Naczelny Sąd Administracyjny w składzie: Przewodniczący sędzia NSA: Wojciech Chróścielewski (spr.) Sędziowie NSA Henryk Ożóg Joanna Runge - Lissowska Protokolant Joanna Szcześniak po rozpoznaniu w dniu 16 lutego 2007 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej B. SA z siedzibą w [...] od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 1 grudnia 2005 r. sygn. akt II SA/Wa 917/05 w sprawie ze skargi B. SA z siedzibą w [...] na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę kasacyjną
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 1 grudnia 2005 r., II SA/Wa 917/05, oddalił skargę P. SA z siedzibą w [...] na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] nr [...] w przedmiocie przetwarzania danych osobowych. Wyrok został wydany w następujących okolicznościach sprawy. Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...], na podstawie art. 12 pkt 2 i art. 22 oraz art. 26 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. nr 101, poz. 926 z późn. zm.). nakazał "P."SA z siedzibą w [...] usunięcie uchybień w procesie przetwarzania danych osobowych poprzez:
1. zaprzestanie zbierania danych osobowych w zakresie szerszym, niż jest to niezbędne dla realizacji celu przetwarzania danych - zawarcia i realizacji umowy leasingu - to jest w zakresie informacji, czy wobec osoby występującej z wnioskiem o zawarcie umowy leasingu toczy się postępowanie karno-skarbowe, a także w zakresie wizerunku, rysopisu, imion rodziców, miejsca urodzenia, poprzednich adresów zameldowania, informacji o dzieciach oraz kategorii i dacie nadania uprawnienia do prowadzenia pojazdów;
2. zaprzestania zbierania danych osobowych w zakresie szerszym, niż jest to niezbędne dla realizacji celu przetwarzania danych (identyfikacji osób składających zlecenie, prowadzonej w celu wykonania obowiązku rejestracji transakcji) tj. w zakresie obejmującym wizerunek, rysopis, imiona rodziców, miejsce urodzenia, poprzednie adresy zameldowania.
II. w pozostałym zakresie postępowanie umorzył.
W wyniku złożenia przez stronę wniosku o ponowne rozpoznanie sprawy Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] wydaną na podstawie art. 12 pkt 2, art. 18 ust 1 pkt 1 i art. 22 w związku z art. 26 ust 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych utrzymał w mocy zaskarżoną decyzję.
W uzasadnieniu GIODO wskazał, że stosownie do art. 23 ust 1 ustawy o ochronie danych osobowych, przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy zostaje spełniona przynajmniej jedna przesłanka wymieniona w tym przepisie, w tym m.in. dopuszczająca przetwarzanie danych, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku. W przypadku "P." S.A., przetwarzanie danych osobowych w związku z dokonywaniem transakcji oraz identyfikacją klientów jest niezbędne dla spełnienia obowiązków wynikających z przepisów ustawy z dnia 16 listopada 2000 r. o przeciwdziałaniu wprowadzaniu do obrotu finansowego wartości majątkowych pochodzących z nielegalnych lub nieujawnionych źródeł oraz przeciwdziałaniu finansowaniu terroryzmu (Dz.U. z 2003 r. nr 153, poz. 1505 z późn. zm.). Stosownie do treści art. 8 ust 3 powołanej ustawy instytucja obowiązana przyjmująca dyspozycję lub zlecenie klienta do przeprowadzenia transakcji, której okoliczności wskazują, że wartości majątkowe mogą pochodzić z nielegalnych lub nieujawnionych źródeł, ma obowiązek zarejestrować taką transakcję, bez względu na jej wartość i charakter. Zgodnie z art. 9 ust. 1 tej ustawy w celu wykonania obowiązku rejestracji instytucje obowiązane dokonują identyfikacji swoich klientów, w każdym przypadku złożenia dyspozycji lub zlecenia do przeprowadzenia transakcji na podstawie dokumentów przedstawionych przy złożeniu dyspozycji lub zlecenia przeprowadzenia transakcji albo przy zawieraniu umowy z klientem. Organ wskazał ponadto, że zgodnie z art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych administrator danych przetwarzający je powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, w związku z tym katalog niezbędnych informacji pozyskiwanych przez "P." S.A. w szerszym zakresie narusza zasadę adekwatności wyrażoną w tym przepisie. Równocześnie organ wskazał, że ustawodawca wyznaczając zamknięty katalog danych, które mieszczą się w ewidencji działalności gospodarczej, nie zaliczył do niego informacji dotyczących prowadzenia postępowania karno-skarbowego wobec przedsiębiorcy będącego osobą fizyczną.