Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Maria Werpachowska, Sędziowie WSA Anna Mierzejewska (spr.), Eugeniusz Wasilewski, Protokolant Agnieszka Kolasa, po rozpoznaniu na rozprawie w dniu 12 listopada 2007 r. sprawy ze skargi T. S. A. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] maja 2007 r. nr [...] w przedmiocie ochrony danych osobowych oddala skargę

Generalny Inspektor Ochrony Danych Osobowych, decyzją nr [...] z dnia [...] maja 2007 r., na podstawie art. 138 § 1 pkt 2 w zw. z art. 12 pkt 2, art. 22 i art. 18 ust. 1 pkt 2 w zw. z art. 23 ust. 1 pkt 2 oraz art. 26 ust. 1 pkt 1 i 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 ze zm.), w związku z art. 159 ust. 2 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2004 r., Nr 171, poz. 1800 ze zm.), po przeprowadzeniu postępowania administracyjnego z wniosku T. S.A. z siedzibą w W. przy ulicy [...] o ponowne rozpatrzenie sprawy zakończonej decyzją z dnia [...] listopada 2006 r. nr [...], mocą której Generalny Inspektor Ochrony Danych Osobowych nakazał T. S.A. nieudostępnianie w przyszłości podmiotom trzecim danych osobowych jej abonentów – konsumentów w rozumieniu art. 221 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. Nr 16, poz. 93 ze zm.) w zakresie ich numerów telefonów bez spełnienia jednej z przesłanek z art. 23 ust. 1 ustawy o ochronie danych osobowych:

1. uchylił w całości zaskarżoną decyzję z dnia [...] listopada 2006 r.

2. nakazał T. S.A. zaprzestanie udostępniania osobom trzecim numerów telefonów użytkowników osób fizycznych bez spełnienia jednego z warunków określonych w art. 159 ust. 2 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2004 r., Nr 171, poz. 1800 ze zm.).

W uzasadnieniu organ podał, że ustalono, iż w sierpniu 2004 r. T. S.A. wprowadziła usługę baz danych zawierających numery osób prywatnych – abonentów indywidualnych T. S.A., na stronie internetowej [...] spółka zamieściła ofertę sprzedaży "baz danych [...]", skierowaną do "firm badawczych i telemarketingowych, agencji reklamowych BTL, firm ubezpieczeniowych oraz banków. W ramach tej usługi proponowała "udostępnianie numerów telefonów abonentów prywatnych [...]". Poprzez tę usługę spółka przygotowuje bazę numerów telefonów zgodną ze złożonym zamówieniem i następnie na nośniku CD przekazywaną klientowi za protokołem odbioru. Numery telefonów mogą zostać wybrane lub posortowane według kryteriów geograficznych. Spółka oferuje również usługę "uzupełnienia baz danych" posiadanych przez podmioty zewnętrzne o numery telefonów abonentów T. S.A.

Jako podstawę powyższego przekazania numerów telefonów abonentów spółka wskazała art. 66 i 67 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2004 r. Nr 171, poz. 1800 ze zm.), oraz zgodę osoby, której dane dotyczą na publikacje danych w powszechnie dostępnych spisach abonentów bądź brak sprzeciwu takiej osoby na takie udostępnienie.

Na podstawie zebranego materiału Generalny Inspektor Ochrony Danych Osobowych, w dniu [...] listopada 2006 r. wydał decyzję [...] i nakazał T. S.A. nieudostępnianie w przyszłości podmiotom trzecim danych osobowych jej abonentów – konsumentów w rozumieniu art. 221 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. Nr 16, poz. 93 ze zm.) w zakresie ich numerów telefonów bez spełnienia jednej z przesłanek z art. 23 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U z 2002 r. Nr 101, poz. 926 ze zm.).

T. S.A. w stosunku do powyższej decyzji złożyła wniosek o ponowne rozpatrzenie, zarzucając:

- naruszenie art. 2 pkt 30, art. 103 i 66 ustawy Prawo telekomunikacyjne, polegające na ich nieuwzględnieniu,

- naruszenie art. 18 ust. 1 ustawy o ochronie danych osobowych,

- naruszenie art. 192 ust. 1 pkt 1 w zw. z art. 209 ust. 1 pkt 24 i 210 ust. 1 ustawy Prawo telekomunikacyjne oraz art. 5 ustawy o ochronie danych osobowych.

Spółka podkreśliła ponadto, że nie GIODO, ale Prezes UKE ma uprawnienia do zajmowania się wszelkimi naruszeniami tajemnicy telekomunikacyjnej, na co wskazuje art. 209 ust. 1 pkt 4 ustawy Prawo telekomunikacyjne.

Ponownie rozpoznając sprawę organ wskazał, że zgodnie z treścią art. 159 ust. 1 Prawa telekomunikacyjnego dane osobowe abonentów T. S.A. w postaci ich numerów telefonów objęte są tajemnicą telekomunikacyjną, w stosunku do których ustawodawca wprowadził zakaz przetwarzania, bez spełnienia jednego z warunków, o których mowa w art. 159 ust. 2 Prawa telekomunikacyjnego.

Następnie organ podkreślił, że zakwestionował nie usługę określoną w zacytowanych przepisach, ale działanie spółki, które polegało na opracowaniu specjalnych zbiorów danych użytkowników tj. sporządzaniu baz danych abonentów prywatnych [...], przeznaczonych do sprzedaży, które mają ułatwić potencjalnym nabywcom przedmiotowych baz pozyskiwanie nowych klientów, prowadzenie badań marketingowych, promocje, czy też reklamę. Jest to zupełnie odmienna usługa niż wskazana w art. 66 Prawa telekomunikacyjnego.

Zgodnie z art. 169 ust. 1 pkt 1 Prawa telekomunikacyjnego numer telefonu abonenta to jego dane osobowe.

Dalej GIODO powołał art. 12 dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady Unii Europejskiej z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i prywatności w sektorze łączności elektronicznej (Dz. Urz. WE L 201 z 31 lipca 2002 r.). Przepis ten stanowi, że państwa członkowskie powinny zapewnić, aby abonenci zostali bezpłatnie poinformowani, zanim ich dane zostaną umieszczone w spisie abonentów, o celach sporządzonego w formie drukowanej lub elektronicznej powszechnie udostępnianego spisu. Ponadto przed umieszczeniem danych abonenta w spisie powinien on zostać poinformowany o wszelkich dalszych możliwościach wykorzystania ich danych osobowych w oparciu o funkcje wyszukiwania znajdującej się w wersji elektronicznej spisu.

Wskazał również na treść pkt 38 i 39 preambuły omawianej dyrektywy.

W ocenie GIODO w świetle cytowanych przepisów, prawo T. S.A. do przetwarzania danych osobowych swoich abonentów, nie jest prawem nieograniczonym.

Wskazał również, że zgoda jakiej w przedmiotowej sprawie udzielają abonenci na umieszczenie ich danych w "ogólnokrajowym spisie abonentów" nie może być utożsamiana ze zgodą na udostępnienie ich danych osobowych w ramach kwestionowanej usługi "sprzedaży baz danych". W orzecznictwie Naczelnego Sądu Administracyjnego utrwalił się pogląd, że zgoda na udostępnienie danych osobom trzecim musi być odrębnym od postanowień umownych oświadczeniem woli abonenta, nie musi on bowiem godzić się na udostępnienie swych danych osobom trzecim. Zgoda na przekazywanie danych musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażenia.

Zdaniem organu, nieuprawnionym jest utożsamianie zgody abonenta, na umieszczenie jego danych osobowych w spisach, o których mowa w art. 169 prawa telekomunikacyjnego, wydawanych w formie książkowej lub elektronicznej, ze zgodą na bezpośrednie udostępnianie przez administratora danych, jego danych podmiotom trzecim.

GIODO podkreślił, że to dwie różne usługi świadczone w dwóch różnych od siebie celach. Tylko pierwsza usługa znajduje swoje podstawy w przepisach Prawa telekomunikacyjnego.

Natomiast zgodnie z art. 26 ust. 1 pkt 2 ustawy o ochronie danych osobowych, zakazane jest przetwarzanie danych osobowych w celach niezgodnych z celem, dla którego dane zostały zebrane.

Powyższa decyzja stała się przedmiotem skargi wniesionej do Wojewódzkiego Sądu Administracyjnego w Warszawie, w której skarżący wniósł o stwierdzenie jej nieważności lub o jej uchylenie.

Decyzji zarzucił naruszenie prawa procesowego, tj. art. 192 ust. 1 pkt 1 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz. U. Nr 171, poz. 1800 ze zm.) w zw. z art. 209 ust. 1 pkt 24 i 210 ust. 1 Prawa telekomunikacyjnego, art. 5 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) w związku z art. 156 § 1 pkt 1 Kodeksu postępowania administracyjnego, prawa procesowego art. 18 ust. 1 pkt 2 ustawy o ochronie danych osobowych w związku z art. 156 § 1 pkt 5, prawa materialnego, tj. art. 103 Prawa telekomunikacyjnego.

W uzasadnieniu skargi T. S.A. podkreśliła, że GIODO nie jest organem właściwym w sprawie, wskazując, że właściwy do wydania decyzji w sprawie jest Prezes Urzędu Komunikacji Elektronicznej. Z art. 192 Prawa telekomunikacyjnego wynika, że zakresem działania Prezesa UKE są w praktyce wszystkie zagadnienia dotyczące regulacji i funkcjonowania rynku telekomunikacyjnego. O uprawnieniach Prezesa UKE do zajmowania się wszystkimi przypadkami naruszeń tajemnicy telekomunikacyjnej świadczy również treść art. 209 ust. 1 pkt 24, który uprawnia Prezesa UKE do nałożenia kary pieniężnej za naruszenie tajemnicy telekomunikacyjnej, bez względu na to, kim jest pokrzywdzony użytkownik.

Dalej spółka wskazała, że nakaz zaskarżonej decyzji, nie został sformułowany prawidłowo, nie wynika z niego jasno, jakie konkretne warunki muszą zostać spełnione, aby dane mogły lub nie mogły być udostępnione.

Spółka podniosła również, że zakaz sformułowany w decyzji jest sprzeczny z art. 103 Prawa telekomunikacyjnego, a zgodnie z art. 66 ust. 1 i 2 Prawa telekomunikacyjnego wynika obowiązek dostawcy publicznie dostępnych usług telefonicznych w sieci stacjonarnej udostępniania spisu swoich abonentów oraz udzielania spisu swoich abonentów.

W odpowiedzi na skargę organ wniósł o jej oddalenie, przytaczając argumenty zawarte w uzasadnieniu zaskarżonej decyzji.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Zgodnie z brzmieniem art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to w dacie jej wydania. Innymi słowy, sąd administracyjny nie orzeka co do istoty sprawy w zakresie danego przypadku, lecz jedynie kontroluje rozstrzygnięcie zapadłe w sprawie z punktu widzenia jego zgodności z prawem materialnym i obowiązującymi przepisami.

Skarga analizowana pod tym kątem nie zasługuje na uwzględnienie.

W ocenie Sądu przede wszystkim nieuprawniony jest pogląd prezentowany przez skarżącą spółkę T. S.A., że Generalny Inspektor Ochrony Danych Osobowych nie był właściwym organem do wydania decyzji w przedmiotowej sprawie.

Zgodnie z art. 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U z 2002 r. Nr 101, poz. 926 ze zm.), jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw.

W powołanym wyżej przepisie została zawarta reguła, postępowania w przypadku kolizji ustaw we wskazanym zakresie – czyli ustawodawca przewiduje zasadę rozstrzygania zbiegu norm na korzyść tych norm, które przewidują wyższy poziom ochrony prawnej. W przedmiotowej sprawie dalej idącą ochronę niż ustawa o ochronie danych osobowych, przewiduje art. 161 Prawa telekomunikacyjnego, odnoszący się do przetwarzania danych abonentów przez operatora sieci telefonicznej, to jednak nie można z regulacji tej wyprowadzić wniosku, że przepisami przewidującymi dalej idącą ochronę niż ustawa o ochronie danych osobowych jest art. 192 ust. 1 pkt 1 w zw. z art. 209 ust. 1 pkt 24 i 210 ust. 1 Prawa telekomunikacyjnego. Powołane przepisy mają charakter kompetencyjny – określają kompetencje Prezesa UKE, natomiast nie odnoszą się do przetwarzania danych osobowych.

Zgodnie z art. 12 uodo, do zadań Generalnego Inspektora w szczególności należy:

1. kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych,

2. wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonywania przepisów o ochronie danych osobowych,

3. prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach,

4. opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych,

5. inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych,

6. uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.

Z cytowanego przepisy wynika, że GIODO jest w polskim prawie jedynym organem ochrony danych osobowych, który jest upoważniony z urzędu lub na wniosek osoby zainteresowanej do nakazania administratorowi danych – w drodze decyzji – przywrócenie stanu zgodnego z prawem przez uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych.

Podkreślić należy, że w wydanej decyzji zakwestionowane zostało działanie spółki, które polegało na opracowaniu specjalnych zbiorów danych użytkowników, tj. sporządzenie baz danych abonentów prywatnych, przeznaczonych do sprzedaży, która ma ułatwić potencjalnym nabywcom przedmiotowych baz danych pozyskiwanie nowych klientów, prowadzenie badań marketingowych, promocję czy reklamę. Jest to w sposób oczywisty odmienna usługa niż określona w art. 66 Prawa telekomunikacyjnego, zgodnie z którym – dostawca publicznie dostępnych usług telefonicznych w sieci stacjonarnej udostępnia swoim abonentom, po cenie uwzględniającej koszty, aktualny spis swoich abonentów z obszaru strefy numeracyjnej, w której znajduje się zakończenie sieci abonenta, nie rzadziej niż raz na dwa lata.

Zgodnie art. 169 ust. 1 pkt 1 Prawa telekomunikacyjnego, numer telefonu abonenta to jego dane osobowe.

W ocenie Sądu zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych których dane są lub mogą być przetwarzane w zbiorach danych określa ustawa o ochronie danych osobowych (art. 2 ust. 1 uodo).

Z powyższego należy wyprowadzić wniosek, że GIODO był nie tylko uprawniony, ale przede wszystkim zobowiązany przepisami prawa do kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i wydawania decyzji w przypadku stwierdzenia naruszenia przepisów o ochronie danych osobowych (art. 12 pkt 1 i 2 oraz art. 18 ust. 1 uodo).

W zaskarżonej decyzji GIODO słusznie zakwestionował przetwarzanie przez T. S.A. danych osobowych swoich abonentów w celach marketingowych, a nie w celach związanych ze świadczoną usługą "spisu abonentów".

Organ prawidłowo wskazał, że spółka świadczy dwie usługi:

- usługę związaną z realizacją ogólnokrajowego spisu abonentów,

- usługę związaną z pozyskiwaniem danych abonentów w celu zupełnie odmiennym, komercyjnej sprzedaży baz danych. Usługi tej nie obejmują przepisy ustawy Prawo telekomunikacyjne i dlatego słusznie została zakwestionowana przez GIODO.

W ocenie Sądu również nie zasługuje na uwzględnienie podniesiony w skardze zarzut naruszenia art. 18 ust. 1 pkt 2 uodo, ponieważ decyzja formułuje jednoznaczny nakaz przez T. S.A. zaprzestania udostępniania osobom trzecim numerów telefonów użytkowników, bez spełnienia jednego z warunków określonych w art. 159 ust. 2 Prawa telekomunikacyjnego.

Postępowanie administracyjne prowadzone przez GIODO nie wykazało aby T. S.A. świadcząc usługę sprzedaży, legitymowała się którąkolwiek z przesłanek określonych we wskazanym artykule.

Należy się zgodzić, że po spełnieniu co najmniej jednej z przesłanek z art. 159 ust. 2 Prawa telekomunikacyjnego, można uznać, że działanie spółki jest zgodne z ustawą o ochronie danych osobowych.

Podkreślić również należy, że użytkownicy nie wyrazili zgody i nie byli informowani o usłudze komercyjnej sprzedaży baz danych.

Również nie można zgodzić się zarzutem naruszenia art. 103 Prawa telekomunikacyjnego.

Zgodnie z powołanym artykułem T. S.A. jest przedsiębiorcą wyznaczonym przez UKE, zobowiązanym do świadczenia wszystkim użytkownikom publicznym usługi ogólnokrajowego spisu abonentów i usługi ogólnokrajowej informacji o numerach telefonicznych i ta usługa nie została zakwestionowana przez organ.

W tym miejscu należy podkreślić, że art. 159 Prawa telekomunikacyjnego, określa co obejmuje tajemnicę telekomunikacyjną. Z treści cytowanego artykułu wynika, że dane osobowe abonentów T. S.A. w postaci ich numerów telefonów objęte są tajemnicą komunikacyjną, w stosunku do której ustawodawca wprowadził zakaz przetwarzania, w tym ich opracowywania, bez spełnienia jednego z warunków, o którym mowa w art. 159 ust. 2 Prawa telekomunikacyjnego.

Czyli zakazane jest zapoznawanie się, utrwalanie, przechowywanie, przekazywanie lub inne wykorzystywanie treści lub danych objętych tajemnicą telekomunikacyjną przez inne osoby niż nadawca i odbiorca komunikatu chyba że:

1. będzie to przedmiotem usługi lub będzie to niezbędne do jej wykonania,

2. nastąpi za zgodą nadawcy lub odbiorcy których dane dotyczą,

3. wykonywanie tych czynności jest niezbędne w celu zarejestrowania komunikatów i związanych z nimi danych transmisyjnych stosowanego w zgodnej z prawem praktyce handlowej dla celów zapewnienia dowodów transakcji handlowej,

4. będzie to konieczne z innych powodów przewidzianych ustawą lub przepisami odrębnymi.

Zgodnie z art. 23 ust. 1 pkt 2 uodo, sprzedaż baz danych jest dopuszczalna, gdy spółka spełni co najmniej jedną z przesłanek określonych w art. 159 ust. 2 Prawa telekomunikacyjnego. Zasadniczym warunkiem legalności każdej czynności mieszczącej się w przetwarzaniu danych osobowych jest zaistnienie którejkolwiek z materialnych przesłanek legalności przetwarzania danych osobistych wymienionych w art. 23 ust. 1 pkt 1-5. Czyli przetwarzanie danych jest dopuszczalne tylko wtedy, gdy np. jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z Prawa telekomunikacyjnego.

Natomiast zasady postępowania przy przetwarzaniu danych osobowych, które to dane osobowe są lub mogą być przetwarzane reguluje art. 2 ust. 1 uodo.

Również należy zgodzić się z GIODO, że działanie spółki pozostaje w sprzeczności z art. 12 dyrektywy 2002/58/WE parlamentu Europejskiego i Rady Unii Europejskiej z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i prywatności w sektorze łączności elektronicznej (Dz. U. Urz. WE L 201 z 31 lipca 2002 r.). Przepis ten stanowi m.in., że państwa członkowskie powinny zapewnić, aby abonenci zostali bezpłatnie poinformowani, zanim ich dane zostaną umieszczone w spisie abonentów, o celach sporządzonego w formie drukowanej lub elektronicznej powszechnie udostępnianego spisu. Ponadto przed umieszczeniem danych abonenta w spisie powinien on zostać poinformowany o wszelkich dalszych możliwościach wykorzystania ich danych osobowych w oparciu wyszukiwania znajdującej się w wersji elektronicznej spisu. Ponadto powinny żądać, żeby dla każdego celu publicznego spisu abonentów innego niż poszukiwanie danych kontaktowych osób na podstawie ich nazwiska, a jeżeli jest to niezbędne, również na podstawie ich danych identyfikacyjnych, wymagać dodatkowej odrębnej zgody.

Z powyższego wynika, że prawo T. S.A. do przetwarzania danych osobowych swoich abonentów nie jest nieograniczone i przy jego realizacji spółka musi się stosować nie tylko do uregulowań zawartych w Prawie telekomunikacyjnym, ale i przepisów o ochronie danych osobowych oraz dyrektyw.

Słusznie organ podkreślił, że przedmiotowa usługa wymagała dodatkowej zgody. Na pewno nie można utożsamiać zgody na umieszczenie danych w ogólnokrajowym spisie abonentów, na udostępnienie ich danych osobowych w ramach usługi sprzedaży baz danych.

W tym miejscu wskazać należy, że zgodnie z ugruntowanym orzecznictwem Naczelnego Sądu Administracyjnego zgoda na przetwarzanie danych osobowych musi mieć charakter wyraźny, a jej aspekty muszą być jasne dla podpisującego w momencie wyrażania zgody.

W przedmiotowej sprawie, na co wskazywano już wyżej, zupełnie odmienny jest cel sporządzania ogólnokrajowego spisu abonentów oraz komercyjnej sprzedaży baz danych.

Zgodnie z art. 26 ust. 1 pkt 2 uodo zakazane jest przetwarzanie danych osobowych w celach niezgodnych z celem, dla którego dane osobowe zostały zebrane.

W ocenie Sądu zaskarżona decyzja nie narusza prawa.

Mając powyższe na uwadze, na podstawie art. 151 w zw. z art. 132 cytowanej ustawy - Prawo o postępowaniu przed sądami administracyjnymi, Wojewódzki Sąd Administracyjny w Warszawie orzekł jak w sentencji.