po rozpoznaniu w dniu 21 listopada 2003 r. sprawy ze skargi Operatora S.A. w Warszawie na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 8 lipca 2003 r. nr GI-DEC-DS-114/03/393 w przedmiocie usunięcia uchybień w procesie przetwarzania danych osobowych
1. uchyla zaskarżoną decyzję i poprzedzającą ją decyzję z dnia 18 kwietnia 2003 w częściach dotyczących odmowy stwierdzenia nieważności pkt 3 i 5 in fine decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia l marca 2001 r. nr GI-DP-DEC-15/01/168,
2. w pozostałym zakresie skargę oddala,
3. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz Operatora SA 250 (dwieście pięćdziesiąt) zł tytułem zwrotu kosztów postępowania.
Decyzją z 8 lipca 2003 r. Generalny Inspektor Ochrony Danych Osobowych utrzymał w mocy decyzję z 18 kwietnia 2003 r. odmawiającą stwierdzenia nieważności punktów 3, 4, 5 lit. a-b i 5 jego decyzji z l marca 2001 r. nr GI-DP-DEC-15/01/168 dotyczących nakazu:
- usunięcia ze zbioru danych osobowych, którego administratorem jest Operator SA, danych osobowych abonentów innych niż: nazwisko i imiona, imiona rodziców, miejsce i data urodzenia, miejsce stałego pobytu, numer identyfikacyjny PESEL, nazwy i numery dokumentów potwierdzających tożsamość (pkt 3 decyzji),
- przetwarzania NIP i numeru konta bankowego lub karty płatniczej jedynie na wniosek osoby, której dane są przetwarzane (pkt 4 ),
- przetwarzanie w umowach o świadczeniu usług telekomunikacyjnych danych osobowych abonentów jedynie w zakresie: nazwiska i imion, imion rodziców, miejsca i daty urodzenia, miejsca stałego pobytu, numeru ewidencyjnego PESEL, nazw i numerów dokumentów potwierdzających tożsamość, a odnośnie przetwarzania w formularzach zamówienia świadczenia usług telekomunikacyjnych w sklepie intemetowym ~ dodatkowo adresu poczty elektronicznej (e-maił) (pkt 5 lit a-b),
- zaprzestania kopiowania dokumentów klientów osób fizycznych korzystających z usług telekomunikacyjnych świadczonych przez Operatora SA (pkt 5 in fine).
Skarżąca spółka wniosła o stwierdzenie nieważności lub uchylenie decyzji z powodu rażącego naruszenia art. 6, 18, 23 ust. l i art. 26 ust. l pkt 3 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. nr 101, póz. 926), art. 69 ust 2 ustawy z 21 lipca 2000 r. - Prawo telekomunikacyjne (Dz. U. nr 73, póz. 852 ze zm.) oraz art. 77 i 107 § 3 kpa. Zdaniem skarżącej art. 69 Prawa telekomunikacyjnego nie jest jedynym przepisem normującym zakres i podstawę przetwarzania danych osobowych jej klientów, wizerunek oraz rysopis i wzór podpisu nie są objęte definicją danych osobowych, adekwatność danych osobowych jest ściśle powiązana z podstawą prawną ich przetwarzania i dlatego nie można nakazywać usunięcia niektórych informacji o klientach zebranych przed wejściem w życie ustawy o ochronie danych osobowych oraz Prawa telekomunikacyjnego. Nie można także zakazywać kopiowania dokumentów w oderwaniu od rodzaju i charakteru danych osobowych gromadzonych w ten sposób.
Skarżąca zwróciła również uwagę na pominięcie przez generalnego inspektora definicji danych osobowych określonej w art. 6 ust. l ustawy o ochronie danych osobowych przed jej nowelizacją, a także na skutki prawne wyrażenia zgody osoby zainteresowanej, dotyczącej przetwarzania jej danych osobowych.
Jednocześnie zakwestionowała sprzeczną z art. 18 ust. l pkt l i 6 ustawy o ochronie danych osobowych praktykę wydawania sformułowanych w decyzji nakazów bez konkretnego wykazania ich związków ze stwierdzonymi naruszeniami prawa, w dodatku bez analizowania relacji zachodzących pomiędzy art. 23 ustawy o ochronie danych osobowych i art. 69 Prawa telekomunikacyjnego.
Ponadto przy wykonywaniu innej działalności gospodarczej wykraczającej poza usługi telekomunikacyjne będzie występowała jako przedsiębiorca podlegający wyłącznie unormowaniom zawartym w pierwszym z wymienionych przepisów. Łącznie skarżąca oceniła nałożenie na nią obowiązku jako pozbawione podstawy prawnej.
Generalny inspektor wniósł o oddalenie skargi i nawiązując do motywów swojej decyzji zwrócił uwagę m.in. na następujące okoliczności. W zbiorze danych osobowych
klientów skarżącej były gromadzone następujące dane osobowe: imię, nazwisko, numer i seria dowodu osobistego, numer PESEL, data i miejsce urodzenia, stan cywilny, informacja przez kogo i kiedy dowód został wydany i informacje o zameldowaniu, a także wizerunek, wzór podpisu i rysopis. Każda z nich, łącznie z wizerunkiem, wzorem podpisu i rysopisem należy do danych osobowych, a dane wykraczające poza zakres ustawy w art. 69 ust. 2 Prawa telekomunikacyjnego są nieadekwatne do celów w jakich są przetwarzane.
Sformułowana w art. 26 ust. l pkt 3 ustawy o ochronie danych osobowych zasada adekwatności odnosi się do każdego przetwarzania danych osobowych, w tym również za zgodą osoby, której one dotyczą ( art. 23 ust. l pkt l). Przy wydawaniu decyzji z l marca 2001 r. uwzględniono obowiązujący wówczas stan prawny, łącznie z definicją danych osobowych. Nie można przy tym gromadzić danych osobowych na zapas" do ewentualnego wykorzystania w sprawach cywilnych lub karnych dot. wyłudzenia usług telekomunikacyjnych, a zakres danych niezbędnych do realizacji umowy powinien być różnicowany zależnie od jej warunków, zawsze jednak w granicach zakreślonych art. 69 ust. 2 Prawa telekomunikacyjnego.
Jego art. 34 ust. 2 pkt 3 stanowiący, że operator nie może uzależniać zawarcia umowy o świadczenie usług telekomunikacyjnych, a także świadczenia tych usług od udzielenia informacji lub danych, innych niż określone w art. 69 ust. l i T\ ma charakter bezwzględnie obowiązujący i odnosi się nie tylko do zawierania lecz również do wykonywania umów o świadczenie powyższych usług. Skarżąca nie wskazała natomiast racjonalnej argumentacji przemawiającej za koniecznością wychodzenia poza ten zakres danych osobowych. Nie ma wprawdzie przepisu zakazującego kopiowania dowodów tożsamości na potrzeby przetwarzania danych osobowych, jednak stosowana przez skarżącą praktyka koliduje z przypomnianą już zasadą adekwatności, której nie należy osłabiać samą możliwością utrwalania takich danych.
W tzw. piśmie przygotowawczym z 5 listopada 2003 r. skarżąca ponownie nie zgodziła się z argumentacją generalnego inspektora zarzucając mu niekonsekwencję i sprzeczności przy powoływaniu się na przepisy zastosowane w tej sprawie, wadliwą ocenę stanów faktycznych dokonaną na dzień wydania decyzji z l marca 2001 r., zamiast wg przepisów obowiązujących w okresie, kiedy pozyskiwano dane osobowe już od 1997 r. a więc kolejno przed wejściem w życie ustawy o ochronie danych osobowych i zmiany jej pierwotnego brzmienia art. 6 oraz przed wejściem w życie Prawa telekomunikacyjnego, w tym jego art. 69.
Naczelny Sąd Administracyjny zważył, co następuje:
Ustawa o ochronie danych osobowych rozwinęła art. 47 i 51 Konstytucji RP, wg których prywatność obywatela zaliczono do praw i wolności osobistych, a zakres i tryb ochrony danych osobowych zastrzeżono do wyłącznej regulacji ustawowej z jednoczesnym sformułowaniem zakazu pozyskiwania, gromadzenia i udostępniania innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. Do czasu wejścia w życie tej ustawy zakres pozyskiwania danych osobowych zależał w głównej mierze od woli stron dokonującej określonej czynności prawnej, a podstawowym środkiem możliwym do wykorzystania przez obywatela było powództwo o ochronę jego dóbr osobistych z art. 23 kodeksu cywilnego. W tym okresie, podobnie zresztą jak po wejściu w życie tej ustawy, liczne są wypadki określania w szeregu ustaw dopuszczalnych wykazów danych osobowych jakie gromadzi się, przechowuje i wykorzystuje do celów ściśle wyodrębnionych, powtarzalnych czynności lub potrzeb określonych podmiotów.
Tego rodzaju unormowania eliminują możliwość zajmowania się oceną np. adekwatności danych osobowych do celów w jakich są one przetwarzane. Przykładowo w art. 11 ust. l art. 15 ust. l a, art. 44 a ust. 2 i art. 44 a ust. 7 ustawy z 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych (Dz. U. z 2001 r. nr 87, póz. 960 ze zm.) określono liczące po kilkanaście pozycji wykazy danych osobowych, jakie bezwzględnie muszą być przetwarzane do celów: zameldowania, wymeldowania, zbioru danych stałych mieszkańców i zbioru PESEL. W art. 92 § l pkt 4 ustawy z 14 lutego 1991 r. Prawo o notariacie (Dz.U. z 2002 r. nr 42, póz. 369) podano także obowiązujący bezwzględnie zakres danych osobowych jakie zamieszcza się w sporządzanym akcie notarialnym. W art. 20 ust. 2 ustawy z 6 kwietnia 1990 r- o Policji (Dz.U. z 2002 r. nr 7, póz. 58 ze zm.) zamieszczono natomiast upoważnienia do pobierania, przetwarzania i wykorzystywania przez Policję w zasadzie wszelkich danych osobowych, jeżeli to jest potrzebne do prowadzonego postępowania przygotowawczego.
Celem powyższej ilustracji unormowań prawnych jest wykazanie, że przed wejściem w życie Prawa telekomunikacyjnego generalny inspektor nie mógł określać jednolitego dla wszystkich operatorów, dopuszczalnego wykazu danych osobowych jakie mogli oni przekazywać na potrzeby umów o świadczenie usług telekomunikacyjnych, ponieważ jest to sfera wyłącznych uprawnień ustawodawcy.
Generalny inspektor nie mógł także w nawiązaniu do art. 69 ust. 2 Prawa telekomunikacyjnego nakazywać operatorowi uporządkowania zbiorów danych osobowych powstałych przed jego wejściem w życie z uwagi na brak przepisu przejściowego upoważniającego zastosowanie nowych rozwiązań prawnych do wcześniejszych stanów faktycznych. Wadliwe jest również wyodrębnianie w osobną kategorię nakazu zaprzestania kopiowania dokumentów osób, których dane są przekazywane, ponieważ nie chodzi w nim o zakres, lecz sposób techniczny przetwarzania takich danych pozbawiony prawnej reglamentacji. Z powyższych względów Naczelny Sąd Administracyjny na podstawie art. 22 ust. 2 pkt l i 3 oraz art. 55 ust. l ustawy o NSA orzekł jak w pkt l i 3 sentencji.
W pozostałej części Sąd nie podzielał zarzutów skargi dotyczących zakresu przetwarzania danych osobowych po wejściu w życie Prawa telekomunikacyjnego. W art. 69 ust. 2 w związku z art. 34 ust. 2 pkt 3 określono zakres przetwarzania danych osobowych przez operatora, którego przy zawieraniu umowy o świadczenie usług telekomunikacyjnych nie wolno rozszerzać. Takie unormowanie jest kontynuacją podobnej do zilustrowanej już wyżej ingerencji ustawodawcy w stosowanie przepisów ustawy o ochronie danych osobowych, przede wszystkim dotyczących merytorycznej poprawności i adekwatności przetwarzania danych osobowych do realizowanych celów (art. 26 ust. l pkt 3), w objętych nią dziedzinach.
Jednocześnie należy podkreślić, że omawiane przepisy dotyczą wy łącznie danych osobowych abonenta — w rozumieniu art. 2 pkt l Prawa telekomunikacyjnego —jako podmiotu, który jest stroną umowy o świadczenie usług telekomunikacyjnych zawartej na piśmie z operatorem lub z podmiotem udostępniającym usługi telekomunikacyjne. W innych stosunkach prawnych pomiędzy stronami będą miały zastosowanie przepisy ustawy o ochronie danych osobowych, bez uproszczeń dokonanych selektywnie przez ustawodawcę w wybranych przez niego dziedzinach.
Z tych względów Naczelny Sąd Administracyjny na podstawie art. 27 ust. l ustawy o NSA orzekł jak w pkt 2 sentencji.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl