Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Małgorzata Jaśkowska Sędziowie: Sędzia NSA Monika Nowicka (spr.) Sędzia del. WSA Rafał Wolnik Protokolant: specjalista Edyta Pacewicz po rozpoznaniu w dniu 24 stycznia 2018 r., na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej C. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 23 października 2015 r. sygn. akt II SA/Wa 47/15 w sprawie ze skargi C. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 30 października 2014 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. oddala skargę kasacyjną, 2. zasądza od C. na rzecz Generalnego Inspektora Ochrony Danych Osobowych kwotę 480 (czterysta osiemdziesiąt) złotych tytułem zwrotu kosztów postępowania kasacyjnego.

Wyrokiem z dnia 23 października 2015 r. (sygn. akt II SA/Wa 47/15), Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę C. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 30 października 2014 r. nr [...]8 w przedmiocie przetwarzania danych osobowych.

W uzasadnieniu powyższego wyroku Sąd Wojewódzki wskazał, że decyzją z dnia 30 lipca 2014 r. nr [...], Generalny Inspektor Ochrony Danych Osobowych nakazał C. - jako administratorowi danych osobowych - usunięcie uchybień zaistniałych w procesie przetwarzania danych poprzez:

1) zaprzestanie przetwarzania, tj. pozyskiwania numeru PESEL od osób, które dokonują rezerwacji w celu zakupu biletu na przejazd - w terminie od dnia, w którym wskazana decyzja stanie się ostateczna,

2) usunięcie danych osobowych w zakresie numeru PESEL osób, które dokonały rezerwacji w celu zakupu biletu na przejazd – w terminie 30 dni od dnia, w którym wskazana decyzja stanie się ostateczna,

3) zastosowanie odpowiednich środków technicznych i organizacyjnych zapewniających ochronę danych osobowych przetwarzanych w związku z logowaniem się do systemu informatycznego o nazwie C. – w terminie 30 dni od dnia, w którym wskazana decyzja stanie się ostateczna.

Ponieważ zaś we wniosku o ponowne rozpatrzenie sprawy w/w Spółka oświadczyła, iż (cyt.): "po wszczęciu postępowania przez Generalnego Inspektora Spółka zaprzestała całkowicie pozyskiwania numerów PESEL od swoich klientów" jednakże nie złożyła wyjaśnień, ani też nie przedstawiła innych dowodów potwierdzających usunięcie dotychczas pozyskanych danych osobowych dotyczących numerów PESEL, to rozpatrując sprawę ponownie, decyzją z dnia 30 października 2014 r. nr [...] – działając na podstawie art. 138 § 1 k.p.a. oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1 i pkt 6, art. 22 w związku z art. 26 ust. 1 pkt 1 i pkt 3 i art. 36 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182, dalej: "u.o.d.o."), Generalny Inspektor Ochrony Danych Osobowych: 1) uchylił pkt 1 wcześniejszej decyzji z dnia 30 lipca 2014 r. nr DIS/DEC-750/59150/14, w części dotyczącej nakazu zaprzestania przetwarzania danych, tj. pozyskiwania numeru PESEL, od osób, które dokonują rezerwacji w celu zakupu biletu na przejazd i w tym zakresie umorzył postępowanie, 2) uchylił pkt 3 zaskarżonej decyzji, w części dotyczącej nakazu zastosowania odpowiednich środków technicznych i organizacyjnych, zapewniających ochronę danych osobowych przetwarzanych w związku z logowaniem się do systemu informatycznego o nazwie C. (system służący do przetwarzania danych osobowych w związku z rezerwacją biletu przez Internet) i w tym zakresie umorzył postępowanie, 3) w pozostałym zakresie utrzymał natomiast w mocy zaskarżoną decyzję.

W skardze, wniesionej do Wojewódzkiego Sądu Administracyjnego w Warszawie na pkt 3 wyżej przedstawionej wyżej decyzji z dnia 30 października 2014 r. (tj. w zakresie, w którym organ utrzymał w mocy swoją poprzednią decyzję) C. zarzuciła Generalnemu Inspektorowi Ochrony Danych Osobowych organowi naruszenie: art. 7, art. 8, art. 77, art. 80 k.p.a., art. 26 ust. 1 pkt 1 i 2, ust. 1 pkt 3 oraz art. 36 ust. 1 u.o.d.o., akcentując zwłaszcza, że gdyby usunęła, jak nakazywał to GIODO pobrane wcześniej dane osobowe klientów, to w razie ewentualnej kontroli skarbowej, dokumentacja finansowa prowadzona przez skarżącą, nie spełniałaby wymagań, określonych w rozporządzeniu Ministra Finansów z dnia 29 listopada 2012 r. w sprawie zwolnień z obowiązku prowadzenia ewidencji przy zastosowaniu kas rejestrujących, a zatem skarżąca poniosłaby negatywne konsekwencje podatkowe swoich działań.

Odpowiadając na skargę, Generalny Inspektor Ochrony Danych Osobowych wnosił o jej oddalenie, podtrzymując dotychczas prezentowane stanowisko. Ponadto, zdaniem organu, skoro skarżąca wykonywała odpłatny przewóz osób na podstawie umowy przewozu to zawarcie tego rodzaju umowy następowało poprzez sprzedaż biletów, dokonywaną za pomocą kas fiskalnych. Zakupione bilety zawierały zaś informacje obejmujące: dane przewoźnika, imię i nazwisko podróżnego, datę i godzinę wyjazdu, cenę, liczbę oraz rodzaj zakupionych biletów a także specjalny unikatowy numer transakcji zakupu, a które to dane w dostateczny sposób potwierdzały, iż doszło do zawarcia transakcji zakupu biletu. W związku z powyższym, przetwarzanie przez skarżącą Spółkę wcześniej pozyskanych numerów PESEL jako loginu, w celu prowadzenia rozliczeń finansowych, nie znajdowało żadnego uzasadnienia.

Oddalając skargę – na zasadzie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi – Wojewódzki Sąd Administracyjny w Warszawie uznał, że skarga była nieuzasadniona.

Sąd przyjął, iż Generalny Inspektor Ochrony Danych Osobowych w swoich decyzjach wyjaśnił stan faktyczny i prawny sprawy. W sposób wystarczający dokonał oceny zgromadzonego materiału dowodowego sprawy, wskazał fakty uznane za udowodnione, dowody, na których się oparł, zaś w uzasadnieniu prawnym podał i przeanalizował podstawę prawną decyzji. Decyzja zawierała przy tym wszystkie elementy, wymagane przez art. 107 § 1 k.p.a. Organ nie naruszył też zasady prowadzenia postępowania w sposób budzący zaufanie jego uczestników do władzy publicznej (art. 8 k.p.a.), wyjaśnił zasadność przesłanek, którymi kierował się przy załatwieniu sprawy, wyczerpująco zebrał i rozpatrzył materiał dowodowy (art. 7, art. 77 k.p.a.). Zgromadzone przy tym dowody były wystarczające do poczynienia ustaleń faktycznych, niezbędnych do zastosowania powołanych w podstawie prawnej przepisów prawa, a ponadto w uzasadnieniu zaskarżonej decyzji organ w sposób wyczerpujący uzasadnił swoje stanowisko.

W kwestiach materialnoprawnych Sąd podzielił stanowisko Generalnego Inspektora Danych Osobowych, że przetwarzanie przez skarżącą Spółkę – jako administratora danych osobowych - danych (numeru PESEL) osób korzystających z rezerwacji i zakupu biletu przez Internet o adresie: [...], wykraczało poza potrzeby wynikające z celu przetwarzania danych, jaki stanowiła rezerwacja biletu w celu jego zakupu przez Internet, a to stanowiło naruszenie zasady adekwatności, o której mowa w art. 26 ust. 1 pkt 3 u.o.d.o. Sąd wskazał bowiem w tym miejscu, iż powyższa zasada została implementowana do ustawy o ochronie danych osobowych na podstawie Dyrektywy Parlamentu Europejskiego i Rady nr 95/46/WE z dnia 24 października 1995 r. w sprawie ochrony danych osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. UEL z dnia 23 listopada 1995 r.) a która to Dyrektywa - jako implementowana do polskiego systemu prawnego - wiąże podmioty pobierające i przetwarzające dane osobowe, jak również orzekające w sprawach związanych z ochroną danych osobowych, to jest: sądy i organy administracji. Zasada proporcjonalności wyraża się natomiast w obowiązku przetwarzania prawidłowych danych przez administratorów w sposób odpowiedni do celów, dla jakich zostały zgromadzone. Na podstawie art. 29 w/w Dyrektywy – jak kontynuował Sąd – został też powołany organ konsultacyjny, tzw. Grupa Robocza, składający się z przedstawicieli organów ochrony danych osobowych obywateli państw członkowskich a którego zadaniem jest czuwanie nad jednolitym stosowaniem przez państwa członkowskie, środków zmierzających do ochrony danych osobowych, przyjętych przez państwa członkowskie na podstawie wspomnianej Dyrektywy. W przyjętym zaś przez Grupę w dniu 1 sierpnia 2003 r. dokumencie roboczym w sprawie biometrii uznano, jako niezbędną, zasadę proporcjonalności i legalności, co oznacza, że ryzyko naruszenia swobód i fundamentalnych praw obywatelskich musi być proporcjonalne do celu, któremu służy. W związku z tym Sąd przyjął, iż w celu założenia konta w Internecie wystarczającym było pozyskanie takich danych osobowych jak: imię, nazwisko, adres e-mail, numer telefonu komórkowego i hasło.

Ponadto Sąd zgodził się także z organem, że przetwarzanie numeru PESEL przez skarżącą Spółkę było niezgodne z prawem przewozowym. Przepis art. 16 ust. 2 Prawa przewozowego stanowi bowiem, że na bilecie na przejazd, umieszcza się: nazwę przewoźnika, relację lub strefę przejazdu, wysokość należności za przejazd, zakres uprawnień pasażera do ulgowego przejazdu. Wprawdzie przy tym na bilecie mogą być umieszczane inne informacje, w tym dane osobowe pasażera, ale jeżeli jest to niezbędne dla przewoźnika lub organizatora w regularnym przewozie osób (art. 16 ust. 3 Prawa przewozowego). Sąd podkreślił zaś w tym miejscu, że z treści obowiązującego w C. jawna "Regulaminu przewozu osób i bagażu w komunikacji regularnej C.wynikało m.in., iż biletem, stanowiącym dowód zawarcia umowy przewozu pomiędzy przewoźnikiem a podróżnym, jest plik wygenerowany przez system, zawierający następujące dane: dane przewoźnika, imię i nazwisko podróżnego, data i godzina wyjazdu, cena, liczba zakupionych biletów oraz specjalny numer unikatowy (numer transakcji zakupu biletu). Zatem regulamin ten nie przewidywał, aby w celu, jakim była sprzedaż przez Spółkę biletu na przejazd, było wymagane pozyskiwanie numeru PESEL. Powyższe więc, zdaniem Sądu świadczyło o tym, że Spółka, niestosując się do unormowań zawartych w w/w regulaminie, naruszała art. 26 ust. 1 pkt 1 u.o.d.o.

Poza tym Sąd zauważył, że niezrozumiałe w ogóle było stanowisko skarżącej, wskazujące na konieczność dalszego przetwarzania tych numerów PESEL, które pozyskała wcześniej, jako administrator danych, przed wydaniem przez Generalnego Inspektora Ochrony Danych Osobowych decyzji z dnia 30 lipca 2014 r., skoro we wniosku o ponowne rozpatrzenie sprawy skarżąca złożyła wyjaśnienia, z których wynikało, iż obecnie (cyt.): "po wszczęciu postępowania przez Generalnego Inspektora zaprzestała całkowicie pozyskiwania numerów PESEL od swoich klientów".

Sąd nie podzielił też argumentów Spółki zawartych w skardze, że organ w zaskarżonej decyzji nie uwzględnił, iż przetwarzała ona pozyskane wcześniej dane osobowe w zakresie numeru PESEL osób, które dokonały rezerwacji w celu zakupu biletu przez Internet, na potrzeby ewentualnej kontroli skarbowej. Zdaniem bowiem Sądu, w trakcie całego postępowania administracyjnego tego argumentu Spółka w ogóle nie podnosiła, a ponadto, co wynikało z akt sprawy, obecnie w celu założenia konta na ww. stronie, osoba zainteresowana nie wprowadza już numeru PESEL a jedynie takie dane jak: imię, nazwisko, adres e-mail, telefon komórkowy oraz hasło.

Sąd wskazał także, że Spółka - jako podatnik - korzysta ze zwolnienia z obowiązku ewidencjonowania czynności, wynikających z pkt II pozycji 43 załącznika do rozporządzenia Ministra Finansów z dnia 29 listopada 2012 r. w sprawie zwolnień z obowiązku prowadzenia ewidencji przy zastosowaniu kas rejestrujących. Z jego treści wynika bowiem, że zwolnieniu z obowiązku ewidencjonowania za pomocą kas rejestrujących podlega "sprzedaż biletów i rezerwacja miejsc przy przewozach rozkładowych pasażerskich pod warunkiem, że zapłaty za wykonaną czynność dokonano w całości za pośrednictwem poczty, banku lub spółdzielczej kasy oszczędnościowo-kredytowej (odpowiednio na rachunek bankowy podatnika lub na rachunek podatnika w spółdzielczej kasie oszczędnościowo-kredytowej, której jest członkiem), a z ewidencji i dowodów dokumentujących zapłatę jednoznacznie wynika, jakiej konkretnie czynności dotyczyła". Bezspornym przy tym było, że Spółka dokonuje odpłatnego przewozu osób na podstawie umowy przewozu a zawarcie takiej umowy następuje poprzez sprzedaż biletów, dokonywaną za pomocą kas fiskalnych lub za pośrednictwem systemu rezerwacji internetowej, tj. za pośrednictwem strony internetowej o adresie [...]. Biletem zakupionym za pośrednictwem tej strony internetowej, jak kontynuował Sąd, jest plik wygenerowany z systemu informatycznego o nazwie C., który zawiera następujące informacje: dane przewoźnika, imię i nazwisko podróżnego, datę i godzinę wyjazdu, cenę, liczbę oraz rodzaj zakupionych biletów a także specjalny unikatowy numer transakcji zakupu. W ocenie Sądu, niewątpliwie zatem takie dane w dostateczny sposób potwierdzają, iż doszło do transakcji zakupu biletu, o czym świadczy nadany w systemie informatycznym o nazwie C. unikatowy numer transakcji zakupu, który nadawany jest przez ww. system automatycznie po dokonaniu zapłaty drogą elektroniczną za dany bilet. Tak więc przetwarzanie przez Spółkę pozyskanych numerów PESEL, jako loginu, w celu prowadzenia rozliczeń finansowych nie znajdowało i nie znajduje żadnego uzasadnienia.

W skardze kasacyjnej, zaskarżając powyższy wyrok w całości, C. zarzuciła Wojewódzkiemu Sądowi Administracyjnemu w Warszawie naruszenie:

I. przepisów postępowania, które miało wpływ na wynik sprawy, to jest:

1. art. 145 § 1 pkt 1) lit. c i § 2 p.p.s.a. oraz art. 141 § 4 p.p.s.a. w związku z art. 6, 7, 8, 77 § 1 i art. 80 w zw. z art. 86 oraz 107 § 3 k.p.a. - polegające na tym, że Wojewódzki Sąd Administracyjny w Warszawie, badając legalność zaskarżonej decyzji, zaakceptował ustalony stan faktyczny sprawy jako prawidłowy i nie uwzględnił, że materiał dowodowy nie został zebrany w sposób pełny, (cyt.): "został błędnie ustalony oraz dokonano dowolnej oceny zebranego w sprawie materiału dowodowego, naruszając m.in. zasadę swobodnej oceny dowodów i prawdy obiektywnej, co w konsekwencji prowadziło do przyjęcia, iż Skarżąca nie usunęła i przetwarza dane osobowe w zakresie numeru PESEL osób, które dokonały rezerwacji w celu zakupu biletu za przejazd w sposób naruszający przepisy o ochronie danych osobowych",

2. art. 151 w zw. z art. 141 § 4 i art. 134 § 1 p.p.s.a. - wobec nieprzedstawienia w uzasadnieniu zaskarżonego wyroku takich ustaleń i dowodów, jakie mogłyby przemawiać za oddaleniem skargi - nie będąc związanym zarzutami skargi, wnioskami oraz wobec całkowicie dowolnego przyjęcia, że:

1) nie można przyznać racji skarżącej, że zasadnym jest przetwarzanie przez nią pozyskanych numerów PESEL, jako loginu, w celu prowadzenia rozliczeń finansowych;

2) nie podziela się argumentów Spółki, że organ w zaskarżonej decyzji nie uwzględnił, że przetwarza ona pozyskane wcześniej dane osobowe w zakresie numeru PESEL, które dokonały rezerwacji w celu zakupu biletu przez Internet, na potrzeby ewentualnej kontroli skarbowej,

3. art. 141 § 4 p.p.s.a. w zw. z art. 7, 8, 77 § 1 i art. 80 oraz 107 § 3 k.p.a. - poprzez wadliwe sporządzenie uzasadnienia zaskarżonego wyroku, z uwagi na brak odniesienia się przez Sąd I instancji do zarzutów zawartych w skardze, związanych z naruszeniem wskazanych wyżej przepisów postępowania, dotyczących niedostatecznego wyjaśnienia podstaw i przesłanek utrzymania w mocy decyzji, błędnym uzasadnieniem wydanej decyzji poprzez brak podania przyczyn, z powodu których organ odmawia wiarygodności i mocy dowodowej wyjaśnieniom skarżącej, niedostatecznym wyjaśnieniu wszystkich okoliczności sprawy – nieustalenia, czy i w jakim zakresie skarżąca przetwarza obecnie dane osobowe w postaci nr PESEL, czy ewentualnie jest to przetwarzanie danych osobowych zgodne z prawem i tym samym uniemożliwienie przeprowadzenia kontroli instancyjnej zaskarżonego wyroku,

II. prawa materialnego, to jest:

a) art. 145 § 1 pkt 1) lit. a p.p.s.a. w zw. z art. 26 ust. 1 pkt 1) ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm., dalej cyt. jako "u.o.d.o.") - poprzez jego błędną wykładnię i przyjęcie, że pozyskując numery PESEL od osoby dokonującej rezerwacji w celu zakupu biletu na przejazd C. przetwarza dane osobowe niezgodnie z przepisami ustawy - Prawo przewozowe,

b) art. 145 § 1 pkt 1) lit. a p.p.s.a. w zw. z art. 26 ust. 1 pkt 3) u.o.d.o. - poprzez jego błędną wykładnię i przyjęcie, że wykorzystanie przez skarżącą numeru PESEL klientów, jako jednego z możliwych loginów do systemu komputerowego C. służącego do przetwarzania danych osobowych w związku z rezerwacją biletów przez Internet narusza zasadę adekwatności przetwarzanych danych osobowych, podczas gdy w rzeczywistości dane osobowe w postaci numeru PESEL klienta logującego się do systemu są w pełni adekwatne w stosunku do celu ich przetwarzania,

c) art. 145 § 1 pkt 1) lit. a p.p.s.a. w zw. z art. 36 ust. 1 u.o.d.o. - poprzez jego błędną wykładnię i przyjęcie, że wykorzystanie przez skarżącą numeru PESEL klientów, jako jednego z możliwych loginów do systemu komputerowego C. służącego do przetwarzania danych osobowych w związku z rezerwacją biletów przez Internet narusza obowiązek zastosowania odpowiednich środków technicznych i organizacyjnych zapewniających ochronę danych osobowych przetwarzanych przez administratora danych osobowych,

d) art. 145 § 1 pkt 1) lit. a p.p.s.a. w zw. z art. 23 ust. 1 pkt 2) u.o.d.o. w zw. z art. § 2 ust. 1 Rozporządzenia Ministra Finansów z dnia 29 listopada 2012 r. w sprawie zwolnień z obowiązku prowadzenia ewidencji przy zastosowaniu kas rejestrujących (Dz.U. z 2012 r. poz. 1382), obowiązującym do dnia 1 stycznia 2015 r. oraz pkt 43 załącznika do niniejszego rozporządzenia -poprzez jego błędną wykładnię i nakazanie skarżącej usunięcia danych osobowych w zakresie numeru PESEL osób, które dokonały rezerwacji w celu zakupu biletu za przejazd, w sytuacji, gdy przepis prawa nakłada na skarżącą obowiązek przechowywania danych umożliwiających jednoznaczną identyfikację dokonanych czynności (obowiązek przechowywania takiej dokumentacji przez czas wskazany w przepisach podatkowych), podczas gdy aktualnie nie jest możliwa zmiana danych klientów na inne dane, mogące służyć takiej identyfikacji.

Wskazując na powyższe podstawy kasacyjne, skarżąca wnosiła o uchylenie zaskarżonego wyroku i rozpoznanie skargi ewentualnie o uchylenie wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie i przekazanie sprawy temuż Sądowi do ponownego rozpoznania – wraz z zasądzeniem zwrotu kosztów postępowania.

W odpowiedzi na skargę kasacyjną, Generalny Inspektor Ochrony Danych Osobowych wnosił o jej oddalenie.

Naczelny Sąd Administracyjny zważył, co następuje:

Zgodnie z art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (tekst jedn. Dz. U. z 2017 r., poz. 1369) Naczelny Sąd Administracyjny związany jest podstawami skargi kasacyjnej, z urzędu zaś bierze pod uwagę jedynie nieważność postępowania. W niniejszej sprawie żadna z wymienionych w art. 183 § 2 p.p.s.a. przesłanek nieważności postępowania nie zaistniała, wobec czego kontrola Naczelnego Sądu Administracyjnego ograniczyła się wyłącznie do zbadania zasadności zawartych w skardze kasacyjnej zarzutów.

Zarzuty te oparte zostały na obu podstawach kasacyjnych, określonych w art. 174 pkt 1 i 2 p.p.s.a. i okazały się nieuzasadnione.

Odnosząc się w pierwszej kolejności do zarzutów procesowych, określonych jako naruszenie art. 145 § 1 pkt 1) lit. c i § 2 i art. 141 § 4 p.p.s.a. w związku z art. 6, 7, 8, 77 § 1 i art. 80 w zw. z art. 86 oraz 107 § 3 k.p.a. oraz art. 151 w zw. z art. 141 § 4 i art. 134 § 1 p.p.s.a. wyjaśnić należy, że nie zawierały one praktycznie żadnego, konkretnego uzasadnienia. Wskazując na naruszenie w/w przepisów, autor skargi kasacyjnej posługiwał się bowiem albo argumentacją bardzo ogólnikową, albo w istocie rzeczy uzasadniał je poprzez odnoszenie się do zagadnień prawa materialnego. W związku z tym twierdzenia, sprowadzające się do wypowiedzi, że Sąd Wojewódzki (cyt.): "nie uwzględnił, że materiał dowodowy nie został zebrany w sposób pełny, został błędnie ustalony", “dokonano dowolnej oceny zebranego w sprawie materiału dowodowego", Sąd “nie przedstawił w uzasadnieniu zaskarżonego wyroku takich ustaleń i dowodów, jakie mogłyby przemawiać za oddaleniem skargi – nie będąc związanym zarzutami skargi", czy też, że Sąd I instancji wadliwie sporządził uzasadnienie zaskarżonego wyroku, z uwagi na brak odniesienia się (cyt.): “do zarzutów zawartych w skardze, związanych z naruszeniem przepisów postępowania", chociaż Sąd Wojewódzki w tej kwestii właśnie się wypowiedział, a ustalenia faktyczne dokonane w niniejszej sprawie były wystarczające do rozstrzygnięcia merytorycznego zaś uzasadnienia zaskarżonego wyroku oraz zaskarżonej decyzji odpowiadały wymogom (odpowiednio) Prawa o postępowaniu administracyjnym i procedurze administracyjnej a zatem nie mogły spowodować, aby powyższe zarzuty procesowe można było uznać za zasadne.

W niniejszej sprawie niewątpliwie kluczową kwestią pozostawała wykładnia prawa materialnego. Przy czym istotna była również okoliczność, że po stwierdzeniu przez Generalnego Inspektora Ochrony Danych Osobowych w decyzji z dnia 30 lipca 2014 r., iż skarżąca Spółka, jako administrator danych osobowych osób, korzystających z rezerwacji i zakupu biletu przez stronę internetową o adresie: [...] naruszyła 26 ust. 1 pkt 1 i pkt 3 u.o.d.o. poprzez przetwarzanie numeru PESEL osoby dokonującej rezerwacji w celu zakupu biletu na przejazd, a poprzez niezastosowanie odpowiednich środków technicznych i organizacyjnych w celu zabezpieczenia danych osobowych przetwarzanych w związku z procesem logowania się do systemu informatycznego o nazwie C. - art. 36 ust. 1 u.o.d.o., skarżąca zaprzestała dotychczasowej w tym zakresie praktyki. Wnosząc bowiem wniosek o ponowne rozpatrzenie sprawy, oświadczyła, że (cyt.): "po wszczęciu postępowania przez Generalnego Inspektora Spółka zaprzestała całkowicie pozyskiwania numerów PESEL od swoich klientów". Powyższe dowodzi zatem, że w rzeczywistości skarżąca zgodziła się z wykładnią powyższych przepisów ustawy o ochronie danych osobowych, dokonaną przez organ a następnie przez Sąd Wojewódzki, wniesienie zaś skargi na tę część decyzji GIODO z dnia 30 października 2014 r., w której organ utrzymał w mocy swoją pierwotną decyzję (to jest tę część decyzji, w której organ nakazał skarżącej usunięcie danych osobowych w zakresie numeru PESEL osób, które dokonały rezerwacji w celu zakupu biletu na przejazd – w terminie 30 dni od dnia, w którym wskazana decyzja stanie się ostateczna), podyktowana była innymi względami. Treść skargi oraz skargi kasacyjnej wskazuje, że skarżąca obawiała się w przyszłości zaistnienia kłopotów w przypadku kontroli finansowej.

W związku z powyższym wyjaśnić należy, że ustawa o ochronie danych osobowych określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 u.o.d.o.). Przetwarzanie może być uznane za zgodne z prawem jedynie wówczas, gdy administrator danych wykaże się spełnieniem co najmniej jednej z materialnych przesłanek przetwarzania danych osobowych. Przesłanki te zaś zostały enumeratywnie wymienione w art. 23 ustawy - w przypadku danych zwykłych oraz w art. 27 ustawy - w przypadku danych wrażliwych.

Zaskarżona do Sądu Wojewódzkiego decyzja została oparta na art. 26 ust. 1 pkt 1 i pkt 3 oraz art. 36 ust. 1 u.o.d.o. Zgodnie zaś z treścią art. 26 ust. 1 pkt 1 u.o.d.o., administrator danych, przetwarzający dane, powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem, a także merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane.

Jak przyjmuje się przy tym w orzecznictwie i doktrynie (vide np. Janusz Barta, Paweł Fajgielski, Ryszard Markiewicz – Komentarz do art. 26 ustawy o ochronie danych osobowych, System Informacji LEX 2015, wyd. VI) art. 26 u.o.d.o wyraża główne zasady obowiązujące przy przetwarzaniu danych osobowych. Należą do nich zasady: legalności (pkt 1), celowości (pkt 2), merytorycznej poprawności (pkt 3), adekwatności (pkt 3) i ograniczenia czasowego stron (pkt 4). W analizowanej sprawie szczególne znaczenie dla rozstrzygnięcia miały zasady legalności i adekwatności. Pierwsza z nich polega na tym, iż przetwarzanie danych osobowych musi być zgodne z prawem, rozumianym jako wszystkie normy obowiązujące w danym porządku prawnym (ustawowe i pozaustawowe) i to zarówno w dacie wejścia w życie ustawy o ochronie danych osobowych jak i w okresie jej już obowiązywania. Zasada adekwatności (relewantności) danych oznacza, że rodzaj i treść danych nie powinna wykraczać poza potrzeby, wynikające z celów ich zbierania. Zatem nie można zbierać danych zarówno dla celów nieistniejących, jak i nie mających znaczenia oraz danych o większym – niż uzasadniony w danym przypadku stopniu szczegółowości. W tym ostatnim przypadku chodzi więc o zakaz przetwarzania danych, które wykraczają poza potrzeby związane z danym stosunkiem prawnym.

Przenosząc powyższe na grunt rozpoznawanej sprawy należy zgodzić się zarówno z Sądem Wojewódzkim jak i z organem, że skarżąca Spółka - jako administrator danych osobowych osób korzystających z rezerwacji i zakupu biletu przez Internet - przetwarzała te dane z naruszeniem zarówno zasady legalności jak i adekwatności, wynikających z treści art. 26 ust. 1 pkt 1 i pkt 3 u.o.d.o. Skarżąca świadczyła bowiem usługi związane z odpłatnym przewozem osób na podstawie umowy przewozu. Zgodnie zaś z art. 16 ust. 2 ustawy z dnia 15 listopada 1984 r. Prawo przewozowe (Dz. U. z 2000 r. Nr 50, poz. 601 ze zm.), umowa przewozu zawierana jest poprzez nabycie biletu na przejazd, na którym umieszcza się: nazwę przewoźnika, relację lub strefę przejazdu, wysokość należności za przejazd, zakres uprawnień pasażera do ulgowego przejazdu. Wprawdzie, na zasadzie art. 16 ust. 3 Prawa przewozowego, na bilecie mogą być także umieszczane inne informacje, w tym dane osobowe pasażera, ale tylko jeżeli jest to niezbędne dla przewoźnika lub organizatora w regularnym przewozie osób. Takiego zaś wymogu nie przewidywał obowiązujący w skarżącej Spółce "Regulamin przewozu osób i bagażu w komunikacji regularnej C.", a będący regulaminem - w rozumieniu art. 4 ustawy Prawo przewozowe. Zgodnie bowiem z treścią w/w Regulminu, biletem stanowiącym dowód zawarcia umowy przewozu pomiędzy przewoźnikiem a podróżnym jest plik wygenerowany przez system, zawierający następujące dane: dane przewoźnika, imię i nazwisko podróżnego, data i godzina wyjazdu, cena, liczba zakupionych biletów oraz specjalny numer unikatowy (numer transakcji zakupu biletu.

W tym miejscu wskazać także trzeba, że wymóg, aby skarżąca – działająca jako przewoźnik – zawierając umowę przewozu osób musiała uzyskać od kontrahenta informację o jego numerze PESEL nie wynika również z treści przepisów powołanego przez nią rozporządzenia Ministra Finansów z dnia 29 listopada 2012 r. w sprawie zwolnień z obowiązku prowadzenia ewidencji przy zastosowaniu kas rejestrujących (Dz.U. z 2012 r. poz. 1382), który obowiązywał do dnia 1 stycznia 2015 r. ani z pkt 43 załącznika do w/w rozporządzenia. Skarżąca Spółka - jako podatnik - korzystała wprawdzie ze zwolnienia z obowiązku ewidencjonowania czynności, wynikających z pkt II pozycji 43 załącznika do rozporządzenia Ministra Finansów z dnia 29 listopada 2012 r. w sprawie zwolnień z obowiązku prowadzenia ewidencji przy zastosowaniu kas rejestrujących, który przewidywał zwolnienie z obowiązku ewidencjonowania za pomocą kas rejestrujących sprzedaży biletów i rezerwacji miejsc przy przewozach rozkładowych pasażerskich, pod warunkiem że zapłaty za wykonaną czynność dokonano w całości za pośrednictwem: poczty, banku lub spółdzielczej kasy oszczędnościowo-kredytowej (odpowiednio na rachunek bankowy podatnika lub na rachunek podatnika w spółdzielczej kasie oszczędnościowo-kredytowej, której jest członkiem), ale nie oznaczało to jeszcze wymogu prawnego by w ewidencji tej był wykazywany nr PESEL pasażera. Naczelny Sąd Administracyjny pragnie też przy tym podkreślić, że skoro skarżąca dokonuje sprzedaży biletów za pośrednictwem systemu rezerwacji internetowej (strony internetowej o adresie [...]) a w ten sposób zakupiony bilet stanowi plik wygenerowany z systemu informatycznego o nazwie [...] który zawiera: dane przewoźnika, imię i nazwisko podróżnego, data i godzina wyjazdu, cena, liczba oraz rodzaj zakupionych biletów, a także specjalny unikatowy numer transakcji zakupu, to należy stwierdzić, iż powyższe informacje w sposób jednoznaczny potwierdzały i potwierdzają nadal fakt zawarcia transakcji zakupu biletu.

Dodać też w tym miejscu trzeba, że orzecznictwo sądowoadministarcyjne od szeregu lat zajmuje stanowisko, że żadne względy natury organizacyjno-finansowej nie powinny być traktowane jako podstawy do sprzecznego z prawem przetwarzania danych osobowych (vide: wyrok NSA z dnia 4 marca 2002 r., sygn. akt II SA 3144/01).

W tych warunkach niewątpliwie, pozyskiwanie przez skarżącą numeru PESEL pasażera (kontrahenta umowy przewozu) musi być postrzegane jako nieuprawnione i całkowicie zbędne. Informacja zawarta we wspomnianym wyżej numerze zbyt dokładnie (zbyt szczegółowo) identyfikuje bowiem kontrahenta umowy jako kontrahenta umowy przewozu. O tym zresztą, że informacja ta jest nieadekwatna do rodzaju stosunku prawnego nawiązywanego poprzez zawarcie umowy przewozu, w trybie sprzedaży biletów poprzez Internet, świadczy też ewidentnie fakt, że po wydaniu decyzji przez Generalnego Inspektora Ochrony Danych Osobowych w dniu 30 lipca 2014 r. skarżąca zaprzestała stosowania praktyki, polegającej na tym, że numer PESEL nabywcy biletu wykorzystywany był jako login kontrahenta.

Powyższe prowadzi też do wniosku, że niezasadny okazał się także zarzut naruszenia przez Sąd Wojewodzki art. 145 § 1 pkt 1 lit. a p.p.s.a. w związku z art. 36 ust. 1 u.o.d.o., zgodnie bowiem z tym ostatnim przepisem, administrator obowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetworzonych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabezpieczyć przed osobami nieuprawnionymi, przetworzeniem z naruszeniem ustawy oraz zmianą, utratą uszkodzeniem lub zniekształceniem. Skoro zaś, jak wyżej wskazano, posiadanie przez skarżącą Spółkę informacji o numerze PESEL nabywcy biletu w trybie sprzedaży internetowej, nie było – w ogóle - uprawnione a zatem dowodziło, że skarżąca przetwarzała je z naruszeniem ustawy, to nie można było, już co do zasady, rozważać, czy środki zabezpieczające te dane przez skarżącą były “odpowiednie do zagrożeń".

Biorąc powyższe pod uwagę, Naczelny Sad Administracyjny – z mocy art. 184 p.p.s.a. – orzekł jak w sentencji.

Rozstrzygnięcie o kosztach postępowania kasacyjnego oparto na art. 204 pkt 1 p.p.s.a.