drukuj    zapisz    Powrót do listy

647 Sprawy związane z ochroną danych osobowych, Ochrona danych osobowych, Generalny Inspektor Ochrony Danych Osobowych, Oddalono skargę, II SA/Wa 1655/15 - Wyrok WSA w Warszawie z 2016-02-18, Centralna Baza Orzeczeń Naczelnego (NSA) i Wojewódzkich (WSA) Sądów Administracyjnych, Orzecznictwo NSA i WSA

II SA/Wa 1655/15 - Wyrok WSA w Warszawie

Data orzeczenia
2016-02-18 orzeczenie prawomocne
Data wpływu
2015-10-02
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Adam Lipiński /sprawozdawca/
Andrzej Kołodziej
Joanna Kube /przewodniczący/
Symbol z opisem
647 Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
I OSK 1354/16 - Wyrok NSA z 2018-04-18
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2012 poz 270 art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - tekst jednolity.
Sentencja

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Joanna Kube Sędziowie WSA Andrzej Kołodziej Adam Lipiński (spr.) Protokolant specjalista Aleksandra Weiher po rozpoznaniu na rozprawie w dniu 18 lutego 2016 r. sprawy ze skargi T. S.A. z siedzibą w [...] na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] lipca 2015 r. nr [...] w przedmiocie przetwarzania danych osobowych - oddala skargę -

Uzasadnienie

W dniu [...] kwietnia 2015 r. Generalny Inspektor Ochrony Danych Osobowych wydał decyzję, nakazującą [...] S.A. z siedzibą w [...], jako administratorowi danych, usunięcie uchybień w procesie przetwarzania danych osobowych, poprzez:

Sformułowanie klauzuli zgody na przetwarzanie przez Spółkę danych transmisyjnych dla celów marketingu usług Spółki, zamieszczonej w stosowanym przez Spółkę formularzu umowy o świadczenie usług telekomunikacyjnych, w sposób odrębny od klauzuli zgody na przetwarzanie danych transmisyjnych dla celów marketingu usług podmiotów, z którymi Spółka współpracuje w zakresie rozpowszechniania informacji handlowej tych podmiotów (zwanych dalej również "partnerami Spółki"), przy jednoczesnym zapewnieniu osobom, których dane dotyczą, możliwości odmowy wyrażenia zgody na przetwarzanie danych transmisyjnych dla każdego z ww. celów, a ponadto zapewnieniu, aby wyrażenie tych zgód było niezależne od wyrażenia zgody na otrzymywanie drogą elektroniczną (np. SMS, MMS, e-mail) informacji handlowych Spółki oraz informacji handlowych partnerów Spółki oraz zgody na używanie automatycznych systemów wywołujących dla celów marketingu bezpośredniego, w terminie 2 miesięcy od dnia, w którym niniejsza decyzja stanie się ostateczna.

Zapewnienie osobom fizycznym zawierającym ze Spółką umowę o świadczenie usług telekomunikacyjnych - za pośrednictwem internetowego oraz telefonicznego kanału sprzedaży - swobody (opcjonalności) w kwestii wyrażenia zgody na przetwarzanie przez Spółkę danych osobowych widniejących w dowodzie osobistym, a wykraczających poza zakres określony w art. 161 ust. 2 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2014 r. poz. 243 ze zm.), w terminie 30 dni od dnia, w którym niniejsza decyzja stanie się ostateczna.

Podstawę prawną powyższej decyzji stanowiły przepisy art. 104 § 1 Kpa oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1 i art. 22 w związku z art. 26 ust. 1 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182 ze zm.).

Powyższa decyzja w części dotyczącej nakazu określonego w pkt 2 stała się przedmiotem wniosku Spółki [...] o ponowne rozpatrzenie sprawy i wskutek rozpatrzenia powyższego wniosku, Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] lipca 2015 r., działając na zasadzie art. 138 § 1 pkt 1 Kpa, utrzymał w tym zakresie swoją poprzedzająca decyzję w mocy.

W uzasadnieniu decyzji Generalny Inspektor Ochrony Danych Osobowych wskazał co następuje:

Spółka udostępnia klientom trzy "kanały sprzedaży", za pośrednictwem których można zawrzeć ze Spółką umowę o świadczenie usług telekomunikacyjnych, tj. tzw. kanał sklepowy (sklepy stacjonarne), kanał internetowy oraz kanał telefoniczny.

W przypadku zawierania ze Spółką umowy o świadczenie usług telekomunikacyjnych za pośrednictwem kanału internetowego lub kanału telefonicznego, warunkiem zawarcia tej umowy jest przekazanie Spółce kopii dowodu osobistego dla celów zawarcia i zabezpieczenia wykonania umowy oraz wyrażenie zgody na przetwarzanie danych osobowych zawartych w kopii dowodu osobistego w zakresie: wizerunek, wzrost (w centymetrach), kolor oczu oraz adres zameldowania, w celu zawarcia i zabezpieczenia wykonania umowy (pkt 15.4 formularza ww. umowy).

Przekazanie Spółce danych, o których mowa powyżej oraz wyrażenie zgody na ich przetwarzanie, jest dobrowolne (opcjonalne) wyłącznie w sytuacji, gdy klient zawiera umowę o świadczenie usług telekomunikacyjnych ze Spółką w sklepie stacjonarnym.

W przypadku kanału internetowego oraz kanału telefonicznego, przekazanie Spółce wszystkich danych widniejących w dowodzie osobistym oraz wyrażenie zgody na przetwarzanie danych w zakresie: wizerunek, wzrost (w centymetrach), kolor oczu oraz adres zameldowania, w celu zawarcia i zabezpieczenia wykonania umowy (pkt 15.4 formularz umowy) jest obligatoryjne.

Jak wyjaśniła Spółka w toku kontroli, wprowadzenie powyższych zasad w sprzedaży usług za pośrednictwem internetu albo telefonu wynika z konieczności zabezpieczenia się przed nadużyciami, jakie w przeszłości masowo występowały w tych kanałach sprzedaży.

W ocenie Generalny Inspektor Ochrony Danych Osobowych powyższa praktyka sprzedaży usług za pośrednictwem internetu albo telefonu, z obligatoryjnym warunkiem podania przez klienta jego danych osobowych widniejących w dowodzie osobistym, a wykraczających poza zakres określony w art. 161 ust. 2 ustawy Prawo telekomunikacyjne, jest nieprawidłowa dlatego wymagała wydania nakazu (pkt. 2 decyzji z dnia [...] kwietnia 2015 r.).

Zasadność wydania powyższego nakazu organ wyprowadza wprost z treści następujących przepisów.

Zgodnie z art. 26 ust. 1 pkt 1 ustawy o ochronie danych osobowych, administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem. Stosownie zaś do art. 57 ust. 1 pkt 3 ustawy Prawo telekomunikacyjne, dostawca publicznie dostępnych usług telekomunikacyjnych nie może uzależniać zawarcia umowy o świadczenie publicznie dostępnych usług telekomunikacyjnych, w tym o zapewnienie przyłączenia do publicznej sieci telekomunikacyjnej od udzielenia informacji lub danych, innych niż określone wart. 161 ust. 2, w przypadku użytkownika końcowego będącego osobą fizyczną. Natomiast w myśl art. 161 ust. 2 ustawy Prawo telekomunikacyjne, dostawca publicznie dostępnych usług telekomunikacyjnych jest uprawniony do przetwarzania następujących danych dotyczących użytkownika będącego osobą fizyczną: 1) nazwisk i imion; 2) imion rodziców; 3) miejsca i daty urodzenia; 4) adresu miejsca zamieszkania i adresu korespondencyjnego jeżeli jest on inny niż adres miejsca zamieszkania; 5) numeru ewidencyjnego PESEL - w przypadku obywatela Rzeczypospolitej Polskiej; 6) nazwy, serii i numeru dokumentów potwierdzających tożsamość, a w przypadku cudzoziemca, który nie jest obywatelem państwa członkowskiego albo Konfederacji Szwajcarskiej - numeru paszportu lub karty pobytu; 7) zawartych w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych wynikającego z umowy o świadczenie usług telekomunikacyjnych. Oprócz danych, o których mowa w ust. 2, dostawca publicznie dostępnych usług telekomunikacyjnych może, za zgodą użytkownika będącego osobą fizyczną, przetwarzać inne dane tego użytkownika w związku ze świadczoną usługą, w szczególności numer konta bankowego lub karty płatniczej, a także adres poczty elektronicznej oraz numery telefonów kontaktowych (art. 161 ust. 3 ustawy Prawo telekomunikacyjne). Zgodnie z art. 174 pkt 1 ustawy Prawo telekomunikacyjne, jeżeli przepisy ustawy wymagają wyrażenia zgody przez abonenta lub użytkownika końcowego, zgoda ta nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Ponadto, zgodnie z art. 37 ust. 1 ustawy z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych (Dz. U. z 2006 r. Nr 139, poz. 993 ze zm.), w dowodzie osobistym zamieszcza się następujące dane: 1) nazwisko, nazwisko rodowe i imię (imiona); 2) imiona rodziców; 3) datę i miejsce urodzenia; 4) adres miejsca zameldowania na pobyt stały, a w razie jego braku zameldowania na pobyt czasowy trwający ponad 3 miesiące na terytorium Rzeczypospolitej Polskiej; w przypadku braku zameldowania na pobyt stały albo pobyt czasowy trwający ponad 3 miesiące danych o adresie nie zamieszcza się; 5) płeć, wzrost w centymetrach i kolor oczu; 6) numer PESEL; 7) nazwę organu wydającego dowód osobisty, datę wydania i termin ważności; 8) serię i numer dowodu osobistego. Dowód osobisty zawiera również wizerunek twarzy oraz podpis jego posiadacza (art. 37 ust. 2 ww. ustawy).

Powyższe przepisy wyznaczają zatem zakres danych, do przetwarzania których uprawniony jest dostawca publicznie dostępnych usług telekomunikacyjnych.

Polemizując ze stanowiskiem Spółki, organ nie zgodził się z poglądem że art. 161 ust. 2 pkt 7 ustawy Prawo telekomunikacyjne uprawnia dostawcę publicznie dostępnych usług telekomunikacyjnych do przetwarzania danych dotyczących użytkownika będącego osobą fizyczną zawartych w dokumencie tożsamości, a wykraczających poza zakres określony wart. 161 ust. 2 ustawy Prawo telekomunikacyjne. Pogląd ten jest błędny, gdyż powyższy przepis uprawnia dostawcę publicznie dostępnych usług telekomunikacyjnych do przetwarzania danych dotyczących użytkownika będącego osobą fizyczną zawartych w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych wynikającego z umowy o świadczenie usług telekomunikacyjnych. Natomiast dokumenty tożsamości jak i dokumenty potwierdzające tożsamość nie są dokumentami, które potwierdzałyby zdolność do wykonania zobowiązania pieniężnego. Zatem dane takie można przetwarzać jedynie za zgoda klienta.

Chybiony jest także argument Spółki, iż z powołanych przez Generalnego Inspektora przepisów nie wynika obowiązek zapewnienia przez Spółkę swobody wyrażenia zgody na przetwarzanie danych osobowych.

W tym zakresie organ odwołał się do prawa UE, podkreślając że wytyczne dotyczące sposobu pozyskiwania zgody abonenta lub użytkownika końcowego, zawarte w ustawie Prawo telekomunikacyjne są wynikiem definicji zawartej w art. 2 lit. f dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz. Urz. WE L 201 z 31.07.2002, s. 37), która w sprawie zgody udzielanej przez użytkownika lub abonenta odsyła do zgody podmiotu danych w rozumieniu dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. WE L 281 z 23.11.1995, s. 31) stanowiąc, iż: "zgoda użytkownika lub abonenta odpowiada zgodzie podmiotu danych określonej w dyrektywie 95/46/WE".

W związku z powyższym w każdym przypadku, gdy na mocy dyrektywy o prywatności i łączności elektronicznej wymagana jest zgoda, kryteria służące ustaleniu, czy zgoda jest ważna są takie same, jak określone w dyrektywie 95/46/WE, tj. zgodne z definicją zawartą w art. 2 lit. h oraz warunkami określonymi w art. 7 lit a. Zgodnie zaś z art. 2 lit. h dyrektywy 95/46/WE "zgoda osoby, której dane dotyczą oznacza konkretne i świadome, dobrowolne wskazanie przez osobę, której dane dotyczą na to, że wyraża przyzwolenie na przetwarzanie odnoszących sie do niej danych osobowych".

W opinii Grupy Roboczej ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych powołanej na mocy art. 29 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych - nr 15/2011 wyrażono pogląd, iż "W sprawie definicji zgody (strona 9 - pkt II. 3. Pojęcia powiązane), gdzie podkreślono szczególny charakter przesłanki zgody z punktu widzenia autonomii informacyjnej osoby, której dane dotyczą: "Kontrola sprawowana poprzez zgodę jest ważnym pojęciem z punktu widzenia praw podstawowych. Jednocześnie - i z tego samego punktu widzenia - decyzja osoby fizycznej o zgodzie na czynność przetwarzania danych powinna podlegać rygorystycznym wymogom, zwłaszcza biorąc pod uwagę fakt, że podejmując taką decyzję, osoba ta może zrzekać się prawa podstawowego. (...) Zgoda wiąże się z koncepcją informacyjnego samostanowienia. Autonomia osoby, której dane dotyczą, jest zarówno warunkiem wstępnym, jak i konsekwencją zgody: umożliwia ona tej osobie wywieranie wpływu na przetwarzanie danych osobowych".

Zatem w świetle wyżej powołanych przepisów, niezapewnienie przez Spółkę swobody (opcjonalności) w kwestii wyrażenia zgody na przetwarzanie ww. danych powoduje, że dane te są przetwarzane niezgodnie z prawem.

Nie jest również trafny argument Spółki [...], iż jeżeli klient, w celu zawarcia umowy o świadczenie usług telekomunikacyjnych ze Spółką, za pośrednictwem internetu lub telefonu, nie wyraża zgody na przetwarzanie jego danych osobowych w zakresie: kolor oczu, wzrost (w centymetrach), wizerunek twarzy, płeć, adres zameldowania, to może umowę taka zawrzeć w formie tradycyjnej w sklepie stacjonarnym Spółki i dlatego, w ocenie Spólki, klient ma zapewniony wybór w zakresie udostępniania swoich danych.

Zdaniem Generalnego Inspektora Ochrony Danych Osobowych, Spółka nie może ograniczać prawa klienta do dowolnego sposobu zawarcia umowy, a jakiekolwiek działania wykraczające poza zakres art. 161 ust. 2 ustawy Prawo telekomunikacyjne są niedopuszczalne.

Organ, ustosunkowując się do wskazanego we wniosku o ponowne rozpatrzenie sprawy stanowiska Prezesa Urzędu Komunikacji Elektronicznej, wskazał, iż stanowisko to dotyczyło nieobowiązującego już przepisu art. 57 ust. 1 pkt 1 ustawy Prawo telekomunikacyjne, z którego wynikał brak możliwości uzależnienia przez dostawcę usług zawarcia umowy o świadczenie usług telekomunikacyjnych od jednoczesnego nabycia urządzenia (telefonu) – a zatem innego stanu faktycznego i prawnego. Natomiast stanowisko Generalnego Inspektora w niniejszej sprawie dotyczy oceny zgodności przetwarzania danych osobowych klientów Spółki z następującymi przepisami ustawy Prawo telekomunikacyjne: art. 161 ust. 2 i ust. 3, art. 174 oraz art. 57 ust. 1 pkt 3, które zakazują dostawcy usług, uzależniania zawarcia umowy o świadczenie publicznie dostępnych usług telekomunikacyjnych, od udzielenia informacji lub danych innych niż określone w art. 161 ust. 2 ustawy Prawo telekomunikacyjne.

[...] S.A wniosła skargę do Wojewódzkiego Sadu Administracyjnego w Warszawie, w której zaskarżyła decyzję Generalnego Inspektora Ochrony Danych osobowych z dnia [...] lipca 2015 r. w całości, zarzucając naruszenie:

art. 26 ust. 1 pkt 1 ustawy o ochronie danych osobowych w związku z art. 57 ust. 1 pkt 3, art. 161 ust. 2 oraz art. 174 pkt 1 ustawy Prawo telekomunikacyjne - poprzez przyjęcie, że [...] nie dochowała należytej staranności przy przetwarzaniu danych i przetwarza je niezgodnie z prawem, poprzez brak zapewnienia w internetowym oraz telefonicznym kanale sprzedaży swobody (opcjonalności) w kwestii wyrażenia zgody na przetwarzanie przez [...] danych widniejących w dowodzie osobistym, a wykraczających poza zakres określony w art. 161 ust. 2 ustawy Prawo telekomunikacyjne.

art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych w zw. z art. 161 ust. 2 pkt 7 ustawy Prawo telekomunikacyjne poprzez ich nieuwzględnienie w przedmiotowej sprawie i pominięcie okoliczności, że z przepisu tego wynika uprawnienie [...] do przetwarzania danych dotyczących użytkownika będącego osobą fizyczną zawartych w dokumencie tożsamości, który jest dokumentem potwierdzającym możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych wynikającego z umowy o świadczenie usług telekomunikacyjnych.

Wskazując na powyższe zarzuty, Spółka wniosła o uchylenie zaskarżonej decyzji i zasadzenia na jej rzecz kosztów postępowania.

W uzasadnieniu skargi, Spółka argumentowała, iż [...] umożliwia złożenie zamówienia w telefonicznym albo w internetowym kanale sprzedaży po pozyskaniu kserokopii dowodu tożsamości od osoby zainteresowanej zawarciem umowy o świadczenie usług telekomunikacyjnych. Zawarcie umowy o świadczenie usług telekomunikacyjnych za pośrednictwem kanałów zdalnych następuje dopiero w obecności kuriera, który jest pełnomocnikiem [...] Wskazana praktyka weryfikacji tożsamości osoby składającej zamówienie poprzez zdalne kanały sprzedaży wynika z faktu, że kanały te są szczególnie narażone na występowanie w nich nadużyć finansowych na szkodę [...] Posługiwanie się nieprawdziwymi danymi w celu złożenia zamówienia i w rezultacie zawarcia umowy o świadczenie usług telekomunikacyjnych było zjawiskiem wyjątkowo częstym przed wprowadzeniem aktualnych zasad składania zamówień, ponieważ w praktyce wystarczające było podanie przypadkowych danych i odebranie przesyłki pod wskazanym adresem. Jedynym sposobem weryfikacji autentyczności numeru PESEL oraz serii i numeru dokumentu tożsamości podanego przez osobę składającą zamówienie jest porównanie tych danych z samym dokumentem tożsamości. Wobec braku możliwości kontaktu osobistego z klientem przed zawarciem umowy, pozostaje tylko jeden, wskazany, sposób uwiarygodniania jego tożsamości, tj. pozyskiwanie kserokopii dokumentu tożsamości przed przyjęciem zamówienia.

Z powyższego jednak nie wynika obowiązek wyrażenia ww. zgody w celu zawarcia umowy o świadczenie usług telekomunikacyjnych z [...] Jeżeli klient nie wyrazi ww. zgody i nie chce przekazywać [...] kserokopii dokumentu tożsamości, może zawrzeć umowę w sklepie stacjonarnym, po bezpośredniej weryfikacji przez konsultanta dokumentu oraz tego, czy posługuje się nim właściwa osoba. Z przyczyn oczywistych nie jest możliwe zastosowanie takiej procedury weryfikacji przy braku kontaktu bezpośredniego.

Umożliwienie klientom zamawiania usług i sprzętu przez zdalne kanały sprzedaży było autonomiczną decyzją [...], przepisy w tym zakresie nie zawierają żadnych nakazów. Dzięki tej decyzji klienci uzyskali możliwość wygodnego zamawiania usług i sprzętu bez wychodzenia z domu. Nie można więc odbierać [...] prawa ukształtowania warunków dostępu do wskazanych kanałów sprzedaży w sposób, który zapewni odpowiedni poziom bezpieczeństwa transakcji.

Spółka podkreśliła powszechność takich działań również ze strony innych operatorów telekomunikacyjnych i nadmieniła, iż praktyka ta nie była nigdy kwestionowana przez Prezesa Urzędu Komunikacji Elektronicznej, właściwego do kontroli przestrzegania przez dostawców usług przepisów Prawa telekomunikacyjnego, ponieważ dostawcy usług umożliwiali równocześnie zawarcie samej umowy o świadczenie usług telekomunikacyjnych bez telefonu, jak również zakup samego telefonu bez konieczności zawierania umowy o świadczenie usług telekomunikacyjnych. Klient miał więc możliwość wyboru i swobodnego zadecydowania z jakiej oferty chce skorzystać, tak jak obecnie ma swobodę wyboru kanału sprzedaży, z którego chce skorzystać.

W ocenie Spółki, argumentów tych organ nie wziął pod uwagę.

Spółka nie zgodziła się z rozumieniem przez GIODO definicji zgody wyrażonej w opinii Grupy Roboczej ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych - nr [...], wskazując, iż dopiero jeśli konsekwencje wyrażenia zgody nie dają się pogodzić ze swobodą wyboru, zgoda nie jest dobrowolna. Zatem w niniejszej sprawie, dopiero zgoda udzielona pod wpływem groźby odmowy lub obniżenia jakości świadczonych usług mogłaby być uznana za zgodę, która nie jest wyrażona dobrowolnie.

Spółka podkreśliła także, iż w jej ocenie, dane do których odwołuje się art. 161 ust. 2 pkt 7 ustawy Prawo telekomunikacyjne to także dane identyfikujące osobę zawierająca umowę i potwierdzające jej tożsamość, czyli również dane objęte kwestionowanym nakazem. Z przepisu tego wynika uprawnienie [...] do przetwarzania danych zawartych w dokumencie tożsamości, podstawą czego jest art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych.

Generalny Inspektor Ochrony Danych Osobowych w odpowiedzi na skargę wniósł o jej oddalenie, podtrzymując argumentację zawartą w uzasadnieniu zaskarżonej decyzji.

Wojewódzki Sąd Administracyjny w Warszawie zważył co następuje.

Skarga nie jest zasadna.

Z materiału dowodowego zgromadzonego w niniejszej sprawie wynika, że [...] udostępnia klientom trzy kanały sprzedaży, za pośrednictwem których można zawrzeć ze Spółką umowę o świadczenie usług telekomunikacyjnych, tj. tzw. kanał sklepowy (sklepy stacjonarne), kanał internetowy oraz kanał telefoniczny. W przypadku zawierania ze Spółką umowy o świadczenie usług telekomunikacyjnych za pośrednictwem kanału internetowego lub kanału telefonicznego, warunkiem zawarcia umowy jest przekazanie Spółce kopii dowodu osobistego dla celów zawarcia i zabezpieczenia wykonania umowy a zatem bezwarunkowe wyrażenie zgody na przetwarzanie danych osobowych zawartych w kopii dowodu osobistego w zakresie: między innymi wizerunku - wzrost (w centymetrach), kolor oczu czy adres zameldowania oraz innych danych zawartych a dowodzie osobistym, a zatem nie wymienionych w art. 161 ust. 2 ustawy Prawo telekomunikacyjne, (pkt 15.4 formularza ww. umowy). Przekazanie Spółce danych, o których mowa powyżej oraz wyrażenie zgody na ich przetwarzanie, jest dobrowolne (opcjonalne) wyłącznie w sytuacji, gdy klient zawiera umowę o świadczenie usług telekomunikacyjnych ze Spółką w sklepie stacjonarnym. W przypadku kanału internetowego oraz kanału telefonicznego, przekazanie Spółce wszystkich danych widniejących w dowodzie osobistym oraz wyrażenie zgody na przetwarzanie danych w zakresie: wizerunku to jest, wzrostu (w centymetrach), koloru oczu oraz adresu zameldowania, jest obligatoryjne. Wprowadzenie powyższych zasad Spółka tłumaczy koniecznością zabezpieczenia się przed nadużyciami, jakie w przeszłości masowo występowały w zdalnych kanałach sprzedaży.

W ocenie Wojewódzkiego Sądu Administracyjnego decyzja Generalnego Inspektora Ochrony Danych Osobowych jest prawidłowa.

Art. 23 ustawy o ochronie danych osobowych określa dopuszczalność przetwarzania danych osobowych. W niniejszej sprawie przepis ten musi być stosowany łącznie z przepisami zawartymi w ustawie Prawo telekomunikacyjne, regulującymi na użytek obrotu usługami telekomunikacyjnymi przetwarzanie danych osobowych – to jest art. 161 oraz art. 174.

Organ dokonuje prawidłowej wykładni powyższych przepisów, odwołując się zarówno do ich brzmienie oraz wykładni celowościowej, popartej przepisami unijnymi (z którymi polskie prawo musi być zgodne), to jest: art. 2 lit. f dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz. Urz. WE L 201 z 31.07.2002, s. 37), art. 2 lit. h i art. 7 lit a dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. WE L 281 z 23.11.1995, s. 31) oraz odwołując się do opinii Grupy Roboczej ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych powołanej na mocy art. 29 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych - nr [...].

Wykładnia powyższych przepisów nie pozostawia żadnych wątpliwości, iż dla zawarcie umowy o usługi telekomunikacyjne, przedsiębiorca telekomunikacyjny, do grona których niewątpliwie należy [...], może bez zgody klienta przetwarzać jedynie takie dane osobowe, które zostały wskazane w katalogu zakreślonym art. 161 ust. 2 ustawy Prawo telekomunikacyjne. W przepisie tym nie zawarto zezwolenia na przetwarzanie takich danych osobowych jak: wzrost (w centymetrach), kolor oczu oraz adres zameldowania, a zatem przetwarzać je można jedynie za zgodą osoby, której dane te dotyczą. Powyższe przepisy wyznaczają zakres danych użytkownika końcowego będącego osobą fizyczną, do przetwarzania których uprawniony jest dostawca publicznie dostępnych usług telekomunikacyjnych. Ponadto, zgodnie z art. 161 ust. 3 ustawy Prawo telekomunikacyjne, oprócz danych, o których mowa w art. 161 ust. 2 ww. ustawy, dostawca publicznie dostępnych usług telekomunikacyjnych może, za zgodą użytkownika będącego osobą fizyczną, przetwarzać inne dane tego użytkownika w związku ze świadczoną usługą, w szczególności numer konta bankowego lub karty płatniczej, a także adres poczty elektronicznej oraz numery telefonów kontaktowych. Taka zgoda klienta, wymagana przez przepisy ustawy Prawo telekomunikacyjne, powinna spełniać wymogi określone w art. 174 ustawy Prawo telekomunikacyjne. Jednym z tych wymogów jest właśnie zakaz domniemywania zgody bądź jej dorozumienia z oświadczenia woli o innej treści. Warunek ten został nadto wzmocniony treścią art. 57 powyższej ustawy.

Z materiału dowodowego w niniejszej sprawie niezbicie wynika, że w procesie zawierania umowy o świadczenie usług telekomunikacyjnych - za pośrednictwem internetowego oraz telefonicznego kanału sprzedaży - nie zapewniono swobody w zakresie wyrażenia zgody na przetwarzanie przez Spółkę danych wykraczających poza zakres określony wart. 161 ust. 2 pkt 1-6 ustawy Prawo telekomunikacyjne, to jest takich jak: kolor oczu, wzrost (w centymetrach), wizerunek twarzy, płeć, adres osobisty zameldowania, nazwa organu wydającego dowód, data wydania i termin ważności, podpis jego posiadacza. Nadto niewyrażenie zgody na przetwarzanie przez Spółkę danych, o których mowa powyżej, skutkuje tym, że Spółka odmówi zawarcia umowy za pośrednictwem ww. kanałów sprzedaży.

Dlatego powyższa praktyka, stosowana przez [...], jako praktyka naruszająca wyżej wskazane przepisy, musiała zostać zakwestionowania przez GIODO i w konsekwencji czego organ musiał na podstawie art. 18 ust. 1 pk1 i art. 26 ust. 1 pkt 1 ustawy o ochronie danych osobowych, wydać objęty niniejszym sporem nakaz.

Nie można zgodzić się z argumentem skargi, że swoboda udzielenia zgody na przetwarzanie danych osobowych widniejących w dowodzie osobistym, a wykraczających poza zakres określony wart. 161 ust. 2 ustawy Prawo telekomunikacyjne, w procesie zawierania umowy o świadczenie usług telekomunikacyjnych ze Spółką w zdalnych kanałach sprzedaży jest zachowana, gdyż istnieje możliwość zawarcia umowy o świadczenie usług telekomunikacyjnych (na podobnych warunkach) bez podawania dodatkowych danych oraz bez wyrażania zgody na ich przetwarzanie - w sklepie stacjonarnym.

Każdy przypadek pozyskiwania zgody na przetwarzanie danych osobowych podlega odrębnej ocenie w świetle obowiązujących przepisów. Z tego też względu okoliczność, iż w jednym spośród udostępnionych przez Spółkę kanałów sprzedaży, w procesie zawierania ze Spółką umowy o świadczenie usług telekomunikacyjnych, zapewniona jest swoboda wyrażenia zgody na przetwarzanie danych osobowych, nie ma wpływu na ocenę braku możliwości wyrażenia zgody (albo odmowy takiej zgody) na przetwarzanie danych osobowych podczas zawierania umów o świadczenie usług telekomunikacyjnych w zdalnych kanałach sprzedaży. Taka różnica, co do możliwości wyrażania zgody na przetwarzanie niektórych danych osobowych, w zależności od sposobu zawierania umowy, nie usprawiedliwia Spółki w naruszeniu prawa w zakresie stosowania wyżej opisanej procedury przy zawieraniu umów droga telefoniczną albo przez Internet. Powyższe stwierdzenie powoduje, że dane te są przetwarzane w zdalnych kanałach sprzedaży niezgodnie z prawem.

Kwestia zakresu danych służących identyfikacji użytkownika końcowego, będącego osobą fizyczną, do przetwarzania których uprawniony jest dostawca publicznie dostępnych usług telekomunikacyjnych, została rozstrzygnięta w sposób wyczerpujący w art. 161 ust. 2 pkt 1-6 ustawy Prawo telekomunikacyjne. Natomiast treść art. 161 ust. 2 pkt 7 ww. ustawy musi być rozumiana w sposób ścisły i zgodny z celem tego przepisu, którym jest stworzenie podstawy prawnej umożliwiającej dostawcy publicznie dostępnych usług telekomunikacyjnych, przetwarzanie, obok danych identyfikujących użytkownika końcowego, również danych zawartych w dokumentach służących ustaleniu, czy użytkownik końcowy będzie w stanie regulować rachunki za udostępnione mu usługi telekomunikacyjne. Dowód osobisty, zgodnie z art. 4 ust. 1 ustawy z dnia 6 sierpnia 2010 r. o dowodach osobistych (Dz. U. z 2010 r. Nr 167 poz. 1131 ze zm.), jest natomiast dokumentem stwierdzającym tożsamość i obywatelstwo polskie. Dane w nim zawarte służą identyfikacji osoby. Dowód osobisty nie zawiera informacji, które pozwoliłyby na dokonanie oceny, czy użytkownik końcowy będzie w stanie wykonać zobowiązanie pieniężne względem dostawcy publicznie dostępnych usług telekomunikacyjnych. Z tych też względów dowód osobisty nie jest i w żaden sposób być nie może dokumentem, który potwierdzałby możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych a tym samym, zgodnie z treścią art. 161 ust. 2 pkt 7 ustawy Prawo telekomunikacyjne nie może stanowić podstawy prawnej do przetwarzania danych w nim zawartych, w celu wskazanym w tym przepisie.

Dodać w tym miejscu należy, iż ani w toku postępowania administracyjnego ani w skardze, [...] nie wykazało dlaczego, w jej ocenie, dane zawarte w dowodzie osobistym i wykraczające poza zakres wskazany w art. 161 ust. 2 pkt 1-6 ustawy Prawo telekomunikacyjne mogą służyć ocenie możliwości wykonanie zobowiązania z tytułu publicznych usług telekomunikacyjnych. Spółka w tym zakresie dowodzi jedynie, iż objęte sporem dane, w jej ocenie, pozwalają na lepszą identyfikację osoby klienta co do jego tożsamości. Jednakże lepsza identyfikacja danej osoby a ocena jej możliwości płatniczych, to całkowicie inne zagadnienie.

Przyjęcie interpretacji zawartej w skardze, pozbawiło by w istocie znaczenia wszystkich zapisów art. 161 ust. 2 pkt 1-6, który ogranicza katalog danych osobowych klienta, będących niezbędnymi do zawarcia umowy o usługi telekomunikacyjne. Zatem taka wykładnia jest błędna, a nadto niezgodna z istota art. 23 ustawy o ochronie danych osobowych, która odwołuje się do możliwości przetwarzania jedynie danych osobowych, które są niezbędne do zawarcia danej umowy, albo na których przetwarzanie zezwala ustawa – tu ustawa Prawo telekomunikacyjne.

Z powyższych przyczyn chybiony jest argument Spółki, iż sporne dane ma prawo pozyskiwać w ramach art. art. 161 ust. 2 pkt 7 Prawa telekomunikacyjnego.

Również w niniejszej sprawie nie ma żadnego znaczenia opinia Prezesa Urzędu Komunikacji Elektronicznej, albowiem, na co trafnie zwrócił uwagę organ, opinia ta dotyczy nieaktualnego obecnie stanu prawnego i innego stanu faktycznego i dlatego z tych przyczyn nie można dopatrywać się jej sprzeczności z ustaleniami faktycznymi i prawnymi poczynionymi przez organ w niniejszej sprawie. Nadto w Polsce organem właściwym w sprawie ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych a nie Prezes Urzędu Komunikacji Elektronicznej.

Dlatego, mając powyższe na uwadze, na podstawie art. 151 ustawy Prawo o postępowaniu przed sądami administracyjnymi, Wojewódzki Sąd Administracyjny w Warszawie orzekł jak w sentencji wyroku.



Powered by SoftProdukt