Skarga kasacyjna na decyzję Generalnego Inspektora Ochrony Danych Osobowych w przedmiocie przetwarzania danych osobowych
Sentencja

Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Małgorzata Borowiec Sędziowie: Sędzia NSA Joanna Runge - Lissowska Sędzia del. NSA Jerzy Krupiński (spr.) Protokolant starszy asystent sędziego Łukasz Mazur po rozpoznaniu w dniu 10 listopada 2015 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej C.P. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 16 stycznia 2014 r. sygn. akt II SA/Wa 1288/13 w sprawie ze skargi C.P. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] maja 2013 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę kasacyjną.

Inne orzeczenia o symbolu:
647 Sprawy związane z ochroną danych osobowych
Inne orzeczenia z hasłem:
Ochrona danych osobowych
Inne orzeczenia sądu:
Naczelny Sąd Administracyjny
Inne orzeczenia ze skargą na:
Generalny Inspektor Ochrony Danych Osobowych
Uzasadnienie strona 1/9

Przedmiotem skargi kasacyjnej, wniesionej do Naczelnego Sądu Administracyjnego przez C.P., jest wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 16 stycznia 2014 r., sygn. akt II SA/Wa 1288/13, którym oddalono jego skargę na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] maja 2013 r., nr [...], wydaną w przedmiocie przetwarzania danych osobowych.

Wyrok wydany został w następujących, ustalonych przez Sąd I instancji, okolicznościach faktycznych i prawnych sprawy:

Pismem z dnia 23 maja 2012 r. C.P. wystąpił do Biura Generalnego Inspektora Ochrony Danych Osobowych (dalej: GIODO) ze skargą na przekazanie jego danych osobowych przez P. S.A. z siedzibą w W., zwaną dalej: "P." lub "Spółka", na rzecz U. S.A. w L., dla której obsługę wierzytelności prowadzi U. Sp. z o.o. z siedzibą w W., zwana dalej U. Skarżący wniósł o przeprowadzenie kontroli i wydanie przez GIODO decyzji w zakresie usunięcia uchybień, zabezpieczenia danych, zastosowanie środków zabezpieczających te dane oraz skorzystania z uprawnień wynikłych z art. 19 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (obecnie: Dz. U. z 2014 r., poz. 1182 ze zm.), dalej zwanej "ustawą". Skarżący wskazał, że od dnia 28 marca 1997 r. był klientem P. jako przedsiębiorca prowadzący działalność gospodarczą pod firmą C. C. P. W roku 2004 umowa z P. została rozwiązana. W dniu 1 marca 2007 r. otrzymał zawiadomienie o podpisaniu umowy przelewu wierzytelności P. wobec niego na rzecz U. S.A. Oprócz danych publicznych identyfikujących przedsiębiorcę, określonych we wpisie do ewidencji działalności gospodarczej i w bazie REGON oraz danych identyfikujących wierzytelność, P. przekazał zagranicznej firmie windykacyjnej informacje poufne, na których przekazanie nie wyraził zgody, takie jak numer NIP, PESEL oraz numer dowodu osobistego. Tym samym, zdaniem skarżącego, doszło do naruszenia przez P. S.A. tajemnicy telekomunikacyjnej, chronionej w oparciu o art. 161 i art. 159 Prawa telekomunikacyjnego.

W wyniku przeprowadzonego postępowania wyjaśniającego GIODO ustalił, że skarżący był klientem P. od 1997 r. do 2004 r. Pismem z dnia 26 października 2004 r. Spółka rozwiązała z nim umowę o świadczenie usług telekomunikacyjnych ze skutkiem natychmiastowym w związku z zaległością na koncie abonenckim. Dane osobowe skarżącego w zakresie firmy pod którą prowadził działalność gospodarczą, jego imienia i nazwiska, daty urodzenia, numeru ewidencyjnego PESEL, numeru dowodu osobistego, adresu zameldowania lub zamieszkania oraz numeru telefonu, U. Spółka z o.o. w W. uzyskała od U. S.A. z siedzibą w L. na podstawie umowy o świadczenie usług windykacyjnych i administrowanie portfelami wierzytelności, zawartej w dniu 1 marca 2007 r. Na mocy tej umowy doszło do przeniesienia na Spółkę jej wierzytelności wobec skarżącego, jako osoby prowadzącej działalność gospodarczą.

Decyzją z dnia [...] stycznia 2013 r. GIODO odmówił uwzględnienia wniosku skarżącego, uznając, że nie jest właściwy do zbadania kwestii istnienia lub nieistnienia wierzytelności. Podkreślił natomiast, że działając na podstawie i w granicach ustawowych kompetencji, przyznanych mu ustawą, może zbadać, czy u podstaw przetwarzania przez Spółkę danych osobowych skarżącego znajdowała się co najmniej jedna, spośród wymienionych w art. 23 ust. 1 ustawy, przesłanka dopuszczalności przetwarzania danych. Organ wyjaśnił, że zgoda osoby, której dane dotyczą, nie jest jedyną podstawą przetwarzania jej danych osobowych, bowiem proces przetwarzania danych będzie zgodny z ustawą również wówczas, gdy administrator danych wykaże spełnienie jednej z wymienionych w tym przepisie przesłanek. Odnosząc się do stanu faktycznego sprawy organ wskazał, że przekazanie danych skarżącego nastąpiło w oparciu o przesłankę wymienioną w art. 23 ust. 1 pkt 5 ustawy, a co do legalności tego udostępniania zgoda skarżącego nie była wymagana. Spółka U. pozyskała dane osobowe skarżącego w drodze powierzenia, na podstawie art. 31 ustawy. Organ podkreślił, że ustawa reguluje status podmiotów innych niż administrator danych, które mogą przetwarzać dane osobowe w imieniu i na rzecz tego administratora. Administrator danych może przetwarzać dane samodzielnie, ale art. 31 ustawy upoważnia go również do powierzenia, w drodze zawartej w formie pisemnej umowy przetwarzania tych danych, innemu podmiotowi. W przypadku zatem, gdy administrator danych skorzysta z upoważnienia wynikającego z brzmienia powołanego przepisu, dochodzi do zlecenia "na zewnątrz" przetwarzania danych. Podmiot, któremu administrator powierzył przetwarzanie danych (procesor), może je jednak przetwarzać wyłączne w przewidzianym umową zakresie i w określonym w umowie celu (art. 31 ust. 2 ustawy). Procesor jest ponadto obowiązany, przed rozpoczęciem przetwarzania danych, podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39 ustawy oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a ustawy. W zakresie przestrzegania tych przepisów wskazany podmiot ponosi odpowiedzialność jak administrator danych (art. 31 ust. 3 ustawy). Zgodnie art. 31 ust. 5 ustawy, do kontroli zgodności z przepisami o ochronie danych osobowych przetwarzania danych przez podmiot, któremu zostały one powierzone, stosuje się odpowiednio przepisy art. 14 - 19 ustawy.

Strona 1/9
Inne orzeczenia o symbolu:
647 Sprawy związane z ochroną danych osobowych
Inne orzeczenia z hasłem:
Ochrona danych osobowych
Inne orzeczenia sądu:
Naczelny Sąd Administracyjny
Inne orzeczenia ze skargą na:
Generalny Inspektor Ochrony Danych Osobowych