Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Góraj, Sędziowie WSA Adam Lipiński (spr.), Iwona Maciejuk, , Protokolant spec. Monika Gieroń, po rozpoznaniu na rozprawie w dniu 14 marca 2017 r. sprawy ze skargi [...] Sp. z o.o. z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] marca 2016 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę.

W dniu [...] grudnia 2015 r. Generalny Inspektor Ochrony Danych Osobowych wydał decyzję, nakazującą Przedsiębiorstwu P. Sp. z o.o. z siedzibą w W. usunięcie uchybienia w procesie przetwarzania danych osobowych poprzez zaprzestanie przetwarzania bez podstawy prawnej, tj. zgody, o której mowa w 161 ust. 3 ustawy z 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2014 r., poz. 243 ze zm.), danych osobowych użytkowników końcowych wykraczających poza zakres określony w art. 161 ust. 2 tej ustawy, w następującym zakresie: kolor oczu, wzrost, wizerunek twarzy, płeć, adres zameldowania, nazwa organu wydającego dowód osobisty, data wydania i termin ważności dowodu osobistego, podpis, nazwa organu wydającego prawo jazdy, numer prawa jazdy, kategorie prawa jazdy, data wydania i data ważności prawa jazdy, numer świadczenia rentowego, emerytalnego, nazwa organu wydającego legitymację ubezpieczeniową, rencisty, emeryta, data wydania tych legitymacji, nazwa organu wydającego książeczkę wojskową, kartę stałego lub czasowego pobytu oraz nazwa uczelni wydającej legitymację studencką - w terminie 30 dni od dnia. w którym decyzja stanie się ostateczna.

W podstawie prawnej decyzji organ wskazał art. 104 § 1 Kodeksu postępowania administracyjnego oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1, art. 22 w związku z art. 26 ust. 1 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r., poz. 2135 ze zm.)

Po rozpatrzeniu wniosku Przedsiębiorstwa P. o ponowne rozpatrzenie spawy, Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] marca 2016 r., działając na podstawie art. 138 § 1 pkt 1 Kpa oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1, art. 22 w związku z art. 26 ust. 1 pkt 1 ustawy o ochronie danych osobowych, utrzymał w mocy swoją decyzję z dnia [...] grudnia 2015 r.

W uzasadnieniu rozstrzygnięcia organ omówił treść art. 26 ust. 1 i art. 6 ust. 1 ustawy o ochronie danych osobowych oraz art. 57 ust. 1 pkt 3, art. 161 ust. 2 i ust. 3 oraz art. 174 pkt 1 ustawy – Prawo telekomunikacyjne (Dz. U. z 2014 r., poz. 243 ze zm.) i wskazał na ustalenia dokonane w toku kontroli.

Generalny Inspektor ustalił, iż Spółka P. udostępnia klientom dwa kanały sprzedaży, za pośrednictwem których można zawrzeć ze Spółką umowę o świadczenie usług telekomunikacyjnych, tj.: tzw. kanał stacjonarny oraz kanał internetowy. W celu potwierdzenia tożsamości klientów, którzy zdecydowali się na zawarcie umowy o świadczenie usług telekomunikacyjnych bez uiszczenia kaucji, Spółka przyjmuje kserokopie następujących dokumentów: dowodu osobistego, legitymacji rencisty, legitymacji emeryta, legitymacji służbowej posła/senatora/nauczyciela, prawa jazdy, paszportu, legitymacji ubezpieczeniowej, książeczki wojskowej, legitymacji studenckiej, karty stałego i czasowego pobytu na terenie RP.

Z analizy treści kopii dokumentów przedstawionych w toku kontroli wynika, iż Spółka pozyskując ww. kopie, zbiera dane osobowe swoich klientów w szerszym zakresie niż zakres określony w art. 161 ust. 2 Prawa telekomunikacyjnego, tj. pozyskuje takie dane jak: kolor oczu, wzrost, wizerunek twarzy, płeć, adres zameldowania, nazwę organu wydającego dowód osobisty, datę wydania i termin ważności dowodu osobistego, podpis, nazwę organu wydającego prawo jazdy, numer prawa jazdy, kategorie prawa jazdy, datę wydania i datę ważności prawa jazdy, numer świadczenia rentowego, emerytalnego, nazwę organu wydającego legitymację ubezpieczeniową, rencisty, emeryta, datę wydania tych legitymacji, nazwę organu wydającego książeczkę wojskową, kartę stałego lub czasowego pobytu oraz nazwę uczelni wydającej legitymację studencką.

Z dokonanych w toku kontroli ustaleń wynika iż:

Przy zawieraniu umowy o świadczenie usług telekomunikacyjnych, które odbywa się w punkcie obsługi klienta, wypełniany jest m.in. dokument o nazwie "Informacja P. Sp. z o.o. o przetwarzaniu danych osobowych oraz oświadczenia klienta/abonenta" (dokument ten stanowi załącznik nr 3 do umowy). W pkt 6 tego dokumentu zawarto zapis: "wyrażam zgodę na podstawie art. 161 ust. 3 ustawy Prawo telekomunikacyjne na przetwarzanie danych wskazanych na pierwszej stronie umowy w polach oznaczonych indeksem 1 - pole wypełnione za zgodą abonenta, a także danych zawartych w kopiach dokumentów przedstawionych przy zawieraniu umowy, danych karty kredytowej, adres e-mail, kontaktowego numeru telefonu";

W przypadku zawierania umowy o świadczenie usług telekomunikacyjnych za pośrednictwem internetowego kanału sprzedaży, klient w formularzu o nazwie "Oświadczenia" obowiązkowo musi zaznaczyć jedno z pól oznaczonych gwiazdką. W polu tym wśród innych oświadczeń zawarta jest klauzula następującej treści: "wyrażam zgodę (na podstawie art. 161 ust 3 ustawy z dnia 16 lipca 2004 r. Prawa telekomunikacyjnego ...) na przetwarzanie danych wskazanych na pierwszej stronie umowy w polach oznaczonych indeksem 1 - pole wypełnione za zgodą abonenta - a także danych zawartych w kopiach dokumentów przedstawionych przy zawieraniu umowy, danych karty kredytowej, adres e-mail, kontaktowego numeru telefonu podanych w trakcie trwania umowy: a) w celu podjęcia działań przed zawarciem umowy, b) w celu realizacji umowy, do wypełnienia prawnie usprawiedliwionych celów P. Sp. z o. o. w tym sprzedaży i marketingu bezpośredniego, własnych produktów i usług, c) dochodzenia roszczeń z tytułu prowadzonej działalności gospodarczej oraz pozostałych celach statutowych, d) gdy jest niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego przepisu prawa lub do wykonania określonych prawem zadań realizowanych dla dobra publicznego. Zgoda na przetwarzanie ww. danych w celach marketingowych jest niezależna od czasu obowiązywania umowy".

W ocenie organu, jak wynika z ww. formularza, pole zawierające przedmiotową klauzulę opatrzone jest gwiazdką (jako oświadczenie wymagane). W związku z tym uznać należy, iż osoba wypełniająca przedmiotowy formularz, chcąc zawrzeć umowę, nie może odmówić wyrażenia zgody na przetwarzanie danych osobowych zawartych w kopiowanych dokumentach tożsamości;

3) W zawartych już umowach o świadczenie usług telekomunikacyjnych, na ostatniej stronie (nad miejscem przeznaczonym na złożenie podpisu przez strony zawartej umowy), zamieszczone są oświadczenia o treści: "1) oświadczam, iż otrzymałam/em i akceptuję regulamin wybranej promocji określonej na stronie 1 umowy (nie dotyczy umów zawieranych poza promocją); 2) oświadczam, że zapoznałam/em się z zakresem usług, postanowieniami i warunkami umowy, a także że otrzymałam/em i akceptuję Regulamin świadczenia usług telekomunikacyjnych przez P. Sp. z o.o.- abonament, cennik stanowiący integralną część umowy, w szczególności postanowienia o odpowiedzialności P. Sp. z o. o. za niewykonanie i nienależyte wykonanie umowy, postanowienia dotyczące zasad rozwiązywania umowy oraz postanowienia dotyczące zasad naliczania kar umownych i ich wysokości; 3) oświadczam, że wyrażam zgodę na wykonanie kopii dokumentów przedstawionych przy zawarciu umowy, a tym samym na przetwarzanie danych w nich zawartych w celach zawarcia umowy i archiwizacji; 4) abonent prowadzący działalność gospodarczą oświadcza, że w dniu zawierania urnowy prowadzi działalność gospodarczą i potwierdza, że dane podane na 1 stronie umowy są aktualne".

W związku z tymi ustaleniami, w ocenie organu, uznać należy, iż osoba podpisująca umowę o świadczenie usług telekomunikacyjnych nie może odmówić również wyrażenia zgody na przetwarzanie danych osobowych, zawartych w kopiowanych dokumentach tożsamości, a tym samym na przetwarzanie tych danych w celu zawarcia umowy.

Art. 161 ust. 3 w zw. z art. 174 ustawy Prawo telekomunikacyjne stanowi przesłankę legalizująca przetwarzanie danych osobowych zawartych m.in. w kserokopii dokumentów potwierdzających tożsamość osoby, z która zawierana jest umowa o świadczenie usług telekomunikacyjnych. Zgodnie z art. 161 ust. 3, oprócz danych, o których mowa w art. 161 ust. 2, dostawca publicznie dostępnych usług telekomunikacyjnych może, za zgodą użytkownika będącego osobą fizyczną, przetwarzać inne dane tego użytkownika w związku ze świadczoną usługą, w szczególności numer konta bankowego lub karty płatniczej, a także adres poczty elektronicznej oraz numery telefonów kontaktowych. Przy czym zgoda wymagana przez przepisy ustawy Prawo telekomunikacyjne powinna spełniać wymogi określone w art. 174. Jednym z tych wymogów jest zakaz domniemywania zgody bądź jej dorozumienia z oświadczenia woli o innej treści.

Decyzja w sprawie wyrażenia zgody na przetwarzanie danych osobowych powinna być zatem podjęta swobodnie i mieć charakter samodzielny. Brak swobody w zakresie wyrażenia zgody na przetwarzanie danych osobowych jest zatem sprzeczny z istotą tej przesłanki i prowadzi do ograniczenia praw osób fizycznych przejawiających się m.in. w prawie do dysponowania swoimi danymi osobowymi.

Natomiast analiza postanowień zapisów umieszczonych przez Spółkę w umowach oświadczeniu usług telekomunikacyjnych, jak również informacji zawartych w formularzu o nazwie "Oświadczenie" (wypełnianym przy zawieraniu umowy przez Internet) wykazała, iż Spółka P., jako administrator danych, wśród innych oświadczeń woli zamieściła klauzulę zgody na dokonanie kserokopii dokumentów przedstawionych przy zawarciu umowy o świadczenie usług telekomunikacyjnych, a tym samym na przetwarzanie danych w nich zawartych. Nie pozostawiła tym samym swobody w podjęciu decyzji o wyrażeniu bądź niewyrażeniu takiej zgody.

Na podstawie analizy wydruku zawierającego treść oświadczeń przejmowanych obecnie przez Spółkę od potencjalnych klientów sklepu internetowego, na etapie składania zamówienia (powołany wydruk przesłany został do Biura GIODO w dniu [...] lutego 2016 r.), wskazać należy, iż zamieszczenie przy klauzuli o następującym brzmieniu:

- wyrażam zgodę na podstawie art. 161 ust 3 ustawy z dnia 16 lipca 2004 r. Prawa telekomunikacyjnego (...) na przetwarzanie danych wskazanych na pierwszej stronie umowy w polach oznaczonych indeksem 1 w brzmieniu "pole wypełnione za zgodą abonenta" a także danych zawartych w kopiach dokumentów przedstawionych przy zawieraniu umowy, danych karty kredytowej, adres e-mail, kontaktowego numeru telefonu podanych w trakcie trwania umowy: a) w celu podjęcia działań przed zawarciem umowy b) w celu realizacji umowy, c) do wypełnienia prawnie usprawiedliwionych celów P. Sp. z o.o., w tym sprzedaży i marketingu bezpośredniego. własnych produktów i usług, dochodzenia roszczeń z tytułu prowadzonej działalności gospodarczej oraz pozostałych celach statutowych, d) gdy jest niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa lub do wykonania określonych prawem zadań realizowanych dla dobra publicznego. Zgoda na przetwarzanie ww. danych w celach marketingowych jest niezależna od czasu obowiązywania umowy";

- informacji o następującej treści: "jeśli nie zaznaczysz tej zgody, nie będziemy mogli zrealizować tego zamówienia w sklepie internetowym

- w ocenie GIODO w dalszym ciągu nie zapewnia swobody w wyrażeniu zgody na przetwarzanie danych osobowych potencjalnego klienta, zainteresowanego zawarciem umowy za pośrednictwem kanału internetowego i tym samym uznać należy, iż Spółka nadal narusza reguły związane z prawidłowym przetwarzaniem danych osobowych.

Z tych też względów zarzut braku swobody w kwestii wyrażenia zgody przez osoby wypełniające formularz zamówienia, zamieszczony na stronie internetowej jest zasadny. Przekazania ww. osobom informacji, o treści zacytowanej powyżej, nie można uznać za przywrócenie stanu zgodnego z prawem. Takie działanie Spółki pozbawia możliwości skorzystania ze zdalnego kanału sprzedaży w przypadku m.in. niewyrażenia zgody na przetwarzanie danych osobowych zawartych w kopiach dokumentów przedstawionych przy zawieraniu umowy, a tym samym wymusza konieczność osobistego zgłoszenia się do punktu obsługi klienta w celu przekazania kopii dokumentu służącego do potwierdzenia tożsamości, co w konsekwencji w dalszym ciągu prowadzi do przetwarzania danych osobowych wykraczających poza zakres wskazany w art. 161 ust. 2 ustawy Prawo telekomunikacyjne, do przetwarzania których Spółka nie jest uprawniona.

Spółka nie spełnia w sposób prawidłowy warunków zastosowania przesłanki legalności przetwarzania kwestionowanych w niniejszej sprawie danych osobowych, o której mowa w art. 161 ust. 3 w zw. z art. 174 ustawy Prawo telekomunikacyjne (co zostało wskazane wprost w treści decyzji z dnia [...] grudnia 2015 r.), tym samym narusza przepis art. 26 ust. 1 pkt 1 ustawy o ochronie danych osobowych.

Decyzja w sprawie wyrażenia zgody na przetwarzanie danych osobowych powinna być podjęta swobodnie i mieć charakter samodzielny. Istotą przesłanki zgody jest oparcie jej na dobrowolnym oświadczeniu osoby, której dane dotyczą, wyrażającym przyzwolenie na przetwarzanie dotyczących jej danych osobowych, a brak swobody w zakresie wyrażenia zgody na przetwarzanie danych osobowych prowadzi do ograniczenia praw osób fizycznych, przejawiających się m.in. w prawie do dysponowania swoimi danymi osobowymi. Stanowisko Generalnego Inspektora w podobnej sprawie zostało potwierdzone przez WSA w Warszawie w wyroku z 18 lutego 2016 r. w sprawie sygn. II SA/Wa 1655/15.

Wytyczne odnoszące się do sposobu pozyskiwania zgody abonenta lub użytkownika końcowego zawarte w ustawie Prawo telekomunikacyjne są wynikiem definicji zawartej w art. 2 lit. f dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz. Urz. WE L 201 z 31.07.2002, s. 37), która w sprawie zgody udzielanej przez użytkownika lub abonenta odsyła do zgody podmiotu danych w rozumieniu dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. WE L 281 z 23.1 1.1995, s. 31) stanowiąc, iż: "zgoda użytkownika lub abonenta odpowiada zgodzie podmiotu danych określonej w dyrektywie 95/46/WE".

W każdym przypadku, gdy na mocy dyrektywy o prywatności i łączności elektronicznej wymagana jest zgoda, kryteria służące ustaleniu, czy zgoda jest ważna, są takie same, jak określone w dyrektywie 95/46/WE, tj. zgodne z definicją zawartą w art. 2 lit. h oraz warunkami określonymi w art. 7 lit a. Zgodnie zaś z art. 2 lit. h dyrektywy 95/46/WE " zgoda osoby, której dane dotyczą oznacza konkretne i świadome, dobrowolne wskazanie przez osobę, której dane dotyczą na to, że wyraża przyzwolenie na przetwarzanie odnoszących się do niej danych osobowych". Szczególny charakter przesłanki zgody z punktu widzenia autonomii informacyjnej osoby, której dane dotyczą, został podkreślony w opinii Grupy Roboczej ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych powołanej na mocy art. 29 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych - nr 15/2011; w sprawne definicji zgody (strona 9 - pkt 11.3. Pojęcia powiązane), w której wskazano iż: "Kontrola sprawowana poprzez zgodę jest ważnym pojęciem z punktu widzenia praw podstawowych. Jednocześnie - i z tego samego punktu widzenia - decyzja osoby fizycznej o zgodzie na czynność przetwarzania danych powinna podlegać rygorystycznym wymogom, zwłaszcza biorąc pod uwagę fakt, że podejmując taką decyzję, osoba ta może zrzekać się prawa podstawowego (...) Zgoda wiąże się z koncepcją informacyjnego samostanowienia. Autonomia osoby, której dane dotyczą, jest zarówno warunkiem wstępnym, jak i konsekwencją zgody: umożliwia ona tej osobie wywieranie wpływu na przetwarzanie danych osobowych".

Polemizując z zarzutami wniosku o ponowne rozpatrzenie sprawy, Generalny Inspektor wskazał, iż Spółka P. nie legitymuje się zgodą na przetwarzanie danych osobowych innych niż wskazane w art. 161 ust. 2 ustawy Prawo telekomunikacyjne (tj. takich jak: kolor oczu, wzrost, wizerunek twarzy, płeć, adres zameldowania, nazwę organu wydającego dowód osobisty, datę wydania termin ważności dowodu osobistego, podpis, nazwę organu wydającego prawo jazdy, numer prawa jazdy, kategorie prawa jazdy, datę wydania i datę ważności prawa jazdy, numer świadczenia rentowego, emerytalnego, nazwę organu wydającego legitymację ubezpieczeniową, rencisty, emeryta datę wydania tych legitymacji, nazwę organu wydającego książeczkę wojskową, kartę stałego lub czasowego pobytu oraz nazwę uczelni wydającej legitymację studencką).

Powoływanie się przez Spółkę na kolejne przesłanki legalizujące przetwarzanie kwestionowanych danych osobowych (zawartych w kserokopiach dokumentów tożsamości), wskazane w art. 23 ust. 1 pkt 2 w związku z art. 26 ust. 1 pkt 3 oraz w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, nie zasługuje na uwzględnienie, z uwagi na to, że przepisy prawa telekomunikacyjnego jednoznacznie wskazują podstawy prawne przetwarzania danych w związku z zawarciem umowy o świadczenie usług telekomunikacyjnych. Przyjęcie takiego stanowiska prowadziłoby do obchodzenia prawa regulującego przedmiotowe kwestie.

W uzasadnieniu wniosku o ponowne rozpatrzenie sprawy Spółka zarzuciła, iż organ ograniczył swoje rozważania wyłącznie do czynności potwierdzania tożsamości klienta, gdy w procesie zawierania umów o świadczenie usług telekomunikacyjnych dostawca usług przetwarza zarówno dane służące identyfikacji abonenta, jak i jego zdolności do wywiązania się ze zobowiązań wynikających z takiej umowy. W toku kontroli pozyskane zostały dokumenty stanowiące wewnętrzne procedury Spółki, które zawierają również uregulowania dotyczące dokumentów poświadczających wiarygodność płatniczą, co w ocenie Spółki, sugeruje, iż w toku kontroli pozyskane zostały informacje wykraczające poza jej zakres.

W ocenie organu, zakres przeprowadzonej kontroli wskazany w upoważnieniu imiennym (nr [...]) z dnia [...] kwietnia 2015 r. do przeprowadzenia kontroli (sygn. akt [...]) w Spółce, jak i w protokole tejże kontroli obejmował "przetwarzanie przez Spółkę danych osobowych klientów Spółki poprzez ustalenie, czy w związku z zawieraniem umów o świadczenie usług telekomunikacyjnych Spółka pozyskuje kopie dokumentem' tożsamości lub innych dokumentów w celu potwierdzenia tożsamości klientem Spółki, w tym dowodów osobistych i czy przetwarza dane osobowe zawarte w tych dokumentach". W toku czynności kontrolnych pozyskana została m. in. kopia dokumentu o nazwie "Sprzedaż usług w punkcie sprzedaży", gdyż dokument ten został wskazany podczas kontroli przez pełnomocnika Spółki, jako procedura, która określa zasady dotyczące zawierania umów o świadczenie usług telekomunikacyjnych z osobami fizycznymi. Z uwagi na okoliczność, iż ww. dokument (w zakresie potwierdzenia tożsamości osób fizycznych, z którymi zawierane są umowy o świadczenie usług telekomunikacyjnych) odwoływał się do procedury Spółki nr [...], to zasadne było pozyskanie w toku kontroli również kopii tej procedury, tj. dokumentu o nazwie "załącznik 1 [...] Dokumenty wymagane do aktywacji oraz do oferty lojalnościowej [...]". W/w procedura odnosi się zarówno do dokumentów potwierdzających tożsamość osób fizycznych, jak i do dokumentów potwierdzających wiarygodność płatniczą klienta. Dlatego powyższe zarzuty nie znajdują uzasadnienia.

Nie sposób również zgodzić się z zarzutem podniesionym przez pełnomocnika Spółki, iż w decyzji z dnia [...] grudnia 2015 r. dokonano błędnej interpretacji ust. 2 art. 161 ustawy Prawo telekomunikacyjne, poprzez przyjęcie, że przepisy zawarte w punktach 1-6 tego ustępu dotyczą danych zbieranych przez dostawcę usług wyłącznie w celu identyfikacji klienta (potwierdzenia jego tożsamości), a pkt 7 dotyczy danych zbieranych wyłącznie w celu potwierdzenia zdolności klienta do wykonania zobowiązań wynikających z umowy o świadczenie usług telekomunikacyjnych.

Ustawodawca w art. 161 ust. 2 ustawy Prawo telekomunikacyjne uregulował kwestię dopuszczalnego zakresu danych użytkownika końcowego będącego osobą fizyczną, do przetwarzania których uprawniony jest dostawca publicznie dostępnych usług telekomunikacyjnych. Przepis ten w sposób enumeratywny określa zamknięty katalog danych, na który składają się: wymienione w art. 161 ust. 2 pkt 1-6 dane służące identyfikacji użytkownika końcowego. W art. 161 ust. 2 pkt 7 ustawy Prawo telekomunikacyjne ustawodawca upoważnia zaś dostawcę publicznie dostępnych usług telekomunikacyjnych do przetwarzania danych dotyczących użytkownika końcowego będącego osobą fizyczną zawartych w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych wynikającego z umowy o świadczenie usług telekomunikacyjnych. Dlatego treść tego przepisu powinna być rozumiana w sposób ścisły i zgodny z jego celem, którym jest stworzenie podstawy prawnej umożliwiającej dostawcy publicznie dostępnych usług telekomunikacyjnych przetwarzanie, obok danych identyfikujących użytkownika końcowego, również danych zawartych w dokumentach służących ustaleniu, czy użytkownik końcowy będzie w stanie wykonać zobowiązanie względem dostawcy publicznie dostępnych usług telekomunikacyjnych.

Dlatego, argumentacja podniesiona przez Spółkę, że art. 161 ust. 2 pkt 7 ustawy Prawo telekomunikacyjne uprawnia dostawcę publicznie dostępnych usług telekomunikacyjnych do przetwarzania danych dotyczących użytkownika będącego osobą fizyczną, zawartych w dokumencie tożsamości, a wykraczających poza zakres wskazany w art. 161 ust. 2 ustawy Prawo telekomunikacyjne, nie zasługuje na uwzględnienie.

Nieuzasadnione jest także twierdzenie, iż w ocenie GIODO, Spółka jest zobowiązana zapewnić możliwość zawierania umów o świadczenie usług telekomunikacyjnych za pośrednictwem kanału internetowego.

Decyzja z dnia [...] grudnia 2015 r. nie ingeruje w żaden sposób w swobodę Spółki, co do sposobu wykonywania prowadzonej działalności. Natomiast w ww. decyzji Generalny Inspektor wskazał, iż działania Spółki, jako administratora danych użytkowników internetowego kanału sprzedaży, nie mogą naruszać ustawy o ochronie danych osobowych.

P. Spółka z ograniczoną odpowiedzialnością wniosła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na wyżej opisane decyzje Generalnego Inspektora Ochrony Danych Osobowych, zarzucając naruszenie:

art. 16 ust. 1 w zw. z art. 127 § 1 i 3 Kpa, poprzez określenie terminu wykonania nałożonego na stronę skarżącą obowiązku w sposób skutkujący niewykonalnością tej decyzji;

art. 15 Kpa, poprzez założenie przez organ już na etapie wydania decyzji pierwszoinstancyjnej, że treść nałożonego na P. obowiązku - a tym samym termin jego wykonania - nie ulegną zmianie w wyniku wniosku o ponowne rozpatrzenie sprawy, do którego złożenia uprawniona była skarżąca;

art. 8 Kpa - zasady zaufania - poprzez wydanie zaskarżonych decyzji w oparciu o ocenę prawną sprzeczną z utrzymywanym przez kilka lat oficjalnym stanowiskiem prawnym organu w przedmiocie, którego dotyczy zaskarżone rozstrzygnięcie GIODO, a także niezweryfikowanie przez organ, jakie skutki dla skarżącej niesie ze sobą obowiązek wykonania decyzji opartych na zmienionym stanowisku prawnym organu (co dodatkowo stanowi o naruszeniu art. 7 i art. 77 Kpa);

art. 107 § 1 i 3 w zw. z art. 61 § 1, art. 8 i art. 11 Kpa, poprzez wydanie decyzji nakazującej "przywrócenie stanu zgodnego z prawem" w odniesieniu do przetwarzania danych w zakresie szerszym niż:

- przedmiot kontroli GIODO przeprowadzonej w Spółce, której wyniki miały lec u podstaw wszczęcia postępowania zakończonego zaskarżonymi decyzjami oraz

- dokonana przez GIODO w toku postępowania oraz w ramach zaskarżonych decyzji weryfikacja przesłanek legalności przetwarzania danych osobowych i innych informacji przedstawianych przez potencjalnych klientów P. w ramach zawieranych ze Spółką umów o świadczenie usług telekomunikacyjnych,

co skutkuje także:

- rozbieżnością pomiędzy zakresem rozstrzygnięcia podjętego w decyzji z dnia [...] marca 2016 r. a zakresem postępowania administracyjnego poprzedzającego tę decyzję oraz

- rozbieżnością pomiędzy sentencją decyzji z dnia [...] grudnia 2015 r. a jej uzasadnieniem (w zakresie przedstawionych w tej decyzji ustaleń faktycznych i rozważań prawnych Organu),

- oceną, iż nałożony na P. w powyższej decyzji obowiązek, utrzymany decyzją z dnia [...] marca 2016 r., nie znajduje oparcia w obowiązujących przepisach prawa.

art. 161 ust. 2 ustawy Prawo telekomunikacyjne, poprzez błędną wykładnię, polegającą na:

- błędnym przyjęciu, iż w powyższym przepisie ustalone zostały odrębne zakresy (kategorie) danych: (i) służących identyfikacji użytkownika końcowego (art. 161 ust. 1-6 )

- oraz (ii) danych, zawartych w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych, wynikającego z umowy o świadczenie usług telekomunikacyjnych (art. 161 ust. 2 pkt 7)

- a tym samym, na błędnym przyjęciu, iż katalog danych dotyczących użytkownika, ujętych w art. 161 ust. 2 Prawa telekomunikacyjnego, jest katalogiem zamkniętym,

co skutkuje również naruszeniem art. 23 ust. 1 pkt 1, 3 i 5 ustawy o ochronie danych osobowych, w związku z pominięciem przez organ powyższych przepisów, jako uzupełniających podstaw przetwarzania danych przez dostawcę publicznie dostępnych usług telekomunikacyjnych, w celach wskazanych w powyższych przepisach prawa;

art. 6 ust. 1 ustawy o ochronie danych osobowych, poprzez błędne zastosowanie, polegające na uznaniu, że nazwa organu wydającego prawo jazdy, legitymację ubezpieczeniową, książeczkę wojskową, kartę stałego pobytu, legitymację studencką, numer, data wydania i data ważności prawa jazdy, numer świadczenia rentowego i emerytalnego są danymi osobowymi i w konsekwencji naruszenie art. 18 ust. 1ustawy, poprzez wydanie decyzji wykraczających poza zakres kompetencji organu;

art. 161 ust. 2 i 3 Prawa telekomunikacyjnego, poprzez błędne przyjęcie, że w obliczu uwarunkowań świadczenia przez P. usług sklepu internetowego zgoda użytkownika na przetwarzanie danych zawartych w kopiach dokumentów przedstawianych w związku ze składanym zamówieniem nie jest udzielana w sposób swobodny;

art. 15 w zw. z art. 8 i art. 10 i 11 Kpa, poprzez nieodniesienie się do argumentacji i zarzutów sformułowanych przez skarżącą we wniosku o ponowne rozpatrzenie sprawy i dalszych stanowiskach Spółki, co stanowi także o naruszeniu zasady dwuinstancyjności postępowania administracyjnego.

Spółka, wskazując na art. 106 § 3 i § 5 ustawy - Prawo o postępowaniu przed sądami administracyjnymi w zw. z art. 217 § 1 i 227 Kpc, wniosła także o przeprowadzenie dowodów uzupełniających z załączonych dokumentów tj. z:

wydruku strony internetowej zawierającej stanowisko tego organu z 2009 r., odnoszące się do pytania "Czy operator telekomunikacyjny ma prawo kserować dokument tożsamości osoby, która wyraziła zamiar zawarcia umowy, lecz ostatecznie od niego odstąpiła",

wydruku strony internetowej GIODO z dnia 6 kwietnia 2016 r., dostępnej pod linkiem http://www.Riodo.gov.pl/1520016/id art/3008/i/pl/ oraz

wydruku strony internetowej GazetaPrawna.pl, na której pod linkiem: http://prawo.gazetaprawna.pl/artvkuly/910266, giodo-trzeba-zminic-przepisy-o- kserowaniu-dowodow.html udostępniono artykuł pt. "GIODO ukróci kserowanie dowodów. Trzeba zmienić przepisy", w którym cytowana jest wypowiedź organu, świadcząca o zmianie dotychczasowego podejścia;

na okoliczność treści stanowiska prawnego GIODO zajmowanego od 2009 r. w odniesieniu do kopiowania dokumentów przedstawianych przez klientów przy zawarciu umów o świadczenie usług telekomunikacyjnych i zmiany tego stanowiska w 2015 r.;

- pisma P. skierowanego do Komendy Wojewódzkiej Policji w L. z dnia[...] stycznia 2016 r.;

- kopii wyroku Sądu Rejonowego w B. z dnia [...] marca 2012 r.,

[...];

- kopii wyroku Sądu Rejonowego w L. z dnia [...] 2012 r. września r., [...];

- kopii wyroku Sądu Rejonowego w G. z dnia [...] kwietnia 2012 r., [...]

(powyższe dokumenty znajdują się w aktach sprawy administracyjnej)

na okoliczność przykładowego wykorzystania przez P. kopii dokumentów przedstawionych przez klientów sklepu internetowego skarżącej w celu wykrycia procederu wyłudzenia na szkodę skarżącej usług telekomunikacyjnych oraz sprzętu i konsekwencji prawnych podejmowanych w tym zakresie przez Spółkę działań.

Wskazując na powyższe, w konkluzji skargi P. Spółka z o.o. wniosła o:

1. stwierdzenie nieważności w całości decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] marca 2016 r. oraz poprzedzającej ją decyzji z dnia [...] grudnia 2015 r., ze względu na wydanie ich z rażącym naruszeniem przepisów prawa oraz ze względu na pierwotną i trwałą niewykonalność zaskarżonych decyzji;

ewentualnie - w razie nieuwzględnienia żądania postawionego w pkt. I powyżej - o:

2. uchylenie w całości decyzji z dnia [...] marca 2016 r. oraz poprzedzającej ją decyzji z dnia [...] grudnia 2015 r., ze względu na naruszenie prawa materialnego, które miało wpływ na wynik sprawy oraz ze względu na naruszenie przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy

oraz - w każdym przypadku:

3. o zasądzenie na rzecz skarżącej od organu zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego, według norm przepisanych.

W dodatkowym piśmie procesowym z dnia [...] marca 2017 r. skarżąca Spółka przywołała uzasadnienie wyroku WSA w Warszawie z dnia 16 grudnia 2016 r. sygn.. akt II SA/Wa 517/16, zarzucając dodatkowo Generalnemu Inspektorowi brak wyjaśnienia z jakich powodów uznał, że takie informacje jak: nazwa organu wydającego dowód osobisty, data wydania i data ważności dowodu osobistego, nazwa organu wydającego prawo jazdy, data wydania i data ważności prawa jazdy, nazwa organu wydającego paszport - stanowią dane osobowe w rozumieniu art. 6 ust. 1 ustawy o ochronie danych osobowych oraz dlaczego nakazem zaprzestania przetwarzania danych osobowych organ objął także podpis, nie wyjaśniając przy tym, czy chodzi o podpis użytkownika końcowego (klienta Spółki), czy podpis innej osoby, w szczególności wydającej dokument w imieniu organu administracji publicznej.

Spółka zarzuciła organowi brak precyzyjnych ustaleń, co do znaczenia i skutków oświadczeń składanych przez klientów P. w sprawie możliwości przetwarzania przez skarżącą ich danych osobowych. Jej zdaniem organ w obu decyzjach nie dokonał kompleksowej oceny takich materiałów jak:

- formularz umowy o świadczenie usług telekomunikacyjnych zawieranej przez P. z osobą fizyczną (załącznik nr 12 do protokołu kontroli);

- załącznik nr 3 umowy o świadczenie usług telekomunikacyjnych, o którym mowa na str. 6 protokołu kontroli.

W ocenie strony skarżącej, z analizy uzasadnienia zaskarżonych decyzji wynika, iż organ ustalił prowadzenie przez P. sprzedaż usług zarówno w stacjonarnych salonach, jak i z udziałem sklepu internetowego, a także omówił w decyzjach sposób składania zamówienia w sklepie internetowym. Jednak GIODO dokonał uniwersalnych - takich samych dla obu kanałów sprzedaży - a tym samym nieprecyzyjnych ustaleń co do sposobu składania przez klienta oświadczenia o wyrażeniu zgody, o której mowa w pkt 6 załącznika nr 3 do umowy o świadczenie usług telekomunikacyjnych, a w konsekwencji. Organ nie sprecyzował, czy oceny prawne wyrażone w uzasadnieniu zaskarżonych decyzji są adekwatne wyłącznie wobec działań podejmowanych przez P. w ramach sprzedaży z udziałem sklepu internetowego (których to ocen P. oczywiście nie podziela), czy we wszystkich kanałach sprzedaży skarżącej. W sentencji decyzji z dnia [...] grudnia 2015 r. organ nie dokonał rozróżnienia stwierdzonych naruszeń w procesie przetwarzania danych osobowych klientów P. w zależności od kanału sprzedaży, w ramach którego zawierane są umowy o świadczenie usług telekomunikacyjnych.

P. podniósł także - ponad zarzuty sformułowane w skardze - że zaskarżone decyzje naruszają również art. 104 oraz art. 107 w zw. z art. 7 i art. 77 Kpa, poprzez:

dokonanie niewłaściwych ustaleń faktycznych co do wyrażania przez klientów P. zgód na przetwarzanie danych osobowych zawartych w kopiach dokumentów przedstawianych przy zawieraniu umów, które to ustalenia legły u podstaw nakazu sformułowanego w sentencji decyzji z dnia [...] grudnia 2015 r.;

niewłaściwe uzasadnienie faktyczne zaskarżonych decyzji, polegające w szczególności na braku jednoznacznego omówienia procesu zawierania umowy i składania przez klientów P. oświadczeń w poszczególnych kanałach sprzedaży (co jednakowoż nie uchybia dalej idącym zarzutom sformułowanym w skardze na Decyzje wobec tych zastrzeżeń GIODO, które dotyczą procesu zawierania umów z udziałem sklepu internetowego);

nałożenie na P. w sentencji z dnia [...] grudnia 2015 r. obowiązku w zakresie wykraczającym poza stwierdzone przez organ uchybienia w procesie przetwarzania danych osobowych klientów, w szczególności bez rozróżnienia kanałów sprzedaży usług skarżącego.

Nadto zaskarżone decyzje naruszają również art. 174 pkt 1 ustawy Prawo telekomunikacyjne, poprzez błędne przyjęcie, iż zgody zbierane przez P. od klientów, w zakresie danych osobowych, ujętych w kopiach dokumentów przedstawianych przez klientów przy zawarciu umowy, nie spełniają wymagań powyższego przepisu, w szczególności nie są wyrażane dobrowolnie i są domniemywane z innych oświadczeń klientów.

W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, argumentując jak w uzasadnieniu zaskarżonej decyzji.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.

Skarga nie jest zasadna.

Zawarte w skardze wnioski dowodowe nie mogły zostać przez Wojewódzki Sąd Administracyjny w Warszawie uwzględnione, albowiem: po pierwsze, przedmiotem niniejszej sprawy jest konkretna decyzja administracyjna, nie zaś ocena przez sąd administracyjny poglądów Generalnego Inspektora Ochrony Danych Osobowych zawartych na stronach internetowych tego organu. Po drugie, dowody wskazane w skardze, jak pismo strony skarżącej do Komendy Wojewódzkiej Policji w L. oraz wyroki Sądów powszechnych, znajdują się w aktach administracyjnych niniejszej spawy (co potwierdza strona skarżąca), a zatem w ramach dokonywania oceny zaskarżonej decyzji, dokumenty te (jak i akta postępowania administracyjnego) są przedmiotem analizy sądów administracyjnych z urzędu.

Wojewódzki Sąd Administracyjny w Warszawie nie znalazł również podstaw do stwierdzenia nieważności wydanych w sprawie decyzji. Nie można bowiem uznać, aby były one dotknięte którąkolwiek z kwalifikowanych wadliwości, wymienionych w art. 156 § 1 Kpa. Nadto w skardze, poza żądaniem stwierdzenia nieważności decyzji, nie wskazano żadnego konkretnego zarzutu wymienionego w art. 156 Kpa.

W szczególności, nie można podzielić stanowiska Spółki, iż Generalny Inspektor dopuścił się rażącego naruszenia prawa z tego powodu, że wydając zaskarżoną decyzję utrzymał w mocy decyzję z dnia [...] grudnia 2015 r., która - pomimo, iż nie uzyskała przymiotu ostateczności - zakreślała 30-dniowy termin usunięcia uchybień w procesie przetwarzania danych, liczony od dnia nabycia przez tę decyzję cechy ostateczności.

Zaznaczyć należy, że podstawą stwierdzenia nieważności decyzji z powodu rażącego naruszenia prawa jest uznanie, że decyzja pozostaje w oczywistej sprzeczności z treścią przepisu niebudzącego wątpliwości interpretacyjnych, a nadto, że skutkiem tego naruszenia jest powstanie - w następstwie wydania tej decyzji - sytuacji niemożliwej do zaakceptowania w praworządnym państwie (por. wyroki Naczelnego Sądu Administracyjnego: z dnia 8 marca 2012 r., sygn. akt I OSK 363/11, publ.: LEX nr 1145109; z dnia 20 października 2011 r., sygn. akt II GSK 1056/10, publ.: LEX 1056/10).

Zgodnie z art. 16 § 1 Kpa decyzje, od których nie służy odwołanie w administracyjnym toku instancji lub wniosek o ponowne rozpatrzenie sprawy, są ostateczne. Natomiast w myśl art. 130 § 2 Kpa wniesienie odwołania - tu wniosku o ponowne rozpatrzenie sprawy - w ustawowym terminie wstrzymuje wykonanie decyzji. W przedmiotowej sprawie skarżąca Spółka z zachowaniem terminu złożyła wniosek o ponowne rozpatrzenie sprawy. W wyniku ponownego rozpatrzenia sprawy Generalny Inspektor w dniu [...] marca 2016 r. wydał decyzję utrzymującą w mocy decyzję z dnia [...] grudnia 2015 r., która już od chwili wydania posiada status decyzji ostatecznej. Oznacza to, że data wydania decyzji ostatecznej określa początek biegu 30-dniowego terminu wykonania przez Spółkę wskazanego obowiązku.

Zatem takie sformułowanie decyzji z dnia [...] grudnia 2015 r. nie było nieprawidłowe i dlatego nie może stanowić skutecznego zarzutu opartego na przesłance nieważności postępowania, jak również stanowić skutecznego zarzutu zwykłego (niekwalifikowanego) skargi – naruszenie art. 15 Kpa.

Nie można także zasadnie podnosić w niniejszej sprawie zarzutu niewykonalności decyzji (zarzut naruszenia art. 16 ust. 1 w zw. z art. 127 § 1 i 3 Kpa).

Niewykonalność jest następstwem przeszkód o charakterze nieusuwalnym. Trwała niewykonalność obowiązku zawartego w decyzji zachodzi wówczas, gdy czynności składające się na treść tego obowiązku są niewykonalne z przyczyn technicznych lub prawnych tkwiących w ich naturze. W orzecznictwie przyjmuje się natomiast, że trudności techniczne lub ekonomiczne, choćby bardzo poważne, w wyegzekwowaniu wykonania obowiązku nałożonego decyzją, nie stanowią o niewykonalności decyzji (por. wyroki Naczelnego Sądu Administracyjnego: z dnia 3 czerwca 2008 r. sygn. akt II OSK 590/07, publ.: LEX nr 484998; z dnia 2 września 2016 r., sygn. akt I OSK 698/15).

Trudno także za zasadny zarzut uznać w tej materii potrzebę P. ochrony przed nieuczciwymi klientami (na co wskazano, odwołując się do spraw karnych), albowiem poczynione przez przedsiębiorcę środki ochronne nie mogą być niezgodne z prawem i naruszać zasady przetwarzania danych osobowych.

W niniejszej spawie nie sposób nie dostrzegać, iż o potrzebie wykonania nakazach, wskazanych w decyzji z dnia [...] grudnia 2015 r., skarżąca Spółka wie już od daty doręczenia jej tej decyzji. Zatem, niezależnie od wyniku poczynionych przez nią środków odwoławczych, Spółka powinna, chociażby z ostrożności, opracować wewnętrze procedury, aby w przypadku prawomocności i ostateczności tej decyzji, móc ją wykonać. Trudności techniczne lub ekonomiczne, choćby bardzo poważne, w wyegzekwowaniu wykonania obowiązku nałożonego decyzją, nie stanowią o niewykonalności decyzji. Wskazać tu także należy, iż w niniejszej spawie Wojewódzki Sąd Administracyjny w Warszawie wydał postanowienie o wstrzymaniu wykonania zaskarżonej decyzji.

Również nie sposób dopatrzyć się naruszenia przez organ art. 107 w zw. z art. 61 § 1, art. 8 i art. 11 Kpa, poprzez wydanie decyzji nakazującej "przywrócenie stanu zgodnego z prawem" w odniesieniu do przetwarzania danych w zakresie niezgodnym z ustaleniami organu co do stanu faktycznego, ustalonego w ramach przeprowadzonej u Spółki kontroli. Zgromadzony w sprawie materiał potwierdza prawidłowość ustaleń organu.

W ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie nie są również zasadne pozostałe zarzuty skargi, zwłaszcza odnoszące się do naruszenia prawa materialnego.

Generalny Inspektor w trakcie przeprowadzonej w P. Sp. z o.o. kontroli zgromadził znaczny materiał dowodowy i prawidłowo dokonał jego analizy oraz oceny pod kątem prawidłowości przetwarzania danych osobowych.

W uzasadnieniu decyzji trafnie wskazano, iż analiza postanowień i zapisów umieszczonych przez Spółkę w umowach oświadczeniu usług telekomunikacyjnych, jak również informacji zawartych w formularzu o nazwie "Oświadczenie" (wypełnianym przy zawieraniu umowy przez Internet) wykazała, iż Spółka P., jako administrator danych, wśród innych oświadczeń woli zamieściła klauzulę zgody na dokonanie kserokopii dokumentów przedstawionych przy zawarciu umowy o świadczenie usług telekomunikacyjnych, a tym samym na przetwarzanie danych w nich zawartych. Nie pozostawiła tym samym swobody w podjęciu decyzji o wyrażeniu bądź niewyrażeniu takiej zgody.

Zastrzeżenie to organ zawarł odnośnie całości działań Spółki w zakresie przetwarzania danych osobowych jej klientów, niezależnie od sposobu zawierania umowy (tradycyjnie – w placówce P., czy za pośrednictwem internetu). W obu przypadkach Spółka w celu potwierdzenia tożsamości klientów, którzy zdecydowali się na zawarcie umowy o świadczenie usług telekomunikacyjnych bez uiszczenia kaucji, przyjmuje kserokopie następujących dokumentów: dowodu osobistego, legitymacji rencisty, legitymacji emeryta, legitymacji służbowej posła/senatora/nauczyciela, prawa jazdy, paszportu, legitymacji ubezpieczeniowej, książeczki wojskowej, legitymacji studenckiej, karty stałego i czasowego pobytu na terenie RP.

Z analizy treści kopii dokumentów przedstawionych w toku kontroli wynika, iż Spółka pozyskując ww. kopie zbiera dane osobowe swoich klientów w szerszym zakresie niż zakres określony wart. 161 ust. 2 Prawo telekomunikacyjne, tj. pozyskuje takie dane jak: kolor oczu, wzrost, wizerunek twarzy, płeć, adres zameldowania, nazwę organu wydającego dowód osobisty, datę wydania i termin ważności dowodu osobistego, podpis, nazwę organu wydającego prawo jazdy, numer prawa jazdy, kategorie prawa jazdy, datę wydania i datę ważności prawa jazdy, numer świadczenia rentowego, emerytalnego, nazwę organu wydającego legitymację ubezpieczeniową, rencisty, emeryta, datę wydania tych legitymacji, nazwę organu wydającego książeczkę wojskową, kartę stałego lub czasowego pobytu oraz nazwę uczelni wydającej legitymację studencką.

Z ustaleń dokonanych w toku kontroli wynika, iż: 1) przy zawieraniu umowy o świadczenie usług telekomunikacyjnych, które odbywa się w punkcie obsługi klienta wypełniany jest m.in. dokument o nazwie "Informacja P. Sp. z o.o. o przetwarzaniu danych osobowych oraz oświadczenia klienta/abonenta" (dokument ten stanowi załącznik nr 3 do umowy). W pkt 6 przedmiotowego dokumentu zawarta jest m.in. następująca informacja: "wyrażam zgodę na podstawie art. 161 ust. 3 ustawy prawo telekomunikacyjne na przetwarzanie danych wskazanych na pierwszej stronie umowy w polach oznaczonych indeksem 1 w brzmieniu "pole wypełnione Za zgodą abonenta", a także danych zawartych w kopiach dokumentów przedstawionych przy zawieraniu umowy, danych karty kredytowej, adres e-meiil, kontaktowego numeru telefonu"-, 2) w przypadku zawierania umowy o świadczenie usług telekomunikacyjnych za pośrednictwem internetowego kanału sprzedaży, klient w formularzu o nazwie "Oświadczenia" obowiązkowo musi zaznaczyć jedno z pól oznaczonych gwiazdką. W polu tym wśród innych oświadczeń zawarta jest klauzula następującej treści: "wyrażam zgodę (na podstawie art. 161 ust 3 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjnego (...) na przetwarzanie danych wskazanych na pierwszej stronie umowy w polach oznaczonych indeksem 1 w brzmieniu "pole wypełnione za zgodą abonenta" a także danych zawartych w kopiach dokumentów przedstawionych przy zawieraniu umowy, danych karty kredytowej, adres e-mail, kontaktowego numeru telefonu podanych w trakcie trwania umowy a) w celu podjęcia działań przed zawarciem umowy, b) w celu realizacji umowy, do wypełnienia prawnie usprawiedliwionych celów P. Sp. z o. o. w tym sprzedaży i marketingu bezpośredniego, własnych produktów i usług, c) dochodzenia roszczeń z tytułu prowadzonej działalności gospodarczej oraz pozostałych celach statutowych, d) gdy jest niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego przepisu prawa lub do wykonania określonych prawem zadań realizowanych dla dobra publicznego. Zgoda na przetwarzanie ww. danych w celach marketingowych jest niezależna od czasu obowiązywania umowy".

Jak wynika z ww. formularza, pole zawierające przedmiotową klauzulę opatrzone jest gwiazdką (jako oświadczenie wymagane). W związku z tym uznać należy, iż osoba wypełniająca przedmiotowy formularz, chcąc zawrzeć umowę, nie może odmówić wyrażenia zgody na przetwarzanie danych osobowych zawartych w kopiowanych dokumentach tożsamości; 3) w zawartych już umowach o świadczenie usług telekomunikacyjnych na ostatniej stronie (nad miejscem przeznaczonym na złożenie podpisu przez strony zawartej umowy), zamieszczone są oświadczenia o następującej treści: "1) oświadczam, iż otrzymałam/em i akceptuję regulamin wybranej promocji określonej na stronie 1 umowy (nie dotyczy umów zawieranych poza promocją); 2) oświadczam, że zapoznałam/em się z zakresem usług, postanowieniami i warunkami umowy, a także że otrzymałam/em i akceptuję Regulamin świadczenia usług telekomunikacyjnych przez P. Sp. z o.o.- abonament, cennik stanowiący integralną część umowy, w szczególności postanowienia o odpowiedzialności P. Sp. z o. o. za niewykonanie i nienależyte wykonanie umowy, postanowienia dotyczące zasad rozwiązywania umowy oraz postanowienia dotyczące zasad naliczania kar umownych i ich wysokości; 3) oświadczam, że wyrażam zgodę na wykonanie kopii dokumentów przedstawionych przy zawarciu umowy, a tym samym na przetwarzanie danych w nich zawartych w celach zawarcia umowy i archiwizacji; 4) abonent prowadzący działalność gospodarczą oświadcza, że w dniu zawierania umowy prowadzi działalność gospodarczą i potwierdza, że dane podane na 1 stronie umowy są aktualne."

Powyższe ustalenia, zdaniem Wojewódzkiego Sądu Administracyjnego w Warszawie, zostały przez organ prawidłowo ocenione. Organ prawidłowo konkluduje, iż wobec treści wyżej wskazanych dokumentów Spółki, osoba podpisująca umowę o świadczenie usług telekomunikacyjnych nie może odmówić wyrażenia zgody na przetwarzanie danych osobowych zawartych w kopiowanych dokumentach tożsamości, a tym samym na przetwarzanie tych danych w celu zawarcia umowy.

Analiza postanowień zapisów umieszczonych przez Spółkę w umowach o świadczeniu usług telekomunikacyjnych, jak również analiza informacji zawartych w formularzu o nazwie "Oświadczenie" (wypełnianym przy zawieraniu umowy przez Internet) wykazała, iż Spółka jako administrator danych zamieściła wśród innych oświadczeń woli klauzulę zgody na dokonanie kserokopii dokumentów przedstawionych przy zawarciu umowy o świadczenie usług telekomunikacyjnych, a tym samym na przetwarzanie danych w nich zawartych. Nie pozostawiła tym samym swobody w podjęciu decyzji o wyrażeniu bądź niewyrażeniu takiej zgody. Analizując również wydruk zawierający treść oświadczeń przejmowanych obecnie przez Spółkę od potencjalnych klientów sklepu internetowego na etapie składania zamówienia (powołany wydruk Spółka przesłała do Biura Generalnego Inspektora Ochrony Danych pismem z dnia [...] lutego 2016 r., stanowiącym uzupełnienie wniosku o ponowne rozpatrzenie sprawy) wskazać należy, iż zamieszczenie przy klauzuli o dotychczasowym brzmieniu tj.: "wyrażam zgodę na podstawie art. 161 ust 3 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjnego (...) na przetwarzanie danych wskazanych na pierwszej stronie umowy w polach oznaczonych indeksem 1 w brzmieniu "pole wypełnione za zgodą abonenta" a także danych zawartych w kopiach dokumentów przedstawionych przy zawieraniu umowy, danych karty kredytowej, adres e-mail, kontaktowego numeru telefonu podanych w trakcie trwania umowy: a) w celu podjęcia działań przed zawarciem umowy, b) w celu realizacji umowy. c) do wypełnienia prawnie usprawiedliwionych celów P. Sp. z o.o., w tym sprzedaży i marketingu bezpośredniego, własnych produktów i usług, dochodzenia roszczeń z tytułu prowadzonej działalności gospodarczej oraz pozostałych celach statutowych, d) gdy jest niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa lub do wykonania określonych prawem zadań realizowanych dla dobra publicznego. Zgoda na przetwarzanie ww. danych w celach marketingowych jest niezależna od czasu obowiązywania umowy", informacji o następującej treści "jeśli nie zaznaczysz tej zgody, nie będziemy mogli zrealizować tego zamówienia w sklepie internetowym – świadczy, iż Spółka narusza przepisy dotyczące przetwarzania danych osobowych.

W ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie, Generalny Inspektor prawidłowo opisał ustalony wyżej stan faktyczny i prawidłowo zarzucił naruszenie, w tym zakresie, przez skarżąca Spółkę art. 161 ust. 2 i 3 w zw. z art. 174 Prawa telekomunikacyjnego.

Wskazane przez organ zapisy i postanowienia, zawarte w wyżej opisanych dokumentach Spółki, zaprzeczają aby osoba zawierająca ze Spółką umowę o świadczenie usług telekomunikacyjnych, mogła w sposób swobodny, w rozumieniu art. 174 Prawa telekomunikacyjnego, wyrażać zgodę na przetwarzanie przez Spółkę jej danych osobowych, które wykraczają poza zakres określony art. 161 ust. 2 Prawa telekomunikacyjnego.

Prawo telekomunikacyjne, obok kwestii świadczenia usług telekomunikacyjnych, reguluje również sposób wykorzystywania danych abonentów tych usług, w tym warunki ochrony użytkowników usług w szczególności w zakresie prawa do prywatności i poufności (art. 1 pkt 7). W świetle art. 159 pkt 1 tej ustawy, dane dotyczące użytkownika stanowią tajemnicę telekomunikacyjną. Z kolei przepis art. 160 ust. 1 ustawy nakazuje podmiotom uczestniczącym w wykonywaniu działalności telekomunikacyjnej w sieciach publicznych oraz podmiotom z nim współpracującym zachowanie tajemnicy telekomunikacyjnej. Zgodnie z art. 161 ust. 1 ww. ustawy, z zastrzeżeniem ust. 2, treści lub dane objęte tajemnicą telekomunikacyjną mogą być zbierane, utrwalane, przechowywane, opracowywane, zmieniane, usuwane lub udostępniane tylko wówczas, gdy czynności te, zwane dalej przetwarzaniem, dotyczą usługi świadczonej użytkownikowi albo są niezbędne do jej wykonania. Przetwarzanie w innych celach jest dopuszczalne jedynie na podstawie przepisów ustawowych. Ustęp 2 ww. artykułu stanowi, iż dostawca publicznie dostępnych usług telekomunikacyjnych jest uprawniony do przetwarzania następujących danych dotyczących użytkownika będącego osobą fizyczną: (1) nazwisk i imion, (2) imion rodziców, (3) miejsca i daty urodzenia, (4) adresu miejsca zamieszkania i adresu korespondencyjnego jeżeli jest on inny niż adres miejsca zamieszkania, (5) numeru ewidencyjnego PESEL - w przypadku obywatela Rzeczypospolitej Polskiej, (6) nazwy, serii i numeru dokumentów potwierdzających tożsamość, a w przypadku cudzoziemca, który nie jest obywatelem państwa członkowskiego albo Konfederacji Szwajcarskiej - numeru paszportu lub karty pobytu, (7) zawartych w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych wynikającego z umowy o świadczenie usług telekomunikacyjnych. W świetle postanowień ustępu 3 powołanego artykułu, oprócz danych, o których mowa w ust. 2, dostawca publicznie dostępnych usług telekomunikacyjnych może, za zgodą użytkownika będącego osobą fizyczną, przetwarzać inne dane tego użytkownika w związku ze świadczoną usługą, w szczególności numer identyfikacji podatkowej NIP, numer konta bankowego lub karty płatniczej, adres korespondencyjny użytkownika, jeżeli jest on inny niż adres miejsca zameldowania na pobyt stały tego użytkownika, a także adres poczty elektronicznej oraz numery telefonów kontaktowych.

Zakres danych służących identyfikacji tożsamości użytkownika końcowego, będącego osobą fizyczną, do przetwarzania których uprawniony jest dostawca publicznie dostępnych usług telekomunikacyjnych, został rozstrzygnięty w sposób wyczerpujący w art. 161 ust. 2 pkt 1-6 ustawy Prawo telekomunikacyjne.

Treść art. 161 ust. 2 pkt 7 ww. ustawy musi być rozumiana w sposób ścisły i zgodny z celem tego przepisu, którym jest stworzenie podstawy prawnej umożliwiającej dostawcy publicznie dostępnych usług telekomunikacyjnych, przetwarzanie - obok danych identyfikujących użytkownika końcowego - również danych zawartych w dokumentach służących ustaleniu, czy użytkownik końcowy będzie w stanie regulować rachunki za udostępnione mu usługi telekomunikacyjne. Przepis ten nie stanowi zatem podstawy prawnej przetwarzania danych osobowych w celu prawidłowej identyfikacji użytkownika końcowego. Stanowisko przeciwne pozbawiłoby w istocie znaczenia wszystkich zapisów art. 161 ust. 2 pkt 1 - 6 ustawy, który ogranicza katalog danych osobowych klienta, niezbędnych do zawarcia umowy o świadczenie usług telekomunikacyjnych.

Jak stwierdził Naczelny Sąd Administracyjny w wyroku z dnia 26 stycznia 2009 r. sygn. akt I OSK 174/08 (publ. LEX nr 478301) "to, że w Prawie telekomunikacyjnym zawarte są uregulowania chroniące procesy przetwarzania danych osobowych objętych tajemnicą telekomunikacyjną (art. 159 ust. 2 i art. 161 ust. 2), nie oznacza, że ustawa o ochronie danych osobowych nie znajduje zastosowania w całości. Wymienione przepisy Prawa telekomunikacyjnego wyłączają stosowanie ustawy o ochronie danych osobowych tylko w zakresie, w jakim przewidują dalej idącą ochronę danych osobowych od tej, jaka została zagwarantowana tą ostatnią ustawą".

Nie może być zatem wątpliwości, iż dostawca publicznie dostępnych usług telekomunikacyjnych (w rozumieniu art. 2 pkt 27 Prawa telekomunikacyjnego) jest uprawniony do przetwarzania danych osobowych usługobiorcy, jeżeli dane te przetwarza w celu świadczenia i wykonania usługi telekomunikacyjnej. W każdym innym przypadku podejmowania działań realizujących np. cel komercyjny czy marketingowy, a nie związany wprost z wykonaniem usługi telekomunikacyjnej, usługodawca będzie stosować przepisy ustawy o ochronie danych osobowych i w ich treści poszukiwać przesłanki legalizującej przetwarzanie danych osobowych dla swych działań.

Chybione jest zatem stanowisko, iż podstawę prawną przetwarzania danych użytkownika będącego osobą fizyczną - w sytuacji, gdy dotyczą one świadczonej mu usługi telekomunikacyjnej, albo są niezbędne do jej wykonania – powinien stanowić art. 23 ust. 1 pkt 2 w związku z art. 26 ust. 1 pkt 3 oraz art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.

Przepisy art. 161 ust. 2 i 3 Prawa telekomunikacyjnego regulują w sposób wyczerpujący podstawę prawną przetwarzania danych we wskazanych w nich przypadkach. Brak jest zatem przesłanek do stosowania w niniejszej spawie ww. przepisów ustawy o ochronie danych osobowych.

Istotne dla oceny zaskarżonej decyzji są również normy art. 57 ust. 1 pkt 3 i art. 174 pkt 1 ustawy Prawo telekomunikacyjne. Pierwsza zakazuje dostawcy publicznie dostępnych usług telekomunikacyjnych uzależnienie zawarcie umowy o świadczenie publicznie dostępnych usług telekomunikacyjnych, w tym o zapewnienie przyłączenia do publicznej sieci telekomunikacyjnej, od udzielenia informacji lub danych innych niż określone w art. 161 ust. 2, w przypadku użytkownika końcowego będącego osobą fizyczną. Druga, stanowi, iż jeżeli przepisy ustawy wymagają wyrażenia zgody przez abonenta lub użytkownika końcowego, zgoda ta nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści.

Zatem wyrażenie zgody na przetwarzanie danych osobowych powinno być podjęte swobodnie i mieć charakter samodzielny.

Istotą przesłanki zgody jest oparcie jej na dobrowolnym oświadczeniu osoby, której dane dotyczą, wyrażającym przyzwolenie na przetwarzanie dotyczących jej danych osobowych, a brak swobody w zakresie wyrażenia zgody na przetwarzanie danych osobowych prowadzi do ograniczenia praw osób fizycznych, przejawiających się m.in. w prawie do dysponowania swoimi danymi osobowymi (porównaj wyrok WSA w Warszawie z 18 lutego 2016 r., sygn. akt II SA/Wa 1655/15).

Normy art. 57 ust. 1 pkt 3 i art. 174 pkt 1 Prawa telekomunikacyjnego sformułowane zostały w sposób kategoryczny. Wprost potwierdzają zasadę bezwzględnego stosowania zawartych w Prawie telekomunikacyjnym przepisów regulujących przetwarzanie danych osobowych w relacjach pomiędzy abonentem przedsiębiorstwa telekomunikacyjnego (ewentualnie przyszłym abonentem), będącym osobą fizyczną a przedsiębiorcą świadczącym publicznie dostępne usługi telekomunikacyjne.

Zgoda na przetwarzanie danych osobowych przez podmiot świadczący powszechnie dostępne usługi telekomunikacyjne nie może być dorozumiana, ale wyrażona wprost. Zasada ta wynika z dyrektywy 95/46/WE z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. WE L 281 z 23.11.1995, s. 31). Do tak rozumianej definicji odwołuje się również art. 2 lit. f dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (Dz. Urz. WE L 201 z 31.07.2002, s. 37) – tzw. dyrektywa o prywatności i łączności elektronicznej.

Wyżej przywołane przepisy prawa unijnego korespondują w tym zakresie z normami art. 161 i art. 174 Prawa telekomunikacyjnego.

Dlatego, w ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie nie są zasadne zarzuty wskazane zarówno w skardze jak i w piśmie ją uzupełniającą z dnia [...] marca 2016 r., wskazujące na naruszenie przez organ powyższych przepisów Prawa telekomunikacyjnego.

W piśmie uzupełniającym skargę P. odniósł się do wyroku WSA w Warszawie z dnia 16 grudnia 2016 r. sygn. akt II SA/Wa 517/16, zarzucając Generalnemu Inspektorowi brak wyjaśnienia na podstawie jakich powodów uznał, że takie informacje jak: nazwa organu wydającego dowód osobisty, data wydania i data ważności dowodu osobistego, nazwa organu wydającego prawo jazdy, data wydania i data ważności prawa jazdy, nazwa organu wydającego paszport - stanowią dane osobowe w rozumieniu art. 6 ust. 1 ustawy o ochronie danych osobowych oraz dlaczego nakazem zaprzestania przetwarzania danych osobowych organ objął także podpis, nie wyjaśniając przy tym, czy chodzi o podpis użytkownika końcowego (klienta Spółki), czy podpis innej osoby.

W ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie zarzut ten nie jest słuszny.

Przede wszystkim należy wyraźnie podkreślić, iż stosowane w systemie ochrony danych osobowych pojęcie "dane osobowe" występuje jedynie w liczbie mnogiej i oznacza zespół informacji o danej osobie, pozwalające na jej zidentyfikowanie. Pojęcie to należy interpretować szeroko.

W art. 6 ust. 1 ustawy o ochronie danych osobowych za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (ust. 2). Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (ust. 3).

Informacja "dotyczy osoby fizycznej" gdy przekazuje (komunikuje) coś na jej temat. Chodzi zatem o informację, która daje się powiązać z osobą, która powoduje, że możliwe jest jej odniesienie do konkretnej osoby fizycznej - zidentyfikowanej lub możliwej do zidentyfikowania, przy czym identyfikacja odbywa się na podstawie całokształtu posiadanych informacji (J. Barta, P. Fajgielski, R. Markiewicz, Komentarz do art. 6 ustawy o ochronie danych osobowych, System informacji Prawnej LEX 2016). Powyższe stanowisko aprobuje również orzecznictwo, gdzie wskazuje się, że jeżeli komunikat można powiązać z konkretną osobą fizyczną, wówczas jego treść należy uznać za dane osobowe (por. wyrok WSA w Warszawie z dnia 8 marca 2016 r., sygn. akt II SA/Wa 1487/15). Z kolei NSA w wyroku z dnia 18 listopada 2009 r. sygn. akt I OSK 667/09 wskazuje, że "dane osobowe" na gruncie prawa polskiego obejmuje wszelkie informacje dotyczące osoby fizycznej, jeśli możliwe jest określenie jej tożsamości i zidentyfikowanie. Dane osobowe to zespół wiadomości (komunikatów) o konkretnym człowieku na tyle zintegrowany, że pozwala na jego zindywidualizowanie. Obejmuje co najmniej informacje niezbędne do identyfikacji (imię, nazwisko, miejsce zamieszkania), jednakże do tego się nie ogranicza, bowiem mieszczą się w nim również dalsze informacje, wzmacniające stopień identyfikacji. Do informacji takich z pewnością należą zdjęcia osoby fizycznej, chociażby wykonane w przeszłości, umożliwiające jej identyfikację.

Charakter danych osobowych mają informacje z różnych dziedzin życia, o ile tylko istnieje możliwość powiązania ich z oznaczoną osobą. Mogą to być informacje o charakterze obiektywnym i subiektywnym, wymiernym lub ocennym, o okolicznościach dawnych, obecnych lub przyszłych, trwałych lub przemijających.

O tym, czy określona informacja ma charakter danych osobowych, czy też nie, decyduje jej przydatność do ustalenia tożsamości osoby, której ta informacja dotyczy (A. Szewc, Z problematyki (...), cz. III, s. 24 [w:] P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz, 4 wydanie C.H. Beck, 2016).

Takie szerokie rozumienia pojęcia "dane osobowe", prezentowane w polskim prawie jest zgodne z rozumieniem tego pojęcia w dyrektywie 95/46/WE Parlamentu Europejskiego i Rady dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Prawo unijne podkreśla znaczny wpływ nowoczesnych technologii w procesie identyfikacji danej osoby i dlatego zasady ochrony danych osobowych odnosi do wszelkich informacji służących zidentyfikowaniu lub umożliwiających zidentyfikowanie osób fizycznych.

Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny.

Dlatego przy tak szeroko rozumianym pojęciu "dane osobowe", eksponującym funkcjonalność tego pojęcia dla procesu identyfikacji danej osoby fizycznej, niezasadne jest ograniczanie "danych osobowych" jedynie do informacje niezbędnych do identyfikacji (imię i nazwisko, pesel itp.). W pojęciu tym mieszczą się także inne derywaty, jeżeli tylko jest możliwe jakiekolwiek połączenie ich z konkretną osobą i uzyskanie w ten sposób informacji o tej osobie albo jej zidentyfikowanie.

Nie sposób nie zauważyć, iż dane, którym skarżąca Spółka odmawia przymiotu danych osobowych i które wskazuje w piśmie z dnia [...] marca 2016 r., są ściśle związane z konkretną i znana Spółce osobą, albowiem zostały pozyskane przez Spółkę w wyniku wykonania kserokopii dokumentów tej właśnie osoby i to dokumentów o charakterze osobistym.

Z kolei podpis to graficzny identyfikator konkretnej osoby. Jest oczywiste, iż będzie się on znajdował na umowie o świadczeniu usług telekomunikacyjnych, jako element potwierdzający jej zawarcie. Brak jest natomiast podstaw prawnych do dalszego przetwarzania tego podpisu przez skarżąca Spółkę, jak i przetwarzania jakichkolwiek innych podpisów uzyskanych w różny sposób w trakcie zawierania umowy o świadczeniu usług telekomunikacyjnych (przynajmniej skarżąca Spółkę podstawy prawnej w tym zakresie nie przedstawiła).

Natomiast takie dane jak: nazwa organu wydającego dowód osobisty, data wydania i termin ważności dowodu osobistego zostały pozyskane z dowodu osobistego. Mogą wskazywać np. na odbiór dowodu osobistego w innym miejscu niż zamieszkanie. Analogicznie: nazwa organu wydającego prawo jazdy, numer prawa jazdy, kategorie prawa jazdy, data wydania i data ważności prawa jazdy – to dane pochodzące z prawa jazdy klienta Spółki i dające informację o posiadaniu przez tą osobę prawa jazdy oraz informujące o innych faktach z uprawnieniem tym związanych. Numer świadczenia rentowego, emerytalnego, nazwa organu wydającego legitymację ubezpieczeniową, rencisty, emeryta, data wydania tych legitymacji – to dane pozyskane z kserokopii określonej legitymacji klienta Spółki. Dane te informują o uprawnieniach emerytalnych i rentowych klienta Spółki. Nazwa organu wydającego książeczkę wojskową – wskazuje podleganie klienta Spółki pod konkretną jednostkę wojskową. Nazwa uczelni wydającej legitymację studencką – wskazuje kształcenie się klienta Spółki w danej uczelni.

Powyższe dane mogą dostarczyć wielu informacji o konkretnej osobie, które nie należą do danych wskazanych w art. 161 ust. 2 Prawa telekomunikacyjnego. Zatem poprzez powyższe dane P. uzyskuje wiedzę na temat danej osoby, znacznie wykraczającą poza zakres niezbędnych danych (art. 161 ust. 2 Prawa telekomunikacyjnego) do zawarcia umowy o świadczenie powszechnych usług telekomunikacyjnych.

W trakcie postępowania administracyjnego, jak i we wniosku o ponowne rozpatrzenie spawy oraz w skardze i w piśmie ją uzupełniającym, skarżąca Spółka nie wykazała ani potrzeby gromadzenia takich danych ani także nie wykazała uzyskania w sposób niewymuszony zgody na ich przetwarzanie.

Dlatego, w ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie, bacząc na definicję danych osobowych zawartą w prawie polskim i unijnym, Generalny Inspektor nie musi wcale uzasadniać, iż powyższe pojęcia, zawarte w komparycji decyzji, są danymi osobowymi, jak tego domaga się strona skarżąca, albowiem wskazane wyżej dane umożliwiają zidentyfikowanie, znanego z imienia i nazwiska abonenta, jako na przykład studenta, emeryta czy rencistę itp.

Mając powyższe na uwadze, Wojewódzki Sąd Administracyjny w Warszawie na podstawie art. 151 ustawy – Prawo o postępowaniu przed sądami administracyjnymi orzekł, jak w sentencji wyroku.