I OSK 1083/05

I OSK 1083/05 - Wyrok NSA
Data orzeczenia
2006-07-13
orzeczenie prawomocne
Data wpływu
2005-09-26
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Janina Antosiewicz
Jolanta Rajewska
Małgorzata Jaśkowska /przewodniczący sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
II SA/Wa 1923/04 - Wyrok WSA w Warszawie z 2005-04-20
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżony wyrok w części i przekazano sprawę do ponownego rozpoznania przez Wojewódzki Sąd Administracyjny
Powołane przepisy
Dz.U. 2002 nr 153 poz 1270
art.185 §1
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi.
Sentencja
Naczelny Sąd Administracyjny w składzie następującym: Przewodniczący Sędzia NSA Małgorzata Jaśkowska /spr./, Sędziowie NSA Janina Antosiewicz, Jolanta Rajewska, Protokolant Kamil Wertyński, po rozpoznaniu w dniu 13 lipca 2006 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej L. SA z/s w [...] od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 20 kwietnia 2005 r. sygn. akt II SA/Wa 1923/04 w sprawie ze skargi L. SA z/s w [...] na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] nr [...] w przedmiocie ochrony danych osobowych 1) uchyla zaskarżony wyrok w zakresie punktu 2 i przekazuje sprawę w tym zakresie do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie 2) w pozostałym zakresie oddala skargę kasacyjną 3) zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz L. SA z/s w [...] kwotę 180 ( sto osiemdziesiąt ) zł. tytułem zwrotu kosztów postępowania kasacyjnego 4) odmawia wstrzymania wykonania zaskarżonej decyzji
Uzasadnienie
Generalny Inspektor Ochrony Danych Osobowych decyzją nr [...] z dnia [...] nakazał [...] "L." S.A. z siedzibą w [...] przy ul. [...] usunięcie uchybień w procesie przetwarzania danych osobowych poprzez:
1.zaprzestanie zbierania danych osobowych potencjalnych klientów w zakresie
szerszym niż jest to niezbędne dla realizacji celów przetwarzania danych
(przedstawienia telefonicznej oferty ubezpieczeniowej), tj.: imienia,
nazwiska, daty urodzenia, adresu zameldowania (lub zamieszkania), numeru
telefonu, od dnia, kiedy niniejsza decyzja stanie się ostateczna,
2.zaprzestanie zbierania danych osobowych klientów (w wyniku fotografowania
dowodu osobistego i prawa jazdy) w szerszym zakresie niż jest to niezbędne
dla realizacji celu przetwarzania danych (wystawienia polisy, oceny ryzyka
ubezpieczeniowego, wyliczenia składki i realizacji umowy ubezpieczenia),
tj.: wizerunku ubezpieczonego, rysopisu, nazwiska rodowego, imion
rodziców, miejsca urodzenia, poprzednich adresów zameldowania, od dnia,
kiedy niniejsza decyzja stanie się ostateczna,
3.usunięcie danych osobowych osób, z którymi nie zawarto umowy
ubezpieczenia, od dnia, kiedy niniejsza decyzja stanie się ostateczna,
4.uzupełnienie ewidencji osób zatrudnionych przy przetwarzaniu danych
osobowych o identyfikator użytkownika systemu informatycznego, w
terminie 14 dni od dnia, kiedy niniejsza decyzja stanie się ostateczna.
W pozostałym zakresie organ administracji publicznej postępowanie umorzył.
W uzasadnieniu decyzji organ podał, że zgodnie z art. 26 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze. zm.) administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane.
GIODO stwierdził, iż kontrolowany przez niego podmiot pozyskiwał dane osobowe poprzez zgłoszenia telefoniczne. Potencjalny klient uzyskiwał informacje wynikające z art. 24 ustawy o ochronie danych osobowych, a także o tym, że rozmowa jest nagrywana. Operator informował potencjalnego klienta, że w przypadku wyrażenia przez niego zgody na przetwarzanie jego danych osobowych, powinien zaczekać na zgłoszenie się konsultanta, w przypadku nie wyrażenia zgody, powinien się rozłączyć. Następnie konsultant ponownie informował potencjalnego klienta, że rozmowa jest nagrywana oraz, że jego dane zostaną zarejestrowane w bazie danych, a następnie zadawał pytanie o wyrażenie zgody na przetwarzanie danych osobowych przez Spółkę. Brak zgody powodował przerwanie przez konsultanta rozmowy, natomiast po uzyskaniu zgody konsultant zwracał się do potencjalnego klienta o podanie danych w następującym zakresie: imię i nazwisko głównego użytkownika pojazdu, datę urodzenia, adres zameldowania lub adres zamieszkania oraz numer telefonu. Udzielenie tych danych przez potencjalnego klienta było obowiązkowe na etapie tworzenia oferty, gdyż Spółka swoją ofertę ubezpieczeniową przedstawiała jedynie tym osobom, które dane podadzą. Potencjalny klient mógł na tym etapie podać dobrowolnie dane dodatkowe, tzn.: PESEL, stan cywilny, wykształcenie i zawód. Pozostałe dane, które podaje dotyczą historii ubezpieczenia oraz pojazdu. Dane osobowe uzyskane podczas rozmowy telefonicznej były przez Spółkę wprowadzane do systemu informatycznego.
GIODO stwierdził, iż [...] "L." S.A. z siedzibą w [...] pomimo istnienia podstawy prawnej zawartej w art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych, tj. zgody osoby do przetwarzania danych osobowych potencjalnych klientów na etapie tworzenia oferty, przetwarzało te dane z naruszeniem zasady wyrażonej w art. 26 ust. 1 pkt 3 tej ustawy, gdyż na etapie tworzenia oferty wystarczające jest podanie danych w zakresie: wiek, nazwa miejsca zamieszkania, ewentualnie stan cywilny oraz dane dotyczące historii ubezpieczenia i pojazdu, bez podawania danych indywidualizujących osobę.
W uzasadnieniu decyzji organ zauważył również, iż zgodnie z procedurą informatyczną oznaczoną symbolem 05-12, dotyczącą postępowania w sytuacji zgłoszenia przez klienta żądania usunięcia jego danych osobowych przyjęto, że usunięcie tych danych jest możliwe, gdy klient nie zaakceptował oferty ubezpieczeniowej, nie odebrał przesyłki i/lub nie opłacił składki. Jeśli klient po przeprowadzonej rozmowie telefonicznej żądał usunięcia danych osobowych, konsultant zaznaczał status klienta "GIODO - usunąć dane". Ta sama procedura dotyczyła również pozostałych przypadków, tj gdy klient twierdzi, że jego dane są w bazie danych i żąda ich usunięcia, bądź klient nie odebrał polisy lub nie opłacił składki. Zbieranie danych osobowych, podanych na etapie rozmowy telefonicznej dotyczącej przedstawienia oferty ubezpieczeniowej, jest dla Spółki zbędne, a dalsze przetwarzanie tych danych wynika jedynie z faktu, iż klient nie zażądał ich usunięcia. Przetwarzanie danych potencjalnych klientów we wcześniej określonym zakresie jest nieadekwatne w stosunku do celów, w jakich są one przetwarzane, tj. w celu przedstawienia telefonicznej oferty ubezpieczeniowej.
W uzasadnieniu swojego rozstrzygnięcia organ zauważył, iż w procesie odszkodowawczym klient lub poszkodowany dokonywał także zgłoszenia telefonicznego faktu zaistnienia zdarzenia objętego ubezpieczeniem i składał związany z tym zdarzeniem wniosek o uznanie szkody i wypłatę odszkodowania. Następnie rzeczoznawca dokonywał oględzin pojazdu, sporządzał raport z miejsca wypadku i wykonywał metodą cyfrową dokumentację fotograficzną, m.in. fotografował dowód osobisty, prawo jazdy i dowód rejestracyjny. Zatem w ocenie GIODO, zakres danych osobowych przetwarzanych w systemie informatycznym w celu wystawienia polisy, oceny ryzyka ubezpieczeniowego, wyliczenia wysokości składki i realizacji umowy ubezpieczenia to: imię, nazwisko głównego użytkownika pojazdu, data urodzenia, adres zameldowania lub adres zamieszkania, numer telefonu, PESEL, stan cywilny, wykształcenie i zawód. Natomiast szerszy był zakres danych zebranych w wyniku fotografowania dowodu osobistego, obejmował on wizerunek ubezpieczonego, rysopis, nazwisko rodowe, imiona rodziców, miejsce urodzenia, informacje o poprzednich miejscach zameldowania, a w przypadku prawa jazdy - wizerunek.
Spółka, przy likwidacji szkody pozyskuje zatem dane osobowe klientów w szerszym zakresie niż jest to niezbędne dla realizacji celu przetwarzania danych, tj. wystawienia polisy, oceny ryzyka ubezpieczeniowego, wyliczenia składki i realizacji umowy ubezpieczenia, co stanowi naruszenie zasady wyrażonej w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych.
Podczas kontroli ustalono również, że Spółka nie pozyskiwała zgody klienta na przetwarzanie jego danych osobowych, w przypadku gdy nie doszło do zawarcia z nim umowy ubezpieczenia. Przy odbiorze polisy wraz z niezbędną dokumentacją klient uiszcza opłatę, czym potwierdza zawarcie umowy ubezpieczenia. Jeżeli opłata nie zostanie uiszczona, to dokumenty zwracane są do Spółki, gdzie po uprzednim kontakcie telefonicznym z klientem, są anulowane. Jeżeli w taki sposób potencjalny klient zrezygnował z zawarcia umowy, usunięcie jego danych osobowych z systemu informatycznego możliwe jest wyłącznie w przypadku wyrażenia takiego żądania. Spółka nie usuwa również danych osobowych potencjalnego klienta z bazy danych w przypadku, gdy istnieje uzasadnione podejrzenie, ze chciał on wyłudzić odszkodowanie, jak również danych zebranych na etapie przedstawienia oferty ubezpieczeniowej. Gdy natomiast nie dochodziło do zawarcia umowy ubezpieczenia, a klient nie zwrócił się o usunięcie jego danych osobowych, jego dane pozostawały w zbiorze danych prowadzonych przez Spółkę.
W konkluzji uzasadnienia decyzji z dnia [...] GIODO wskazał, iż zgodnie z art. 39 ust. 1 ustawy o ochronie danych osobowych, administrator danych powinien prowadzić ewidencję osób zatrudnionych przy ich przetwarzaniu. W Spółce ewidencja ta jest niepełna.
Pełnomocnik Spółki, w dniu 17 maja 2004 r. od powyższej decyzji złożył do Generalnego Inspektora Ochrony Danych Osobowych wniosek o ponowne rozpatrzenie sprawy, w którym wniósł o jej uchylenie w części objętej pkt 1-3 decyzji i umorzenie postępowania w tym zakresie. Odnosząc się do nakazu zaprzestania zbierania danych osobowych potencjalnych klientów pełnomocnik podniósł, że Spółka oferuje produkt ubezpieczeniowy zindywidualizowany - adresowany wyłącznie do telefonującego klienta. Nie jest możliwe złożenie oferty anonimowej. Klient otrzymuje ofertę już w trakcie pierwszej rozmowy z konsultantem. Jeśli nie decyduje się na zawarcie umowy od razu, dane identyfikujące są Spółce potrzebne do złożenia mu ponownej oferty.
Przedstawienie klientowi oferty dopasowanej do jego indywidualnych potrzeb jest możliwe dzięki precyzyjnej ocenie ryzyka ubezpieczeniowego, która jest między innymi dokonywana na podstawie wiarygodności potencjalnego klienta. Z uwagi na różne źródła, z których Spółka może pozyskać dane do weryfikacji klienta, potrzebne jest zbieranie danych w zakresie imienia, nazwiska, daty urodzenia, adresu zameldowania lub zamieszkania, numeru telefonu. Spółka ma prawo oceniać ryzyko na podstawie informacji otrzymanych od innych zakładów, biur informacji gospodarczych oraz baz danych Ubezpieczeniowego Funduszu Gwarancyjnego. Ponadto, Spółka weryfikuje podane przez klienta dane we własnych bazach danych. Ocena wiarygodności klienta na etapie składania indywidualnej oferty ubezpieczeniowej ma zasadnicze znaczenie dla oceny ryzyka ubezpieczeniowego. Spółka legitymuje się zgodą osoby, której dane dotyczą na przetwarzanie danych w zakresie, w którym te dane przetwarza. Klient może w każdym czasie tę zgodę wycofać, co skutkuje usunięciem jego danych z bazy danych Spółki.
Ustosunkowując się do nakazu zaprzestania zbierania danych osobowych klientów poprzez fotografowanie dowodu osobistego i prawa jazdy w zakresie szerszym niż jest to niezbędne dla realizacji celu przetwarzania danych, pełnomocnik Spółki wskazał, że zakres zbieranych danych dotyczy jedynie celów likwidacji szkody, a nie wystawienia polisy, oceny ryzyka ubezpieczeniowego, wyliczenia wysokości składki i realizacji umowy ubezpieczenia. Ponadto stwierdził, że użyte w nakazie określenie "niezbędne" nie jest tożsame z terminem "adekwatne", o którym mowa w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych, jak również, że fotografie dowodu osobistego i prawa jazdy są przydatne w przypadku sporów sądowych w związku z fałszowaniem tych dokumentów.
Odnosząc się do nakazu usunięcia danych osobowych osób, z którymi nie zawarto umowy ubezpieczenia pełnomocnik stwierdził, że Spółka przetwarza dane klientów oraz potencjalnych klientów na podstawie wyrażonej przez nich zgody. Zgoda ta obejmuje wykorzystanie danych w celu sporządzenia oferty ubezpieczeniowej, a przedstawienie kolejnych ofert jest w rzeczywistości jedyną działalnością marketingową Spółki.
Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...], Nr [...] utrzymał w mocy decyzję poprzedzającą z dnia [...] i w jej uzasadnieniu podtrzymał argumenty w niej przedstawione.
Decyzja ta w części utrzymującej w mocy pkt 1 ppkt 1-3 stała się przedmiotem skargi złożonej przez pełnomocnika Spółki do Wojewódzkiego Sądu Administracyjnego w Warszawie. Zarzucono w niej zaskarżonej decyzji naruszenie. art.23 ust.1 pkt 1,2, i 5 ustawy o ochronie danych osobowych przez nieuwzględnienie podstaw prawnych do przetwarzania danych, które miało wpływ na wynik sprawy, naruszenie art.26 ust.1 pkt 3 tej ustawy przez błędną interpretację , naruszenie art.,18 ust,1 pkt 6 w związku z art.7 pkt 6 przez brak wskazania obowiązku oraz naruszenie art.7,9 i 107 kpa przez niewyjaśnienie stanu faktycznego i nierozpatrzenie całej argumentacji Spółki, co mogło mieć istotny wpływ na wynik sprawy. W uzasadnieniu skargi pełnomocnik Spółki w jej zasadniczej części powtórzył argumenty przedstawione we wniosku o ponowne rozpatrzenie sprawy.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie i podtrzymał argumenty przedstawione w uzasadnieniach swoich decyzji.
Wojewódzki Sąd Administracyjny w Warszawie, po rozpoznaniu skargi, zaskarżonym wyrokiem z dnia 20 kwietnia 2005 r. Sygn. akt II SA/Wa 1923/04 w pkt. 1 uchylił decyzję GIODO w takim zakresie, w jakim utrzymywała ona w mocy pkt. I ppkt. 2 decyzji poprzedzającej z dnia [...] Nr [...] oraz uchylił ten punkt decyzji poprzedzającej. W pozostałym zakresie skargę oddalił. W uzasadnieniu wyroku Sąd zauważył, iż rozstrzygnięcie zawarte w sentencji decyzji jest jednym z najistotniejszych elementów każdej decyzji administracyjnej, stanowi jej istotę, bowiem w tym fragmencie przesądza się o nałożeniu obowiązku. Musi więc być ono tak sformułowane, aby wynikało z niego w sposób jednoznaczny, jaki obowiązek zostaje nałożony na stronę. Obowiązek ten powinien być wyrażony precyzyjnie, bez możliwości różnej interpretacji, gdyż tylko wtedy możliwe będzie wykonanie przez stronę decyzji. Tymczasem Generalny Inspektor Ochrony Danych Osobowych, nakazując "L." [...] S.A. zaprzestanie zbierania danych osobowych klientów (w wyniku fotografowania dowodu osobistego i prawa jazdy) w szerszym zakresie niż jest to niezbędne dla realizacji celu przetwarzania danych (wystawienia polisy, oceny ryzyka ubezpieczeniowego, rysopisu, nazwiska rodowego, imion rodziców, miejsca urodzenia, poprzednich adresów zameldowania), nie sprostał określonemu powyżej obowiązkowi.
Z nałożonego nakazu nie wynikało m. inn. na jakim etapie zobowiązany podmiot ma zaprzestać zbierania danych osobowych. W tym zakresie organ zobowiązany jest ponownie rozpatrzyć sprawę i wydać właściwe rozstrzygnięcie.
Jednocześnie WSA w Warszawie z mocy art. 141 § 2 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.) odstąpił od uzasadnienia wyroku w części, w której skargę oddalił, z uwagi na fakt, iż w sprawach, w których skargę oddalono, uzasadnienie wyroku sporządza się na wniosek strony zgłoszony w terminie siedmiu dni od dnia ogłoszenia wyroku albo doręczenia odpisu sentencji wyroku, zaś w niniejszej sprawie stosowny wniosek w terminie do Sądu nie wpłynął.
W związku z wnioskiem strony o przywrócenie terminu do złożenia wniosku o uzasadnienie wyroku w części oddalającej skargę Wojewódzki Sąd Administracyjny w Warszawie przywrócił ten termin i sporządził stosowne uzasadnienie. Wskazał w nim, że zgodnie z wyrokiem NSA z dnia 19 kwietnia 2000 r Sygn. akt 2619/99 przyjęte w ustawie o ochronie danych osobowych regulacje prawne winny być zbieżne z regulacjami prawnymi UE. Sąd powołał się następnie na podstawy przetwarzania danych wymienione w art.23 ustawy i wskazał, że jego zdaniem zarzuty Skarżącej są nieuzasadnione , stanowią własną interpretację przepisów ustawy, a nie znajdują potwierdzenia ani w materiale dowodowym ani w orzecznictwie NSA, szczególnie w wyroku NSA z 13 lutego 2003r sygn. akt II SA 1620/01. Zdaniem Sądu w sprawie nie naruszono też art.7,9 i 107 kpa. Organy prowadząc postępowanie nie naruszyły bowiem zasady prawdy obiektywnej a zaskarżona decyzja została wydana zgodnie z art.107 kpa.
Powyższy wyrok zaskarżyło [...] "L." SA z siedzibą w [...] w części w jakiej oddalało skargę. W uzasadnieniu skargi kasacyjnej podniesiono, iż WSA w Warszawie oddalając w części skargę naruszył:
1. przepisy postępowania, tj. art. 141 § 1 i 141 § 2 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153 poz. 1270 ze zm.) poprzez
uzasadnienie wyroku jedynie w części, w której sąd skargę oddalił, a tym samym błędną wykładnię tych przepisów i ich niewłaściwe zastosowanie. Naruszenie to miało istotny wpływ na wynik sprawy poprzez pozbawienie strony prawa do poprawnej weryfikacji wyroku przez Naczelny Sąd Administracyjny;
2. Naruszenie przepisów postępowania, tj. art. 141 § 4 ppsa poprzez nieprzedstawienie w częściowym uzasadnieniu wyroku stanu sprawy oraz niewyjaśnienie podstawy prawnej rozstrzygnięcia;
3. Naruszenie prawa materialnego, tj. art. 23, ust. 1, pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, poprzez nieuwzględnienie podstaw prawnych do przetwarzania danych osobowych, które miało wpływ na wynik sprawy, a tym samym błędną wykładnię tego przepisu;
4. Naruszenie prawa materialnego, tj. art. 23, ust. 1, pkt 2 ustawy o ochronie danych osobowych w związku z art. 18
ust. 1 ustawy z dnia 22 maja 2003 r. o działalności ubezpieczeniowej (Dz. U. z 2003 r., Nr 124, poz. 1151), poprzez nieuwzględnienie podstaw prawnych do przetwarzania danych osobowych, które miało wpływ na wynik sprawy, a tym samym błędną wykładnię tych przepisów;
5. naruszenie prawa materialnego, tj. art. 23, ust. 1, pkt 5 ustawy o ochronie danych osobowych poprzez nieuwzględnienie podstaw prawnych do przetwarzania danych osobowych, które miało wpływ na wynik sprawy, a tym samym błędną wykładnię tego przepisu oraz jego niewłaściwe zastosowanie;
6. naruszenie prawa materialnego, tj. art. 26, ust. 1, pkt 3 ustawy o ochronie danych osobowych poprzez jego błędną
wykładnię, które miało wpływ na wynik sprawy, oraz jego niewłaściwe zastosowanie.
Jako uzasadnienie stawianych zarzutów wskazano w pierwszym rzędzie, iż
zdaniem Spółki w myśl art. 141 § 1 ppsa uzasadnienie wyroku sporządza się z urzędu w terminie czternastu dni od ogłoszenia wyroku albo podpisania sentencji wyroku wydanego na posiedzeniu niejawnym, z zastrzeżeniem § 2. W § 2 tegoż artykułu stwierdza się, że w sprawach, w których skargę oddalono, uzasadnienie wyroku sporządza się na wniosek strony zgłoszony w terminie siedmiu dni od dnia ogłoszenia wyroku albo doręczenia odpisu sentencji wyroku. Uzasadnienie wyroku sporządza się w terminie czternastu dni od dnia zgłoszenia wniosku. Przepis ten dotyczy jednak przypadków, w których skarga została oddalona w całości. Wskazuje na to odwołanie się w art. 141 § 2 ppsa do pojęcia sprawy. Sprawa to całość rozstrzyganego przez Sąd zagadnienia. Z przepisów tych, ani z żadnego innego przepisu ppsa nie wynika możliwość sporządzenia i doręczenia wyroku z częściowym uzasadnieniem, tak jak uczynił to w niniejszej sprawie WSA w Warszawie. W konsekwencji Sąd pierwszej instancji uniemożliwił Skarżącej odniesienie się do twierdzeń oraz pozbawił prawa do prawidłowej weryfikacji decyzji przez Naczelny Sąd Administracyjny. Naruszenie art. 141 § 4 ppsa miało przy tym istotny wpływ na wynik sprawy, bowiem będąc pozbawioną wyjaśnienia podstawy prawnej wyroku Skarżąca Spółka nie może w skardze kasacyjnej odnieść się do twierdzeń WSA. W uzasadnieniu powołano się na opinię prawną prof. Zb. Cieślaka.
Z kolei zarzut naruszenia przez WSA w Warszawie art. 23 ust. 1 pkt. ustawy o ochronie danych osobowych uzasadniono tym, iż przepis ten ma charakter autonomiczny, tzn. że przetwarzanie danych jest zgodne z prawem jeśli co najmniej jedna z wymienionych w nim przesłanek jest spełniona. Natomiast według Skarżącej Sąd w wyroku w ogóle nie odniósł się do argumentów strony w zakresie podstaw prawnych przetwarzania danych, określonych w art. 23 ust. 1 ustawy. W szczególności, Sąd nie zanegował faktu istnienia zgody osób na zbieranie ich danych osobowych.
Zdaniem Skarżącej Spółki WSA w Warszawie nie wziął również pod uwagę przesłanki przetwarzania danych osobowych, o której mowa w art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych. Przepis ten zezwala bowiem na przetwarzanie (a więc m. in. na zbieranie) danych, jeśli jest ono niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisów prawa. Takim przepisem jest art. 18, ust. 1 ustawy o działalności ubezpieczeniowej, który wraz z art. 3, ust. 1 tejże ustawy wyjaśnia mechanizm tworzenia oferty ubezpieczeniowej.
W powyższym kontekście już samo oferowanie ochrony ubezpieczeniowej powinno być zdaniem Skarżącej traktowane jako czynność podlegająca szczególnej regulacji. Oferta ubezpieczeniowa w powyższym znaczeniu, polega bowiem na ustaleniu warunków zawarcia umowy ubezpieczenia, w tym w szczególności na określeniu wysokości składek ubezpieczeniowych. Zgodnie zaś z art. 18 ust. 1 ustawy o działalności ubezpieczeniowej wysokość składek ubezpieczeniowych ustala zakład ubezpieczeń po dokonaniu oceny ryzyka ubezpieczeniowego przede wszystkim na podstawie uzyskanych od klienta danych we wniosku ubezpieczeniowym. Jak wynika z powyższego, oferta ubezpieczeniowa nie jest zwykłą ofertą sprzedaży towaru lub usługi. Z czynnością "oferowania" ochrony ubezpieczeniowej ustawa wiąże określone uprawnienia (lub nawet obowiązki) zakładu ubezpieczeń. To realizacja tych uprawnień i obowiązków ustawowych stanowi, zgodnie z powołanym art. 23 ust. 1, pkt 2 ustawy o ochronie danych osobowych podstawę do pozyskiwania danych osobowych. Sposób i zakres pozyskiwania danych jest ściśle związany ze sposobem działania zakładu ubezpieczeń na rynku. Sąd tej kwestii nie rozważył, w szczególności nie wziął pod uwagę argumentów zawartych w znajdującym się w aktach sprawy piśmie Urzędu Komisji Nadzoru Ubezpieczeń i Funduszy Emerytalnych z dnia 29 marca 2004 r. Stwierdzono w nim m. in., że "L." [...] S.A. jest zakładem ubezpieczeń, który zdecydował się na nowatorską na polskim rynku formę pozyskiwania klientów, tj. z wyłączeniem bezpośredniego kontaktu przez pośredników ubezpieczeniowych czy pracowników zakładu ubezpieczeń.
Kolejny zarzut, naruszenia przez Sąd art. 26 ust. 1 pkt. 3 ustawy o ochronie danych osobowych, Spółka uzasadniła tym, iż w wyroku przyjęto, że zakres zbieranych danych przez Spółkę "L." jest nieadekwatny do celu przetwarzania. Dokonując takiej oceny WSA w Warszawie nie wziął pod uwagę takich elementów, jak m.in. różnorodności produktów ubezpieczeniowych, ryzyka ubezpieczeniowego i konieczności jego rzetelnej oceny, obowiązkowy, lub nieobowiązkowy charakter ubezpieczenia itd. Sąd powinien także wziąć pod uwagę i to, że oceny ryzyka ubezpieczeniowego Towarzystwo zawsze dokonuje na podstawie miejsca zamieszkania danego klienta, a to z uwagi na to, iż klasy taryfowe oparte są na numerach kodów pocztowych. Spółka analizując ryzyko ubezpieczeniowe ma przy tym prawo, w myśl art. 19 ust. 2 pkt. 22 ustawy o działalności ubezpieczeniowej, oceniać je na podstawie informacji pochodzących z innych Zakładów lub Towarzystw Ubezpieczeniowych, a także biur informacji gospodarczych. Spółka nie może przy tym zweryfikować tych informacji jeśli nie posiada imienia i nazwiska klienta.
Według Skarżącej WSA w Warszawie wyrokiem z dnia 20 kwietnia 2005 r. naruszył także art. 23 ust. 1 pkt. 5 ustawy o ochronie danych osobowych poprzez przyjęcie, iż Spółka nie wskazała podstaw prawnych przetwarzania danych osobowych w sytuacji, gdy wskazany przepis pozwala w opinii Spółki na przetwarzanie przez nią danych osobowych dla celów marketingowych nawet bez zgody osoby zainteresowanej. Przyjęty bowiem przez polskiego Ustawodawcę model tzw. "out-put" (zgodny z Dyrektywą 95/46) zakłada możliwość przetwarzania danych dla "prawnie uzasadnionych celów", pośród których jest wymieniony marketing bezpośredni własnych produktów.
W konsekwencji Skarżąca Spółka wniosła o uchylenie zaskarżonego wyroku w pkt 2 (tj. w części oddalającej skargę) oraz w pkt 4 w zakresie zwrotu części kosztów postępowania i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie (art. 185 § 1 ppsa), ewentualnie o zmianę zaskarżonego wyroku w pkt 2 poprzez uchylenie decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] nr [...]) w takim zakresie w jakim utrzymuje ona w mocy pkt 1 ppkt 1 i 3 decyzji. Ponadto Spółka zwróciła się z wnioskiem o wstrzymanie wykonania decyzji GIODO z dnia [...] oraz utrzymującej ją w mocy decyzji z dnia [...] z uwagi na niebezpieczeństwo wyrządzenia znacznej szkody oraz na niebezpieczeństwo spowodowania trudnych do odwrócenia skutków, a także o zasądzenie kosztów postępowania według norm przepisanych.
Odpowiedź na skargę kasacyjną Spółki "L." od wyroku WSA w Warszawie wniósł Generalny Inspektor Ochrony Danych Osobowych. W piśmie zwrócił się o oddalenie środka odwoławczego jako niezasadnego podnosząc raz jeszcze argumentację swojego stanowiska podaną w toku postępowania. Ponadto Organ wyjaśnił, iż w jego ocenie art. 141 § 2 w związku z art. 141 § 4 ppsa powinien być odczytywany w ten sposób, iż uzasadnienia wyroku nie powinno się sporządzać z urzędu w zakresie, w jakim skarga została oddalona. Odnośnie do pozostałych zarzutów skargi kasacyjnej wskazano, iż zdaniem Generalnego Inspektora przetwarzanie danych potencjalnych klientów w celach marketingowych, odbywa się bez podstawy prawnej. Nie zachodzi bowiem możliwość przesyłania ofert marketingowych do osób, z którymi nie doszło do zawarcia umowy ubezpieczeniowej z uwagi na brak odrębnej zgody na przetwarzanie danych w tym właśnie celu. Również zgoda wyrażona przez potencjalnego klienta dotycząca przetwarzania jego danych osobowych w celu przedstawienia mu oferty ubezpieczeniowej, nie obejmowała przetwarzania (w tym przechowywania) jego danych, po przedstawieniu mu tej oferty, gdy nie dojdzie do zawarcia umowy ubezpieczenia.
Nieuzasadniony jest także zdaniem GIODO zarzut, zawarty w skardze kasacyjnej, naruszenia przez Sąd pierwszej instancji art. 23 ust. 1 pkt. 5 ustawy o ochronie danych osobowych. Przepis ten ustanawia tzw. klauzulę usprawiedliwionego celu, zgodnie z którą, dozwolone jest przetwarzanie danych osobowych przez administratorów z sektora prywatnego (o których mowa w art. 3 ust. 2 ustawy o ochronie danych osobowych), jedynie gdy jest to niezbędne do wypełnienia przez nich usprawiedliwionych celów w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych. Jednakże ustawodawca zastrzega, że przetwarzanie danych nie może wówczas w żadnym razie naruszać praw i wolności osoby, której dane dotyczą. Natomiast w przypadku Spółki "L." cel administratora danych zdecydowanie przeważa nad prawami i wolnościami jednostki. Trudno bowiem zgodzić się z tym, że przetwarzanie w celach marketingowych danych osób, z którymi nie doszło do zawarcia umowy ubezpieczenia, poprzez "wymuszenie" na nich zgody na przetwarzania ich danych, jest zgodne z regułami społecznymi.
Naczelny Sąd Administracyjny zważył co następuje:
Skarga kasacyjna ma uzasadnione podstawy. Wojewódzki Sąd Administracyjny w Warszawie w zaskarżonym wyroku naruszył art. 141 §1, 2 i 4 ustawy z dnia 30 sierpnia 2002r Prawo o postępowaniu przed sądami administracyjnymi/ DzU Nr 153, poz. 1270 ze zm./ , powoływanej dalej jako ppsa, a naruszenie to mogło mieć istotny wpływ na wynik sprawy.
Zgodnie bowiem z art.141§1 ppsa uzasadnienie wyroku sporządza się z urzędu w terminie czternastu dni od dnia ogłoszenia wyroku albo podpisania sentencji wyroku wydanego na posiedzeniu niejawnym , z zastrzeżeniem §2 . Na podstawie §2 w sprawach w których skargi oddalono , uzasadnienie wyroku sporządza się na wniosek strony zgłoszony w terminie siedmiu dni od dnia ogłoszenia wyroku albo doręczenia odpisu sentencji wyroku. Uzasadnienie wyroku sporządza się w terminie czternastu dni od dnia zgłoszenia wniosku. W świetle §4 uzasadnienie wyroku powinno zawierać zwięzłe przedstawienie zarzutów podniesionych w skardze , stanowisk pozostałych stron , podstawę prawną rozstrzygnięcia oraz jej wyjaśnienie. Jeżeli w wyniku uwzględnienia skargi sprawa ma być ponownie rozpatrzona przez organ administracji , uzasadnienie powinno ponadto zawierać wskazania co do dalszego postępowania.
Naczelny Sąd Administracyjny podzielił przy tym stanowisko zawarte w skardze kasacyjnej , iż przepis art. 141§2 ppsa odnosi się jedynie do przypadku w którym skargę oddalono w całości. Oznacza to w konsekwencji obowiązek sporządzenia uzasadnienia z urzędu, przewidziany w art.141§1 ppsa , także w takim przypadku , gdy skargę oddalono w części , w części zaś uwzględniono. Jak bowiem podkreślił Naczelny Sąd Administracyjny w postanowieniu z dnia 20 kwietnia 2005r /Sygn. akt I OZ 291/05 , niepubl. /,orzeczenie stanowi jedność i dlatego z urzędu podlega uzasadnieniu co do obydwu rozstrzygnięć. Dodatkowo przemawia za tym argument , podniesiony przez Skarżącą , iż ustawodawca w art. 141§2 ppsa odwołał się do pojęcia sprawy. Sprawę zaś stanowi całość rozstrzyganego przez sąd zagadnienia.
Stąd w przedmiotowej sytuacji – nie sporządzając uzasadnienia z urzędu, WSA w Warszawie naruszył przepis art.141 §1 w związku z §2 ppsa. Uzasadnienie to zostało co prawda w konsekwencji złożonego wniosku -sporządzone w późniejszym terminie na wniosek . Doprowadziło to jednak po pierwsze do kuriozalnej sytuacji sporządzenia jednego wyroku z dwoma różnymi uzasadnieniami, po drugie także i one nie odpowiadały w pełni warunkom przewidzianym w art.141§4 ppsa. W uzasadnieniu odnoszącym się do części oddalającej skargę trudno bowiem dopatrzyć się wyjaśnienia podstawy prawnej rozstrzygnięcia. Sąd przytoczył w nim jedynie obowiązujące w tej mierze przepisy a następnie stwierdził, iż zarzuty skarżącego dotyczące naruszenia tych przepisów są nieuzasadnione i stanowią jedynie własną jego interpretację oraz nie znajdują potwierdzenia w zebranym materiale dowodowym ani orzecznictwie/ s. 5 uzasadnienia/ . Wskazał następnie , że zarzuty co do naruszenia przez GIODO art.7,9,czy 107 kpa , są również nieuzasadnione , gdyż organ prowadząc postępowanie administracyjne nie naruszył zasady prawdy obiektywnej, zasady udzielania informacji , a zaskarżona decyzja została wydana zgodnie z art.107 kpa /s. 6 uzasadnienia/. Sąd nie przytoczył przy tym żadnych argumentów na rzecz przedstawionej tezy. Jak zaś podkreślił NSA w wyroku z dnia 31 maja 2004r / Sygn. akt FSK 119/04 niepubl./ ,który to pogląd obecny skład w pełni podziela ,takie ogólnikowe i lakoniczne uzasadnienie pozbawiając stronę informacji o przesłankach rozstrzygnięcia narusza prawo i może stanowić podstawę skargi kasacyjnej z art.174 pkt 2 ppsa.
Co prawda , jak wskazał pełnomocnik organu na rozprawie, uzasadnienie wyroku sporządzane jest po jego wydaniu i stąd zasadniczo błędy w tym zakresie nie mogą wpływać na sposób rozstrzygnięcia. Jednocześnie jednak analiza uzasadnienia pozwala sądowi drugiej instancji na weryfikację orzeczenia sądu pierwszej instancji w granicach zarzutów skargi kasacyjnej. Istotne braki uzasadnienia uniemożliwiając Skarżącej odniesienie się do twierdzeń Wojewódzkiego Sądu Administracyjnego ograniczają jednocześnie jej prawo do obrony a Naczelny Sąd Administracyjny pozbawiają możliwości weryfikacji prawidłowości działania sądu pierwszej instancji . Tego typu naruszenie prawa może mieć więc istotny wpływ na wynik sprawy, nie tylko dlatego , iż może ograniczać możliwości kontroli instancyjnej, ale także dlatego, iż nie pozwala w zasadzie na zweryfikowanie stanowiska zajętego przez sąd pierwszej instancji . Nie można zaś zaakceptować takiego rozstrzygnięcia sądu , co do którego nie jest jasne, czy nie nosi ono cech pełnej dowolności. Wskutek zaś naruszenia art. 141§1 , 2 i 4 ppsa w niniejszej sprawie doszło w istocie do takiej sytuacji , która w znacznym stopniu uniemożliwia kontrolę NSA co do podstaw prawnych rozstrzygnięcia. Trudno bowiem stwierdzić, czy rzeczywiście w sprawie doszło do mylnego rozumienia treści normy prawnej, gdy nie jest wiadome, jaką wykładnią posłużył się sąd pierwszej instancji.
Stąd w przedmiotowej sprawie ocena NSA odnośnie naruszenia prawa materialnego przez błędną wykładnię przytaczanych przez Skarżącą podstaw przetwarzania danych ograniczać się może jedynie do ogólnych wskazówek .
Naczelny Sąd Administracyjny podkreśla w związku z tym, iż przesłanki przetwarzania danych zawarte w art. 23 ust.1 ustawy z dnia 29 sierpnia 1997r o ochronie danych osobowych / t. jedn. DzU 2002 r Nr 101 poz. 926 ze zm./, powoływanej dalej jako uodo, mają charakter autonomiczny i są co do zasady równoprawne. Wspomniana równoprawność nie oznacza jednak, iż obojętne jest w oparciu o jaką z nich prowadzone jest przetwarzanie danych. Ich konsekwencje prawne nie są bowiem identyczne, o czym świadczy m. inn. art.32 ust.1 pkt 7 i 8 uodo/ por. J. Barta , R. Markiewicz, Ochrona danych osobowych , Komentarz , Zakamycze 2001r s. 345./.Stąd istotne jest w przedmiotowej sytuacji ustalenie , czy podstawą przetwarzania danych przez Skarżącą była zgoda osoby , której dane ulegały przetworzeniu, czy przepis prawa, bądź też czy podstawa ta wynikała z niezbędności wypełniania usprawiedliwionych celów administratorów czy odbiorców danych , a przetwarzanie nie naruszało praw i wolności osoby , której dane dotyczą. Sąd pierwszej instancji nie ustalił tego faktu oraz nie ocenił zaskarżonej decyzji z punktu widzenia powołanych podstaw przetwarzania. Tymczasem podstawy te rzutują na szereg kwestii , m. inn. na zakres zbieranych i przetwarzanych danych, warunki tych czynności , ich ewentualną adekwatność czy niezbędność.
Należy podkreślić także, co jest istotne z punktu widzenia zarzutów Skarżącej, odnośnie oceny konkretnych podstaw przetwarzania danych osobowych , iż przepisy uodo mogą różnić się od przepisów dyrektywy 95/46/EC Parlamentu Europejskiego i Rady Unii Europejskiej z dnia 24 października 1995r w sprawie ochrony osób w związku z przetwarzaniem danych osobowych oraz swobodnego przepływu takich danych /OJ Nr L.281z 23 listopada 1995 ,s.31/. Prawo UE zezwala bowiem państwom członkowskim na znaczną swobodę we wprowadzaniu jej w życie , biorąc pod uwagę szczególne prawne i kulturowe wymagania. Z tego też względu polskie ustawodawstwo dotyczące ochrony danych stawia niekiedy wyższe wymagania niż powoływana dyrektywa. Stąd dokonując interpretacji poszczególnych podstaw przetwarzania danych i odwołując się w tym zakresie do regulacji unijnych , należy mieć na względzie możliwość bardziej restryktywnego traktowania tych podstaw w prawie polskim.
Analizując możliwe podstawy prawne przetwarzania danych osobowych w rozstrzyganej sprawie należy zwrócić uwagę na specyficzne warunki , którym muszą odpowiadać działania oparte na poszczególnych z nich.
Takie szczególne warunki spełniać musi podstawa wyrażona w art.23 ust.1 pkt 1 uodo . Zezwala ona na przetwarzanie danych za zgodą osoby, której dane dotyczą , chyba że chodzi o usunięcie dotyczących jej danych. Zgoda taka ma charakter oświadczenia woli , co oznacza konieczność badania jej skuteczności z różnych punktów widzenia . Między innymi winna być ona wyraźna, nie wystarczy zatem samo powiadomienie o zamiarze przetwarzania danych i brak sprzeciwu z drugiej strony. Nie musi być co prawda udzielona na piśmie, ale winna jasno i jednoznacznie prezentować wolę zainteresowanego i jej zakres. Udzielający zgody musi być przy tym zorientowany o jakie dane chodzi i o jakie ich przetwarzanie, w tym zwłaszcza do jakich celów. Sposób poinformowania musi być zrozumiały i nie może dotyczyć bliżej niedookreślonych czynności. Przetwarzanie i wykorzystanie danych powinno następować tylko w tym celu , dla którego zostały pozyskane i cel ten powinien być znany osobie , której dane dotyczą. Oznacza to obowiązek informowania o celu gromadzenia i zakaz zbierania danych na zapas, dla nieokreślonych lub nie dających się określić celów.
Ponieważ zgoda taka stanowi oświadczenie woli, należy ją tłumaczyć w sposób, jaki wymagają , ze względu na okoliczności w których została złożona ,zasady współżycia społecznego i ustalone zwyczaje. Na podstawie art. 23 ust.2 uodo zgoda taka może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania. Jedynie , gdy przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby a spełnienie warunku uzyskania zgody nie jest możliwe , można na podstawie ust.3 przetwarzać dane bez zgody tej osoby do czasu , gdy uzyskanie zgody będzie możliwe. W każdym też przypadku przetwarzane dane , zgodnie z art.26 ust.1 pkt 3 muszą być merytorycznie poprawne i adekwatne w stosunku do celów . Oznacza to po pierwsze związanie celem przetwarzania , stąd cel ten winien być wyraźnie zakomunikowany , a wszelkie niejasności winno się interpretować na korzyść osoby , której dane są przetwarzane. Po drugie wymagana jest adekwatność przetwarzanych danych. Zasada adekwatności oznacza zaś, iż dane nie mogą swym rodzajem i treścią wykraczać poza potrzeby wynikające z celu ich zbierania/ por. J. Barta, R. Markiewicz, Ochrona danych osobowych, Komentarz , Zakamycze 2001r s. 351, 382,, 415-416/ . Jest ona przy tym jedną z podstawowych zasad związanych z przetwarzaniem danych osobowych. Stąd też została wprowadzona do najważniejszych europejskich regulacji , w tym do konwencji nr 108 Rady Europy z dnia 28 stycznia 1981r o ochronie danych osobowych w związku z automatycznym przetwarzaniem danych osobowych, w rozdziale II , wśród podstawowych zasad ochrony danych . Zgodnie z art. 5 pkt 3 tej konwencji dane osobowe będące przedmiotem automatycznego przetwarzania powinny być odpowiednie /adekwatne/ , rzeczowe , niewykraczające poza cele , dla których są rejestrowane . Podobna regulacja pojawiła się w powoływanej wyżej dyrektywie 95/46/WE Parlamentu Europejskiego i Rady Europy w art. 6 pkt c. Warto wskazać ,iż w praktyce UE wielokrotnie podkreślano znaczenie zasady adekwatności, w tym m. inn. w opiniach Grupy Roboczej powołanej do badania kwestii dotyczących stosowania krajowych środków przyjętych na mocy dyrektywy 95/46/WE .Wskazywano przy tym na konieczność proporcjonalnego, "nienadmiarowego" zbierania i wykorzystania danych osobowych. Odgrywa to bowiem kluczową rolę przy zapewnieniu obywatelom realnego prawa do prywatności/ por. /D. Skolimowska , Adekwatność przetwarzania danych osobowych, w Ochrona danych osobowych wczoraj, dziś, jutro , Warszawa 2006 r s. 416/.
W polskim orzecznictwie podkreśla się , iż zasada ta nie odnosi się do techniki zbierania danych lecz przede wszystkim do ich zakresu. Stąd posługiwanie się taką czy inną techniką utrwalania danych nie przesądza jeszcze o ich legalności lub nielegalności/ por. wyrok NSA z dnia 19 grudnia 2001r II S.A. 2869/00, ONSA 2003r nr 1 poz. 29/. Jest natomiast istotne z tego punktu widzenia, jaki charakter i znaczenie mają zawierane umowy . W drobnych umowach ze sfery życia codziennego kontrahenci mogą zachować wobec siebie anonimowość. Natomiast przy umowach o znacznym ciężarze gospodarczym bezpieczeństwo obrotu prawnego wymaga dokładnej identyfikacji stron zawierających umowę , co może uzasadniać gromadzenie przez nie danych osobowych w zakresie gwarantującym należyte wywiązanie się ze zobowiązania/ por. wyrok NSA z 19 grudnia 2001r S.A. 2869/00, ONSA 2003r nr 1 poz. 29/.
Przyjęcie jako podstawy przetwarzania danych zgody osoby oznacza w konsekwencji konieczność oceny tej przesłanki z punktu widzenia zakresu wyrażanej zgody i jej adekwatności , przy uwzględnieniu celów działalności ubezpieczeniowej wynikającej z ustawy z dnia 22 maja 2003r o działalności ubezpieczeniowej /DzU Nr 124, poz. 1151/.W takim przypadku wykładnia przepisów tej ustawy, w tym jej art. 18, ma pomocnicze znaczenie dla określenia związania celem i adekwatności przetwarzania danych.
Inne warunki dotyczą sytuacji, gdy podstawą przetwarzania danych stanowiłby art.23 ust.1 pkt 2 uodo. Jest to dopuszczalne w przypadku niezbędności zrealizowania uprawnienia lub obowiązku wynikającego z przepisów prawa . Ta podstawa odnosi się więc do działania na które nie uzyskano zgody danej osoby. Oznacza po pierwsze, iż musi istnieć normatywna podstawa danego uprawnienia czy obowiązku, winny więc one wynikać wyraźnie z przepisów prawa. Po drugie . przetwarzanie danych winno być w celu ich realizacji niezbędne. Należy w związku z tym zwrócić uwagę, iż powoływany przez Skarżącą art. 18 ust.1 ustawy o działalności ubezpieczeniowej wskazuje w ust.3 jedynie na obowiązek zbierania danych statystycznych . W pozostałym zakresie ,co wynika zresztą ze skargi kasacyjnej , reguluje jedynie ogólny mechanizm tworzenia oferty ubezpieczeniowej. Wykazanie tej podstawy przetwarzania danych wymagałoby więc określenia zakresu niezbędnych danych, przetwarzanych bez zgody osoby, której dotyczą, bez których nie byłoby możliwe zrealizowanie powyższych uprawnień , przy uwzględnieniu faktu , iż ubezpieczenie realizowane jest na wniosek.
Należy zgodzić się ze stanowiskiem Skarżącej , iż odrębną przesłanką przetwarzania danych może stanowić także ,przewidziana w art. 23 ust.1 pkt 5 ustawy , niezbędność wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, gdy przetwarzanie danych nie narusza praw i wolności osoby , której dane dotyczą. Argument ten stawiany był zresztą już w skardze do sądu pierwszej instancji. Gdyby więc , przy ponownym rozpatrzeniu sprawy WSA ustalił, że podstawy przetwarzania danych nie stanowiła zgoda zainteresowanego, a przynajmniej , iż nie odnosiła się ona do wszelkich form przetwarzania danych , winien zanalizować legalność przetwarzania tych danych na podstawie art.23 ust.1 pkt 5 uodo. Należy w związku z tym podkreślić, iż komentowany przepis dotyczy jedynie celów prawnie usprawiedliwionych. Zgodnie z ust. 4 uważa się za nie w szczególności marketing bezpośredni własnych produktów lub usług administratora danych czy dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. Cel takiego przetwarzania musi być usprawiedliwiony prowadzoną działalnością i charakterem administratora, przy czym nie może to naruszać prawa, zasad współżycia społecznego czy dobrych obyczajów/ J. Barta, R. Markiewicz, Ochrona danych osobowych , Komentarz , Zakamycze 2001r s. 374/.
W konsekwencji oznacza to, iż działalność prowadzona dla celów marketingowych , w tym dla proponowania innych umów ubezpieczeniowych ,może być dopuszczalna, bez zgody zainteresowanego, w świetle art.23 ust.1 pkt. 5 uodo. Winna ona jednak wówczas odpowiadać bardziej restryktywnym warunkom . Nie wystarczy już bowiem tylko , aby dane te były , w świetle art. 26 ust.1 pkt 3 merytorycznie poprawne i adekwatne do celów, ale muszą być one niezbędne do wypełnienia usprawiedliwionych celów administratora danych i odbiorców danych oraz nie naruszać praw i wolności osoby , której dane dotyczą. Wskazuje to na wyższe wymogi ustawowe. Stąd jeżeli dane przetwarzane są po wyrażeniu zgody, ale nie są adekwatne, nie mogą być legalizowane przesłanką z art.23 ust.1 pkt 5 uodo.
Przetwarzanie w oparciu o art. 23 ust.1 pkt 5 uodo musi być po pierwsze niezbędne, tzn mogą być wykorzystywane do niego tylko te dane, które są konieczne dla wypełnienia usprawiedliwionych celów administratora i odbiorcy danych. Zawęża to krąg danych w stosunku do tych , które są przetwarzane, a więc również zbierane za zgodą osoby. Oznacza również w konsekwencji ,iż przy tej podstawie przetwarzania danych zachodzi konieczność wykładni art.3 i 18 ust.1 ustawy o działalności ubezpieczeniowej nie z punktu widzenia ich adekwatności, lecz niezbędności .
Po drugie przetwarzanie takie nie może naruszać praw i wolności osoby, której dane dotyczą . Unormowanie to jest oparte , jak podkreśla wyrok Składu Siedmiu Sędziów NSA z dnia 6 czerwca 2005r I OPS 2/05 / ONSAi WSA 2006r nr 2 poz.38 /, na założeniu , że dochodzi do konfliktu interesów między interesem osoby, która ma prawo do ochrony swoich danych osobowych , a interesem administratora/ odbiorcy/ tych danych , który ma prawo przetwarzać te dane, jeżeli jest to konieczne dla realizacji jego uprawnień wynikających z przepisów prawa lub prawnie usprawiedliwionego celu. Wyważenie tych interesów jest warunkiem koniecznym , podkreśla to art. 7 lit. f dyrektywy 95/46/WE z dnia 24 października 1995r , zgodnie z którym dopuszcza się przetwarzanie danych osobowych przez administratora, gdy jest to konieczne z punktu widzenia potrzeb wynikających z uzasadnionych interesów administratora lub osoby trzeciej , z wyjątkiem przypadków , kiedy te interesy nadużywają podstawowe prawa i wolności podmiotu danych objęte ochroną na mocy art.1/1/. Oznacza to, że dyrektywa nakazuje ważyć interesy obydwu stron , w konkretnym przypadku i co do zasady dopuszcza przetwarzanie danych , które jest konieczne do realizacji prawnie usprawiedliwionych celów administratora, chyba że po dokonaniu porównania interesów obydwu stron okaże się, że podstawowe prawa i wolności jednostki mają większą wagę niż konkretny interes administratora. Jak wynika z wyroku Europejskiego Trybunału Sprawiedliwości z dnia 14 września 2000r The Queen przeciwko Ministrowi Rolnictwa Wielkiej Brytanii ,Zb. Orzeczeń 2000r s, I 6751 zał . nr I, przepisy prawa krajowego powinny być przy tym tak interpretowane ,jak dalece jest to możliwe na podstawie brzmienia i celu dyrektywy, aby zapewnić realizację tego celu.
Oznacza to w konsekwencji , iż wynik oceny uzależniony będzie od tego , czy w sprawie przeważać będzie usprawiedliwiony interes administratora danych/ odbiorcy/ czy osoby, której dane dotyczą. Interesy te mogą być ważone według różnych kryteriów. Jak podkreśla G. Szpor, / Publicznoprawna ochrona danych osobowych , PUG 1999 r nr 12 s.5/ , czy S, Grynhoff i P. Woźny/ Ochrona danych osobowych w praktyce, red. P. Woźny, Poznań 2000r s.18./, można przetwarzać dane w oparciu o tę podstawę jedynie wówczas , gdy dopuszczenie do ich przetwarzania jest dla zainteresowanego korzystne w takim stopniu , iż nie zarzuci on administratorowi naruszenia swych praw i wolności. Ocenę tę należy przy tym , zdaniem Naczelnego Sądu Administracyjnego , odnieść do przeciętnego posiadacza danych .
Powyższe wymogi wskazują, iż przy ponownym rozpatrzeniu sprawy wojewódzki sąd administracyjny winien ocenić zaskarżoną decyzję z punktu widzenia możliwości przetwarzania danych przez Skarżącą wynikających z art. 23 ust.1 pkt 1, 2 i 5 uodo. Należy przy tym uwzględnić fakt, iż ustawa stawia wyższe wymogi przetwarzania danych bez zgody zainteresowanego niż za jego zgodą. Pierwsze z nich muszą być bowiem m. inn. niezbędne i ważone z punktu widzenia porównania usprawiedliwionych celów administratora bądź odbiorcy danych a praw i wolności posiadacza tych danych. Drugie natomiast, o ile nie zawierają wad oświadczenia woli , winny być jedynie merytorycznie poprawne i adekwatne. Oznacza to w konsekwencji, iż nie można legalizować danych przetwarzanych za zgodą danej osoby, lecz nieadekwatnych – przesłanką wynikającą z art.23 ust.1 pkt 2 czy 5 uodo. Z tych ostatnich przesłanek wynikają bowiem bardziej restryktywne wymogi.
Naczelny Sąd Administracyjny oddalił natomiast skargę kasacyjną w zakresie punktu 4 zaskarżonego wyroku , odnośnie kosztów postępowania. Zwrot kosztów przed WSA dotyczył bowiem kosztów w zakresie w którym skargę uwzględniono i odpowiadał art.200 ppsa . Zgodnie z nim w razie uwzględnienia skargi przez sąd pierwszej instancji przysługuje skarżącemu od organu , który wydał zaskarżony akt lub podjął zaskarżoną czynność , albo dopuścił się bezczynności , zwrot kosztów postępowania niezbędnych do celowego dochodzenia praw. Wojewódzki Sąd Administracyjny określając zwrot części kosztów przy częściowym uwzględnieniu skargi, nie naruszył tego przepisu. Naczelny Sąd Administracyjny na podstawie art. 203 i 204 ppsa , ustala zaś tylko koszty postępowania kasacyjnego.
Naczelny Sąd Administracyjny nie uwzględnił też wniosku Skarżącej o wstrzymanie wykonania zaskarżonej decyzji. Zgodnie z art.61 §3 ppsa , po przekazaniu sądowi skargi sąd może na wniosek skarżącego wydać postanowienie o wstrzymaniu wykonania w całości lub w części aktu, jeżeli zachodzi niebezpieczeństwo wyrządzenia znacznej szkody lub spowodowania trudnych do odwrócenia skutków. Sąd stwierdził jednak , iż przedmiotowe skutki mogą swoim działaniem dotyczyć nie tylko skarżącej , ale i podmiotów , których dane są przetwarzane. Należy przy tym podkreślić, iż w przypadku braku wstrzymania wykonania decyzji konsekwencją dla Skarżącej jest tylko usunięcie danych osobowych osób z którymi nie zawarto umowy ubezpieczenia. Natomiast w przypadku jej wstrzymania dopuszczano by dalszą działalność Skarżącej , dotykającą w skutkach praw i wolności osób , których dane są przetwarzane . Naczelny Sąd Administracyjny nie dopatrzył się natomiast , aby w przedmiotowej sytuacji interes skarżącej był naruszony w wyższym stopniu niż interesy osób, których dane dotyczą.
Stąd Naczelny Sąd Administracyjny orzekł na podstawie art.185 §1 ustawy z dnia 30 sierpnia 2002r Prawo o postępowaniu przed sądami administracyjnymi/DzU Nr 153, poz.1270 ze zm./.
O kosztach orzeczono na podstawie § 14 ust. 2 pkt 2a rozporządzenia Ministra Sprawiedliwości z dnia 28 września 2002r w sprawie opłat za czynności radców prawnych oraz ponoszenia przez Skarb Państwa kosztów pomocy prawnej udzielonej przez radcę prawnego ustanowionego z urzędu/ DzU Nr 163, poz. 1349 ze zm./.