takiej oceny. W tym miejscu należy dodać, że w przypadku gdy zawarcie umowy o świadczenie usług telekomunikacyjnych uzależnione jest od zgody klienta na wykonanie kopii dokumentów przedstawianych przy zawieraniu umowy, nie można uznać, iż wymóg ten pozostaje bez wpływu na swobodę i dobrowolność oświadczenia o zgodzie.

Z tych wszystkich względów Naczelny Sąd Administracyjny na podstawie art. 184 P.p.s.a. i art.204 pkt. 1 P.p.s.a. orzekł jak w sentencji.